Veritabanı Erişim Yönetimi Nasıl Çalışır
Veritabanları, diğer tüm kontrollerin nihai olarak koruduğu veriyi barındırır; buna rağmen onlara erişim çoğu zaman en az yönetilen alandır: DBA’ler sa veya postgres parolasını paylaşır, geliştiriciler üretim bağlantı dizgilerini yapılandırma dosyalarında tutar, analistler her tabloyu okuyabilen hesaplarla bağlanır. Veritabanı erişim yönetimi, ayrıcalıklı erişim kontrollerini özel olarak bu katmana uygular.
Desen, sunucu PAM’ini yansıtır: ayrıcalıklı veritabanı kimlik bilgileri kasalanır ve döndürülür; bağlantılar, önce insanı doğrulayıp veritabanı kimlik bilgisini enjekte eden bir geçit üzerinden kurulur; oturumlar bireysel kimliklere bağlanır ve kaydedilir. Daha gelişmiş kurulumlar sorgu düzeyinde kontroller ekler — her ifadenin kaydedilmesi, hassas sütunların maskelenmesi veya üretimde kapsamsız silmeler gibi tehlikeli işlemlerin engellenmesi.
Neden Önemli
İhlaller veri hırsızlığıyla sonuçlandığında son adım neredeyse her zaman bir veritabanı sorgusudur. Çalınan bir DBA kimlik bilgisi, uygulama düzeyindeki yetkileri tamamen atlar: saldırgan tabloları doğrudan okur, toplu halde dışarı aktarır ve çoğu zaman kanıtları siler. Yerleşik veritabanı günlükleri performans gerekçesiyle sık sık kapalı tutulur; erişim yönetimi katmanı olmadan kuruluş neyin alındığını yeniden kurgulayamaz bile.
Düzenlemeler de bu noktada yoğunlaşır. GDPR ve KVKK bu tablolardaki kişisel veriyi, PCI DSS kart sahibi verisi etrafındaki kontrolleri düzenler; denetçiler artık yalnızca veritabanına kimin erişebildiğini değil, kimin eriştiğini ve ne sorguladığını da sorar. Ortak DBA hesaplarında bireysel hesap verebilirlik, aracılı ve kayıtlı erişim olmadan mümkün değildir.
Uygulamada Veritabanı Erişim Yönetimi
Programlar genellikle en yüksek riskli kimlik bilgileriyle başlar: sa, root ve postgres gibi yerleşik süper kullanıcı hesapları rotasyon açık olarak kasaya alınır ve doğrudan kullanımı yasaklanır. Ardından DBA’ler ve geliştiriciler PAM geçidi üzerinden kendi kimlikleriyle bağlanır; üretim erişimi tam zamanında onaya bağlanırken test ortamları sürtünmesiz kalır.
İkinci cephe, uygulama bağlantı dizgileridir: bu kimlik bilgileri kasadan alınmaya taşınır ve kaynak kodu ile yapılandırma dosyalarında yaşamayı bırakır. Monopam, veritabanı kimlik bilgilerini kasalayıp döndürerek ve veritabanı sunucularına tarayıcı üzerinden kayıtlı, onaya bağlı oturumlar aracılayarak veritabanı senaryolarını destekler.