← Tüm terimler
En Az Ayrıcalık İlkesi (PoLP)

En Az Ayrıcalık İlkesi Nedir?

En az ayrıcalık ilkesi; her kullanıcıya, uygulamaya ve sisteme işini yapması için gereken asgari erişimi verir, fazlasını vermez.

Son güncelleme: 13 Temmuz 2026

İlke Ne Anlama Gelir

En az ayrıcalık ilkesi, her kimliğin tam olarak mevcut rolünün gerektirdiği izinlere sahip olması gerektiğini söyler: gereğinden geniş kapsam, yüksek yetki veya uzun süre olmamalıdır. İlke; çalışanlar, yöneticiler, uygulamalar, servis hesapları ve bulut iş yükleri için eşit ölçüde geçerlidir.

Pratikte bu şu anlama gelir: bir destek temsilcisi müşteri kayıtlarını görüntüleyebilir ama veritabanını dışa aktaramaz; bir dağıtım hattı tek bir ortama yazabilir ama hepsine yazamaz; bir yönetici e-posta için normal bir hesap, yönetim için ayrı ve denetlenen bir hesap kullanır. Her izin, bir görev gerektirdiği için vardır; bir kez vermek kolay olduğu için değil.

Neden Önemli

En az ayrıcalık, etki alanını sınırlar. Bir hesap oltalandığında veya bir iş yükü istismar edildiğinde hasar, o kimliğin dokunabildikleriyle sınırlı kalır; asgari izinler olası felaketleri kontrol altına alınmış olaylara dönüştürür. İlke ayrıca iç tehdit riskini ve iyi niyetli hataları da azaltır: bir mühendis, hiç erişemediği bir üretim tablosunu yanlışlıkla silemez.

Baş düşman ayrıcalık sürünmesidir; insanlar rol ve proje değiştirdikçe eski erişimler kaldırılmadan hakların yavaşça birikmesi. Yıllar içinde bu, izinlerini kimsenin açıklayamadığı kimlikler üretir. ISO 27001’den SOX’a kadar uyumluluk çerçeveleri, tam da bu kaymaya karşı erişimin gerekçelendirilmesini ve düzenli olarak yeniden doğrulanmasını şart koşar.

En Az Ayrıcalığı Uygulamak

Uygulama görünürlükle başlar: kimin neye erişebildiği haritalanır, kullanılmayan veya açıklanamayan izinler işaretlenir. Rol tabanlı erişim, yetkileri iş fonksiyonlarıyla hizalar; düzenli erişim gözden geçirmeleri artık gerekmeyeni kaldırır; yönetici hesaplarıyla günlük hesapların ayrılması, güçlü hakları internete açık iş akışlarından uzak tutar.

Ayrıcalıklı erişimde en az ayrıcalık PAM aracılığıyla uygulanır: yöneticilere geniş kalıcı haklar yerine belirli hedeflere kapsamı daraltılmış, süreli oturumlar verilir. Monopam gibi platformlar ilkeyi, sistem başına onaya bağlı ve kayıtlı oturumlar vererek uygular; böylece yükseltilmiş erişim yalnızca bir görevin gerektirdiği yerde ve zamanda var olur.

Sık sorulan sorular

En az ayrıcalık ile sıfır güven arasındaki fark nedir?
En az ayrıcalık, bir kimliğin ne kadar erişime sahip olduğunu; sıfır güven ise ağ konumundan bağımsız olarak her erişim girişiminin nasıl doğrulanacağını düzenler. Birbirlerini tamamlarlar: sıfır güven her isteğin düşmanca olabileceğini varsayıp doğrular; en az ayrıcalık ise doğrulanmış bir kimliğin bile yalnızca rolünün gerektirdiğine ulaşabilmesini sağlar.
Ayrıcalık sürünmesi nedir ve nasıl önlenir?
Ayrıcalık sürünmesi, insanlar rol değiştirdikçe eski izinler geri alınmadığı için erişim haklarının zamanla birikmesidir. Düzenli erişim gözden geçirmeleri, rol değişiminde otomatik yetki kaldırma ve süresiz kalmak yerine kendiliğinden sona eren süreli yetkilendirmelerle önlenir.
En az ayrıcalık uygulamalar ve makineler için de geçerli mi?
Evet; üstelik modern ortamlarda makine kimlikleri genellikle insan kimliklerinden fazladır. Servis hesapları, konteynerler, dağıtım hatları ve bulut iş yükleri, her biri çalışmalarına yeten en dar rolle koşmalıdır. Aşırı yetkili servis hesapları güçlü olduğu, nadiren gözden geçirildiği ve çoğu zaman MFA dışında kaldığı için saldırganların gözde hedefidir.