← Tüm terimler
Ayrıcalıklı Erişim Yönetimi (PAM)

Ayrıcalıklı Erişim Yönetimi (PAM) Nedir?

Ayrıcalıklı erişim yönetimi, kritik sistemlere yükseltilmiş yetkiyle erişen hesapları güvence altına alır, denetler ve izler; ihlal ve kötüye kullanım riskini azaltır.

Son güncelleme: 13 Temmuz 2026

PAM Neyi Kapsar

Ayrıcalıklı erişim yönetimi, sistemleri yalnızca kullanmakla kalmayıp değiştirebilen hesaplara uygulanan kontroller bütünüdür: etki alanı yöneticileri, sunuculardaki root kullanıcıları, veritabanı sahipleri, ağ cihazı hesapları, servis hesapları ve bulut yönetim rolleri. Bu kimlikler yazılım kurabildiği, her veriyi okuyabildiği ve kayıtları silebildiği için ayrı ve daha yüksek riskli bir erişim sınıfı olarak ele alınır.

Bir PAM programı genellikle ayrıcalıklı parolaları saklayıp düzenli olarak değiştiren bir kasa, kimlik bilgisini ifşa etmeden hedef sistemlere oturum açan bir aracı katman, hesap verebilirlik için oturum kaydı ve hangi hesabın kim tarafından, ne zaman ve ne kadar süreyle kullanılabileceğine karar veren onay akışlarını bir araya getirir.

Neden Önemli

Ayrıcalıklı kimlik bilgileri, ciddi ihlallerin çoğunda birincil hedeftir. Bir saldırgan yönetici parolasını veya unutulmuş bir servis hesabını ele geçirdiğinde ağ içinde yatay hareket edebilir, yetkisini daha da yükseltebilir ve izlerini silebilir. Elektronik tablolarda saklanan ortak yönetici parolaları, süresi hiç dolmayan kimlik bilgileri ve izlenmeyen uzak oturumlar bu saldırı yüzeyini genişletir.

Düzenleyiciler ve denetçiler ayrıcalıklı erişimi temel bir kontrol alanı olarak görür. ISO 27001, PCI DSS, SOX ve NIS2 gibi çerçeveler yönetici haklarının kısıtlanmasını, ortak hesaplarda bireysel hesap verebilirliğin korunmasını ve kritik sistemlere kimin eriştiğine dair kanıt üretilmesini bekler. PAM bu beklentileri uygulanabilir ve denetlenebilir kontrollere dönüştürür.

Uygulamada PAM

Çoğu ekip işe sunucular, veritabanları, ağ cihazları ve bulut konsollarındaki ayrıcalıklı hesapları keşfederek başlar; ardından en yüksek riskli kimlik bilgilerini kasaya alır ve otomatik rotasyonu etkinleştirir. Sonraki adım, yönetimsel oturumları kontrollü bir geçitten geçirmektir; böylece kimlik bilgileri son kullanıcılara hiç ifşa edilmez ve her oturum kaydedilebilir, gerekirse sonlandırılabilir.

Olgun programlar buna tam zamanında onayları ekleyerek kalıcı yönetici haklarını süreli yetkilerle değiştirir ve PAM olaylarını tespit için SIEM ile entegre eder. Monopam gibi platformlar şifreli kasayı, parola rotasyonunu, tarayıcı tabanlı RDP ve SSH oturumlarını ve onaya bağlı kayıtlı erişimi tek üründe birleştirir; bu da ekiplerin bu kontrolleri her uç noktaya ajan kurmadan devreye almasını sağlar.

Sık sorulan sorular

PAM ile IAM arasındaki fark nedir?
IAM, tüm kullanıcıların tüm uygulamalardaki kimliklerini ve erişimini kimlik doğrulama, SSO ve rol atamalarıyla yönetir. PAM ise IAM üzerinde uzmanlaşmış bir katmandır; yüksek riskli yönetimsel ve makine hesaplarına odaklanır, kasalama, oturum kaydı ve daha sıkı onay kontrolleri ekler. Çoğu kuruluşun ikisine de ihtiyacı vardır: genişlik için IAM, kritik sistemlerde derinlik için PAM.
Hangi hesaplar ayrıcalıklı sayılır?
Sistem yapılandırmasını değiştirebilen, hassas verilere geniş çapta erişebilen veya diğer hesapları yönetebilen her hesap ayrıcalıklıdır. Yaygın örnekler arasında etki alanı ve yerel yöneticiler, Linux üzerindeki root, veritabanı yönetici hesapları, hipervizör ve bulut yönetim rolleri, ağ cihazı oturumları ve uygulamaların kullandığı servis hesapları yer alır. Finans sistemindeki bir süper kullanıcı gibi BT dışı hesaplar da bu kapsama girebilir.
PAM uyumluluk için zorunlu mu?
Az sayıda düzenleme PAM adını açıkça geçirir, ancak çoğu PAM tarafından sağlanan kontrolleri talep eder: kısıtlanmış yönetimsel erişim, bireysel hesap verebilirlik, kimlik bilgisi rotasyonu ve ayrıcalıklı faaliyetlerin denetim izleri. PCI DSS, ISO 27001, SOX ve benzeri çerçevelerin denetçileri ayrıcalıklı hesapların nasıl korunduğunu düzenli olarak sorar; bu kanıtı üretmenin pratik yolu bir PAM aracıdır.