Servis Hesapları Nasıl Çalışır
Servis hesabı, klavye başında bir insan olmadan yazılımın kimlik doğrulayabilmesi için vardır. Veritabanına bağlanan bir yedekleme işi, dosya paylaşımına erişen bir web uygulaması, etki alanı kimliğiyle çalışan bir Windows servisi, bulut API çağıran bir CI hattı — bunların her biri bir servis hesabı kullanır. Hesap, iş yükünün ihtiyaç duyduğu yetkileri taşır; kimlik bilgisi ise yazılımın okuyabileceği bir yerde saklanır: bir yapılandırma dosyası, kayıt defteri girdisi, ortam değişkeni veya ideal olarak bir kasa.
İnsan hesaplarının aksine servis hesapları etkileşimli MFA’yı nadiren destekler, personel ayrıldığında sahipleri düzgün biçimde devredilmez ve çoğu zaman kendilerini yaratan projelerden daha uzun yaşar. Orta ölçekli bir kuruluşta servis hesabı sayısı çalışan sayısının birkaç katı olabilir.
Neden Güvenlik Riski Oluşturur
Servis hesapları, savunma açısından en kötü özellikleri bir araya getirir: geniş yetkiler, "bir şey bozulur" korkusuyla hiç değiştirilmeyen parolalar, MFA yokluğu ve yanlış davrandıklarında fark edecek bir insanın olmaması. Saldırganlar bu hesapları aktif olarak avlar — Kerberoasting gibi teknikler özellikle Active Directory’deki servis hesabı parolalarını kırmak için vardır; betiklere veya kod depolarına gömülmüş kimlik bilgileri ise ihlal raporlarında tekrar eden bir kök nedendir.
Servis hesabından gelen etkinlik normal otomasyon gibi göründüğü için kötüye kullanım aylarca fark edilmeden sürebilir. Sahibi olan uygulaması yıllar önce kapatılmış sahipsiz hesaplar özellikle tehlikelidir: kimse onları özlemez, dolayısıyla başkası kullanmaya başladığında kimse fark etmez.
Uygulamada Servis Hesabı Yönetişimi
Etkili programlar keşifle başlar: Active Directory, sunucular, veritabanları ve bulut platformlarındaki servis hesapları tek tek çıkarılır; ardından her birine bir sahip, bir amaç ve en az ayrıcalık ilkesine uygun bir yetki kümesi atanır. Kimlik bilgileri yapılandırma dosyalarından kasaya taşınır ve rotasyon otomatikleştirilir; böylece parolalar bağımlı uygulamayı bozmadan düzenli olarak değişir — işin zor kısmı, kimlik bilgisinin tüketildiği her noktanın güncellenmesidir.
Döngüyü izleme tamamlar: bir servis hesabı etkileşimli olarak, yeni bir makineden veya olağan düzeninin dışında oturum açtığında uyarı üretilir. Monopam bu yaşam döngüsünü AD, Azure ve AWS kaynak keşfi, kimlik bilgisi geçmişi tutan şifreli kasa ve yönetime alınan hesaplar için otomatik parola rotasyonuyla destekler.