← Tüm terimler
Tedarikçi Ayrıcalıklı Erişim Yönetimi (VPAM)

Tedarikçi Ayrıcalıklı Erişim Yönetimi (VPAM) Nedir?

Tedarikçi ayrıcalıklı erişim yönetimi; yüklenicilerin ve üçüncü tarafların uzak yönetici erişimini süreli, kayıtlı ve VPN’siz, ortak parolasız biçimde güvence altına alır.

Son güncelleme: 14 Temmuz 2026

Üçüncü Taraf Erişimi Sorunu

Hemen her kuruluş dışarıdan kişilere ayrıcalıklı erişim verir: veritabanını ayarlayan ERP danışmanı, bina sistemlerine bakan iklimlendirme yüklenicisi, ürününü sizin sunucularınızda sorun gideren yazılım tedarikçisi, ağınızı işleten yönetilen hizmet sağlayıcısı. Bunun geleneksel tesisatı bir VPN hesabı ile ortak paroladır — bu da başkasının standartlarına göre korunan, yönetilmeyen bir dizüstü bilgisayarı doğrudan ağın içine sokar.

Tedarikçi ayrıcalıklı erişim yönetimi bu deseni aracılı erişimle değiştirir. Tedarikçi, kendi kimliği ve MFA ile bir portal üzerinden doğrulanır; yalnızca kapsamdaki belirli sistemlere, onaylanmış bir zaman penceresi için bağlanır ve kimlik bilgileri ifşa edilmek yerine platform tarafından enjekte edilir. Birçok yüksek profilli ihlalin çalınmış tedarikçi kimlik bilgileriyle başlaması, bu alanın kendi kısaltmasını kazanmasının nedenidir.

VPN Tabanlı Tedarikçi Erişimi Neden Yetersiz

VPN, ağ düzeyinde erişimdir: bağlantı kurulduktan sonra tedarikçi genellikle geldiği tek sistemden çok daha fazlasına ulaşabilir ve sonraki etkinliği akış kayıtları dışında görünmezdir. Tedarikçi VPN hesapları ayrıca çürür — projeler biter, teknisyenler işveren değiştirir ve müşteri tarafında işten çıkarma sürecinin sahibi olmadığı için kimlik bilgileri açık kalır.

Hesap verebilirlik sorunu daha da büyütür. Tedarikçiler çoğu zaman tek girişi ekipçe paylaşır; müşteri hangi teknisyenin bağlandığını bilemez ve hasta verilerine, üretim kontrollerine veya kart sahibi sistemlerine kimin eriştiğini kanıtlama gibi sözleşmesel ya da düzenleyici yükümlülükler karşılanamaz hale gelir. NIS2 ve ISO 27001 gibi çerçeveler tedarik zinciri ve erişim kontrolü gereksinimlerini üçüncü taraflara açıkça genişletir; izlenmeyen tedarikçi VPN’leri bekleyen bir denetim bulgusudur.

Uygulamada VPAM

VPAM geçişi, erişimi olan üçüncü tarafların envanteriyle başlar; ardından bu taraflar VPN hesaplarından aracılı bir portala taşınır. Her tedarikçi teknisyenine bireysel kimlik verilir; erişim proje bazında talep edilir, içerideki sistem sahibince onaylanır, adlandırılmış hedefler ve bir bitiş tarihiyle sınırlanır ve her oturum kaydedilir. Proje bittiğinde erişim ortada kalmak yerine kendiliğinden sona erer.

Tarayıcı tabanlı geçitler bunu pratik kılar; çünkü tedarikçinin istemci yazılımına veya ağ üyeliğine ihtiyacı yoktur — bir URL ve kendi kimlik bilgileri yeterlidir. Monopam tedarikçi senaryolarını ajansız tarayıcı tabanlı RDP ve SSH, JIT onay akışları, kasadan kimlik bilgisi enjeksiyonu ve tam video ile tuş vuruşu oturum kaydıyla destekler.

Sık sorulan sorular

VPAM’in olağan PAM’den farkı nedir?
Kontroller büyük ölçüde örtüşür — kasalama, aracılı oturumlar, kayıt, JIT onayı — ancak VPAM dışarıdaki kişilere özgü kaygılar ekler: dizininizde olmayan kimlikler, güvenilecek yönetilen bir cihazın yokluğu, proje bazlı yaşam döngüleri ve varsayılan olarak daha sıkı kapsam. Pratikte VPAM bir PAM kullanım senaryosudur; birçok kuruluş tedarikçilere aynı PAM platformundan hizmet verir.
Tedarikçilere hiç VPN erişimi verilmeli mi?
Kural olarak hayır — tedarikçinin yalnızca belirli sistemlere oturum açması gerekirken VPN ona ağda varlık kazandırır. Aracılı bir geçit, kayıt ve otomatik sona erme yerleşik olarak gelmek üzere tam da bu dar yetkiyi sağlar. Site-to-site entegrasyonlar gibi nadir durumlar ağ bağlantısını haklı çıkarabilir; ancak bunlar kesin hedeflerle sınırlanmalı ve izlenmelidir.
Tedarikçi oturumundan kim sorumludur — tedarikçi mi, müşteri mi?
Sözleşmesel olarak iki taraf da yükümlülük taşır; ancak düzenleyiciler kendi sistemleri ve verileri için müşteriyi sorumlu tutar. Müşteri tarafındaki kontrollerin önemi buradan gelir: bireysel tedarikçi kimlikleri, her oturumdan önce iç onay ve müşterinin elinde kalan kayıtlar. İşi dışarıya devredebilirsiniz; hesap verebilirliği devredemezsiniz.