Üçüncü Taraf Erişimi Sorunu
Hemen her kuruluş dışarıdan kişilere ayrıcalıklı erişim verir: veritabanını ayarlayan ERP danışmanı, bina sistemlerine bakan iklimlendirme yüklenicisi, ürününü sizin sunucularınızda sorun gideren yazılım tedarikçisi, ağınızı işleten yönetilen hizmet sağlayıcısı. Bunun geleneksel tesisatı bir VPN hesabı ile ortak paroladır — bu da başkasının standartlarına göre korunan, yönetilmeyen bir dizüstü bilgisayarı doğrudan ağın içine sokar.
Tedarikçi ayrıcalıklı erişim yönetimi bu deseni aracılı erişimle değiştirir. Tedarikçi, kendi kimliği ve MFA ile bir portal üzerinden doğrulanır; yalnızca kapsamdaki belirli sistemlere, onaylanmış bir zaman penceresi için bağlanır ve kimlik bilgileri ifşa edilmek yerine platform tarafından enjekte edilir. Birçok yüksek profilli ihlalin çalınmış tedarikçi kimlik bilgileriyle başlaması, bu alanın kendi kısaltmasını kazanmasının nedenidir.
VPN Tabanlı Tedarikçi Erişimi Neden Yetersiz
VPN, ağ düzeyinde erişimdir: bağlantı kurulduktan sonra tedarikçi genellikle geldiği tek sistemden çok daha fazlasına ulaşabilir ve sonraki etkinliği akış kayıtları dışında görünmezdir. Tedarikçi VPN hesapları ayrıca çürür — projeler biter, teknisyenler işveren değiştirir ve müşteri tarafında işten çıkarma sürecinin sahibi olmadığı için kimlik bilgileri açık kalır.
Hesap verebilirlik sorunu daha da büyütür. Tedarikçiler çoğu zaman tek girişi ekipçe paylaşır; müşteri hangi teknisyenin bağlandığını bilemez ve hasta verilerine, üretim kontrollerine veya kart sahibi sistemlerine kimin eriştiğini kanıtlama gibi sözleşmesel ya da düzenleyici yükümlülükler karşılanamaz hale gelir. NIS2 ve ISO 27001 gibi çerçeveler tedarik zinciri ve erişim kontrolü gereksinimlerini üçüncü taraflara açıkça genişletir; izlenmeyen tedarikçi VPN’leri bekleyen bir denetim bulgusudur.
Uygulamada VPAM
VPAM geçişi, erişimi olan üçüncü tarafların envanteriyle başlar; ardından bu taraflar VPN hesaplarından aracılı bir portala taşınır. Her tedarikçi teknisyenine bireysel kimlik verilir; erişim proje bazında talep edilir, içerideki sistem sahibince onaylanır, adlandırılmış hedefler ve bir bitiş tarihiyle sınırlanır ve her oturum kaydedilir. Proje bittiğinde erişim ortada kalmak yerine kendiliğinden sona erer.
Tarayıcı tabanlı geçitler bunu pratik kılar; çünkü tedarikçinin istemci yazılımına veya ağ üyeliğine ihtiyacı yoktur — bir URL ve kendi kimlik bilgileri yeterlidir. Monopam tedarikçi senaryolarını ajansız tarayıcı tabanlı RDP ve SSH, JIT onay akışları, kasadan kimlik bilgisi enjeksiyonu ve tam video ile tuş vuruşu oturum kaydıyla destekler.