← Tüm terimler
Sıfır Kalıcı Ayrıcalık (ZSP)

Sıfır Kalıcı Ayrıcalık (ZSP) Nedir?

Sıfır kalıcı ayrıcalık, hiçbir hesabın kalıcı yönetici hakkı taşımaması demektir; tüm yükseltilmiş erişim tam zamanında verilir ve otomatik olarak sona erer.

Son güncelleme: 13 Temmuz 2026

Kavram

Sıfır kalıcı ayrıcalık, insan veya makine hiçbir kimliğin yükseltilmiş hakları kalıcı olarak taşımadığı durumdur. Her an yetkili olan sabit bir yönetici hesabı kitlesi yerine, ayrıcalıklar yalnızca onaylanmış bir görev süresince var olur ve görev bittiğinde otomatik olarak kaldırılır.

ZSP modelinde bir mühendisin günlük hesabının hiçbir yönetimsel gücü yoktur. Yükseltilmiş erişim gerektiğinde talep üzerine oluşturulur: bir rol etkinleştirilir, bir grup üyeliği eklenir ya da kısa ömürlü bir hesap veya kimlik bilgisi verilir; bunların tümü bir zaman penceresine ve belgelenmiş bir gerekçeye bağlıdır. Görevler arasında hesabı ele geçiren bir saldırgan, yetki yükseltmek için kullanabileceği hiçbir şey bulamaz.

Neden Önemli

Tek bir ele geçirilmiş hesabı tam kapsamlı bir ihlale dönüştüren şey kalıcı ayrıcalıklardır. Kimlik bilgisi hırsızlığı, belirteç tekrarı ve oturum kaçırma, çalınan kimliğin saldırı anında gerçekten güç taşımasına bağlıdır. ZSP bu varsayımı bozar: çoğu zaman ortada çalınacak bir ayrıcalık yoktur.

ZSP ayrıca yaygın kabul gören iki ilkenin mantıksal varış noktasıdır. En az ayrıcalık, erişimin asgari olması gerektiğini söyler; sıfır güven, erişimin varsayılmak yerine sürekli doğrulanması gerektiğini söyler. Sıfır kalıcı ayrıcalık her ikisini zaman boyutuna uygular ve denetçiler büyük, statik yönetici gruplarını giderek başlı başına bir bulgu olarak görmektedir.

Uygulamada ZSP’ye Ulaşmak

Hiçbir kuruluş sıfır kalıcı ayrıcalığa tek adımda ulaşmaz. Olağan yol, kalıcı yönetici haklarının envanteriyle başlar; kimsenin gerekçelendiremediği haklar kaldırılır ve kalması gerekenlerin kimlik bilgileri kasaya alınır. Ardından tam zamanında akışları, önce en yüksek riskli sistemlerde kalıcı grup üyeliklerinin yerini alır; acil durumlar için break-glass hesapları korunur.

Genellikle bir miktar kalıcı erişim varlığını sürdürür; örneğin PAM platformunun kendisi ve mühürlü acil durum kimlik bilgileri. Bu yüzden pratik hedef, geri kalan her şeyin talep üzerine verildiği asgari kalıcı ayrıcalıktır. Monopam gibi araçlar bu geçişi, kalıcı kimlik bilgisi dağıtmak yerine süreli ve kayıtlı oturumlar açan JIT onay akışlarıyla destekler.

Sık sorulan sorular

Sıfır kalıcı ayrıcalık her kuruluş için gerçekçi mi?
Bir yön olarak evet; mutlak bir durum olarak nadiren. Break-glass hesapları ve kimlik platformunun kendi yönetimi gibi bazı erişimlerin kalıcı olması gerekir. Gerçekçi hedef, tam zamanında bir alternatifin bulunduğu her yerde kalıcı ayrıcalığı ortadan kaldırmak ve geriye kalan az sayıdaki istisnayı sıkı biçimde denetleyip izlemektir.
ZSP, sıfır güven ile nasıl ilişkilidir?
Sıfır güven, hiçbir kullanıcıya veya ağ konumuna varsayılan olarak güvenilmemesi ve her erişimin doğrulanması gerektiğini söyleyen genel mimari ilkedir. Sıfır kalıcı ayrıcalık bu ilkeyi özel olarak ayrıcalıklara uygular: haklar yalnızca kullanım anında doğrulanmakla kalmaz, kullanımlar arasında hiç var olmaz. ZSP çoğu zaman sıfır güvenin ayrıcalıklı erişime uygulanmış hali olarak tanımlanır.