Tekil Oturum Açma (SSO) ve Çok Faktörlü Kimlik Doğrulama (MFA) ile Kullanışlı ve Güvenli Kimlik ve Erişim Yönetimi

Anıl Nevzat Solmaz (Satış ve Pazarlama Yöneticisi)

Günümüzde Bilgi Teknolojileri (BT) personelinin işi oldukça zor. Sıkı bütçelerle, güvenlik ile ilgili düzenlemelere uyumluluk konusunda uğraş veriyorlar. Bu uzmanlar, organizasyon personelinin, üçüncü parti paydaşların, müşterilerin BT yapısına erişiminin devamlılığı ve bütün altyapının güvenliğini sağlama görevini üstleniyorlar. Tüm bu zor görevlerin yanında kullanıcı memnuniyeti noktasında da büyük çaba veriyorlar. Çünkü son kullanıcılar alınan sıkı güvenlik önlemlerinin kendi kullanım alışkanlıklarını etkilememesini ve sistemlere hızlı ve kolay bir şekilde erişmeyi arzu ediyorlar. Bu durum göz önüne alındığında BT uzmanlarından beklenen en zor konulardan birisi de güvenlik ve kullanışlılık dengesinin sağlanması olarak karşımıza çıkıyor. Single Sign-on (SSO) ve Multifactor Authentication (MFA) çözümlerinin simultane kullanımı bu çıkmaza çözüm olabilir mi?

Siber saldırıların %81’i parola ve kimlik bilgilerini kaynak olarak kullanır. Bu nedenle parolalar ve kullanıcı erişimlerinin güvenliği, bilgi güvenliği alanında yayınlanan hemen her regülatif düzenlemede yer almışlardır. Buna rağmen günümüzde parola ve kimlik bilgilerinin %59’u, kullanıcılar tarafından farklı servis ve uygulamalarda tekrar kullanılmaktadır. Giderek artan servis ve uygulama sayısı göz önünde bulundurularak ne parolalarını hatırlamakta güçlük çeken ne de aynı kimlik bilgilerini farklı hesaplarda kullanan kullanıcıların üzerine fazla gitmemeliyiz. BT departmanları, güçlü parolalar vasıtasıyla güvenlik seviyesini artırmak adına genellikle parolalar üzerinde bazı politikalar işletirler. Parola politikaları belirlemek ve kullanıcıları yaygın saldırılar hakkında eğitmek iyi bir başlangıç sağlayabilir. Ancak birkaç araştırmaya göre güçlü parola politikalarının etkili olduğu, spesifik birkaç saldırı (kaba kuvvet, sözlük saldırıları vs.) dışında, saldırı yöntemlerinin sayısı sanılandan azdır. Bir sosyal mühendislik, oltalama veya keylogger saldırısı ile saldırgan, kimlik bilgilerimizi olduğu gibi ele geçirebilir. Güvenliğin aksine bu politikalar kullanıcıların yaşadığı zorlukları artırma konusunda daha başarılı olmuştur. Buna ek olarak organizasyonunuz içerisinde kimlik bilgisi sahibi her kişi saldırganın kullanabileceği bir atak yüzeyi oluşturur, bunlara çalışanlar, müşteriler ve iş ortakları dahildir. Bütün bu bilgilere göre şunu kolaylıkla dile getirebiliriz: Kullanıcıların kişisel parolalarının güvenliği ihlal edilirse, ki bu durum mevcut parola politikalarıyla oldukça olasıdır, kuruluşunuzun verileri de ihlal edilebilir hale gelir.

SSO (Tekil Oturum Açma) ve MFA (Çok Faktörlü Kimlik Doğrulama) çözümlerinin aynı anda kullanımı, bu çıkmaza bir çözüm getirebilir. SSO, özetle kullanıcıların yalnızca tek bir kimlik bilgisini kullanarak entegrasyon sağlanan birden fazla uygulama ve servise erişim sağlamasına olanak tanıyan bir yöntemdir. Bu sayede kullanıcılar birden fazla kimlik bilgisini hatırlamak ve dolayısıyla korumak için çaba sarf etmeyeceklerdir. Günlük hayatımızda birçok web sitesinin, yeni kimlik oluşturma veya oturum açma işlemlerinde Google, Facebook gibi seçenekleri SSO hizmeti olarak sunduğunu halihazırda tecrübe etmekteyiz. Aynı zamanda SSO, tek kullanıcı bilgisi ile sisteme erişim ve kullanıcının kimlik bilgilerini belirli bir süre içerisinde sadece bir defa kullanmasını sağladığından, birden fazla hesapta tekrarlanan kimlik bilgilerinin çalınması veya MITM (Man in the Middle) saldırısı gibi durumlar karşısında, atak yüzeyini azaltması bakımından yüksek koruma sağlar. Ayrıca tek bir karmaşık parolayı hatırlamak nispeten daha kolay olacağından kullanıcı, SSO parolasını oldukça kuvvetli oluşturabilir. SSO kullanıcılar için bir kullanım kolaylığı sağladığı gibi IT uzmanlarının gününü de kolaylaştırır. Daha az kimlik bilgisi, daha merkezi bir yapı ile parola ve kullanıcı işlemleri gibi zaman alan konularda iş yükünü azaltır. Aynı zamanda organizasyonda kullanılan her bir servis ve uygulama için ayrı ayrı kimlik doğrulama işlemi uygulama gerekliliği ortadan kaldırır.

Basitçe sıralayacak olur isek, SSO kullanımının faydalarından birkaçı aşağıdaki gibi olacaktır:

  • Tek seferlik giriş işlemi sonrasında birden fazla servise erişim sağlanması ile iş akışında kolaylık sağlanacaktır.
  • Hem kullanıcı hem de IT personeli için parola ve kimlik bilgilerinin yönetimini kolaylaştıracak ve iş akışında kolaylık sağlanacaktır.
  • Bir organizasyonda personel sayısı ve bu personellere ait çoklu kimlik bilgilerinin sayısından dolayı oluşan devasa atak yüzeyi daralacaktır.
  • Organizasyon yapısında eklenecek yeni servis ve uygulamalar olsa dahi, merkezi kimlik yönetimi güçleşmeyecektir.
  • Tek bir noktada ileri düzey doğrulama ve erişim kontrol mekanizmaları ile güçlendirilmiş bir giriş sağlanabileceğinden farklı farklı sistemlerde oluşabilecek kimlik doğrulama zafiyetlerinden sakınılmış olacaktır.

Bu uygulamaya bir de, parolalardan daha güçlü bir koruma sağlayan MFA çözümlerini entegre ettiğimizi düşünelim. Kullanıcılar ve sistem yöneticileri SSO ile çok fazla kimlik bilgisi ve parola ile uğraşmaktan kurtulurlarken, istismar edilmesi daha muhtemel olan parolalara nazaran daha yüksek güvenlikli doğrulama mekanizması sunan MFA çözümü ile de çok daha güçlendirilmiş bir kimlik doğrulama yapısı oluşturulmuş olur. Bu gibi bir senaryoda, SSO ile kazandığımız iş kolaylığını kaybettiğinizi düşünebilirsiniz fakat yine de birden fazla kimlik bilgisi ile tekil bir oturum açma sonrası birden fazla servise erişim sağlamaya devam edileceğini, dolayısıyla iş akışında büyük kolaylıklar edinileceğini unutmamak gerekir. Ayrıca yeni nesil Adaptif MFA çözümleri kullanım kolaylığı açısından birçok otomatize aksiyon (kullanıcıyı bloklama, risk skoruna göre kullanıcıya ikinci bir faktör sormama vs.) ile iş kolaylığı anlamındaki kazancınızı bir üst seviyeye taşıyabilir. Aynı zamanda gelişmiş raporlama mekanizması sayesinde organizasyonunuzda kullanılan servis ve uygulamalarınızda gerçekleşen yetkisiz erişim isteklerini veya erişim tabanlı siber ihlalleri merkezi olarak izleyebilir, analiz edebilir ve önlem alabilirsiniz.

Bu yazımınızda SSO ve MFA kombinasyonu ile organizasyonunuzun güvenliğini, kullanılabilirliği artırarak, nasıl yükseltebileceğinizi değerlendirmiş olduk.  Securify olarak bizler, SSO ve MFA çözümlerimiz, mevcut kullanım alanları ve müşteri tecrübelerimiz hakkında sorularınız için sizlerle irtibat kurmaktan memnuniyet duyarız. Lütfen bizlere ulaşınız.