PAM Nedir? KOBİ İçin Ayrıcalıklı Erişim Yönetimi
Özet: Privileged Access Management (PAM) nedir, KOBİ ölçeğinde nasıl uygulanır, hangi çözümler değerlendirilebilir ve admin hesapları için pratik kontrol stratejileri.
Özet: PAM (Privileged Access Management — Ayrıcalıklı Erişim Yönetimi), bir kurumdaki "yüksek yetkili" hesapların (domain admin, sunucu root, ağ cihazı yöneticisi, veritabanı sa) merkezi olarak yönetilmesi, parolalarının kasada tutulması, kullanım anlarının kayıt altına alınması ve oturum sonrası parolanın otomatik döndürülmesi pratiğidir. KOBİ ölçeğinde "küçük şirket" diye atlanan PAM, ransomware saldırılarının yatay yayılmasını ciddi ölçüde önler — admin hesabı saldırgan eline geçtiğinde tüm ağa yayılma süresi dakikalardan saatlere uzar, çoğu zaman saldırı başarısız olur.
Bir KOBİ'de IT sorumlusu sunucu yöneticisi parolasını yıllardır değiştirmiyor, üç farklı çalışan aynı admin hesabını ortak kullanıyor, ağ switch'inin admin parolası bir Excel dosyasında yazıyor. Bu klasik manzara — saldırgan içeriye girdiğinde "domain admin" parolasını ele geçirip tüm ağa yayılması için arzu edilen koşulu sunar. Ransomware vakalarında "tek bir admin hesabı zincirin tamamını çökertti" anlatımı bu yüzden bu kadar yaygın.
Bu yazıda KOBİ ölçeğinde PAM'in ne olduğunu, neden gerekli olduğunu ve uygulanabilir çözümleri ele alıyoruz. Hedef kitlemiz IT sorumluları, işletme sahipleri ve siber güvenlik bütçesinin "küçük adımlarını" planlayan karar vericiler.
PAM Nedir, Standart Erişim Yönetiminden Farkı?
Standart erişim yönetimi (IAM — Identity and Access Management), bir çalışanın e-posta, dosya, uygulama gibi günlük kaynaklara erişimini düzenler. PAM ise yalnızca ayrıcalıklı (privileged) hesaplara odaklanır.
Ayrıcalıklı Hesap Türleri
| Tip | Örnek | Risk |
|---|---|---|
| Domain Admin | Active Directory yöneticisi | Tüm AD ağı ele geçirilir |
| Sunucu Root/Administrator | Linux/Windows sunucu | Sunucu tamamen kompromise |
| Ağ cihazı admini | Switch, router, firewall | Tüm trafik manipüle edilir |
| Veritabanı admini | SQL sa, PostgreSQL postgres | Tüm veriye erişim |
| Bulut hesap admini | AWS root, Azure global admin | Tüm bulut ortam |
| Servis hesapları | Yedekleme, izleme servisi | Kalıcı erişim, çoğu fark edilmez |
| Acil durum hesapları | "Break-glass" senaryolar | Genelde paylaşımlı, izlenmez |
IAM'in Yapamadıklarını PAM Yapar
- Parolayı periyodik otomatik değiştirir (her oturumdan sonra dahi mümkün)
- Oturum boyunca ekran kaydı tutar (kim ne yaptı?)
- Parola çalışana asla gösterilmeden bağlantı kurar (proxy/jump host)
- Tek seferlik parola (one-time password) sağlar
- Rıza akışı (just-in-time) — yetki kullanmadan önce ikinci kişi onayı
KOBİ'de PAM Yokken Yaşanan Tipik Senaryolar
PAM olmayan ortamlarda yaygın hatalar:
1. Paylaşımlı Admin Hesabı
Üç IT çalışanı aynı domainadmin hesabını kullanır. Bir çalışan ayrıldığında parola değiştirilmez — eski çalışanın 6 ay sonra tekrar girdiği görülür. Olay sonrası "kim yaptı?" sorusu cevapsız kalır.
2. Excel'de Parola Listesi
Sunucu_Parolaları.xlsx dosyası ortak klasörde. 50 sunucunun root parolası, ağ cihazları, VPN admin, veritabanı sa — hepsi orada. Klasöre erişimi olan herkes saldırgan haline gelir. Üstelik dosya yedeklere de yazılır.
3. Yıllarca Değişmemiş Parola
Sunucu kuruldu, root parolası ayarlandı, bir daha değişmedi. 7 yıl önce işten ayrılmış sistemcinin de aklında bu parola olabilir. Brute-force veya credential stuffing saldırılarında ele geçer.
4. Yetersiz Loglama
Domain admin hesabıyla yapılan işlemler kayıt altına alınmıyor. Anomali tespiti yok. Saldırgan bu hesapla ne yaptıysa hiçbir iz bırakmıyor.
5. Domain Admin Günlük Kullanımda
IT sorumlusu domain admin hesabıyla e-posta açıyor, web'de geziniyor, e-posta eki açıyor. Bir phishing yeterli — domain admin parolası ele geçer.
PAM'in Beş Temel Bileşeni
Olgun bir PAM çözümü beş temel ihtiyacı karşılar:
1. Parola Kasası (Password Vault)
Tüm ayrıcalıklı hesap parolaları merkezi şifreli kasada tutulur. Çalışan parolayı görmez; bağlantı PAM proxy üzerinden kurulur. Parolalar otomatik döndürülür (her oturum sonrası, haftalık, aylık).
2. Oturum Yönetimi (Session Management)
Çalışan ayrıcalıklı hesaba bağlandığında PAM proxy'si üzerinden geçer. Oturum boyunca:
- Ekran video kaydı
- Klavye/komut kaydı
- Süre sınırı (örnek: 4 saat sonra otomatik kopma)
- Anomali tespiti (örnek: gece yarısı üretim sunucusuna bağlantı)
3. Just-In-Time (JIT) Yetki
Çalışan domain admin değil — günlük kullanımı ile standart kullanıcı. Bir görev için yükseltilmiş yetki gerektiğinde sistemden talep eder, ikinci kişi onaylar, görev süresi boyunca yetki açılır, sonra otomatik geri alınır.
4. Çok Faktörlü Doğrulama (MFA)
Her ayrıcalıklı oturuma MFA zorunlu. Parola çalınsa bile ikinci faktör (authenticator, FIDO2) olmadan giriş imkânsız.
5. Denetim ve Raporlama
- Hangi hesap, ne zaman, hangi sunucuya, ne kadar süre bağlandı
- Oturum kayıtları arşivli, denetim talebinde sunulabilir
- KVKK, ISO 27001, PCI-DSS denetimlerinde "yeterli teknik tedbir" kanıtı
KOBİ İçin Uygun PAM Çözümleri
Pazardaki PAM ürünleri farklı ölçek ve fiyat seviyelerinde:
| Çözüm | Güçlü Yönü | KOBİ Uygunluğu |
|---|---|---|
| CyberArk | Pazar lideri, en geniş özellik | Büyük KOBİ ve üstü |
| BeyondTrust Password Safe | Esnek, modüler | Orta-büyük KOBİ |
| Delinea Secret Server | Kullanıcı dostu, yerli partner | Küçük-orta KOBİ |
| ManageEngine PAM360 | Bütçe dostu, yerleşik özellikler | Küçük KOBİ ideal |
| Devolutions Server | Kolay başlangıç, uygun fiyat | Mikro-KOBİ |
| Bitwarden Teams (Vault sınırlı) | Açık kaynak, parola kasası odaklı | Çok küçük başlangıç |
| HashiCorp Vault | DevOps odaklı, açık kaynak | IT/dev ekipleri |
KOBİ'ler için sadeleşmiş bir başlangıç: ManageEngine PAM360 veya Delinea Secret Server.
Bulut PAM mi On-Premise PAM mi?
| Kriter | Bulut PAM | On-Premise PAM |
|---|---|---|
| İlk yatırım | Düşük | Yüksek |
| Aylık maliyet | Orta-yüksek | Düşük |
| Güncellemeler | Otomatik | Manuel |
| Veri kontrolü | Sağlayıcıda | Sizde |
| KVKK | Sağlayıcı uyumuna bağlı | Tamamen sizin kontrolünüzde |
| Erişilebilirlik | İnternet kesintisinde sorun | İç ağda her zaman |
KOBİ'de bulut PAM giderek yaygınlaşıyor; ancak PAM'in kasaladığı verilerin kritikliği nedeniyle veri lokasyonu ve sağlayıcı uyumu çok dikkatli değerlendirilmelidir.
KOBİ İçin Sade PAM Başlangıç Planı
Tam PAM yatırımı henüz uygun değilse, aşağıdaki adımlar bile ciddi risk azaltır:
Adım 1: Envanter
- Tüm ayrıcalıklı hesapları listele (domain admin, root, ağ cihazları, DB)
- Her hesap için: kullanan kim? son ne zaman değişti? paylaşımlı mı?
Adım 2: Paylaşımlı Hesapları Ayır
- "domainadmin" yerine her IT çalışanına kendi admin hesabı
- Servis hesapları (yedekleme, izleme) sadece servis için, insan kullanmaz
- Acil durum (break-glass) hesapları kasada, kullanım izlenir
Adım 3: Parola Kasası
- Bitwarden, 1Password Business, Keeper gibi parola kasası
- Tüm ayrıcalıklı hesap parolaları kasada
- Excel parola listesi imha edilir
Adım 4: MFA Zorunlu
- Tüm ayrıcalıklı oturumlarda MFA
- Authenticator uygulaması veya FIDO2 anahtar
- SMS yedek olarak (ama ana yöntem değil)
Adım 5: Domain Admin Günlük Kullanımdan Çıksın
- IT çalışanları günlük "standart kullanıcı"
- Admin yetkisi gerektiğinde "Run as administrator" veya ayrı admin hesabı
- E-posta/web tarama kesinlikle admin hesabıyla yapılmaz
Adım 6: Oturum Loglama
- Sunucularda kim ne zaman oturum açtı? (Windows Event Log, Linux auth.log)
- Loglar merkezi syslog veya SIEM'e gönderilir
- Anomali tespit kuralları (gece yarısı oturumu, vb.)
Bu altı adım PAM'in temel faydasının %70-80'ini KOBİ'ye sağlar.
PAM ve Diğer Güvenlik Katmanları
PAM tek başına çalışmaz; diğer güvenlik katmanlarıyla birleşir.
| Katman | PAM ile İlişkisi |
|---|---|
| EDR | Şüpheli ayrıcalıklı oturum davranışını yakalar |
| SIEM | PAM oturum loglarını analiz eder |
| MFA | Her ayrıcalıklı erişimde aktif |
| Yedekleme | PAM verisi kaybedilirse erişim sorunu büyük; yedek şart |
| Network Segmentation | PAM proxy yalnızca belirli VLAN'larla konuşur |
| KVKK / ISO 27001 | PAM denetim raporu kanıt belgesi |
Yamanlar Bilişim Olarak Sunduğumuz Hizmetler
KOBİ ölçeğinde PAM uyarlama desteği:
- Ayrıcalıklı hesap envanteri ve risk değerlendirmesi
- Paylaşımlı hesap dağıtım planı
- Parola kasası seçimi ve kurulum
- MFA dağıtımı tüm admin hesaplarına
- PAM çözümü seçim danışmanlığı (KOBİ ölçeğine uygun)
- Oturum loglama ve SIEM entegrasyonu
- Yıllık erişim denetimi raporu
- KVKK/ISO 27001 denetimine hazırlık
Sıkça Sorulan Sorular
Sonuç
PAM, KOBİ ölçeğinde de pahalı bir lüks değil — siber güvenliğin temel taşlarından biridir. Tam PAM çözümü hemen alınamasa bile, sade adımlarla (paylaşımlı hesapları ayırma, parola kasası, MFA, domain admin günlük kullanımdan çıkarma) ciddi risk azaltma sağlanır. Bu adımlar saldırının yatay yayılma hızını dramatik biçimde düşürür ve "tek bir admin hesabı tüm ağı çökertti" senaryosunu büyük ölçüde önler.
Yamanlar Bilişim olarak KOBİ ölçeğine uygun, kademeli ve operasyonel olarak işlenebilir PAM uygulamaları tasarlıyor; admin hesabınızı saldırganın değil, sizin kontrolünüzde tutuyoruz.
Sıkça Sorulan Sorular
KOBİ olarak tam PAM çözümü pahalı, ne yapmalıyım?
Tam PAM yatırımı yapmadan önce yukarıdaki sade başlangıç planı nı uygulamak ciddi fark yaratır: paylaşımlı hesapların ayrılması, parola kasası, MFA, domain admin günlük kullanımdan çıkması — bu adımlar yıllık birkaç bin TL maliyetle PAM faydasının büyük kısmını sağlar. Tam PAM çözümünü ölçek büyüdüğünde planlayabilirsiniz.
Parola kasası tek başına PAM mıdır?
Hayır, sadece bir bileşenidir (vault). Tam PAM ek olarak oturum kaydı, JIT yetki, denetim raporları, anomali tespiti içerir. Ancak parola kasası KOBİ için çok değerli bir başlangıç — Bitwarden, 1Password gibi düşük maliyetli çözümler hızla devreye alınır.
Domain admin hesabını günlük kullanmamak operasyonel olarak zor olmaz mı?
İlk hafta zorlanma normaldir, sonrasında alışkanlık olur. Modern Windows ta Run as administrator akışı saniyeler sürer; Linux ta sudo aynı işi görür. Domain admin hesabı sadece gerçek admin işleri için (yeni sunucu kurma, AD politika değişikliği) kullanılır — günlük tarayıcı/e-posta için değil.
MFA SMS yeterli mi yoksa donanım anahtarı şart mı?
Hassas hesaplar için donanım anahtarı (FIDO2) veya en azından authenticator uygulaması önerilir. SMS, SIM swap saldırılarına ve mobil şebeke aracı saldırılarına karşı zayıftır. Ancak MFA olmamasından çok daha iyi olduğu için SMS de geçici çözüm olarak değerlendirilebilir.
PAM çözümünü tedarikçi/dış IT firmasıyla nasıl entegre ederim?
Tedarikçi erişimi PAM in en kritik kullanım senaryolarından biri. Tedarikçi PAM portalına bir hesapla bağlanır, ihtiyacı olan sunucuya talep açar, siz onaylarsınız, oturum başlar — tüm hareket kaydedilir. Tedarikçi parolayı asla görmez; siz iletmek zorunda kalmazsınız. Tedarikçi sözleşmeleri PAM kullanımını şart koşacak şekilde güncellenebilir.
PAM kurulumu sonrası eski parolaları tüm sunuculardan değiştirmem gerekir mi?
Evet, mutlaka. PAM aktif olduğu anda tüm ayrıcalıklı parolalar yeniden setlenir — eski parolalar PAM kasasındaki yenisiyle eşleşmez. Bu süreç PAM çözümü tarafından otomatize edilir; manuel olarak 50 sunucuya tek tek girmek gerekmez. PAM tarafından discovery + onboarding akışı eski parolaları toplar ve yenisiyle değiştirir.
Yazar
Serdar
Yamanlar Bilişim Uzmanı
Yamanlar Bilişim bünyesinde IT altyapısı, siber güvenlik ve dijital dönüşüm konularında içerikler üretmektedir. Sorularınız için iletişime geçebilirsiniz.
Profesyonel Destek
Bu konuda destek alın
Siber Güvenlik alanında ihtiyaç duyduğunuz çözümü birlikte tasarlayalım. Uzman ekibimiz 1 iş günü içinde size geri döner.
support@yamanlarbilisim.com.tr · Yanıt süresi: 1 iş günü
Devamını Oku
İlgili Makaleler
Insider Threat: KOBİ'lerde İçeriden Tehdit Tespiti
İçeriden tehdit (insider threat) nedir, KOBİ'lerde tespit yöntemleri, ayrılan çalışan, ihmal ve kasıtlı kötü niyet senaryoları.
NDR (Network Detection & Response) KOBİ'ye Gerekir mi?
Network Detection & Response (NDR) nedir, EDR ve SIEM'den farkı, KOBİ ölçeğinde gerekli olup olmadığı ve uygun çözümlerin değerlendirilmesi.
Web Filtreleme ve URL Kontrolü: KOBİ Ofisi İçin Politika
KOBİ ofisinde web filtreleme politikası tasarımı, URL kategori yönetimi, çalışan üretkenliği ile güvenlik dengesi ve KVKK uyumu.