Siber Güvenlik

Authorization – Yetkilendirme

  • 02/04/2025
  • Yorum 0
Authorization – Yetkilendirme

Yetkilendirme (authorization), bir kullanıcının veya sistem bileşeninin belirli kaynaklara veya işlevlere erişim seviyesini belirleyen güvenlik sürecidir. Yetkilendirme, genellikle kimlik doğrulama (authentication) sonrasında devreye girer ve kullanıcının hangi işlemleri gerçekleştirebileceğini belirler. Yetkilendirme mekanizması olmadan, tüm doğrulanmış kullanıcılar aynı erişim seviyesine sahip olur ki bu da ciddi güvenlik risklerine yol açabilir.

Authorization Teknolojisi Ne Tür Sistemlerde Kullanılabilir?

  • İşletim sistemleri (Windows, macOS, Linux)

  • Veri tabanları ve dosya sistemleri

  • Kurumsal bilgi sistemleri (ERP, CRM vb.)

  • Bulut tabanlı uygulamalar (Google Drive, AWS, Azure vb.)

  • Ağ ve güvenlik cihazları (yönlendiriciler, güvenlik duvarları vb.)

  • API’ler ve mikro hizmet mimarileri

Authorization Teknolojisinin Tarihçesi

Yetkilendirme süreçleri, bilgisayar ağlarının ilk geliştiği 1970’lerden itibaren kullanılsa da, sistematik olarak uygulanması 1980’lerde kurumsal sistemlerde başladı.

  • 1990’lar → Erişim Kontrol Listeleri (ACL – Access Control List) yaygınlaştı.

  • 2000’ler → Rol Tabanlı Erişim Kontrolü (RBAC – Role-Based Access Control) kurumsal sistemlerde standarda dönüştü.

  • 2010’lar → Öznitelik Tabanlı Erişim Kontrolü (ABAC – Attribute-Based Access Control) gelişti.

  • Günümüz → Sıfır güven (Zero Trust) ve yapay zeka destekli erişim politikaları, yetkilendirme sistemlerini daha güvenli ve esnek hale getirmektedir.

Yetkilendirme Türleri

Yetkilendirme yöntemleri, farklı güvenlik gereksinimlerine göre şekillenir. En yaygın yetkilendirme türleri şunlardır:

  • Statik Yetkilendirme (Static Authorization)

    • Kullanıcılara sabit erişim izinleri atanır.

    • Örnek: Bir çalışan, sadece belirli klasörlere erişebilir.

  • Dinamik Yetkilendirme (Dynamic Authorization)

    • Kullanıcının bağlamsal verilerine (konum, cihaz, saat vb.) göre erişim izni verilir.

    • Örnek: Bir çalışan, şirket ağı dışından bağlandığında ek güvenlik doğrulaması gerektirebilir.

  • Rol Tabanlı Yetkilendirme (RBAC – Role-Based Access Control)

    • Kullanıcılara roller atanır ve erişim yetkileri roller üzerinden tanımlanır.

    • Örnek: “Yönetici” rolündeki kullanıcılar tüm verilere erişebilirken, “Personel” rolündekiler sadece kendi bölümlerindeki verilere erişebilir.

  • Öznitelik Tabanlı Yetkilendirme (ABAC – Attribute-Based Access Control)

    • Kullanıcının kimlik bilgileri, erişim isteğinin zamanı ve ortam koşulları gibi öznitelikler dikkate alınarak erişim izni verilir.

    • Örnek: Bir çalışanın müşteri bilgilerine erişebilmesi için hem “Satış Departmanı” çalışanı olması hem de ofis içinde bulunması gerekmektedir.

  • Politika Tabanlı Yetkilendirme (PBAC – Policy-Based Access Control)

    • Sistem yöneticileri tarafından önceden belirlenen kurallar doğrultusunda erişim kontrol edilir.

    • Örnek: Bir uygulamanın belirli bir saat diliminde erişime kapatılması.

Alternatif Yetkilendirme Teknolojileri

Yetkilendirme sürecinde farklı modeller kullanılabilir:

  • Erişim Kontrol Listeleri (ACL – Access Control List) → Her kaynak için kimlerin erişebileceğini tanımlar.

  • Yetkilendirme İşaretleri (OAuth, JWT, SAML) → Web ve bulut tabanlı sistemlerde kullanılır.

  • Delegasyon Yetkilendirme (Delegated Authorization) → Kullanıcıların belirli işlemleri başka kullanıcılara devretmesine olanak tanır.

Yetkilendirme Olmayan Sistemlerde Olası Güvenlik Riskleri

  • Yetkisiz Erişim → Düşük yetkiye sahip kullanıcılar, kritik sistemlere erişebilir.

  • Veri İhlali → Hassas bilgiler yetkisiz kişiler tarafından görülebilir veya değiştirilebilir.

  • İç Tehditler → Çalışanlar veya sistem yöneticileri, erişimleri kötüye kullanabilir.

  • Hizmet Kesintisi → Kötü niyetli bir kişi, yetkisi olmadan sistem kaynaklarını aşırı yükleyerek hizmeti durdurabilir.

Örnek Senaryo

Bir banka sisteminde, müşteri temsilcileri sadece kendi müşteri bilgilerini görüntüleyebilirken, yöneticiler tüm müşteri verilerine erişebilir. Ancak yetkilendirme mekanizması düzgün yapılandırılmamışsa, bir müşteri temsilcisi yöneticilere ait erişim haklarını kullanabilir ve yetkisiz olarak sistemde değişiklik yapabilir.

Bu durumun önüne geçmek için RBAC veya ABAC gibi yetkilendirme mekanizmaları kullanılmalıdır.

Sonuç

Yetkilendirme, siber güvenliğin temel bileşenlerinden biridir. RBAC, ABAC ve PBAC gibi modern yetkilendirme yöntemleri, sistemleri daha güvenli hale getirmek için kullanılmalıdır.

Yetkilendirme mekanizmalarının güçlü bir şekilde uygulanması:

  • Veri güvenliğini artırır.

  • İç tehditleri önler.

  • Yetkisiz erişimleri engeller.

  • Sistem yönetimini kolaylaştırır.

Siber güvenliğin geleceğinde:

  • Yapay zeka destekli yetkilendirme

  • Dinamik erişim politikaları

  • Sıfır güven modelleri

yetkilendirme süreçlerini daha da ileriye taşıyacaktır.

Access Control List (ACL) - Erişim Kontrol Listesi
Authentication - Kimlik Doğrulama