IAM (Kimlik ve Erişim Yönetimi) nedir? — Bilgi Güvenliği Sözlüğü

Kimlik & Erişim

IAM (Kimlik ve Erişim Yönetimi)

👤 Güvenlik Uzmanı★ 1/3⏱ 5 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Bir saldırının büyük çoğunluğu çalınan veya kötü yönetilen kimlik bilgileriyle başlar — bu yüzden modern güvenliğin yeni çevresi (perimeter) artık kale duvarı değil, kimliğin kendisidir.

Anlatım

NEDİR? IAM (Identity and Access Management — Kimlik ve Erişim Yönetimi), bir kurumdaki doğru kişilerin (ya da makinelerin/servislerin) doğru kaynaklara, doğru zamanda ve doğru gerekçeyle erişmesini sağlayan politika, süreç ve teknolojiler bütünüdür. İki temel soruyu yanıtlar: "Sen kimsin?" (Authentication / Kimlik Doğrulama) ve "Ne yapmana izin var?" (Authorization / Yetkilendirme). IAM aynı zamanda bir kullanıcının işe alımdan ayrılışına kadar olan tüm dijital kimlik yaşam döngüsünü yönetir. NASIL ÇALIŞIR? IAM tipik olarak şu adımlarla işler: 1) Identification (Tanımlama): Kullanıcı bir kimlik beyan eder (örn. kullanıcı adı, e-posta). 2) Authentication (Doğrulama): Beyan edilen kimlik kanıtlanır — parola, MFA kodu, biyometri veya sertifika ile. 3) Authorization (Yetkilendirme): Doğrulanan kimliğe, rol ve politikalara göre hangi kaynaklara erişebileceği belirlenir (örn. RBAC — rol tabanlı erişim). 4) Access (Erişim): Kullanıcıya yalnızca yetkili olduğu kaynaklar açılır. 5) Audit (Denetim): Kim, neye, ne zaman eriştiği günlüklenir ve izlenir. Merkezi bir dizin servisi (örn. Active Directory, LDAP, bulut kimlik sağlayıcı) tüm bu kimlikleri ve politikaları tek noktadan yönetir; SSO (Tek Oturum Açma) ile kullanıcı bir kez giriş yapıp birçok uygulamaya erişebilir. NEDEN ÖNEMLİ / İŞ YERİNDE IAM, sızıntıların en yaygın başlangıç noktası olan kimlik bilgisi kötüye kullanımını engellemenin temelidir. İş yerinde IAM sayesinde: yeni çalışan göreve başladığında erişimleri otomatik tanımlanır (provisioning); departman değiştirince hakları güncellenir; işten ayrıldığında tüm erişimleri anında kapatılır (deprovisioning — "hayalet hesap" riski ortadan kalkar). Ayrıca KVKK/GDPR, ISO 27001 ve SOC 2 gibi uyumluluk denetimlerinin "kim neye erişebilir?" sorusuna kanıt sunar. DİKKAT / İYİ UYGULAMA • En Az Yetki İlkesi (Least Privilege): Herkese yalnızca işini yapacak kadar yetki verin, fazlasını değil. • MFA'yı zorunlu kılın: Özellikle yönetici (privileged) hesaplarda çok faktörlü doğrulama şarttır. • Periyodik erişim gözden geçirmesi (access review): Kullanılmayan veya gereğinden fazla yetkiyi düzenli olarak temizleyin. • Görevler ayrılığı (Segregation of Duties): Tek bir kişide riskli yetki birikimini önleyin. • Ayrılan personelin erişimini gecikmeden kapatın — bekleyen hesaplar saldırganlar için açık kapıdır.

📌 Senaryolar

📌 Örnek 1: İşe alım ve işten ayrılma (Joiner-Mover-Leaver) yaşam döngüsü.
  Açıklama: Bir şirkete yeni katılan muhasebe çalışanına IAM sistemi otomatik olarak ERP, e-posta ve dosya paylaşımına erişim verir (Joiner). Çalışan satış departmanına geçince eski muhasebe yetkileri kaldırılıp yeni roller atanır (Mover). İşten ayrıldığında ise IAM, İK sistemiyle entegre çalışarak tüm hesaplarını aynı gün devre dışı bırakır (Leaver). Bu otomasyon, yıllarca açık kalan ve saldırıya zemin hazırlayan 'hayalet hesapları' önler.

📌 Örnek 2: SSO (Tek Oturum Açma) ile çalışan deneyimi ve güvenliğin birleşmesi.
  Açıklama: Bir kurumda çalışan, sabah bir kez kurumsal kimliğiyle giriş yapar; ardından e-posta, CRM, İK portalı ve bulut depolama gibi onlarca uygulamaya tekrar parola girmeden erişir. IAM, arka planda SAML veya OIDC protokolleriyle güvenli kimlik bilgisi (token) alışverişi yapar. Sonuç: daha az parola = daha az zayıf/tekrar kullanılan parola riski ve daha kolay merkezi denetim.

📌 Örnek 3: Least Privilege (En Az Yetki) ile bir ihlalin sınırlandırılması.
  Açıklama: Bir saldırgan, kimlik avı (phishing) ile bir destek personelinin hesabını ele geçirir. Ancak IAM'de en az yetki ilkesi uygulandığı için bu hesabın yalnızca müşteri kayıtlarını görüntüleme izni vardır; veritabanını silme veya finans sistemine erişme yetkisi yoktur. Böylece ihlalin etkisi (blast radius) en aza iner. Aynı hesap aşırı yetkili (admin) olsaydı, tüm kurum tehlikeye girerdi.

Özet

• IAM = doğru kişinin doğru kaynağa doğru zamanda erişmesini sağlayan kimlik ve erişim yönetimidir. • Üç temel taşı: Kimlik Doğrulama (kimsin?), Yetkilendirme (ne yapabilirsin?) ve Denetim (ne yaptın?). • Kimlik yaşam döngüsünü (provisioning → değişiklik → deprovisioning) merkezî olarak yönetir; ayrılan personelin hesabı anında kapanır. • En iyi uygulamalar: En Az Yetki, zorunlu MFA, periyodik erişim gözden geçirme ve görevler ayrılığı.

✅ Mini-Test (5)

1.IAM (Kimlik ve Erişim Yönetimi) temelde hangi iki soruyu yanıtlar?

2.Bir çalışan işten ayrıldığında IAM açısından en kritik adım hangisidir?

3.En Az Yetki İlkesi (Least Privilege), kullanıcılara işlerini yapmaları için gereken minimum erişimin verilmesi, fazlasının verilmemesi anlamına gelir.

4.SSO (Tek Oturum Açma) IAM kapsamında hangi faydayı sağlar?

5.Authentication (kimlik doğrulama) ile Authorization (yetkilendirme) aynı şeydir ve birbirinin yerine kullanılabilir.

← Tüm sözlük terimleri · Farkındalık eğitimi