Genel bakış

Şirket ağlarında belirli çevrimiçi platformlara erişim sağlanması veya engellenmesi, hem teknik hem de politika boyutunda planlama gerektirir. Bu rehber Gamben erişimini yönetmek isteyen BT yöneticilerine ve güvenlik ekiplerine yönelik pratik adımlar, proxy ve firewall yaklaşım farkları, erişim politikası örnekleri ve uygulama kontrol listeleri sunar.

Neden erişim yönetimi gerekir?

• İşletme hedefleri: Verimlilik ve kurumsal kabul görmüş kullanım sınırlarının korunması.
• Ağ ve kaynak yönetimi: Bant genişliği, önceliklendirme ve hizmet kalitesinin korunması.
• Güvenlik ve gözlemlenebilirlik: Trafiğin denetlenmesi, kim kimdir bilgisinin doğrulanması ve olağandışı etkinliklerin tespiti.
• Uyumluluk ve veri koruması: Log tutma, erişim kayıtları ve kişisel verilerin korunması politikalarına uygunluk.

Kontrollerin kısa karşılaştırması

Temel teknik seçenekler proxy ve firewall araçlarıdır; her ikisi de farklı avantajlar sunar:

• Proxy (ileri/çıkarıcı): URL bazlı filtreleme, kullanıcı kimliğiyle eşleme, zaman bazlı erişim ve içerik önbellekleme sağlar. Kullanıcı düzeyinde politika uygulamak için uygundur.
• Firewall / NGFW: IP, port, FQDN ve uygulama düzeyinde kontrol sağlar. Ağ segmentasyonu, uygulama tanıma (L7) ve zamanlama kuralları ile daha geniş erişim kontrolü sunar.

Proxy ile erişim yönetimi: ne, neden ve nasıl

Proxy sunucuları; kullanıcı kimliği, hedef domain, URL paterni ve zaman dilimleri gibi kriterlerle ayrıntılı izinler uygulayabilir. Kurum içi kimlik kaynaklarıyla (ör. Active Directory) entegrasyon, kimlik tabanlı ACL'ler oluşturmayı kolaylaştırır.

Öne çıkan uygulamalar

• Domain ve yol (path) bazlı erişim listeleri oluşturun (örnek: yalnızca ana domain / belirli alt dizinlere izin).
• Kullanıcı ve grup bazlı kurallar tanımlayın; iş ihtiyaçlarına göre 'istisna grupları' oluşturun.
• Zaman bazlı erişim uygulayın (sadece öğle arası, belirli saat aralığı vb.).
• Şeffaf proxy yerine kimlik doğrulamalı proxy tercih edin; böylece erişim kayıtları doğrudan kişiye bağlanır.

TLS (HTTPS) trafiği ve gizlilik

HTTPS trafiğinin içeriğini değerlendirmek için bazı ortamlarda TLS araya girme (inspection) tercih edilir. Bu yaklaşım, uçtan uca gizliliği etkileyebilir ve organizasyonunuzun gizlilik politikaları ile mevzuat gereksinimleri çerçevesinde ele alınmalıdır. TLS araya girme kararı almadan önce paydaşlarla onay, kullanıcı bilgilendirmesi ve kayıt politikasını netleştirin.

Firewall ve NGFW stratejileri

Firewall tarafında klasik IP/port kontrollerinin ötesine geçmek faydalıdır. NGFW çözümleri uygulama tanıma, SNI bazlı filtreleme ve başka katmanlarda daha ince kontrol sağlar.

Pratik kurallar ve öneriler

• Çok genel bloklamalar yerine hedefe yönelik kurallar oluşturun (ör. yalnızca belirli FQDN veya SNI değerlerine izin verin).
• Ağ segmentasyonu ile erişimi iş birimi ve risk düzeyine göre sınırlandırın.
• Zaman bazlı ve lokasyon bazlı kuralları kombinleyerek esneklik sağlayın (ör. ofis ağına bağlıyken farklı, misafir ağına bağlıyken farklı politika).
• Uygulama belirleme (App-ID) ve içerik denetimi özelliklerini, iş gereksinimleriyle uyumlu şekilde etkinleştirin.

Erişim politikaları ve yönetişim

Teknik kontroller kadar önemli olan kurallar ve süreçlerdir. Bu bölümde uygulaması kolay bir erişim yönetim çerçevesi sunuluyor.

Temel politika öğeleri

• Kapsam: Hangi kullanıcılar, hangi cihazlar ve hangi ağ segmentleri kapsamda?
• İzin yöntemi: Varsayılan olarak engelle (deny-by-default) veya izin-ver (allow-by-default) mantığına karar verin.
• İstisna süreci: Başvuru, onay, süresiz/süreli izin ayrımı ve periyodik yeniden gözden geçirme süreçleri olmalı.
• İzleme & kayıt: Hangi logların tutulacağı, saklama süresi ve erişim yetkileri açıkça tanımlanmalı.

Örnek kısa AUP maddesi

"Şirket ağı üzerindeki dış hizmetlere erişim, iş amaçlarına uygunluk, güvenlik ve şirket politikaları çerçevesinde denetlenir. Özel izin gerektiren durumlarda ilgili onay süreçleri işletilir; yetkisiz erişim talepleri reddedilebilir."

Uygulama adım adım: kontrol listesi

1. Envanter: Erişime konu olan domainleri, IP aralıklarını ve ilgili alt hizmetleri listeleyin.
2. Risk değerlendirmesi: Bant genişliği, iş etkisi ve gizlilik açılarından sınıflandırma yapın.
3. Politika tasarımı: Kullanıcı grupları, zaman kuralları, istisna süreçleri ve log gereksinimlerini belirleyin.
4. Teknik konfigürasyon: Proxy ve firewall kurallarını test ortamında uygulayıp doğrulayın.
5. Pilot ve yaygınlaştırma: Küçük bir kullanıcı grubuyla pilot çalışması yapın, geri bildirimleri toplayın.
6. İzleme: SIEM/Log sunucularını bağlayın, uyarı eşiği ve raporlama düzenlerini oluşturun.
7. İnceleme: Periyodik olarak politika ve teknik kuralları gözden geçirin.

Konfigürasyon örnekleri (uygulama düzeyinde şablonlar)

Aşağıdaki satırlar ürün bağımsız, şablon niteliğindedir; ortamınıza göre uyarlayın.

• Proxy ACL örneği (mantık): "acl gamben_domains dstdomain .gamben.com" + "http_access allow GROUP_GAMBEN gamben_domains during_work_hours"
• Firewall kuralı örneği (mantık): "Allow TCP 443 to gamben.com for AD group 'GambenAccess' between 09:00-17:00; log=yes"
• Zaman bazlı kural: "BusinessHours: 08:30-18:00; ApplyGroup: Developers, Marketing; Action: Allow"

İzleme ve alarmlar

Olağandışı etkinlikleri tespit etmek için aşağıdaki sinyaller faydalıdır:

• Sıradışı saatlerde artan bağlantı sayısı veya bant genişliği kullanımı.
• Belirlenen grup veya IP adresinin olağan dışı sayıda erişim isteği göndermesi.
• İstisna taleplerinde sık tekrarlayan onay süreçleri veya reddedilen talepler.

Bu tür durumlara otomatik uyarı kuralları atayın ve ilgili ekiplerin müdahale süreçlerini belirleyin.

İstisna yönetimi ve kullanıcı süreçleri

İstisnalar kontrollü olmalıdır. Önerilen süreç adımları:

• Başvuru: İş gerekçesi, süre ve erişim kapsamı ile talep gönderilsin.
• Onay: İlgili yöneticinin ve bilgi güvenliği sorumlusunun onayı alınsın.
• Geçerlilik: İzinler süreli verilsin; süresi dolan izinler otomatik olarak iptal edilsin.
• Denetim: İstisnalar düzenli aralıklarla gözden geçirilsin.

Sık karşılaşılan sorunlar ve çözümleri

• Dinamik IP/CDN kullanımına bağlı erişim zorluğu: FQDN veya SNI bazlı kurallar kullanarak çözümleyin; IP tabanlı bloklamalar yerine domain yaklaşımını tercih edin.
• TLS / sertifika uyumsuzlukları: Araya giren TLS çözümleri bazı istemcilerde bağlantı sorununa neden olabilir; öncelikle pilot uygulama yapın ve kullanıcı bilgilendirmesi yapın.
• Önbellekleme ve güncel içerik: Proxy önbelleği eski içerik sunuyorsa cache politikalarını gözden geçirin.

Gizlilik, kayıt politikası ve uyumluluk

Loglama kararları veri koruma düzenlemeleri ve şirket içi gizlilik politikaları ile uyumlu olmalıdır. Kişiye bağlanabilen kayıtlar saklanırken erişim yetkileri, saklama süreleri ve silme prosedürleri net olmalıdır. Bu alanda tereddüt varsa hukuk veya uyumluluk birimi ile koordinasyon önerilir.

Özet ve öneriler

Kurum içi Gamben erişimini yönetirken hem teknik hem de idari kontrollerin birlikte planlanması gerekir. Önerilen yaklaşım: ilk olarak kapsamlı bir envanter ve risk sınıflandırması yapın; ardından proxy ve firewall kombinasyonuyla kimlik-temelli kurallar oluşturun; istisna süreçlerini belgeleyin ve izleme ile periyodik denetimler ile sistemi canlı tutun.

Sıkça sorulan sorular

S1: Gamben erişimini tamamen engellemek mi, kısıtlamak mı daha iyi?

Bu karar organizasyonun iş hedefleri, bant genişliği yönetimi ve uyumluluk gereksinimlerine bağlıdır. Çoğu kurum için en iyi uygulama, varsayılan engelleme ve iş gerekçesine dayalı kontrollü izin sürecidir.

S2: TLS trafiğini araya almak gerektiğinde nelere dikkat etmeliyiz?

TLS araya girme gizlilik ve uyumluluk etkileri doğurabilir. Kullanıcı bilgilendirmesi, açık onay süreçleri, uygun sertifika dağıtımı ve test ortamında kapsamlı denemeler gereklidir.

S3: Hangi loglar mutlaka tutulmalı?

Minimum olarak kimlik bilgisi (kim erişti), hedef domain/FQDN, zaman damgası ve trafik hacmi kayıt altında tutulmalıdır. Kayıt saklama süreleri ve erişim yetkileri politika ile belirlenmelidir.

S4: İstisnalar ne kadar süreyle verilmelidir?

Varsayılan olarak süreli izinler (ör. birkaç hafta veya proje süresi kadar) ve periyodik yeniden onay en iyi uygulamadır. Süresiz izinlerden kaçınmak önerilir.

Ek kaynak ve sonraki adımlar

Bu kılavuz operasyonel bir başlangıç sağlar. Kurumunuz için uygulamaya geçmeden önce test ortamında konfigürasyonları doğrulayın ve ilgili yöneticiler ile gizlilik/uyumluluk ekiplerini dahil edin.