Ağ Cihazlarına Erişim Kontrolünü Yeniden Ele Alın: Ağ Altyapısı İçin PAM Yaklaşımı

Dijital altyapının her işletmenin, kamu kurumunun ve servis sağlayıcının bel kemiği haline geldiği günümüzde, ağ erişiminin güvenliğini sağlamak artık “güzel bir önlem” değil, doğrudan hayati bir gereklilik. Cisco ISE gibi geleneksel NAC (Ağ Erişim Kontrolü) çözümleri yıllar boyunca belli bir işlevi yerine getirdiyse de, modern, kimlik odaklı tehditler karşısında yetersizlikleri gün yüzüne çıkmaya başladı.

Kurumlar hibrit bulut modellerini, çoklu üretici yapıları ve küresel ölçekte dağılmış ekipleri benimsedikçe, ağ cihazları için Ayrıcalıklı Erişim Yönetimi (Privileged Access Management – PAM) yeni bir standart olarak öne çıkıyor. Ve bu dönüşümün öncüsü ise Kron PAM. Yerleşik TACACS+, RADIUS, entegre çok faktörlü kimlik doğrulama (2FA), ayrıntılı yetkilendirme ve yüksek ölçeklenebilirlik gibi yetenekler, Kron PAM’in temelinde yer alıyor.

Bu blog, Kron PAM’in neden yalnızca Cisco ISE’ye bir alternatif değil, aynı zamanda yeni nesil bir güvenlik geliştirmesi olduğunu detaylarıyla ele alıyor.

Geleneksel NAC'den “Ağ İçin PAM” Modeline Geçiş

Klasik NAC araçları genellikle uç nokta erişimini yönetmeye odaklanırdı — yani bir cihazın ağa bağlanıp bağlanamayacağı, sağlık durumu, lokasyonu veya uyumluluğuna göre belirlenirdi. Bu model, altyapılar merkeziyken ve erişim noktaları sınırlıyken işe yarıyordu. Ancak günümüzde tablo çok daha karmaşık:

• Uzaktan çalışan yöneticiler, dünyanın dört bir yanından çekirdek yönlendiricilere erişiyor.
• Dış kaynaklı mühendisler, omurga altyapısını uzaktan yönetiyor.
• Farklı üreticilere ait binlerce cihaz, aynı ağ ortamında eş zamanlı olarak çalışıyor.

Bu bağlamda “kim girebilir” sorusunu yanıtlamak sadece başlangıç. Asıl mesele, içeri girdikten sonra ne yaptığını yönetebilmek.

İşte geleneksel NAC çözümleri bu noktada yetersiz kalıyor. Oturumları bireysel kimliklerle ilişkilendirmezler. Ayrıcalıklı CLI (komut satırı) oturumlarında ne olduğunu kaydetmezler. Cihaz bazında veya komut bazında detaylı yetkilendirme sunmazlar. Ve en önemlisi, Zero Trust gibi modern güvenlik modellerini uygulayamazlar. Bu modelde hiçbir erişim varsayımsal değildir ve tüm eylemler izlenir, doğrulanır.

Kron PAM: Modern Ağ Altyapılarına Özel Tasarlandı

Kron PAM, geleneksel NAC sistemlerinin eksiklerini gidermek üzere sıfırdan tasarlanmıştır. Sadece IT sistemlerine (örneğin Windows sunucularına veya veritabanlarına) odaklanan klasik bir PAM değildir. Kron PAM, yönlendiriciler, anahtarlar, güvenlik duvarları, telekom ekipmanları ve mobil omurga bileşenleri gibi ağ altyapısı için özel olarak geliştirilmiştir.

Peki Kron PAM’i farklı kılan neler? Gelin birlikte bakalım.

Yerleşik TACACS+ ve RADIUS Sunucuları

Pek çok NAC ve PAM çözümünün aksine, Kron PAM harici AAA (Authentication, Authorization, Accounting) servislerine bağımlı değildir. TACACS+ ve RADIUS protokolleri ürünün içine entegre edilmiştir, bu da tüm büyük ağ üreticileriyle kesintisiz AAA entegrasyonu sağlar.

Bu sayede:

• Kimlik doğrulama, güçlü şekilde denetlenir ve kullanıcı kimliğiyle birebir eşleştirilir.
• Yetkilendirme, komut seviyesine kadar özelleştirilebilir (örneğin, bir kullanıcıya yönlendiriciyi yeniden başlatma izni verilirken, yönlendirme tablolarını değiştirme yetkisi verilmez).

Hesaplama (accounting) bilgileri ayrıntılı şekilde kayıt altına alınır ve SIEM ya da log analiz sistemlerine aktarılabilir.

Active Directory ve Entra ID ile Uyumlu Kimlik Yönetimi

Her güçlü ayrıcalıklı erişim çözümünün temelinde, kurumsal kimlik altyapılarıyla entegrasyon yer alır. Kron PAM, bu ihtiyacı doğrudan karşılar. Microsoft Active Directory (AD) ve Entra ID (eski adıyla Azure AD) ile kutudan çıkar çıkmaz entegre çalışır.

Yöneticiler, AD veya Entra ID üzerindeki kullanıcıları ve grupları doğrudan Kron PAM'e aktarabilir. Böylece kullanıcı verilerini yeniden oluşturmak veya ayrı bir kullanıcı veritabanı yönetmek zorunda kalmazlar. Aktarılan gruplara göre rol tabanlı politikalar tanımlanabilir.

Örneğin, “Network Engineers” grubundaki bir kullanıcıya çekirdek ağ katmanındaki cihazlara tam erişim verilebilirken, “Contractor-Access” grubundaki bir kullanıcıya yalnızca "show" komutlarını çalıştırma izni tanımlanabilir.

Kullanıcılar ağa erişim sağlarken kendi kurumsal kimlik bilgilerini (örneğin, e-posta veya VPN giriş bilgileri) kullanır. Bu sayede hem kullanıcı deneyimi sadeleşir hem de tüm erişimler doğrulanmış bir kimlikle ilişkilendirilir.

Şifresiz Giriş ve SSH Anahtar Yönetimi

Kron PAM, ayrıca şifre girmeden oturum açma ve SSH anahtarıyla kimlik doğrulama yetenekleriyle öne çıkar. Entegre Session Manager aracılığıyla, kullanıcıların cihazlara erişmesi için karmaşık parolalar veya statik bilgiler paylaşmasına gerek kalmaz.

Session Manager, kullanıcı adına kimlik doğrulamasını gerçekleştirir. SSH anahtarları veya kimlik bilgileri geçici olarak enjekte edilir — hiçbir zaman kalıcı olarak saklanmaz veya tekrar kullanılmaz. Tüm oturumlar kayıt altına alınır ve denetlenebilir.

Bu yapı sayesinde:

• Güvenlik: Kimlik bilgileri ortadan kaldırılır, sızıntı riski azalır ve her erişim denetlenebilir hale gelir.
• Kullanılabilirlik: Kullanıcılar hedef cihaza tek tıklamayla ya da CLI üzerinden hızlıca erişebilir; parola ya da anahtar kopyalama ihtiyacı ortadan kalkar.

LDAP, SAML, AD, Entra ID ya da Kron’un kendi dizin servisi fark etmeksizin tüm kimlik doğrulama işlemleri güvenli ve akıcı biçimde yürütülür.

TACACS+ için Yerleşik 2FA Desteği

Kron PAM’in en yenilikçi özelliklerinden biri, 2FA (çok faktörlü kimlik doğrulama) desteğini TACACS+ gibi geleneksel olarak bu özelliğe sahip olmayan protokollere entegre etmesidir. Dahili 2FA sunucusu sayesinde, komut satırı (CLI) oturumlarında bile çok faktörlü doğrulama zorunlu hale getirilebilir.

Bu, gerçek anlamda bir paradigma değişimidir. TACACS+ protokolü güçlü kontrol sunar, ancak 2FA desteği olmaması önemli bir zayıflıktı. Kron PAM bu açığı kapatarak, Zero Trust güvenlik modelini CLI oturumlarına taşır.

Granüler Yetkilendirme ve AVP Yönetimi

Kron PAM, Attribute-Value Pair (AVP) tanımlamaları ve komut bazlı politika uygulamaları ile yönetici erişimlerini en ince detayına kadar kontrol etmenizi sağlar. Örneğin:

• Dış kaynaklı bir kullanıcının yalnızca “show” komutlarını çalıştırmasına izin verebilir,
• Bir stajyer yöneticinin “conf t” komutunu çekirdek cihazlarda kullanmasını engelleyebilirsiniz.

Bu seviye özelleştirme, özellikle aşağıdaki senaryolarda kritik fayda sağlar:

• Telekom firmalarında dış kaynaklı bakım ekipleri
• Enerji sektöründe üçüncü taraf entegratörler
• Büyük kurumsal yapılarda segmentlere ayrılmış ağ mimarileri

Ajan Gerektirmeyen, Çoklu Üretici Destekli Mimari

Kron PAM tamamen ajansız (agentless) çalışır. Yani ağ cihazlarına herhangi bir yazılım yüklenmesine gerek yoktur. Bu, özellikle şu ortamlarda büyük avantaj sağlar:

• Eski sistemler veya ajan yazılımı yüklenemeyen cihazlar
• Kaynakları sınırlı donanımlar
• Değişiklik yönetiminin sıkı olduğu düzenlemeli sektörler

Cisco, Huawei, Nokia, ZTE, Ericsson gibi tüm büyük üreticilere destek sunar.

Gerçek Zamanlı Oturum Takibi, Kayıt ve Denetim

Kron PAM, ayrıcalıklı tüm oturumları tuş vuruşuna kadar kayıt altına alır. Oturumlar hem video hem metin formatında izlenebilir. Ayrıca:

• Gerçek zamanlı olarak takip edilir
• Politika motorlarıyla filtrelenir
• SIEM sistemlerine aktarılır ve korelasyon yapılabilir

Bu, yalnızca güvenliği artırmakla kalmaz, aynı zamanda olay müdahalesi ve denetim süreçlerini de büyük ölçüde kolaylaştırır.

Gerçek Ölçekte Kanıtlanmış Ölçeklenebilirlik

Teoride ölçeklenebilirlikten bahsetmek kolaydır. Ama bunu pratikte kanıtlamak çok daha değerlidir.

EMEA bölgesindeki en büyük telekom operatörlerinden biri, 40 milyon aboneye hizmet veren ağında 160.000’den fazla cihaz için erişim yönetimini Kron PAM ile gerçekleştirdi. Çok kıtaya yayılan altyapı, 5 farklı üreticiden donanım içeriyor ve operasyonel ekipler için milisaniyelik yanıt süreleri gerekiyordu.

Kron PAM bunu kolayca yönetti. Yük dengeleme destekli dağıtık mimarisiyle, her düğüm saniyede 5.000+ işlem gerçekleştirebiliyor. Tüm yöneticiler Active Directory kimlik bilgileriyle giriş yapabiliyor, politikalar merkezi olarak uygulanabiliyor.

Bu bir laboratuvar testi değil — bu, gerçek dünyada ispatlanmış bir ölçeklenebilirlik örneğidir.

Uyumluluk Odaklı Mimari

Kron PAM, en baştan itibaren mevzuat ve standartlara uyumluluk için tasarlanmıştır. Aşağıdaki çerçeveleri doğrudan destekler:

• NIST 800-53, ISO 27001: Kimliğe bağlı oturum kayıtları
• PCI DSS 4.0: Ayrıntılı erişim kontrolü ve görev ayrımı
• CIS Controls v8: Merkezi loglama ve görünürlük
• MSP'ler ve telekom operatörleri için çok kiracılı politika yönetimi

Özelleştirilebilir raporlar ve gerçek zamanlı paneller sayesinde, kim neye erişti, ne yaptı gibi sorular kolayca yanıtlanabilir.

Sonuç: Gelecek, “Ağ İçin PAM”

Bir cihazın ağa erişim izni almış olması artık yeterli bir güvenlik kriteri değil. Modern siber güvenlik yaklaşımı, sürekli doğrulama, gerçek zamanlı kontrol ve her oturumun izlenebilirliğini şart koşuyor.

Kron PAM sayesinde kurumlar:

• Binlerce cihaza ajan kurmadan güvenli erişim sağlar
• Kimlik tabanlı politikaları komut seviyesinde uygular
• Tüm oturumları gerçek zamanlı takip ve kayıt eder
• Uyumluluk gerekliliklerini rahatlıkla karşılar
• Telekom ölçeğinde dahi sorunsuz şekilde büyür

Kısacası, Kron PAM sadece bir PAM çözümü değil, ağ altyapısı güvenliğinin yeni standardıdır.



Kron'un PAM çözümlerinin kuruluşunuzun BT altyapı güvenliğini artırmaya nasıl yardımcı olabileceği hakkında daha fazla bilgi edinmek için hemen bizimle iletişime geçin. Uzman ekibimiz keyifle size detaylı bilgi verecek ve ihtiyaçlarınıza en uygun PAM çözümünü bulmanıza yardımcı olacaktır.

*Bu blog yazısı Elif AKbulut tarafından hazırlanmıştır. Elif, Kron'da Senior Product Owner olarak görev almaktadır.