Dijital altyapının her işletmenin, kamu kurumunun ve servis sağlayıcının bel kemiği haline geldiği günümüzde, ağ erişiminin güvenliğini sağlamak artık “güzel bir önlem” değil, doğrudan hayati bir gereklilik. Cisco ISE gibi geleneksel NAC (Ağ Erişim Kontrolü) çözümleri yıllar boyunca belli bir işlevi yerine getirdiyse de, modern, kimlik odaklı tehditler karşısında yetersizlikleri gün yüzüne çıkmaya başladı.
Kurumlar hibrit bulut modellerini, çoklu üretici yapıları ve küresel ölçekte dağılmış ekipleri benimsedikçe, ağ cihazları için Ayrıcalıklı Erişim Yönetimi (Privileged Access Management – PAM) yeni bir standart olarak öne çıkıyor. Ve bu dönüşümün öncüsü ise Kron PAM. Yerleşik TACACS+, RADIUS, entegre çok faktörlü kimlik doğrulama (2FA), ayrıntılı yetkilendirme ve yüksek ölçeklenebilirlik gibi yetenekler, Kron PAM’in temelinde yer alıyor.
Bu blog, Kron PAM’in neden yalnızca Cisco ISE’ye bir alternatif değil, aynı zamanda yeni nesil bir güvenlik geliştirmesi olduğunu detaylarıyla ele alıyor.
Klasik NAC araçları genellikle uç nokta erişimini yönetmeye odaklanırdı — yani bir cihazın ağa bağlanıp bağlanamayacağı, sağlık durumu, lokasyonu veya uyumluluğuna göre belirlenirdi. Bu model, altyapılar merkeziyken ve erişim noktaları sınırlıyken işe yarıyordu. Ancak günümüzde tablo çok daha karmaşık:
Bu bağlamda “kim girebilir” sorusunu yanıtlamak sadece başlangıç. Asıl mesele, içeri girdikten sonra ne yaptığını yönetebilmek.
İşte geleneksel NAC çözümleri bu noktada yetersiz kalıyor. Oturumları bireysel kimliklerle ilişkilendirmezler. Ayrıcalıklı CLI (komut satırı) oturumlarında ne olduğunu kaydetmezler. Cihaz bazında veya komut bazında detaylı yetkilendirme sunmazlar. Ve en önemlisi, Zero Trust gibi modern güvenlik modellerini uygulayamazlar. Bu modelde hiçbir erişim varsayımsal değildir ve tüm eylemler izlenir, doğrulanır.
Kron PAM, geleneksel NAC sistemlerinin eksiklerini gidermek üzere sıfırdan tasarlanmıştır. Sadece IT sistemlerine (örneğin Windows sunucularına veya veritabanlarına) odaklanan klasik bir PAM değildir. Kron PAM, yönlendiriciler, anahtarlar, güvenlik duvarları, telekom ekipmanları ve mobil omurga bileşenleri gibi ağ altyapısı için özel olarak geliştirilmiştir.
Peki Kron PAM’i farklı kılan neler? Gelin birlikte bakalım.
Pek çok NAC ve PAM çözümünün aksine, Kron PAM harici AAA (Authentication, Authorization, Accounting) servislerine bağımlı değildir. TACACS+ ve RADIUS protokolleri ürünün içine entegre edilmiştir, bu da tüm büyük ağ üreticileriyle kesintisiz AAA entegrasyonu sağlar.
Bu sayede:
Hesaplama (accounting) bilgileri ayrıntılı şekilde kayıt altına alınır ve SIEM ya da log analiz sistemlerine aktarılabilir.
Her güçlü ayrıcalıklı erişim çözümünün temelinde, kurumsal kimlik altyapılarıyla entegrasyon yer alır. Kron PAM, bu ihtiyacı doğrudan karşılar. Microsoft Active Directory (AD) ve Entra ID (eski adıyla Azure AD) ile kutudan çıkar çıkmaz entegre çalışır.
Yöneticiler, AD veya Entra ID üzerindeki kullanıcıları ve grupları doğrudan Kron PAM'e aktarabilir. Böylece kullanıcı verilerini yeniden oluşturmak veya ayrı bir kullanıcı veritabanı yönetmek zorunda kalmazlar. Aktarılan gruplara göre rol tabanlı politikalar tanımlanabilir.
Örneğin, “Network Engineers” grubundaki bir kullanıcıya çekirdek ağ katmanındaki cihazlara tam erişim verilebilirken, “Contractor-Access” grubundaki bir kullanıcıya yalnızca "show" komutlarını çalıştırma izni tanımlanabilir.
Kullanıcılar ağa erişim sağlarken kendi kurumsal kimlik bilgilerini (örneğin, e-posta veya VPN giriş bilgileri) kullanır. Bu sayede hem kullanıcı deneyimi sadeleşir hem de tüm erişimler doğrulanmış bir kimlikle ilişkilendirilir.
Kron PAM, ayrıca şifre girmeden oturum açma ve SSH anahtarıyla kimlik doğrulama yetenekleriyle öne çıkar. Entegre Session Manager aracılığıyla, kullanıcıların cihazlara erişmesi için karmaşık parolalar veya statik bilgiler paylaşmasına gerek kalmaz.
Session Manager, kullanıcı adına kimlik doğrulamasını gerçekleştirir. SSH anahtarları veya kimlik bilgileri geçici olarak enjekte edilir — hiçbir zaman kalıcı olarak saklanmaz veya tekrar kullanılmaz. Tüm oturumlar kayıt altına alınır ve denetlenebilir.
Bu yapı sayesinde:
LDAP, SAML, AD, Entra ID ya da Kron’un kendi dizin servisi fark etmeksizin tüm kimlik doğrulama işlemleri güvenli ve akıcı biçimde yürütülür.
Kron PAM’in en yenilikçi özelliklerinden biri, 2FA (çok faktörlü kimlik doğrulama) desteğini TACACS+ gibi geleneksel olarak bu özelliğe sahip olmayan protokollere entegre etmesidir. Dahili 2FA sunucusu sayesinde, komut satırı (CLI) oturumlarında bile çok faktörlü doğrulama zorunlu hale getirilebilir.
Bu, gerçek anlamda bir paradigma değişimidir. TACACS+ protokolü güçlü kontrol sunar, ancak 2FA desteği olmaması önemli bir zayıflıktı. Kron PAM bu açığı kapatarak, Zero Trust güvenlik modelini CLI oturumlarına taşır.
Kron PAM, Attribute-Value Pair (AVP) tanımlamaları ve komut bazlı politika uygulamaları ile yönetici erişimlerini en ince detayına kadar kontrol etmenizi sağlar. Örneğin:
Bu seviye özelleştirme, özellikle aşağıdaki senaryolarda kritik fayda sağlar:
Kron PAM tamamen ajansız (agentless) çalışır. Yani ağ cihazlarına herhangi bir yazılım yüklenmesine gerek yoktur. Bu, özellikle şu ortamlarda büyük avantaj sağlar:
Cisco, Huawei, Nokia, ZTE, Ericsson gibi tüm büyük üreticilere destek sunar.
Kron PAM, ayrıcalıklı tüm oturumları tuş vuruşuna kadar kayıt altına alır. Oturumlar hem video hem metin formatında izlenebilir. Ayrıca:
Bu, yalnızca güvenliği artırmakla kalmaz, aynı zamanda olay müdahalesi ve denetim süreçlerini de büyük ölçüde kolaylaştırır.
Teoride ölçeklenebilirlikten bahsetmek kolaydır. Ama bunu pratikte kanıtlamak çok daha değerlidir.
EMEA bölgesindeki en büyük telekom operatörlerinden biri, 40 milyon aboneye hizmet veren ağında 160.000’den fazla cihaz için erişim yönetimini Kron PAM ile gerçekleştirdi. Çok kıtaya yayılan altyapı, 5 farklı üreticiden donanım içeriyor ve operasyonel ekipler için milisaniyelik yanıt süreleri gerekiyordu.
Kron PAM bunu kolayca yönetti. Yük dengeleme destekli dağıtık mimarisiyle, her düğüm saniyede 5.000+ işlem gerçekleştirebiliyor. Tüm yöneticiler Active Directory kimlik bilgileriyle giriş yapabiliyor, politikalar merkezi olarak uygulanabiliyor.
Bu bir laboratuvar testi değil — bu, gerçek dünyada ispatlanmış bir ölçeklenebilirlik örneğidir.
Kron PAM, en baştan itibaren mevzuat ve standartlara uyumluluk için tasarlanmıştır. Aşağıdaki çerçeveleri doğrudan destekler:
Özelleştirilebilir raporlar ve gerçek zamanlı paneller sayesinde, kim neye erişti, ne yaptı gibi sorular kolayca yanıtlanabilir.
Bir cihazın ağa erişim izni almış olması artık yeterli bir güvenlik kriteri değil. Modern siber güvenlik yaklaşımı, sürekli doğrulama, gerçek zamanlı kontrol ve her oturumun izlenebilirliğini şart koşuyor.
Kron PAM sayesinde kurumlar:
Kısacası, Kron PAM sadece bir PAM çözümü değil, ağ altyapısı güvenliğinin yeni standardıdır.
Kron'un PAM çözümlerinin kuruluşunuzun BT altyapı güvenliğini artırmaya nasıl yardımcı olabileceği hakkında daha fazla bilgi edinmek için hemen bizimle iletişime geçin. Uzman ekibimiz keyifle size detaylı bilgi verecek ve ihtiyaçlarınıza en uygun PAM çözümünü bulmanıza yardımcı olacaktır.
*Bu blog yazısı Elif AKbulut tarafından hazırlanmıştır. Elif, Kron'da Senior Product Owner olarak görev almaktadır.