Share via

Senaryo: Dosya Erişimi Denetimi

  • Makale

 

Uygulama Alanı: Windows Server 2012

Güvenlik Denetimi, kuruluş güvenliğinin korunmasına yardımcı olacak en güçlü araçlardan birisidir. Güvenlik denetimlerinin ana amaçlarından birisi, yönetmeliklere uymaktır Sarbanes Oxley, Sağlık Sigortası Taşınabilirlik ve Sorumluluk Yasası (HIPAA) ve Ödeme Kartı Sektörü (PCI) gibi sektör standartları, kuruluşların veri güvenliği ve gizliliği ile ilgili katı bir kural kümesine uymasını gerektirir. Güvenlik denetimleri bu gibi ilkelerin varlığının kurulmasına ve bu standartlar ile uyumluluğun kanıtlanmasına yardımcı olur. Ek olarak, güvenlik denetimleri adli çözümleme için kullanılabilecek bir kullanıcı etkinliği izi oluşturarak çelişkili davranışların algılanması, güvenlik ilkelerindeki boşlukların tanımlanması ve azaltılması ve güvenilmeyen davranışların engellenmesine yardımcı olur.

Denetim ilkesi gereksinimleri genellikle aşağıdaki düzeylere dayalıdır:

  • Bilgi güvenliği. Dosya erişimi denetim izleri genelde adli çözümleme ve yetkisiz erişim algılama için kullanılır. Yüksek değerli bilgilere erişim hakkında hedeflenen olayları alabilmek, kuruluşların yanıt sürelerini ve inceleme doğruluğunu önemli ölçüde geliştirmesini sağlar.

  • Kuruluş ilkesi. Örneğin, PCI standartları tarafından düzenlenen kuruluşlar, kredi kartı bilgilerini ve kişisel bilgileri (PII) içerdiği işaretlenen tüm dosyalara erişimi izlemek için merkezi bir ilkeye sahip olabilir.

  • Departman ilkesi. Örneğin, finans departmanı belirli finans belgelerini (üç aylık kazanç raporu gibi) değiştirme yeteneğinin finans departmanı ile kısıtlanmasını gerektirebilir ve bu nedenle departman bu belgeleri değiştirmeye yönelik diğer tüm girişimleri izlemek isteyebilir.

  • İş ilkesi. Örneğin, işletme sahipleri kendi projelerine ait verileri görüntülemeye yönelik tüm yetkisiz girişimleri izlemek isteyebilir.

Ayrıca, uyumluluk departmanı kullanıcı, bilgisayar ve kaynak öznitelikleri gibi merkezi yetkilendirme ilkelerine ve ilke yapılarına yönelik değişikliklerin tümünü izlemek isteyebilir.

Güvenlik denetimleri ile ilgili en büyük kaygılardan biri denetim olaylarını toplama, depolama ve çözümlemenin maliyetidir. Denetim ilkeleri çok genişse, toplanan denetim olayı miktarı artar ve bu maliyetleri artırır. Denetim ilkeleri çok darsa, önemli olayları kaçırma riski oluşur.

Windows Server 2012 ile, talepleri ve kaynak özelliklerini kullanarak denetim ilkeleri yazabilirsiniz. Bu daha zengin, hedefe daha odaklı ve daha kolay yönetilen denetim ilkeleri sağlar. Şimdiye kadar gerçekleştirilmesi imkansız veya çok zor olan senaryoları mümkün kılar. Aşağıda, yöneticilerin yazabileceği denetim ilkesi örnekleri yer almaktadır:

  • Yüksek güvenlik geçiş iznine sahip olmayan ve bir HBI belgesine erişmeye çalışan herkesi denetleyin. Örneğin, Audit | Everyone | All-Access | Resource.BusinessImpact=HBI AND User.SecurityClearance!=High.

  • Üzerinde çalışmadıkları projeler ile ilgili belgelere erişmeye çalışan tüm satıcıları denetleyin. Örneğin, Audit | Everyone | All-Access | User.EmploymentStatus=Vendor AND User.Project Not_AnyOf Resource.Project.

Bu ilkeler, denetim olayı miktarının düzenlenmesine ve denetim olaylarının yalnızca en ilgili veriler veya kullanıcılarla sınırlandırılmasına yardımcı olur.

Yöneticilerin denetim ilkelerini oluşturduktan ve uyguladıktan sonra yapması gereken, topladıkları denetim olaylarındaki anlamlı bilgileri derlemektir. İfade tabanlı denetim olayları denetim miktarının azaltılmasına yardımcı olur. Ancak, kullanıcıların bu olayları, anlamlı bilgiler almak ve “HBI verilerime kimler erişiyor?” veya “Hassas verilere yetkisiz erişme girişimi oldu mu?” gibi sorular sormak için sorgulamasının bir yolu olması gerekir.

Windows Server 2012, mevcut veri erişimi olaylarını kullanıcı, bilgisayar ve kaynak talepleri ile güçlendirmektedir. Bu olaylar sunucu başına üretilir. Microsoft, kuruluş genelinde olayların tam görünümünü sağlamak için System Center Operation Manager'daki Denetim Toplama Hizmetleri gibi olay toplama ve çözümleme araçları sunmak üzere iş ortakları ile çalışmaktadır.

Şekil 4, merkezi bir denetim ilkesine yönelik genel bakışı göstermektedir.

Resim 4

Şekil 4   Merkezi denetim deneyimleri

Güvenlik denetimlerini ayarlama ve kullanma genelde aşağıdaki genel adımları içerir:

  1. Doğru veri kümesini ve izlenecek kullanıcıları tanımlama

  2. Uygun denetim ilkelerini oluşturma ve uygulama

  3. Denetim olaylarını toplama ve çözümleme

  4. Oluşturulan ilkeleri yönetme ve izleme

Bu senaryoda bulunanlar

Aşağıdaki konular bu senaryo için ek yönergeler sağlar:

Bu senaryoya dahil edilen roller ve özellikler

Aşağıdaki tabloda, bu senaryonun parçası olan rol ve özellikler ve rolleri listelenmiş ve nasıl destekledikleri açıklanmıştır.

Rol/özellik

Bu senaryoyu nasıl destekler?

Active Directory Etki Alanı Hizmetleri rolü

Windows Server 2012 AD DS; kullanıcı talepleri ve cihaz talepleri, bileşik kimlik (kullanıcı artı cihaz talepleri) ve yeni merkezi erişim ilkeleri (CAP) modelinin oluşturulmasını ve yetkilendirme kararlarında dosya sınıflandırma bilgilerinin kullanılmasını sağlayan talep tabanlı bir yetkilendirme platformu getirmektedir.

Dosya ve Depolama Hizmetleri rolü

Windows Server 2012 dosya sunucuları; yöneticilerin kullanıcıların dosya veya klasörlere yönelik yürürlükteki izinlerini görüntüleyebileceği ve erişim sorunlarını giderip gerektiğinde erişim verebileceği bir kullanıcı arabirimi sağlamaktadır.