Ask HN: Şirketinizde parolaları nasıl saklıyor ve paylaşıyorsunuz?

 (news.ycombinator.com)
23 puan yazan GN⁺ 2024-09-03 | 1 yorum | WhatsApp'ta paylaş
  • BT alanında çok sayıda parolayı yönetmek gerekiyor
  • Parolaları saklamak ve erişim yetkisi vermek için önerilen bir yöntem var mı?
    • Yeni bir çalışanın ilk gününden itibaren ihtiyaç duyduğu tüm parolalara erişebilmesi
    • Yeni bir çalışan terfi ettiğinde ek olarak ihtiyaç duyduğu parolalara erişim yetkisi verilmesi
    • Bir çalışan şirketten ayrıldığında, eriştiği önemli parolaların değiştirilmesi ve erişim yetkisi olan herkese bu değişikliğin bildirilmesi

İlgili okumalar

1 yorum

 
GN⁺ 2024-09-03

Hacker News görüşleri

  • Parola yönetimini en aza indirin
    • Mümkün olduğunca çok hizmeti OIDC ile entegre etmek için SSO kullanın ve denetim ile erişim yönetimini kolaylaştırmak için 1Password'un bulut sürümünü kullanın
    • İnsanlara parolalara erişim izni verirken, bu kişiler farklı rollere geçerse veya şirketten ayrılırsa parolaların değiştirilmesi gerektiğini unutmayın. Parolalar hiç zahmetli gelmiyorsa, bir şeyleri yanlış yapıyorsunuz demektir
  • Parola yönetimi yöntemi:
    • Tüm parolalar benzersiz olmalı. Mümkün olduğunca parola paylaşımından kaçının. SSO kullanın
    • Gerektiğinde bir parola yöneticisi kullanın veya Hashicorp Vault ya da OpenBao gibi çözümlerden yararlanın
  • Organizasyon ölçeğine göre yaklaşım:
    • İnsan ve hizmet sayısına göre güvenlik stratejisi
      • 1-20 kişi - parola yöneticisi kullanın (Bitwarden, 1Password vb.)
      • 20-30+ kişi - SSO kullanın
      • 50+ kişi - SSO şemasında gerçek rol atamaları yapmaya başlayın
      • 1-5 hizmet - CircleCI secret'ları ve parola yöneticisi yeterlidir
      • 5+ instance - Vault gibi bir secret yöneticisi kullanın
      • 10+ instance - geliştirme için yerelde de bir secret yöneticisi kullanmaya başlayın. Her hizmet ve ekip üyesi için iyi kapsamlandırılmış IAM politikalarını değerlendirmeye başlayın
      • 15+ instance - ek zero-trust sınırlarını değerlendirmeye başlayın
    • Elbette bu oldukça kabadır. Düzenleme/uyumluluk gereksinimlerine ve gelir ölçeğine bağlı olarak bunları daha erken yapmanız gerekebilir
    • Güvenliği güçlendirme aşamaları
      1. Kolayca iptal edilemese bile secret'ları merkezileştirin (parola yöneticisi)
      2. Kolayca iptal edilebilir ve merkezileştirilmiş hale getirin (SSO)
      3. Rolleri ve erişimi daha ayrıntılı hale getirin (RBAC)
      4. Bu aşamaların arasına uygun yerlerde otomasyon ekleyin
  • Normal hesaplar ile yönetici hesaplarını ayrı kullanın
  • Merkezileştirme ve otomasyon:
    • Secret'ları merkezileştirin ve kolayca geri çekilebilir hale getirin
    • Rol tabanlı erişim kontrolü (RBAC) kullanarak ayrıntılı erişim yetkileri verin
    • Otomasyonla tüm aşamaları birbirine bağlayın
  • Kendi kimlik doğrulama/secret yönetimi aracınızı geliştirmeyin: Son derece karmaşıktır ve riski yüksektir; mümkün olduğunca kaçının
  • Mümkün olduğunca çok şeyi otomatikleştirin ve çalışanların production sistemlerine erişmesini gereksiz hale getirin
  • Rippling önerisi: SSO ile İK yönetimini entegre eden bir çözüm olarak öneriliyor
  • Güvenlik programı oluşturma deneyimi:
    • SSO kullanımı: Bütçe uygunsa Okta, değilse Keycloak kullanın
    • Parola yöneticisi kullanımı: 1Password öneriliyor
    • Secret yönetimi çözümü kullanımı: HashiCorp Vault öneriliyor
  • SSO ve 2FA: Güvenliği güçlendirmek için SSO ve 2FA'yı birlikte kullanın