Kimlik doğrulama ve yetkilendirme arasındaki fark nedir?

Kimlik doğrulama, bir tarafın kim olduğunu belirler (örneğin bir parola veya anahtar aracılığıyla kimliği doğrular). Yetkilendirme ise kimliği doğrulanmış bir tarafın ne yapmasına izin verildiğine (izinlerine) karar verir. Bir sistemin her ikisini de yapması gerekmektedir: kimliği onaylamak ve ardından erişim haklarını uygulamak.

Güçlü kriptografi bir sistemi güvence altına almak için yeterli midir?

Hayır. Kriptografi gerekli ancak yeterli değildir. Gerçek ihlallerin çoğu, kriptografinin kendisini kırmaktan ziyade zayıf parolaları, yanlış yapılandırmayı, yamalanmamış yazılımları, kimlik avını veya kötü anahtar yönetimini istismar etmektedir; bu nedenle güvenli mühendislik ve operasyonlar algoritmalar kadar önemlidir.

Sistem ve Ağ Güvenliği

Sistem ve ağ güvenliği, bilgisayarları, ağları ve aralarında akan verileri gizlice dinleme, kurcalama, kimlik taklidi ve yetkisiz erişime karşı korumak için kriptografik ve mühendislik tekniklerini uygulamaktadır.

PaperMind ile konu bulYakındaMakale ve konu bul

Tools & resources

Slaytları indir

Learn & explore

VideoYakında

Tanım

Sistem ve ağ güvenliği, bilgisayar sistemlerinin ve onları birbirine bağlayan ağların gizliliğini, bütünlüğünü ve erişilebilirliğini kriptografi, erişim kontrolü ve güvenli mühendislik uygulamalarını birleştirerek koruma disiplinidir.

Kapsam

Bu alan, dağıtılmış altyapının pratik savunmasını kapsamaktadır: ağ iletişimini güvence altına alma, kullanıcıları ve makineleri doğrulama, erişimi kontrol etme, açık anahtar altyapısı aracılığıyla güveni dağıtma ve TLS gibi güvenli kanallar oluşturma. Kriptografik ilkellerin gerçek protokollere nasıl dönüştürüldüğünü ve güvenlik ilkelerinin (en az ayrıcalık, derinlemesine savunma) sistem tasarımına nasıl rehberlik ettiğini ele almaktadır. Temel kriptografik ilkellerin tasarımını ve yazılım düzeyindeki güvenlik açıklarının analizini dışlamaktadır; bunlar ilgili diğer alanlarda incelenmektedir.

Alt konular

Temel sorular

Güvenilmeyen ağlar üzerinden geçerken veriler nasıl korunmaktadır?
Kullanıcılar ve makineler güvenilir bir şekilde nasıl doğrulanmakta ve erişimleri nasıl kontrol edilmektedir?
Açık anahtarlara olan güven büyük ölçekte nasıl tesis edilmekte ve yönetilmektedir?
Güvenilir sistemlerin tasarımına hangi güvenlik ilkeleri rehberlik etmektedir?
Gizlilik, bütünlük ve erişilebilirlik, kullanılabilirlik ve performansla nasıl dengelenmektedir?

Anahtar kavramlar

gizlilik, bütünlük, erişilebilirlik
en az ayrıcalık
derinlemesine savunma
kimlik doğrulama ve yetkilendirme
erişim kontrolü
açık anahtar altyapısı
güvenli kanallar (TLS)
tehdit modellemesi
ağ çevresi ve segmentasyon

Temel kuramlar

Saltzer ve Schroeder'ın tasarım prensipleri: Güvenli sistem tasarımı için klasik prensipler — en az ayrıcalık, hata durumunda güvenli varsayılanlar, mekanizma ekonomisi, tam aracılık, açık tasarım, ayrıcalıkların ayrılması — güvenlik mühendisliğinin temelini oluşturmaya devam etmektedir.
CIA üçlüsü ve derinlemesine savunma: Güvenlik hedefleri gizlilik, bütünlük ve erişilebilirlik olarak çerçevelenmektedir; sağlam sistemler, bir mekanizmanın arızalanmasının bütünü tehlikeye atmaması için birden fazla bağımsız kontrolü (derinlemesine savunma) katmanlamaktadır.

Klinik önem

Sistem ve ağ güvenliği, internetin kullanılabilirliğini sağlayan temel unsurdur: TLS web ve API trafiğini korumakta, VPN'ler ve IPsec uzaktan erişimi güvence altına almakta, sertifika yetkilileri ve PKI yabancı makinelerin birbirine güvenmesini sağlamakta, erişim kontrol sistemleri ise bulut konsollarından hastane kayıtlarına kadar her şeyi korumaktadır. Buradaki başarısızlıklar, güvenlik haberlerine hakim olan veri ihlallerine, fidye yazılımı olaylarına ve tedarik zinciri uzlaşmalarına neden olmaktadır.

Kanıt ve kılavuzlar

Uygulama, çerçeveler ve standartlar tarafından şekillendirilmektedir: NIST Siber Güvenlik Çerçevesi ve SP 800 serisi, ISO/IEC 27001, OWASP ve MITRE ATT&CK bilgi tabanları ve protokol RFC'leri. Sıfır güven mimarileri (NIST SP 800-207) giderek yalnızca çevreye dayalı modellerin yerini almakta ve düzenleyici rejimler (GDPR, HIPAA, PCI-DSS) belirli sektörlere güvenlik gereksinimleri dayatmaktadır.

Tarihçe

Ağ güvenliği, internetin kendisiyle birlikte büyümüştür: Morris solucanı (1988) sistemik güvenlik açığını göstermiş, güvenlik duvarları ve saldırı tespit sistemleri 1990'larda ortaya çıkmış ve SSL/TLS (1995'ten itibaren) web'i güvence altına almıştır. Saltzer ve Schroeder'ın 1975 prensipleri hala bu alanın temelini oluşturmaktadır. Bulut ve mobil bilişimle birlikte çevreler ortadan kalktıkça, disiplin kimlik merkezli, sıfır güven modellerine doğru kaymıştır.

Öne çıkan isimler

Roger Needham
Ross Anderson
Jerome Saltzer
Michael Schroeder
Whitfield Diffie

İlgili konular

Temel eserler

anderson2020
saltzer1975
stallings2017

Sıkça sorulan sorular

Kimlik doğrulama ve yetkilendirme arasındaki fark nedir?: Kimlik doğrulama, bir tarafın kim olduğunu belirler (örneğin bir parola veya anahtar aracılığıyla kimliği doğrular). Yetkilendirme ise kimliği doğrulanmış bir tarafın ne yapmasına izin verildiğine (izinlerine) karar verir. Bir sistemin her ikisini de yapması gerekmektedir: kimliği onaylamak ve ardından erişim haklarını uygulamak.
Güçlü kriptografi bir sistemi güvence altına almak için yeterli midir?: Hayır. Kriptografi gerekli ancak yeterli değildir. Gerçek ihlallerin çoğu, kriptografinin kendisini kırmaktan ziyade zayıf parolaları, yanlış yapılandırmayı, yamalanmamış yazılımları, kimlik avını veya kötü anahtar yönetimini istismar etmektedir; bu nedenle güvenli mühendislik ve operasyonlar algoritmalar kadar önemlidir.