Bir kuruluşun BT envanterinde, kaç tane “yıllardır değişmemiş” parola olduğu sorulduğunda alınan cevap çoğu zaman tahmin edilenden çok daha yüksektir. Sunucu yönetici hesapları, veritabanı bağlantı şifreleri, servis hesapları, ağ cihazlarının yönetim parolaları, üçüncü taraf entegrasyon kimlik bilgileri. Bu kimlik bilgilerinin önemli bir bölümü kurulduğu günden bu yana ya hiç değiştirilmemiş ya da yalnızca bir personel ayrılması gibi zorunlu bir durumda elle güncellenmiştir.

Bu tablo yalnızca bir hijyen sorunu değildir; aynı zamanda hem ISO 27001:2022 hem de KVKK kapsamında somut bir uyumsuzluk riski oluşturur. Otomatik Parola Değişimi (Automated Password Rotation) olarak adlandırılan yetenek, bu riski sistematik biçimde ortadan kaldırmak için tasarlanmıştır. Keycyte PAM bünyesinde sunulan parola kasası ve otomatik rotasyon mekanizması, kurumsal ayrıcalıklı kimlik bilgilerinin yaşam döngüsünü tamamen otomatize ederek hem operasyonel yükü düşürür hem de regülatif uyumun teknik kanıtını üretir.

Statik Parolaların Risk Yüzeyi

Bir parola ne kadar uzun süre değişmeden kalırsa, ifşa olma olasılığı o oranda artar. Bu basit gerçek, parola yönetiminin temel aksiyomudur. Statik parolaların risk yüzeyini birkaç boyutta değerlendirmek gerekir.

İlk boyut personel devridir. Bir sistem yöneticisi kurumdan ayrıldığında, bildiği tüm ayrıcalıklı parolaların derhal değiştirilmesi beklenir. Pratikte bu süreç çoğu zaman aksar, ertelenir ya da yalnızca kritik birkaç hesapla sınırlandırılır. Aylar sonra ayrılan personelin hâlâ erişebildiği bir sunucu, ciddi bir denetim bulgusudur.

İkinci boyut paylaşılan kimlik bilgileridir. Bir veritabanı root parolası kaç ekip üyesi tarafından bilinir? Bir Active Directory enterprise admin parolası kaç farklı yerde yazılıdır? Statik parolalar zaman geçtikçe daha geniş bir gruba dağılır; sahibi belirsizleşir. Bu durum, siber saldırılarda insan faktörü yazımızda ele aldığımız “parola hijyeni” sorununun temel kaynağıdır.

Üçüncü boyut sızıntı süresidir. Bir parola herhangi bir biçimde sızdırıldığında — phishing, log dosyalarına düşmüş bir credential, GitHub’a yanlışlıkla commit’lenmiş bir bağlantı string’i — saldırganın bu bilgiyi kullanabileceği süre, parolanın değişmeden kaldığı süre kadardır. Otomatik rotasyon bu pencereyi saatlere, hatta dakikalara indirir.

Otomatik Parola Değişimi Nasıl Çalışır?

Keycyte PAM, ayrıcalıklı kimlik bilgilerini şifrelenmiş bir kasada (vault) saklar ve bunları tanımlı politikalara göre otomatik olarak rotasyona tabi tutar. Sürecin mimari akışı aşağıdaki şekildedir.

Kasada saklama katmanı, parolaları AES-256 simetrik şifreleme ile saklar. Şifreleme anahtarı kasanın kendisinden ayrı tutulur; key wrapping yöntemiyle korunur. Veritabanı dökümü ele geçirilse dahi parolalar düz metin olarak okunamaz.

Politika tanımlama katmanı, her bir hesap için rotasyon kurallarını belirler. Bu kurallar; rotasyon sıklığı (saatlik, günlük, haftalık), parola karmaşıklık kuralları (uzunluk, karakter kümesi), her kullanım sonrası rotasyon (one-time-use mantığı) ve oturum sonrası tetikleme gibi parametreleri içerir.

Rotasyon yürütme katmanı, hedef sisteme ilgili protokol üzerinden bağlanarak parolayı fiilen değiştirir. SSH üzerinden Linux sunucuları, WinRM üzerinden Windows hesapları, LDAP üzerinden dizin servisi kullanıcıları, JDBC üzerinden veritabanı hesapları için ayrı handler’lar devrede çalışır. Yeni parola üretilir, hedef sistemde uygulanır, doğrulanır ve kasada güncellenir. Tüm süreç atomik bir işlem olarak ele alınır; herhangi bir adımda hata oluşursa rollback mekanizması devreye girer.

Doğrulama ve fallback katmanı, rotasyonun başarısını kontrol eder. Yeni parola ile hedef sisteme test bağlantısı kurulur. Başarısızlık durumunda LDAP fallback ya da önceki parolaya dönüş mekanizması tetiklenir ve yöneticiye alarm üretilir.

Just-In-Time Erişim ile Birleştiğinde

Otomatik rotasyonun gerçek gücü, Just-In-Time (JIT) erişim modeliyle birlikte değerlendirildiğinde ortaya çıkar. Bu kombinasyonda kullanıcı, hedef sistemin parolasını hiçbir zaman doğrudan görmez. Bir oturum talebi yapıldığında Keycyte PAM ilgili hesabın güncel parolasını kasadan alarak proxy üzerinden hedef sisteme aktarır. Oturum sonlandığında parola anında rotasyona tabi tutulur.

Bu modelin sonucu şudur: aynı parolayla yapılabilecek ikinci bir oturum yoktur. Kullanıcı tarafından — bilinçli ya da bilinçsiz şekilde — kaydedilmiş bir parola bir sonraki kullanım denemesinde geçersizdir. Bu yaklaşım, ayrıcalıklı kimlik bilgilerinin yaşam süresini operasyonel bir “atış” süresine indirgeyerek statik parola riskini neredeyse tamamen ortadan kaldırır.

ISO 27001:2022 Açısından Konum

ISO 27001:2022 standardı, otomatik parola rotasyonunu doğrudan adlandırmasa da Annex A’nın birden fazla kontrolü bu yeteneği zorunlu kılar.

Annex A 5.17 — Authentication Information. Standardın güncel sürümünde getirilen önemli bir gereksinim, kimlik doğrulama bilgilerinin yaşam döngüsüne ilişkin tüm olayların kayıt altına alınmasıdır. Parola oluşturma, dağıtım, değiştirme ve iptal süreçlerinin denetlenebilir biçimde belgelenmesi beklenir. Otomatik rotasyon, her bir parola değişimini zaman damgalı kayıtla işlerken bu gereksinimi yapısal olarak karşılar. Ayrıca makine kimlik bilgilerinin manuel yönetiminin denetim standartları açısından sürdürülebilir olmadığı, kurumsal beklentinin otomatik rotasyon olduğu açıkça vurgulanmıştır.

Annex A 8.2 — Privileged Access Rights. Ayrıcalıklı erişim haklarının sıkı kontrol altında tutulması zorunluluğu, parola yaşam döngüsünün ayrı bir yönetim disiplini olarak ele alınmasını gerektirir. Keycyte PAM’in kasa + rotasyon kombinasyonu bu kontrolün doğal karşılığıdır.

Annex A 8.5 — Secure Authentication. Güvenli kimlik doğrulama gereksinimi yalnızca güçlü parola politikalarını değil; aynı zamanda kimlik bilgilerinin yetkisiz ifşaya karşı korunmasını da kapsar. Otomatik rotasyon, ifşa anının zararını sınırlandıran teknik kontroldür.

Annex A 8.24 — Use of Cryptography. Kasadaki parolaların onaylı kriptografik yöntemlerle korunması zorunluluğu, Keycyte’ın AES-256 şifreleme ve key wrapping yaklaşımıyla karşılanır.

KVKK ve Hesap Verebilirlik Boyutu

KVKK Madde 12’nin yüklediği “uygun güvenlik düzeyi” sorumluluğu, ayrıcalıklı kimlik bilgilerinin yönetimini de kapsar. Kişisel Verileri Koruma Kurulu’nun yayımladığı teknik tedbirler rehberi; erişim kayıtlarının tutulması, yetki değişikliklerinin izlenmesi ve kimlik doğrulama süreçlerinin denetlenebilir biçimde yapılandırılmasını gerektirir.

Bir veri ihlali soruşturmasında karşılaşılabilecek en yıkıcı senaryolardan biri, “hangi tarihte hangi parolanın kim tarafından kullanıldığı” sorusuna kesin cevap verilememesidir. Otomatik rotasyon ile her parola değişimi zaman damgalı bir olay olarak kaydedilir; her kullanım, ilgili oturum kaydıyla eşleştirilebilir. Bu, 3 önemli regülasyon ve PAM yazımızda detaylandırdığımız “kanıtlanabilir uyum” prensibinin somut karşılığını oluşturur.

Operasyonel Faydalar

Regülatif gerekçelerin yanı sıra otomatik parola değişimi, operasyonel verimlilik açısından da ciddi katkılar sağlar.

Manuel parola değişim süreçleri, büyük kuruluşlarda BT ekipleri için ölçülebilir bir iş yükü oluşturur. Yüzlerce hesabın periyodik olarak elle güncellenmesi, hatalı uygulamaları ve unutulan hesapları beraberinde getirir. Otomasyon bu yükü ortadan kaldırır; ekip enerjisini değer üreten görevlere yöneltir.

Personel ayrılışlarında “hangi parolaları değiştirmemiz gerekiyor?” sorusu çoğu zaman bir bilgi arkeolojisine dönüşür. Keycyte PAM ile bu süreç tek bir politika değişikliğine indirgenir: ilgili kullanıcının erişim yetkileri kapatılır ve etkilenen tüm hesaplar için anlık rotasyon tetiklenir.

Üçüncü taraf erişimlerinde — dış kaynaklı geliştiriciler, danışmanlar, destek mühendisleri — geçici bir yetki tanımlandıktan sonra ilgili kimlik bilgilerinin geri çekilmesi otomatize edilir. Sözleşme süresi sonunda hiçbir manuel adım gerektirmeden parola rotasyonu yapılır ve eski erişim sahibinin elindeki kimlik bilgisi geçersizleşir.

Sonuç

Statik parolaların kurumsal güvenlikteki yeri, modern bir tehdit ortamında giderek küçülmektedir. Bir parolanın değişmeden kaldığı her gün, sızıntı riskinin ve uyumsuzluk maruziyetinin arttığı bir gündür. Otomatik parola değişimi, bu riski operasyonel bir gerçekliğe dönüştürmeden önce sistemik biçimde adresler.

Keycyte PAM’in parola kasası ve otomatik rotasyon mekanizması; AES-256 şifrelemeyi, politika tabanlı yaşam döngüsü yönetimini ve protokol bazında rotasyon yeteneğini tek bir mimari içinde birleştirir. Bu yapı hem ISO 27001:2022 Annex A kontrollerini hem de KVKK’nın talep ettiği teknik tedbirleri kanıtlanabilir biçimde karşılarken BT ekiplerinin manuel parola yönetimi yükünü ortadan kaldırır. Konunun bütüncül perspektifini parola yönetimi ve güvenli saklama hizmet sayfamızda da değerlendirmekteyiz.

Kuruluşunuzun ayrıcalıklı kimlik bilgilerini otomatik rotasyon ve kasalama mantığıyla yönetmeye geçirmek için demo talebi sayfası üzerinden bizimle iletişime geçebilirsiniz.