Kurumsal firmalarda kullanılan ürünler( SCVMM, SCOM, SCCM, Exchange Server, Enterprise Vault, SIEM ürünleri vs.) test ortamından üretim ortamına alınacağında “Role Based Access” gündeme gelir. Uygulamalar kurulurken ve yapılandırılırken kullanlan hesaplar genelde yüksek erişim yetkilerine sahiptir. Firmaların güvenlik politikaları gereği ve/veya yasal yükümlülüklerden dolayı bu tür hesapların sıkça kullanılmaması ve/veya parolalarının bilinmemesi gerekir. Bu durumda ilgili uygulamaları, belirli seviyelerde yönetebilecek kullanıcı hesaplarına veya raporlama amaçlı gözleyebilecek salt okuma hakkı olan yada sadece gözlem hakkı olan kullanıcı hesaplarına ihtiyaç duyulur. Bu yazımda Enterise Vault ürünü için “Role Based Access” ve “View Only Administrative Account” yapılandırmasından bahsetmek istiyorum.
Enterprise Vault ürününde “Role Based Access” konusunda genel bilgi edinmek için aşağıdaki link’lere bakabilirsiniz.
http://www.e-vault.info/symantec-enterprise-vault-role-based-access-control.html
http://www.aydogmusoglu.com/symantec-enterprise-vault-role-based-access-control.html
İlaveten bu tür account’ların tüm aktivitelerini gözlemek, anlamlı halde raporlamak ve gerektiğinde oluşan log’ları istenilen düzeyde anlamlı hale getirmek için bir Security Information & Event Management ürünü kullanabilirsiniz ki bu tür SIEM ürünleri günümüz ağ ve sistem yapılarının önemli bir bileşeni durumundadır.
Gartner’s Magic Quadrant ’a göre lider olan SIEM ürünü hakkında bilgi edinmek isterseniz aşağıdaki link’ten faydalanabilirsiniz.
http://www.aydogmusoglu.com/hp-arcsight-a-genel-bakis.html
Symantec Enterprise Vault ürününde “Role Based Access” , Windows Authorization Manager ile yönetilmektedir. Ön tanımlı roller oldukça geniştir. Bizim amacımız bu rolleri biraz değiştirerek/birleştirerek Enterprise Vault yapısını gözlem yapabilme seviyesinde görebilecek ve herhangi bir operasyonel yetkiye sahip olmayacak bir kullanıcı hesabı yapılandırmaktır.
Not: “Gözlem seviyesinde” ifadesi ile anlatılmak istenen “arşivlenmiş veriyi görebilecek” manasında değildir!
Yapılandırma adımlarına geçelim.
1- Vault Admin Console’dan Authorization Manager’ı açınız.
2- Role Definitions seviyesine geliniz.
3- 
4- Ön tanımlı rolleri görebiliyoruz.Biraz alt kısma bakarsanız ön tanımlı role assigntment’larını da görebilirsiniz.
5- Role Definition kısmından yeni bir definition tanımlıyoruz.
6- 
7- Yeni definition oluşturma sihirbazındaki Operations tab’ında, gereken bileşenler mevcut. Aşağıda listelenmiş bileşenler amaca uygun olanlardır.
8- 
9- Belirtilenleri seçerek “ok” ile yeni definition tanımlama sihirbazını kapatabilirsiniz. Yeni oluşturduğunuz definition artık “Role Definitons” klasöründe yeni aldı.
10- 
11- Şimdi bu objeyi Role Assigments klasörü altında kullanılabilir hale getirelim.
12- 
13- Daha önce oluşturduğumuz rolü seçiyoruz.
14- 
15- Sonrasında da igili kullanıcı hesabını yeni role ekleyerek işlemi tamamlıyoruz.
16- 
Enterprise Vault ürünündeki “Role Based Access” yapısında View Only amaçla kullanılabilecek bir hesap tanımlamış olduk.
Kaynak:
http://www.symantec.com/business/support/index?page=content&id=TECH76981
Herkese sorunsuz ve neşeli günler dilerim.
Originally published by Baris Aydogmusoglu at http://www.aydogmusoglu.com
