Our Gallery

Contact Info

Facebook-f Linkedin-in Instagram

PAM ve JIT Access 2026: Teleport, StrongDM, CyberArk ile Sıfır Kalıcı Yetki Mimarisi

Bulut & DevOps Siber Güvenlik
Ömer ÖNAL1 Yorum

Forrester’ın 2026 raporuna göre veri ihlallerinin %80’inde ortak faktör: aşırı yetkili kalıcı erişim. Geliştiriciler, sysadmin’ler, DBA’lar üretim ortamına 7/24 SSH/database/cloud console erişimine sahip; bu erişim çalındığında veya kötüye kullanıldığında şirketler milyonlarca dolar zarar görüyor. Modern Privileged Access Management (PAM) + JIT (Just-in-Time) access bu riski %75 azaltıyor. Türkiye’de bankacılık (BDDK Bilgi Sistemleri Yönetmeliği madde 21), enerji (ENERJİSA, BOTAŞ) ve kamu sistemlerinde session recording artık denetim zorunluluğu; ancak çoğu kurumda hâlâ “domain admin elinde 100 kişi var” anti-pattern’i devam ediyor.

Bu rehberde modern PAM mimarisini, JIT akışını, Teleport / StrongDM / CyberArk gibi araçları ve compliance gerekliliklerini somut sayılarla aktarıyoruz. Hedef kitle: Platform engineering, SecOps liderleri ve compliance audit’ine hazırlanan kurum yöneticileri.

📖 6 dakikalık okuma
İçindekiler
  1. PAM Kategorileri
  2. JIT Access Akışı
  3. Araçlar
  4. Teleport Mimarisi (Açık Kaynak)
  5. Zero Standing Privilege
  6. Database Erişim Pattern'ı
  7. Compliance Faydası
  8. Türkiye Sektörel Pratik
  9. Sık Sorulan Sorular
  10. Sonuç

PAM Kategorileri

  • Session management: SSH/RDP/database session proxy + recording.
  • Credential vaulting: Şifreleri tutar, kullanıcıya gösterilmez.
  • Just-in-Time access: Erişim sadece istenildiğinde, kısa süreli.
  • Privilege elevation: Normal user’a temporal admin.
  • Audit + session recording: Tüm aksiyon kaydedilir.
  • Break-glass workflow: Emergency erişim için zorunlu çift-onay + tam loglama.

JIT Access Akışı

  1. Geliştirici “production-db erişim istiyorum, 2 saat, X bug fix için”.
  2. Slack/email approval (yönetici onayı).
  3. PAM tool kısa-ömürlü credential üretir.
  4. Tüm session kaydedilir (asciinema, video).
  5. TTL bittiğinde erişim otomatik kapatılır.
  6. Audit log SIEM’e gönderilir.

Bu akış GitOps secret yönetimi rehberimizdeki dynamic secrets pattern’ı ile birleştirildiğinde “zero standing privilege” hedefine en yakın yapıyı kurar.

PAM ve JIT access dashboard, oturum kayitlari ve onay akisi
PAM ve JIT access dashboard, oturum kayitlari ve onay akisi

Araçlar

ToolBest forAylık Maliyet
Teleport (gravitational)SSH, K8s, DB, app — open source temel$15-50/user
StrongDMDatabase, cloud, K8s$60-150/user
CyberArkEnterprise PAM mature$100-300/user
HashiCorp BoundaryVault ekosistemi$30-100/user
BeyondTrustEnterprise$80-200/user
AWS Systems Manager Session ManagerAWS onlyAPI usage
Delinea (Thycotic)Windows-heavy ortam$50-150/user

Teleport Mimarisi (Açık Kaynak)

  • Auth Service: Identity provider entegre (SSO, MFA).
  • Proxy Service: SSH, K8s, DB, app trafiği proxy.
  • Node: Her sunucuda agent (veya agentless RDP/DB).
  • Certificate authority: Kısa ömürlü SSH/X.509 cert.
  • Audit log: Session recording S3/encrypted store.

Teleport’un en sevdiğim yönü cert-based ephemeral access: kullanıcının kalıcı bir SSH key’i yok, login sırasında 4-8 saat geçerli short-lived cert üretiliyor. Çalınan bir laptop = 8 saat sonra ölü erişim. Buna karşılık klasik “SSH key authorized_keys’te” pattern’inde çalınan key 6 ay tespit edilmiyor.

Teleport StrongDM JIT akis mimari diyagrami, sertifika tabanli erisim
Teleport StrongDM JIT akis mimari diyagrami, sertifika tabanli erisim

Zero Standing Privilege

Modern security paradigması: kimsenin kalıcı admin yetkisi yok. Tüm yetki request-based:

  • Normal kullanıcı = sıfır production erişimi.
  • Production incident → 1 saat read-only erişim (otomatik onay).
  • Production deploy → 30 dakika write erişim (manuel onay).
  • Break-glass: Emergency admin (audit log + zorunlu kontrol).
  • “Glass break” eventi otomatik Slack #security’e + manager pager’a düşer.

Database Erişim Pattern’ı

Production veritabanına developer erişimi modern PAM’in en sancılı tarafıdır. Pratik 3 katmanlı yaklaşım:

  • Tier 1 — Read-only debug: StrongDM/Teleport DB proxy üzerinden 30 dakikalık session. Tüm query loglanır. SELECT only.
  • Tier 2 — Write fix (incident): Manager + DBA çift onay. 15 dakikalık write window. Session recording + query playback.
  • Tier 3 — DDL/schema change: Migration pipeline (Liquibase, Flyway). Manuel DB shell asla.

Bu pattern Postgres RLS rehberimizdeki tenant-level izolasyon ile beraber çalışır — RLS sayesinde “yanlış tenant verisine baktı” insider threat de engellenir.

SecOps ekibi privileged access policy planlamasi
SecOps ekibi privileged access policy planlamasi

Compliance Faydası

  • SOC 2 Type II audit: PAM + session recording zorunlu.
  • ISO 27001 Annex A.9: Access control kontrol ailesi.
  • PCI-DSS Requirement 7-8: privileged user yönetimi.
  • KVKK: özel nitelikli veri erişiminde izleme.
  • BDDK Bilgi Sistemleri Yönetmeliği madde 21: privileged kullanıcı log saklama 5 yıl.
  • NIST SP 800-53 AC-2, AC-6: hesap yönetimi ve en az ayrıcalık.

Türkiye Sektörel Pratik

  • Bankacılık: CyberArk dominantı, BDDK denetimi spesifik talepler. Session recording 5 yıl saklama.
  • Telekom: Karma — CyberArk + Teleport + AWS SSM. ENERJİ ve telekom sektöründe BTK denetim çerçevesi.
  • Fintech: Teleport veya StrongDM, lean ekipler.
  • E-ticaret: StrongDM çok yaygın (multi-cloud DB erişimi).
  • Kamu: Lokal çözümler veya on-prem CyberArk.
  • KOBİ: Çoğu hâlâ “domain admin paylaşımlı” anti-pattern’inde.

Sık Sorulan Sorular

JIT akışı ne kadar yavaşlatır?

Otomatik onay (Slack bot) ile 30-60 saniye. Manuel onay ile 5-15 dakika. Acil durumlar için “break-glass” emergency akış var.

Teleport ücretsiz mi yeterli?

Community edition tek cluster + 5 sunucu için yeter. Enterprise gerekli: SSO, role-based access, compliance reporting.

Session recording ne kadar veri tüketiyor?

SSH session: 1 MB / 30 dakika (terminal recording). Kubernetes exec: 500 KB / 10 dakika. Yıllık tipik: 100-500 GB.

Geliştiriciler bu kadar friction’a alışır mı?

İyi UX (Slack bot, CLI shortcut, IDE plugin) ile evet. Onboarding eğitimi şart. Compliance avantajı + güvenlik açıklarının azalması rahatlatıyor.

Break-glass akışı nasıl tasarlanmalı?

Çift onay (manager + SecOps), 30-60 dakika TTL, Slack #security’e otomatik post, sonra mandatory postmortem. Break-glass kullanımı haftalık 0-1’i geçiyorsa süreç yanlış kurulmuş demek.

Ömer Önal’dan pratik not: Türkiye’de PAM rollout danışmanlığı verdiğim bankacılık ve fintech projelerinde gözlemlediğim en kritik fark, geliştirici friction’unu küçümsemek. Eğer JIT request’i 5 dakikadan uzun sürerse, geliştirici “ben kendi laptop’umdan tunnel kurayım” çözümüne kayar — bu da tüm PAM yatırımını çöpe atar. Doğru tasarım: otomatik onay senaryoları (read-only 30dk, devam eden incident kapsamında, çalışma saatleri içinde) Slack bot ile 30 saniyede tamamlanmalı; manuel onay sadece write/DDL/break-glass için. Teleport’un cert-based ephemeral mimarisi bence en doğru yatırım — kalıcı SSH key’i tamamen ortadan kaldırıyor, çalınan laptop senaryosunu zaman penceresine sıkıştırıyor. Bir diğer detay: session recording’i kurduktan sonra “review oranı” %5’in altına düşerse caydırıcılık etkisi de düşer; rastgele aylık spot-check + AI tabanlı anomaly review yapmanızı öneririm. Sizin organizasyonunuzda şu an kaç kişi production’a kalıcı SSH erişimine sahip — bu sayıyı önümüzdeki 6 ayda nasıl sıfırlama planınız var?

Sonuç

PAM ve JIT access, modern güvenlik mimarisinin omurgasıdır. Doğru kurulum (Teleport/StrongDM + Slack onay + session recording + SIEM integration) ile kalıcı admin yetkisi %90 azalır, insider threat %75 düşer, SOC 2/ISO 27001 audit hazırlığı haftalar yerine günler. Mimariyi zero trust ZTNA, mTLS zero trust, GitOps secret yönetimi ve incident response içeriklerimizle bütünleştirin. İletişim formundan projeniz için PAM mimari değerlendirme talep edebilirsiniz.

Dış otorite kaynaklar: Teleport · StrongDM · CyberArk · NIST SP 800-53

Ömer ÖNAL

Yazılım Mimarı | Yapay Zeka LLC. Ölçeklenebilir SaaS, .NET Core altyapıları ve Otonom AI süreçleri inşa ediyorum. Kod değil, sistem tasarlarım.

İlgili Yazılar

Spot Instance ve Preemptible VM Stratejisi: %70 Maliyet Azaltma
Bulut & DevOps
Ömer ÖNAL
Spot Instance ve Preemptible VM Stratejisi: %70 Maliyet Azaltma
AWS Spot Advisor 2025 verilerine göre popüler EC2...
Multi-Cloud Maliyet Yönetimi: CloudHealth, Apptio, Vantage Karşılaştırması
Bulut & DevOps
Ömer ÖNAL
Multi-Cloud Maliyet Yönetimi: CloudHealth, Apptio, Vantage Karşılaştırması
IDC Worldwide Public Cloud Services Tracker 2025 raporuna...

Yorum (1)

  1. Ömer ÖNAL
    Mayıs 17, 2026
    Yanıtla

    Türkiye’de PAM rollout danışmanlığı verdiğim bankacılık ve fintech projelerinde en kritik fark, geliştirici friction’unu küçümsemek. JIT request’i 5 dakikadan uzun sürerse geliştirici “kendi laptop’umdan tunnel kurarım” çözümüne kayar — tüm PAM yatırımı çöpe gider. Doğru tasarım: read-only ve incident-kapsamlı otomatik onay senaryoları Slack bot ile 30 saniyede tamamlanmalı; manuel onay sadece write/DDL/break-glass için. Teleport’un cert-based ephemeral mimarisi bence en doğru yatırım — kalıcı SSH key’i tamamen ortadan kaldırıyor, çalınan laptop senaryosunu 4-8 saatlik zaman penceresine sıkıştırıyor. Bir diğer detay: session recording review oranı %5’in altına düşerse caydırıcılık etkisi de düşer; rastgele aylık spot-check + AI tabanlı anomaly review öneririm. Database erişimi tarafında 3 katmanlı pattern (read-only 30dk, write 15dk çift onay, DDL migration pipeline) BDDK denetimini de kolaylıkla geçiyor. Sizin organizasyonunuzda şu an kaç kişi production’a kalıcı SSH erişimine sahip ve önümüzdeki 6 ayda bu sayıyı sıfırlama planınız var mı?

Yorum Yap

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir