Kimlik yeni perimetredir
"Perimetre" savunma modeli işlevsel olarak emekliye ayrıldı. Artık kimlik perimetre işlevini görüyor.Tek oturum açma (SSO)
- Tek bir kimlik sağlayıcı — Okta, Microsoft Entra ID, Google Workspace.
- Uygulamalar SAML 2.0 veya OIDC ile entegre.
- Kullanıcı sağlama / kaldırma SCIM ile mümkün olduğunca otomatik.
- Koşullu erişim politikaları — MFA, cihaz uyumu, konum tabanlı kurallar.
Çoğu kuruluş için en büyük IAM kazanımı: tüm iç uygulamaları SSO arkasına almak.
Çok faktörlü kimlik doğrulama (MFA)
- TOTP (authenticator uygulamaları) — makul bir temel.
- SMS — başka seçenek yoksa kullanın. SIM swapping'e karşı savunmasızdır.
- Donanım anahtarları (FIDO2 / WebAuthn / Passkeys) — phishing dirençli. Yüksek değerli hesaplar için doğru cevap.
- Push bildirimleri — kullanışlı ama MFA fatigue saldırısına açık. Numara eşleştiren varyantları tercih edin.
2026'da yön, passkey / WebAuthn'a doğru.
Rol bazlı erişim kontrolü (RBAC)
- Bireysel izinler değil, rolleri kullanıcılara atayın.
- Roller bireylere değil iş fonksiyonuna göre tanımlanır.
- Periyodik erişim incelemesi.
- Görevler ayrılığı — hassas işlemler birden fazla kişi gerektirir.
Ayrıcalıklı erişim yönetimi (PAM)
- Just-in-time erişim — ayrıcalık belirli bir pencere için verilir, sonra iptal edilir.
- Yükseltme için onay iş akışı.
- Hassas işlemler için oturum kaydı.
- Kısa rotasyonla vault tabanlı kimlik bilgileri.
- Paylaşılan hesap yok; ayrıcalıklı hesaplar dahil kullanıcı başına.
Servis-servis kimlik doğrulama
- mTLS — sertifika tabanlı karşılıklı TLS.
- OAuth client credentials — kısa ömürlü token'lar.
- SPIFFE / SPIRE — cloud-native için iş yükü kimliği.
- Cloud-native kimlik — EC2 için IAM rolleri, k8s pod'ları için service account.
Servisler arası uzun ömürlü statik kimlik bilgileri risktir. Bunları kısa ömürlü, kimliğe bağlı kimlik bilgileriyle değiştirin.
Yaşam döngüsü yönetimi
- Giriş / değişim / ayrılma süreci resmileştirilmiş.
- Sağlama otomatikleştirilmiş (SCIM, cloud IAM için IaC).
- Ayrılma sonrası saatler içinde kaldırma.
- Üç aylık erişim incelemeleri — yöneticiler ekibinin erişimini gözden geçirir.
- Yıllık derin inceleme — tam denetim.
Denetim kaydı
- Tüm kimlik doğrulama olayları.
- Tüm yetkilendirme kararları.
- Tüm ayrıcalık değişiklikleri.
- Tüm kimlik sistemi yönetici eylemleri.
- Uyumluluk / adli ihtiyaca uygun retention süresiyle merkezî.
Uyaracağımız bir desen
Uygulama kontrolü olmadan "MFA etkin" demek. Bypass edilebilen MFA, hiç MFA olmamasından biraz daha iyidir.Her zaman karşılığını veren bir desen
Üç aylık erişim inceleme toplantısı — yöneticiler ekiplerinin erişimini gözden geçirip onaylar veya kaldırır. Ekip başına 30 dakika.IAM yığınınız nedir?
Identity is the new perimeter
The "perimeter" defence model is functionally retired. Identity is the perimeter.Single sign-on (SSO)
- One identity provider — Okta, Microsoft Entra ID, Google Workspace.
- Apps integrate via SAML 2.0 or OIDC.
- User provisioning / deprovisioning automated via SCIM where possible.
- Conditional access policies — require MFA, device compliance, location-based rules.
The single biggest IAM win for most organisations: getting all internal apps behind SSO.
Multi-factor authentication (MFA)
- TOTP (authenticator apps) — fine baseline.
- SMS — use only if no other option. Vulnerable to SIM swapping.
- Hardware keys (FIDO2 / WebAuthn / Passkeys) — phishing-resistant. The right answer for high-value accounts.
- Push notifications — convenient, but vulnerable to MFA fatigue. Use number-matching variants.
In 2026, the move is to passkeys / WebAuthn.
Role-based access control (RBAC)
- Roles, not individual permissions, assigned to users.
- Roles based on job function, not on individuals.
- Periodic access review.
- Separation of duties — sensitive operations require multiple people.
Privileged access management (PAM)
- Just-in-time access — privilege granted for a defined window, then revoked.
- Approval workflow for elevation.
- Session recording for sensitive operations.
- Vault-managed credentials with short rotation.
- No shared accounts; per-user even for privileged.
Service-to-service auth
- mTLS — mutual TLS, certificate-based.
- OAuth client credentials — short-lived tokens.
- SPIFFE / SPIRE — workload identity for cloud-native.
- Cloud-native identity — IAM roles for EC2, service accounts for k8s pods.
Long-lived static credentials between services are the risk. Replace them with short-lived, identity-bound credentials.
Lifecycle management
- Joiners / movers / leavers process formalised.
- Provisioning automated (SCIM, IaC for cloud IAM).
- Deprovisioning within hours of departure.
- Quarterly access reviews — manager reviews their team's access.
- Annual deep review — full audit.
Audit logging
- All authentication events.
- All authorisation decisions.
- All privilege changes.
- All identity-system admin actions.
- Centralised, with retention appropriate to compliance / forensic needs.
One pattern we'd warn about
"We have MFA enabled" without verifying enforcement. MFA configured but bypass-able is barely better than no MFA.One pattern that always pays off
Quarterly access review meeting — managers walk through their team's access, confirm or remove. 30 minutes per team.What's your IAM stack?
