Dijital altyapıların karmaşıklığı arttıkça, bilgi güvenliği yalnızca dış tehditlerin engellenmesi ile sınırlı kalmamaktadır. Günümüzde en büyük güvenlik risklerinden biri, kurum içi veya uygulama kaynaklı ayrıcalıklı erişimlerin kontrolsüz biçimde kullanılmasıdır. CyberArk, bu risk alanını hedef almakta ve kurumların en yüksek yetkilere sahip hesaplarını merkezi, denetlenebilir ve güvenli bir yapıya kavuşturmaktadır.
CyberArk, 1999 yılında teknoloji girişimcileri olduğu bilinen Ehud Udi Mokady ve Alon N. Cohen tarafından kurulmuştur. O dönemde kurumsal bilgi teknolojilerinin en önemli güvenlik problemi olarak ortaya çıkan yüksek ayrıcalıklı erişimlerin kontrolsüzlüğünü hedef almışlardır. Udi Mokady, askeri istihbarat ve bilgi güvenliği alanında deneyimli bir subay olarak şirketin vizyonunu belirlemiş; Alon N. Cohen ile birlikte modern ayrıcalıklı erişim yönetimi alanını şekillendiren teknolojiyi geliştirmiştir. CyberArk ilk döneminde, yönetici hesapları ve kritik kimlik bilgilerini merkezi, güvenli bir şekilde depolamaya ve bu bilgilere erişimi kontrollü hâle getirmeye odaklanmıştır. Bu teknoloji, ilk aşamada “Network Vault” adı verilen ve daha sonra CyberArk’ın temel mimarisinin merkezi hâline gelen dijital kasa yaklaşımını içeriyordu. Bu erken mimari yaklaşım zamanla modüler bir platforma evrilmiştir.
CyberArk, günümüzde temel olarak ayrıcalıklı erişim güvenliği (Privileged Access Security) alanında konumlanan bir platformdur. Kurumların bünyesindeki sistem yöneticisi hesapları, servis hesapları, uygulama kimlikleri, API anahtarları ve bulut yönetim rolleri gibi yüksek yetkiye sahip tüm erişim noktaları CyberArk kapsamında yönetilmektedir. Bu yaklaşım, yalnızca kullanıcıları değil, sistemler arası otomatik erişimleri de kapsayabilen bütüncül bir güvenlik modeli sunmaktadır.
Kurumsal bilgi sistemlerinde tüm kritik altyapılar, belirli hesaplar aracılığıyla yönetilmektedir. Bu hesaplar, normal kullanıcı hesaplarına kıyasla çok daha geniş yetkilere sahiptir. Bir sistem yöneticisi hesabı ele geçirildiğinde, saldırgan sistem yapılandırmalarını değiştirebilmekte, güvenlik kontrollerini devre dışı bırakabilmekte ve hassas verileri fark edilmeden dışarı aktarabilmektedir. Siber güvenlik olaylarının teknik analizleri incelendiğinde, büyük ölçekli saldırıların önemli bir bölümünün ayrıcalıklı hesapların ele geçirilmesiyle başladığı görülmektedir. Bu durum, geleneksel güvenlik önlemlerinin tek başına yeterli olmadığını göstermektedir.
CyberArk temel yaklaşım prensibini, parolaların başka kişiler tarafından bilinmesini engellemek üzerine kurmaktadır. Platform üzerinde hiçbir kritik parola kullanıcıya açık şekilde sunulmamaktadır. Böylece güvenliği yalnızca parolayı gizlemek olarak değil, yetkinin kullanım şeklini de kontrol etmek amacıyla bütün bir sistemi ele almaktadır. Bu nedenle CyberArk, erişimleri sürekli ve sınırsız bir hak olarak değil, geçici ve denetlenen bir işlem olarak değerlendirmektedir. Kullanıcı veya uygulama, yalnızca yetkilendirildiği işlem için erişim talebinde bulunabilmektedir. Gerekli kimlik bilgileri CyberArk tarafından arka planda kullanılmakta ve işlem tamamlandığında erişim sonlandırılmaktadır. Bu sürecin, insan hatasını ve kötüye kullanım riskini önemli ölçüde azaltması hedeflenmektedir.
Bu mimari yaklaşım, Zero Trust güvenlik prensiplerini yansıtmaktadır. Bu modelde hiçbir kullanıcı, sistem veya uygulama varsayılan olarak güvenilir kabul edilmemektedir. Her erişim talebi bağlamsal olarak doğrulanmakta, değerlendirilmekte ve yalnızca tanımlı bir amaç ve süre için yetkilendirilmektedir; erişimin hangi kaynaktan veya ağ konumundan geldiğine bakılmaksızın bu kontroller uygulanmaktadır.
Çalışma Yapısı
CyberArk ekosistemi, ayrıcalıklı erişimleri tek bir noktadan değil, birbirini tamamlayan bileşenler üzerinden yönetmektedir. Bu bileşenlerin her biri, yetkili hesapların yaşam döngüsünün farklı bir aşamasına odaklanmakta ve birlikte çalışarak katmanlı ve bütüncül bir güvenlik mimarisi oluşturmaktadır. Bu mimari, kullanılan yüksek yetkili kimliklerin nasıl saklandığını, nasıl kullanıldığını, hangi koşullarda erişildiğini ve bu erişimlerin nasıl denetlendiğini uçtan uca tanımlamaktadır.
CyberArk, ayrıcalıklı erişimi yalnızca “parola güvenliği” problemi olarak ele almamakta; erişimin gerçekleştiği bağlamı, davranışı ve etki alanını birlikte değerlendiren bir güvenlik modeli sunmaktadır. Bu nedenle platform, merkezi bir kasa yapısı etrafında konumlanan ve birbirini tamamlayan modüller aracılığıyla çalışmakta; her modül ayrıcalıklı erişim yaşam döngüsünün farklı bir aşamasını kontrol altına almaktadır. Bu yaklaşım, hem geleneksel veri merkezi ortamlarında hem de modern bulut ve DevOps mimarilerinde tutarlı ve ölçeklenebilir bir güvenlik çerçevesi oluşturulmasını mümkün kılmaktadır. Uygulama ve otomasyon sistemleri için CyberArk, gizli bilgilerin merkezi yönetimini sağlamaktadır.
CyberArk, belirli birkaç istemci aracıyla veya sadece web portal üzerinden desteklenebilir olan bağlantılar ile sınırlı kalmamakta; terminal araçlarından veritabanı yönetim yazılımlarına, otomasyon platformlarından bulut altyapılarına kadar geniş bir ekosistemle entegre çalışabilen bir erişim güvenliği katmanı olarak konumlanmaktadır. Bu yaklaşım, güvenliği kullanıcı alışkanlıklarını zorlamadan, altyapının merkezine yerleştirmeyi hedeflemektedir. Ayrıca Microsoft Active Directory, LDAP tabanlı dizin servisleri ve kimlik sağlayıcılar ile entegrasyon sayesinde merkezi kimlik yönetimini mümkün kılmaktadır.
Bu entegrasyonların temel amacı, kullanıcıların alışık oldukları araçları kullanmaya devam ederken, ayrıcalıklı kimlik bilgilerinin doğrudan kullanıcıya hiç gösterilmemesini sağlamaktır. Terminal ve uzak bağlantı araçları tarafında en yaygın entegrasyon alanı SSH ve RDP tabanlı istemcilerdir. Remote Desktop Manager (RDM), Rolay TS, PuTTY, MobaXterm, mRemoteNG, Remmina ve SecureCRT bu alanda en sık kullanılan araçlar arasında yer almaktadır. Bu uygulamalar CyberArk ile doğrudan parola paylaşımı yapmamaktadır; bağlantı süreci PSMP veya PSM üzerinden yönlendirilmekte, kimlik doğrulama kasadan otomatik olarak sağlanmaktadır. Aynı yaklaşım WinSCP, Cyberduck ve FileZilla gibi SFTP ve SCP tabanlı dosya transfer araçları için de geçerlidir. Uzak masaüstü ve sistem yönetimi tarafında Microsoft Remote Desktop (RDP), VMware vSphere Client, Citrix yönetim araçları ve Hyper-V Manager gibi platformlar CyberArk ile entegre edilebilmektedir. Veritabanı yönetim araçları da entegrasyonun önemli bir parçasını oluşturmaktadır. Oracle SQL Developer, SQL Server Management Studio, pgAdmin, MySQL Workbench ve benzeri araçlar, CyberArk kasasında tutulan veritabanı hesapları ile çalışabilmektedir. Bulut ve kimlik platformları tarafında AWS, Azure ve Google Cloud ortamları ile derin entegrasyonlar sağlanmaktadır.
DevOps ve otomasyon tarafında entegrasyon alanı daha da genişlemektedir. Jenkins, Ansible, Terraform, Kubernetes, OpenShift ve benzeri otomasyon platformları CyberArk Secrets Management çözümleri ile entegre çalışmaktadır. Bu yapı sayesinde CI/CD boru hatlarında kullanılan servis hesapları, API anahtarları ve token’lar kod içerisine gömülmemekte; çalışma anında güvenli şekilde alınmaktadır. Bu yaklaşım, modern yazılım geliştirme süreçlerinde en sık yapılan güvenlik hatalarından birini ortadan kaldırmaktadır.
1- Enterprise Password Vault (EPV)
CyberArk mimarisinin merkezinde “Dijital Kasa” (EPV – Enterprise Password Vault) yer almaktadır. Bu yapı, tüm ayrıcalıklı kimlik bilgilerini yüksek seviyede şifreleme yöntemleriyle saklamaktadır. Sistem yöneticisi parolaları, servis hesapları, veri tabanı kullanıcı bilgileri, SSH anahtarları, API anahtarları ve benzeri kritik kimlik bilgileri şifreli biçimde bu kasa içerisinde korunmaktadır. Bu kasada tutulan bilgiler, kullanıcılar tarafından doğrudan görülmemekte; erişimler hem ağ seviyesinde hem de mantıksal erişim kontrolleriyle izole edilmekte ve her işlem kayıt altına alınmaktadır. EPV’nin temel amacı, kritik kimlik bilgilerinin dosyalarda, veya kullanıcılar tarafından ezberlenmiş halde dolaşmasını ortadan kaldırmaktır. Kasanın içeriği doğrudan erişime kapalıdır ve tüm işlemler detaylı olarak loglanmaktadır.
Bir kullanıcı veya uygulama, ayrıcalıklı bir sisteme erişmek istediğinde CyberArk üzerinden talepte bulunmaktadır. Sistem, bu talebi önceden tanımlanmış güvenlik politikalarına göre değerlendirmektedir. Yetkilendirme koşulları sağlandığında, gerekli kimlik bilgileri CyberArk tarafından hedef sisteme iletilmektedir. Kullanıcı bu bilgileri görmemekte, kopyalayamamakta ve sistem dışında kullanamamaktadır. Erişim süresince yapılan tüm işlemler kayıt altına alınması ile birlikte kullanıcının çalıştırdığı komutlar, yaptığı değişiklikler ve oturum süresi detaylı şekilde izlenmektedir. Bu kayıtlar, olay inceleme, adli analiz ve denetim süreçlerinde kullanılmaktadır. İşlem tamamlandığında eğer istenirse kullanılan parola otomatik olarak değiştirilebilmektedir. Bu mekanizma, parolanın ele geçirilmiş olma ihtimalini kısa sürede ortadan kaldırmaktadır. Böylece parola yaşam döngüsü tamamen otomatik ve güvenli bir şekilde yönetilmektedir.
2- PVWA (Password Vault Web Access)
PVWA, kullanıcıların CyberArk ortamı ile etkileşime girdiği web tabanlı arayüzdür. Yetkili kullanıcılar, tarayıcı üzerinden PVWA bağlantısı sağlayarak yetkili oldukları kasalar üzerinde hangi sistemlere erişebileceklerini görmekte, onay süreçlerini yönetmekte ve oturum başlatmaktadır. Teknik açıdan PVWA, kullanıcı deneyimi katmanını oluşturmaktadır; kasanın kendisi değildir ancak kasaya erişimin kontrollü kapısıdır.
3- PSM (Privileged Session Manager)
PSM, yetkili oturumların güvenli biçimde başlatılmasını ve izlenmesini sağlayan vekil sunucudur. Kullanıcı, bir sunucuya, web portala veya ağa bağlanmak istediğinde doğrudan hedef sisteme bağlanamamaktadır. PSM sunucusu üzerinden hedef sunucuya yönlendirilmiş bir oturum açılmaktadır. Bu sırada parola kullanıcıya gösterilmemekte, oturum ekranı kayıt altına alınmakta ve gerektiğinde canlı olarak izlenebilmektedir. Aktif tüm oturumlar gerektiğinde CyberArk admin tarafından anlık olarak sonlandırılabilmektedir. Böylelikle PSM, oturum ile ilgili oluşabilecek sorulara teknik ve kanıtlanabilir bir yanıt üretmektedir.
Bu model, en az yetki (Least Privilege) ilkesini uygulamaktadır. Buna göre kullanıcılar ve uygulamalar, yalnızca belirli bir görevi yerine getirmek için gerekli olan asgari erişim seviyesini ve yalnızca bu işlemin tamamlanması için gereken süre boyunca yetkilendirilmektedir.
4- PSMP (Privileged Session Manager for SSH)
PSMP, özellikle Linux ve Unix sistemlerde kullanılan komut satırı erişimleri için tasarlanmış bir PSM türevidir. SSH üzerinden yapılan bağlantılar PSMP aracılığıyla kontrol edilmekte, kullanıcı hangi komutları çalıştırdıysa bu komutlar detaylı biçimde kaydedilmektedir. Bu yapı, terminal bazlı sistemlerde denetim ve izlenebilirliği PSM ile aynı şekilde mümkün kılmaktadır.
5- PTA (Privileged Threat Analytics)
PTA, yetkili hesapların davranışlarını analiz eden bir analitik bileşendir. Kullanıcıların geçmiş davranışlarını öğrenmekte ve normal dışı hareketleri tespit etmektedir. Örneğin bir kullanıcının alışılmadık saatlerde sisteme bağlanması veya normalde kullanmadığı bir komutu çalıştırması veya yüksek erişim yetkisi ile sistem dosyalarında yaptığı değişiklikler riskli davranış olarak değerlendirilmektedir. Bu yapı, saldırıları yalnızca kurallarla değil, davranışsal analizle yakalamayı amaçlamaktadır.
6- CPM (Central Policy Manager)
CPM, parolaların otomatik olarak değiştirilmesinden sorumlu bileşendir. Parola döndürme işlemleri, merkezi bir politika motoru tarafından yürütülmektedir. Bu bileşen, tanımlı kurallara göre sistemlere bağlanmakta, parolaları değiştirmekte ve kasadaki kayıtlarla senkronize etmektedir. Böylece manuel parola yönetimi ihtiyacı ortadan kalkmaktadır. Bir sistemin parolası belirlenen süre sonunda CPM tarafından değiştirilmekte ve yeni parola güvenli biçimde kullanıcının kayıtlı hesabının bulunduğu ilgili EPV içerisine kaydedilmektedir. Bu süreç tamamen otomatik gerçekleşmekte, manuel müdahaleye ihtiyaç duyulmamaktadır. CPM sayesinde uzun süre değiştirilmeyen, herkesin bildiği veya paylaşılan parolalar gibi klasik güvenlik zafiyetleri ortadan kaldırılmaktadır. Active Directory üzerinde bulunan kullanıcı hesapları da dahil olmak üzere tüm sistemlerin parolaları güçlü parolalar ile yenilenir ve sistem üzerine senkron bir şekilde yazılır.
7- EPM (Endpoint Privilege Manager)
EPM, kullanıcı bilgisayarları üzerindeki yönetici yetkilerini kontrol etmektedir. Bir kullanıcının bilgisayarında sürekli yönetici yetkisine sahip olması yerine, sadece ihtiyaç duyduğu anda ve belirli uygulamalar için yetki almasını sağlamaktadır. Böylece zararlı yazılımların sistem seviyesinde çalışması engellenmekte ve uç nokta güvenliği önemli ölçüde artırılmaktadır.
Secrets Management
Modern uygulama ve bulut ortamları için geliştirilen bir bileşen olarak, uygulamaların kullandığı gizli anahtarları ve kimlik bilgileri Secrets Management aracılığıyla yönetilmektedir. API anahtarları, token’lar ve servis hesapları kod içerisine gömülmemekte; uygulama çalıştığı anda güvenli şekilde CyberArk üzerinden alınmaktadır. Bu yaklaşım, özellikle mikroservis mimarileri ve otomasyon senaryolarında kritik önem taşımaktadır.
CyberArk WorkForce
Günümüzde web tabanlı uygulamalara erişim süreçlerinde, kullanıcı adı ve parola bilgilerinin internet tarayıcıları üzerinde kayıtlı şekilde tutulması ciddi bir güvenlik zafiyeti oluşturmaktadır. Her uygulama veya servis için farklı kimlik bilgileri kullanılması teorik olarak güvenliği artırmakta; ancak bu bilgilerin uç nokta cihazlarda saklanması, tarayıcı hafızalarında tutulması veya fiziksel ortamlarda muhafaza edilmesi pratikte sürdürülebilir ve güvenli bir yöntem olmamaktadır. Bu yaklaşım, kimlik bilgilerinin yetkisiz kişiler tarafından ele geçirilmesi, zararlı yazılımlar aracılığıyla sızdırılması veya kullanıcı hataları sonucu ifşa edilmesi riskini beraberinde getirmektedir.
CyberArk Workforce yaklaşımı, bu problemi ortadan kaldırmak amacıyla Single Sign-On, Multi-Factor Authentication ve bağlamsal erişim kontrolleri üzerine inşa edilmektedir. Kullanıcılar, merkezi bir kimlik doğrulama sürecinden geçtikten sonra yetkili oldukları uygulamalara güvenli biçimde erişmekte; tüm erişimler önceden tanımlanmış politikalar doğrultusunda merkezi olarak yönetilmektedir. Bu yapı, kullanıcıların çok sayıda parola yönetme ihtiyacını ortadan kaldırırken, kimlik hırsızlığı ve parola temelli saldırılara karşı güçlü bir koruma sağlamaktadır.
Ayrıcalıklı erişim güvenliği genellikle altyapı düzeyindeki yönetici ve sistem hesaplarıyla ilişkilendirilirken, modern kurumsal ortamlar iş uygulamalarına erişen insan kimliklerinin korunmasını da gerektirir. Kuruluşlar giderek web tabanlı ve bulut tabanlı hizmetlere güvendikçe, iş gücü erişimini kontrol etmek, ayrıcalıklı erişim yönetiminin doğal bir uzantısı haline gelir. Bu bağlamda, CyberArk Workforce, aynı güvenlik prensiplerini son kullanıcı kimliklerine ve uygulama erişimine genişleterek temel PAM mimarisini tamamlar.
CyberArk Workforce, uzaktan çalışma ve bulut tabanlı uygulamaların yaygınlaştığı modern iş modelleriyle uyumlu şekilde çalışmaktadır. Erişim talepleri değerlendirilirken kullanıcının konumu, erişim sağladığı cihazın güvenlik durumu ve önceki erişim davranışları gibi bağlamsal sinyaller analiz edilmekte; risk seviyesine göre ek doğrulama adımları devreye alınmaktadır. Ayrıca, çalışanların işe başlaması, görev değişikliği veya kurumdan ayrılması gibi durumlarda erişim yetkileri otomatik olarak güncellenmekte ve böylece yetkisiz erişim riskleri en aza indirilmektedir.
Yukarıda bahsedilen tüm bileşenler birlikte değerlendirildiğinde CyberArk, yalnızca bir parola kasası değil; ayrıcalıklı erişimlerin saklanması, kullanılması, izlenmesi, analiz edilmesi ve otomatik olarak yönetilmesini sağlayan kapsamlı bir güvenlik platformu olarak konumlanmaktadır. Bu mimari, hata olasılığını azaltmakta, saldırı yüzeyini daraltmakta, görünürlüğü arttırmakta ve kurumsal sistemlerde hesap verebilirliği teknik olarak mümkün kılmaktadır. Ek olarak sistemler, çok faktörlü kimlik doğrulama gibi modern güvenlik mekanizmalarıyla desteklenmektedir.
CyberArk, yalnızca teknik güvenlik sağlamakla kalmamakta, aynı zamanda kurumsal denetim ve uyumluluk gereksinimlerini de desteklemektedir. Finans, sağlık ve kamu gibi regülasyona tabi sektörlerde, ayrıcalıklı erişimlerin izlenebilir olması zorunlu tutulmaktadır. CyberArk, bu gereksinimi ayrıntılı kayıtlar ve raporlar aracılığıyla karşılamaktadır. Davranış analizi ve erişim kayıtları sayesinde anormal aktiviteler tespit edilebilmekte, olası tehditler erken aşamada fark edilebilmektedir. Bu durum, olaylara müdahale süresini kısaltmakta ve hasarın büyümesini engellemektedir.
Dijital altyapıların büyüdüğü ve saldırıların karmaşıklaştığı günümüzde, “kim, neye, ne zaman erişmektedir” sorusu güvenliğin temelini oluşturmaktadır. CyberArk, bu soruya teknik olarak tutarlı, denetlenebilir ve sürdürülebilir bir yanıt sunmaktadır veçalışma yapısı ile zararlı yazılımların sistem genelinde yetki kazanmasını önlemektedir . Bu nedenle modern kurumsal siber güvenlik mimarilerinde kritik bir bileşen olarak konumlanmaktadır.
CyberArk’ın ayrıcalıklı erişim yönetimi yaklaşımı, NIST Siber Güvenlik Çerçevesi’nde tanımlanan ilkelerle uyumludur. Özellikle, erişim kontrolü, kullanıcı tanımlama ve kimlik doğrulama, denetim ve sistem bütünlüğü ile ilgili kontroller, CyberArk’ın mimarisi aracılığıyla doğrudan ele alınmaktadır. En az ayrıcalık ilkesini uygulayarak, sürekli izleme, oturum kaydı ve kimlik bilgisi yaşam döngüsü otomasyonu ile CyberArk, kuruluşların kontrollü erişim, izlenebilirlik ve risk tabanlı güvenlik yönetimi için NIST gereksinimlerini karşılamasına destek olur. Bu uyum, CyberArk’ın yalnızca bir güvenlik aracı olarak değil, aynı zamanda NIST uyumlu kurumsal güvenlik programları için pratik bir uygulama katmanı olarak da işlev görmesini sağlar.
CyberArk, kurumsal bilgi sistemlerinde en yüksek risk barındıran erişim türü olan ayrıcalıklı erişimleri merkezi ve denetlenebilir bir yapıya kavuşturmaktadır. Platform, yetkiyi kalıcı bir hak olarak değil, kontrollü ve geçici bir işlem olarak ele almaktadır. Tüm erişimler izlenmekte, kayıt altına alınmakta ve güvenlik politikaları çerçevesinde yönetilmektedir.
Tüm bu koşullara ek olarak, sistem kesintileri veya acil müdahale gerektiren istisnai senaryolar için de kontrollü acil erişim mekanizmaları tanımlanabilmektedir. Bu erişim yolları sıkı şekilde izlenmekte, süre ile sınırlandırılmakta ve kritik koşullar altında dahi hesap verebilirliği sağlamak amacıyla tüm erişimler eksiksiz biçimde kayıt altına alınmaktadır. Bu tür durumlar CyberArk tarafından otomatik olarak “algılanmaz”, erişimin olağanüstü bir bağlamda gerçekleştiği bilgisi, yetkili kişiler veya harici olay ve kriz yönetim sistemleri tarafından bilinçli olarak tetiklenir.
Acil durum senaryoları CyberArk üzerinde önceden politika bazlı olarak tanımlanır. Hangi sistemler için, hangi tür kesintilerde veya operasyonel aksaklıklarda, hangi rollerin acil erişim talep edebileceği net şekilde belirlenir. Bu yaklaşım, kriz anlarında manuel ve kontrolsüz parola paylaşımı gibi yüksek riskli yöntemlere başvurulmasını engeller. Bir kesinti anında yetkili kullanıcı, standart erişim sürecinden farklı olarak emergency access (break-glass) talebi oluşturur. Talep onaylandığında, kullanıcıya yalnızca ilgili sistemle sınırlı ve süreyle kısıtlanmış bir erişim tanımlanır. Bu erişim sırasında kullanılan ayrıcalıklı kimlik bilgileri kullanıcıya açık edilmez; bağlantı PSM veya PSMP üzerinden aracılı olarak gerçekleştirilir. Bu noktada Central Policy Manager (CPM), kullanılan kimlik bilgilerini geçici ve kontrollü bir çerçevede yönetir. Tanımlı erişim süresi sona erdiğinde, ilgili parola zorunlu olarak değiştirilir ve acil durum erişimi otomatik biçimde sonlandırılır.
Bu sayede kritik durumlarda gerekli operasyonel esneklik sağlanırken, olay sonrasında bu erişimin kalıcı bir güvenlik riskine dönüşmesi engellenmiş olur. Tüm süreç boyunca gerçekleştirilen işlemler ayrıntılı şekilde kayıt altına alınır ve sonradan denetlenebilir hâle getirilir. Bu yaklaşım, olağanüstü koşullarda dahi en az ayrıcalık (least privilege) ve hesap verebilirlik (accountability) ilkelerinin korunmasını teknik olarak mümkün kılar.
Kaynakça: https://docs.cyberark.com/portal/latest/en/docs.htm
