Azure Kimlik Yönetimi ve erişim denetimi için en iyi güvenlik uygulamaları
Bu makalede, Azure kimlik yönetimi ve erişim denetimi güvenlik en iyi deneyimlerinden oluşan bir koleksiyon ele alınacağız. Bu en iyi yöntemler, Microsoft Entra ID deneyimimizden ve sizin gibi müşterilerin deneyimlerinden türetilmiştir.
Her en iyi uygulama için şunları açıklayacağız:
- En iyi yöntem nedir?
- Bu en iyi yöntemi neden etkinleştirmek istiyorsunuz?
- En iyi yöntemi etkinleştiremezseniz sonuç ne olabilir?
- En iyi uygulama için olası alternatifler
- En iyi yöntemi etkinleştirmeyi nasıl öğrenebilirsiniz?
Bu Azure kimlik yönetimi ve erişim denetimi güvenlik en iyi yöntemleri makalesi, bu makalenin yazıldığı sırada mevcut olan bir fikir birliğine ve Azure platformu özelliklerine ve özellik kümelerine dayanır.
Bu makaleyi yazarken amaç, temel özelliklerimizden ve hizmetlerimizden bazılarında size yol gösteren "Kimlik altyapınızı güvenli hale getirmek için 5 adım" denetim listemiz tarafından yönlendirilen dağıtımdan sonra daha güçlü bir güvenlik duruşu için genel bir yol haritası sağlamaktır.
Görüşler ve teknolojiler zaman içinde değişir ve bu makale bu değişiklikleri yansıtacak şekilde düzenli olarak güncelleştirilecektir.
Bu makalede ele alınan Azure kimlik yönetimi ve erişim denetimi güvenlik en iyi yöntemleri şunlardır:
- Kimliği birincil güvenlik çevresi olarak ele alın
- Kimlik yönetimini merkezileştirme
- Bağlı kiracıları yönetme
- Çoklu oturum açmayı etkinleştirin
- Koşullu Erişim'i açma
- Rutin güvenlik geliştirmelerini planlama
- Parola yönetimini etkinleştirme
- Kullanıcılar için çok faktörlü doğrulamayı zorunlu kılma
- Rol tabanlı erişim denetimi kullanma
- Ayrıcalıklı hesapların daha düşük pozlaması
- Kaynakların bulunduğu konumları denetleme
- Depolama kimlik doğrulaması için Microsoft Entra Id kullanma
Kimliği birincil güvenlik çevresi olarak ele alın
Çoğu kişi kimliği güvenlik için birincil çevre olarak kabul etti. Bu, geleneksel ağ güvenliği odağından bir geçiştir. Ağ çevreleri daha gözenekli olmaya devam eder ve bu çevre savunması KCG cihazlarının ve bulut uygulamalarının patlamadan önceki kadar etkili olamaz.
Microsoft Entra Id , kimlik ve erişim yönetimi için Azure çözümüdür. Microsoft Entra ID, Microsoft'un çok kiracılı, bulut tabanlı bir dizin ve kimlik yönetimi hizmetidir. Temel dizin hizmetlerini, uygulama erişimi yönetimini ve kimlik korumasını tek bir çözümde toplar.
Aşağıdaki bölümlerde, Microsoft Entra Id kullanarak kimlik ve erişim güvenliğine yönelik en iyi yöntemler listelanmaktadır.
En iyi yöntem: Kullanıcı ve hizmet kimlikleriyle ilgili güvenlik denetimlerini ve algılamalarını ortalama. Ayrıntı: Denetimleri ve kimlikleri birlikte kullanmak için Microsoft Entra Id kullanın.
Kimlik yönetimini merkezileştirme
Karma kimlik senaryosunda şirket içi ve bulut dizinlerinizi tümleştirmenizi öneririz. Tümleştirme, BT ekibinizin bir hesabın nerede oluşturulduğundan bağımsız olarak hesapları tek bir konumdan yönetmesini sağlar. Tümleştirme ayrıca hem bulut hem de şirket içi kaynaklara erişmek için ortak bir kimlik sağlayarak kullanıcılarınızın daha üretken olmasına yardımcı olur.
En iyi yöntem: Tek bir Microsoft Entra örneği oluşturun. Tutarlılık ve tek bir yetkili kaynak, netliği artırır ve insan hatalarından ve yapılandırma karmaşıklığından kaynaklanan güvenlik risklerini azaltır.
Ayrıntı: Kurumsal ve kurumsal hesaplar için yetkili kaynak olarak tek bir Microsoft Entra dizini belirleyin.
En iyi yöntem: Şirket içi dizinlerinizi Microsoft Entra Id ile tümleştirin.
Ayrıntı: Şirket içi dizininizi bulut dizininizle eşitlemek için Microsoft Entra Bağlan kullanın.
Dekont
Microsoft Entra Bağlan performansını etkileyen faktörler vardır. Microsoft Entra Bağlan'nin, yetersiz performansa sahip sistemlerin güvenlik ve üretkenliği engelleyip engellenmemesini sağlamak için yeterli kapasiteye sahip olduğundan emin olun. Büyük veya karmaşık kuruluşlar (100.000'den fazla nesne hazırlayan kuruluşlar), Microsoft Entra Bağlan uygulamalarını iyileştirmek için önerileri izlemelidir.
En iyi yöntem: Mevcut Active Directory örneğinizde yüksek ayrıcalıklara sahip hesapları Microsoft Entra Kimliği ile eşitlemeyin.
Ayrıntı: Bu hesapları filtreleyen varsayılan Microsoft Entra Bağlan yapılandırmasını değiştirmeyin. Bu yapılandırma, buluttan şirket içi varlıklara (büyük bir olay oluşturabilir) özetlenen saldırgan riskini azaltır.
En iyi yöntem: Parola karması eşitlemesini açın.
Ayrıntı: Parola karması eşitlemesi, şirket içi Active Directory bir örnekteki kullanıcı parola karmalarını bulut tabanlı bir Microsoft Entra örneğiyle eşitlemek için kullanılan bir özelliktir. Bu eşitleme, sızdırılan kimlik bilgilerinin önceki saldırılardan yeniden oynatılmasına karşı korunmaya yardımcı olur.
Active Directory Federasyon Hizmetleri (AD FS) (AD FS) veya diğer kimlik sağlayıcılarıyla federasyon kullanmaya karar verseniz bile, şirket içi sunucularınızın başarısız olması veya geçici olarak kullanılamaz duruma gelmesi durumunda parola karması eşitlemesini isteğe bağlı olarak yedek olarak ayarlayabilirsiniz. Bu eşitleme, kullanıcıların şirket içi Active Directory örneğinde oturum açmak için kullandıkları parolayı kullanarak hizmette oturum açmasına olanak tanır. Ayrıca, bir kullanıcı Microsoft Entra ID'ye bağlı olmayan diğer hizmetlerde aynı e-posta adresini ve parolayı kullandıysa, Kimlik Koruması'nın eşitlenmiş parola karmalarını gizliliği aşıldığı bilinen parolalarla karşılaştırarak güvenliği aşılmış kimlik bilgilerini algılamasına da olanak tanır.
Daha fazla bilgi için bkz. Microsoft Entra Bağlan Sync ile parola karması eşitlemesi uygulama.
En iyi yöntem: Yeni uygulama geliştirme için kimlik doğrulaması için Microsoft Entra Id kullanın.
Ayrıntı: Kimlik doğrulamasını desteklemek için doğru özellikleri kullanın:
- Çalışanlar için Microsoft Entra Id
- Konuk kullanıcılar ve dış iş ortakları için Microsoft Entra B2B
- Azure AD B2C , müşterilerin uygulamalarınızı kullanırken profillerine nasıl kaydolacaklarını, oturum açtıklarını ve profillerini nasıl yöneteceklerini denetlemek için
Şirket içi kimliklerini bulut kimlikleriyle tümleştirmeyen kuruluşlar, hesapları yönetme konusunda daha fazla yüke sahip olabilir. Bu ek yük, hata ve güvenlik ihlali olasılığını artırır.
Dekont
Kritik hesapların hangi dizinlerde bulunacağını ve kullanılan yönetici iş istasyonunun yeni bulut hizmetleri veya mevcut işlemler tarafından yönetilip yönetilmeyeceğini seçmeniz gerekir. Mevcut yönetim ve kimlik sağlama işlemlerinin kullanılması bazı riskleri azaltabilir, ancak bir saldırganın şirket içi hesabı tehlikeye atıp buluta özetleme riski de oluşturabilir. Farklı roller için farklı bir strateji kullanmak isteyebilirsiniz (örneğin, BT yöneticileri ve iş birimi yöneticileri). İki seçeneğiniz vardır. İlk seçenek, şirket içi Active Directory örneğiniz ile eşitlenmemiş Microsoft Entra hesapları oluşturmaktır. Yönetici iş istasyonunuzu Microsoft Intune kullanarak yönetebileceğiniz ve düzeltme eki ekleyebileceğiniz Microsoft Entra ID'ye ekleyin. İkinci seçenek, şirket içi Active Directory örneğinize eşitleyerek mevcut yönetici hesaplarını kullanmaktır. Yönetim ve güvenlik için Active Directory etki alanınızdaki mevcut iş istasyonlarını kullanın.
Bağlı kiracıları yönetme
Güvenlik kuruluşunuzun riski değerlendirmek ve kuruluşunuzun ilkelerinin ve herhangi bir mevzuat gereksinimlerine uyulup uyulmadığını belirlemek için görünürlüğe ihtiyacı vardır. Güvenlik kuruluşunuzun üretim ortamınıza ve ağınıza bağlı tüm abonelikleri (Azure ExpressRoute veya siteden siteye VPN aracılığıyla) görünür durumda olduğundan emin olmanız gerekir. Microsoft Entra Id'deki Genel Yönetici istrator, Kullanıcı Erişimi Yönetici istrator rolüne erişimini yükseltebilir ve ortamınıza bağlı tüm abonelikleri ve yönetilen grupları görebilir.
Sizin ve güvenlik grubunuzun ortamınıza bağlı tüm abonelikleri veya yönetim gruplarını görüntüleyebilmenizi sağlamak için bkz. Tüm Azure aboneliklerini ve yönetim gruplarını yönetmek için erişimi yükseltme. Riskleri değerlendirdikten sonra bu yükseltilmiş erişimi kaldırmalısınız.
Çoklu oturum açmayı etkinleştirin
Mobil ve bulut öncelikli bir dünyada, kullanıcılarınızın her yerde ve her yerde üretken olabilmesi için cihazlara, uygulamalara ve hizmetlere her yerden çoklu oturum açmayı (SSO) etkinleştirmek istiyorsunuz. Yönetecek birden çok kimlik çözümüne sahip olduğunuzda, bu yalnızca BT için değil, aynı zamanda birden çok parolayı hatırlaması gereken kullanıcılar için de yönetim sorunu haline gelir.
Tüm uygulamalarınız ve kaynaklarınız için aynı kimlik çözümünü kullanarak SSO'ya ulaşabilirsiniz. Ayrıca kullanıcılarınız, ister şirket içinde ister bulutta olsun, oturum açmak ve ihtiyaç duydukları kaynaklara erişmek için aynı kimlik bilgileri kümesini kullanabilir.
En iyi yöntem: SSO'nun etkinleştirilmesi.
Ayrıntı: Microsoft Entra Id, şirket içi Active Directory buluta genişletir. Kullanıcılar, etki alanına katılmış cihazları, şirket kaynakları ve işlerini yapmak için ihtiyaç duydukları tüm web ve SaaS uygulamaları için birincil iş veya okul hesabını kullanabilir. Kullanıcıların birden çok kullanıcı adı ve parola kümesini hatırlaması gerekmez ve kuruluş grubu üyeliklerine ve çalışan olarak durumlarına göre uygulama erişimleri otomatik olarak sağlanabilir (veya sağlamaları kaldırılabilir). Ayrıca galeri uygulamalarına veya Microsoft Entra uygulama ara sunucusu aracılığıyla geliştirip yayımladığınız kendi şirket içi uygulamalarınıza erişimi denetleyebilirsiniz.
Kullanıcıların SaaS uygulamalarına Microsoft Entra Id'deki iş veya okul hesaplarına göre erişmesini sağlamak için SSO kullanın. Bu yalnızca Microsoft SaaS uygulamaları için değil, Google Apps ve Salesforce gibi diğer uygulamalar için de geçerlidir. Uygulamanızı SAML tabanlı kimlik sağlayıcısı olarak Microsoft Entra Id kullanacak şekilde yapılandırabilirsiniz. Güvenlik denetimi olarak, Microsoft Entra Id, kullanıcılara Microsoft Entra Kimliği üzerinden erişim verilmediği sürece uygulamada oturum açmalarına izin veren bir belirteç vermez. Erişim iznini doğrudan veya kullanıcıların üyesi olduğu bir grup aracılığıyla vekleyebilirsiniz.
Kullanıcıları ve uygulamaları için SSO oluşturmak üzere ortak bir kimlik oluşturmayan kuruluşlar, kullanıcıların birden çok parolaya sahip olduğu senaryolara daha fazla maruz bırakılır. Bu senaryolar, kullanıcıların parolaları yeniden kullanma veya zayıf parola kullanma olasılığını artırır.
Koşullu Erişim'i açma
Kullanıcılar, çeşitli cihazları ve uygulamaları her yerden kullanarak kuruluşunuzun kaynaklarına erişebilir. BT yöneticisi olarak, bu cihazların güvenlik ve uyumluluk standartlarınıza uygun olduğundan emin olmak istiyorsunuz. Kaynağa kimlerin erişebileceğine odaklanmak artık yeterli değildir.
Güvenlik ve üretkenliği dengelemek için erişim denetimi hakkında karar vermeden önce kaynağa nasıl erişilir diye düşünmeniz gerekir. Microsoft Entra Koşullu Erişim ile bu gereksinimi karşılayabilirsiniz. Koşullu Erişim ile bulut uygulamalarınıza erişim koşullarına göre otomatik erişim denetimi kararları alabilirsiniz.
En iyi yöntem: Şirket kaynaklarına erişimi yönetme ve denetleme.
Ayrıntı: SaaS uygulamaları ve Microsoft Entra ID ile bağlı uygulamalar için grup, konum ve uygulama duyarlılığına göre yaygın Microsoft Entra Koşullu Erişim ilkelerini yapılandırın.
En iyi yöntem: Eski kimlik doğrulama protokollerini engelleme.
Ayrıntı: Saldırganlar, özellikle parola spreyi saldırılarında eski protokollerdeki zayıflıklardan her gün yararlanır. Eski protokolleri engellemek için Koşullu Erişim'i yapılandırın.
Rutin güvenlik geliştirmelerini planlama
Güvenlik her zaman gelişmektedir ve bulut ve kimlik yönetimi çerçevenize düzenli olarak büyüme göstermenin ve ortamınızın güvenliğini sağlamanın yeni yollarını keşfetmenin bir yolunu oluşturmanız önemlidir.
Kimlik Güvenli Puanı, Microsoft'un güvenlik duruşunuzu objektif olarak ölçmek ve gelecekteki güvenlik geliştirmelerini planlamaya yardımcı olmak için size sayısal puan sağlamak için çalışan bir dizi önerilen güvenlik denetimidir. Ayrıca puanınızı diğer sektörlerdekilerle ve zaman içindeki eğilimlerinizle karşılaştırıldığında görüntüleyebilirsiniz.
En iyi yöntem: Sektörünüzdeki en iyi uygulamalara göre rutin güvenlik gözden geçirmeleri ve iyileştirmeleri planlayın.
Ayrıntı: Zaman içindeki geliştirmelerinizi sıralamak için Kimlik Güvenli Puanı özelliğini kullanın.
Parola yönetimini etkinleştirme
Birden çok kiracınız varsa veya kullanıcıların kendi parolalarını sıfırlamasını sağlamak istiyorsanız, uygunsuz kullanımı önlemek için uygun güvenlik ilkelerini kullanmanız önemlidir.
En iyi yöntem: Kullanıcılarınız için self servis parola sıfırlama (SSPR) ayarlayın.
Ayrıntı: Microsoft Entra Id self servis parola sıfırlama özelliğini kullanın.
En iyi yöntem: SSPR'nin gerçekten nasıl veya gerçekten kullanıldığını izleyin.
Ayrıntı: Microsoft Entra ID Parola Sıfırlama Kayıt Etkinliği raporunu kullanarak kaydolan kullanıcıları izleyin. Microsoft Entra ID'nin sağladığı raporlama özelliği, önceden oluşturulmuş raporları kullanarak soruları yanıtlamanıza yardımcı olur. Uygun lisansa sahipseniz özel sorgular da oluşturabilirsiniz.
En iyi yöntem: Bulut tabanlı parola ilkelerini şirket içi altyapınıza genişletme.
Ayrıntı: Şirket içi parola değişiklikleri için bulut tabanlı parola değişiklikleriyle aynı denetimleri gerçekleştirerek kuruluşunuzdaki parola ilkelerini geliştirin. Yasaklanmış parola listelerini mevcut altyapınıza genişletmek için şirket içi Windows Server Active Directory aracıları için Microsoft Entra parola korumasını yükleyin. Şirket içinde parolaları değiştiren, ayarlayan veya sıfırlayan kullanıcıların ve yöneticilerin yalnızca bulut kullanıcıları ile aynı parola ilkesine uyması gerekir.
Kullanıcılar için çok faktörlü doğrulamayı zorunlu kılma
Tüm kullanıcılarınız için iki aşamalı doğrulamaya ihtiyaç duymanızı öneririz. Bu, yöneticileri ve kuruluşunuzdaki hesapları tehlikeye atılırsa (örneğin, finans memurları) önemli bir etkiye sahip olabilecek diğer kişileri içerir.
İki aşamalı doğrulamayı gerektirmek için birden çok seçenek vardır. Sizin için en iyi seçenek hedeflerinize, çalıştırdığınız Microsoft Entra sürümüne ve lisans programınıza bağlıdır. Bkz . Bir kullanıcının sizin için en iyi seçeneği belirlemesi için iki aşamalı doğrulama gerektirme. Lisanslar ve fiyatlandırma hakkında daha fazla bilgi için Microsoft Entra Id ve Microsoft Entra çok faktörlü kimlik doğrulaması fiyatlandırma sayfalarına bakın.
İki aşamalı doğrulamayı etkinleştirme seçenekleri ve avantajları şunlardır:
Seçenek 1: Microsoft Entra Security Defaults ile tüm kullanıcılar ve oturum açma yöntemleri için MFA'yı etkinleştirme
Avantaj: Bu seçenek, ortamınızdaki tüm kullanıcılar için MFA'yı aşağıdakilere yönelik sıkı bir ilkeyle kolayca ve hızlı bir şekilde zorunlu kılmanızı sağlar:
- Yönetim hesaplarını ve yönetici oturum açma mekanizmalarını sınama
- Tüm kullanıcılar için Microsoft Authenticator aracılığıyla MFA sınaması gerektirme
- Eski kimlik doğrulama protokollerini kısıtlayın.
Bu yöntem tüm lisanslama katmanları tarafından kullanılabilir ancak mevcut Koşullu Erişim ilkeleriyle karıştırılamaz. Microsoft Entra Security Defaults içinde daha fazla bilgi bulabilirsiniz
Seçenek 2: Kullanıcı durumunu değiştirerek çok faktörlü kimlik doğrulamasını etkinleştirin.
Avantaj: Bu, iki aşamalı doğrulama gerektirmeye yönelik geleneksel yöntemdir. Hem bulutta Microsoft Entra çok faktörlü kimlik doğrulaması hem de Azure Multi-Factor Authentication Sunucusu ile çalışır. Bu yöntemin kullanılması, kullanıcıların her oturum açtıklarında iki aşamalı doğrulama gerçekleştirmelerini ve Koşullu Erişim ilkelerini geçersiz kılmalarını gerektirir.
Çok faktörlü kimlik doğrulamasının nerede etkinleştirilmesi gerektiğini belirlemek için bkz. Microsoft Entra çok faktörlü kimlik doğrulamasının hangi sürümü kuruluşum için doğru?
Seçenek 3: Koşullu Erişim ilkesiyle çok faktörlü kimlik doğrulamasını etkinleştirin.
Avantaj: Bu seçenek, Koşullu Erişim kullanarak belirli koşullar altında iki aşamalı doğrulama istemenizi sağlar. Belirli koşullar farklı konumlardan, güvenilmeyen cihazlardan veya riskli olarak gördüğünüz uygulamalardan kullanıcı oturumu açma olabilir. İki aşamalı doğrulama gerektiren belirli koşulları tanımlamak, kullanıcılarınızın sürekli olarak sorulmasını önlemenizi sağlar ve bu da hoş olmayan bir kullanıcı deneyimi olabilir.
Bu, kullanıcılarınız için iki aşamalı doğrulamayı etkinleştirmenin en esnek yoludur. Koşullu Erişim ilkesinin etkinleştirilmesi yalnızca bulutta Microsoft Entra çok faktörlü kimlik doğrulaması için çalışır ve Microsoft Entra Id'nin premium bir özelliğidir. Bulut tabanlı Microsoft Entra çok faktörlü kimlik doğrulamasını dağıtma bölümünde bu yöntem hakkında daha fazla bilgi bulabilirsiniz.
4. Seçenek: Risk Tabanlı Koşullu Erişim ilkelerini değerlendirerek Koşullu Erişim ilkeleriyle çok faktörlü kimlik doğrulamasını etkinleştirin.
Avantaj: Bu seçenek şunları sağlar:
- Kuruluşunuzun kimliklerini etkileyen olası güvenlik açıklarını algılama.
- Kuruluşunuzun kimlikleriyle ilgili algılanan şüpheli eylemler için otomatik yanıtları yapılandırın.
- Şüpheli olayları araştırın ve bunları çözmek için uygun eylemleri gerçekleştirin.
Bu yöntem, tüm bulut uygulamaları için kullanıcı ve oturum açma riski temelinde iki aşamalı doğrulama gerekip gerekmediğini belirlemek için Microsoft Entra Kimlik Koruması risk değerlendirmesini kullanır. Bu yöntem, Microsoft Entra ID P2 lisanslama gerektirir. Bu yöntem hakkında daha fazla bilgiyi Microsoft Entra Kimlik Koruması'de bulabilirsiniz.
Dekont
Kullanıcı durumunu değiştirerek çok faktörlü kimlik doğrulamasını etkinleştiren 2. Seçenek, Koşullu Erişim ilkelerini geçersiz kılar. 3. ve 4. seçenekler Koşullu Erişim ilkelerini kullandığından, bunlarla 2. seçeneği kullanamazsınız.
İki aşamalı doğrulama gibi ek kimlik koruması katmanları eklemeyen kuruluşlar, kimlik bilgisi hırsızlığı saldırısına karşı daha duyarlıdır. Kimlik bilgisi hırsızlığı saldırısı veri güvenliğinin aşılmasına neden olabilir.
Rol tabanlı erişim denetimi kullanma
Bulut kaynakları için erişim yönetimi, bulutu kullanan tüm kuruluşlar için kritik öneme sahiptir. Azure rol tabanlı erişim denetimi (Azure RBAC), Azure kaynaklarına erişimi olan kişileri, bu kaynaklarla neler yapabileceklerini ve hangi alanlara erişebileceklerini yönetmenize yardımcı olur.
Azure'da belirli işlevlerden sorumlu grupların veya bireysel rollerin atanması, güvenlik riskleri oluşturan insan ve otomasyon hatalarına yol açabilecek karışıklığı önlemeye yardımcı olur. Veri erişimi için güvenlik ilkelerini zorunlu kılmak isteyen kuruluşlar için, bilgi ve en az ayrıcalık güvenlik ilkeleri gereksinimine bağlı olarak erişimi kısıtlamak zorunludur.
Güvenlik ekibinizin riski değerlendirmek ve düzeltmek için Azure kaynaklarınıza görünür olması gerekir. Güvenlik ekibinin operasyonel sorumlulukları varsa, işlerini yapmak için ek izinlere ihtiyaçları vardır.
Belirli bir kapsamdaki kullanıcılara, gruplara ve uygulamalara izin atamak için Azure RBAC kullanabilirsiniz. Rol atamasının kapsamı abonelik, kaynak grubu veya tek bir kaynak olabilir.
En iyi uygulama: Ekibinizdeki görevleri ayırma ve kullanıcılara yalnızca işlerini yapmaları için gereken erişim miktarını verme. Azure aboneliğinizde veya kaynaklarınızda herkese sınırsız izin vermek yerine, belirli bir kapsamda yalnızca belirli eylemlere izin verin.
Ayrıntı: Kullanıcılara ayrıcalık atamak için Azure'daki yerleşik Azure rollerini kullanın.
Dekont
Belirli izinler gereksiz karmaşıklık ve karışıklıklar oluşturur ve bir şeyi bozma korkusu olmadan düzeltilmesi zor bir "eski" yapılandırmaya dönüştürülür. Kaynağa özgü izinlerden kaçının. Bunun yerine, kuruluş genelindeki izinler için yönetim gruplarını ve abonelikler içindeki izinler için kaynak gruplarını kullanın. Kullanıcıya özgü izinlerden kaçının. Bunun yerine, Microsoft Entra Id'de gruplara erişim atayın.
En iyi yöntem: Güvenlik ekiplerine Azure sorumluluklarına sahip olan ekiplere, riski değerlendirebilmeleri ve düzeltebilmeleri için Azure kaynaklarını görmeleri için erişim izni verin.
Ayrıntı: Güvenlik ekiplerine Azure RBAC Güvenlik Okuyucusu rolü verin. Sorumlulukların kapsamına bağlı olarak kök yönetim grubunu veya segment yönetim grubunu kullanabilirsiniz:
- Tüm kurumsal kaynaklarda sorumlu ekipler için kök yönetim grubu
- Sınırlı kapsamlı ekipler için segment yönetim grubu (genellikle mevzuat veya diğer kuruluş sınırları nedeniyle)
En iyi yöntem: Doğrudan işletimsel sorumlulukları olan güvenlik ekiplerine uygun izinleri verin.
Ayrıntı: Uygun rol ataması için Azure yerleşik rollerini gözden geçirin. Yerleşik roller kuruluşunuzun belirli gereksinimlerini karşılamıyorsa Azure özel rolleri oluşturabilirsiniz. Yerleşik rollerde olduğu gibi abonelik, kaynak grubu ve kaynak kapsamlarında kullanıcılara, gruplara ve hizmet sorumlularına özel roller atayabilirsiniz.
En iyi yöntemler: Bulut için Microsoft Defender ihtiyacı olan güvenlik rollerine erişim izni verin. Bulut için Defender güvenlik ekiplerinin riskleri hızla belirlemesine ve düzeltmesine olanak tanır.
Ayrıntı: Güvenlik ilkelerini görüntüleyebilmeleri, güvenlik durumlarını görüntüleyebilmeleri, güvenlik ilkelerini düzenleyebilmeleri, uyarıları ve önerileri görüntüleyebilmeleri ve uyarıları ve önerileri kapatabilmeleri için bu gereksinimlere sahip güvenlik ekiplerini Azure RBAC Güvenlik Yönetici rolüne ekleyin. Bunu, sorumlulukların kapsamına bağlı olarak kök yönetim grubunu veya segment yönetim grubunu kullanarak yapabilirsiniz.
Azure RBAC gibi özellikleri kullanarak veri erişim denetimini zorunlu kılmamış kuruluşlar, kullanıcılarına gerekenden daha fazla ayrıcalık verebilir. Bu, kullanıcıların sahip olmaması gereken veri türlerine (örneğin, yüksek iş etkisi) erişmesine izin vererek verilerin güvenliğinin aşılmasına neden olabilir.
Ayrıcalıklı hesapların daha düşük pozlaması
Ayrıcalıklı erişimin güvenliğini sağlamak, iş varlıklarını korumanın kritik bir ilk adımıdır. Güvenli bilgilere veya kaynaklara erişimi olan kişi sayısını en aza indirmek, kötü amaçlı bir kullanıcının veya yetkili bir kullanıcının hassas bir kaynağı yanlışlıkla etkileme olasılığını azaltır.
Ayrıcalıklı hesaplar, BT sistemlerini yöneten ve yöneten hesaplardır. Siber saldırganlar, bir kuruluşun verilerine ve sistemlerine erişim elde etmek için bu hesapları hedefler. Ayrıcalıklı erişimin güvenliğini sağlamak için hesapları ve sistemleri kötü amaçlı bir kullanıcıya maruz kalma riskinden yalıtmalısınız.
Siber saldırganlara karşı ayrıcalıklı erişimin güvenliğini sağlamak için bir yol haritası geliştirmenizi ve izlemenizi öneririz. Microsoft Entra ID, Microsoft Azure, Microsoft 365 ve diğer bulut hizmetlerinde yönetilen veya bildirilen kimliklerin ve erişimin güvenliğini sağlamak için ayrıntılı bir yol haritası oluşturma hakkında bilgi için Microsoft Entra ID'de karma ve bulut dağıtımları için ayrıcalıklı erişimin güvenliğini sağlama bölümünü gözden geçirin.
Aşağıda, Microsoft Entra Id'de karma ve bulut dağıtımları için ayrıcalıklı erişimin güvenliğini sağlama makalesinde bulunan en iyi yöntemler özetlemektedir:
En iyi yöntem: Ayrıcalıklı hesaplara erişimi yönetme, denetleme ve izleme.
Ayrıntı: Microsoft Entra Privileged Identity Management'i açın. Privileged Identity Management'ı etkinleştirdikten sonra ayrıcalıklı erişim rolü değişiklikleri için bildirim e-posta iletileri alırsınız. Bu bildirimler dizininizdeki yüksek ayrıcalıklı rollere ek kullanıcılar eklendiğinde erken uyarı sağlar.
En iyi yöntem: Tüm kritik yönetici hesaplarının Yönetilen Microsoft Entra hesapları olduğundan emin olun. Ayrıntı: Kritik yönetici rollerinden tüm tüketici hesaplarını kaldırın (örneğin, hotmail.com, live.com ve outlook.com gibi Microsoft hesapları).
En iyi yöntem: Kimlik avından ve yönetim ayrıcalıklarından ödün vermeye yönelik diğer saldırılardan kaçınmak için tüm kritik yönetici rollerinin yönetim görevleri için ayrı bir hesaba sahip olduğundan emin olun.
Ayrıntı: Yönetim görevlerini gerçekleştirmek için gereken ayrıcalıklara atanmış ayrı bir yönetici hesabı oluşturun. Microsoft 365 e-postası veya rastgele web'e göz atma gibi günlük üretkenlik araçları için bu yönetim hesaplarının kullanımını engelleyin.
En iyi yöntem: Yüksek ayrıcalıklı rollere sahip hesapları tanımlayın ve kategorilere ayırın.
Ayrıntı: Microsoft Entra Privileged Identity Management'ı açtıktan sonra genel yönetici, ayrıcalıklı rol yöneticisi ve diğer yüksek ayrıcalıklı rollerdeki kullanıcıları görüntüleyin. Bu rollerde artık gerekli olmayan hesapları kaldırın ve yönetici rollerine atanan kalan hesapları kategorilere ayırın:
- Yönetici kullanıcılara ayrı ayrı atanır ve yönetim dışı amaçlarla (örneğin, kişisel e-posta) kullanılabilir
- Yönetici kullanıcılara bireysel olarak atanır ve yalnızca yönetim amacıyla atanır
- Birden çok kullanıcı arasında paylaşıldı
- Acil durum erişim senaryoları için
- Otomatik betikler için
- Dış kullanıcılar için
En iyi yöntem: Ayrıcalıkların açığa çıkarma süresini daha da azaltmak ve ayrıcalıklı hesapların kullanımına ilişkin görünürlüğünüzü artırmak için "tam zamanında" (JIT) erişimi uygulayın.
Ayrıntı: Microsoft Entra Privileged Identity Management şunları yapmanızı sağlar:
- Kullanıcıları yalnızca JIT ayrıcalıklarını üstlenerek sınırlayın.
- Ayrıcalıkların otomatik olarak iptal edilmiş olduğundan güvenle, kısaltılmış bir süre için roller atayın.
En iyi yöntem: En az iki acil durum erişim hesabı tanımlayın.
Ayrıntı: Acil durum erişim hesapları, kuruluşların mevcut bir Microsoft Entra ortamında ayrıcalıklı erişimi kısıtlamaya yardımcı olur. Bu hesaplar yüksek ayrıcalıklıdır ve belirli kişilere atanmamışlardır. Acil durum erişim hesapları, normal yönetim hesaplarının kullanılamadığı senaryolarla sınırlıdır. Kuruluşlar acil durum hesabının kullanımını yalnızca gerekli süreyle sınırlamalıdır.
Genel yönetici rolüne atanan veya uygun olan hesapları değerlendirin. Etki alanını kullanarak *.onmicrosoft.com
(acil durum erişimi için tasarlanmıştır) yalnızca bulut hesabı görmüyorsanız, bunları oluşturun. Daha fazla bilgi için bkz . Microsoft Entra Id'de acil durum erişim yönetim hesaplarını yönetme.
En iyi uygulama: Acil bir durumda "cam kır" işlemi yapın.
Ayrıntı: Microsoft Entra Id'de karma ve bulut dağıtımları için ayrıcalıklı erişimin güvenliğini sağlama makalesindeki adımları izleyin.
En iyi yöntem: Tüm kritik yönetici hesaplarının parolasız olmasını (tercih edilir) zorunlu kılması veya çok faktörlü kimlik doğrulaması gerektirmesi.
Ayrıntı: Parola kullanmadan herhangi bir Microsoft Entra hesabında oturum açmak için Microsoft Authenticator uygulamasını kullanın. İş İçin Windows Hello gibi Microsoft Authenticator da bir cihaza bağlı olan ve biyometrik kimlik doğrulaması veya PIN kullanan bir kullanıcı kimlik bilgilerini etkinleştirmek için anahtar tabanlı kimlik doğrulaması kullanır.
Microsoft Entra yönetici rollerinden birine veya birden fazlasına kalıcı olarak atanan tüm bireysel kullanıcılar için oturum açma sırasında Microsoft Entra çok faktörlü kimlik doğrulaması gerektir: Genel Yönetici istrator, Privileged Role Yönetici istrator, Exchange Online Yönetici istrator ve SharePoint Online Yönetici istrator. Yönetici hesaplarınız için çok faktörlü kimlik doğrulamasını etkinleştirin ve yönetici hesabı kullanıcılarının kaydoldığından emin olun.
En iyi yöntem: Kritik yönetici hesaplarında, üretim görevlerine izin verilmeyen bir yönetici iş istasyonuna (örneğin, gözatma ve e-posta) sahip olmanız gerekir. Bu, yönetici hesaplarınızı göz atma ve e-posta kullanan saldırı vektörlerinden korur ve önemli bir olay riskini önemli ölçüde azaltır.
Ayrıntı: Yönetici iş istasyonu kullanma. bir iş istasyonu güvenliği düzeyi seçin:
- Yüksek oranda güvenli üretkenlik cihazları, göz atma ve diğer üretkenlik görevleri için gelişmiş güvenlik sağlar.
- Privileged Access Workstations (PAW) hassas görevler için İnternet saldırılarına ve tehdit vektörlerine karşı korunan özel bir işletim sistemi sağlar.
En iyi yöntem: Çalışanlar kuruluşunuzdan ayrıldığında yönetici hesaplarının sağlamasını kaldırın.
Ayrıntı: Çalışanlar kuruluşunuzdan ayrıldığında yönetici hesaplarını devre dışı bırakan veya silecek bir sürecin gerçekleşmesini sağlayın.
En iyi yöntem: Geçerli saldırı tekniklerini kullanarak yönetici hesaplarını düzenli olarak test edin.
Ayrıntı: Kuruluşunuzda gerçekçi saldırı senaryoları çalıştırmak için Microsoft 365 Saldırı Simülatörü veya üçüncü taraf teklif kullanın. Bu, gerçek bir saldırı gerçekleşmeden önce savunmasız kullanıcıları bulmanıza yardımcı olabilir.
En iyi yöntem: En sık kullanılan saldırıya uğrayan teknikleri azaltmak için adımlar atın.
Ayrıntı: İş veya okul hesaplarına geçiş yapılması gereken yönetim rollerindeki Microsoft hesaplarını tanımlama
Genel yönetici hesapları için ayrı kullanıcı hesaplarının ve posta iletmenin sağlanması
Yönetim hesaplarının parolalarının yakın zamanda değiştiğinden emin olun
Parola karması eşitlemeyi açma
Microsoft 365 Güvenlik Puanınızı alma (Microsoft 365 kullanıyorsanız)
Microsoft 365 güvenlik kılavuzunu gözden geçirin (Microsoft 365 kullanılıyorsa)
Microsoft 365 Etkinlik İzleme'yi yapılandırma (Microsoft 365 kullanılıyorsa)
Olay/acil durum yanıt planı sahipleri oluşturma
Şirket içi ayrıcalıklı yönetim hesaplarının güvenliğini sağlama
Ayrıcalıklı erişimin güvenliğini sağlamazsanız, yüksek ayrıcalıklı rollerde çok fazla kullanıcınız olduğunu ve saldırılara karşı daha savunmasız olduğunuzu fark edebilirsiniz. Siber saldırganlar da dahil olmak üzere kötü amaçlı aktörler genellikle kimlik bilgisi hırsızlığını kullanarak hassas verilere ve sistemlere erişim elde etmek için yönetici hesaplarını ve diğer ayrıcalıklı erişim öğelerini hedefler.
Kaynakların oluşturulduğu konumları denetleme
Bulut operatörlerinin görevleri gerçekleştirmesine olanak tanırken, kuruluşunuzun kaynaklarını yönetmek için gereken kuralları ihlal etmelerini engellemek çok önemlidir. Kaynakların oluşturulduğu konumları denetlemek isteyen kuruluşların bu konumları sabit bir şekilde kodlamalıdır.
Tanımları özellikle reddedilen eylemleri veya kaynakları açıklayan güvenlik ilkeleri oluşturmak için Azure Resource Manager'ı kullanabilirsiniz. Bu ilke tanımlarını abonelik, kaynak grubu veya tek bir kaynak gibi istenen kapsamda atarsınız.
Dekont
Güvenlik ilkeleri Azure RBAC ile aynı değildir. Kullanıcılara bu kaynakları oluşturma yetkisi vermek için Azure RBAC kullanır.
Kaynakların nasıl oluşturulduğunu denetlemeyen kuruluşlar, ihtiyaç duyduklarından daha fazla kaynak oluşturarak hizmeti kötüye kullanabilecek kullanıcılara karşı daha duyarlıdır. Kaynak oluşturma işlemini sağlamlaştırmak, çok kiracılı bir senaryonun güvenliğini sağlamak için önemli bir adımdır.
Şüpheli etkinlikleri etkin bir şekilde izleme
Etkin bir kimlik izleme sistemi şüpheli davranışı hızla algılayabilir ve daha fazla araştırma için bir uyarı tetikleyebilir. Aşağıdaki tabloda kuruluşların kimliklerini izlemesine yardımcı olabilecek Microsoft Entra özellikleri listelenmektedir:
En iyi yöntem: Tanımlamak için bir yönteme sahip olmak:
- İzlenmeden oturum açmaya çalışır.
- Belirli bir hesaba yönelik deneme yanılma saldırıları.
- Birden çok konumdan oturum açmaya çalışır.
- Virüs bulaşmış cihazlardan oturum açma işlemleri.
- Şüpheli IP adresleri.
Ayrıntı: Microsoft Entra ID P1 veya P2 anomali raporlarını kullanın. BT yöneticilerinin bu raporları günlük olarak veya isteğe bağlı olarak (genellikle bir olay yanıtı senaryosunda) çalıştırması için süreçlere ve yordamlara sahip olun.
En iyi yöntem: Riskleri size bildiren ve risk düzeyini (yüksek, orta veya düşük) iş gereksinimlerinize göre ayarlayabilen etkin bir izleme sistemine sahip olun.
Ayrıntı: Geçerli riskleri kendi panosunda işaretleyen ve e-posta yoluyla günlük özet bildirimleri gönderen Microsoft Entra Kimlik Koruması kullanın. Kuruluşunuzun kimliklerinin korunmasına yardımcı olmak için, belirtilen risk düzeyine ulaşıldığında algılanan sorunlara otomatik olarak yanıt veren risk tabanlı ilkeler yapılandırabilirsiniz.
Kimlik sistemlerini etkin bir şekilde izlemeyen kuruluşlar, kullanıcı kimlik bilgilerinin tehlikeye atılmasına neden olabilir. Bu kimlik bilgileri aracılığıyla şüpheli etkinliklerin gerçekleştiğini bilmeden, kuruluşlar bu tür bir tehdidi azaltamaz.
Depolama kimlik doğrulaması için Microsoft Entra Id kullanma
Azure Depolama, Blob depolama ve Kuyruk depolama için Microsoft Entra Id ile kimlik doğrulaması ve yetkilendirmeyi destekler. Microsoft Entra kimlik doğrulaması ile azure rol tabanlı erişim denetimini kullanarak kullanıcılara, gruplara ve uygulamalara tek bir blob kapsayıcısının veya kuyruğunun kapsamına kadar belirli izinler verebilirsiniz.
Depolamaya erişimin kimliğini doğrulamak için Microsoft Entra Id kullanmanızı öneririz.
Sonraki adım
Azure kullanarak bulut çözümlerinizi tasarlarken, dağıtırken ve yönetirken kullanabileceğiniz daha fazla güvenlik en iyi uygulaması için bkz . Azure güvenlik en iyi yöntemleri ve desenleri .