Güvenlik işlemlerinde Microsoft Entra IDaaS

Bu mimari, güvenlik operasyonları merkezi (SOC) ekiplerinin Microsoft Entra kimlik ve erişim özelliklerini genel tümleşik ve katmanlı bir sıfır güven güvenlik stratejisine nasıl ekleyebileceğini gösterir.

Tüm hizmetler ve cihazlar kuruluşlardaki yönetilen ağlarda barındırıldığında ağ güvenliği SOC işlemlerine hakimdi. Ancak Gartner, 2022'ye kadar bulut hizmetlerinin pazar boyutunun genel BT hizmetlerinin neredeyse üç katı oranında büyüyeceğini tahmin ediyor. Bulut bilişimi daha fazla şirket benimsedikçe, kullanıcı kimliğini birincil güvenlik sınırı olarak kabul etme yönünde bir geçiş yaşanıyor.

Bulutta kimliklerin güvenliğini sağlamak yüksek önceliklidir.

• Verizon'un 2020 veri ihlali araştırma raporunda çalınan kimlik bilgilerinin %37'sinin kullanıldığı ve veri ihlallerinin %22'sinin kimlik avına dahil olduğu belirtildi.

• 2019 ibm veri ihlali olaylarıyla ilgili bir araştırmada, veri ihlalinin ortalama küresel maliyetinin 3,9 milyon ABD doları olduğu ve ABD ortalama maliyetinin 8,2 milyon ABD dolarına yaklaştığı bildirildi.

• Microsoft 2019 Güvenlik Bilgileri Raporu, kimlik avı saldırılarının Ocak ile Aralık 2018 arasında %250 oranında arttığını bildirdi.

Sıfır güven güvenlik modeli , tüm konaklara İnternet'e yönelikmiş gibi davranır ve ağın tamamını potansiyel olarak tehlikeye girmiş ve saldırgan olarak kabul eder. Bu yaklaşım güçlü kimlik doğrulaması (AuthN), yetkilendirme ve şifreleme oluşturmaya odaklanırken, bölümlere ayrılmış erişim ve daha iyi operasyonel çeviklik sağlar.

Gartner, olay yanıtı tabanlı bir stratejiyi prevent-detect-response-predict modeliyle değiştiren uyarlamalı bir güvenlik mimarisini yükseltmektedir. Uyarlamalı güvenlik, erişim denetimi, davranışsal izleme, kullanım yönetimi ve bulma işlemlerini sürekli izleme ve analiz ile birleştirir.

Microsoft Siber Güvenlik Başvuru Mimarisi (MCRA), Microsoft'un siber güvenlik özelliklerini ve bulut ve hibrit ortamlar dahil olmak üzere Hizmet Olarak Kimlik (IDaaS) için Microsoft Entra ID kullanan mevcut güvenlik mimarileriyle nasıl tümleştirildiğini açıklar.

Bu makale, IDaaS için sıfır güven ve uyarlamalı güvenlik yaklaşımını ilerleterek Microsoft Entra platformunda kullanılabilen bileşenleri vurgular.

Olası kullanım örnekleri

• Yeni güvenlik çözümleri tasarlama
• Mevcut uygulamaları geliştirme veya bunlarla tümleştirme
• SOC ekiplerini eğitme

Mimari

Bu mimarinin Visio dosyasını indirin.

İş Akışı

1. Kimlik bilgisi yönetimi kimlik doğrulamayı denetler.
2. Sağlama ve yetkilendirme yönetimi erişim paketini tanımlar, kullanıcıları kaynaklara atar ve kanıtlama için veri göndermeyi tanımlar.
3. Yetkilendirme altyapısı, erişimi belirlemek için erişim ilkesini değerlendirir. Altyapı ayrıca kullanıcı/varlık davranış analizi (UEBA) verileri de dahil olmak üzere risk algılamalarını değerlendirir ve uç nokta yönetimi için cihaz uyumluluğunu denetler.
4. Yetkilendirilmişse, kullanıcı veya cihaz koşullu erişim ilkeleri ve denetimleri başına erişim kazanır.
5. Yetkilendirme başarısız olursa, kullanıcılar engellerini kaldırmak için gerçek zamanlı düzeltme yapabilir.
6. Tüm oturum verileri analiz ve raporlama için günlüğe kaydedilir .
7. SOC ekibinin güvenlik bilgileri ve olay yönetimi (SIEM) sistemi (güvenlik bilgileri ve olay yönetimi (SIEM)) bulut ve şirket içi kimliklerden tüm günlük, risk algılama ve UEBA verilerini alır.

Bileşenler

Aşağıdaki güvenlik süreçleri ve bileşenleri bu Microsoft Entra IDaaS mimarisine katkıda bulunur.

Kimlik bilgileri yönetimi

Kimlik bilgisi yönetimi , kaynaklara veya hizmetlere erişimi veren, izleyen ve güncelleştiren hizmetleri, ilkeleri ve uygulamaları içerir. Microsoft Entra kimlik bilgisi yönetimi aşağıdaki özellikleri içerir:

• Self servis parola sıfırlama (SSPR), kullanıcıların kendi kendine hizmet vermelerini ve kendi kayıp, unutulmuş veya güvenliği aşılmış parolalarını sıfırlamalarını sağlar. SSPR yalnızca yardım masası çağrılarını azaltmakla kalmaz, aynı zamanda daha fazla kullanıcı esnekliği ve güvenlik sağlar.

• Parola geri yazma, bulutta değiştirilen parolaları şirket içi dizinlerle gerçek zamanlı olarak eşitler.

• Yasaklanmış parolalar , yaygın olarak kullanılan zayıf veya güvenliği aşılmış parolaları ortaya çıkararak telemetri verilerini analiz eder ve microsoft Entra ID genelinde bunların kullanımını genel olarak yasaklar. Bu işlevi ortamınız için özelleştirebilir ve kendi kuruluşunuzda yasaklanması gereken özel parolaların listesini ekleyebilirsiniz.

• Akıllı kilitleme , yasal kimlik doğrulama girişimlerini yetkisiz erişim elde etme deneme yanılma girişimleriyle karşılaştırır. Varsayılan akıllı kilitleme ilkesi altında, 10 başarısız oturum açma girişiminden sonra bir hesap bir dakika boyunca kilitler. Oturum açma girişimleri başarısız oldukçe hesap kilitleme süresi artar. İlkeleri, kuruluşunuz için uygun güvenlik ve kullanılabilirlik karışımına göre ayarlamak için kullanabilirsiniz.

• Çok faktörlü kimlik doğrulaması (MFA), kullanıcılar korumalı kaynaklara erişmeye çalıştığında birden çok kimlik doğrulaması biçimi gerektirir. Kullanıcıların çoğu, kaynaklara erişirken parola gibi bildikleri bir şeyi kullanmayı bilir. MFA, kullanıcılardan güvenilir bir cihaza erişim gibi sahip oldukları bir şeyi veya biyometrik tanımlayıcı gibi bir öğeyi göstermelerini ister. MFA, kimlik doğrulayıcı uygulaması aracılığıyla telefon aramaları, kısa mesajlar veya bildirim gibi farklı kimlik doğrulama yöntemleri kullanabilir.

• Parolasız kimlik doğrulaması, kimlik doğrulama iş akışındaki parolayı akıllı telefon veya donanım belirteci, biyometrik tanımlayıcı veya PIN ile değiştirir. Microsoft parolasız kimlik doğrulaması, mobil cihazlarda İş İçin Windows Hello ve Microsoft Authenticator uygulaması gibi Azure kaynaklarıyla çalışabilir. Ayrıca, WebAuthn ve FIDO Alliance'ın İstemciden Kimlik Doğrulayıcıya (CTAP) protokollerini kullanan FIDO2 uyumlu güvenlik anahtarlarıyla parolasız kimlik doğrulamasını etkinleştirebilirsiniz.

Uygulama sağlama ve yetkilendirme

• Yetkilendirme yönetimi , kuruluşların büyük ölçekte kimlik ve erişim yaşam döngüsünü yönetmesine olanak tanıyan bir Microsoft Entra kimlik idaresi özelliğidir. Yetkilendirme yönetimi, erişim isteği iş akışlarını, erişim atamalarını, gözden geçirmeleri ve süre sonunu otomatikleştirir.

• Microsoft Entra sağlama, kullanıcıların erişmesi gereken uygulamalarda otomatik olarak kullanıcı kimlikleri ve roller oluşturmanıza olanak tanır. SuccessFactors, Workday ve daha fazlası gibi üçüncü taraf hizmet olarak yazılım (SaaS) uygulamaları için Microsoft Entra sağlamayı yapılandırabilirsiniz.

• Sorunsuz çoklu oturum açma (SSO), şirket cihazlarında oturum açtıktan sonra kullanıcıların bulut tabanlı uygulamalarda kimliklerini otomatik olarak doğrular. Microsoft Entra sorunsuz SSO'sunu parola karması eşitleme veya doğrudan kimlik doğrulaması ile kullanabilirsiniz.

• Microsoft Entra erişim gözden geçirmeleri ile kanıtlama, izleme ve denetim gereksinimlerini karşılamaya yardımcı olur. Erişim gözden geçirmeleri, yönetici kullanıcı sayısını hızlı bir şekilde tanımlamanıza, yeni çalışanların gerekli kaynaklara erişebildiğinden emin olmanıza veya hala erişim gerekip gerekmediğini belirlemek için kullanıcıların etkinliklerini gözden geçirmenize olanak sağlar.

Koşullu erişim ilkeleri ve denetimleri

Koşullu erişim ilkesi, atamaların ve erişim denetimlerinin if-then deyimidir. İlkenizi tetikleme nedenine ("bunu yapın") yanıtı ("bunu yapın"), yetkilendirme altyapısının kuruluş ilkelerini zorunlu kılan kararlar vermesine olanak tanırsınız. Microsoft Entra Koşullu Erişim ile yetkili kullanıcıların uygulamalarınıza nasıl erişebileceğini denetleyebilirsiniz. Microsoft Entra ID What If aracı , koşullu erişim ilkesinin neden uygulandığını veya uygulanmadığını ya da belirli bir durumda bir ilkenin bir kullanıcıya uygulanıp uygulanmayacağını anlamanıza yardımcı olabilir.

Koşullu erişim denetimleri , kuruluş ilkesini zorunlu kılmaya yardımcı olmak için koşullu erişim ilkeleriyle birlikte çalışır. Microsoft Entra Koşullu Erişim denetimleri, erişim isteği sırasında algılanan faktörlere göre tüm yaklaşımlara uyan bir boyut yerine güvenlik uygulamanıza olanak sağlar. Koşullu erişim denetimlerini erişim koşullarıyla ilişkilendirerek ek güvenlik denetimleri oluşturma gereksinimini azaltırsınız. Tipik bir örnek olarak, etki alanına katılmış bir cihazdaki kullanıcıların SSO kullanarak kaynaklara erişmesine izin verebilir, ancak ağ dışından veya kendi cihazlarını kullanan kullanıcılar için MFA gerektirebilirsiniz.

Microsoft Entra Id, koşullu erişim ilkeleriyle aşağıdaki koşullu erişim denetimlerini kullanabilir:

• Azure rol tabanlı erişim denetimi (RBAC), Azure kaynaklarıyla yönetim veya özel görevler gerçekleştirmesi gereken kullanıcılara uygun rolleri yapılandırmanızı ve atamanızı sağlar. Azure RBAC'yi kullanarak ayrı ayrılmış yalnızca yönetici hesapları oluşturabilir veya koruyabilir, ayarladığınız rollere kapsam erişimi sağlayabilir, erişimi zaman sınırlandırabilir veya onay iş akışları aracılığıyla erişim verebilirsiniz.

• Privileged Identity Management (PIM), yönetim hesaplarına ek izleme ve koruma eklemenize izin vererek kuruluşunuzun saldırı vektörünü azaltmaya yardımcı olur. Microsoft Entra PIM ile Azure, Microsoft Entra ID ve diğer Microsoft 365 hizmetlerindeki kaynaklara erişimi tam zamanında (JIT) erişim ve yeterli yönetim (JEA) ile yönetebilir ve denetleyebilirsiniz. PIM, yönetim etkinliklerinin geçmişini ve değişiklik günlüğünü sağlar ve kullanıcılar tanımladığınız rollere eklendiğinde veya rollerden kaldırıldığında sizi uyarır.

  YÖNETIM rollerini etkinleştirmek için onay veya gerekçe istemek için PIM'i kullanabilirsiniz. Kullanıcılar çoğu zaman normal ayrıcalıkları koruyabilir ve yönetim veya özel görevleri tamamlamak için ihtiyaç duydukları rollere erişim isteyebilir ve alabilir. İşlerini tamamlayıp oturumu kapattığında veya erişim süre sınırı sona erdiğinde, standart kullanıcı izinleriyle yeniden kimlik doğrulaması yapabilir.

• Bulut için Microsoft Defender Apps, kuruluşunuzda kullanılan uygulamaları ve hizmetleri bulmak ve izlemek için trafik günlüklerini analiz eden bir bulut erişim güvenlik aracısıdır (CASB). Bulut için Defender Uygulamaları ile şunları yapabilirsiniz:

  • Uygulamalar ve hizmetlerle etkileşimi yönetmek için ilkeler oluşturma
  • Uygulamaları tasdikli veya tasdiksiz olarak tanımlama
  • Verilere erişimi denetleme ve sınırlama
  • Bilgi kaybına karşı korunmak için bilgi koruması uygulama

  Bulut için Defender Uygulamaları, SaaS uygulamalarına kullanıcı erişimini denetlemek için erişim ilkeleri ve oturum ilkeleriyle de çalışabilir. Örneğin, şunları yapabilirsiniz:

  • Uygulamalara erişebilecek IP aralıklarını sınırlama
  • Uygulama erişimi için MFA gerektir
  • Etkinliklere yalnızca onaylanan uygulamalar içinden izin ver

• SharePoint yönetim merkezindeki erişim denetimi sayfası, SharePoint ve OneDrive içeriğine erişimi denetlemenin çeşitli yollarını sağlar. Erişimi engellemeyi, yönetilmeyen cihazlardan sınırlı, yalnızca web erişimine izin vermeyi veya ağ konumuna göre erişimi denetlemeyi seçebilirsiniz.

• Microsoft Graph API'sinden ApplicationAccessPolicy'yi kullanarak uygulama izinlerini belirli Exchange Online posta kutularıyla kapsamlayabilirsiniz.

• Kullanım Koşulları (TOU), korunan kaynaklara erişim kazanmadan önce son kullanıcıların onay vermesi gereken bilgileri sunmanın bir yolunu sağlar. TOU belgelerini Azure'a PDF dosyaları olarak yüklersiniz ve bu dosyalar koşullu erişim ilkelerinde denetim olarak kullanılabilir. Kullanıcıların oturum açma sırasında TOU'ya onay vermelerini gerektiren bir koşullu erişim ilkesi oluşturarak, TOU'yu kabul eden kullanıcıları kolayca denetleyebilirsiniz.

• Uç nokta yönetimi , yetkili kullanıcıların bulut uygulamalarınıza mobil ve kişisel cihazlar da dahil olmak üzere çok çeşitli cihazlardan nasıl erişebileceğini denetler. Koşullu erişim ilkelerini yalnızca belirli güvenlik ve uyumluluk standartlarına uyan cihazlara erişimi kısıtlamak için kullanabilirsiniz. Bu yönetilen cihazlar bir cihaz kimliği gerektirir.

Risk algılama

Azure Kimlik Koruması , kuruluşunuzun şüpheli kullanıcı eylemlerine yönelik yanıtları yönetmesine yardımcı olabilecek çeşitli ilkeler içerir. Kullanıcı riski , bir kullanıcı kimliğinin tehlikeye atılmış olma olasılığıdır. Oturum açma riski , kullanıcıdan gelen bir oturum açma isteğinin bulunmama olasılığıdır. Microsoft Entra Id, davranış analizine göre gerçek kullanıcıdan kaynaklanan oturum açma isteğinin olasılığına göre oturum açma risk puanlarını hesaplar.

• Microsoft Entra risk algılamaları , kullanıcı hesaplarıyla ilgili şüpheli eylemleri algılamak için uyarlamalı makine öğrenmesi algoritmalarını ve buluşsal yöntemleri kullanır. Algılanan her şüpheli eylem, risk algılama adı verilen bir kayıtta depolanır. Microsoft Entra Id, bu verileri kullanarak kullanıcı ve oturum açma riski olasılığını hesaplar ve Microsoft'un iç ve dış tehdit bilgileri kaynakları ve sinyalleriyle geliştirilmiştir.

• Riskli kullanıcılar ve oturum açma işlemleri hakkındaki bilgileri kullanıma açmak için Microsoft Graph'teki Kimlik Koruması risk algılama API'lerini kullanabilirsiniz.

• Gerçek zamanlı düzeltme , kullanıcıların bazı risk algılamalarını kendi kendine düzeltmek için SSPR ve MFA kullanarak engellerini kaldırmasına olanak tanır.

Dikkat edilmesi gereken noktalar

Bu çözümü kullanırken bu noktaları göz önünde bulundurun.

Günlük Kaydı

Microsoft Entra denetim raporları denetim günlükleri, oturum açma günlükleri ve riskli oturum açma ve riskli kullanıcı raporlarıyla Azure etkinlikleri için izlenebilirlik sağlar. Hizmet, kategori, etkinlik ve durum gibi çeşitli parametrelere göre günlük verilerini filtreleyebilir ve arayabilirsiniz.

Microsoft Entra Id günlük verilerini aşağıdaki gibi uç noktalara yönlendirebilirsiniz:

• Azure Depolama hesapları
• Azure İzleyici günlükleri
• Azure olay hub'ları
• Microsoft Sentinel, ArcSight, Splunk, SumoLogic, diğer dış SIEM araçları veya kendi çözümünüz gibi SIEM çözümleri.

Microsoft Graph raporlama API'sini kendi betikleriniz içinde Microsoft Entra ID günlük verilerini almak ve kullanmak için de kullanabilirsiniz.

Şirket içi ve karma ile ilgili dikkat edilmesi gerekenler

Kimlik doğrulama yöntemleri, karma bir senaryoda kuruluşunuzun kimliklerinin güvenliğini sağlamak için önemlidir. Microsoft, Microsoft Entra ID ile karma kimlik doğrulama yöntemi seçme konusunda özel yönergeler sağlar.

Kimlik için Microsoft Defender gelişmiş tehditleri, güvenliği aşılmış kimlikleri ve kötü amaçlı insider eylemlerini tanımlamak, algılamak ve araştırmak için şirket içi Active Directory sinyallerinizi kullanabilir. Kimlik için Defender, şirket içindeki tehditleri belirlemek ve riski işaretlemek için UEBA kullanır. Kimliğin gizliliği ihlal edilse bile Kimlik için Defender, olağan dışı kullanıcı davranışlarına göre güvenliğin aşıldığını belirlemeye yardımcı olabilir.

Kimlik için Defender, korumayı bulut uygulamalarına genişletmek için Bulut için Defender Uygulamaları ile tümleşiktir. İndirilirken dosyalarınızı koruyan oturum ilkeleri oluşturmak için Bulut için Defender Uygulamalarını kullanabilirsiniz. Örneğin, belirli kullanıcı türleri tarafından indirilen tüm dosyalarda otomatik olarak yalnızca görüntüleme izinlerini ayarlayabilirsiniz.

Microsoft Entra Id'de gerçek zamanlı izleme için Bulut için Defender Uygulamaları kullanmak üzere şirket içi bir uygulama yapılandırabilirsiniz. Bulut için Defender Uygulamaları, Koşullu Erişim ilkelerine göre oturumları gerçek zamanlı olarak izlemek ve denetlemek için Koşullu Erişim Uygulama Denetimi'ni kullanır. Bu ilkeleri Microsoft Entra Id'de Uygulama Ara Sunucusu kullanan şirket içi uygulamalara uygulayabilirsiniz.

Microsoft Entra Uygulama Ara Sunucusu, kullanıcıların uzak istemcilerden şirket içi web uygulamalarına erişmesini sağlar. Uygulama Ara Sunucusu ile uygulamalarınız için tüm oturum açma etkinliklerini tek bir yerden izleyebilirsiniz.

Microsoft Entra Bağlan ile Azure'a eşitlenen kullanıcı kimliklerinin korunmasına yardımcı olmak için kimlik için Defender'ı Microsoft Entra Kimlik Koruması kullanabilirsiniz.

Uygulamalarınızdan bazıları ağ dışı erişim sağlamak için zaten mevcut bir teslim denetleyicisini veya ağ denetleyicisini kullanıyorsa, bunları Microsoft Entra Id ile tümleştirebilirsiniz. Akamai, Citrix, F5 Networks ve Zscaler dahil olmak üzere çeşitli iş ortakları Microsoft Entra ID ile tümleştirmeye yönelik çözümler ve rehberlik sunar.

Maliyet iyileştirme

Microsoft Entra fiyatlandırması, SSO ve MFA gibi özellikler için ücretsizten Premium P2'ye, PIM ve Yetkilendirme Yönetimi gibi özellikler için değişir. Fiyatlandırma ayrıntıları için bkz . Microsoft Entra fiyatlandırması.

Sonraki adımlar

• Sıfır Güven güvenliği
• Microsoft Entra Id için Sıfır Güven Dağıtım Kılavuzu
• Güvenlik sütununa genel bakış
• Microsoft Entra tanıtım kiracısı (Microsoft İş Ortağı Ağı hesabı gerektirir) veya Enterprise Mobility + Security ücretsiz deneme sürümü
• Microsoft Entra dağıtım planları

İlgili kaynaklar

• Azure IoT başvuru mimarisi
• IoT Edge izleme ve uyarı ile COVID-19 güvenli ortamları
• Azure'da hizmet olarak altyapı (IaaS) uygulamaları için güvenlikle ilgili dikkat edilmesi gerekenler