Kimlik ve erişim yönetimi önerileri

Bu Azure İyi Tasarlanmış Çerçeve Güvenliği denetim listesi önerisi için geçerlidir:

SE:05	Tüm iş yükü kullanıcıları, ekip üyeleri ve sistem bileşenlerinde katı, koşullu ve denetlenebilir kimlik ve erişim yönetimi (IAM) uygulayın. Erişimi yalnızca gerektiği şekilde sınırlayın. Tüm kimlik doğrulama ve yetkilendirme uygulamaları için modern endüstri standartlarını kullanın. Kimliğe dayalı olmayan erişimi kısıtlayın ve sıkı bir şekilde denetleyin.

Bu kılavuzda, iş yükü kaynaklarınıza erişmeye çalışan kimliklerin kimliğini doğrulama ve yetkilendirme önerileri açıklanmaktadır.

Teknik denetim açısından bakıldığında kimlik her zaman birincil çevredir. Bu kapsam yalnızca iş yükünüzün kenarlarını içermez. Ayrıca iş yükünüzün içindeki tek tek bileşenleri de içerir. Tipik kimlikler şunlardır:

• İnsanlar. Uygulama kullanıcıları, yöneticiler, operatörler, denetçiler ve kötü aktörler.

• Sistemler. İş yükü kimlikleri, yönetilen kimlikler, API anahtarları, hizmet sorumluları ve Azure kaynakları.

• Anonim. Kim oldukları hakkında herhangi bir kanıt sağlamamış varlıklar.

Tanımlar 

Terim	Tanım
Kimlik doğrulaması (Kimlik Doğrulaması)	Kimliğin kim olduğunu veya ne dediğini doğrulayan bir işlem.
Yetkilendirme (AuthZ)	Kimliğin istenen eylemi gerçekleştirme izni olup olmadığını doğrulayan bir işlem.
Koşullu erişim	Belirtilen ölçütlere göre eylemlere izin veren bir kural kümesi.
IdP	Microsoft Entra Id gibi bir kimlik sağlayıcısı.
Kişilik	Bir iş işlevi veya bir dizi sorumluluk ve eylem içeren bir başlık.
Önceden paylaşılan anahtarlar	Bir sağlayıcı ile tüketici arasında paylaşılan ve güvenli ve üzerinde anlaşmaya varılan bir mekanizma aracılığıyla kullanılan bir gizli dizi türü.
Kaynak kimliği	Platform tarafından yönetilen bulut kaynakları için tanımlanmış bir kimlik.
Role	Bir kullanıcı veya grubun neler yapabileceğini tanımlayan bir izin kümesi.
Kapsam	Bir rolün çalışmasına izin verilen farklı kuruluş hiyerarşisi düzeyleri. Ayrıca bir sistemdeki bir özellik grubu.
Güvenlik sorumlusu	İzin sağlayan bir kimlik. Kullanıcı, grup veya hizmet sorumlusu olabilir. Tüm grup üyeleri aynı erişim düzeyine sahiptir.
Kullanıcı kimliği	Çalışan veya dış kullanıcı gibi bir kişinin kimliği.
İş yükü kimliği	Bir iş yükünün diğer hizmet ve kaynaklarda kimliğini doğrulamak için kullanılan bir uygulama, hizmet, betik, kapsayıcı veya başka bir bileşeni için sistem kimliği.

Not

Kimlik, güvenlik sorumlusu adı verilen bir üst öğe altında diğer, benzer kimliklerle gruplandırılabilir. Güvenlik grubu, bir güvenlik sorumlusu örneğidir. Bu hiyerarşik ilişki bakımı basitleştirir ve tutarlılığı artırır. Kimlik öznitelikleri tek tek düzeyde işlenmediğinden hata olasılığı da azalır. Bu makalede kimlik terimi güvenlik sorumlularını kapsar.

Kimlik sağlayıcısının rolü

Kimlik sağlayıcısı (IdP), kullanıcıları dijital kimlik olarak depolayan ve yöneten bulutta barındırılan bir hizmettir.

Kimlik ve erişim yönetimi için güvenilen bir IdP tarafından sağlanan özelliklerden yararlanın. IdP'yi değiştirmek için özel sistemler uygulamayın. IdP sistemleri, her gün birden çok kiracıda milyarlarca sinyal yakalayarak en son saldırı vektörlerine göre sık sık iyileştirilmektedir. Microsoft Entra ID, Azure bulut platformu için IdP'dir.

Kimlik Doğrulaması

Kimlik doğrulaması, kimlikleri doğrulayan bir işlemdir. İstekte bulunan kimlik, doğrulanabilir bir kimlik biçimi sağlamak için gereklidir. Örneğin:

• Kullanıcı adı ve parola.

• Erişim veren BIR API anahtarı gibi önceden paylaşılmış bir gizli dizi.

• Paylaşılan erişim imzası (SAS) belirteci.

• TLS karşılıklı kimlik doğrulamasında kullanılan bir sertifika.

Doğrulama işleminin mümkün olduğunca IdP'niz tarafından işlenmesi gerekir.

Yetkilendirme

Yetkilendirme, doğrulanmış kimlik tarafından istenen eylemlere izin veren veya reddeden bir işlemdir. Eylem işlemsel veya kaynak yönetimiyle ilgili olabilir.

Yetkilendirme için kimliklere izinler atamanız gerekir ve bunu IdP'niz tarafından sağlanan işlevselliği kullanarak yapmanız gerekir.

Temel tasarım stratejileri

bir iş yükünün kimlik gereksinimlerini bütünsel bir şekilde görüntülemek için akışları, iş yükü varlıklarını ve kişiliklerini ve varlıkların ve kişiliklerin gerçekleştireceği eylemleri kataloglamalısınız. Stratejiniz, iş yüküne veya bileşenlerine (dışarıdan erişim) ulaşan akışları ve iş yükünden diğer kaynaklara (dışarıdan erişim) ulaşan akışları işleyen tüm kullanım örneklerini kapsamalıdır.

Her kullanım örneğinde muhtemelen bir varsayma ihlali zihniyetiyle tasarlamanız gereken kendi denetim kümesi olacaktır. Kullanım örneğinin veya kişiliklerin kimlik gereksinimlerine bağlı olarak koşullu seçenekleri belirleyin. Tüm kullanım örnekleri için tek bir çözüm kullanmaktan kaçının. Buna karşılık, denetimler gereksiz yönetim yüküne neden olacak kadar ayrıntılı olmamalıdır.

Kimlik erişim izini günlüğe kaydetmeniz gerekir. Bunu yapmak denetimleri doğrulamaya yardımcı olur ve uyumluluk denetimleri için günlükleri kullanabilirsiniz.

Kimlik doğrulaması için tüm kimlikleri belirleme

• Dışarıdan erişim. Kimlik tasarımınız, çeşitli amaçlarla iş yüküne erişen tüm kullanıcıların kimliğini doğrulamalıdır. Örneğin, API'leri çağırarak uygulamaya erişen bir son kullanıcı.

  Ayrıntılı düzeyde, iş yükünün bileşenlerinin dışarıdan da erişmesi gerekebilir. Örneğin, komutları çalıştırmak için portal üzerinden veya işlem erişimine ihtiyacı olan bir operatör.

  Her ikisi de farklı kişiliklere sahip kullanıcı kimliklerine örnektir.

• İçeriden dışarı erişim. Uygulamanızın diğer kaynaklara erişmesi gerekir. Örneğin, veri platformundan okuma veya veri platformuna yazma, gizli dizi deposundan gizli dizileri alma ve izleme hizmetlerine telemetriyi günlüğe kaydetme. Hatta üçüncü taraf hizmetlere erişmesi bile gerekebilir. Bu erişim gereksinimleri, uygulamanın diğer kaynaklarda kimliğini doğrulamasını sağlayan iş yükü kimliği gerektirir.

  Kavram bileşen düzeyinde geçerlidir. Aşağıdaki örnekte kapsayıcının yapılandırmasını almak için dağıtım işlem hatlarına erişmesi gerekebilir. Bu erişim gereksinimleri için kaynak kimliği gerekir.

Tüm bu kimlikler IdP'niz tarafından doğrulanmalıdır.

Aşağıda, bir mimaride kimliğin nasıl uygulanabileceğine yönelik bir örnek verilmiştır:

Yetkilendirme eylemlerini belirleme

Ardından, bu eylemlerin yetkilendirilebilmesi için kimliği doğrulanmış her kimliğin ne yapmaya çalıştığını bilmeniz gerekir. Eylemler, ihtiyaç duydukları erişim türüne bölünebilir:

• Veri düzlemi erişimi. Veri düzleminde gerçekleştirilen eylemler, içeriden veya dışarıdan erişim için veri aktarımına neden olur. Örneğin, bir uygulama veritabanından veri okur ve veritabanına veri yazar, gizli dizileri getirir veya izleme havuzuna günlükler yazar. Bileşen düzeyinde, kayıt defterine veya kayıt defterinden görüntü çeken veya gönderen işlem, veri düzlemi işlemleri olarak kabul edilir.

• Kontrol düzlemi erişimi. Denetim düzleminde gerçekleşen eylemler bir Azure kaynağının oluşturulmasına, değiştirilmesine veya silinmesine neden olur. Örneğin, kaynak özelliklerinde yapılan değişiklikler.

Uygulamalar genellikle veri düzlemi işlemlerini hedeflerken, işlemler genellikle hem denetim hem de veri düzlemlerine erişer. Yetkilendirme gereksinimlerini belirlemek için kaynakta gerçekleştirilebilecek işlem eylemlerini not edin. Her kaynak için izin verilen eylemler hakkında bilgi için bkz . Azure kaynak sağlayıcısı işlemleri.

Rol tabanlı yetkilendirme sağlama

Her kimliğin sorumluluğuna bağlı olarak, izin verilmesi gereken eylemleri yetkilendinin. Bir kimliğin yapması gerekenden daha fazlasını gerçekleştirmesine izin verilmemelidir. Yetkilendirme kurallarını ayarlamadan önce kimin veya nelerin istekte bulunduğunu, bu rolün ne yapmaya izin verildiğini ve bunu ne ölçüde yapabileceğini net bir şekilde anlamanız gerekir. Bu faktörler kimlik, rol ve kapsamı birleştiren seçimlere yol açar.

Bir iş yükü kimliğini örnek olarak düşünün. Uygulamanın veritabanına veri düzlemi erişimi olmalıdır, bu nedenle veri kaynağına yönelik okuma ve yazma eylemlerine izin verilmelidir. Ancak uygulamanın gizli dizi deposuna denetim düzlemi erişimine ihtiyacı var mı? İş yükü kimliği kötü bir aktör tarafından tehlikeye atılırsa, gizlilik, bütünlük ve kullanılabilirlik açısından sistemin etkisi ne olur?

Rol ataması

Rol, bir kimliğe atanmış bir izin kümesidir. Yalnızca kimliğin görevi tamamlayabilmesine izin veren roller atayın ve daha fazlasını atayın. Kullanıcının izinleri iş gereksinimleriyle sınırlı olduğunda, sistemdeki şüpheli veya yetkisiz davranışları belirlemek daha kolaydır.

Aşağıdaki gibi sorular sorun:

• Salt okunur erişim yeterli mi?
• Kimliğin kaynakları silmek için izinlere ihtiyacı var mı?

Kullanıcıların, uygulamaların veya hizmetlerin Azure kaynaklarına sahip olduğu erişim düzeyini sınırlamak olası saldırı yüzeyini azaltır. Yalnızca belirli görevleri gerçekleştirmek için gereken en düşük izinleri verirseniz, başarılı bir saldırı veya yetkisiz erişim riski önemli ölçüde azalır. Örneğin, güvenlik ekiplerinin tüm teknik ortamlar için yalnızca güvenlik özniteliklerine salt okunur erişime ihtiyacı vardır. Bu düzey, risk faktörlerini değerlendirmek, olası risk azaltmaları belirlemek ve riskleri raporlamak için yeterlidir.

Kuruluş yapısı ve ekip kuruluşu nedeniyle kullanıcıların daha fazla erişime ihtiyaç duyduğu senaryolar vardır. Çeşitli roller arasında bir çakışma olabilir veya tek kullanıcılar birden çok standart rol gerçekleştirebilir. Bu durumda, bu kullanıcıların her biri için özel bir rol oluşturmak yerine iş işlevini temel alan birden çok rol ataması kullanın. Bunu yapmak, rollerin yönetilmesini kolaylaştırır.

Tek tek kaynaklara veya kullanıcılara özel olarak başvuran izinlerden kaçının. Ayrıntılı ve özel izinler karmaşıklık ve karışıklık oluşturur çünkü amacı benzer olan yeni kaynaklara iletmez. Bu, bakımı zor olan ve hem güvenliği hem de güvenilirliği olumsuz etkileyen karmaşık bir eski yapılandırma oluşturabilir.

Denge: Ayrıntılı erişim denetimi yaklaşımı, kullanıcı etkinliklerinin daha iyi denetlenip izlenmesini sağlar.

Bir rolün de ilişkili bir kapsamı vardır. Rol izin verilen yönetim grubunda, abonelikte, kaynak grubunda veya kaynak kapsamında veya başka bir özel kapsamda çalışabilir. Kimliğin sınırlı bir izin kümesi olsa bile kapsamı kimliğin iş işlevinin dışındaki kaynakları içerecek şekilde genişletme risklidir. Örneğin, tüm kaynak koduna ve verilere okuma erişimi tehlikeli olabilir ve denetlenmelidir.

Rol tabanlı erişim denetimi (RBAC) kullanarak kimliklere roller atarsınız. Erişim denetimini tutarlı bir şekilde uygulamanıza ve titizlikle iptal etmenizi sağlayan özelliklerden yararlanmak için her zaman IdP tarafından sağlanan RBAC kullanın.

Yerleşik rolleri kullanın. Çoğu kullanım örneğini kapsayacak şekilde tasarlanmıştır. Özel roller güçlü ve bazen yararlıdır, ancak bunları yerleşik rollerin çalışmadığı senaryolar için ayırmanız gerekir. Özelleştirme karışıklığı artıran karmaşıklığa yol açar ve otomasyonu daha karmaşık, zorlayıcı ve kırılgan hale getirir. Bu faktörlerin tümü güvenliği olumsuz etkiler.

En az ayrıcalıkla başlayan roller verin ve işletimsel veya veri erişim gereksinimlerinize göre daha fazlasını ekleyin. Teknik ekiplerinizin izinleri uygulamak için açık rehberliğe sahip olması gerekir.

RBAC üzerinde ayrıntılı denetim istiyorsanız, rol ataması üzerinde eylemler ve öznitelikler gibi bağlam temelinde koşullar ekleyin.

Koşullu erişim seçimleri yapma

Tüm kimliklere aynı erişim düzeyini vermeyin. Kararlarınızı iki ana faktöre dayandırın:

• Saat. Kimliğin ortamınıza ne kadar süreyle erişebileceği.

• Ayrıcalık. İzin düzeyi.

Bu faktörler birbirini dışlamaz. Daha fazla ayrıcalığı ve sınırsız erişim süresi olan güvenliği aşılmış bir kimlik, sistem ve veriler üzerinde daha fazla denetim sahibi olabilir veya bu erişimi kullanarak ortamı değiştirmeye devam edebilir. Bu erişim faktörlerini hem önleyici bir önlem olarak hem de patlama yarıçapını kontrol etmek için kısıtlar.

• Tam Zamanında (JIT) yaklaşımları, gerekli ayrıcalıkları yalnızca ihtiyaç duyulduğunda sağlar.

• Yeterli Erişim (JEA) yalnızca gerekli ayrıcalıkları sağlar.

Birincil faktörler zaman ve ayrıcalık olsa da, geçerli olan başka koşullar da vardır. Örneğin, ilkeleri ayarlamak için erişimin kaynaklandığı cihazı, ağı ve konumu da kullanabilirsiniz.

Kullanıcı kimliği ve konumu, cihaz durumu, iş yükü bağlamı, veri sınıflandırması ve anomaliler gibi parametreler de dahil olmak üzere yetkisiz erişimi filtreleyen, algılayan ve engelleyen güçlü denetimler kullanın.

Örneğin, iş yükünüz satıcılar, iş ortakları ve müşteriler gibi üçüncü taraf kimlikler tarafından erişilebilir olabilir. Tam zamanlı çalışanlara sağladığınız varsayılan izinler yerine uygun erişim düzeyine sahip olmaları gerekir. Dış hesapların net ayrımları, bu vektörlerden gelen saldırıları önlemeyi ve algılamayı kolaylaştırır.

IdP seçiminiz bu farklılığı sağlayabilmeli, en düşük ayrıcalığı temel alan izinler veren yerleşik özellikler sağlayabilmelidir ve yerleşik tehdit bilgileri sağlayabilmelidir. Buna erişim isteklerinin ve oturum açmaların izlenmesi dahildir. Azure IdP, Microsoft Entra ID'dir. Daha fazla bilgi için bu makalenin Azure kolaylaştırma bölümüne bakın.

Kritik etki hesaplarını koruma

Yönetim kimlikleri, gerçekleştirdikleri görevler bu sistemlerin ve uygulamaların geniş bir kümesine ayrıcalıklı erişim gerektirdiğinden en yüksek etki alanı güvenlik risklerinden bazılarını ortaya çıkarır. Gizliliğin ihlal edilmesi veya kötüye kullanılması, işletmeniz ve bilgi sistemleri üzerinde zarar verici bir etkiye sahip olabilir. Yönetim güvenliği en kritik güvenlik alanlarından biridir.

Ayrıcalıklı erişimin belirlenen saldırganlara karşı korunması, bu sistemleri risklerden yalıtmak için eksiksiz ve düşünceli bir yaklaşım benimsemenizi gerektirir. Uygulanabilecek bazı stratejiler şunlardır:

• Kritik etki hesaplarının sayısını en aza indirin.

• Mevcut kimlikler için ayrıcalıkları yükseltmek yerine ayrı roller kullanın.

• IdP'nizin JIT özelliklerini kullanarak kalıcı veya sürekli erişimden kaçının. Cam kıran durumlar için acil durum erişim sürecini izleyin.

• Parolasız kimlik doğrulaması veya çok faktörlü kimlik doğrulaması gibi modern erişim protokollerini kullanın. Bu mekanizmaları IdP'nize haricileştirin.

• Koşullu erişim ilkelerini kullanarak temel güvenlik özniteliklerini zorunlu tutun.

• Kullanılmayan yönetim hesaplarının yetkisini alma.

Ortamlar arasında tek bir kimlik kullanın ve tek bir kimliği kullanıcı veya sorumluyla ilişkilendirin. Bulut ve şirket içi ortamlarda kimliklerin tutarlılığı insan hatalarını ve sonuçta ortaya çıkan güvenlik risklerini azaltır. Kaynakları yöneten her iki ortamdaki ekiplerin güvenlik güvencelerini karşılamak için tutarlı ve yetkili bir kaynağa ihtiyacı vardır. Karma ortamlardaki kimliklerin eşitlenmesini sağlamak için merkezi kimlik ekibinizle birlikte çalışın.

Risk: Yüksek ayrıcalıklı kimliklerin eşitlenmesiyle ilişkili bir risk vardır. Bir saldırgan şirket içi varlıkların tam denetimini alabilir ve bu da bulut hesabının başarılı bir şekilde ele geçirilmesine yol açabilir. Saldırı yüzeyine ekleyebilen hesapları filtreleyerek eşitleme stratejinizi değerlendirin.

Kimlik yaşam döngüsünü yönetmek için süreçler oluşturma

Kimliklere erişim, kimliklerin eriştirdiği kaynaklardan daha uzun süre dayanmamalıdır. Ekip yapısında veya yazılım bileşenlerinde değişiklik olduğunda kimlikleri devre dışı bırakma veya silme işlemine sahip olduğunuzdan emin olun.

Bu kılavuz kaynak denetimi, veriler, denetim düzlemleri, iş yükü kullanıcıları, altyapı, araçlar, verilerin izlenmesi, günlükler, ölçümler ve diğer varlıklar için geçerlidir.

Dijital kimliklerin, yüksek ayrıcalıklı kullanıcıların, dış/konuk kullanıcıların ve iş yükü kullanıcılarının yaşam döngüsünü yönetmek için bir kimlik idaresi süreci oluşturun. Kimliklerin kuruluş veya takımdan ayrıldığında iş yükü izinlerinin kaldırıldığından emin olmak için erişim gözden geçirmeleri uygulayın.

Kimliksizliğe dayalı gizli dizileri koruma

Önceden paylaşılan anahtarlar gibi uygulama gizli dizileri sistemdeki savunmasız noktalar olarak kabul edilmelidir. İki yönlü iletişimde sağlayıcının veya tüketicinin gizliliği ihlal edilirse önemli güvenlik riskleri ortaya atılabilir. Bu anahtarlar operasyonel süreçler getirdiği için de zahmetli olabilir.

Bunu yaptığınızda gizli dizileri kullanmaktan kaçının ve yalnızca kaynaklarına değil uygulamaya kullanıcı erişimi için kimlik tabanlı kimlik doğrulamasını kullanmayı göz önünde bulundurun.

Aşağıdaki listede kılavuzun bir özeti verilmiştir. Daha fazla bilgi için bkz . Uygulama gizli dizileri için öneriler.

• Bu gizli dizileri, bir gizli dizi deposundan dinamik olarak çekilebilen varlıklar olarak değerlendirin. Uygulama kodunuzda, IaC betiklerinde, dağıtım işlem hatlarında veya diğer yapıtlarda sabit kodlanmış olmamalıdır.

• Gizli dizileri iptal etme özelliğine sahip olduğunuzdan emin olun.

• Anahtar döndürme ve süre sonu gibi görevleri işleyen işlem uygulamaları uygulayın.

Döndürme ilkeleri hakkında bilgi için bkz . İki kimlik doğrulama kimlik bilgisi kümesine sahip kaynaklar için gizli dizi döndürmeyi otomatikleştirme ve Öğretici: Key Vault'ta sertifika otomatik döndürme sıklığını güncelleştirme.

Geliştirme ortamlarını güvende tutma

Tüm kod ve betikler, işlem hattı araçları ve kaynak denetim sistemleri iş yükü varlıkları olarak kabul edilmelidir. Yazma işlemlerine erişim otomasyon ve eş gözden geçirme ile sınırlanmalıdır . Kaynak koduna okuma erişimi, bilinmesi gereken rollerle sınırlı olmalıdır. Kod depolarının sürüm oluşturması ve eşler tarafından yapılan güvenlik kodu gözden geçirmelerinin , geliştirme yaşam döngüsüyle tümleştirilmiş düzenli bir uygulama olması gerekir. Kaynakları düzenli aralıklarla tarar ve en son güvenlik açıklarını tanımlayan bir işlem gerçekleştirmeniz gerekir.

GitHub gibi dağıtım ortamlarından kaynaklara erişim vermek için iş yükü kimliklerini kullanın.

Denetim kaydını tutma

Kimlik yönetiminin bir yönü, sistemin denetlenebilir olmasını sağlamaktır. Denetimler, varsayılan ihlal stratejilerinin etkili olup olmadığını doğrular. Denetim izinin korunması aşağıdakilere yardımcı olur:

• Kimliğin kimliğinin güçlü kimlik doğrulamasıyla doğrulandığını doğrulayın. İnkar saldırılarını önlemek için herhangi bir eylemin izlenebilir olması gerekir.

• Zayıf veya eksik kimlik doğrulama protokollerini algılayın, kullanıcı ve uygulama oturum açma işlemleriyle ilgili görünürlük ve içgörüler elde edin.

• Güvenlik ve uyumluluk gereksinimlerine göre kimliklerden iş yüküne erişimi değerlendirin ve kullanıcı hesabı riskini, cihaz durumunu ve ayarladığınız diğer ölçütleri ve ilkeleri göz önünde bulundurun.

• Uyumluluk gereksinimlerinden ilerlemeyi veya sapmayı izleyin.

Çoğu kaynağın veri düzlemi erişimi vardır. Kaynaklara erişen kimlikleri ve gerçekleştirdikleri eylemleri bilmeniz gerekir. Bu bilgileri güvenlik tanılaması için kullanabilirsiniz.

Daha fazla bilgi için bkz . Güvenlik izleme ve tehdit analiziyle ilgili öneriler.

Azure kolaylaştırma

Her zaman tüm kullanılabilir veri noktalarını dikkate alıp koşullu erişim kullanan modern kimlik doğrulama protokollerini kullanmanızı öneririz. Microsoft Entra ID, Azure'da kimlik ve erişim yönetimi sağlar. Azure'ın yönetim düzlemini kapsar ve çoğu Azure hizmetlerinin veri düzlemleriyle tümleşiktir. Microsoft Entra Id, iş yükü aboneliğiyle ilişkili kiracıdır. Kimlikleri ve izin verilen izinlerini izler ve yönetir ve gözetim veya insan hatası riskini en aza indirmek için genel yönetimi basitleştirir.

Bu özellikler, kullanıcı segmentleri için aynı Microsoft Entra kimliği ve izin modeliyle yerel olarak tümleştirilir:

• Microsoft Entra Id. Çalışanlar ve kurumsal kaynaklar.

• Microsoft Entra Dış Kimlik. Ortak.

• Azure AD B2C. Müşteri.

• Microsoft Entra federasyon uyumluluk listesi. Üçüncü taraf federasyon çözümleri.

Microsoft Kimlik Doğrulama Kitaplığı (MSAL) veya web uygulamaları için kimlik doğrulaması gibi platform özellikleri aracılığıyla özel uygulamaların kimlik doğrulaması ve yetkilendirmesi için Microsoft Entra Id kullanabilirsiniz. Azure'ın yönetim düzlemini, Azure hizmetlerinin çoğunun veri düzlemlerini ve uygulamalarınız için tümleştirme özelliklerini kapsar.

Microsoft Entra Id'deki yenilikler'i ziyaret ederek güncel kalabilirsiniz.

Denge: Microsoft Entra Id, diğer temel hizmetler gibi tek bir hata noktasıdır. Kesinti Microsoft tarafından düzeltilinceye kadar geçici bir çözüm yoktur. Ancak, Microsoft Entra'nın zengin özellik kümesi özel çözümler kullanma riskine ağır basıyor.

OAuth2 ve OpenID Connect gibi açık protokolleri Azure desteği. Kendi akışlarınızı tasarlamak yerine bu standart kimlik doğrulama ve yetkilendirme mekanizmalarını kullanmanızı öneririz.

Azure RBAC

Azure RBAC, Microsoft Entra Id'deki güvenlik sorumlularını temsil eder. Tüm rol atamaları Azure RBAC aracılığıyla yapılır. İhtiyacınız olan izinlerin çoğunu sağlayan yerleşik rollerden yararlanın. Daha fazla bilgi için bkz. Microsoft Entra yerleşik roller.

Bazı kullanım örnekleri şunlardır:

• Kullanıcıları rollere atayarak Azure kaynaklarına erişimi denetleyebilirsiniz. Daha fazla bilgi için bkz . Microsoft Entra Id'de rol tabanlı erişim denetimine genel bakış.

• Ayrıcalıklı Kimlik Yönetimi'ni kullanarak yüksek etkili kimliklerle ilişkili roller için zamana dayalı ve onay tabanlı rol etkinleştirmesi sağlayabilirsiniz. Daha fazla bilgi için bkz . Privileged Identity Management nedir?.

RBAC hakkında daha fazla bilgi için bkz . Azure RBAC için en iyi yöntemler.

Öznitelik tabanlı denetimler hakkında bilgi için bkz . Azure ABAC nedir?.

İş yükü kimliği

Microsoft Entra Id uygulamanızın kimliğini işleyebilir. Uygulamayla ilişkili hizmet sorumlusu erişim kapsamını dikte edebilir.

Daha fazla bilgi için bkz . İş yükü kimlikleri nedir?.

Yönetilen kimlik kullandığınızda hizmet sorumlusu da soyutlanır. Bunun avantajı, Azure'ın uygulama için tüm kimlik bilgilerini yönetmesidir.

Tüm hizmetler yönetilen kimlikleri desteklemez. Yönetilen kimlikleri kullanamıyorsanız hizmet sorumlularını kullanabilirsiniz. Ancak, hizmet sorumlularını kullanmak yönetim ek yükünüzü artırır. Daha fazla bilgi için bkz. Azure kaynakları için yönetilen kimlikler nedir?.

Kaynak kimliği

Yönetilen kimlik kavramı Azure kaynaklarına genişletilebilir. Azure kaynakları, Microsoft Entra kimlik doğrulamasını destekleyen diğer hizmetlerde kimliklerini doğrulamak için yönetilen kimlikleri kullanabilir. Daha fazla bilgi için bkz . Diğer hizmetlere erişmek için yönetilen kimlikleri kullanabilen Azure hizmetleri.

Koşullu erişim ilkeleri

Koşullu erişim, erişim kararı için ilkenizi açıklar. Koşullu erişimi kullanmak için kullanım örneği için gereken kısıtlamaları anlamanız gerekir. İşletimsel gereksinimlerinize göre bir erişim ilkesi ayarlayarak Microsoft Entra Koşullu Erişim'i yapılandırın.

Daha fazla bilgi için bkz . Koşullu erişim: Kullanıcılar, gruplar ve iş yükü kimlikleri.

Grup erişim yönetimi

Belirli kullanıcılara izin vermek yerine, Microsoft Entra Id'de gruplara erişim atayın. Bir grup yoksa, bir grup oluşturmak için kimlik ekibinizle birlikte çalışın. Ardından Azure dışında grup üyeleri ekleyip kaldırabilir ve izinlerin geçerli olduğundan emin olabilirsiniz. Grubu, posta listeleri gibi başka amaçlar için de kullanabilirsiniz.

Daha fazla bilgi için bkz . Microsoft Entra Id'de grupları kullanarak erişim denetiminin güvenliğini sağlama.

Tehdit algılama

Microsoft Entra Kimlik Koruması kimlik tabanlı riskleri algılamanıza, araştırmanıza ve düzeltmenize yardımcı olabilir. Daha fazla bilgi için bkz . Kimlik Koruması nedir?.

Tehdit algılama, şüpheli etkinlik uyarısına tepki verme veya etkinlik günlüklerindeki anormal olayları proaktif olarak arama şeklinde olabilir. Microsoft Sentinel'deki Kullanıcı ve Varlık Davranışı Analizi (UEBA), şüpheli etkinlikleri algılamayı kolaylaştırır. Daha fazla bilgi için bkz . UEBA ile gelişmiş tehditleri belirleme.

Hibrit sistemler

Azure'da, mevcut Active Directory'nizde yüksek ayrıcalıklara sahip hesapları Microsoft Entra Id ile eşitlemeyin. Bu eşitleme varsayılan Microsoft Entra Connect Sync yapılandırmasında engellenir, bu nedenle yalnızca bu yapılandırmayı özelleştirmediğinizden emin olmanız gerekir.

Microsoft Entra Id'de filtreleme hakkında bilgi için bkz . Microsoft Entra Connect Sync: Filtrelemeyi yapılandırma.

Kimlik günlüğü

Denetim izi olarak kullanabileceğiniz bilgileri yaymak için Azure kaynaklarında tanılama ayarlarını etkinleştirin. Tanılama bilgileri, hangi kimliklerin hangi kaynaklara erişmeye çalıştığı ve bu girişimlerin sonucunu gösterir. Toplanan günlükler Azure İzleyici'ye gönderilir.

Sonuç: Günlükleri depolamak için kullanılan veri depolama nedeniyle günlüğe kaydetme maliyetlerine neden olur. Ayrıca, özellikle uygulamaya eklediğiniz kod ve günlüğe kaydetme çözümleri üzerinde performans etkisine neden olabilir.

Örnek

Aşağıdaki örnekte bir kimlik uygulaması gösterilmektedir. Gerekli erişim düzeylerini sağlamak için farklı kimlik türleri birlikte kullanılır.

Kimlik bileşenleri

• Sistem tarafından yönetilen kimlikler. Microsoft Entra ID, Azure Key Vault ve veri depoları gibi kullanıcılarla yüzleşmeyen hizmet veri düzlemlerine erişim sağlar. Bu kimlikler ayrıca RBAC aracılığıyla iş yükü bileşenleri, dağıtım aracıları ve ekip üyeleri için Azure yönetim düzlemine erişimi de denetler.

• İş yükü kimlikleri. Azure Kubernetes Service (AKS) kümesindeki uygulama hizmetleri, çözümdeki diğer bileşenlerde kimliklerini doğrulamak için iş yükü kimliklerini kullanır.

• Yönetilen kimlikler. İstemci rolündeki sistem bileşenleri, derleme aracıları dahil olmak üzere sistem tarafından yönetilen kimlikleri kullanır.

• İnsan kimlikleri. Kullanıcı ve işleç kimlik doğrulaması Microsoft Entra Id veya Microsoft Entra Id (yerel, B2B veya B2C) için temsilci olarak sağlanır.

Önceden paylaşılan gizli dizilerin güvenliği tüm uygulamalar için kritik önem taşır. Azure Key Vault, Redis ve üçüncü taraf gizli dizileri de dahil olmak üzere bu gizli diziler için güvenli bir depolama mekanizması sağlar.

Gizli dizilerin gizliliğinin tehlikeye atılmamasını sağlamaya yardımcı olmak için bir döndürme mekanizması kullanılır. Kullanıcıların kimliğini doğrulamak için OAuth 2 ve OpenID Connect'in Microsoft kimlik platformu uygulamasına yönelik belirteçler kullanılır.

Azure İlkesi, Key Vault gibi kimlik bileşenlerinin erişim ilkeleri yerine RBAC kullanmasını sağlamak için kullanılır. JIT ve JEA, insan operatörler için geleneksel ayakta izinler sağlar.

Erişim günlükleri tüm bileşenlerde Azure Tanılama veya kod bileşenleri için kod aracılığıyla etkinleştirilir.

İlgili bağlantılar

• Öğretici: İki kimlik doğrulama kimlik bilgisi kümesine sahip kaynaklar için gizli dizi döndürmeyi otomatikleştirme
• Öğretici: Key Vault'ta sertifika otomatik döndürme sıklığını güncelleştirme
• Microsoft Entra Id'deki yenilikler
• Microsoft Entra yerleşik rolleri
• Microsoft Entra ID'de rol tabanlı erişim denetimine genel bakış
• İş yükü kimlikleri nedir?
• Azure kaynakları için yönetilen kimlikler nedir?
• Koşullu erişim: Kullanıcılar, gruplar ve iş yükü kimlikleri
• Microsoft Entra Connect Eşitleme: Filtrelemeyi yapılandırma

Güvenlik denetim listesi

Öneriler kümesinin tamamına bakın.

Güvenlik denetim listesi