Share via

Tam olarak yönetilen bir kimlik hizmeti platformu kullanma

  • Makale

Hemen hemen her bulut uygulamasının kullanıcı kimlikleriyle çalışması gerekir. Kimlik, sıfır güven gibi modern güvenlik uygulamalarının temelini oluşturur ve uygulamalar için kullanıcı kimliği çözümünüzün mimarisinin kritik bir parçasıdır.

Çoğu çözüm için, kendiniz oluşturmak veya çalıştırmak yerine tam olarak yönetilen bir kimlik çözümü olan hizmet olarak kimlik (IDaaS) platformu kullanmanızı kesinlikle öneririz. Bu makalede, kendi kimlik sisteminizi oluşturma veya çalıştırmanın zorlukları açıklanmaktadır.

Öneriler

Önemli

Microsoft Entra ID, Azure AD B2C veya başka bir benzer sistem gibi bir IDaaS kullanarak, bu makalede açıklanan sorunların çoğunu azaltabilirsiniz. Mümkün olduğunca bu yaklaşımı öneririz.

Çözüm gereksinimleriniz, barındırdığınız ve çalıştırdığınız bir çerçeve veya kullanıma açık kimlik çözümü kullanmanıza neden olabilir. Önceden oluşturulmuş bir kimlik platformu kullanmak, bu makalede açıklanan sorunların bazılarını azaltırken, bu sorunların çoğunu ele almak yine de böyle bir çözümle sizin sorumluluğunuzdadır.

Sıfırdan oluşturduğunuz bir kimlik sistemini kullanmaktan kaçınmanız gerekir.

Kimlik bilgilerini depolamaktan kaçının

Kendi kimlik sisteminizi çalıştırdığınızda, bir kimlik bilgileri veritabanı depolamanız gerekir. Kimlik bilgilerini hiçbir zaman düz metinde veya şifrelenmiş veri olarak depolamamalısınız.

Bunun yerine, kimlik bilgilerini depolamadan önce şifrelemeyle karma ve tuzlama yapmayı göz önünde bulundurabilirsiniz ve bu da onları saldırıda daha zor hale getirir. Ancak karma ve tuzlanmış kimlik bilgileri bile çeşitli saldırı türlerine karşı savunmasızdır.

Tek tek kimlik bilgilerini nasıl koruduğundan bağımsız olarak, kimlik bilgileri veritabanını korumak sizi saldırılar için bir hedef haline getirir. Son yıllarda hem büyük hem de küçük kuruluşların kimlik bilgileri veritabanlarının saldırı için hedeflendiğini göstermiştir.

Kimlik bilgisi depolamayı varlık değil sorumluluk olarak düşünün. IDaaS kullanarak kimlik bilgileri depolama sorununu, kimlik bilgilerini güvenli bir şekilde yönetmeye zaman ve kaynak ayırabilecek uzmanlara dış kaynak sağlarsınız.

Kimlik ve federasyon protokollerini uygulama

Modern kimlik protokolleri karmaşıktır. Sektör uzmanları gerçek dünyadaki saldırıları ve güvenlik açıklarını azaltmak için OAuth 2, OpenID Bağlan ve diğer protokolleri tasarladı. Protokoller ayrıca teknolojilerdeki değişikliklere, saldırı stratejilerine ve kullanıcı beklentilerine uyum sağlayacak şekilde gelişir. Protokoller ve bunların nasıl kullanıldığı konusunda uzman olan kimlik uzmanları, bu protokolleri izleyen sistemleri uygulamak ve doğrulamak için en iyi konumdadır. Protokoller ve platform hakkında daha fazla bilgi için Microsoft kimlik platformu OAuth 2.0 ve OpenID Bağlan (OIDC) konularına bakın.

Kimlik sistemlerini birleştirmek de yaygındır. Kimlik federasyonu protokollerinin oluşturulması, yönetilmesi ve sürdürülmesi karmaşıktır ve uzman bilgi ve deneyim gerektirir. Daha fazla bilgi için bkz . Federasyon kimlik düzeni.

Modern kimlik özelliklerini benimseme

Kullanıcılar bir kimlik sisteminin aşağıdakiler gibi çeşitli gelişmiş özelliklere sahip olmasını bekler:

  • Oturum açmak için kullanıcıların kimlik bilgilerini girmesini gerektirmeyen güvenli yaklaşımlar kullanan parolasız kimlik doğrulaması.

  • Çoklu oturum açma (SSO), kullanıcıların işverenlerinden, okullarından veya başka bir kuruluştan gelen bir kimlik kullanarak oturum açmalarına olanak tanır.

  • Çok faktörlü kimlik doğrulaması (MFA), kullanıcılardan kimliklerini birden çok şekilde doğrulamalarını ister. Örneğin, bir kullanıcı bir parola kullanarak ve ayrıca mobil cihazda bir kimlik doğrulayıcı uygulaması veya e-posta ile gönderilen bir kod kullanarak oturum açabilirsiniz.

  • Başarılı, başarısız ve durdurulmuş oturum açma girişimleri dahil olmak üzere kimlik platformunda gerçekleşen her olayı izleyen denetim. Daha sonra bir oturum açma girişimini adli olarak analiz etmek için ayrıntılı bir günlük gerekebilir.

  • Koşullu erişim, çeşitli faktörleri temel alan bir oturum açma girişimi etrafında bir risk profili oluşturur. Faktörler arasında kullanıcının kimliği, oturum açma girişiminin konumu, önceki oturum açma etkinliği ve verilerin veya uygulamanın duyarlılığı yer alabilir.

  • Kullanıcıların bir onay işlemine göre geçici olarak oturum açmasına olanak tanıyan ve ardından yetkilendirmeyi otomatik olarak kaldıran tam zamanında erişim denetimi.

İş çözümünüzün bir parçası olarak bir kimlik bileşeni oluşturuyorsanız, bu özelliklerin uygulanmasında ve bakımının yapılmasında yer alan çalışmaları gerekçelendirme olasılığınız düşüktür. Bu özelliklerden bazıları, MFA kodları göndermek için mesajlaşma sağlayıcılarıyla tümleştirme ve denetim günlüklerini yeterli bir süre için depolama ve saklama gibi ek işler gerektirir.

IDaaS platformları, aldıkları oturum açma isteklerinin hacmini temel alan gelişmiş bir güvenlik özellikleri kümesi de sağlayabilir. Örneğin, tek bir kimlik platformu kullanan çok sayıda müşteri olduğunda aşağıdaki özellikler en iyi sonucu verir:

  • Botnet'lerden oturum açma girişimleri gibi riskli oturum açma olaylarının algılanması
  • Kullanıcının etkinlikleri arasında imkansız seyahat algılama
  • Diğer kullanıcılar tarafından sık kullanılan parolalar gibi yaygın kimlik bilgilerinin algılanması, bu nedenle daha yüksek bir risk riskine tabidir
  • Oturum açma girişimlerini geçerli veya geçersiz olarak sınıflandırmak için makine öğrenmesi tekniklerinin kullanılması
  • Sızdırılan kimlik bilgileri için sözde koyu web'in izlenmesi ve bunların kötüye kullanılmasını önleme
  • Tehdit ortamını ve saldırganların kullandığı geçerli vektörleri sürekli izleme

Kendi kimlik sisteminizi oluşturur veya çalıştırırsanız bu özelliklerden yararlanamazsınız.

Güvenilir, yüksek performanslı bir kimlik sistemi kullanma

Kimlik sistemleri modern bulut uygulamalarının önemli bir parçası olduğundan, güvenilir olmaları gerekir. Kimlik sisteminiz kullanılamıyorsa, çözümünüzün geri kalanı etkilenebilir ve düşük bir şekilde çalışabilir veya hiç çalışmayabilir. Hizmet düzeyi sözleşmesine sahip bir IDaaS kullanarak, ihtiyaç duyduğunuzda kimlik sisteminizin çalışır durumda kalacağına olan güveninizi artırabilirsiniz. Örneğin, Microsoft Entra Id, hem oturum açma hem de belirteç verme işlemlerini kapsayan Temel ve Premium hizmet katmanları için çalışma süresi için bir SLA sunar. Daha fazla bilgi için bkz . Microsoft Entra Id için SLA.

Benzer şekilde, bir kimlik sisteminin iyi performans göstermeli ve sisteminizin karşılaşabileceği büyüme düzeyine ölçeklendirilebilmelidir. Uygulama mimarinize bağlı olarak, her isteğin kimlik sisteminizle etkileşime ihtiyacı olabilir ve tüm performans sorunları kullanıcılarınız tarafından görülebilecektir. IDaaS sistemleri, büyük kullanıcı yüklerine ölçeklendirilecek şekilde teşvik edilir. Bunlar, farklı saldırı biçimleri tarafından oluşturulan trafik de dahil olmak üzere büyük hacimli trafiği emecek şekilde tasarlanmıştır.

Güvenliğinizi test edin ve sıkı denetimler uygulayın

Bir kimlik sistemi çalıştırıyorsanız, güvenliği sağlamak sizin sorumluluğunuzdadır. Uygulamayı göz önünde bulundurmanız gereken denetimlere örnek olarak şunlar verilebilir:

  • Özel uzmanlık gerektiren periyodik sızma testi.
  • Çalışanların ve sisteme erişimi olan herkesin incelemesi.
  • Uzmanlar tarafından gözden geçirilmiş tüm değişikliklerle çözümünüzdeki tüm değişiklikleri sıkı bir şekilde kontrol edin.

Bu denetimler genellikle pahalıdır ve uygulanması zordur.

Bulutta yerel güvenlik denetimlerini kullanma

Çözümünüzün kimlik sağlayıcısı olarak Microsoft Entra Id kullandığınızda, Azure kaynakları için yönetilen kimlikler gibi bulutta yerel güvenlik özelliklerinden yararlanabilirsiniz.

Ayrı bir kimlik platformu kullanmayı seçerseniz, uygulamanızın kendi kimlik platformunuzla aynı anda tümleştirilirken yönetilen kimliklerden ve diğer Microsoft Entra özelliklerinden nasıl yararlanabileceğini göz önünde bulundurmanız gerekir.

Temel değerinize odaklanın

Güvenli, güvenilir ve duyarlı bir kimlik platformu sağlamak pahalı ve karmaşıktır. Çoğu durumda kimlik sistemi, çözümünüz için değer katan veya sizi rakiplerinizden ayıran bir bileşen değildir. Kimlik gereksinimlerinizi uzmanlar tarafından oluşturulan bir sisteme dış kaynak olarak eklemek iyi bir şey. Bu şekilde, çözümünüzde müşterileriniz için iş değeri katan bileşenleri tasarlamaya ve oluşturmaya odaklanabilirsiniz.

Katkıda Bulunanlar

Bu makale Microsoft tarafından yönetilir. Başlangıçta aşağıdaki katkıda bulunanlar tarafından yazılmıştır.

Asıl yazar:

  • John Downs | Kıdemli Müşteri Mühendisi, Azure için FastTrack

Diğer katkıda bulunanlar:

Genel olmayan LinkedIn profillerini görmek için LinkedIn'de oturum açın.

Sonraki adımlar