Azure Kimlik Yönetimi ve erişim denetimi güvenliği için en iyi yöntemler

Bu makalede, Azure kimlik yönetimi ve erişim denetimi güvenliği için en iyi yöntemlerin bir koleksiyonu ele alınacağız. Bu en iyi yöntemler, Azure AD deneyimimizden ve sizin gibi müşterilerin deneyimlerinden türetilmiştir.

Her en iyi uygulama için şunları açıklayacağız:

  • En iyi yöntem nedir?
  • Bu en iyi yöntemi neden etkinleştirmek istiyorsunuz?
  • En iyi yöntemi etkinleştiremezseniz sonuç ne olabilir?
  • En iyi uygulamaya olası alternatifler
  • En iyi yöntemi etkinleştirmeyi nasıl öğrenebilirsiniz?

Bu Azure kimlik yönetimi ve erişim denetimi en iyi güvenlik uygulamaları makalesi, bu makalenin yazıldığı sırada mevcut olan fikir birliğine ve Azure platformu özelliklerine ve özellik kümelerine dayanır.

Bu makaleyi yazarken amaç, temel özelliklerimiz ve hizmetlerimizin bazılarında size yol gösteren "Kimlik altyapınızı güvenli hale getirmek için 5 adım" denetim listemiz tarafından yönlendirilen dağıtımdan sonra daha sağlam bir güvenlik duruşu için genel bir yol haritası sağlamaktır.

Görüşler ve teknolojiler zaman içinde değişir ve bu makale bu değişiklikleri yansıtacak şekilde düzenli olarak güncelleştirilecektir.

Bu makalede ele alınan Azure kimlik yönetimi ve erişim denetimi güvenliği en iyi yöntemleri şunlardır:

  • Kimliği birincil güvenlik çevresi olarak ele alın
  • Kimlik yönetimini merkezileştirme
  • Bağlı kiracıları yönetme
  • Çoklu oturum açmayı etkinleştirme
  • Koşullu Erişim'i açma
  • Rutin güvenlik geliştirmeleri planlama
  • Parola yönetimini etkinleştirme
  • Kullanıcılar için çok faktörlü doğrulamayı zorunlu kılma
  • Rol tabanlı erişim denetimi kullanma
  • Ayrıcalıklı hesapların daha düşük pozlaması
  • Kaynakların bulunduğu konumları denetleme
  • Depolama kimlik doğrulaması için Azure AD kullanma

Kimliği birincil güvenlik çevresi olarak ele alın

Çoğu, kimliği güvenlik için birincil çevre olarak değerlendirir. Bu, geleneksel ağ güvenliği odağından bir geçiştir. Ağ çevreleri daha da gözenekli olmaya devam eder ve bu çevre savunması KCG cihazlarının ve bulut uygulamalarının patlamasından önceki kadar etkili olamaz.

Azure Active Directory (Azure AD), kimlik ve erişim yönetimi için Azure çözümüdür. Azure AD, Microsoft çok kiracılı, bulut tabanlı bir dizin ve kimlik yönetimi hizmetidir. Temel dizin hizmetlerini, uygulama erişimi yönetimini ve kimlik korumasını tek bir çözümde toplar.

Aşağıdaki bölümlerde Azure AD kullanarak kimlik ve erişim güvenliğine yönelik en iyi yöntemler listelemektedir.

En iyi yöntem: Kullanıcı ve hizmet kimlikleriyle ilgili güvenlik denetimlerini ve algılamalarını ortalar. Ayrıntı: Denetimleri ve kimlikleri birlikte kullanmak için Azure AD kullanın.

Kimlik yönetimini merkezileştirme

Karma kimlik senaryosunda şirket içi ve bulut dizinlerinizi tümleştirmenizi öneririz. Tümleştirme, BT ekibinizin bir hesabın nerede oluşturulduğundan bağımsız olarak hesapları tek bir konumdan yönetmesini sağlar. Tümleştirme ayrıca hem bulut hem de şirket içi kaynaklara erişmek için ortak bir kimlik sağlayarak kullanıcılarınızın daha üretken olmasına yardımcı olur.

En iyi yöntem: Tek bir Azure AD örneği oluşturun. Tutarlılık ve tek yetkili kaynaklar netliği artırır ve insan hatalarından ve yapılandırma karmaşıklığından kaynaklanan güvenlik risklerini azaltır. Ayrıntı: Şirket ve kuruluş hesapları için yetkili kaynak olarak tek bir Azure AD dizini belirleyin.

En iyi yöntem: Şirket içi dizinlerinizi Azure AD ile tümleştirin.
Ayrıntı: Şirket içi dizininizi bulut dizininizle eşitlemek için Azure AD Bağlan'ı kullanın.

Not

Azure AD Connect'in performansını etkileyen faktörler vardır. Azure AD Connect'in yetersiz performansa sahip sistemlerin güvenliği ve üretkenliği engelleyip engellenmemesini sağlayacak yeterli kapasiteye sahip olduğundan emin olun. Büyük veya karmaşık kuruluşlar (100.000'den fazla nesne sağlayan kuruluşlar) Azure AD Connect uygulamalarını iyileştirmek için önerileri izlemelidir.

En iyi yöntem: Mevcut Active Directory örneğinizde yüksek ayrıcalıklara sahip Azure AD hesapları eşitlemeyin. Ayrıntı: Bu hesapları filtreleyen varsayılan Azure AD Bağlan yapılandırmasını değiştirmeyin. Bu yapılandırma, buluttan şirket içi varlıklara (büyük bir olay oluşturabilir) özetleyen saldırganların riskini azaltır.

En iyi yöntem: Parola karması eşitlemeyi açın.
Ayrıntı: Parola karması eşitleme, kullanıcı parolası karmalarını bir şirket içi Active Directory örneğinden bulut tabanlı bir Azure AD örneğine eşitlemek için kullanılan bir özelliktir. Bu eşitleme, sızdırılan kimlik bilgilerinin önceki saldırılardan yeniden oynatılmasına karşı korumaya yardımcı olur.

Active Directory Federasyon Hizmetleri (AD FS) (AD FS) veya diğer kimlik sağlayıcılarıyla federasyon kullanmaya karar verseniz bile, şirket içi sunucularınızın başarısız olması veya geçici olarak kullanılamaz duruma gelmesi durumunda parola karması eşitlemesini isteğe bağlı olarak yedek olarak ayarlayabilirsiniz. Bu eşitleme, kullanıcıların şirket içi Active Directory örneğinde oturum açmak için kullandıkları parolayı kullanarak hizmette oturum açmasına olanak tanır. Ayrıca, bir kullanıcı Azure AD bağlı olmayan diğer hizmetlerde aynı e-posta adresini ve parolayı kullandıysa, Kimlik Koruması'nın güvenliği aşıldığı bilinen parolalarla eşitlenmiş parola karmalarını karşılaştırarak güvenliği aşılmış kimlik bilgilerini algılamasına da olanak tanır.

Daha fazla bilgi için bkz. Azure AD Connect eşitlemesi ile parola karması eşitlemesi uygulama.

En iyi yöntem: Yeni uygulama geliştirme için kimlik doğrulaması için Azure AD kullanın. Ayrıntı: Kimlik doğrulamasını desteklemek için doğru özellikleri kullanın:

  • Çalışanlar için Azure AD
  • Konuk kullanıcılar ve dış iş ortakları için Azure AD B2B
  • Müşterilerin uygulamalarınızı kullanırken nasıl kaydolacaklarını, oturum açtıklarını ve profillerini nasıl yöneteceklerini denetlemek için B2C'yi Azure AD

Şirket içi kimliklerini bulut kimlikleriyle tümleştirmeyen kuruluşlar, hesapları yönetme konusunda daha fazla yüke sahip olabilir. Bu ek yük, hata ve güvenlik ihlali olasılığını artırır.

Not

Kritik hesapların hangi dizinlerde bulunacağını ve kullanılan yönetici iş istasyonunun yeni bulut hizmetleri veya mevcut işlemler tarafından yönetilip yönetilmeyeceğini seçmeniz gerekir. Mevcut yönetim ve kimlik sağlama işlemlerinin kullanılması bazı riskleri azaltabilir, ancak bir saldırganın şirket içi hesabı tehlikeye atıp bulutta özetleme riski de oluşturabilir. Farklı roller için farklı bir strateji kullanmak isteyebilirsiniz (örneğin, BT yöneticileri ve iş birimi yöneticileri). İki seçenek sunulur. İlk seçenek, şirket içi Active Directory örneğiniz ile eşitlenmemiş Azure AD Hesapları oluşturmaktır. Microsoft Intune kullanarak yönetebileceğiniz ve düzeltme eki ekleyebileceğiniz Azure AD için yönetici iş istasyonunuza katılın. İkinci seçenek, şirket içi Active Directory örneğinizle eşitleyerek mevcut yönetici hesaplarını kullanmaktır. Yönetim ve güvenlik için Active Directory etki alanınızdaki mevcut iş istasyonlarını kullanın.

Bağlı kiracıları yönetme

Güvenlik kuruluşunuzun riski değerlendirmek ve kuruluşunuzun ilkelerinin ve mevzuat gereksinimlerine uyulup uyulmadığını saptamak için görünürlüğe ihtiyacı vardır. Güvenlik kuruluşunuzun üretim ortamınıza ve ağınıza bağlı tüm abonelikleri ( Azure ExpressRoute veya siteler arası VPN aracılığıyla) görünürlüğü olduğundan emin olmanız gerekir. Azure AD'daki bir Genel Yönetici, erişimini Kullanıcı Erişimi Yöneticisi rolüne yükseltebilir ve ortamınıza bağlı tüm abonelikleri ve yönetilen grupları görebilir.

Sizin ve güvenlik grubunuzun ortamınıza bağlı tüm abonelikleri veya yönetim gruplarını görüntüleyebildiğinizden emin olmak için bkz. Tüm Azure aboneliklerini ve yönetim gruplarını yönetmek için erişimi yükseltme. Riskleri değerlendirdikten sonra bu yükseltilmiş erişimi kaldırmalısınız.

Çoklu oturum açmayı etkinleştirme

Mobil ve bulut öncelikli bir dünyada, kullanıcılarınızın her yerde ve her zaman üretken olabilmesi için cihazlara, uygulamalara ve hizmetlere her yerden çoklu oturum açmayı (SSO) etkinleştirmek istiyorsunuz. Yönetecek birden çok kimlik çözüme sahip olduğunuzda, bu yalnızca BT için değil, aynı zamanda birden çok parolayı hatırlaması gereken kullanıcılar için de yönetim sorunu haline gelir.

Tüm uygulamalarınız ve kaynaklarınız için aynı kimlik çözümünü kullanarak SSO elde edebilirsiniz. Ayrıca kullanıcılarınız, ister şirket içinde ister bulutta olsun, oturum açmak ve ihtiyaç duydukları kaynaklara erişmek için aynı kimlik bilgilerini kullanabilir.

En iyi yöntem: SSO'nun etkinleştirilmesi.
Ayrıntı: Azure AD şirket içi Active Directory buluta genişletir. Kullanıcılar, etki alanına katılmış cihazları, şirket kaynakları ve işlerini yapmak için ihtiyaç duydukları tüm web ve SaaS uygulamaları için birincil iş veya okul hesabını kullanabilir. Kullanıcıların birden çok kullanıcı adı ve parola kümesini hatırlaması gerekmez ve kuruluş grubu üyeliklerine ve çalışan olarak durumlarına bağlı olarak uygulama erişimleri otomatik olarak sağlanabilir (veya sağlamaları kaldırılabilir). Galeri uygulamaları veya geliştirip Azure AD Application Proxy ile yayımladığınız şirket içi uygulamalar için bu erişimi siz denetleyebilirsiniz.

Kullanıcıların saas uygulamalarına Azure AD iş veya okul hesaplarına göre erişmesini sağlamak için SSO kullanın. Bu yalnızca Microsoft SaaS uygulamaları için değil, Google Apps ve Salesforce gibi diğer uygulamalar için de geçerlidir. Uygulamanızı SAML tabanlı kimlik sağlayıcısı olarak Azure AD kullanacak şekilde yapılandırabilirsiniz. Güvenlik denetimi olarak Azure AD, kullanıcılara Azure AD üzerinden erişim verilmediği sürece uygulamada oturum açmasına izin veren bir belirteç vermez. Erişim iznini doğrudan veya kullanıcıların üyesi olduğu bir grup aracılığıyla vekleyebilirsiniz.

Kullanıcıları ve uygulamaları için SSO oluşturmak üzere ortak bir kimlik oluşturmayan kuruluşlar, kullanıcıların birden çok parolaya sahip olduğu senaryolara daha fazla maruz kalmaktadır. Bu senaryolar, kullanıcıların parolaları yeniden kullanma veya zayıf parolalar kullanma olasılığını artırır.

Koşullu Erişim'i açma

Kullanıcılar, çeşitli cihazları ve uygulamaları her yerden kullanarak kuruluşunuzun kaynaklarına erişebilir. BT yöneticisi olarak, bu cihazların güvenlik ve uyumluluk standartlarınıza uygun olduğundan emin olmak istiyorsunuz. Kaynağa kimlerin erişebileceğine odaklanmak artık yeterli değildir.

Güvenlik ve üretkenliği dengelemek için erişim denetimi hakkında karar verebilmek için önce kaynağa nasıl erişilir diye düşünmeniz gerekir. koşullu erişim Azure AD ile bu gereksinimi karşılayabilirsiniz. Koşullu Erişim ile bulut uygulamalarınıza erişim koşullarına göre otomatik erişim denetimi kararları alabilirsiniz.

En iyi yöntem: Şirket kaynaklarına erişimi yönetme ve denetleme.
Ayrıntı: SaaS uygulamaları ve Azure AD bağlı uygulamalar için grup, konum ve uygulama duyarlılığına göre yaygın Azure AD Koşullu Erişim ilkelerini yapılandırın.

En iyi yöntem: Eski kimlik doğrulama protokollerini engelleme. Ayrıntı: Saldırganlar, özellikle parola spreyi saldırılarında eski protokollerdeki zayıflıklardan her gün yararlanır. Eski protokolleri engellemek için Koşullu Erişimi yapılandırın.

Rutin güvenlik geliştirmelerini planlama

Güvenlik her zaman gelişmektedir ve bulut ve kimlik yönetimi çerçevenizde düzenli olarak büyümeyi göstermek ve ortamınızı güvenli hale getirmek için yeni yollar keşfetmek için bir yol oluşturmak önemlidir.

Kimlik Güvenliği Puanı, Microsoft güvenlik duruşunuzu objektif olarak ölçmek ve gelecekteki güvenlik iyileştirmelerini planlamaya yardımcı olmak için size sayısal bir puan sağlamak için çalışan bir dizi önerilen güvenlik denetimidir. Ayrıca puanınızı diğer sektörlerdekilerle ve zaman içindeki eğilimlerinizle karşılaştırarak görüntüleyebilirsiniz.

En iyi uygulama: Sektörünüzdeki en iyi yöntemlere göre rutin güvenlik incelemeleri ve iyileştirmeleri planlayın. Ayrıntı: Zaman içindeki geliştirmelerinizi sıralamak için Kimlik Güvenliği Puanı özelliğini kullanın.

Parola yönetimini etkinleştirme

Birden çok kiracınız varsa veya kullanıcıların kendi parolalarını sıfırlamasını sağlamak istiyorsanız, uygunsuz kullanımı önlemek için uygun güvenlik ilkelerini kullanmanız önemlidir.

En iyi yöntem: Kullanıcılarınız için self servis parola sıfırlamayı (SSPR) ayarlayın.
Ayrıntı: self servis parola sıfırlama özelliğini Azure AD kullanın.

En iyi yöntem: SSPR'nin gerçekten nasıl kullanıldığını veya kullanıldığını izleyin.
Ayrıntı: Azure AD Parola Sıfırlama Kayıt Etkinliği raporunu kullanarak kaydolan kullanıcıları izleyin. Azure AD tarafından sunulan raporlama özelliği, önceden oluşturulmuş raporları kullanarak soruları yanıtlamanıza yardımcı olur. Uygun lisansa sahipseniz özel sorgular da oluşturabilirsiniz.

En iyi yöntem: Bulut tabanlı parola ilkelerini şirket içi altyapınıza genişletme. Ayrıntı: Şirket içi parola değişiklikleri için bulut tabanlı parola değişiklikleriyle aynı denetimleri gerçekleştirerek kuruluşunuzdaki parola ilkelerini geliştirin. Yasaklanmış parola listelerini mevcut altyapınıza genişletmek için şirket içi Windows Server Active Directory aracıları için Azure AD parola koruması yükleyin. Şirket içinde parolaları değiştiren, ayarlayan veya sıfırlayan kullanıcıların ve yöneticilerin yalnızca bulut kullanıcıları ile aynı parola ilkesine uyması gerekir.

Kullanıcılar için çok faktörlü doğrulamayı zorunlu kılma

Tüm kullanıcılarınız için iki aşamalı doğrulama gerektirmenizi öneririz. Bu, yöneticileri ve kuruluşunuzdaki hesabı tehlikeye atılırsa önemli bir etkiye sahip olabilecek diğer kullanıcıları (örneğin, mali görevliler) içerir.

İki aşamalı doğrulama gerektirmek için birden çok seçenek vardır. Sizin için en iyi seçenek hedeflerinize, çalıştırdığınız Azure AD sürümüne ve lisans programınıza bağlıdır. Sizin için en iyi seçeneği belirlemek için bkz. Bir kullanıcı için iki aşamalı doğrulama gerektirme . Lisanslar ve fiyatlandırma hakkında daha fazla bilgi için Azure AD ve Azure AD Multi-Factor Authentication fiyatlandırma sayfalarına bakın.

İki aşamalı doğrulamayı etkinleştirme seçenekleri ve avantajları şunlardır:

1. Seçenek: Azure AD Güvenlik Varsayılanları Avantajı ile tüm kullanıcılar ve oturum açma yöntemleri için MFA'yı etkinleştirin: Bu seçenek, ortamınızdaki tüm kullanıcılar için MFA'yı aşağıdakilere yönelik sıkı bir ilkeyle kolayca ve hızlı bir şekilde zorunlu kılmanızı sağlar:

  • Yönetim hesaplarını ve yönetici oturum açma mekanizmalarını sınama
  • Tüm kullanıcılar için Microsoft Authenticator aracılığıyla MFA sınaması gerektirme
  • Eski kimlik doğrulama protokollerini kısıtlayın.

Bu yöntem tüm lisanslama katmanları tarafından kullanılabilir ancak mevcut Koşullu Erişim ilkeleriyle karıştırılamaz. Azure AD Güvenlik Varsayılanları bölümünde daha fazla bilgi bulabilirsiniz

Seçenek 2: Kullanıcı durumunu değiştirerek Multi-Factor Authentication'ı etkinleştirin.
Avantaj: Bu, iki aşamalı doğrulama gerektirmeye yönelik geleneksel yöntemdir. Hem bulutta Azure AD Multi-Factor Authentication hem de Azure Multi-Factor Authentication Sunucusu ile çalışır. Bu yöntemin kullanılması, kullanıcıların her oturum açtığında iki aşamalı doğrulama gerçekleştirmesini gerektirir ve Koşullu Erişim ilkelerini geçersiz kılar.

Multi-Factor Authentication'ın nerede etkinleştirilmesi gerektiğini belirlemek için bkz. Azure AD MFA'nın hangi sürümü kuruluşum için uygun?.

Seçenek 3: Koşullu Erişim ilkesiyle Multi-Factor Authentication'ı etkinleştirin. Avantaj: Bu seçenek , Koşullu Erişim kullanarak belirli koşullar altında iki aşamalı doğrulama istemenizi sağlar. Belirli koşullar farklı konumlardan, güvenilmeyen cihazlardan veya riskli olarak gördüğünüz uygulamalardan kullanıcı oturum açma olabilir. İki aşamalı doğrulama gerektiren belirli koşulları tanımlamak, kullanıcılarınızın sürekli sorulmasını önlemenizi sağlar ve bu da hoş olmayan bir kullanıcı deneyimi olabilir.

Kullanıcılarınız için iki aşamalı doğrulamayı etkinleştirmenin en esnek yolu budur. Koşullu Erişim ilkesinin etkinleştirilmesi yalnızca bulutta Azure AD Multi-Factor Authentication için çalışır ve Azure AD premium bir özelliğidir. Bu yöntem hakkında daha fazla bilgi için bkz. Bulut tabanlı Azure AD Multi-Factor Authentication'ı dağıtma.

Seçenek 4: Risk Tabanlı Koşullu Erişim ilkelerini değerlendirerek Koşullu Erişim ilkeleriyle Multi-Factor Authentication'ı etkinleştirin.
Avantaj: Bu seçenek şunları sağlar:

  • Kuruluşunuzun kimliklerini etkileyen olası güvenlik açıklarını algılama.
  • Kuruluşunuzun kimlikleriyle ilgili algılanan şüpheli eylemler için otomatik yanıtları yapılandırın.
  • Şüpheli olayları araştırın ve bunları çözmek için uygun eylemleri gerçekleştirin.

Bu yöntem, tüm bulut uygulamaları için kullanıcı ve oturum açma riskine göre iki aşamalı doğrulama gerekip gerekmediğini belirlemek için Azure AD Kimlik Koruması risk değerlendirmesini kullanır. Bu yöntem Için Azure Active Directory P2 lisansı gerekir. Bu yöntem hakkında daha fazla bilgiyi Azure Active Directory Kimlik Koruması'nda bulabilirsiniz.

Not

Kullanıcı durumunu değiştirerek Multi-Factor Authentication'ı etkinleştiren 2. Seçenek, Koşullu Erişim ilkelerini geçersiz kılar. 3. ve 4. seçenekler Koşullu Erişim ilkelerini kullandığından, bunlarla 2. seçeneği kullanamazsınız.

İki aşamalı doğrulama gibi ek kimlik koruması katmanları eklemeyen kuruluşlar, kimlik bilgisi hırsızlığı saldırısına karşı daha duyarlıdır. Kimlik bilgisi hırsızlığı saldırısı veri güvenliğinin aşılmasına neden olabilir.

Rol tabanlı erişim denetimi kullanma

Bulut kaynakları için erişim yönetimi, bulutu kullanan tüm kuruluşlar için kritik öneme sahiptir. Azure rol tabanlı erişim denetimi (Azure RBAC), Azure kaynaklarına kimlerin erişimi olduğunu, bu kaynaklarla neler yapabileceklerini ve hangi alanlara erişebileceklerini yönetmenize yardımcı olur.

Azure'da belirli işlevlerden sorumlu grupların veya tek tek rollerin atanması, güvenlik riskleri oluşturan insan ve otomasyon hatalarına yol açabilecek karışıklığı önlemeye yardımcı olur. Veri erişimi için güvenlik ilkelerini zorunlu kılmak isteyen kuruluşlar için , öğrenme gereksinimine ve en az ayrıcalıklı güvenlik ilkelerine göre erişimi kısıtlamak zorunludur.

Güvenlik ekibinizin riski değerlendirmek ve düzeltmek için Azure kaynaklarınıza görünürlük sağlaması gerekiyor. Güvenlik ekibinin operasyonel sorumlulukları varsa işlerini yapmak için ek izinlere ihtiyacı vardır.

Belirli bir kapsamdaki kullanıcılara, gruplara ve uygulamalara izin atamak için Azure RBAC'yi kullanabilirsiniz. Rol atamasının kapsamı abonelik, kaynak grubu veya tek bir kaynak olabilir.

En iyi uygulama: Ekibinizdeki görevleri ayırma ve kullanıcılara yalnızca işlerini yapmaları için gereken erişim miktarını verme. Azure aboneliğinizde veya kaynaklarınızda herkese sınırsız izin vermek yerine, belirli bir kapsamda yalnızca belirli eylemlere izin verin. Ayrıntı: Kullanıcılara ayrıcalık atamak için Azure'daki yerleşik Azure rollerini kullanın.

Not

Belirli izinler gereksiz karmaşıklık ve karışıklıklar oluşturur ve bir şeyi bozma korkusu olmadan düzeltilmesi zor bir "eski" yapılandırmaya dönüşür. Kaynağa özgü izinlerden kaçının. Bunun yerine, kuruluş genelindeki izinler için yönetim gruplarını ve abonelikler içindeki izinler için kaynak gruplarını kullanın. Kullanıcıya özgü izinlerden kaçının. Bunun yerine, Azure AD’deki gruplara erişim atayın.

En iyi yöntem: Güvenlik ekiplerine Azure sorumluluklarına sahip olan ekiplere, riski değerlendirebilmeleri ve düzeltebilmeleri için Azure kaynaklarını görmeleri için erişim izni verin. Ayrıntı: Güvenlik ekiplerine Azure RBAC Güvenlik Okuyucusu rolü verin. Sorumlulukların kapsamına bağlı olarak kök yönetim grubunu veya segment yönetim grubunu kullanabilirsiniz:

  • Tüm kurumsal kaynaklarda sorumlu ekipler için kök yönetim grubu
  • Sınırlı kapsamlı ekipler için segment yönetim grubu (genellikle mevzuat veya diğer kuruluş sınırları nedeniyle)

En iyi yöntem: Doğrudan operasyonel sorumlulukları olan güvenlik ekiplerine uygun izinleri verin. Ayrıntı: Uygun rol ataması için Azure yerleşik rollerini gözden geçirin. Yerleşik roller kuruluşunuzun belirli gereksinimlerini karşılamıyorsa Azure özel rolleri oluşturabilirsiniz. Yerleşik rollerde olduğu gibi abonelik, kaynak grubu ve kaynak kapsamlarında kullanıcılara, gruplara ve hizmet sorumlularına özel roller atayabilirsiniz.

En iyi yöntemler: Bulut erişimine ihtiyaç duyan güvenlik rollerine Microsoft Defender verin. Bulut için Defender, güvenlik ekiplerinin riskleri hızla belirlemesine ve düzeltmesine olanak tanır. Ayrıntı: Güvenlik ilkelerini görüntüleyebilmeleri, güvenlik durumlarını görüntüleyebilmeleri, güvenlik ilkelerini düzenleyebilmeleri, uyarıları ve önerileri görüntüleyebilmeleri ve uyarıları ve önerileri kapatabilmeleri için bu gereksinimleri içeren güvenlik ekiplerini Azure RBAC Güvenlik Yönetici rolüne ekleyin. Bunu, sorumlulukların kapsamına bağlı olarak kök yönetim grubunu veya segment yönetim grubunu kullanarak yapabilirsiniz.

Azure RBAC gibi özellikleri kullanarak veri erişim denetimini zorunlu kılmamış kuruluşlar, kullanıcılarına gerekenden daha fazla ayrıcalık verebilir. Bu, kullanıcıların sahip olmamaları gereken veri türlerine (örneğin, yüksek iş etkisi) erişmesine izin vererek verilerin tehlikeye atılmasına yol açabilir.

Ayrıcalıklı hesapların daha düşük pozlaması

Ayrıcalıklı erişimin güvenliğini sağlamak, iş varlıklarını korumanın kritik bir ilk adımıdır. Güvenli bilgilere veya kaynaklara erişimi olan kişi sayısını en aza indirmek, kötü amaçlı bir kullanıcının veya yetkili bir kullanıcının hassas bir kaynağı yanlışlıkla etkileme olasılığını azaltır.

Ayrıcalıklı hesaplar, BT sistemlerini yöneten ve yöneten hesaplardır. Siber saldırganlar, bir kuruluşun verilerine ve sistemlerine erişim elde etmek için bu hesapları hedefler. Ayrıcalıklı erişimin güvenliğini sağlamak için, hesapları ve sistemleri kötü amaçlı bir kullanıcıya maruz kalma riskinden yalıtmalısınız.

Siber saldırganlara karşı ayrıcalıklı erişimin güvenliğini sağlamak için bir yol haritası geliştirmenizi ve izlemenizi öneririz. Azure AD, Azure Microsoft, Microsoft 365 ve diğer bulut hizmetlerinde yönetilen veya bildirilen kimliklerin ve erişimin güvenliğini sağlamak için ayrıntılı bir yol haritası oluşturma hakkında bilgi için Azure AD'de karma ve bulut dağıtımları için ayrıcalıklı erişimin güvenliğini sağlama bölümünü gözden geçirin.

Aşağıda, Azure AD'de karma ve bulut dağıtımları için ayrıcalıklı erişimin güvenliğini sağlama bölümünde bulunan en iyi yöntemler özetlemektedir:

En iyi yöntem: Ayrıcalıklı hesaplara erişimi yönetme, denetleme ve izleme.
Ayrıntı: Azure AD Privileged Identity Management açın. Privileged Identity Management etkinleştirdikten sonra ayrıcalıklı erişim rolü değişiklikleri için bildirim e-posta iletileri alırsınız. Bu bildirimler, dizininizdeki yüksek ayrıcalıklı rollere ek kullanıcılar eklendiğinde erken uyarı sağlar.

En iyi yöntem: Tüm kritik yönetici hesaplarının yönetilen Azure AD hesap olduğundan emin olun. Ayrıntı: Kritik yönetici rollerinden tüm tüketici hesaplarını kaldırın (örneğin, hotmail.com, live.com ve outlook.com gibi Microsoft hesaplar).

En iyi yöntem: Kimlik avından ve yönetim ayrıcalıklarından ödün vermeye yönelik diğer saldırılardan kaçınmak için tüm kritik yönetici rollerinin yönetim görevleri için ayrı bir hesabına sahip olduğundan emin olun. Ayrıntı: Yönetim görevlerini gerçekleştirmek için gereken ayrıcalıklara atanmış ayrı bir yönetici hesabı oluşturun. Microsoft 365 e-postası veya rastgele web'e göz atma gibi günlük üretkenlik araçları için bu yönetim hesaplarının kullanımını engelleyin.

En iyi yöntem: Yüksek ayrıcalıklı rollere sahip hesapları tanımlayın ve kategorilere ayırın.
Ayrıntı: Azure AD Privileged Identity Management açtıktan sonra genel yönetici, ayrıcalıklı rol yöneticisi ve diğer yüksek ayrıcalıklı rollerdeki kullanıcıları görüntüleyin. Bu rollerde artık gerekli olmayan tüm hesapları kaldırın ve yönetici rollerine atanan kalan hesapları kategorilere ayırın:

  • Yönetici kullanıcılara ayrı ayrı atanır ve yönetim dışı amaçlarla (örneğin, kişisel e-posta) kullanılabilir
  • Yönetici kullanıcılara bireysel olarak atanır ve yalnızca yönetim amacıyla atanır
  • Birden çok kullanıcı arasında paylaşıldı
  • Acil durum erişim senaryoları için
  • Otomatik betikler için
  • Dış kullanıcılar için

En iyi yöntem: Ayrıcalıkların açığa çıkış süresini daha da düşürmek ve ayrıcalıklı hesapların kullanımına ilişkin görünürlüğünüzü artırmak için "tam zamanında" (JIT) erişimi uygulayın.
Ayrıntı: Azure AD Privileged Identity Management şunları yapmanızı sağlar:

  • Kullanıcıları yalnızca JIT ayrıcalıklarını üstlenerek sınırlayın.
  • Rolleri, ayrıcalıkların otomatik olarak iptal edildiklerinden güvenle kısaltılmış bir süre için atayın.

En iyi yöntem: En az iki acil durum erişim hesabı tanımlayın.
Ayrıntı: Acil durum erişim hesapları, kuruluşların mevcut Bir Azure Active Directory ortamında ayrıcalıklı erişimi kısıtlamaya yardımcı olur. Bu hesaplar yüksek ayrıcalıklıdır ve belirli kişilere atanmamaktadır. Acil durum erişim hesapları, normal yönetim hesaplarının kullanılamadığı senaryolarla sınırlıdır. Kuruluşlar acil durum hesabının kullanımını yalnızca gerekli süreyle sınırlamalıdır.

Atanan veya genel yönetici rolü için uygun hesapları değerlendirin. Etki alanını kullanarak *.onmicrosoft.com yalnızca bulut hesabı görmüyorsanız (acil durum erişimi için tasarlanmıştır) bunları oluşturun. Daha fazla bilgi için bkz. Azure AD'de acil durum erişimi yönetim hesaplarını yönetme.

En iyi uygulama: Acil bir durumda bir "kırma camı" işlemi gerçekleştirin. Ayrıntı: Azure AD'de karma ve bulut dağıtımları için ayrıcalıklı erişimin güvenliğini sağlama makalesindeki adımları izleyin.

En iyi yöntem: Tüm kritik yönetici hesaplarının parolasız olmasını (tercih edilir) zorunlu kılması veya Multi-Factor Authentication gerektirmesi. Ayrıntı: Microsoft Authenticator uygulamasını kullanarak parola kullanmadan herhangi bir Azure AD hesabında oturum açın. İş İçin Windows Hello gibi Microsoft Authenticator da bir cihaza bağlı olan ve biyometrik kimlik doğrulaması veya PIN kullanan bir kullanıcı kimlik bilgilerini etkinleştirmek için anahtar tabanlı kimlik doğrulamasını kullanır.

Azure AD yönetici rollerinden birine veya daha fazlasına kalıcı olarak atanan tüm bireysel kullanıcılar için oturum açma sırasında Multi-Factor Authentication Azure AD gerektir: Genel Yönetici, Ayrıcalıklı Rol Yöneticisi, Exchange Online Yöneticisi ve SharePoint Online Yöneticisi. Yönetici hesaplarınız için Multi-Factor Authentication'ı etkinleştirin ve yönetici hesabı kullanıcılarının kaydolduğunu doğrulayın.

En iyi yöntem: Kritik yönetici hesaplarında, üretim görevlerine izin verilmeyen bir yönetim iş istasyonuna (örneğin, göz atma ve e-posta) sahip olmanız gerekir. Bu, yönetici hesaplarınızı göz atma ve e-posta kullanan saldırı vektörlerinden korur ve önemli bir olay riskini önemli ölçüde azaltır. Ayrıntı: Yönetici iş istasyonu kullanma. İş istasyonu güvenliği düzeyini seçin:

  • Yüksek oranda güvenli üretkenlik cihazları, göz atma ve diğer üretkenlik görevleri için gelişmiş güvenlik sağlar.
  • Ayrıcalıklı Erişim İş İstasyonları (PAW'lar), hassas görevler için İnternet saldırılarına ve tehdit vektörlerine karşı korunan özel bir işletim sistemi sağlar.

En iyi yöntem: Çalışanlar kuruluşunuzdan ayrıldığında yönetici hesaplarının sağlamasını kaldırın. Ayrıntı: Çalışanlar kuruluşunuzdan ayrıldığında yönetici hesaplarını devre dışı bırakan veya silecek bir işlem gerçekleştirin.

En iyi uygulama: Geçerli saldırı tekniklerini kullanarak yönetici hesaplarını düzenli olarak test edin. Ayrıntı: Kuruluşunuzda gerçekçi saldırı senaryoları çalıştırmak için Microsoft 365 Saldırı Simülatörü veya üçüncü taraf bir teklif kullanın. Bu, gerçek bir saldırı gerçekleşmeden önce savunmasız kullanıcıları bulmanıza yardımcı olabilir.

En iyi yöntem: En sık kullanılan saldırıya uğrayan teknikleri azaltmak için adımlar atın.
Ayrıntı: yönetim rollerinde iş veya okul hesaplarına geçiş yapılması gereken Microsoft hesaplarını belirleme

Genel yönetici hesapları için ayrı kullanıcı hesapları ve posta iletmeyi güvence altına alma

Yönetim hesaplarının parolalarının yakın zamanda değiştiğinden emin olun

Parola karması eşitlemeyi açma

Tüm ayrıcalıklı rollerdeki kullanıcılar ve kullanıma sunulan kullanıcılar için Multi-Factor Authentication gerektirme

Microsoft 365 Güvenlik Puanınızı alın (Microsoft 365 kullanıyorsanız)

Microsoft 365 güvenlik kılavuzunu gözden geçirin (Microsoft 365 kullanıyorsanız)

Microsoft 365 Etkinlik İzlemeyi yapılandırma (Microsoft 365 kullanıyorsanız)

Olay/acil durum yanıt planı sahipleri oluşturma

Şirket içi ayrıcalıklı yönetim hesaplarının güvenliğini sağlama

Ayrıcalıklı erişimin güvenliğini sağlamazsanız, yüksek ayrıcalıklı rollerde çok fazla kullanıcınız olduğunu ve saldırılara karşı daha savunmasız olduğunuzu fark edebilirsiniz. Siber saldırganlar da dahil olmak üzere kötü amaçlı aktörler, kimlik bilgisi hırsızlığını kullanarak hassas verilere ve sistemlere erişim elde etmek için genellikle yönetici hesaplarını ve ayrıcalıklı erişimin diğer öğelerini hedefler.

Kaynakların oluşturulduğu konumları denetleme

Bulut operatörlerinin görevleri gerçekleştirmesini sağlarken kuruluşunuzun kaynaklarını yönetmek için gereken kuralları bozmalarını önlemek çok önemlidir. Kaynakların oluşturulduğu konumları denetlemek isteyen kuruluşlar bu konumları sabit kodlamalıdır.

Tanımları özellikle reddedilen eylemleri veya kaynakları açıklayan güvenlik ilkeleri oluşturmak için Azure Resource Manager kullanabilirsiniz. Bu ilke tanımlarını abonelik, kaynak grubu veya tek bir kaynak gibi istediğiniz kapsamda atarsınız.

Not

Güvenlik ilkeleri Azure RBAC ile aynı değildir. Kullanıcılara bu kaynakları oluşturma yetkisi vermek için Azure RBAC kullanır.

Kaynakların nasıl oluşturulduğunu denetlemeyen kuruluşlar, ihtiyaç duyduklarından daha fazla kaynak oluşturarak hizmeti kötüye kullanan kullanıcılara karşı daha duyarlıdır. Kaynak oluşturma işlemini sağlamlaştırmak, çok kiracılı bir senaryonun güvenliğini sağlamak için önemli bir adımdır.

Şüpheli etkinlikleri etkin bir şekilde izleme

Etkin kimlik izleme sistemi şüpheli davranışları hızla algılayabilir ve daha fazla araştırma için bir uyarı tetikleyebilir. Aşağıdaki tabloda kuruluşların kimliklerini izlemesine yardımcı olabilecek iki Azure AD özelliği listelenmektedir:

En iyi yöntem: Tanımlamak için bir yönteme sahip olmak:

Ayrıntı: Premium anomali raporlarını Azure AD kullanın. BT yöneticilerinin bu raporları günlük olarak veya isteğe bağlı olarak (genellikle bir olay yanıtı senaryosunda) çalıştırması için süreçler ve yordamlar oluşturun.

En iyi uygulama: Riskleri size bildiren ve risk düzeyini (yüksek, orta veya düşük) iş gereksinimlerinize göre ayarlayabilen etkin bir izleme sistemine sahip olun.
Ayrıntı: Geçerli riskleri kendi panosunda işaretleyen ve e-posta yoluyla günlük özet bildirimleri gönderen Azure AD Kimlik Koruması'nı kullanın. Kuruluşunuzun kimliklerinin korunmasına yardımcı olmak için, belirtilen risk düzeyine ulaşıldığında algılanan sorunlara otomatik olarak yanıt veren risk tabanlı ilkeler yapılandırabilirsiniz.

Kimlik sistemlerini etkin bir şekilde izlemeyen kuruluşlar, kullanıcı kimlik bilgilerinin tehlikeye atılmasına neden olma riskiyle karşılaşıyor. Bu kimlik bilgileri aracılığıyla şüpheli etkinliklerin gerçekleştiğini bilmeden, kuruluşlar bu tür tehditleri azaltamaz.

Depolama kimlik doğrulaması için Azure AD kullanma

Azure Depolama, Blob depolama ve Kuyruk depolama için Azure AD kimlik doğrulamasını ve yetkilendirmeyi destekler. Azure AD kimlik doğrulamasıyla, kullanıcılara, gruplara ve uygulamalara tek bir blob kapsayıcısının veya kuyruğunun kapsamına kadar belirli izinler vermek için Azure rol tabanlı erişim denetimini kullanabilirsiniz.

Depolamaya erişimin kimliğini doğrulamak için Azure AD kullanmanızı öneririz.

Sonraki adım

Azure kullanarak bulut çözümlerinizi tasarlarken, dağıtırken ve yönetirken kullanabileceğiniz daha fazla güvenlik en iyi yöntemi için bkz. Azure güvenliği için en iyi yöntemler ve desenler .