Azure kimlik yönetimi güvenliğine genel bakış

  • Makale

Kimlik yönetimi, güvenlik sorumlularının kimliğini doğrulama ve yetkilendirme işlemidir. Ayrıca bu sorumlular (kimlikler) hakkındaki bilgileri denetlemeyi de içerir. Güvenlik sorumluları (kimlikler) hizmetler, uygulamalar, kullanıcılar, gruplar vb. içerebilir. Microsoft kimlik ve erişim yönetimi çözümleri, BT'nin kurumsal veri merkezi ve bulut genelindeki uygulamalara ve kaynaklara erişimi korumasına yardımcı olur. Bu tür koruma, çok faktörlü kimlik doğrulaması ve Koşullu Erişim ilkeleri gibi ek doğrulama düzeylerini etkinleştirir. Gelişmiş güvenlik raporlama, denetim ve uyarı yoluyla şüpheli etkinlikleri izlemek olası güvenlik sorunlarının azaltılmasına yardımcı olur. Microsoft Entra Id P1 veya P2 , binlerce bulut hizmet olarak yazılım (SaaS) uygulamasına çoklu oturum açma (SSO) ve şirket içinde çalıştırdığınız web uygulamalarına erişim sağlar.

Microsoft Entra ID'nin güvenlik avantajlarından yararlanarak şunları yapabilirsiniz:

  • Karma kuruluşunuzdaki her kullanıcı için tek bir kimlik oluşturup yönetebilir ve kullanıcıları, grupları ve cihazları eşitleyebilirsiniz.
  • Önceden tümleştirilmiş binlerce SaaS uygulaması da dahil olmak üzere uygulamalarınıza SSO erişimi sağlayın.
  • Hem şirket içi hem de bulut uygulamaları için kural tabanlı çok faktörlü kimlik doğrulamasını zorunlu kılarak uygulama erişim güvenliğini etkinleştirin.
  • Microsoft Entra uygulama ara sunucusu aracılığıyla şirket içi web uygulamalarına güvenli uzaktan erişim sağlayın.

Bu makalenin amacı, kimlik yönetimine yardımcı olan temel Azure güvenlik özelliklerine genel bir bakış sağlamaktır. Ayrıca daha fazla bilgi edinebilmeniz için her özelliğin ayrıntılarını veren makalelerin bağlantılarını da sağlıyoruz.

Makale aşağıdaki temel Azure Kimlik yönetimi özelliklerine odaklanır:

  • Çoklu oturum açma
  • Ters proxy
  • Çok faktörlü kimlik doğrulaması
  • Azure rol tabanlı erişim denetimi (Azure RBAC)
  • Güvenlik izleme, uyarılar ve makine öğrenmesi tabanlı raporlar
  • Tüketici kimliği ve erişim yönetimi
  • Cihaz kaydı
  • Privileged Identity Management
  • Kimlik koruması
  • Karma kimlik yönetimi/Azure AD connect
  • Microsoft Entra erişim gözden geçirmeleri

Çoklu oturum açma

Çoklu oturum açma (SSO), tek bir kullanıcı hesabı kullanarak yalnızca bir kez oturum açarak iş yapmanız gereken tüm uygulamalara ve kaynaklara erişebilmeniz anlamına gelir. Oturum açtıktan sonra, ikinci kez kimlik doğrulaması yapmanıza gerek kalmadan (örneğin, parola yazma) ihtiyacınız olan tüm uygulamalara erişebilirsiniz.

Birçok kuruluş, kullanıcı üretkenliği için Microsoft 365, Box ve Salesforce gibi SaaS uygulamalarını kullanır. Geçmişte BT personelinin her SaaS uygulamasında kullanıcı hesaplarını ayrı ayrı oluşturması ve güncelleştirmesi ve kullanıcıların her SaaS uygulaması için bir parola hatırlaması gerekiyordu.

Microsoft Entra Id, şirket içi Active Directory ortamlarını buluta genişleterek kullanıcıların yalnızca etki alanına katılmış cihazlarında ve şirket kaynaklarında değil, işleri için ihtiyaç duydukları tüm web ve SaaS uygulamalarında da oturum açmak için birincil kuruluş hesabını kullanmalarına olanak tanır.

Kullanıcıların birden çok kullanıcı adı ve parola kümesini yönetmekle kalmayıp, kuruluş gruplarına ve çalışan durumlarına göre uygulama erişimini otomatik olarak sağlayabilir veya sağlamasını kaldırabilirsiniz. Microsoft Entra ID, SaaS uygulamaları genelinde kullanıcıların erişimini merkezi olarak yönetebileceğiniz güvenlik ve erişim idaresi denetimlerini sunar.

Daha fazla bilgi edinin:

Ters proxy

Microsoft Entra uygulama ara sunucusu, özel ağınızdaki SharePoint siteleri, Outlook Web App ve IIS tabanlı uygulamalar gibi özel bir ağda uygulama yayımlamanıza olanak tanır ve ağınızın dışındaki kullanıcılara güvenli erişim sağlar. Uygulama Ara Sunucusu, Microsoft Entra ID'nin desteklediği binlerce SaaS uygulamasına sahip birçok şirket içi web uygulaması türü için uzaktan erişim ve SSO sağlar. Çalışanlar kendi cihazlarıyla evden uygulamalarınızda oturum açabilir ve bu bulut tabanlı ara sunucu aracılığıyla kimlik doğrulaması yapabilir.

Daha fazla bilgi edinin:

Çok faktörlü kimlik doğrulaması

Microsoft Entra çok faktörlü kimlik doğrulaması, birden fazla doğrulama yönteminin kullanılmasını gerektiren ve kullanıcı oturum açma işlemlerine ve işlemlerine kritik bir ikinci güvenlik katmanı ekleyen bir kimlik doğrulama yöntemidir. Çok faktörlü kimlik doğrulaması, basit bir oturum açma işlemi için kullanıcı talebini karşılarken verilere ve uygulamalara erişimin korunmasına yardımcı olur. Bir dizi doğrulama seçeneği aracılığıyla güçlü kimlik doğrulaması sunar: telefon aramaları, kısa mesajlar veya mobil uygulama bildirimleri ya da doğrulama kodları ve üçüncü taraf OAuth belirteçleri.

Daha fazla bilgi edinin: Microsoft Entra çok faktörlü kimlik doğrulaması nasıl çalışır?

Azure RBAC

Azure RBAC, Azure Resource Manager üzerinde oluşturulan ve Azure'daki kaynakların ayrıntılı erişim yönetimini sağlayan bir yetkilendirme sistemidir. Azure RBAC, kullanıcıların sahip olduğu erişim düzeyini ayrıntılı olarak denetlemenize olanak tanır. Örneğin, bir kullanıcıyı yalnızca sanal ağları, başka bir kullanıcıyı ise bir kaynak grubundaki tüm kaynakları yönetecek şekilde sınırlayabilirsiniz. Azure'da kullanabileceğiniz birçok yerleşik rol vardır. Dört temel yerleşik rol aşağıda listelenmiştir. İlk üçü tüm kaynak türleri için geçerlidir.

  • Sahip: Erişimi başkalarına verme hakkı dahil olmak üzere tüm kaynaklar üzerinde tam erişime sahiptir.
  • Katkıda Bulunan: Her türlü Azure kaynağını oluşturup yönetebilir, ancak başkalarına erişim izni veremez.
  • Okuyucu: Var olan Azure kaynaklarını görüntüleyebilirsiniz.
  • Kullanıcı Erişimi Yöneticisi: Azure kaynaklarına kullanıcı erişimini yönetmenizi sağlar.

Daha fazla bilgi edinin:

Güvenlik izleme, uyarılar ve makine öğrenmesi tabanlı raporlar

Tutarsız erişim düzenlerini tanımlayan güvenlik izleme, uyarılar ve makine öğrenmesi tabanlı raporlar işinizi korumanıza yardımcı olabilir. Kuruluşunuzun dizininin bütünlüğü ve güvenliği hakkında görünürlük elde etmek için Microsoft Entra Id erişim ve kullanım raporlarını kullanabilirsiniz. Bu bilgilerle, dizin yöneticisi olası güvenlik risklerinin nerelerde yatabileceğini daha iyi belirleyebilir ve böylece bu riskleri azaltmayı yeterince planlayabilir.

Azure portalında raporlar aşağıdaki kategorilere ayrılır:

  • Anomali raporları: Anormal olduğunu bulduğumuz oturum açma olaylarını içerir. Amacımız, bu tür etkinliklerin farkında olmanıza ve bir olayın şüpheli olup olmadığını belirlemenize olanak tanımaktır.
  • Tümleşik Uygulama raporları: Kuruluşunuzda bulut uygulamalarının nasıl kullanıldığına ilişkin içgörüler sağlayın. Microsoft Entra ID, binlerce bulut uygulamasıyla tümleştirme sunar.
  • Hata raporları: Dış uygulamalara hesap sağlarken oluşabilecek hataları gösterir.
  • Kullanıcıya özgü raporlar: Belirli bir kullanıcının cihaz oturum açma etkinlik verilerini görüntüler.
  • Etkinlik günlükleri: Son 24 saat, son 7 gün veya son 30 gün içindeki tüm denetlenen olayların kaydını ve grup etkinliği değişiklikleri ile parola sıfırlama ve kayıt etkinliğini içerir.

Daha fazla bilgi edinin: Microsoft Entra ID raporlama kılavuzu

Tüketici kimliği ve erişim yönetimi

Azure AD B2C, yüz milyonlarca kimliğe ölçeklendirilen tüketiciye yönelik uygulamalar için yüksek oranda kullanılabilir, küresel bir kimlik yönetimi hizmetidir. Bu hizmet mobil platformlar ve web platformlarıyla tümleştirilebilir. Tüketicileriniz, mevcut sosyal hesaplarını kullanarak veya yeni kimlik bilgileri oluşturarak özelleştirilebilir deneyimler aracılığıyla tüm uygulamalarınızda oturum açabilir.

Geçmişte müşterileri kaydetmek ve uygulamalarında oturum açmak isteyen uygulama geliştiricileri kendi kodlarını yazarlardı. Ayrıca, kullanıcı adları ile parolaları depolamak için şirket içi veritabanlarını veya sistemleri kullanırlardı. Azure AD B2C, güvenli, standartlara dayalı bir platform ve geniş bir genişletilebilir ilke kümesi yardımıyla kuruluşunuza tüketici kimlik yönetimini uygulamalarla tümleştirmek için daha iyi bir yol sunar.

Azure AD B2C kullandığınızda, tüketicileriniz mevcut sosyal hesaplarını (Facebook, Google, Amazon, LinkedIn) kullanarak veya yeni kimlik bilgileri (e-posta adresi ve parola veya kullanıcı adı ve parola) oluşturarak uygulamalarınıza kaydolabilir.

Daha fazla bilgi edinin:

Cihaz kaydı

Microsoft Entra cihaz kaydı, cihaz tabanlı Koşullu Erişim senaryolarının temelini oluşturur. Bir cihaz kaydedildiğinde, Microsoft Entra cihaz kaydı cihaza bir kullanıcı oturum açtığında cihazın kimliğini doğrulamak için kullandığı bir kimlik sağlar. Kimliği doğrulanmış cihaz ve cihazın öznitelikleri daha sonra bulutta ve şirket içinde barındırılan uygulamalar için Koşullu Erişim ilkelerini zorunlu kılmak için kullanılabilir.

Intune gibi bir mobil cihaz yönetimi çözümüyle birleştirildiğinde, Microsoft Entra ID'deki cihaz öznitelikleri cihaz hakkında ek bilgilerle güncelleştirilir. Ardından, güvenlik ve uyumluluk standartlarınıza uyması için cihazlardan erişimi zorunlu kılan Koşullu Erişim kuralları oluşturabilirsiniz.

Daha fazla bilgi edinin:

Privileged Identity Management

Microsoft Entra Privileged Identity Management ile ayrıcalıklı kimliklerinizi yönetebilir, denetleyip izleyebilir ve Microsoft Entra Id'deki kaynaklara ve Microsoft 365 ve Microsoft Intune gibi diğer Microsoft çevrimiçi hizmetler erişebilirsiniz.

Kullanıcıların bazen Azure veya Microsoft 365 kaynaklarında veya diğer SaaS uygulamalarında ayrıcalıklı işlemler gerçekleştirmesi gerekir. Bu gereksinim genellikle kuruluşların kullanıcılara Microsoft Entra Id'de kalıcı ayrıcalıklı erişim vermek zorunda olduğu anlamına gelir. Kuruluşlar, kullanıcıların yönetici ayrıcalıklarıyla ne yaptığını yeterince izleyemediğinden, bu tür erişim, bulutta barındırılan kaynaklar için artan bir güvenlik riskidir. Ayrıca, ayrıcalıklı erişimi olan bir kullanıcı hesabının güvenliği ihlal edilirse, bu ihlal kuruluşun genel bulut güvenliğini etkileyebilir. Microsoft Entra Privileged Identity Management bu riski azaltmaya yardımcı olur.

Microsoft Entra Privileged Identity Management ile şunları yapabilirsiniz:

  • Hangi kullanıcıların Microsoft Entra yöneticisi olduğunu görün.
  • Microsoft 365 ve Intune gibi Microsoft hizmetleri isteğe bağlı, tam zamanında (JIT) yönetim erişimini etkinleştirin.
  • Yönetici erişim geçmişi ve yönetici atamalarındaki değişiklikler hakkında raporlar alın.
  • Ayrıcalıklı bir role erişim hakkında uyarılar alın.

Daha fazla bilgi edinin:

Kimlik koruması

Microsoft Entra Kimlik Koruması, kuruluşunuzun kimliklerini etkileyen risk algılamaları ve olası güvenlik açıklarına yönelik birleştirilmiş bir görünüm sağlayan bir güvenlik hizmetidir. Kimlik Koruması, Microsoft Entra Anormal Etkinlik raporları aracılığıyla kullanılabilen mevcut Microsoft Entra anomali algılama özelliklerinden yararlanır. Kimlik Koruması ayrıca anomalileri gerçek zamanlı olarak algılayan yeni risk algılama türleri de sağlar.

Daha fazla bilgi edinin: Microsoft Entra Kimlik Koruması

Karma kimlik yönetimi (Microsoft Entra Bağlan)

Microsoft'un kimlik çözümleri şirket içi ve bulut tabanlı özelliklere yayılarak, konumdan bağımsız olarak tüm kaynaklar için kimlik doğrulaması ve yetkilendirme için tek bir kullanıcı kimliği oluşturur. Buna hibrit kimlik denir. Microsoft Entra Bağlan, karma kimlik hedeflerinizi karşılamak ve gerçekleştirmek için tasarlanmış bir Microsoft aracıdır. Bu, Microsoft Entra Id ile tümleşik Microsoft 365, Azure ve SaaS uygulamaları için kullanıcılarınız için ortak bir kimlik sağlamanıza olanak tanır. Aşağıdaki özellikleri sağlar:

  • Eşitleme
  • AD FS ve federasyon tümleştirmesi
  • Kimlik doğrulamasını geçirme
  • Sistem Durumunu İzleme

Daha fazla bilgi edinin:

Microsoft Entra erişim gözden geçirmeleri

Microsoft Entra erişim gözden geçirmeleri, kuruluşların grup üyeliklerini, kurumsal uygulamalara erişimi ve ayrıcalıklı rol atamalarını verimli bir şekilde yönetmesini sağlar.

Daha fazla bilgi edinin: Microsoft Entra erişim gözden geçirmeleri