Aracılığıyla paylaş

Kavram Kanıtı için Microsoft'un Güvenlik Hizmeti Edge Çözümü Dağıtım Kılavuzu'na giriş

  • Makale

Bu Kavram Kanıtı (PoC) Dağıtım Kılavuzu, Microsoft Traffic için Microsoft Entra İnternet Erişimi ve Microsoft Entra İnternet Erişimi içeren Microsoft Güvenlik Hizmeti Edge (SSE) çözümünü dağıtmanıza yardımcı olurMicrosoft Entra Özel Erişim. Bu çözümün Genel Önizleme aşamasında olduğunu unutmayın.

Genel bakış

Microsoft'un kimlik merkezli Güvenlik Hizmeti Edge çözümü , herhangi bir konumdan, cihazdan veya kimlikten herhangi bir uygulama veya kaynağa erişimi güvenli bir şekilde sağlayabilmeniz için ağ, kimlik ve uç nokta erişim denetimlerini birleştirebilir. Çalışanlar, iş ortakları ve dijital iş yükleri için erişim ilkesi yönetimi sağlar ve düzenler. İzinler veya risk düzeyi özel uygulamalarınızda, SaaS uygulamalarınızda ve Microsoft uç noktalarınızda değişirse, kullanıcı erişimini gerçek zamanlı olarak sürekli izleyebilir ve ayarlayabilirsiniz.

İş değeri

Hibrit ve modern bir iş gücünün sürekli artmasıyla birlikte, yeni güvenlik uygulama yollarını tanımak ve benimsemek önemlidir. Zorlanan ve zorlanan geleneksel kurumsal ağlar daha yüksek güvenlik risklerine ve kötü kullanıcı deneyimine neden olur. Eski yaklaşımlar önemli zorluklar sunar:

  • Tutarsız ve verimsiz güvenlik denetimleri
  • Silolu çözümler ve ilkelerden güvenlik boşlukları
  • Daha yüksek operasyonel karmaşıklıklar ve maliyet
  • Sınırlı kaynaklar ve teknik beceriler

Microsoft'un Güvenlik Hizmeti Edge çözümü, dijital iletişimin tüm aşamalarını korumaya yardımcı olur. Microsoft'un geniş küresel ağından yararlanarak gecikme süresini en aza indirir ve uygulamalara ve kaynaklara hızlı ve sorunsuz erişimle çalışan üretkenliğini artırır.

Sıfır Güven ilkeleri temel alan bu kolay dağıtılan SSE çözümü, kapsamlı, bulut tabanlı güvenlik hizmetleriyle tehditlere karşı koruma sağlar: Sıfır Güven Ağ Erişimi (ZTNA), güvenli web ağ geçidi (SWG), bulut erişimi güvenlik aracısı (CASB) ve Microsoft güvenlik ekosistemi genelinde derin tümleştirmeler. Birleşik kimlik ve ağ erişim denetimleri, savunma alanlarındaki boşlukları ortadan kaldırmak ve operasyonel karmaşıklığı azaltmak için ayrıntılı erişim ilkelerini tek bir yerde kolayca yönetmenize yardımcı olur.

Birleşik Sıfır Güven mimarisi ve ilke altyapısı dizin, çoklu oturum açma (SSO), federasyon, rol tabanlı erişim denetimi (RBAC), ara sunucu için erişim denetimini ve teknoloji yönetimini basitleştirir. Verilerinize erişimi zorunlu kılmak için kimlik, veri, ağ artı altyapı gibi kurumsal kaynaklara ve bulut, şirket içi, Nesnelerin İnterneti (IoT) ve operasyonel teknoloji (OT) genelindeki uygulamalar gibi merkezi bir ilkeyi tutarlı bir şekilde uygulayın.

  • Birleşik uyarlamalı erişim denetimlerini zorunlu kılma. Microsoft Entra Koşullu Erişimi ve sürekli erişim değerlendirmesini (CAE) herhangi bir uygulamaya, kaynağa veya başka bir ağ hedefine genişleterek savunmanızdaki boşlukları ortadan kaldırın ve erişimi uçtan uca koruyun. ​
  • Ağ erişim güvenliğini basitleştirin. Tehdit riskini en aza indirin ve kapsamlı, dağıtımı kolay, buluta açık güvenlik hizmetleriyle geleneksel tek başına ağ güvenlik araçlarının karmaşıklığından ve maliyetinden kurtulun.
  • Her yerde harika bir kullanıcı deneyimi seçip hibrit iş üretkenliğini artırın. Kullanıcıya en yakın İletişim Noktası (PoP) ile genel olarak dağıtılmış güvenli bir ağ kenarı aracılığıyla hızlı ve sorunsuz erişim sağlayın. Şirket içindeki uygulamalara ve kaynaklara, bulutlar arasında ve aradaki her yere yönelik trafik yönlendirmesini iyileştirmek için ek atlamaları ortadan kaldırın.
  • Tümleşik doku. Yakınsanmış kimlik ve ağ erişimi, tüm uygulamalara ve kaynaklara güvenli erişimi denetler. ​

Microsoft'un Güvenlik Hizmeti Edge çözüm özellikleri

Microsoft Entra İnternet Erişimi, kuruluşunuzu İnternet tehditlerine, kötü amaçlı ağ trafiğine ve güvenli olmayan veya uyumsuz içeriğe karşı korurken tüm İnternet, SaaS ve Microsoft uygulamalarına ve kaynaklarına erişimi güvenli hale getirmenize yardımcı olur. Microsoft Entra İnternet Erişimi, güvenlik açıklarını kapatmak ve siber tehdit riskini en aza indirmek için erişim denetimlerini tek bir ilkede bir arada sunar. Kullanıcıları, uygulamaları ve kaynakları korumak için geleneksel ağ güvenliğini basitleştirir ve modernleştirir. Gelişmiş özellikler arasında evrensel erişim denetimleri, evrensel kiracı kısıtlaması, belirteç koruması, web içeriği filtreleme, bulut güvenlik duvarı, tehdit koruması ve Aktarım Katmanı Güvenliği (TLS) denetimi bulunur.

Microsoft trafiği için Microsoft Entra İnternet Erişimi uyarlamalı erişim, güçlü veri sızdırma denetimleri ve belirteç hırsızlığı koruması özellikleri sunar. Yedekli tüneller aracılığıyla dayanıklılık, dünyanın en yaygın olarak benimsenen üretkenlik uygulaması Microsoft hizmetleri için sınıfının en iyisi güvenlik ve ayrıntılı görünürlük sağlar. Esnek dağıtım seçenekleriyle kuruluşunuz için en uygun olanı seçin: Microsoft tarafından sunulan eksiksiz bir SSE çözümü veya diğer SSE çözümleriyle yan yana dağıtım. Örneğin, Microsoft uygulamaları için benzersiz güvenlik, görünürlük ve iyileştirilmiş erişim elde etmek için Microsoft trafiğine yönelik Microsoft Entra İnternet Erişimi dağıtabilir ve diğer kaynaklar için mevcut SSE çözümünüzü koruyabilirsiniz. Microsoft trafiği için Microsoft Entra İnternet Erişimi, güvenliği geliştiren ve Sıfır Güven mimarinizi ve son kullanıcı deneyiminizi geliştiren senaryolar sunar.

  • Kiracı kısıtlamaları v2 dağıtarak ve Koşullu Erişim ile uyumlu ağ konumunu zorunlu kılarak veri sızdırmaya karşı koruma sağlayın (bkz. Örnek PoC senaryosu: veri sızdırmaya karşı koruma).
  • Güvenlik günlüklerini geliştirmek, Koşullu Erişim'de yapılandırılmış adlandırılmış konumlarla uyumluluğu korumak ve kimlik koruması konumuyla ilgili risk algılamalarını korumak için kaynak IP adresini özgün çıkış IP'sinden geri yükleyin (bkz. Örnek PoC senaryosu: kaynak IP adresini geri yükleme).

Microsoft Entra Özel Erişim, ZTNA ile her yerde kullanıcılar için özel uygulamalara ve kaynaklara erişimi güvenli bir şekilde kullanmanıza yardımcı olur. Sıfır Güven ilkeleri temel alan Microsoft Entra Özel Erişim, eski sanal özel ağların (VPN) riskini ve operasyonel karmaşıklığını ortadan kaldırır ve kullanıcı üretkenliğini artırır. Örtük güven ve yanal hareket riskini en aza indirmek için eski VPN'leri ZTNA ile değiştirin. Uzak kullanıcıları herhangi bir cihazdan ve herhangi bir ağdan şirket içi, bulutlar arasında ve aralarındaki özel uygulamalara hızlı ve güvenli bir şekilde bağlayın. Otomatik uygulama bulma, kolay ekleme, uygulama başına uyarlamalı erişim denetimi, ayrıntılı uygulama segmentasyonu ve akıllı yerel erişim ile aşırı erişimi ortadan kaldırın ve yanal tehdit hareketini durdurun.

Kavram Kanıtı projenize hazırlanma

Teknoloji projesinin başarısı beklentilerin, sonuçların ve sorumlulukların yönetilmesine bağlıdır. Kavram Kanıtı (PoC) projenizden en iyi sonuçları elde etmek için bu bölümdeki yönergeleri izleyin.

Paydaşları belirleme

Dağıtım planlarınıza başlarken, önemli paydaşlarınızı ekleyin. Paydaşları, rolleri, sorumlulukları belirleme ve belgele. Başlıklar ve roller bir kuruluştan diğerine farklılık gösterebilir; ancak sahiplik alanları benzerdir.

Role Sorumluluk
Sponsor Bütçe ve kaynakları onaylama ve/veya atama yetkisine sahip kurumsal bir üst düzey lider. Yöneticiler ve yönetim ekibi arasındaki bağlantı. Ürün ve özellik uygulaması için teknik karar alma.
Son kullanıcı Hizmeti uyguladığınız kişiler. Kullanıcılar bir pilot programa katılabilir.
BT destek yöneticisi Önerilen değişiklik desteklenebilirliği hakkında giriş sağlar.
Kimlik mimarı Değişikliğin kimlik yönetimi altyapısıyla nasıl uyumlu olduğunu tanımlar. Geçerli ortamı anlar.
Uygulama işletme sahibi Erişim yönetimi içerebilecek etkilenen uygulamaların sahibidir. Kullanıcı deneyimiyle ilgili giriş sağlar.
Güvenlik sahibi Değişiklik planının güvenlik gereksinimlerini karşıladığını onaylar.
Uyumluluk yöneticisi Kurumsal, sektör ve kamu gereksinimleriyle uyumluluğu sağlar.
Teknik program yöneticisi Projeyi yönetir, gereksinimleri yönetir, iş akışlarını koordine eder ve zamanlamaya ve bütçeye bağlı kalmayı sağlar. İletişim planını ve raporlamayı kolaylaştırır.
Kiracı yöneticisi Microsoft Entra kiracısı değişikliklerinden sorumlu BT sahipleri ve teknik kaynaklar tüm aşamalarda değişir.

RACI grafiği oluşturma

RACI kısaltması temel sorumlulukları ifade eder: Sorumlu, Sorumlu, Danışılan, Bilgilendirilmiş. Projeniz ve işlevsel veya departmanlar arası projeleriniz ve süreçleriniz için RACI grafiğinde rol ve sorumlulukları tanımlayın ve netleştirin.

İletişimleri planlama

Bekleyen ve geçerli değişiklikler hakkında kullanıcılarınızla proaktif ve düzenli olarak iletişim kurun. Deneyimin nasıl ve ne zaman değiştiği hakkında onları bilgilendirin. Onlara bir destek kişisi sağlayın. RACI grafiğinize göre ekibiniz ve liderliğiniz içindeki iç iletişimleri ve beklentileri yönetin.

Zaman çizelgeleri oluşturma

Gerçekçi beklentiler belirleyin ve önemli kilometre taşlarını karşılamak için acil durum planları yapın:

  • Kavram Kanıtı (PoC)
  • Pilot tarih
  • Başlatma tarihi
  • Teslimi etkileyen tarihler
  • Bağımlılıklar

Bu kılavuzdaki Kavram Kanıtı için yaklaşık altı saate ihtiyacınız vardır. Ayrıntılar için ilgili bölümlere bağlanan bu aşamalar arasında planlayın:

  • Önkoşulları yapılandırma: 1 saat
  • İlk ürünü yapılandırma: 20 dakika
  • Uzak ağı yapılandırma: 1 - 2 saat
  • Microsoft Trafiği için Microsoft Entra İnternet Erişimi dağıtma ve test edin: 1 saat
  • dağıtım ve test Microsoft Entra Özel Erişim: 1 saat
  • PoC'nin kapatılması: 30 dakika
  • Geri bildiriminizi Microsoft ile paylaşın: 30 dakika

İzinleri alma

Genel Güvenli Erişim önizleme özellikleriyle etkileşim kuran yöneticiler için Genel Güvenli Erişim Yöneticisi ve Uygulama Yöneticisi rolleri gerekir.

Evrensel kiracı kısıtlamaları, Koşullu Erişim ilkeleri ve adlandırılmış konumlar oluşturup bunlarla etkileşim kurmak için Koşullu Erişim Yöneticisi veya Güvenlik Yöneticisi rolünü gerektirir. Bazı özellikler başka roller de gerektirebilir.

Ön koşulları yapılandırma

Microsoft'un Güvenlik Hizmeti Edge'ini başarıyla dağıtmak ve test etmek için aşağıdaki önkoşulları yapılandırın:

  1. Microsoft Entra Id P1 lisansına sahip Microsoft Entra kiracısı. Lisans satın alabilir veya deneme lisansları alabilirsiniz.
    1. Microsoft'un Güvenlik Hizmeti Edge özelliklerini yapılandırmak için en az Genel Güvenli Erişim Yöneticisi ve Uygulama Yöneticisi rollerine sahip bir kullanıcı.
    2. Kiracınızda istemci test kullanıcısı olarak işlev gösteren en az bir kullanıcı veya grup.
    3. İzin Verilen adlı bir Microsoft 365 grubu ve ikisi de test kullanıcınızı içeren Engellendi adlı bir grup.
    4. Kiracı kısıtlamalarını test etmek için yabancı kiracıdaki bir test kullanıcısı.
  2. Aşağıdaki yapılandırmaya sahip bir Windows istemci cihazı:
    1. Windows 10/11 64 bit sürümü.
    2. Microsoft Entra'ya katılmış veya karma katılmış.
    3. İnternet'e bağlı ve corpnet erişimi veya VPN yok.
  3. İstemci cihazına Genel Güvenli Erişim İstemcisi'ni indirin ve yükleyin. Windows için Genel Güvenli Erişim İstemcisi makalesi önkoşulların ve yüklemenin anlaşılmasına yardımcı olur.
  4. Microsoft Entra Özel Erişim test etmek için, aşağıdaki yapılandırmaya sahip uygulama sunucusu olarak işlev gösteren bir Windows sunucusu:
    1. Windows Server 2012 R2 veya üzeri.
    2. Uygulama sunucusunun barındırdığını bir test uygulaması. Bu kılavuzda örnek olarak uzak masaüstü protokolü (RDP) ve bir dosya paylaşımına erişim kullanılmaktadır.
  5. Microsoft Entra Özel Erişim test etmek için, aşağıdaki yapılandırmaya sahip bağlayıcı sunucusu olarak işlev gösteren bir Windows sunucusu:
    1. Windows Server 2012 R2 veya üzeri.
    2. Microsoft Entra hizmetine ağ bağlantısı.
    3. Giden trafiğe açık 80 ve 443 bağlantı noktaları.
    4. Gerekli URL'lere erişime izin verin.
  6. Bağlayıcı sunucusu ile uygulama sunucusu arasında bağlantı kurun. Test uygulamanıza uygulama sunucusundan erişebildiğinizi onaylayın (örneğin, başarılı RDP bağlantısı ve dosya paylaşımı erişimi).

Aşağıdaki diyagramda, Microsoft Entra Özel Erişim dağıtmak ve test etmek için gereken en düşük mimari gereksinimleri gösterilmektedir.

Microsoft Entra kiracısı için gereken en düşük mimari bileşenlerini gösteren diyagram.

İlk ürünü yapılandırma

Microsoft Entra yönetim merkezi aracılığıyla SSE'yi yapılandırmak ve Windows 10/11 istemci cihazınıza Genel Güvenli Erişim İstemcisi'ni yüklemek için bu bölümdeki adımları izleyin.

Microsoft Entra yönetim merkezi aracılığıyla Microsoft SSE'yi yapılandırma

Microsoft Entra yönetim merkezi aracılığıyla Microsoft SSE'yi etkinleştirin ve bu PoC için gerekli olan ilk yapılandırmaları yapın.

  1. Genel Güvenli Erişim Yöneticisi rolü atanmış bir kimlik kullanarak Microsoft Entra yönetim merkeziniaçın.

  2. Genel Güvenli Erişim (önizleme)>Kullanmaya başlama>Kiracınızda Genel Güvenli Erişimi Etkinleştirme'ye gidin. Kiracınızda SSE özelliklerini etkinleştirmek için Etkinleştir'i seçin.

    Microsoft'un Güvenlik Hizmeti Edge Çözümü için ilk etkinleştirme sayfasını gösteren diyagram.

  3. Genel Güvenli Erişim (önizleme)>Trafik iletmeyi bağlama'ya >gidin. Microsoft profilini, Özel erişim profilini ve İnternet erişim profilini açın. Trafik iletme, Microsoft'un Güvenlik Hizmeti Edge Çözümü hizmetleri aracılığıyla tünel oluşturmak için ağ trafiğinin türünü yapılandırmanıza olanak tanır. Trafik türlerini yönetmek için trafik iletme profilleri ayarlarsınız. Microsoft trafik profili, Microsoft Traffic için Microsoft Entra İnternet Erişimi içindir. Özel erişim profili Microsoft Entra Özel Erişim ve İnternet erişim profili Microsoft Entra İnternet Erişimi içindir. Microsoft'un Güvenlik Hizmeti Edge çözümü yalnızca Genel Güvenli Erişim İstemcisi'nin yüklü olduğu istemci cihazlarda trafiği yakalar.

    Not

    İnternet Erişimi iletme profilini etkinleştirdiğinizde, Microsoft trafiğinin en iyi yönlendirmesi için Microsoft trafik iletme profilini de etkinleştirmeniz gerekir.

    Microsoft Traffic ve Özel erişim profillerinin nasıl etkinleştirildiğini gösteren diyagram.

  4. Kaynak IP geri yüklemesini etkinleştirmek için Genel Güvenli Erişim (önizleme)>Genel ayarları>bağlama>Oturum yönetimi>Uyarlamalı Erişim'egidin ve Koşullu Erişim'de Genel Güvenli Erişim sinyalini etkinleştir'i açın. Kaynak IP geri yüklemesi, bu kavram kanıtının bir parçası olarak yapılandıracağınız Koşullu Erişim ilkeleri için gereklidir.

    Microsoft'un Güvenlik Hizmeti Edge Çözümü için Koşullu Erişim ilkelerinin nasıl etkinleştirildiğini gösteren diyagram.

Windows 10/11 istemci cihazınıza Genel Güvenli Erişim İstemcisi'ni yükleme

Microsoft Traffic için Microsoft Entra İnternet Erişimi ve Microsoft Entra Özel Erişim Windows cihazlarında Genel Güvenli Erişim İstemcisi'ni kullanın. Bu istemci, ağ trafiğini alır ve Microsoft'un Güvenlik Hizmeti Edge Çözümüne iletir.

  1. Windows cihazınızın Microsoft Entra'ya katılmış veya karma katılmış olduğundan emin olun.

  2. Yerel yönetici ayrıcalıklarına sahip bir Microsoft Entra kullanıcı rolüyle Windows cihazında oturum açın.

  3. Genel Güvenli Erişim Yöneticisi rolü atanmış bir kimlik kullanarak Microsoft Entra yönetim merkeziniaçın.

  4. Genel Güvenli Erişim (önizleme)>İstemci İndirmeye Bağlan'a >gidin. İstemciyi indir'i seçin ve yüklemeyi tamamlayın.

    Genel Güvenli Erişim istemci yazılımının indirileceği yeri gösteren diyagram.

  5. Pencere görev çubuğunda, Genel Güvenli Erişim İstemcisi ilk olarak bağlantısı kesilmiş olarak görünür. Birkaç saniye sonra kimlik bilgileriniz istenir. Test kullanıcınızın kimlik bilgilerini girin.

  6. Pencere görev çubuğunda Genel Güvenli Erişim İstemcisi simgesinin üzerine gelin ve Bağlı durumunu doğrulayın.

  7. Pencere görev çubuğunda Genel Güvenli Erişim İstemcisi'ne sağ tıklayın.

  8. Genel Güvenli Erişim İstemci Bağlantısı Tanılama'yı görüntülemek için Gelişmiş Tanılama'yı seçin. Sistem durumu denetimi'ne tıklayın ve tüm denetimlerin Evet durumu'nu gösterdiğini doğrulayın.

Kullanım Koşulları

Microsoft Entra Özel Erişim ve Microsoft Entra İnternet Erişimi önizleme deneyimlerini ve özelliklerini kullanımınız, hizmetleri edindiğiniz sözleşmelerin önizleme çevrimiçi hizmet hüküm ve koşullarına tabidir. Önizlemeler, Çevrimiçi Hizmetler için Evrensel Lisans Koşulları ve Microsoft Ürün ve Hizmetleri Veri Koruma Eki ("DPA") ve Önizleme ile sağlanan diğer bildirimlerde açıklandığı gibi azaltılmış veya farklı güvenlik, uyumluluk ve gizlilik taahhütlerine tabi olabilir.

Sonraki adımlar

  • Microsoft Traffic için Microsoft Entra İnternet Erişimi dağıtma ve doğrulama
  • Microsoft Entra İnternet Erişimi dağıtma ve doğrulama
  • Microsoft Entra Özel Erişim dağıtma ve doğrulama