Microsoft Entra Kimlik Yönetimi ile en az ayrıcalık ilkesi
Kimlik idaresi stratejisini uygulamadan önce ele alınması gereken kavramlardan biri, en az ayrıcalık ilkesidir (PLOP). En az ayrıcalık, kimlik idaresinde kullanıcılara ve gruplara yalnızca görevlerini gerçekleştirmek için gereken en düşük erişim düzeyini ve izinleri atamayı içeren bir ilkedir. Amaç, bir kullanıcı veya grubun çalışmalarını tamamlayabilmesi için erişim haklarını kısıtlamak, aynı zamanda saldırganlar tarafından kötüye kullanabilecek veya güvenlik ihlallerine yol açabilecek gereksiz ayrıcalıkları en aza indirmektir.
Microsoft Entra Kimlik Yönetimi açısından, en az ayrıcalık ilkesinin uygulanması güvenliği artırmaya ve riskleri azaltmaya yardımcı olur. Bu yaklaşım, kullanıcılara ve gruplara yalnızca rolleri ve sorumluluklarıyla ilgili kaynaklara, verilere ve eylemlere erişim verilmesini sağlar ve bunun ötesinde hiçbir şey sağlamaz.
En düşük ayrıcalık ilkesinin temel kavramları
Yalnızca gerekli kaynaklara erişim: Kullanıcılara bilgi ve kaynaklara yalnızca görevlerini gerçekleştirmeleri için gerçek bir ihtiyaçları varsa erişim verilir. Bu, hassas verilere yetkisiz erişimi engeller ve güvenlik ihlalinin olası etkisini en aza indirir. Kullanıcı sağlamayı otomatikleştirmek, erişim haklarının gereksiz yere verilmesini azaltmaya yardımcı olur. Yaşam döngüsü iş akışları , kuruluşların temel yaşam döngüsü süreçlerini otomatikleştirerek Microsoft Entra kullanıcılarını yönetmesine olanak tanıyan bir kimlik idaresi özelliğidir.
Rol Tabanlı Erişim Denetimi (RBAC): Erişim hakları, kullanıcıların belirli rollerine veya iş işlevlerine göre belirlenir. Her role sorumluluklarını yerine getirmek için gereken en düşük izinler atanır. Microsoft Entra rol tabanlı erişim denetimi , Microsoft Entra kaynaklarına erişimi yönetir.
Tam Zamanında Ayrıcalık: Erişim hakları yalnızca ihtiyaç duyulan süre boyunca verilir ve artık gerekli olmadığında iptal edilir. Bu, saldırganların aşırı ayrıcalıklardan yararlanması için fırsat penceresini azaltır. Privileged Identity Management (PIM), Microsoft Entra Id'de kuruluşunuzdaki önemli kaynakları yönetmenize, denetlemenize ve izlemenize olanak tanıyan ve tam zamanında erişim sağlayabilen bir hizmettir.
Düzenli Denetim ve Gözden Geçirme: Kullanıcı erişiminin ve izinlerinin düzenli aralıklarla gözden geçirilmesi, kullanıcıların hala kendilerine verilen erişime ihtiyaç duymasını sağlamak için yapılır. Bu, en az ayrıcalık ilkesinden sapmaları tanımlamaya ve düzeltmeye yardımcı olur. Microsoft Entra'nın bir parçası olan Microsoft Entra Id'deki erişim gözden geçirmeleri, kuruluşların grup üyeliklerini, kurumsal uygulamalara erişimi ve rol atamalarını verimli bir şekilde yönetmesini sağlar. Yalnızca doğru kişilerin sürekli erişimi olduğundan emin olmak için kullanıcının erişimi düzenli olarak gözden geçirilebilir.
Varsayılan Reddetme: Varsayılan duruş, erişimi reddetmektir ve erişim yalnızca onaylanan amaçlar için açıkça verilir. Bu, gereksiz ayrıcalıkların verilmesine neden olabilecek bir "varsayılan izin verme" yaklaşımıyla karşıttır. Yetkilendirme yönetimi , kuruluşların erişim isteği iş akışlarını, erişim atamalarını, gözden geçirmeleri ve süre sonunu otomatikleştirerek kimlik ve erişim yaşam döngüsünü büyük ölçekte yönetmesine olanak tanıyan bir kimlik idaresi özelliğidir.
Kuruluşunuz en az ayrıcalık ilkesini izleyerek güvenlik sorunları riskini azaltabilir ve erişim denetimlerinin iş gereksinimlerine uygun olduğundan emin olabilir.
Kimlik İdaresi özelliklerinde yönetmek için en az ayrıcalıklı roller
Kimlik İdaresi'nde yönetim görevlerini gerçekleştirmek için en az ayrıcalıklı rolü kullanmak en iyi yöntemdir. Bu görevleri gerçekleştirmek için gerektiğinde bir rolü etkinleştirmek için Microsoft Entra PIM kullanmanızı öneririz. Kimlik İdaresi özelliklerini yapılandırmak için en az ayrıcalıklı dizin rolleri şunlardır:
| Özellik | En az ayrıcalıklı rol |
|---|---|
| Yetkilendirme yönetimi | Kimlik İdaresi Yöneticisi |
| Erişim gözden geçirmeleri | Kullanıcı Yöneticisi (Ayrıcalıklı Rol Yöneticisi gerektiren Azure veya Microsoft Entra rollerinin erişim gözden geçirmeleri dışında) |
| Yaşam Döngüsü İş Akışları | Yaşam Döngüsü İş Akışları Yöneticisi |
| Privileged Identity Management | Ayrıcalıklı Rol Yöneticisi |
| Kullanım koşulları | Güvenlik Yöneticisi veya Koşullu Erişim Yöneticisi |
Not
Yetkilendirme yönetimi için en az ayrıcalıklı rol, Kullanıcı Yöneticisi rolünden Kimlik İdaresi Yöneticisi rolüne değiştirildi.