Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Parolalar ve güvenlik anahtarları onlarca yıldır dijital güvenliğin temelini oluşturuyordu, ancak artık modern tehditlere ayak uyduramıyorlar. Sıfır Güven modeliyle uyumlu gizli olmayan kimlik doğrulaması, erişim denetimini ve kullanıcı doğrulamasını kimlik bilgisi olmayan bir yaklaşıma değiştirir. Gizli olmayan kimlik doğrulaması, parolalar, sertifikalar, gizli diziler veya güvenlik anahtarları gibi geleneksel, paylaşılan kimlik bilgilerine güvenmeden bulutta güvenli uygulamalar tasarlamayı içerir. Gizli olmayan kimlik doğrulaması aşağıdaki avantajları sağlar:
- Daha az kimlik bilgisi riski: Parolaları ortadan kaldırarak gizli kimlik doğrulaması kimlik bilgisi hırsızlığı, kimlik avı saldırıları ve deneme yanılma saldırıları ile ilgili riskleri azaltır. Bu yaklaşım biyometri, dijital sertifikalar ve donanım belirteçleri gibi doğrulanabilir kimlik öğelerini kullanır.
- Kolaylaştırılmış erişim denetimi: Paylaşılan gizli diziler yerine gerçek kimliği doğrulayan mekanizmalara güvenerek güvenliği artırır ve kullanıcı deneyimini kolaylaştırır. Bu, her erişim isteğini gerçek kimliğe göre doğrulayarak Sıfır Güven ilkeleriyle uyumlu hale getirme.
- Geliştirilmiş son kullanıcı deneyimi: Kullanıcılar, parola sıfırlama ihtiyacını azaltan ve genel kullanıcı memnuniyetini artıran daha sorunsuz ve güvenli bir kimlik doğrulama işleminden yararlanıyor.
Bu makalede Azure'da gizli olmayan kimlik doğrulaması, avantajları ve istemci uygulamaları, Azure hizmet-hizmet iletişimi ve dış iş yükleri gibi çeşitli senaryolarda nasıl uygulanacakları incelenmiştir.
Parolaların ve gizli bilgilerin güvenlik zorlukları
Parolalar ve diğer gizli diziler dikkatli kullanılmalıdır ve geliştiriciler bunları asla güvenli olmayan bir konuma yerleştirmemelidir. Birçok uygulama kullanıcı adları, parolalar ve erişim anahtarları kullanarak arka uç veritabanına, önbellek, mesajlaşma ve olay hizmetlerine bağlanır. Bu kimlik bilgileri kullanıma sunulursa, yaklaşan bir kampanya için oluşturduğunuz satış kataloğu veya özel olması gereken müşteri verileri gibi hassas bilgilere yetkisiz erişim elde etmek için kullanılabilir.
Parolaların bir uygulamaya eklenmesi, kod deposu aracılığıyla bulma da dahil olmak üzere birçok nedenden dolayı büyük bir güvenlik riski oluşturur. Birçok geliştirici, uygulamaların bunları farklı ortamlardan yükleyebilmesi için ortam değişkenlerini kullanarak bu tür parolaları dışlar. Ancak bu, riski yalnızca kodun kendisinden yürütme ortamına geçirir. Ortama erişim elde eden herkes parolaları çalabilir ve bu da veri sızdırma riskinizi artırır.
Anahtarların güvenlik zorlukları
Azure uygulama geliştirmesinde şifreleme anahtarlarının kullanılması hem güvenlik hem de operasyonel verimliliği zorlaştırabilecek çeşitli zorluklar sunar. Önemli sorunlardan biri, anahtarları çeşitli hizmetler ve ortamlarda döndürme, dağıtma ve güvenli bir şekilde depolamanın hantal görevlerini içeren anahtar yönetimi karmaşıklıklarıdır. Bu devam eden işlem, ayrılmış kaynaklar gerektirir ve düzenli bakım ve izleme gereksinimi nedeniyle operasyonel maliyetleri önemli ölçüde artırabilir. Ayrıca, sızdırılan anahtarlar nedeniyle yetkisiz erişim hassas verilerin güvenliğini tehlikeye ataabildiğinden, anahtar açığa çıkarma veya kötüye kullanımla ilgili önemli güvenlik riskleri vardır. Ayrıca anahtar tabanlı kimlik doğrulama yöntemleri genellikle dinamik ortamlar için gereken ölçeklenebilirlik ve esneklikten yoksun olduğundan değişen gereksinimlere uyum sağlamayı ve işlemleri etkili bir şekilde ölçeklendirmeyi zorlaştırır. Bu zorluklar, riskleri azaltmak ve işlemleri kolaylaştırmak için yönetilen kimlikler gibi daha güvenli ve verimli kimlik doğrulama yöntemlerini benimsemenin önemini vurgular.
İstemci uygulaması (kullanıcıya yönelik) Microsoft Entra korumalı kaynaklara erişir
Çok faktörlü kimlik doğrulaması (MFA) gibi özellikler kuruluşunuzun güvenliğini sağlamanın harika bir yoludur, ancak kullanıcılar genellikle parolalarını hatırlamak zorunda kalmadan ek güvenlik katmanından rahatsız olur. Parolasız kimlik doğrulama yöntemleri daha kullanışlıdır çünkü parola kaldırılır ve yerine sahip olduğunuz veya bildiğiniz bir şey kullanılır.
Kimlik doğrulaması söz konusu olduğunda her kuruluşun farklı gereksinimleri vardır. Microsoft Entra ID ve Azure Government aşağıdaki parolasız kimlik doğrulama seçeneklerini entegre eder:
- İş İçin Windows Hello
- macOS için Platform Kimlik Bilgileri
- Akıllı kart kimlik doğrulaması ile macOS için platform çoklu oturum açma (PSSO)
- Microsoft Authenticator
- Geçiş Anahtarları (FIDO2)
- Sertifika tabanlı kimlik doğrulaması
Daha fazla bilgi edinmek için Microsoft Entra parolasız oturum açma makalesini okuyun.
Azure hizmetinden Azure hizmetine (Azure içinde)
Azure kaynakları (hizmet-hizmet kimlik doğrulaması) arasında kimlik doğrulaması yaparken önerilen yaklaşım , Azure kaynakları için Yönetilen kimlikleri kullanmaktır. Ancak kiracılar arasında kaynakların kimliğini doğrularken ve kaynaklara erişirken, yönetilen bir kimliği uygulamada federasyon kimlik bilgisi olarak ayarlamanız gerekir.
Microsoft Entra korumalı kaynaklara (aynı kiracı) erişir
Azure kaynakları arasında hizmetler arası kimlik doğrulamasına ihtiyaç duyduğunuz ve kaynakların aynı kiracıda bulunduğu senaryolar için, yönetilen kimlikler ve DefaultAzureCredential Azure Identity istemci kütüphanesindeki sınıf önerilen seçenektir.
Yönetilen kimlik, bir Azure işlem kaynağına (örneğin Azure Sanal Makineler, Azure İşlevleri veya Azure Kubernetes) veya yönetilen kimlikleri destekleyen herhangi bir Azure hizmetine atanabilen bir kimliktir. İşlem kaynağına yönetilen kimlik atandıktan sonra depolama hesabı, SQL veritabanı, Cosmos DB gibi aşağı akış bağımlılık kaynaklarına erişme yetkisine sahip olabilir. Yönetilen kimlikler, hizmet-hizmet bağımlılıkları için erişim anahtarları, parolalar ve sertifikalar veya diğer kimlik doğrulama biçimleri gibi gizli dizilerin yerini alır.
Daha fazla bilgi için Bkz. Azure kaynakları için yönetilen kimlikler nelerdir?.
Microsoft Entra Kimliği ve Rol Tabanlı Erişim Denetimi (RBAC) aracılığıyla Azure hizmetlerine parolasız bağlantılar kurmak için uygulamanızda DefaultAzureCredential ve yönetilen kimlikleri uygulayın.
DefaultAzureCredential birden çok kimlik doğrulama yöntemini destekler ve çalışma zamanında hangilerinin kullanılacağını otomatik olarak belirler. Bu yaklaşım, uygulamanızın ortama özgü kod uygulamadan farklı ortamlarda (yerel geliştirme ve üretim) farklı kimlik doğrulama yöntemleri kullanmasını sağlar.
Yönetilen kimlik ve uygulamanızda DefaultAzureCredential kullanımı hakkında daha fazla bilgi için Azure uygulamaları ve hizmetleri arasında gizli bilgileri paylaşmadan bağlantı yapılandırma konusunu okuyun.
Microsoft Entra korumalı kaynaklara farklı kiracılar arasında erişir
Yönetilen kimlikler, Azure kaynakları arasında hizmet-hizmet kimlik doğrulamasına ihtiyaç duyduğunuz senaryolar için önerilir. Bununla birlikte, kiracılar (çok kiracılı uygulamalar) arasında kaynaklara erişirken yönetilen kimlikler desteklenmez. Daha önce, bir istemci gizli dizi veya sertifikayı kimlik bilgisi olarak kullanarak birden fazla kiracıda kaynakların kimliğini doğrulamak ve kaynaklara erişim sağlamak için çok kiracılı bir uygulama oluşturdunuz. Bu, gizli bilgilerin açığa çıkmasıyla ilgili önemli riskler bırakır ve sertifika yaşam döngülerini depolama, yenileme ve koruma yükünü ekler.
Azure iş yükleri, artık gizli bilgilere veya sertifikalara güvenmeden kiracılar arasında Microsoft Entra korumalı kaynaklara güvenli bir şekilde erişmek için yönetilen kimlikleri federasyonel kimlik olarak kullanabilir.
Daha fazla bilgi edinmek için Bkz. Yönetilen kimliğe güvenmek için uygulama yapılandırma.
Azure hizmeti, Microsoft'a ait olmayan Entra korumalı veya dış kaynaklara erişir
Microsoft Entra ile korunmayan ve erişim için parola, gizli diziler, anahtarlar veya sertifikalar gerektiren kaynaklara erişen Azure iş yükleri için, yönetilen kimlikleri doğrudan kullanamazsınız. Bu durumda, hedef kaynağın kimlik bilgilerini depolamak için Azure Key Vault kullanın. İş yükünüz için bir yönetilen kimlik kullanarak anahtar kasasından kimlik bilgilerini alın ve bu kimlik bilgilerini kullanarak hedef kaynağa erişin.
Daha fazla bilgi için Kodda Key Vault'ta Kimlik Doğrulama bölümünü okuyun.
Dış iş yükü (Azure dışında) Microsoft Entra korumalı kaynaklara erişir
Bir yazılım iş yükü Azure dışında (örneğin, şirket içi veri merkezinde, geliştiricinin makinesinde veya başka bir bulutta) çalışıyorsa ve Azure kaynaklarına erişmesi gerektiğinde, Azure yönetilen kimliğini doğrudan kullanamazsınız. Geçmişte, bir uygulamayı Microsoft kimlik platformuna kaydedebilirdiniz ve oturum açmak için dış uygulama için bir istemci gizli dizisi veya sertifika kullanırdınız. Bu kimlik bilgileri güvenlik riski oluşturur ve güvenli bir şekilde depolanması ve düzenli olarak döndürülmüş olması gerekir. Kimlik bilgilerinin süresi dolarsa hizmet kesintisi riskiyle karşılaşabilirsiniz.
GitHub veya Google gibi bir dış kimlik sağlayıcısından (IdP) gelen belirteçlere güvenmek üzere Microsoft Entra ID'de kullanıcı tarafından atanan yönetilen kimliği veya uygulama kaydını yapılandırmak için iş yükü kimlik federasyonu kullanırsınız. Bu güven ilişkisi oluşturulduktan sonra, dış yazılım iş yükünüz Microsoft kimlik platformu erişim belirteçleri için dış IdP'den güvenilen belirteçleri değiştirir. Yazılım iş yükünüz, iş yüküne erişim verilen Microsoft Entra korumalı kaynaklara erişmek için bu erişim belirtecini kullanır. Kimlik bilgilerini el ile yönetmenin bakım yükünü ortadan kaldırırsınız ve gizli dizilerin sızması veya sertifikaların süresinin dolması riskini ortadan kaldırırsınız.
Daha fazla bilgi için bkz. İş yükü kimlik federasyonu.