Güvenlik Denetimi: Kimlik yönetimi
Kimlik Yönetimi, uygulamalar için çoklu oturum açma, güçlü kimlik doğrulamaları, yönetilen kimlikler (ve hizmet sorumluları) kullanımı, koşullu erişim ve hesap anomalilerini izleme dahil olmak üzere kimlik ve erişim yönetim sistemlerini kullanarak güvenli kimlik ve erişim denetimleri oluşturmaya yönelik denetimleri kapsar.
IM-1: Merkezi kimlik ve kimlik doğrulama sistemini kullanma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2, AC-3, IA-2, IA-8 | 7.2, 8.3 |
Güvenlik ilkesi: Kuruluşunuzun bulut ve bulut dışı kaynaklar için kimliklerini ve kimlik doğrulamalarını yönetmek için merkezi bir kimlik ve kimlik doğrulama sistemi kullanın.
Azure kılavuzu: Azure Active Directory (Azure AD), Azure'ın kimlik ve kimlik doğrulama yönetim hizmetidir. Kuruluşunuzun kimliğini ve kimlik doğrulamasını yönetmek için Azure AD standartlaştırmanız gerekir:
- Azure Depolama, Azure Sanal Makineler (Linux ve Windows), Azure Key Vault, PaaS ve SaaS uygulamaları gibi Microsoft bulut kaynakları.
- Azure'da uygulamalar, kurumsal ağ kaynaklarınızda çalışan üçüncü taraf uygulamalar ve üçüncü taraf SaaS uygulamaları gibi kuruluşunuzun kaynakları.
- Tutarlı ve merkezi olarak yönetilen bir kimlik stratejisi sağlamak için active directory'deki kurumsal kimliklerinizi eşitleme yoluyla Azure AD.
Uygulanan Azure hizmetleri için yerel kimlik doğrulama yöntemlerini kullanmaktan kaçının ve bunun yerine Azure Active Directory'yi kullanarak hizmet kimlik doğrulamalarınızı merkezileştirin.
Not: Teknik olarak uygun olduğu anda, şirket içi Active Directory tabanlı uygulamaları Azure AD geçirmeniz gerekir. Bu bir Azure AD Enterprise Directory, İşletmeden İşletmeye yapılandırma veya İşletmeden müşteriye yapılandırması olabilir.
Azure uygulaması ve ek bağlamı:
- Azure AD’de kiracılık
- Azure AD örneği oluşturma ve yapılandırma
- Azure AD kiracılarını tanımlama
- Bir uygulama için dış kimlik sağlayıcılarını kullanma
AWS kılavuzu: AWS IAM (Kimlik ve Erişim Yönetimi), AWS'nin varsayılan kimlik ve kimlik doğrulama yönetim hizmetidir. AWS kimlik ve erişim yönetiminizi yönetmek için AWS IAM'yi kullanın. Alternatif olarak AWS ve Azure Tek Sign-On (SSO) aracılığıyla, yinelenen hesapların iki bulut platformunda ayrı olarak yönetilmesini önlemek amacıyla AWS'nin kimlik ve erişim denetimini yönetmek için de Azure AD kullanabilirsiniz.
AWS, AWS kaynaklarına erişmek için yinelenen hesaplar oluşturmaktan kaçınmak için şirketinizin üçüncü taraf kimlikleriyle (Windows Active Directory veya diğer kimlik depoları gibi) AWS kimlikleri arasında köprü kurmanızı sağlayan Tek Sign-On destekler.
AWS uygulaması ve ek bağlam:
GCP kılavuzu: Google Cloud'un Kimlik ve Erişim Yönetimi (IAM) sistemi, Google Cloud'un Google Cloud Identity hesapları için kullanılan varsayılan kimlik ve kimlik doğrulama yönetimi hizmetidir. GCP kimliğinizi ve erişim yönetiminizi yönetmek için Google Cloud IAM kullanın. Alternatif olarak, Google Cloud Identity ve Azure Sigle Sign-On (SSO) aracılığıyla, yinelenen hesapların mutli bulut ortamında ayrı olarak yönetilmesini önlemek amacıyla GCP'nin kimliğini ve erişim denetimini yönetmek için de Azure AD kullanabilirsiniz.
Google Cloud Identity, tüm Google hizmetlerinin kimlik sağlayıcısıdır. GCP kaynaklarına erişmek için yinelenen hesaplar oluşturmaktan kaçınmak için şirketinizin üçüncü taraf kimlikleriyle (Windows Active Directory veya diğer kimlik depoları gibi) Google Cloud kimlikleri arasında köprü kurmanızı sağlayan Tek Sign-On destekler.
Not: Google Cloud Directory Sync'i kullanma. Google, çoğu kurumsal LDAP yönetim sistemiyle tümleşen ve kimlikleri bir zamanlamaya göre eşitleyen bağlayıcı aracı sağlar. Bir Cloud Identity hesabı yapılandırıp Google Cloud Directory Sync'i seçerek, kullanıcılar, gruplar ve kullanıcı profilleri, diğer adlar ve daha fazlası dahil olmak üzere kullanıcı hesaplarınızdan hangilerinin yerel kimlik yönetim sisteminizle GCP sisteminiz arasında bir zamanlamaya göre eşitleneceğini yapılandırabilirsiniz.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
IM-2: Kimlik ve kimlik doğrulama sistemlerini koruma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 5.4, 6.5 | AC-2, AC-3, IA-2, IA-8, SI-4 | 8.2, 8.3 |
Güvenlik ilkesi: Kuruluşunuzun bulut güvenlik uygulamasında yüksek öncelik olarak kimlik ve kimlik doğrulama sisteminizin güvenliğini sağlayın. Yaygın güvenlik denetimleri şunlardır:
- Ayrıcalıklı rolleri ve hesapları kısıtlama
- Tüm ayrıcalıklı erişim için güçlü kimlik doğrulaması gerektir
- Yüksek riskli etkinlikleri izleme ve denetleme
Azure kılavuzu: Azure AD kimlik güvenliği duruşunuzu değerlendirmek ve güvenlik ile yapılandırma boşluklarını düzeltmek için Azure AD güvenlik temelini ve Azure AD Kimlik Güvenlik Puanı'nı kullanın. Azure AD Kimlik Güvenlik Puanı, aşağıdaki yapılandırmalar için Azure AD değerlendirir:
- Sınırlı yönetim rolleri kullanma
- Kullanıcı riski ilkesini açma
- Birden fazla genel yönetici belirleme
- Eski kimlik doğrulamasını engellemek için ilkeyi etkinleştirme
- Tüm kullanıcıların güvenli erişim için çok faktörlü kimlik doğrulamasını tamamlayabildiğine emin olun
- Yönetim rolleri için MFA gerektirme
- Kendi kendine parola sıfırlamayı etkinleştirme
- Parolaların süresi dolmasın
- Oturum açma riski ilkesini açma
- Kullanıcıların yönetilmeyen uygulamalara onay vermesine izin verme
Kimlik tabanlı riskleri algılamak, araştırmak ve düzeltmek için Azure AD Kimlik Koruması kullanın. şirket içi Active Directory etki alanınızı benzer şekilde korumak için Kimlik için Defender'ı kullanın.
Not: şirket içi Active Directory ve üçüncü taraf özellikleri ve bunları barındıran altyapılar (işletim sistemleri, ağlar, veritabanları gibi) dahil olmak üzere diğer tüm kimlik bileşenleri için yayımlanan en iyi yöntemleri izleyin.
Azure uygulaması ve ek bağlamı:
- Azure AD'de kimlik güvenliği puanı nedir?
- Active Directory’nin Güvenliğini Sağlamak için En İyi Yöntemler
- Kimlik Koruması nedir?
- Kimlik için Microsoft Defender nedir?
AWS kılavuzu: AWS IAM'nizin güvenliğini sağlamak için aşağıdaki en iyi güvenlik uygulamalarını kullanın:
- AWS hesabı kök kullanıcı erişim anahtarlarını PA-5'te açıklandığı gibi acil durum erişimi için ayarlama (Acil durum erişimini ayarlama)
- Erişim atamaları için en az ayrıcalık ilkelerini izleyin
- Tek tek kullanıcılar yerine ilkeleri uygulamak için IAM gruplarından yararlanın.
- Tüm kullanıcılar için IM-6'da güçlü kimlik doğrulama yönergelerini izleyin (Güçlü kimlik doğrulama denetimleri kullanın)
- AWS Kuruluşları SCP (Hizmet Denetimi İlkesi) ve izin sınırlarını kullanma
- Hizmet erişimini denetlemek için IAM Erişim Danışmanı'nın kullanılması
- Kullanıcı hesaplarını ve kimlik bilgisi durumunu izlemek için IAM kimlik bilgisi raporunu kullanma
Not: Aws kimliğini ve erişimini yönetmek için Azure AD kullanıyorsanız, başka kimlik ve kimlik doğrulama sistemleriniz varsa yayımlanan en iyi yöntemleri izleyin; örneğin, Azure AD güvenlik temelini izleyin.
AWS uygulaması ve ek bağlam:
GCP kılavuzu: Kuruluşunuz için Google Cloud IAM ve Cloud Identity hizmetlerinizin güvenliğini sağlamak için aşağıdaki en iyi güvenlik uygulamalarını kullanın:
- PA-5'teki önerileri izleyerek ("Acil durum erişimini ayarlama") acil durum erişimi için bir süper yönetici hesabı ayarlayın.
- Bir süper yönetici e-posta adresi (Google Workspace veya Cloud Identity süper yönetici hesabı olarak) oluşturun; acil durum kurtarması gerektiğinde bu hesap belirli bir kullanıcıya özel olmamalıdır.
- En az ayrıcalık ve görev ayrımı ilkelerine uyun
- Günlük etkinlikler için süper yönetici hesabı kullanmaktan kaçının
- Tek tek kullanıcılara ilke uygulamak yerine ilkeleri uygulamak için Google Cloud Identity gruplarından yararlanın.
- Yükseltilmiş ayrıcalıklara sahip tüm kullanıcılar için IM-6 ("Güçlü kimlik doğrulama denetimleri kullanma") bölümünde açıklandığı gibi güçlü kimlik doğrulama yönergelerini izleyin.
- Kaynaklara erişimi kısıtlamak için IAM ilkelerini kullanma
- Kaynaklarda kısıtlamaları denetlemek ve yapılandırmak için Kuruluş İlkesi Hizmeti'ni kullanma
- Ayrıcalıklı etkinlikleri gözden geçirmek için Bulut Denetim günlükleri içinde IAM denetim günlüğünü kullanma
Not: GcP kimliğini ve erişimini yönetmek için Azure AD kullanıyorsanız, başka kimlik ve kimlik doğrulama sistemleriniz varsa yayımlanmış en iyi yöntemleri izleyin; örneğin, Azure AD güvenlik temelini izleyin.
GCP uygulaması ve ek bağlam:
- Süper yönetici hesabı en iyi yöntemleri
- Yönetici hesapları için en iyi güvenlik uygulamaları
- IAM'i güvenli bir şekilde kullanma
- Diğer kaynaklara erişimi yönetme
- Kuruluş İlkesi Hizmetine Giriş
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
IM-3: Uygulama kimliklerini güvenli ve otomatik olarak yönetme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| Yok | AC-2, AC-3, IA-4, IA-5, IA-9 | Yok |
Güvenlik ilkesi: Uygulamaların kaynaklara erişmesi ve kod yürütmesi için insan hesapları oluşturmak yerine yönetilen uygulama kimliklerini kullanın. Yönetilen uygulama kimlikleri, kimlik bilgilerinin açığa çıkarılması gibi avantajlar sağlar. Kimliklerin güvenliğini sağlamak için kimlik bilgilerinin döndürülmesini otomatikleştirin.
Azure kılavuzu: Azure AD kimlik doğrulamasını destekleyen Azure hizmetlerinde ve kaynaklarda kimlik doğrulaması yapabilecek Azure yönetilen kimliklerini kullanın. Yönetilen kimlik kimlik bilgileri platform tarafından tam olarak yönetilir, döndürülür ve korunur ve kaynak kodunda veya yapılandırma dosyalarında sabit kodlanmış kimlik bilgilerini önler.
Yönetilen kimlikleri desteklemeyen hizmetler için Azure AD kullanarak kaynak düzeyinde kısıtlı izinlere sahip bir hizmet sorumlusu oluşturun. Hizmet sorumlularını sertifika kimlik bilgileriyle yapılandırmanızı ve kimlik doğrulaması için istemci gizli dizilerine geri dönmenizi öneririz.
Azure uygulaması ve ek bağlamı:
- Azure yönetilen kimlikleri
- Azure kaynakları için yönetilen kimlikleri destekleyen hizmetler
- Azure hizmet sorumlusu
- Sertifikalarla hizmet sorumlusu oluşturma
AWS kılavuzu: Bu özelliği destekleyen kaynaklar için kullanıcı hesapları oluşturmak yerine AWS IAM rollerini kullanın. IAM rolleri arka uçta platform tarafından yönetilir ve kimlik bilgileri geçicidir ve otomatik olarak döndürülür. Bu, kaynak kodunda veya yapılandırma dosyalarında uygulamalar ve sabit kodlanmış kimlik bilgileri için uzun vadeli erişim anahtarları veya kullanıcı adı/parola oluşturulmasını önler.
IAM rolleri için kendi rol izinlerinizi özelleştirmek yerine AWS hizmetleri arasında erişim için önceden tanımlanmış izin ilkeleriyle birlikte eklenen hizmet bağlantılı rolleri kullanabilirsiniz.
Not: IAM rollerini desteklemeyen hizmetler için erişim anahtarlarını kullanın, ancak anahtarlarınızın güvenliğini sağlamak için IM-8 Kimlik bilgilerinin ve gizli dizilerin açığa çıkarılmalarını kısıtlama gibi en iyi güvenlik uygulamalarını izleyin.
AWS uygulaması ve ek bağlam:
GCP kılavuzu: Bu özelliği destekleyen kaynaklar için kullanıcı tarafından yönetilen hesaplar oluşturmak yerine Google tarafından yönetilen hizmet hesaplarını kullanın. Google tarafından yönetilen hizmet hesapları platform tarafından arka uçta yönetilir ve hizmet hesabı anahtarları geçicidir ve otomatik olarak döndürülür. Bu, kaynak kodunda veya yapılandırma dosyalarında uzun süreli erişim anahtarları veya uygulamalar için kullanıcı adı/parola ve sabit kodlanmış sabit kodlama kimlik bilgileri oluşturulmasını önler.
Hizmet hesaplarının şüpheli etkinliğini anlamak ve tanımak için İlke Bilgileri'ni kullanın.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
IM-4: Sunucu ve hizmetlerin kimliğini doğrulama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| Yok | IA-9 | Yok |
Güvenlik ilkesi: Güvenilen sunucu ve hizmetlere bağlandığınızdan emin olmak için istemci tarafınızdan uzak sunucuların ve hizmetlerin kimliğini doğrulayın. En yaygın sunucu kimlik doğrulama protokolü, istemci tarafı (genellikle bir tarayıcı veya istemci cihazı) sunucunun sertifikasının güvenilen bir sertifika yetkilisi tarafından verildiğini doğrulayarak sunucuyu doğruladığı Aktarım Katmanı Güvenliği'dir (TLS).
Not: Hem sunucu hem de istemci birbirinin kimliğini doğruladığında karşılıklı kimlik doğrulaması kullanılabilir.
Azure kılavuzu: Birçok Azure hizmeti varsayılan olarak TLS kimlik doğrulamayı destekler. Varsayılan olarak TLS kimlik doğrulamasını desteklemeyen veya TLS'yi devre dışı bırakmayı destekleyen hizmetler için, sunucu/istemci kimlik doğrulamasını desteklemek için her zaman etkin olduğundan emin olun. İstemci uygulamanız, el sıkışma aşamasında sunucu/istemci kimliğini (sunucunun güvenilen bir sertifika yetkilisi tarafından verilen sertifikasını doğrulayarak) doğrulayacak şekilde de tasarlanmalıdır.
Not: API Management ve API Gateway gibi hizmetler TLS karşılıklı kimlik doğrulamayı destekler.
Azure uygulaması ve ek bağlamı:
AWS kılavuzu: Birçok AWS hizmeti varsayılan olarak TLS kimlik doğrulamayı destekler. Varsayılan olarak TLS kimlik doğrulamasını desteklemeyen veya TLS'yi devre dışı bırakmayı destekleyen hizmetler için, sunucu/istemci kimlik doğrulamasını desteklemek için her zaman etkin olduğundan emin olun. İstemci uygulamanız, el sıkışma aşamasında sunucu/istemci kimliğini (sunucunun güvenilen bir sertifika yetkilisi tarafından verilen sertifikasını doğrulayarak) doğrulayacak şekilde de tasarlanmalıdır.
Not: API Gateway gibi hizmetler TLS karşılıklı kimlik doğrulamayı destekler.
AWS uygulaması ve ek bağlam:
GCP kılavuzu: Birçok GCP hizmeti varsayılan olarak TLS kimlik doğrulamayı destekler. Bunu varsayılan olarak desteklemeyen veya TLS'yi devre dışı bırakmayı destekleyen hizmetler için, sunucu/istemci kimlik doğrulamasını desteklemek için her zaman etkin olduğundan emin olun. İstemci uygulamanız, el sıkışma aşamasında sunucu/istemci kimliğini (sunucunun güvenilen bir sertifika yetkilisi tarafından verilen sertifikasını doğrulayarak) doğrulayacak şekilde de tasarlanmalıdır.
Not: Bulut Yük Dengeleme gibi hizmetler TLS karşılıklı kimlik doğrulamasını destekler.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
IM-5: Uygulama erişimi için çoklu oturum açma (SSO) kullanma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 12,5 | IA-4, IA-2, IA-8 | Yok |
Güvenlik ilkesi: Bulut hizmetleri ve şirket içi ortamlar genelinde uygulamalar ve veriler dahil olmak üzere kaynaklarda kimlik doğrulaması için kullanıcı deneyimini basitleştirmek için çoklu oturum açma (SSO) kullanın.
Azure kılavuzu: Azure AD çoklu oturum açma (SSO) aracılığıyla iş yükü uygulama erişimi (müşteriye yönelik) erişimi için Azure AD kullanın ve yinelenen hesap gereksinimini azaltın. Azure AD, Azure kaynaklarına (CLI, PowerShell, portal dahil olmak üzere yönetim düzleminde), bulut uygulamalarına ve şirket içi uygulamalara kimlik ve erişim yönetimi sağlar.
Azure AD ayrıca kurumsal kullanıcı kimlikleri gibi kurumsal kimlikler için SSO'nun yanı sıra güvenilen üçüncü taraf ve genel kullanıcıların dış kullanıcı kimliklerini de destekler.
Azure uygulaması ve ek bağlamı:
AWS kılavuzu: Müşterilerin farklı kimlik sağlayıcılarından üçüncü taraf kimlikleriyle köprü kurmasına olanak sağlamak amacıyla çoklu oturum açma (SSO) aracılığıyla müşteriye yönelik uygulama iş yüklerinize erişimi yönetmek için AWS Cognito kullanın.
AWS yerel kaynaklarına (AWS konsol erişimi veya hizmet yönetimi ve veri düzlemi düzeyinde erişim dahil) SSO erişimi için, yinelenen hesap ihtiyacını azaltmak için AWS Sigle Sign-On kullanın.
AWS SSO ayrıca kurumsal kimlikleri (Azure Active Directory'den alınan kimlikler gibi) AWS kimliklerinin yanı sıra güvenilen üçüncü taraf ve genel kullanıcıların dış kullanıcı kimlikleriyle de köprü oluşturmanıza olanak tanır.
AWS uygulaması ve ek bağlam:
GCP kılavuzu: Google Cloud Identity çoklu oturum açma aracılığıyla müşteriye yönelik iş yükü uygulamanıza erişimi yönetmek için Google Cloud Identity'yi kullanın ve yinelenen hesap gereksinimini azaltın. Google Cloud Identity, GCP'ye (Google Cloud CLI, Konsol erişimi dahil yönetim düzleminde), bulut uygulamalarına ve şirket içi uygulamalara kimlik ve erişim yönetimi sağlar.
Google Cloud Identity ayrıca Azure AD veya Active Directory'den kurumsal kullanıcı kimlikleri gibi kurumsal kimlikler için SSO'nun yanı sıra güvenilen üçüncü taraf ve genel kullanıcıların dış kullanıcı kimliklerini de destekler. GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
IM-6: Güçlü kimlik doğrulama denetimleri kullanma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 6.3, 6.4 | AC-2, AC-3, IA-2, IA-5, IA-8 | 7.2, 8.2, 8.3, 8.4 |
Güvenlik ilkesi: Kaynaklara tüm erişim için merkezi kimlik ve kimlik doğrulama yönetim sisteminizle güçlü kimlik doğrulama denetimleri (güçlü parolasız kimlik doğrulaması veya çok faktörlü kimlik doğrulaması) uygulayın. Güvenli olmadığından ve popüler saldırı yöntemlerine ayak uydurmadığından yalnızca parola kimlik bilgilerine dayalı kimlik doğrulaması eski olarak kabul edilir.
Güçlü kimlik doğrulaması dağıtırken, güçlü kimlik doğrulama yönteminin en yüksek düzeyini sağlamak için önce yöneticileri ve ayrıcalıklı kullanıcıları yapılandırın ve ardından uygun güçlü kimlik doğrulama ilkesini tüm kullanıcılara dağıtın.
Not: Eski uygulamalar ve senaryolar için eski parola tabanlı kimlik doğrulaması gerekiyorsa, karmaşıklık gereksinimleri gibi parola güvenliği için en iyi yöntemlerin uygulandığını doğrulayın.
Azure kılavuzu: Azure AD parolasız yöntemler ve çok faktörlü kimlik doğrulaması (MFA) aracılığıyla güçlü kimlik doğrulama denetimlerini destekler.
- Parolasız kimlik doğrulaması: Varsayılan kimlik doğrulama yönteminiz olarak parolasız kimlik doğrulamasını kullanın. Parolasız kimlik doğrulamasında üç seçenek vardır: İş İçin Windows Hello, Microsoft Authenticator uygulaması telefonda oturum açma ve FIDO2 güvenlik anahtarları. Ayrıca, müşteriler akıllı kartlar gibi şirket içi kimlik doğrulama yöntemlerini kullanabilir.
- Çok faktörlü kimlik doğrulaması: Azure MFA tüm kullanıcılara, belirli kullanıcılara veya oturum açma koşullarına ve risk faktörlerine göre kullanıcı başına düzeyinde zorunlu kılınabilir. Azure MFA'yı etkinleştirin ve MFA kurulumunuz için Bulut kimliği ve erişim yönetimi önerileri için Microsoft Defender izleyin.
Eski parola tabanlı kimlik doğrulaması Azure AD kimlik doğrulaması için hala kullanılıyorsa, yalnızca bulut hesaplarının (doğrudan Azure'da oluşturulan kullanıcı hesapları) varsayılan bir temel parola ilkesine sahip olduğunu unutmayın. Karma hesaplar (şirket içi Active Directory gelen kullanıcı hesapları) şirket içi parola ilkelerini izler.
Varsayılan kimliklere ve parolalara sahip olabilecek üçüncü taraf uygulamalar ve hizmetler için, ilk hizmet kurulumu sırasında bunları devre dışı bırakmanız veya değiştirmeniz gerekir.
Azure uygulaması ve ek bağlamı:
- Azure'da çok faktörlü kimlik doğrulamasını etkinleştirme
- Azure Active Directory için parolasız kimlik doğrulaması seçeneklerine giriş
- Azure AD varsayılan parola ilkesi
- Azure AD Parola Koruması kullanarak hatalı parolaları ortadan kaldırma
- Eski kimlik doğrulamasını engelleme
AWS kılavuzu: AWS IAM, çok faktörlü kimlik doğrulaması (MFA) aracılığıyla güçlü kimlik doğrulama denetimlerini destekler. MFA tüm kullanıcılara, belirli kullanıcılara veya tanımlı koşullara göre kullanıcı başına düzeyinde zorunlu kılınabilir.
AWS kimlikleriyle üçüncü taraf bir dizindeki (Windows Active Directory gibi) şirket hesaplarını kullanıyorsanız güçlü kimlik doğrulamasını zorunlu kılmak için ilgili güvenlik kılavuzunu izleyin. AWS erişimini yönetmek için Azure AD kullanıyorsanız bu denetim için Azure Kılavuzu'na bakın.
Not: Varsayılan kimliklere ve parolalara sahip olabilecek üçüncü taraf uygulamalar ve AWS hizmetleri için, ilk hizmet kurulumu sırasında bunları devre dışı bırakmanız veya değiştirmeniz gerekir.
AWS uygulaması ve ek bağlam:
- AWS'de çok faktörlü kimlik doğrulamasını (MFA) kullanma
- IAM tarafından desteklenen MFA form faktörleri
GCP kılavuzu: Google Cloud Identity, çok faktörlü kimlik doğrulaması (MFA) aracılığıyla güçlü kimlik doğrulama denetimlerini destekler. MFA tüm kullanıcılara, belirli kullanıcılara veya tanımlı koşullara göre kullanıcı başına düzeyinde zorunlu kılınabilir. Bulut Kimliği (ve Çalışma Alanı) süper yönetici hesaplarını korumak için, maksimum güvenlik için güvenlik anahtarlarını ve Google Gelişmiş Koruma Programı'nı kullanmayı göz önünde bulundurun.
Google Cloud kimlikleriyle üçüncü taraf bir dizindeki (Windows Active Directory gibi) şirket hesaplarını kullanıyorsanız, güçlü kimlik doğrulamasını zorunlu kılmak için ilgili güvenlik kılavuzunu izleyin. Google Cloud erişimini yönetmek için Azure AD kullanıyorsanız bu denetim için Azure Kılavuzu'na bakın.
Identity-Aware Proxy kullanarak HTTPS tarafından erişilen uygulamalar için merkezi bir yetkilendirme katmanı oluşturun; böylece ağ düzeyinde güvenlik duvarları kullanmak yerine uygulama düzeyinde erişim denetim modeli kullanabilirsiniz.
Not: Varsayılan kimliklere ve parolalara sahip olabilecek üçüncü taraf uygulamalar ve GCP hizmetleri için, ilk hizmet kurulumu sırasında bunları devre dışı bırakmanız veya değiştirmeniz gerekir.
GCP uygulaması ve ek bağlam:
- Şirkete ait kaynaklara tekdüzen MFA uygulama
- Google Gelişmiş Koruma Programı
- Kimlik Kullanan Proxy'ye genel bakış
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
IM-7: Koşullara göre kaynak erişimini kısıtlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 3.3, 6.4, 13.5 | AC-2, AC-3, AC-6 | 7.2 |
Güvenlik ilkesi: Kullanıcıların kaynaklara erişimine izin vermek veya reddetmek için güvenilir sinyalleri, sıfır güven erişim modelinin bir parçası olarak açıkça doğrulayın. Doğrulama sinyalleri kullanıcı hesabının güçlü kimlik doğrulamasını, kullanıcı hesabının davranış analizini, cihaz güvenilirliğini, kullanıcı veya grup üyeliğini, konumları vb. içermelidir.
Azure kılavuzu: MFA kullanmak için belirli IP aralıklarından (veya cihazlardan) kullanıcı oturum açmaları gerektirme gibi kullanıcı tanımlı koşullara göre daha ayrıntılı erişim denetimleri için koşullu erişim Azure AD kullanın. koşullu erişim Azure AD, kuruluşunuzun uygulamalarında belirli koşullara göre erişim denetimlerini zorunlu kılmanıza olanak tanır.
İş yükünde koşullu erişim Azure AD için geçerli koşulları ve ölçütleri tanımlayın. Aşağıdaki yaygın kullanım örneklerini göz önünde bulundurun:
- Yönetim rollerine sahip kullanıcılar için çok faktörlü kimlik doğrulaması gerektirme
- Azure yönetim görevleri için çok faktörlü kimlik doğrulaması gerektirme
- Eski kimlik doğrulama protokollerini kullanmaya çalışan kullanıcılar için oturum açmaları engelleme
- Azure AD Multi-Factor Authentication kaydı için güvenilen konumlar gerektirme
- Belirli konumlardan erişimi engelleme veya verme
- Riskli oturum açma davranışlarını engelleme
- Belirli uygulamalar için kuruluş tarafından yönetilen cihazlar gerektirme
Not: Ayrıntılı kimlik doğrulama oturumu yönetim denetimleri, oturum açma sıklığı ve kalıcı tarayıcı oturumu gibi Azure AD koşullu erişim ilkesi aracılığıyla da uygulanabilir.
Azure uygulaması ve ek bağlamı:
- Azure Koşullu Erişim'e genel bakış
- Sık Kullanılan Koşullu Erişim ilkeleri
- Koşullu Erişim içgörüleri ve raporlama
- Erişim Denetimi ile kimlik doğrulama oturum yönetimini yapılandırma
AWS kılavuzu: IAM ilkesi oluşturun ve çok faktörlü kimlik doğrulaması kullanmak için belirli IP aralıklarından (veya cihazlardan) kullanıcı oturum açmaları gerektirme gibi kullanıcı tanımlı koşullara göre daha ayrıntılı erişim denetimleri için koşulları tanımlayın. Koşul ayarları tek veya birden çok koşulun yanı sıra mantık içerebilir.
İlkeler altı farklı boyuttan tanımlanabilir: kimlik tabanlı ilkeler, kaynak tabanlı ilkeler, izin sınırları, AWS Kuruluşları hizmet denetimi ilkesi (SCP) , Access Control Listeleri (ACL) ve oturum ilkeleri.
AWS uygulaması ve ek bağlam:
GCP kılavuzu: Çok faktörlü kimlik doğrulamasını kullanmak için belirli IP aralıklarından (veya cihazlardan) kullanıcı oturum açmaları gerektirme gibi kullanıcı tanımlı koşullara göre daha ayrıntılı öznitelik tabanlı erişim denetimleri için IAM Koşulları oluşturun ve tanımlayın. Koşul ayarları tek veya birden çok koşulun yanı sıra mantık da içerebilir.
Koşullar, kaynağın izin verme ilkesinin rol bağlamalarında belirtilir. Koşul öznitelikleri, istenen kaynağa (örneğin, türüne veya adına) ya da istekle ilgili ayrıntılara (örneğin, zaman damgasına veya hedef IP adresine) dayanır.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
IM-8: Kimlik bilgilerinin ve gizli dizilerin açığa çıkarmasını kısıtlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 16.9, 16.12 | IA-5 | 3.5, 6.3, 8.2 |
Güvenlik ilkesi: Uygulama geliştiricilerinin kimlik bilgilerini ve gizli dizileri güvenli bir şekilde işlediğini güvence altına alın:
- Kimlik bilgilerini ve gizli dizileri kod ve yapılandırma dosyalarına eklemekten kaçının
- Kimlik bilgilerini ve gizli dizileri depolamak için anahtar kasası veya güvenli bir anahtar deposu hizmeti kullanma
- Kaynak kodundaki kimlik bilgilerini tarayın.
Not: Bu genellikle güvenli bir yazılım geliştirme yaşam döngüsü (SDLC) ve DevOps güvenlik süreci aracılığıyla yönetilir ve uygulanır.
Azure kılavuzu: Yönetilen kimlik kullanmak bir seçenek değildir, gizli dizileri ve kimlik bilgilerini kod ve yapılandırma dosyalarına eklemek yerine Azure Key Vault gibi güvenli konumlarda depolandığından emin olun.
Kod yönetimi platformunuz için Azure DevOps ve GitHub kullanıyorsanız:
- Koddaki kimlik bilgilerini tanımlamak için Azure DevOps Kimlik Bilgisi Tarayıcısı'nı uygulayın.
- GitHub'da yerel gizli dizi tarama özelliğini kullanarak kimlik bilgilerini veya koddaki diğer gizli dizi biçimlerini tanımlayın.
Azure İşlevleri, Azure Apps hizmetleri ve VM'ler gibi istemciler Azure Key Vault güvenli bir şekilde erişmek için yönetilen kimlikleri kullanabilir. Bkz. Gizli dizi yönetimi için Azure Key Vault kullanımıyla ilgili Veri Koruma denetimleri.
Not: Azure Key Vault desteklenen hizmetler için otomatik döndürme sağlar. Otomatik olarak döndürülemeyen gizli diziler için, bunların düzenli aralıklarla el ile döndürüldüğünden ve artık kullanılmadığında temizlendiğinden emin olun.
Azure uygulaması ve ek bağlam:
AWS kılavuzu: Uygulama erişimi için IAM rolü kullanmak bir seçenek değilse gizli dizilerin ve kimlik bilgilerinin kod ve yapılandırma dosyalarına eklemek yerine AWS Secret Manager veya Systems Manager Parametre Deposu gibi güvenli konumlarda depolandığından emin olun.
Kaynak kodunuzda sabit kodlanmış gizli dizileri algılayan statik kod analizi için CodeGuru Gözden Geçiren'i kullanın.
Kod yönetimi platformunuz için Azure DevOps ve GitHub kullanıyorsanız:
- Koddaki kimlik bilgilerini tanımlamak için Azure DevOps Kimlik Bilgisi Tarayıcısı'nı uygulayın.
- GitHub'da kimlik bilgilerini veya koddaki diğer gizli dizi biçimlerini tanımlamak için yerel gizli dizi tarama özelliğini kullanın.
Not: Gizli Dizi Yöneticisi, desteklenen hizmetler için otomatik gizli dizi döndürme sağlar. Otomatik olarak döndürülemeyen gizli diziler için, bunların düzenli aralıklarla el ile döndürüldüğünden ve artık kullanılmadığında temizlendiğinden emin olun.
AWS uygulaması ve ek bağlamı:
- EC2'de AWS IAM rolleri
- AWS Secrets Manager tümleşik hizmetleri
- CodeGuru Gözden Geçiren Gizli Dizileri Algılama
GCP kılavuzu: Uygulama erişimi için Google tarafından yönetilen bir hizmet hesabı kullanmak bir seçenek değildir. Gizli dizileri ve kimlik bilgilerini kod ve yapılandırma dosyalarına eklemek yerine Google Cloud'un Gizli Dizi Yöneticisi gibi güvenli konumlarda depolandığından emin olun.
Gizli Dizi Yöneticisi tarafından yönetilen gizli dizileri kodunuzla tümleştirmek için Visual Studio Code gibi IDE'nin (Tümleşik geliştirme ortamında) Google Cloud Code uzantısını kullanın.
Kod yönetimi platformunuz için Azure DevOps veya GitHub kullanıyorsanız:
- Koddaki kimlik bilgilerini tanımlamak için Azure DevOps Kimlik Bilgisi Tarayıcısı'nı uygulayın.
- GitHub'da kimlik bilgilerini veya koddaki diğer gizli dizi biçimlerini tanımlamak için yerel gizli dizi tarama özelliğini kullanın.
Not: Gizli Dizi Yöneticisi'nde depolanan gizli diziler için döndürme zamanlamalarını en iyi yöntem olarak ayarlayın.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
IM-9: Mevcut uygulamalara kullanıcı erişiminin güvenliğini sağlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 6.7, 12.5 | AC-2, AC-3, SC-11 | Yok |
Güvenlik ilkesi: Eski kimlik doğrulamasını kullanan şirket içi uygulamalarınız veya yerel olmayan bulut uygulamalarınız olan karma bir ortamda, aşağıdaki avantajlar için bu uygulamalara erişimi idare etmek için bulut erişim güvenlik aracısı (CASB), uygulama ara sunucusu, çoklu oturum açma (SSO) gibi çözümleri göz önünde bulundurun:
- Merkezi bir güçlü kimlik doğrulamayı zorunlu kılma
- Riskli son kullanıcı etkinliklerini izleme ve denetleme
- Riskli eski uygulama etkinliklerini izleme ve düzeltme
- Hassas veri iletimini algılama ve önleme
Azure kılavuzu: Eski kimlik doğrulamasını kullanarak şirket içi ve yerel olmayan bulut uygulamalarınızı şu bağlantılara bağlayarak koruyun:
- Azure AD Uygulama Ara Sunucusu ve üst bilgi tabanlı kimlik doğrulamasını, uzak kullanıcılar için uygulamalara çoklu oturum açma (SSO) erişimine izin verecek şekilde yapılandırırken, hem uzak kullanıcıların hem de Azure AD Koşullu Erişime sahip cihazların güvenilirliğini açıkça doğrular. Gerekirse benzer işlevler sunabilen bir üçüncü taraf Software-Defined Çevre (SDP) çözümü kullanın.
- onaylanmamış üçüncü taraf SaaS uygulamalarına kullanıcı erişimini izlemek ve engellemek için bir bulut erişim güvenlik aracısı (CASB) hizmeti sunan Microsoft Defender for Cloud Apps.
- Mevcut üçüncü taraf uygulama teslim denetleyicileriniz ve ağlarınız.
Not: VPN'ler genellikle eski uygulamalara erişmek için kullanılır ve genellikle yalnızca temel erişim denetimine ve sınırlı oturum izlemeye sahiptir.
Azure uygulaması ve ek bağlam:
- Azure AD Uygulama Ara Sunucusu
- Microsoft Bulut Uygulamaları Güvenliği en iyi yöntemleri
- Güvenli karma erişimi Azure AD
AWS kılavuzu: Eski kimlik doğrulamasını kullanarak şirket içi ve yerel olmayan bulut uygulamalarınızı aşağıdakilere bağlayarak korumak için Azure'ın yönergelerini izleyin:
- Azure AD Uygulama Ara Sunucusu ve üst bilgi tabanlı yapılandırarak uzak kullanıcılar için uygulamalara çoklu oturum açma (SSO) erişimi sağlarken, koşullu erişim Azure AD sahip hem uzak kullanıcıların hem de cihazların güvenilirliğini açıkça doğrular. Gerekirse, benzer işlevler sunabilen bir üçüncü taraf Software-Defined Çevre (SDP) çözümü kullanın.
- onaylanmamış üçüncü taraf SaaS uygulamalarına kullanıcı erişimini izlemek ve engellemek için bulut erişim güvenlik aracısı (CASB) hizmeti olarak hizmet veren Microsoft Defender for Cloud Apps.
- Mevcut üçüncü taraf uygulama teslim denetleyicileriniz ve ağlarınız
Not: VPN'ler genellikle eski uygulamalara erişmek için kullanılır ve genellikle yalnızca temel erişim denetimine ve sınırlı oturum izlemeye sahiptir.
AWS uygulaması ve ek bağlamı:
GCP kılavuzu: Şirket içi uygulamalar da dahil olmak üzere Google Cloud dışındaki HTTP tabanlı uygulamalara erişimi yönetmek için Google Cloud Identity-Aware Proxy(IAP) kullanın. IAP, uygulama altyapısı standart ortamında imzalı üst bilgileri veya Kullanıcılar API'sini kullanarak çalışır. Gerekirse benzer işlevler sunabilen üçüncü taraf Software-Defined Çevre (SDP) çözümünü kullanın.
Ayrıca, onaylanmamış üçüncü taraf SaaS uygulamalarına kullanıcı erişimini izlemek ve engellemek için bulut erişim güvenlik aracısı (CASB) hizmeti olarak hizmet veren Microsoft Defender for Cloud Apps kullanma seçeneğiniz de vardır.
Not: VPN'ler genellikle eski uygulamalara erişmek için kullanılır ve genellikle yalnızca temel erişim denetimine ve sınırlı oturum izlemeye sahiptir.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):