Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Privileged Access, yönetici modelinizi, yönetim hesaplarınızı ve ayrıcalıklı erişim iş istasyonlarınızı kasıtlı ve yanlışlıkla risklere karşı korumaya yönelik çeşitli denetimler de dahil olmak üzere kiracınıza ve kaynaklarınıza ayrıcalıklı erişimi korumaya yönelik denetimleri kapsar.
PA-1: Yüksek ayrıcalıklı/yönetici kullanıcıları ayırma ve sınırlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlik(ler) | PCI-DSS kimlikleri v3.2.1 |
|---|---|---|
| 5,4, 6,8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Güvenlik ilkesi: tüm yüksek iş etkisi hesaplarını tanımladığınızdan emin olun. Bulutunuzun denetim düzleminde, yönetim düzleminde ve veri/iş yükü düzleminde ayrıcalıklı/yönetim hesaplarının sayısını sınırlayın.
Azure kılavuzu: Azure tarafından barındırılan kaynaklara doğrudan veya dolaylı yönetim erişimiyle tüm rollerin güvenliğini sağlamalısınız.
Azure Active Directory (Azure AD), Azure'ın varsayılan kimlik ve erişim yönetimi hizmetidir. Azure AD'deki en kritik yerleşik roller Genel Yönetici ve Ayrıcalıklı Rol Yöneticisi'dir, çünkü bu iki role atanan kullanıcılar yönetici rollerini temsil edebilir. Bu ayrıcalıklarla kullanıcılar Azure ortamınızdaki her kaynağı doğrudan veya dolaylı olarak okuyabilir ve değiştirebilir:
- Genel Yönetici / Şirket Yöneticisi: Bu role sahip kullanıcılar Hem Azure AD'deki tüm yönetim özelliklerine hem de Azure AD kimliklerini kullanan hizmetlere erişebilir.
- Ayrıcalıklı Rol Yöneticisi: Bu role sahip kullanıcılar Hem Azure AD'de hem de Azure AD Privileged Identity Management (PIM) içinde rol atamalarını yönetebilir. Buna ek olarak, bu rol PIM ve yönetim birimlerinin tüm yönlerinin yönetilmesine olanak tanır.
Azure AD dışında, Azure'ın kaynak düzeyinde ayrıcalıklı erişim için kritik olabilecek yerleşik rolleri vardır.
- Sahip: Azure RBAC'de rol atama da dahil olmak üzere tüm kaynakları yönetmek için tam erişim verir.
- Katılımcı: Tüm kaynakları yönetmek için tam erişim verir, ancak Azure RBAC'de rol atamanıza, Azure Blueprints'te atamaları yönetmenize veya görüntü galerilerini paylaşmanıza izin vermez.
- Kullanıcı Erişimi Yöneticisi: Azure kaynaklarına kullanıcı erişimini yönetmenize olanak tanır.
Not: Azure AD düzeyinde veya belirli ayrıcalıklı izinlerin atandığı kaynak düzeyinde özel roller kullanıyorsanız idare edilmesi gereken başka kritik rolleriniz olabilir.
Ayrıca Azure Kurumsal Anlaşma (EA) portalında aşağıdaki üç role sahip kullanıcılar da Azure aboneliklerini doğrudan veya dolaylı olarak yönetmek için kullanılabildikleri için kısıtlanmalıdır.
- Hesap Sahibi: Bu role sahip kullanıcılar, aboneliklerin oluşturulması ve silinmesi dahil olmak üzere abonelikleri yönetebilir.
- Kuruluş Yöneticisi: Bu role atanan kullanıcılar (EA) portalı kullanıcılarını yönetebilir.
- Bölüm Yöneticisi: Bu role atanan kullanıcılar, departmandaki hesap sahiplerini değiştirebilir.
Son olarak, Active Directory Etki Alanı Denetleyicileri (DC'ler), güvenlik araçları ve sistem yönetim araçları gibi iş açısından kritik varlıklarınıza yönetici erişimi olan diğer yönetim, kimlik ve güvenlik sistemlerindeki ayrıcalıklı hesapları da iş açısından kritik sistemlerde aracılar yüklü olarak kısıtladığınızdan emin olun. Bu yönetim ve güvenlik sistemlerini tehlikeye atan saldırganlar, iş açısından kritik varlıkları tehlikeye atmak için onları hemen silahlandırabilir.
Azure uygulaması ve ek bağlam:
- Azure AD'de yönetici rolü izinleri
- Azure Privileged Identity Management güvenlik uyarılarını kullanma
- Azure AD'de hibrit ve bulut dağıtımları için ayrıcalıklı erişimin güvenliğini sağlama
AWS kılavuzu: AWS tarafından barındırılan kaynaklara doğrudan veya dolaylı yönetim erişimiyle tüm rollerin güvenliğini sağlamalısınız.
Ayrıcalıklı/yönetici kullanıcıların güvenliğinin sağlanması gerekir:
- Kök kullanıcı: Kök kullanıcı, AWS hesabınızdaki en üst düzey ayrıcalıklı hesaplardır. Kök hesaplar yüksek oranda kısıtlanmış olmalı ve yalnızca acil durumlarda kullanılmalıdır. PA-5'teki acil durum erişim denetimlerine bakın (Acil durum erişimini ayarlama).
- Ayrıcalıklı izin ilkesine sahip IAM kimlikleri (kullanıcılar, gruplar, roller): AdministratorAccess gibi bir izin ilkesiyle atanan IAM kimlikleri AWS hizmetlerine ve kaynaklarına tam erişime sahip olabilir.
AWS için kimlik sağlayıcısı olarak Azure Active Directory (Azure AD) kullanıyorsanız Azure AD'deki ayrıcalıklı rolleri yönetmek için Azure kılavuzuna bakın.
Ayrıca, AWS Cognito, güvenlik araçları ve iş açısından kritik sistemlerde aracıların yüklü olduğu sistem yönetim araçları gibi, iş açısından kritik varlıklarınıza yönetici erişimi olan diğer yönetim, kimlik ve güvenlik sistemlerindeki ayrıcalıklı hesapları kısıtladığınızdan emin olun. Bu yönetim ve güvenlik sistemlerini tehlikeye atan saldırganlar, iş açısından kritik varlıkları tehlikeye atmak için onları hemen silahlandırabilir.
"AWS uygulaması ve ek bağlam için :"
GCP kılavuzu: GCP tarafından barındırılan kaynaklara doğrudan veya dolaylı yönetim erişimiyle tüm rollerin güvenliğini sağlamalısınız.
Google Cloud'daki en kritik yerleşik rol süper yöneticidir. Süper yönetici, Yönetici konsolundaki tüm görevleri gerçekleştirebilir ve geri alınamaz yönetim izinlerine sahiptir. Gündelik yönetim için süper yönetici hesabının kullanılması tavsiye edilmez.
Temel roller son derece izin veren eski rollerdir ve temel rollerin tüm Google Cloud kaynaklarına geniş erişim sunduğundan üretim ortamlarında kullanılmaması önerilir. Temel roller Görüntüleyici, Düzenleyici ve Sahip rollerini içerir. Bunun yerine önceden tanımlanmış veya özel rollerin kullanılması önerilir. Önceden tanımlanmış önemli ayrıcalıklı roller şunlardır:
- Kuruluş Yöneticisi: Bu role sahip kullanıcılar IAM ilkelerini yönetebilir ve kuruluşlar, klasörler ve projeler için kuruluş ilkelerini görüntüleyebilir.
- Kuruluş İlkesi Yöneticisi: Bu role sahip kullanıcılar, Kuruluş İlkeleri'ni ayarlayarak bir kuruluşun bulut kaynaklarının yapılandırmasına hangi kısıtlamaları uygulamak istediğini tanımlayabilir.
- Kuruluş Rolü Yöneticisi: Bu role sahip kullanıcılar kuruluştaki tüm özel rolleri ve altındaki projeleri yönetebilir.
- Güvenlik Yöneticisi: Bu role sahip kullanıcılar herhangi bir IAM ilkesini alabilir ve ayarlayabilir.
- Reddetme Yöneticisi: Bu role sahip kullanıcıların IAM reddetme ilkelerini okuma ve değiştirme izinleri vardır.
Ayrıca, belirli önceden tanımlanmış roller kuruluş, klasör ve proje düzeyinde ayrıcalıklı IAM izinleri içerir. Bu IAM izinleri şunlardır:
- organizasyon yöneticisi
- klasörIAMAdmin
- projeIAMAdmin
Ayrıca, farklı projelerin hesaplarına roller atayarak veya Google Kubernetes Engine ile İkili Yetkilendirme'den yararlanarak görev ayrımını uygulayın.
Son olarak, bulut DNS, güvenlik araçları ve iş açısından kritik sistemlerde aracıların yüklü olduğu sistem yönetim araçları gibi iş açısından kritik varlıklarınıza yönetici erişimi olan diğer yönetim, kimlik ve güvenlik sistemlerindeki ayrıcalıklı hesapları da kısıtladığınızdan emin olun. Bu yönetim ve güvenlik sistemlerini tehlikeye atan saldırganlar, iş açısından kritik varlıkları tehlikeye atmak için onları hemen silahlandırabilir.
GCP uygulaması ve ek bağlam:
- Süper yönetici hesabı en iyi yöntemleri
- IAM temel ve tanımlı roller referansı
- Görev ayrımı ve Kimlik ve Erişim Yönetimi rolleri
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
PA-2: Kullanıcı hesapları ve izinleri için sürekli erişimden kaçının
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlik(ler) | PCI-DSS kimlikleri v3.2.1 |
|---|---|---|
| Mevcut Değil | AC-2 Serisi | Mevcut Değil |
Güvenlik ilkesi: Sürekli ayrıcalıklar oluşturmak yerine, farklı kaynak katmanlarına ayrıcalıklı erişim atamak için tam zamanında (JIT) mekanizmasını kullanın.
Azure kılavuzu: Azure AD Privileged Identity Management (PIM) kullanarak Azure kaynaklarına ve Azure AD'ye tam zamanında (JIT) ayrıcalıklı erişimi etkinleştirin. JIT, kullanıcıların ayrıcalıklı görevleri gerçekleştirmek için geçici izinler aldığı ve izinlerin süresi dolduktan sonra kötü amaçlı veya yetkisiz kullanıcıların erişim kazanmasını engelleyen bir modeldir. Erişim yalnızca kullanıcılar ihtiyaç duyduğunda verilir. PIM, Azure AD kuruluşunuzda şüpheli veya güvenli olmayan etkinlikler olduğunda da güvenlik uyarıları oluşturabilir.
Bulut için Microsoft Defender'ın VM erişimi için tam zamanında (JIT) özelliğiyle hassas sanal makineleriniz (VM) yönetim bağlantı noktalarınıza gelen trafiği kısıtlayın. Bu, vm'ye yalnızca kullanıcılar ihtiyaç duyduğunda ayrıcalıklı erişim verilmesini sağlar.
Azure uygulaması ve ek bağlam:
AWS kılavuzu: AWS API aracılığıyla kaynaklara erişmek için geçici güvenlik kimlik bilgileri oluşturmak için AWS Güvenlik Belirteci Hizmeti'ni (AWS STS) kullanın. Geçici güvenlik kimlik bilgileri, IAM kullanıcılarınızın kullanabileceği uzun süreli erişim anahtarı kimlik bilgileriyle neredeyse aynı şekilde çalışır ve aşağıdaki farklar vardır:
- Geçici güvenlik kimlik bilgilerinin dakikalardan saatlere kadar kısa süreli bir ömrü vardır.
- Geçici güvenlik kimlik bilgileri kullanıcıyla birlikte depolanmaz, ancak dinamik olarak oluşturulur ve istendiğinde kullanıcıya sağlanır.
"AWS uygulaması ve ek bağlam için :"
GCP kılavuzu: Bulut Kimliği kullanıcılarına verilen izin verme ilkelerindeki koşullu rol bağlamalarını kullanarak kaynaklara geçici erişim oluşturmak için IAM koşullu erişimini kullanın. Belirli bir kaynağa erişmek için zaman tabanlı denetimleri zorunlu kılmak için tarih/saat özniteliklerini yapılandırın. Geçici erişim, dakikalardan saatlere kadar kısa süreli bir yaşam süresine sahip olabilir veya haftanın günlerine veya saatlerine göre verilebilir.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
PA-3: Kimliklerin ve yetkilendirmelerin yaşam döngüsünü yönetme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlik(ler) | PCI-DSS kimlikleri v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Güvenlik ilkesi: İstek, gözden geçirme, onay, sağlama ve sağlamayı kaldırma dahil olmak üzere kimlik ve erişim yaşam döngüsünü yönetmek için otomatik bir işlem veya teknik denetim kullanın.
Azure kılavuzu: Erişim isteği iş akışlarını (Azure kaynak grupları için) otomatikleştirmek için Azure AD yetkilendirme yönetimi özelliklerini kullanın. Bu, Azure kaynak gruplarına yönelik iş akışlarının erişim atamalarını, gözden geçirmeleri, süre sonunu ve çift veya çok aşamalı onayları yönetmesini sağlar.
Çok bulutlu altyapılarda kullanıcı ve iş yükü kimliklerine atanan kullanılmayan ve aşırı izinleri algılamak, otomatik olarak doğru boyutlandırmak ve sürekli izlemek için İzin Yönetimi'ni kullanın.
Azure uygulaması ve ek bağlam:
- Azure AD erişim gözden geçirmeleri nelerdir?
- Azure AD yetkilendirme yönetimi nedir?
- İzin Yönetimine Genel Bakış
AWS kılavuzu: Kullanıcı hesaplarının erişim günlüklerini ve kaynaklara yönelik yetkilendirmeleri çekmek için AWS Erişim Danışmanı'nı kullanın. Erişim atamalarını, incelemeleri ve silmeleri yönetmek için AWS IAM ile tümleştirmek için el ile veya otomatik bir iş akışı oluşturun.
Not: AWS Market'te kimliklerin ve yetkilendirmelerin yaşam döngüsünü yönetmeye yönelik üçüncü taraf çözümler mevcuttur.
"AWS uygulaması ve ek bağlam için :"
GCP kılavuzu: Kullanıcı hesaplarının yönetici etkinliğini ve veri erişimi denetim günlüklerini ve kaynaklara yönelik yetkilendirmeleri çekmek için Google'ın Bulut Denetim Günlüklerini kullanın. Erişim atamalarını, gözden geçirmeleri ve silmeleri yönetmek üzere GCP IAM ile tümleştirmek için el ile veya otomatik bir iş akışı oluşturun.
Temel kimlik ve cihaz yönetimi hizmetleri sağlamak için Google Cloud Identity Premium'ı kullanın. Bu hizmetler otomatik kullanıcı sağlama, uygulama izin verilenler listesine ekleme ve otomatik mobil cihaz yönetimi gibi özellikleri içerir.
Not: Google Cloud Market'te kimliklerin ve yetkilendirmelerin yaşam döngüsünü yönetmeye yönelik üçüncü taraf çözümler mevcuttur.
GCP uygulaması ve ek bağlam:
- IAM Erişim Danışmanı
- Bulut Kimliği ve Atlassian Erişimi: Kuruluşunuz genelinde kullanıcı yaşam döngüsü yönetimi
- API'ye erişim verme ve erişimi iptal etme
- Google Cloud projesine erişimi iptal etme
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
PA-4: Kullanıcı erişimini düzenli olarak gözden geçirme ve uzlaştırma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlik(ler) | PCI-DSS kimlikleri v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Güvenlik ilkesi: Ayrıcalıklı hesap yetkilendirmelerini düzenli olarak gözden geçirin. Hesaplara verilen erişimin denetim düzlemi, yönetim düzlemi ve iş yüklerinin yönetimi için geçerli olduğundan emin olun.
Azure kılavuzu: Azure kiracıları, Azure hizmetleri, VM/IaaS, CI/CD işlemleri ve kurumsal yönetim ve güvenlik araçları dahil olmak üzere Azure'daki tüm ayrıcalıklı hesapları ve erişim yetkilendirmelerini gözden geçirin.
Azure AD rollerini, Azure kaynak erişim rollerini, grup üyeliklerini ve kurumsal uygulamalara erişimi gözden geçirmek için Azure AD erişim gözden geçirmelerini kullanın. Azure AD raporlama, eski hesapların veya belirli bir süre kullanılmamış hesapların bulunmasına yardımcı olmak için günlükler de sağlayabilir.
Ayrıca Azure AD Privileged Identity Management, belirli bir rol için çok fazla sayıda yönetici hesabı oluşturulduğunda uyarı vermek ve eski veya yanlış yapılandırılmış yönetici hesaplarını belirlemek için yapılandırılabilir.
Azure uygulaması ve ek bağlam:
- Privileged Identity Management'ta (PIM) Azure kaynak rollerinin erişim gözden geçirmesini oluşturma
- Azure AD kimlik ve erişim gözden geçirmelerini kullanma
AWS kılavuzu: AWS hesapları, hizmetler, VM/IaaS, CI/CD işlemleri ve kurumsal yönetim ve güvenlik araçları dahil olmak üzere AWS'deki tüm ayrıcalıklı hesapları ve erişim yetkilendirmelerini gözden geçirin.
Kaynak erişim rollerini, grup üyeliklerini ve kurumsal uygulamalara erişimi gözden geçirmek için IAM Erişim Danışmanı, Access Analyzer ve Kimlik Bilgileri Raporlarını kullanın. IAM Erişim Çözümleyicisi ve Kimlik Bilgisi Raporları, eski hesapları veya belirli bir süre kullanılmamış hesapları keşfetmeye yardımcı olmak için günlükler sağlayabilir.
AWS için kimlik sağlayıcısı olarak Azure Active Directory (Azure AD) kullanıyorsanız, ayrıcalıklı hesapları gözden geçirmek ve yetkilendirmelere düzenli aralıklarla erişmek için Azure AD erişim gözden geçirmesini kullanın.
"AWS uygulaması ve ek bağlam için :"
GCP kılavuzu: Bulut Kimliği hesapları, hizmetler, VM/IaaS, CI/CD işlemleri ve kurumsal yönetim ve güvenlik araçları dahil olmak üzere Google Cloud'daki tüm ayrıcalıklı hesapları ve erişim yetkilendirmelerini gözden geçirin.
Kaynak erişim rollerini ve grup üyeliklerini gözden geçirmek için Bulut Denetim Günlükleri ve İlke Çözümleyicisi'ni kullanın. Belirli kaynaklara erişebilecek sorumluları belirlemek için İlke Çözümleyicisi'nde analiz sorguları oluşturun.
Google Cloud için kimlik sağlayıcısı olarak Azure Active Directory (Azure AD) kullanıyorsanız ayrıcalıklı hesapları ve erişim yetkilendirmelerini düzenli aralıklarla gözden geçirmek için Azure AD erişim gözden geçirmesini kullanın.
Ayrıca Azure AD Privileged Identity Management, belirli bir rol için çok fazla sayıda yönetici hesabı oluşturulduğunda uyarı vermek ve eski veya yanlış yapılandırılmış yönetici hesaplarını belirlemek için yapılandırılabilir.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
PA-5: Acil durum erişimini ayarlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlik(ler) | PCI-DSS kimlikleri v3.2.1 |
|---|---|---|
| Mevcut Değil | AC-2 Serisi | Mevcut Değil |
Güvenlik ilkesi: Acil bir durumda kritik bulut altyapınızın (kimlik ve erişim yönetimi sistemi gibi) yanlışlıkla kilitlenmediğinden emin olmak için acil durum erişimini ayarlayın.
Acil durum erişim hesapları nadiren kullanılmalı ve gizliliği tehlikeye atılırsa kuruluş için son derece zarar verebilir, ancak bunların kuruluş için kullanılabilirliği, gerektiğinde birkaç senaryo için de kritik öneme sahiptir.
Azure kılavuzu: Azure AD kuruluşunuzun yanlışlıkla kilitlenmesini önlemek için, normal yönetim hesapları kullanılamadığında erişim için bir acil durum erişim hesabı (örneğin, Genel Yönetici rolüne sahip bir hesap) ayarlayın. Acil durum erişim hesapları genellikle yüksek ayrıcalıklıdır ve belirli kişilere atanmamalıdır. Acil durum erişim hesapları, normal yönetim hesaplarının kullanılamadığı acil veya "camı kır" senaryolarıyla sınırlıdır.
Acil durum erişim hesapları için kimlik bilgilerinin (parola, sertifika veya akıllı kart gibi) güvenli tutulduğundan ve yalnızca acil durumlarda kullanma yetkisi olan kişiler tarafından bilindiğinden emin olmanız gerekir. Ayrıca, bu işlemin güvenliğini artırmak için çift denetimler (örneğin, kimlik bilgilerini iki parçaya bölmek ve ayrı kişilere vermek) gibi ek denetimler de kullanabilirsiniz. Ayrıca, acil durum erişim hesaplarının yalnızca yetkilendirildiğinde kullanıldığından emin olmak için oturum açma ve denetim günlüklerini izlemeniz gerekir.
Azure uygulaması ve ek bağlam:
AWS kılavuzu: AWS "kök" hesapları normal yönetim görevleri için kullanılmamalıdır. "Root" hesap yüksek ayrıcalıklara sahip olduğundan, belirli kişilere atanmamalıdır. Normal yönetim hesapları kullanılamadığında kullanım yalnızca acil durum veya "kırılacak" senaryolarla sınırlı olmalıdır. Günlük yönetim görevleri için ayrı ayrıcalıklı kullanıcı hesapları kullanılmalı ve IAM rolleri aracılığıyla uygun izinler atanmalıdır.
Ayrıca, kök hesapların kimlik bilgilerinin (parola, MFA belirteçleri ve erişim anahtarları gibi) güvenli tutulduğundan ve yalnızca acil durumlarda bunları kullanma yetkisi olan kişiler tarafından bilindiğinden emin olmanız gerekir. Kök hesap için MFA etkinleştirilmelidir ve bu işlemin güvenliğini artırmak için çift denetimler (örneğin, kimlik bilgilerini iki parçaya bölme ve ayrı kişilere verme) gibi ek denetimler de kullanabilirsiniz.
Kök erişim hesaplarının yalnızca yetkilendirildiğinde kullanıldığından emin olmak için CloudTrail veya EventBridge'deki oturum açma ve denetim günlüklerini de izlemeniz gerekir.
"AWS uygulaması ve ek bağlam için :"
GCP kılavuzu: Google Cloud Identity süper yönetici hesapları normal yönetim görevleri için kullanılmamalıdır. Süper yönetici hesabı yüksek ayrıcalıklı olduğundan, belirli kişilere atanmamalıdır. Normal yönetim hesapları kullanılamadığında kullanım yalnızca acil durum veya "kırılacak" senaryolarla sınırlı olmalıdır. Günlük yönetim görevleri için ayrı ayrıcalıklı kullanıcı hesapları kullanılmalı ve IAM rolleri aracılığıyla uygun izinler atanmalıdır.
Ayrıca, süper yönetici hesapları için kimlik bilgilerinin (parola, MFA belirteçleri ve erişim anahtarları gibi) güvenli tutulduğundan ve yalnızca acil durumlarda bunları kullanma yetkisi olan kişiler tarafından bilindiğinden emin olmanız gerekir. Süper yönetici hesabı için MFA etkinleştirilmelidir ve bu işlemin güvenliğini artırmak için ikili denetimler (örneğin, kimlik bilgilerini iki parçaya bölme ve ayrı kişilere verme) gibi ek denetimler de kullanabilirsiniz.
Ayrıca, süper yönetici hesaplarının yalnızca yetkilendirildiğinde kullanıldığından emin olmak için Bulut Denetim Günlüklerindeki oturum açma ve denetim günlüklerini izlemeniz veya İlke Çözümleyicisi'ni sorgulamanız gerekir.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
PA-6: Ayrıcalıklı erişim iş istasyonlarını kullanma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlik(ler) | PCI-DSS kimlikleri v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | Mevcut Değil |
Güvenlik ilkesi: Güvenli, yalıtılmış iş istasyonları yönetici, geliştirici ve kritik hizmet operatörü gibi hassas rollerin güvenliği açısından kritik önem taşır.
Azure kılavuzu: Ayrıcalıklı görevler için şirket içinde veya Azure'da ayrıcalıklı erişim iş istasyonları (PAW) dağıtmak için Azure Active Directory, Microsoft Defender ve/veya Microsoft Intune kullanın. PAW güçlü kimlik doğrulaması, yazılım ve donanım temelleri ve kısıtlanmış mantıksal ve ağ erişimi dahil olmak üzere güvenli yapılandırmayı zorunlu kılmak için merkezi olarak yönetilmelidir.
Sanal ağınızda sağlanabilen tam platform tarafından yönetilen bir PaaS hizmeti olan Azure Bastion'ı da kullanabilirsiniz. Azure Bastion, web tarayıcısı kullanarak doğrudan Azure portalından sanal makinelerinize RDP/SSH bağlantısı sağlar.
Azure uygulaması ve ek bağlam:
AWS kılavuzu: AYRıCALıKLı görevler için EC2 örneğine bir erişim yolu (bağlantı oturumu) veya AWS kaynaklarına yönelik bir tarayıcı oturumu oluşturmak için AWS Systems Manager'da Oturum Yöneticisi'ni kullanın. Oturum Yöneticisi, bağlantı noktası iletme yoluyla hedef konaklarınıza RDP, SSH ve HTTPS bağlantısı sağlar.
Ayrıca Azure Active Directory, Microsoft Defender ve/veya Microsoft Intune aracılığıyla merkezi olarak yönetilen ayrıcalıklı erişim iş istasyonları (PAW) dağıtmayı da seçebilirsiniz. Merkezi yönetim güçlü kimlik doğrulaması, yazılım ve donanım temelleri ve kısıtlanmış mantıksal ve ağ erişimi dahil olmak üzere güvenli yapılandırmayı zorunlu kılmalıdır.
"AWS uygulaması ve ek bağlam için :"
GCP kılavuzu: Ayrıcalıklı görevler için hesaplama örneğine bir erişim yolunu (bağlantı oturumu) oluşturmak üzere Identity-Aware Vekil Sunucu (IAP) Masaüstü'nü kullanın. IAP Desktop, bağlantı noktası iletme yoluyla hedef konaklarınıza RDP ve SSH bağlantısı sağlar. Ayrıca, dış kullanıma yönelik Linux işlem örnekleri, Google Cloud konsolu aracılığıyla tarayıcıdaki SSH aracılığıyla bağlanabilir.
Ayrıca, Google Workspace Endpoint Management veya Microsoft çözümleri (Azure Active Directory, Microsoft Defender ve/veya Microsoft Intune) aracılığıyla merkezi olarak yönetilen ayrıcalıklı erişim iş istasyonları (PAW) dağıtmayı da seçebilirsiniz. Merkezi yönetim güçlü kimlik doğrulaması, yazılım ve donanım temelleri ve kısıtlanmış mantıksal ve ağ erişimi dahil olmak üzere güvenli yapılandırmayı zorunlu kılmalıdır.
Tanımlı parametrelerle güvenilir ortamlara güvenli erişim için savunma konakları da oluşturabilirsiniz.
GCP uygulaması ve ek bağlam:
- VM örneklerine güvenli bir şekilde bağlanma
- Identity-Aware Ara Sunucusu kullanarak Linux VM'lerine bağlanma
- Ara sunucu kullanarak VM'lere bağlan
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
PA-7: Yeterli yönetim (en az ayrıcalık) ilkesini izleyin
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlik(ler) | PCI-DSS kimlikleri v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Güvenlik ilkesi: İzinleri ayrıntılı düzeyde yönetmek için yeterli yönetim (en az ayrıcalık) ilkesini izleyin. Rol atamaları aracılığıyla kaynak erişimini yönetmek için rol tabanlı erişim denetimi (RBAC) gibi özellikleri kullanın.
Azure kılavuzu: Rol atamaları aracılığıyla Azure kaynak erişimini yönetmek için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanın. RBAC aracılığıyla kullanıcılara, gruplara, hizmet sorumlularına ve yönetilen kimliklere roller atayabilirsiniz. Belirli kaynaklar için önceden tanımlanmış yerleşik roller vardır ve bu roller Azure CLI, Azure PowerShell ve Azure portalı gibi araçlar aracılığıyla envantere kaydedilebilir veya sorgulanabilir.
Azure RBAC aracılığıyla kaynaklara atadığınız ayrıcalıklar her zaman rollerin gerektirdiğiyle sınırlı olmalıdır. Sınırlı ayrıcalıklar, Azure AD Privileged Identity Management'ın (PIM) tam zamanında (JIT) yaklaşımını tamamlar ve bu ayrıcalıklar düzenli aralıklarla gözden geçirilmelidir. Gerekirse PIM'i, kullanıcının rolü yalnızca belirtilen başlangıç ve bitiş tarihleri içinde etkinleştirebileceği bir rol ataması koşulu olan zamana bağlı bir atama tanımlamak için de kullanabilirsiniz.
Not: İzinleri ayırmak ve yalnızca gerektiğinde özel roller oluşturmak için Azure yerleşik rollerini kullanın.
Azure uygulaması ve ek bağlam:
- Azure rol tabanlı erişim denetimi (Azure RBAC) nedir?
- Azure'da RBAC'yi yapılandırma
- Azure AD kimlik ve erişim gözden geçirmelerini kullanma
- Azure AD Privileged Identity Management - Zamana bağlı atama
AWS kılavuzu: AWS kaynak erişimini yönetmek için AWS ilkesini kullanın. Altı tür ilke vardır: kimlik tabanlı ilkeler, kaynak tabanlı ilkeler, izin sınırları, AWS Kuruluşları hizmet denetimi ilkesi (SCP), Erişim Denetim Listesi ve oturum ilkeleri. Yaygın izin kullanım örnekleri için AWS yönetilen ilkelerini kullanabilirsiniz. Ancak, yönetilen ilkelerin kullanıcılara atanmaması gereken aşırı izinler taşıyabileceğine dikkat etmelisiniz.
IAM varlıkları (kullanıcılar veya roller) ve AWS kaynakları dahil olmak üzere IAM kaynaklarına eklenen özniteliklere (etiketlere) göre izinler atamak için AWS ABAC'yi (öznitelik tabanlı erişim denetimi) de kullanabilirsiniz.
"AWS uygulaması ve ek bağlam için :"
GCP kılavuzu: Rol atamaları aracılığıyla GCP kaynak erişimini yönetmek için Google Cloud IAM İlkesi'ni kullanın. Yaygın izin kullanım örnekleri için Google Cloud'un önceden tanımlanmış rollerini kullanabilirsiniz. Ancak, önceden tanımlanmış rollerin kullanıcılara atanmaması gereken aşırı izinler taşıyabileceğine dikkat etmelisiniz.
Ayrıca, hesaplardan aşırı izinleri belirlemek ve kaldırmak için IAM Önericisi ile Politika Zekası'nı kullanın.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
- Uygulama güvenliği ve DevSecOps
- Güvenlik Uyumluluğu Yönetimi
- Duruş yönetimi
- Kimlik ve anahtar yönetimi
PA-8 Bulut sağlayıcısı desteği için erişim sürecini belirleme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlik(ler) | PCI-DSS kimlikleri v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | Mevcut Değil |
Güvenlik ilkesi: Satıcı destek isteklerini istemek ve onaylamak ve verilerinize güvenli bir kanal üzerinden geçici erişim sağlamak için bir onay süreci ve erişim yolu oluşturun.
Azure kılavuzu: Microsoft'un verilerinize erişmesi gereken senaryoları desteklerken, Microsoft tarafından yapılan her veri erişimi isteğini gözden geçirmek ve onaylamak veya reddetmek için Müşteri Kasası'nu kullanın.
Azure uygulaması ve ek bağlam:
AWS kılavuzu: AWS destek ekiplerinin verilerinize erişmesi gereken destek senaryolarında, destek istemek için AWS Destek portalında bir hesap oluşturun. Salt okunur veri erişimi sağlama gibi mevcut seçenekleri veya AWS desteğinin verilerinize erişmesi için ekran paylaşımı seçeneğini gözden geçirin.
"AWS uygulaması ve ek bağlam için :"
GCP kılavuzu: Google Cloud Customer Care'in verilerinize erişmesi gereken senaryolarda, Bulut Müşteri Hizmetleri tarafından yapılan her veri erişimi isteğini gözden geçirmek ve onaylamak veya reddetmek için Erişim Onayı'na tıklayın.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):