Güvenlik Denetimi: Ayrıcalıklı erişim
Privileged Access, yönetici modelinizi, yönetim hesaplarınızı ve ayrıcalıklı erişim iş istasyonlarınızı kasıtlı ve yanlışlıkla risklere karşı korumaya yönelik çeşitli denetimler de dahil olmak üzere kiracınıza ve kaynaklarınıza ayrıcalıklı erişimi korumaya yönelik denetimleri kapsar.
PA-1: Yüksek ayrıcalıklı/yönetici kullanıcıları ayırın ve sınırlayın
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Güvenlik ilkesi: tüm yüksek iş etkisi hesaplarını tanımladığınızdan emin olun. Bulutunuzun denetim düzleminde, yönetim düzleminde ve veri/iş yükü düzleminde ayrıcalıklı/yönetim hesaplarının sayısını sınırlayın.
Azure kılavuzu: Azure tarafından barındırılan kaynaklara doğrudan veya dolaylı yönetim erişimiyle tüm rollerin güvenliğini sağlamanız gerekir.
Azure Active Directory (Azure AD), Azure'ın varsayılan kimlik ve erişim yönetimi hizmetidir. Azure AD'deki en kritik yerleşik roller Genel Yönetici ve Ayrıcalıklı Rol Yöneticisi'dir, çünkü bu iki role atanan kullanıcılar yönetici rollerini temsilci olarak atayabilir. Bu ayrıcalıklarla, kullanıcılar Azure ortamınızdaki her kaynağı doğrudan veya dolaylı olarak okuyabilir ve değiştirebilir:
- Genel Yönetici / Şirket Yöneticisi: Bu role sahip kullanıcılar, Azure AD'daki tüm yönetim özelliklerine ve Azure AD kimlikleri kullanan hizmetlere erişebilir.
- Ayrıcalıklı Rol Yöneticisi: Bu role sahip kullanıcılar rol atamalarını hem Azure AD hem de Azure AD Privileged Identity Management (PIM) içinde yönetebilir. Buna ek olarak, bu rol PIM ve yönetim birimlerinin tüm yönlerinin yönetilmesine olanak tanır.
azure, Azure AD dışında kaynak düzeyinde ayrıcalıklı erişim için kritik olabilecek yerleşik rollere sahiptir.
- Sahip: Azure RBAC'de rol atama özelliği de dahil olmak üzere tüm kaynakları yönetmek için tam erişim verir.
- Katkıda Bulunan: Tüm kaynakları yönetmek için tam erişim verir, ancak Azure RBAC'de rol atamanıza, Azure Blueprints'te atamaları yönetmenize veya görüntü galerilerini paylaşmanıza izin vermez.
- Kullanıcı Erişimi Yöneticisi: Azure kaynaklarına kullanıcı erişimini yönetmenize olanak tanır.
Not: Azure AD düzeyinde veya kaynak düzeyinde belirli ayrıcalıklı izinler atanmış özel roller kullanıyorsanız idare edilmesi gereken başka kritik rolleriniz olabilir.
Ayrıca, Azure Kurumsal Anlaşma (EA) portalında aşağıdaki üç role sahip kullanıcılar, Azure aboneliklerini doğrudan veya dolaylı olarak yönetmek için kullanılabildiklerinden kısıtlanmalıdır.
- Hesap Sahibi: Bu role sahip kullanıcılar, aboneliklerin oluşturulması ve silinmesi dahil olmak üzere abonelikleri yönetebilir.
- Kuruluş Yöneticisi: Bu role atanan kullanıcılar (EA) portalı kullanıcılarını yönetebilir.
- Bölüm Yöneticisi: Bu role atanan kullanıcılar, departmandaki hesap sahiplerini değiştirebilir.
Son olarak, Active Directory Etki Alanı Denetleyicileri (DC'ler), güvenlik araçları ve sistem yönetim araçları gibi iş açısından kritik varlıklarınıza yönetici erişimi olan diğer yönetim, kimlik ve güvenlik sistemlerindeki ayrıcalıklı hesapları da iş açısından kritik sistemlerde yüklü aracılarla kısıtladığınızdan emin olun. Bu yönetim ve güvenlik sistemlerini tehlikeye atan saldırganlar, iş açısından kritik varlıkları tehlikeye atmak için onları hemen silahlandırabilir.
Azure uygulaması ve ek bağlamı:
- Azure AD'de yönetici rolü izinleri
- Azure Privileged Identity Management güvenlik uyarılarını kullanma
- Azure AD'de karma ve bulut dağıtımları için ayrıcalıklı erişim güvenliğini sağlama
AWS kılavuzu: AWS tarafından barındırılan kaynaklara doğrudan veya dolaylı yönetim erişimiyle tüm rollerin güvenliğini sağlamanız gerekir.
Ayrıcalıklı/yönetici kullanıcıların güvenliğinin sağlanması gerekir:
- Kök kullanıcı: Kök kullanıcı, AWS hesabınızdaki en üst düzey ayrıcalıklı hesaplardır. Kök hesaplar yüksek oranda kısıtlanmalı ve yalnızca acil durumlarda kullanılmalıdır. PA-5'teki acil durum erişim denetimlerine bakın (Acil durum erişimini ayarlama).
- Ayrıcalıklı izin ilkesine sahip IAM kimlikleri (kullanıcılar, gruplar, roller): AdministratorAccess gibi bir izin ilkesiyle atanan IAM kimlikleri AWS hizmetlerine ve kaynaklarına tam erişim sağlayabilir.
AWS için kimlik sağlayıcısı olarak Azure Active Directory (Azure AD) kullanıyorsanız, Azure AD'da ayrıcalıklı rolleri yönetmek için Azure kılavuzuna bakın.
Ayrıca AWS Cognito, güvenlik araçları ve sistem yönetim araçları gibi iş açısından kritik varlıklarınıza yönetici erişimi olan diğer yönetim, kimlik ve güvenlik sistemlerindeki ayrıcalıklı hesapları da iş açısından kritik sistemlere yüklenmiş aracılarla kısıtladığınızdan emin olun. Bu yönetim ve güvenlik sistemlerini tehlikeye atan saldırganlar, iş açısından kritik varlıkları tehlikeye atmak için onları hemen silahlandırabilir.
AWS uygulaması ve ek bağlam:
GCP kılavuzu: GCP tarafından barındırılan kaynaklara doğrudan veya dolaylı yönetim erişimiyle tüm rollerin güvenliğini sağlamanız gerekir.
Google Cloud'daki en kritik yerleşik rol, süper yöneticidir. Süper yönetici Yönetici konsolundaki tüm görevleri gerçekleştirebilir ve geri alınamaz yönetim izinlerine sahiptir. Günlük yönetim için süper yönetici hesabının kullanılması önerilir.
Temel roller yüksek oranda izin veren eski rollerdir ve temel rollerin tüm Google Cloud kaynaklarına geniş erişim sunduğundan üretim ortamlarında kullanılmaması önerilir. Temel roller Görüntüleyici, Düzenleyici ve Sahip rollerini içerir. Bunun yerine önceden tanımlanmış veya özel rollerin kullanılması önerilir. Önemli ayrıcalıklı önceden tanımlanmış roller şunlardır:
- Kuruluş Yöneticisi: Bu role sahip kullanıcılar IAM ilkelerini yönetebilir ve kuruluşlar, klasörler ve projeler için kuruluş ilkelerini görüntüleyebilir.
- Kuruluş İlkesi Yöneticisi: Bu role sahip kullanıcılar, Kuruluş İlkeleri'ni ayarlayarak bir kuruluşun bulut kaynaklarının yapılandırmasına hangi kısıtlamaları uygulamak istediğini tanımlayabilir.
- Kuruluş Rolü Yöneticisi: Bu role sahip kullanıcılar kuruluştaki tüm özel rolleri ve altındaki projeleri yönetebilir.
- Güvenlik Yönetici: Bu role sahip kullanıcılar herhangi bir IAM ilkesini alabilir ve ayarlayabilir.
- Yönetici reddet: Bu role sahip kullanıcıların IAM reddetme ilkelerini okuma ve değiştirme izinleri vardır.
Ayrıca, belirli önceden tanımlanmış roller kuruluş, klasör ve proje düzeyinde ayrıcalıklı IAM izinleri içerir. Bu IAM izinleri şunlardır:
- organizationAdmin
- folderIAMAdmin
- projectIAMAdmin
Ayrıca, farklı projelerin hesaplarına roller atayarak veya Google Kubernetes Engine ile İkili Yetkilendirme'den yararlanarak görev ayrımı uygulayın.
Son olarak, bulut DNS, güvenlik araçları ve iş açısından kritik sistemlerde aracıların yüklü olduğu sistem yönetim araçları gibi iş açısından kritik varlıklarınıza yönetici erişimi olan diğer yönetim, kimlik ve güvenlik sistemlerindeki ayrıcalıklı hesapları da kısıtladığınızdan emin olun. Bu yönetim ve güvenlik sistemlerini tehlikeye atan saldırganlar, iş açısından kritik varlıkları tehlikeye atmak için onları hemen silahlandırabilir.
GCP uygulaması ve ek bağlam:
- Süper yönetici hesabı en iyi yöntemleri
- IAM temel ve önceden tanımlanmış roller başvurusu
- Görev ayrımı ve Kimlik ve Erişim Yönetimi rolleri
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
PA-2: Kullanıcı hesapları ve izinleri için ayakta erişimden kaçının
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| Yok | AC-2 | Yok |
Güvenlik ilkesi: Ayakta ayrıcalıklar oluşturmak yerine, farklı kaynak katmanlarına ayrıcalıklı erişim atamak için tam zamanında (JIT) mekanizmasını kullanın.
Azure kılavuzu: Azure AD Privileged Identity Management (PIM) kullanarak Azure kaynaklarına ve Azure AD tam zamanında (JIT) ayrıcalıklı erişimi etkinleştirin. JIT, kullanıcıların ayrıcalıklı görevleri gerçekleştirmek için geçici izinler aldığı ve izinlerin süresi dolduktan sonra kötü amaçlı veya yetkisiz kullanıcıların erişim kazanmasını engelleyen bir modeldir. Erişim yalnızca kullanıcılar ihtiyaç duyduğunda verilir. Azure AD kuruluşunuzda güvenli olmayan veya şüpheli etkinlikler olduğunda da PIM güvenlik uyarıları oluşturabilir.
Bulut'un VM erişimi için tam zamanında (JIT) özelliğine yönelik Microsoft Defender ile hassas sanal makinelerinize (VM) yönetim bağlantı noktalarınıza gelen trafiği kısıtlayın. Bu, VM'ye ayrıcalıklı erişimin yalnızca kullanıcılar ihtiyaç duyduğunda verilmesini sağlar.
Azure uygulaması ve ek bağlamı:
AWS kılavuzu: AWS API aracılığıyla kaynaklara erişmek üzere geçici güvenlik kimlik bilgileri oluşturmak için AWS Güvenlik Belirteci Hizmeti'ni (AWS STS) kullanın. Geçici güvenlik kimlik bilgileri, IAM kullanıcılarınızın kullanabileceği uzun süreli erişim anahtarı kimlik bilgileriyle neredeyse aynı şekilde çalışır ve aşağıdaki farklar vardır:
- Geçici güvenlik kimlik bilgilerinin dakikalar ile saatler arası kısa süreli bir ömrü vardır.
- Geçici güvenlik kimlik bilgileri kullanıcıyla birlikte depolanmaz, ancak dinamik olarak oluşturulur ve istendiğinde kullanıcıya sağlanır.
AWS uygulaması ve ek bağlam:
GCP kılavuzu: Bulut Kimliği kullanıcılarına verilen izin verme ilkelerindeki koşullu rol bağlamalarını kullanarak kaynaklara geçici erişim oluşturmak için IAM koşullu erişimini kullanın. Belirli bir kaynağa erişmek için zamana dayalı denetimleri zorunlu kılmak için tarih/saat özniteliklerini yapılandırın. Geçici erişim, dakikalar arası kısa süreli bir yaşam süresine sahip olabilir veya haftanın günlerine veya saatlerine göre verilebilir.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
PA-3: Kimliklerin ve yetkilendirmelerin yaşam döngüsünü yönetme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Güvenlik ilkesi: İstek, gözden geçirme, onay, sağlama ve sağlamayı kaldırma dahil olmak üzere kimlik ve erişim yaşam döngüsünü yönetmek için otomatik bir işlem veya teknik denetim kullanın.
Azure kılavuzu: Erişim isteği iş akışlarını (Azure kaynak grupları için) otomatikleştirmek için Azure AD yetkilendirme yönetimi özelliklerini kullanın. Bu, Azure kaynak gruplarına yönelik iş akışlarının erişim atamalarını, incelemelerini, süre sonunu ve çift veya çok aşamalı onayını yönetmesini sağlar.
Çok bulutlu altyapılarda kullanıcı ve iş yükü kimliklerine atanmış kullanılmayan ve aşırı izinleri algılamak, otomatik olarak doğru boyutlandırmak ve sürekli izlemek için İzin Yönetimi'ni kullanın.
Azure uygulaması ve ek bağlam:
- Azure AD erişim gözden geçirmeleri nedir?
- Azure AD yetkilendirme yönetimi nedir?
- İzin Yönetimine Genel Bakış
AWS kılavuzu: Kullanıcı hesaplarının erişim günlüklerini ve kaynaklara yönelik yetkilendirmeleri çekmek için AWS Erişim Danışmanı'nı kullanın. Erişim atamalarını, incelemeleri ve silmeleri yönetmek için AWS IAM ile tümleştirmek için el ile veya otomatik bir iş akışı oluşturun.
Not: AWS Market'te kimliklerin ve yetkilendirmelerin yaşam döngüsünü yönetmeye yönelik üçüncü taraf çözümleri vardır.
AWS uygulaması ve ek bağlamı:
GCP kılavuzu: Kullanıcı hesaplarının yönetici etkinliğini ve veri erişim denetim günlüklerini ve kaynaklara yönelik yetkilendirmeleri çekmek için Google'ın Bulut Denetim Günlüklerini kullanın. Erişim atamalarını, incelemeleri ve silmeleri yönetmek üzere GCP IAM ile tümleştirmek için el ile veya otomatik bir iş akışı oluşturun.
Temel kimlik ve cihaz yönetimi hizmetleri sağlamak için Google Cloud Identity Premium'ı kullanın. Bu hizmetler otomatik kullanıcı sağlama, uygulama beyaz listeye ekleme ve otomatik mobil cihaz yönetimi gibi özellikleri içerir.
Not: Google Cloud Marketplace'de kimliklerin ve yetkilendirmelerin yaşam döngüsünü yönetmeye yönelik üçüncü taraf çözümleri vardır.
GCP uygulaması ve ek bağlam:
- IAM Erişim Danışmanı
- Bulut Kimliği ve Atlassian Erişimi: Kuruluşunuz genelinde kullanıcı yaşam döngüsü yönetimi
- API'ye erişim verme ve erişimi iptal etme
- Google Cloud projesine erişimi iptal etme
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
PA-4: Kullanıcı erişimini düzenli olarak gözden geçirme ve uzlaştırma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Güvenlik ilkesi: Ayrıcalıklı hesap yetkilendirmelerini düzenli olarak gözden geçirin. Hesaplara verilen erişimin denetim düzlemi, yönetim düzlemi ve iş yüklerinin yönetimi için geçerli olduğundan emin olun.
Azure kılavuzu: Azure kiracıları, Azure hizmetleri, VM/IaaS, CI/CD işlemleri ve kurumsal yönetim ve güvenlik araçları dahil olmak üzere Azure'daki tüm ayrıcalıklı hesapları ve erişim yetkilendirmelerini gözden geçirin.
Azure AD rolleri, Azure kaynak erişim rollerini, grup üyeliklerini ve kurumsal uygulamalara erişimi gözden geçirmek için Azure AD erişim gözden geçirmelerini kullanın. Azure AD raporlama, eski hesapların veya belirli bir süre kullanılmamış hesapların bulunmasına yardımcı olmak için günlükler de sağlayabilir.
Ayrıca, Azure AD Privileged Identity Management belirli bir rol için çok fazla sayıda yönetici hesabı oluşturulduğunda uyarı vermek ve eski veya yanlış yapılandırılmış yönetici hesaplarını belirlemek için yapılandırılabilir.
Azure uygulaması ve ek bağlam:
- Privileged Identity Management'de (PIM) Azure kaynak rollerinin erişim gözden geçirmesini oluşturma
- Azure AD kimlik ve erişim gözden geçirmelerini kullanma
AWS kılavuzu: AWS hesapları, hizmetler, VM/IaaS, CI/CD işlemleri ve kurumsal yönetim ve güvenlik araçları dahil olmak üzere AWS'deki tüm ayrıcalıklı hesapları ve erişim yetkilendirmelerini gözden geçirin.
Kaynak erişim rollerini, grup üyeliklerini ve kurumsal uygulamalara erişimi gözden geçirmek için IAM Erişim Danışmanı, Erişim Çözümleyicisi ve Kimlik Bilgileri Raporlarını kullanın. IAM Access Analyzer ve Kimlik Bilgileri Raporları raporlaması, eski hesapların veya belirli bir süre kullanılmamış hesapların bulunmasına yardımcı olmak için günlükler de sağlayabilir.
AWS için kimlik sağlayıcısı olarak Azure Active Directory (Azure AD) kullanıyorsanız ayrıcalıklı hesapları ve erişim yetkilendirmelerini düzenli aralıklarla gözden geçirmek için Azure AD erişim gözden geçirmesini kullanın.
AWS uygulaması ve ek bağlamı:
GCP kılavuzu: Bulut Kimliği hesapları, hizmetler, VM/IaaS, CI/CD işlemleri ve kurumsal yönetim ve güvenlik araçları dahil olmak üzere Google Cloud'daki tüm ayrıcalıklı hesapları ve erişim yetkilendirmelerini gözden geçirin.
Kaynak erişim rollerini ve grup üyeliklerini gözden geçirmek için Bulut Denetim Günlükleri ve İlke Çözümleyicisi'ni kullanın. Belirli kaynaklara hangi sorumluların erişebileceğini anlamak için İlke Çözümleyicisi'nde analiz sorguları oluşturun.
Google Cloud için kimlik sağlayıcısı olarak Azure Active Directory (Azure AD) kullanıyorsanız ayrıcalıklı hesapları ve erişim yetkilendirmelerini düzenli aralıklarla gözden geçirmek için Azure AD erişim gözden geçirmesini kullanın.
Ayrıca, Azure AD Privileged Identity Management belirli bir rol için çok fazla sayıda yönetici hesabı oluşturulduğunda uyarı vermek ve eski veya yanlış yapılandırılmış yönetici hesaplarını belirlemek için yapılandırılabilir.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
PA-5: Acil durum erişimini ayarlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| Yok | AC-2 | Yok |
Güvenlik ilkesi: Acil durumda kritik bulut altyapınızın (kimliğiniz ve erişim yönetimi sisteminiz gibi) yanlışlıkla kilitlenmediğinden emin olmak için acil durum erişimini ayarlayın.
Acil durum erişim hesapları nadiren kullanılmalı ve güvenliği aşılırsa kuruluşa oldukça zarar verebilir, ancak gerekli olduğu birkaç senaryo için kuruluşta kullanılabilirliği de kritik öneme sahiptir.
Azure kılavuzu: Azure AD kuruluşunuzun yanlışlıkla kilitlenmesini önlemek için, normal yönetim hesapları kullanılamadığında erişim için bir acil durum erişim hesabı (örneğin, Genel Yönetici rolüne sahip bir hesap) ayarlayın. Acil durum erişim hesapları genellikle yüksek ayrıcalığa sahiptir ve herhangi bir kişiye atanmamalıdır. Acil durum erişim hesapları, normal yönetim hesaplarının kullanılamadığı acil durum veya "kırılacak" senaryolarla sınırlıdır.
Acil durum erişim hesaplarının kimlik bilgilerinin (parola, sertifika veya akıllı kart) güvenli bir şekilde saklandığından ve yalnızca acil bir durumda bunları kullanma yetkisine sahip olan kullanıcılar tarafından bilindiğinden emin olmanız gerekir. Bu işlemin güvenliğini artırmak için ek denetimler de kullanabilirsiniz( örneğin, kimlik bilgilerini iki parçaya bölmek ve ayrı kişilere vermek). Ayrıca, acil durum erişim hesaplarının yalnızca yetkilendirildiğinde kullanıldığından emin olmak için oturum açma ve denetim günlüklerini izlemeniz gerekir.
Azure uygulaması ve ek bağlam:
AWS kılavuzu: AWS "kök" hesapları normal yönetim görevleri için kullanılmamalıdır. "Kök" hesap yüksek ayrıcalıklı olduğundan, belirli kişilere atanmamalıdır. Normal yönetim hesapları kullanılamadığında yalnızca acil durum veya "kırılacak" senaryolarla sınırlı olmalıdır. Günlük yönetim görevleri için ayrı ayrıcalıklı kullanıcı hesapları kullanılmalı ve IAM rolleri aracılığıyla uygun izinler atanmalıdır.
Ayrıca kök hesapların kimlik bilgilerinin (parola, MFA belirteçleri ve erişim anahtarları gibi) yalnızca acil durumlarda kullanma yetkisi olan kişiler tarafından güvenli tutulduğundan ve bilindiğinden emin olmanız gerekir. Kök hesap için MFA etkinleştirilmelidir ve bu işlemin güvenliğini artırmak için çift denetimler (örneğin, kimlik bilgilerini iki parçaya bölme ve ayrı kişilere verme) gibi ek denetimler de kullanabilirsiniz.
Kök erişim hesaplarının yalnızca yetkilendirildiğinde kullanıldığından emin olmak için CloudTrail veya EventBridge'de oturum açma ve denetim günlüklerini de izlemeniz gerekir.
AWS uygulaması ve ek bağlam:
GCP kılavuzu: Google Cloud Identity süper yönetici hesapları normal yönetim görevleri için kullanılmamalıdır. Süper yönetici hesabı yüksek ayrıcalıklı olduğundan, belirli kişilere atanmamalıdır. Normal yönetim hesapları kullanılamadığında yalnızca acil durum veya "kırılacak" senaryolarla sınırlı olmalıdır. Günlük yönetim görevleri için ayrı ayrıcalıklı kullanıcı hesapları kullanılmalı ve IAM rolleri aracılığıyla uygun izinler atanmalıdır.
Ayrıca süper yönetici hesapları için kimlik bilgilerinin (parola, MFA belirteçleri ve erişim anahtarları gibi) güvenli tutulduğundan ve yalnızca acil durumlarda bunları kullanma yetkisi olan kişiler tarafından bilindiğinden emin olmanız gerekir. Süper yönetici hesabı için MFA etkinleştirilmelidir ve bu işlemin güvenliğini artırmak için çift denetimler (örneğin, kimlik bilgilerini iki parçaya bölme ve ayrı kişilere verme) gibi ek denetimler de kullanabilirsiniz.
Ayrıca, süper yönetici hesaplarının yalnızca yetkilendirildiğinde kullanıldığından emin olmak için Bulut Denetim Günlüklerindeki oturum açma ve denetim günlüklerini izlemeniz veya İlke Çözümleyicisi'ni sorgulamanız gerekir.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
PA-6: Ayrıcalıklı erişim iş istasyonlarını kullanın
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | Yok |
Güvenlik ilkesi: Güvenli, yalıtılmış iş istasyonları yönetici, geliştirici ve kritik hizmet operatörü gibi hassas rollerin güvenliği için kritik öneme sahiptir.
Azure kılavuzu: Ayrıcalıklı görevler için şirket içinde veya Azure'da ayrıcalıklı erişim iş istasyonları (PAW) dağıtmak için Azure Active Directory, Microsoft Defender ve/veya Microsoft Intune kullanın. PAW, güçlü kimlik doğrulaması, yazılım ve donanım temelleri ve kısıtlı mantıksal ve ağ erişimi dahil olmak üzere güvenli yapılandırmayı zorunlu kılmak için merkezi olarak yönetilmelidir.
Sanal ağınızda sağlanabilen tam platform tarafından yönetilen bir PaaS hizmeti olan Azure Bastion'ı da kullanabilirsiniz. Azure Bastion, web tarayıcısı kullanarak sanal makinelerinize doğrudan Azure portal RDP/SSH bağlantısı sağlar.
Azure uygulaması ve ek bağlamı:
AWS kılavuzu: AYRıCALıKLı görevler için EC2 örneğine bir erişim yolu (bağlantı oturumu) veya AWS kaynaklarına yönelik bir tarayıcı oturumu oluşturmak için AWS Systems Manager'da Oturum Yöneticisi'ni kullanın. Oturum Yöneticisi, bağlantı noktası iletme yoluyla hedef konaklarınıza RDP, SSH ve HTTPS bağlantısı sağlar.
Ayrıca Azure Active Directory, Microsoft Defender ve/veya Microsoft Intune aracılığıyla merkezi olarak yönetilen ayrıcalıklı erişim iş istasyonları (PAW) dağıtmayı da seçebilirsiniz. Merkezi yönetim güçlü kimlik doğrulaması, yazılım ve donanım temelleri ve kısıtlı mantıksal ve ağ erişimi dahil olmak üzere güvenli yapılandırmayı zorunlu kılmalıdır.
AWS uygulaması ve ek bağlam:
GCP kılavuzu: Ayrıcalıklı görevler için işlem örneğine erişim yolu (bağlantı oturumu) oluşturmak için Identity-Aware Proxy (IAP) Desktop kullanın. IAP Desktop, bağlantı noktası iletme aracılığıyla hedef konaklarınıza RDP ve SSH bağlantısı sağlar. Ayrıca, dış kullanıma yönelik Linux işlem örnekleri, Google Cloud konsolu aracılığıyla tarayıcıdaki SSH aracılığıyla bağlanabilir.
Ayrıca, Google Workspace Endpoint Management veya Microsoft çözümleri (Azure Active Directory, Microsoft Defender ve/veya Microsoft Intune) aracılığıyla merkezi olarak yönetilen ayrıcalıklı erişim iş istasyonları (PAW) dağıtmayı da seçebilirsiniz. Merkezi yönetim güçlü kimlik doğrulaması, yazılım ve donanım temelleri ve kısıtlı mantıksal ve ağ erişimi dahil olmak üzere güvenli yapılandırmayı zorunlu kılmalıdır.
Ayrıca tanımlı parametrelerle güvenilir ortamlara güvenli erişim için savunma konakları oluşturabilirsiniz.
GCP uygulaması ve ek bağlam:
- VM örneklerine güvenli bir şekilde bağlanma
- Identity-Aware Proxy kullanarak Linux VM'lerine bağlanma
- Savunma konağı kullanarak VM'lere bağlanma
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
PA-7: Yeterli yönetim (en az ayrıcalık) ilkesini izleyin
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Güvenlik ilkesi: İzinleri ayrıntılı düzeyde yönetmek için yeterli yönetim (en az ayrıcalık) ilkesini izleyin. Rol atamaları aracılığıyla kaynak erişimini yönetmek için rol tabanlı erişim denetimi (RBAC) gibi özellikleri kullanın.
Azure kılavuzu: Rol atamaları aracılığıyla Azure kaynak erişimini yönetmek için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanın. RBAC aracılığıyla kullanıcılara, gruplara, hizmet sorumlularına ve yönetilen kimliklere roller atayabilirsiniz. Belirli kaynaklar için önceden tanımlanmış yerleşik roller vardır ve bu roller Azure CLI, Azure PowerShell ve Azure portal gibi araçlar aracılığıyla envantere kaydedilebilir veya sorgulanabilir.
Azure RBAC aracılığıyla kaynaklara atadığınız ayrıcalıklar her zaman rollerin gerektirdiğiyle sınırlı olmalıdır. Sınırlı ayrıcalıklar, Azure AD Privileged Identity Management (PIM) tam zamanında (JIT) yaklaşımını tamamlar ve bu ayrıcalıklar düzenli aralıklarla gözden geçirilmelidir. Gerekirse, kullanıcının rolü yalnızca belirtilen başlangıç ve bitiş tarihleri içinde etkinleştirebileceği rol atamasında bir koşul olan zamana bağlı atamayı tanımlamak için de PIM'i kullanabilirsiniz.
Not: İzinleri ayırmak ve yalnızca gerektiğinde özel roller oluşturmak için Azure yerleşik rollerini kullanın.
Azure uygulaması ve ek bağlamı:
- Azure rol tabanlı erişim denetimi (Azure RBAC) nedir?
- Azure’da RBAC’yi yapılandırma
- Azure AD kimlik ve erişim gözden geçirmelerini kullanma
- Azure AD Privileged Identity Management - Zamana bağlı atama
AWS kılavuzu: AWS kaynak erişimini yönetmek için AWS ilkesini kullanın. Altı tür ilke vardır: kimlik tabanlı ilkeler, kaynak tabanlı ilkeler, izin sınırları, AWS Kuruluşları hizmet denetimi ilkesi (SCP), Access Control Listesi ve oturum ilkeleri. Yaygın izin kullanım örnekleri için AWS yönetilen ilkelerini kullanabilirsiniz. Ancak, yönetilen ilkelerin kullanıcılara atanmaması gereken aşırı izinler taşıyabileceğine dikkat etmelisiniz.
IAM varlıkları (kullanıcılar veya roller) ve AWS kaynakları dahil olmak üzere IAM kaynaklarına eklenen özniteliklere (etiketlere) göre izin atamak için AWS ABAC'yi (öznitelik tabanlı erişim denetimi) de kullanabilirsiniz.
AWS uygulaması ve ek bağlam:
GCP kılavuzu: Rol atamaları aracılığıyla GCP kaynak erişimini yönetmek için Google Cloud IAM İlkesi'ni kullanın. Yaygın izin kullanım örnekleri için Google Cloud'un önceden tanımlanmış rollerini kullanabilirsiniz. Ancak, önceden tanımlanmış rollerin kullanıcılara atanmaması gereken aşırı izinler taşıyabileceğine dikkat etmelisiniz.
Ayrıca, hesaplardan aşırı izinleri belirlemek ve kaldırmak için IAM Önericisi ile İlke Zekası'nı kullanın.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):
- Uygulama güvenliği ve DevSecOps
- Güvenlik Uyumluluğu Yönetimi
- Duruş yönetimi
- Kimlik ve anahtar yönetimi
PA-8 Bulut sağlayıcısı desteği için erişim sürecini belirleme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | Yok |
Güvenlik ilkesi: Satıcı destek isteklerini istemek ve onaylamak ve verilerinize güvenli bir kanal üzerinden geçici erişim sağlamak için bir onay süreci ve erişim yolu oluşturun.
Azure kılavuzu: Microsoft'un verilerinize erişmesi gereken senaryoları desteklerken, Microsoft tarafından yapılan her veri erişim isteğini gözden geçirmek ve onaylamak veya reddetmek için Müşteri Kasası'na tıklayın.
Azure uygulaması ve ek bağlam:
AWS kılavuzu: AWS destek ekiplerinin verilerinize erişmesi gereken destek senaryolarında, destek istemek için AWS Destek portalında bir hesap oluşturun. Salt okunur veri erişimi sağlama gibi kullanılabilir seçenekleri veya AWS desteğinin verilerinize erişmesi için ekran paylaşımı seçeneğini gözden geçirin.
AWS uygulaması ve ek bağlamı:
GCP kılavuzu: Google Cloud Customer Care'in verilerinize erişmesi gereken senaryolarda, Bulut Müşteri Hizmetleri tarafından yapılan her veri erişim isteğini gözden geçirmek ve onaylamak veya reddetmek için Erişim Onayı'na tıklayın.
GCP uygulaması ve ek bağlam:
Müşteri güvenliği paydaşları (Daha fazla bilgi edinin):