Güvenlik Denetimi: Kimlik ve Access Control
Not
En güncel Azure Güvenlik Karşılaştırması'na buradan ulaşabilirsiniz.
Kimlik ve erişim yönetimi önerileri kimlik tabanlı erişim denetimiyle ilgili sorunları gidermeye, yönetim erişimini kilitlemeye, kimlikle ilgili olaylara uyarı göndermeye, anormal hesap davranışına ve rol tabanlı erişim denetimine odaklanır.
3.1: Yönetim hesaplarının envanterini tutma
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 3,1 | 4.1 | Müşteri |
Azure AD açıkça atanması gereken ve sorgulanabilir yerleşik rollere sahiptir. Yönetim gruplarının üyesi olan hesapları bulmak üzere geçici sorgular gerçekleştirmek için Azure AD PowerShell modülünü kullanın.
3.2: Varsa varsayılan parolaları değiştirme
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 3.2 | 4.2 | Müşteri |
Azure AD varsayılan parola kavramına sahip değildir. Parola gerektiren diğer Azure kaynakları, parolayı karmaşıklık gereksinimleri ve hizmete bağlı olarak farklılık gösteren minimum parola uzunluğuyla oluşturulmaya zorlar. Varsayılan parolaları kullanabilen üçüncü taraf uygulamalardan ve market hizmetlerinden siz sorumlusunuz.
3.3: Ayrılmış yönetim hesaplarını kullanma
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 3.3 | 4.3 | Müşteri |
Ayrılmış yönetim hesaplarının kullanımıyla ilgili standart işletim yordamları oluşturun. Yönetim hesaplarının sayısını izlemek için Azure Güvenlik Merkezi "Erişimi ve izinleri yönet" güvenlik denetimindeki önerileri kullanın.
Ayrıca, Microsoft Hizmetleri ve Azure Resource Manager için ayrıcalıklı roller Azure AD Privileged Identity Management kullanarak Tam Zamanında / Yeterli Erişim'i etkinleştirebilirsiniz.
3.4: Azure Active Directory ile çoklu oturum açma (SSO) kullanma
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 3.4 | 4.4 | Müşteri |
Mümkün olduğunda, hizmet başına tek başına kimlik bilgilerini yapılandırmak yerine Azure Active Directory SSO kullanın. Azure Güvenlik Merkezi "Erişimi ve izinleri yönet" güvenlik denetimindeki önerileri kullanın.
3.5: Tüm Azure Active Directory tabanlı erişim için çok faktörlü kimlik doğrulamasını kullanma
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 3,5 | 4.5, 11.5, 12.11, 16.3 | Müşteri |
Azure AD MFA'yı etkinleştirin ve Azure Güvenlik Merkezi Kimlik ve Erişim Yönetimi önerilerini izleyin.
3.6: Tüm yönetim görevleri için ayrılmış makineleri (Ayrıcalıklı Erişim İş İstasyonları) kullanma
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 3.6 | 4.6, 11.6, 12.12 | Müşteri |
Azure kaynaklarında oturum açmak ve yapılandırmak için yapılandırılmış MFA ile PAW'ları (ayrıcalıklı erişim iş istasyonları) kullanın.
3.7: Yönetici hesaplarından gelen şüpheli etkinlikleri günlüğe kaydetme ve uyarı
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 3.7 | 4.8, 4.9 | Müşteri |
Ortamda şüpheli veya güvenli olmayan etkinlik gerçekleştiğinde günlüklerin ve uyarıların oluşturulması için Azure Active Directory güvenlik raporlarını kullanın. Kimlik ve erişim etkinliğini izlemek için Azure Güvenlik Merkezi kullanın.
Riskli etkinlik bayrağıyla işaretlenen Azure AD kullanıcılarını belirleme
Azure Güvenlik Merkezi’nde kullanıcıların kimliğini ve erişim etkinliğini izleme
3.8: Azure kaynaklarını yalnızca onaylanan konumlardan yönetme
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 3.8 | 11.7 | Müşteri |
Ip adresi aralıklarının veya ülkelerin/bölgelerin yalnızca belirli mantıksal gruplarından erişime izin vermek için Koşullu Erişim Adlandırılmış Konumları kullanın.
3.9: Azure Active Directory kullanma
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 3.9 | 16.1, 16.2, 16.4, 16.5, 16.6 | Müşteri |
Merkezi kimlik doğrulama ve yetkilendirme sistemi olarak Azure Active Directory'yi kullanın. Azure AD bekleyen ve aktarılan veriler için güçlü şifreleme kullanarak verileri korur. Azure AD ayrıca kullanıcı kimlik bilgilerini tuzlar, karmalar ve güvenli bir şekilde depolar.
3.10: Kullanıcı erişimini düzenli olarak gözden geçirme ve uzlaştırma
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 3.10 | 16.9, 16.10 | Müşteri |
Azure AD eski hesapların bulunmasına yardımcı olmak için günlükler sağlar. Ayrıca, grup üyeliklerini, kurumsal uygulamalara erişimi ve rol atamalarını verimli bir şekilde yönetmek için Azure Kimlik Erişim Gözden Geçirmeleri'ni kullanın. Yalnızca doğru Kullanıcıların erişimine devam ettiğinden emin olmak için kullanıcı erişimi düzenli olarak gözden geçirilebilir.
3.11: Devre dışı bırakılan kimlik bilgilerine erişme girişimlerini izleme
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 3.11 | 16.12 | Müşteri |
Herhangi bir SIEM/İzleme aracıyla tümleştirmenizi sağlayan Azure AD Oturum Açma Etkinliği, Denetim ve Risk Olay günlüğü kaynaklarına erişiminiz vardır.
Azure Active Directory kullanıcı hesapları için Tanılama Ayarları oluşturup denetim günlüklerini ve oturum açma günlüklerini Log Analytics Çalışma Alanına göndererek bu işlemi kolaylaştırabilirsiniz. İstediğiniz Uyarıları Log Analytics Çalışma Alanı içinde yapılandırabilirsiniz.
3.12: Hesap oturum açma davranışı sapmasıyla ilgili uyarı
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 3.12 | 16.13 | Müşteri |
Kullanıcı kimlikleriyle ilgili algılanan şüpheli eylemlere otomatik yanıtlar yapılandırmak için Azure AD Risk ve Kimlik Koruması özelliklerini kullanın. Ayrıca daha fazla araştırma için Azure Sentinel'e veri alabilirsiniz.
3.13: Destek senaryoları sırasında Microsoft'a ilgili müşteri verilerine erişim sağlama
| Azure Kimliği | CIS Kimlikleri | Sorumluluk |
|---|---|---|
| 3.13 | 16 | Müşteri |
Microsoft'un müşteri verilerine erişmesi gereken destek senaryolarında Müşteri Kasası, müşteri verilerine erişim isteklerini gözden geçirmeniz ve onaylamanız veya reddetmeniz için bir arabirim sağlar.
Sonraki adımlar
- Sonraki Güvenlik Denetimine bakın: Veri Koruması