Güvenlik Denetimi v3: Ayrıcalıklı erişim
Privileged Access, yönetim modelinizi, yönetim hesaplarınızı ve ayrıcalıklı erişim iş istasyonlarınızı kasıtlı ve yanlışlıkla risklere karşı korumaya yönelik çeşitli denetimler de dahil olmak üzere Azure kiracınıza ve kaynaklarınıza ayrıcalıklı erişimi korumaya yönelik denetimleri kapsar.
PA-1: Yüksek ayrıcalıklı/yönetici kullanıcıları ayırın ve sınırlayın
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 5.4, 6.8 | AC-2, AC-6 | 7.1, 7.2, 8.1 |
Güvenlik İlkesi: İş açısından yüksek etkiye sahip tüm hesapları tanımladığınızdan emin olun. Bulutunuzun denetim düzlemi, yönetim düzlemi ve veri/iş yükü düzlemindeki ayrıcalıklı/yönetim hesaplarının sayısını sınırlayın.
Azure Kılavuzu: Azure Active Directory (Azure AD), Azure'ın varsayılan kimlik ve erişim yönetimi hizmetidir. Azure AD'deki en kritik yerleşik roller Genel Yönetici ve Ayrıcalıklı Rol Yöneticisi'dir, çünkü bu iki role atanan kullanıcılar yönetici rollerini temsilci olarak atayabilir. Bu ayrıcalıklarla, kullanıcılar Azure ortamınızdaki her kaynağı doğrudan veya dolaylı olarak okuyabilir ve değiştirebilir:
- Genel Yönetici / Şirket Yöneticisi: Bu role sahip kullanıcılar, Azure AD'deki tüm yönetim özelliklerine ve Azure AD kimlikleri kullanan hizmetlere erişebilir.
- Ayrıcalıklı Rol Yöneticisi: Bu role sahip kullanıcılar rol atamalarını hem Azure AD hem de Azure AD Privileged Identity Management (PIM) içinde yönetebilir. Buna ek olarak, bu rol PIM ve yönetim birimlerinin tüm yönlerinin yönetilmesine olanak tanır.
Azure, Azure AD dışında, kaynak düzeyinde ayrıcalıklı erişim için kritik olabilecek yerleşik rollere sahiptir.
- Sahip: Azure RBAC'de rol atama özelliği de dahil olmak üzere tüm kaynakları yönetmek için tam erişim verir.
- Katkıda Bulunan: Tüm kaynakları yönetmek için tam erişim verir, ancak Azure RBAC'de rol atamanıza, Azure Blueprints'te atamaları yönetmenize veya görüntü galerilerini paylaşmanıza izin vermez.
- Kullanıcı Erişimi Yöneticisi: Azure kaynaklarına kullanıcı erişimini yönetmenize olanak tanır. Not: Azure AD düzeyinde veya kaynak düzeyinde belirli ayrıcalıklı izinler atanmış özel roller kullanıyorsanız idare edilmesi gereken başka kritik rolleriniz olabilir.
ayrıca, Active Directory Etki Alanı Denetleyicileri (DC'ler), güvenlik araçları ve sistem yönetim araçları gibi iş açısından kritik varlıklarınıza yönetici erişimi olan diğer yönetim, kimlik ve güvenlik sistemlerindeki ayrıcalıklı hesapları da iş açısından kritik sistemlerde yüklü aracılarla kısıtladığınızdan emin olun. Bu yönetim ve güvenlik sistemlerini tehlikeye atan saldırganlar, iş açısından kritik varlıkları tehlikeye atmak için onları hemen silahlandırabilir.
Uygulama ve ek bağlam:
- Azure AD'de yönetici rolü izinleri
- Azure Privileged Identity Management güvenlik uyarılarını kullanma
- Azure AD'de karma ve bulut dağıtımları için ayrıcalıklı erişim güvenliğini sağlama
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
PA-2: Kullanıcı hesapları ve izinleri için ayakta erişimden kaçının
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| Yok | AC-2 | Yok |
Güvenlik İlkesi: Ayakta ayrıcalıklar oluşturmak yerine, farklı kaynak katmanlarına ayrıcalıklı erişim atamak için tam zamanında (JIT) mekanizmasını kullanın.
Azure Kılavuzu: Azure AD Privileged Identity Management (PIM) kullanarak Azure kaynaklarına ve Azure AD tam zamanında (JIT) ayrıcalıklı erişimi etkinleştirin. JIT, kullanıcıların ayrıcalıklı görevleri gerçekleştirmek için geçici izinler aldığı ve izinlerin süresi dolduktan sonra kötü amaçlı veya yetkisiz kullanıcıların erişim kazanmasını engelleyen bir modeldir. Erişim yalnızca kullanıcılar ihtiyaç duyduğunda verilir. Azure AD kuruluşunuzda güvenli olmayan veya şüpheli etkinlikler olduğunda da PIM güvenlik uyarıları oluşturabilir.
VM erişimi için Bulut için Microsoft Defender tam zamanında (JIT) özelliğiyle hassas sanal makineleriniz (VM) yönetim bağlantı noktalarınıza gelen trafiği kısıtlayın. Bu, VM'ye ayrıcalıklı erişimin yalnızca kullanıcılar ihtiyaç duyduğunda verilmesini sağlar.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
PA-3: Kimliklerin ve yetkilendirmelerin yaşam döngüsünü yönetme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-5, AC-6 | 7.1, 7.2, 8.1 |
Güvenlik İlkesi: İstek, gözden geçirme, onay, sağlama ve sağlamayı kaldırma gibi kimlik ve erişim yaşam döngüsünü yönetmek için otomatik bir işlem veya teknik denetim kullanın.
Azure Kılavuzu: Erişimi (Azure kaynak grupları için) istek iş akışlarını otomatikleştirmek için Azure AD yetkilendirme yönetimi özelliklerini kullanın. Bu, Azure kaynak gruplarına yönelik iş akışlarının erişim atamalarını, incelemeleri, süre sonunu ve çift veya çok aşamalı onayları yönetmesini sağlar.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
PA-4: Kullanıcı erişimini düzenli olarak gözden geçirme ve uzlaştırma
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 5.1, 5.3, 5.5 | AC-2, AC-6 | 7.1, 7.2, 8.1, A3.4 |
Güvenlik İlkesi: Ayrıcalıklı hesap yetkilendirmelerini düzenli olarak gözden geçirin. Hesaplara verilen erişimin denetim düzlemi, yönetim düzlemi ve iş yüklerinin yönetimi için geçerli olduğundan emin olun.
Azure Kılavuzu: Azure kiracısı, Azure hizmetleri, VM/IaaS, CI/CD işlemleri ve kurumsal yönetim ve güvenlik araçları gibi tüm ayrıcalıklı hesapları ve Azure'daki erişim yetkilendirmelerini gözden geçirin.
Azure AD rollerini ve Azure kaynak erişim rollerini, grup üyeliklerini ve kurumsal uygulamalara erişimi gözden geçirmek için Azure AD erişim gözden geçirmelerini kullanın. Azure AD raporlama, eski hesapların ve belirli bir süre kullanılmayan hesapların bulunmasına yardımcı olmak için günlükler de sağlayabilir.
Ayrıca, Azure AD Privileged Identity Management belirli bir rol için çok fazla sayıda yönetici hesabı oluşturulduğunda uyarı vermek ve eski veya yanlış yapılandırılmış yönetici hesaplarını tanımlamak için yapılandırılabilir.
Uygulama ve ek bağlam:
- Privileged Identity Management'de (PIM) Azure kaynak rollerinin erişim gözden geçirmesini oluşturma
- Azure AD kimlik ve erişim gözden geçirmelerini kullanma
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
PA-5: Acil durum erişimini ayarlama
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| Yok | AC-2 | Yok |
Güvenlik İlkesi: Acil durumda kritik bulut altyapınızı (örneğin, kimliğiniz ve erişim yönetim sisteminiz) yanlışlıkla kilitlemediğinizden emin olmak için acil durum erişimini ayarlayın.
Acil durum erişim hesapları nadiren kullanılmalı ve gizliliği tehlikeye atılırsa kuruluş için son derece zarar verici olabilir, ancak kuruluş için kullanılabilirlikleri, gerektiğinde birkaç senaryo için de kritik önem taşır.
Azure Kılavuzu: Azure AD kuruluşunuzun yanlışlıkla kilitlenmesini önlemek için, normal yönetim hesapları kullanılamadığında erişim için bir acil durum erişim hesabı (örneğin, Genel Yönetici rolüne sahip bir hesap) ayarlayın. Acil durum erişim hesapları genellikle yüksek ayrıcalığa sahiptir ve herhangi bir kişiye atanmamalıdır. Acil durum erişim hesapları, normal yönetim hesaplarının kullanılamadığı acil durum veya "acil durum" senaryolarıyla sınırlıdır.
Acil durum erişim hesaplarının kimlik bilgilerinin (parola, sertifika veya akıllı kart) güvenli bir şekilde saklandığından ve yalnızca acil bir durumda bunları kullanma yetkisine sahip olan kullanıcılar tarafından bilindiğinden emin olmanız gerekir. Ayrıca, bu işlemin güvenliğini artırmak için çift denetimler (ör. kimlik bilgilerini iki parçaya bölmek ve ayrı kişilere vermek) gibi ek denetimler de kullanabilirsiniz. Ayrıca, acil durum erişim hesaplarının yalnızca yetkilendirme kapsamında kullanılabildiğinden emin olmak için oturum açma ve denetim günlüklerini izlemeniz gerekir.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
PA-6: Ayrıcalıklı erişim iş istasyonlarını kullanın
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 12.8, 13.5 | AC-2, SC-2, SC-7 | Yok |
Güvenlik İlkesi: Güvenli, yalıtılmış iş istasyonları yönetici, geliştirici ve kritik hizmet operatörü gibi hassas rollerin güvenliği için kritik öneme sahiptir.
Azure Kılavuzu: Ayrıcalıklı görevler için şirket içinde veya Azure'da ayrıcalıklı erişim iş istasyonları (PAW) dağıtmak için Azure Active Directory, Microsoft Defender ve/veya Microsoft Intune kullanın. PAW, güçlü kimlik doğrulaması, yazılım ve donanım temelleri ve kısıtlı mantıksal ve ağ erişimi dahil olmak üzere güvenli yapılandırmayı zorunlu kılmak için merkezi olarak yönetilmelidir.
Sanal ağınızda sağlanabilen tam platform tarafından yönetilen bir PaaS hizmeti olan Azure Bastion'ı da kullanabilirsiniz. Azure Bastion, tarayıcı kullanarak sanal makinelerinize doğrudan Azure portal RDP/SSH bağlantısı sağlar.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
PA-7: Yeterli yönetim (en az ayrıcalık) ilkesini izleyin
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 3.3, 6.8 | AC-2, AC-3, AC-6 | 7.1, 7.2 |
Güvenlik İlkesi: İzinleri ayrıntılı düzeyde yönetmek için yeterli yönetim (en az ayrıcalık) ilkesini izleyin. Rol atamaları aracılığıyla kaynak erişimini yönetmek için rol tabanlı erişim denetimi (RBAC) gibi özellikleri kullanın.
Azure Kılavuzu: Rol atamaları aracılığıyla Azure kaynak erişimini yönetmek için Azure rol tabanlı erişim denetimini (Azure RBAC) kullanın. RBAC aracılığıyla kullanıcılara, grup hizmet sorumlularına ve yönetilen kimliklere rol atayabilirsiniz. Belirli kaynaklar için önceden tanımlanmış yerleşik roller vardır ve bu roller Azure CLI, Azure PowerShell ve Azure portal gibi araçlar aracılığıyla envantere kaydedilebilir veya sorgulanabilir.
Azure RBAC aracılığıyla kaynaklara atadığınız ayrıcalıklar her zaman rollerin gerektirdiğiyle sınırlı olmalıdır. Sınırlı ayrıcalıklar, Azure AD Privileged Identity Management (PIM) tam zamanında (JIT) yaklaşımını tamamlar ve bu ayrıcalıklar düzenli aralıklarla gözden geçirilmelidir. Gerekirse, bir kullanıcının rolü yalnızca başlangıç ve bitiş tarihlerinde etkinleştirebileceği veya kullanabileceği rol atamasında zaman uzunluğu (zamana bağlı atama) koşulunu tanımlamak için PIM'i de kullanabilirsiniz.
Not: İzinleri ayırmak ve yalnızca gerektiğinde özel roller oluşturmak için Azure yerleşik rollerini kullanın.
Uygulama ve ek bağlam:
- Azure rol tabanlı erişim denetimi (Azure RBAC) nedir?
- Azure’da RBAC’yi yapılandırma
- Azure AD kimlik ve erişim gözden geçirmelerini kullanma
- Azure AD Privileged Identity Management - Zamana bağlı atama
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
- Uygulama güvenliği ve DevSecOps
- Güvenlik Uyumluluğu Yönetimi
- Duruş yönetimi
- Kimlik ve anahtar yönetimi
PA-8 Bulut sağlayıcısı desteği için erişim sürecini belirleme
| CIS Denetimleri v8 Kimlikleri | NIST SP 800-53 r4 kimlikleri | PCI-DSS Kimlikleri v3.2.1 |
|---|---|---|
| 6.1, 6.2 | AC-4, AC-2, AC-3 | Yok |
Güvenlik İlkesi: Satıcı destek isteğinde bulunmak ve onaylamak için bir onay süreci ve erişim yolu oluşturun ve güvenli bir kanal üzerinden verilerinize geçici erişim sağlayın.
Azure Kılavuzu: Microsoft'un verilerinize erişmesi gereken destek senaryolarında, her Bir Microsoft'un veri erişim isteğini gözden geçirmek ve onaylamak veya reddetmek için Müşteri Kasası'nu kullanın.
Uygulama ve ek bağlam:
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):