Gelişmiş Güvenlik Yönetici Ortamı

  • Makale

Gelişmiş Güvenlik Yönetici Ortamı (ESAE) mimarisi (genellikle kırmızı orman, yönetici ormanı veya sağlamlaştırılmış orman olarak adlandırılır), Windows Server Active Directory (AD) yönetici kimlikleri için güvenli bir ortam sağlamaya yönelik eski bir yaklaşımdır.

Microsoft'un bu mimari düzeni kullanma önerisi, ayrıcalıklı kullanıcıların güvenliğini sağlamak için önerilen varsayılan yaklaşım olarak modern ayrıcalıklı erişim stratejisi ve hızlı modernleştirme planı (RAMP) kılavuzuyla değiştirilmiştir. Bu kılavuzun, Sıfır Güven bir mimariye geçmek için daha geniş bir stratejiyi uyarlamayı kapsaması amaçlanmıştır. Bu modernleştirilmiş stratejiler göz önüne alındığında, ESAE sağlamlaştırılmış yönetim ormanı mimarisi (şirket içi veya bulut tabanlı) artık yalnızca özel durumlar için uygun bir özel yapılandırma olarak kabul edilir.

Devam Eden Kullanım Senaryoları

Artık önerilen bir mimari olmasa da, ESAE (veya buradaki tek tek bileşenler) sınırlı sayıda muaf tutulan senaryo kümesinde geçerli olmaya devam edebilir. Bu şirket içi ortamlar genellikle bulut hizmetlerinin kullanılamadığı yerlerde yalıtılır. Bu senaryo kritik altyapıyı veya diğer bağlantısız işletim teknolojisi (OT) ortamlarını içerebilir. Ancak, ortamın havayla eşlenen Endüstriyel Denetim Sistemi/Gözetmen Denetimi ve Veri Alımı (ICS/SCADA) segmentlerinin genellikle kendi Active Directory dağıtımını kullanmadığı belirtilmelidir.

Kuruluşunuz bu senaryolardan birindeyse, şu anda dağıtılan bir ESAE mimarisinin tamamını korumak yine de geçerli olabilir. Ancak, kuruluşunuzun artan teknik karmaşıklık ve ESAE'yi korumanın operasyonel maliyetleri nedeniyle ek risk doğurduğunun anlaşılması gerekir. Microsoft, ESAE'yi veya diğer eski kimlik güvenlik denetimlerini kullanmaya devam eden tüm kuruluşların ilişkili riskleri izlemek, tanımlamak ve azaltmak için ek katılık uygulamalarını önerir.

Not

Microsoft artık çoğu kuruluşta çoğu senaryo için yalıtılmış bir sağlamlaştırılmış orman modeli önermese de Microsoft, dünyanın dört bir yanındaki kuruluşlara güvenilir bulut hizmetleri sağlamaya yönelik aşırı güvenlik gereksinimleri nedeniyle şirket içinde benzer bir mimari (ve ilişkili destek süreçleri ve personeli) çalıştırmaya devam etmektedir.

Mevcut Dağıtımlar için Yönergeler

Güvenliği artırmak ve/veya çok ormanlı yönetimi basitleştirmek için bu mimariyi zaten dağıtmış olan müşteriler için, ESAE uygulamasının tasarlandığı ve hedeflendiği şekilde çalıştırılıyorsa kullanımdan kaldırma veya değiştirme aciliyeti yoktur. Tüm kurumsal sistemlerde olduğu gibi, güvenlik güncelleştirmelerini uygulayarak ve yazılımın destek yaşam döngüsü içinde olduğundan emin olarak yazılımı içinde tutmalısınız.

Microsoft ayrıca, ESAE /sağlamlaştırılmış ormanları olan kuruluşlara, hızlı modernleştirme planı (RAMP) kılavuzunu kullanarak modern ayrıcalıklı erişim stratejisinibenimsemelerini önerir. Bu kılavuz mevcut bir ESAE uygulamasını tamamlar ve Microsoft Entra Global Yönetici istrator'lar, hassas iş kullanıcıları ve standart kurumsal kullanıcılar dahil olmak üzere ESAE tarafından henüz korunmayan roller için uygun güvenlik sağlar. Daha fazla bilgi için Ayrıcalıklı erişim güvenlik düzeylerinin güvenliğini sağlama makalesine bakın.

ESAE başlangıçta 10 yıldan uzun bir süre önce tasarlandığında, odak yerel kimlik sağlayıcısı olarak hizmet veren Active Directory (AD) ile şirket içi ortamlardı. Bu eski yaklaşım, en az ayrıcalık elde etmek için makro segmentasyon tekniklerini temel alır ve karma veya bulut tabanlı ortamları yeterince hesaba eklemez. Ayrıca, ESAE ve sağlamlaştırılmış orman uygulamaları yalnızca şirket içi Windows Server Active Directory yöneticilerini (kimlikleri) korumaya odaklanır ve modern Sıfır Güven mimarisinin kalan yapılarında yer alan ayrıntılı kimlik denetimlerini ve diğer teknikleri hesaba katın. Microsoft, daha geniş bir yönetim ve iş açısından hassas rol ve sistemlerin kapsamını korumak için daha hızlı dağıtılabildiği için önerisini bulut tabanlı çözümlere güncelleştirdi. Ayrıca daha az karmaşıktır, ölçeklenebilirdir ve bakımını yapmak için daha az sermaye yatırımı gerektirir.

Not

ESAE artık tamamen önerilmese de, Microsoft burada yer alan birçok ayrı bileşenin iyi bir siber hijyen (örneğin, ayrılmış Privileged Access İş İstasyonları) olarak tanımlandığını fark eder. ESAE'nin kullanımdan kaldırılması, kuruluşları iyi siber hijyen uygulamalarından vazgeçmeye, yalnızca ayrıcalıklı kimliklerin korunmasına yönelik güncelleştirilmiş mimari stratejileri güçlendirmeye yönelik değildir.

ESAE'de çoğu kuruluş için geçerli olan iyi siber hijyen uygulamaları örnekleri

  • Tüm yönetim etkinlikleri için ayrıcalıklı erişim iş istasyonları (PAW) kullanma
  • Ortam genelinde yaygın olarak kullanılmasa bile yönetim kimlik bilgileri için belirteç tabanlı veya çok faktörlü kimlik doğrulamasını (MFA) zorlama
  • Grup /rol üyeliğinin düzenli değerlendirmesi aracılığıyla En Az Ayrıcalık Yönetici Istrative Modeli zorlama (güçlü kuruluş ilkesi tarafından zorunlu kılındı)

Şirket içi AD'yi Güvenli Hale Getirmek için En İyi Yöntem

Devam Eden Kullanım Senaryoları'nda açıklandığı gibi, çeşitli durumlardan dolayı bulut geçişinin (kısmen veya tamamen) ulaşılabilir olmadığı durumlar olabilir. Bu kuruluşlar için, henüz bir ESAE mimarisi yoksa Microsoft, Active Directory ve ayrıcalıklı kimlikler için güvenlik sıkılığını artırarak şirket içi AD'nin saldırı yüzeyini azaltmayı önerir. Kapsamlı bir liste olmasa da aşağıdaki yüksek öncelikli önerileri göz önünde bulundurun.

  • En az ayrıcalıklı yönetim modelini uygulayan katmanlı bir yaklaşım kullanın:
    • Mutlak en düşük ayrıcalıkları zorunlu kılma.
    • Ayrıcalıklı kimlikleri bulma, gözden geçirme ve denetleme (kuruluş ilkesiyle güçlü bir bağ).
      • Aşırı ayrıcalık verme, değerlendirilen ortamlarda en çok tanımlanan sorunlardan biridir.
    • Yönetim hesapları için MFA (ortam genelinde yaygın olarak kullanılmasa bile).
    • Zamana bağlı ayrıcalıklı roller (aşırı hesapları azaltın, onay süreçlerini güçlendirin).
    • Ayrıcalıklı kimlikler için tüm kullanılabilir denetimi etkinleştirin ve yapılandırın (etkinleştirme/devre dışı bırakma, parola sıfırlama, diğer değişiklikler bildirilir).
  • Privileged Access İş İstasyonlarını (PAW' lar) kullanma:
    • PAW'ları daha az güvenilen bir konaktan yönetmeyin.
    • PAW'lara erişim için MFA kullanın.
    • Fiziksel güvenliği unutmayın.
    • PAW'ların her zaman en yeni ve/veya şu anda desteklenen işletim sistemlerini çalıştırdığından emin olun.
  • Saldırı yollarını ve yüksek riskli hesapları / uygulamaları anlama:
    • En fazla risk oluşturan kimliklerin ve sistemlerin izlenmesine öncelik verin (fırsat hedefleri /yüksek etki).
    • İşletim sistemi sınırları (ortak yanal hareket tekniği) dahil olmak üzere parola yeniden kullanımı silin.
    • Riski artıran etkinlikleri kısıtlayan ilkeler uygulayın (güvenli iş istasyonlarından İnternet'e göz atma, birden çok sistem genelinde yerel yönetici hesapları vb.).
    • Active Directory / Etki Alanı Denetleyicilerindeki uygulamaları azaltın (eklenen her uygulama fazladan saldırı yüzeyidir).
      • Gereksiz uygulamaları ortadan kaldırın.
      • Mümkünse diğer iş yüklerine gereken uygulamaları / DC'nin dışına taşıma.
  • Active Directory'nin sabit yedeklemesi:
    • Fidye yazılımı bulaşmasından kurtarma için kritik bileşen.
    • Normal yedekleme zamanlaması.
    • Olağanüstü durum kurtarma planı tarafından dikte edilen bulut tabanlı veya site dışı konumda depolanır.
  • Active Directory Güvenlik Değerlendirmesi Gerçekleştirme:
    • Sonuçları görüntülemek için Azure aboneliği gereklidir (özelleştirilmiş Log Analytics panosu).
    • İsteğe bağlı veya Microsoft mühendisi tarafından desteklenen teklifler.
    • Değerlendirmedeki yönergeleri doğrulayın/ tanımlayın.
    • Microsoft, değerlendirmelerin yıllık olarak yürütülmesini önerir.

Bu önerilerle ilgili kapsamlı yönergeler için Active Directory Güvenliğini Sağlamaya Yönelik En İyi Yöntemler'i gözden geçirin.

Ek Öneriler

Microsoft, çeşitli kısıtlamalar nedeniyle bazı varlıkların bulut tabanlı sıfır güven mimarisini tam olarak dağıtamadığını kabul eder. Bu kısıtlamalardan bazıları önceki bölümde belirtilmiştir. Kuruluşlar, tam dağıtım yerine riski ele alabilir ve sıfır güven konusunda ilerleme kaydederken ortamda eski donanımları veya mimarileri kullanmaya devam edebilir. Daha önce bahsedilen yönergelere ek olarak, aşağıdaki özellikler ortamınızın güvenliğinin desteklenmesine yardımcı olabilir ve Sıfır Güven mimarisini benimsemeye yönelik bir başlangıç noktası görevi görebilir.

Kimlik için Microsoft Defender (MDI)

Kimlik için Microsoft Defender (MDI) (resmi olarak Azure Gelişmiş Tehdit Koruması veya ATP), Microsoft Sıfır Güven mimarisini temel alır ve kimlik sütununa odaklanır. Bu bulut tabanlı çözüm, kimliklerle ilgili tehditleri belirlemek, algılamak ve araştırmak için hem şirket içi AD'den hem de Microsoft Entra Id'den gelen sinyalleri kullanır. MDI, kullanıcılardan ve varlıklardan gelen anormal ve kötü amaçlı davranışları belirlemek için bu sinyalleri izler. Özellikle MDI, tehlikeye atılması durumunda belirli bir hesabın nasıl kullanılabileceğini vurgulayarak bir saldırganın yanal hareket yolunu görselleştirme özelliğini kolaylaştırır. MDI'nin davranış analizi ve kullanıcı temel özellikleri, AD ortamınızdaki anormal etkinlikleri belirlemek için temel öğelerdir.

Not

MDI, şirket içi AD'den sinyaller toplasa da bulut tabanlı bir bağlantı gerektirir.

Nesnelerin İnterneti için Microsoft Defender (D4IoT)

Bu belgede açıklanan diğer yönergelere ek olarak, yukarıda belirtilen senaryolardan birinde çalışan kuruluşlar IoT için Microsoft Defender (D4IoT) dağıtabilir. Bu çözüm, Nesnelerin İnterneti (IoT) ve Operasyonel Teknoloji (OT) ortamları için varlık bulma, envanter yönetimi ve risk tabanlı davranış analizi sağlayan pasif bir ağ sensörü (sanal veya fiziksel) içerir. Şirket içi hava ile eşlenen veya buluta bağlı ortamlarda dağıtılabilir ve 100'den fazla ICS/OT özel ağ protokolü üzerinde derin paket denetimi gerçekleştirme kapasitesine sahiptir.

Sonraki adımlar

Aşağıdaki makaleleri okuyun:

  1. Ayrıcalıklı Erişim Stratejisi
  2. Güvenlik Hızlı Modernizasyon Planı (RAMP)
  3. Active Directory Güvenliğini Sağlamak için En İyi Yöntemler