Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu makalede, ayrıcalıklı erişim mimarisi uygulamaya yönelik uçtan uca bir çözüm tanıtılır. Güvenlik ve kimlik planlayıcıları ile uygulayıcıları hedef alır.
Microsoft güvenlik benimseme modelinde:
- Uygulama çözümleri, açıklayıcı dağıtım kılavuzu sağlar.
- Çözümler, yüksek öncelikli güvenlik sonuçlarını tanımlayan iş senaryolarıyla uyumlu hale gelir.
Uygulamaya başlamadan önce, bu riski azaltarak ve hassas sistemler üzerindeki denetimi güçlendirerek güvenli bir ayrıcalıklı erişim mimarisinin iş senaryosunda ( kritik iş varlıklarını koruma ) nasıl kritik bir rol oynadığını öğrenin.
Çözüm hedefleri
Ayrıcalıklı erişim, kimlik sistemleri, bulut denetim düzlemleri ve kritik iş kaynakları üzerinde doğrudan denetim sağladığından, herhangi bir kuruluşta en yüksek etkiye sahip risklerden birini temsil eder.
Bu kılavuz, kimliği, cihazı, arabirimi, hedef kaynağı ve izlemeyi kapsayan uçtan uca erişim yolu olarak değerlendirerek ayrıcalıklı erişime yönelik Sıfır Güven bir yaklaşım tanımlar. Bu model, tek tek bileşenlerin yalıtılmış olarak güvenliğini sağlamak yerine tüm erişim yolunun idare edilmesini ve sürekli doğrulanmasını sağlar.
Amaç şu şekilde riski azaltmaktır:
- Ayrıcalıklı eylemler gerçekleştirebilecek kişileri sınırlama.
- Bu eylemlerin nerede ve nasıl gerçekleşebileceğini denetleme.
- Ayrıcalıklı işlemleri sürekli izleme ve bunlara müdahale etme.
Microsoft Entra ID, Microsoft Intune ve Uç Nokta için Microsoft Defender kullanarak bu mimariyi uygulayın.
Çözümü aşamalar halinde dağıtın. Güvenli bir temel oluşturarak (kimlik denetim düzlemi ve güvenilen cihazlar) işe başlayın, ilke denetimlerini zorunlu kılın ve ardından izleme ve yanıt işlemlerini ayarlayın.
Ayrıcalıklı erişim riski
Ayrıcalıklı kimlikler (insan ve insan olmayan) yüksek değerli varlıkları ve güvenlik uygulama mekanizmalarını denetler. Tehlikeye girdiğinde, iş üzerindeki ortaya çıkan etki çok ağırdır. Ayrıcalıklı erişimle saldırganlar şu işlemleri yapabilir:
- Verileri çıkarma, şifreleme veya yok etme.
- İş operasyonlarını kapatma veya kesintiye uğratma.
- Algılama ve uygulama denetimlerini devre dışı bırakın.
- Kimlik sistemlerinin güvenliğini aşın ve kalıcı erişim sağlayın.
Yaygın saldırılar
Saldırılar iki yaygın deseni izler:
- Hedeflenen veri hırsızlığı: Siber saldırılar hassas fikri mülkiyet, finansal veriler veya stratejik planları bulup dışarı çıkarmaktadır. Çalınan veriler satılır, sızdırılır veya rekabet avantajı için kullanılır.
- İnsan tarafından çalıştırılan fidye yazılımı: Siber saldırılar sistemleri şifrelemek, operasyonları durdurmak ve kuruluşu haraçlamak için ayrıcalıklı erişimden yararlanır ve yönetim kararlarını aşırı zaman baskısı altında zorlar.
Ayrıcalıklı erişim neden risklidir?
Ayrıcalıklı erişim riski çeşitli nedenlerle benzersiz ve sistemiktir.
| Risk | Ayrıntılar |
|---|---|
| Kontrol düzleminde çalışır | Ayrıcalıklı hesaplar yalnızca iş yükü düzleminde değil denetim düzleminde çalışır. Ayrıcalıklı kimlikler kimliklerde değişiklik yapabilir, güvenlik yapılandırmalarını değiştirebilir, uygulama kontrollerini devre dışı bırakabilir veya bunları atlayabilir ve iş açısından kritik verileri kurcalayabilir. Saldırganlar ayrıcalıklı erişim elde ettikten sonra, kendilerini tespit etmek ve durdurmak üzere tasarlanmış mekanizmaları dahi etkisiz hâle getirebilir. Bu, geleneksel sınırlama stratejilerini çok daha az etkili hâle getirir ve güvenlik ihlalinin tespit edilmeden devam etmesine olanak tanır. |
| Tasarım gereği yüksek iş etkisi | Kritik sistemleri yönetmek için ayrıcalıklı erişim vardır, bu nedenle bu erişimin kötüye kullanılması anında ve ciddi sonuçlar doğurabilir. Ayrıcalıklı erişim sayesinde saldırganlar şunları yapabilir: - Hassas verileri çıkarma veya yok etme - İş operasyonlarını kapatmak veya manipüle etmek - Tüm ortamları haraç için şifreleme (insan tarafından çalıştırılan fidye yazılımı) - Sistemleri gerçek dünyada zarara neden olabilecek şekillerde tersine çevirme. Bu sonuçlar teorik değildir. Bunlar farklı sektörlerde tekrar tekrar gözlemlenir ve ayrıcalıklı erişim, saldırganların en yüksek etkiyi elde etmelerinin en güvenilir yollarından biridir. |
| Yüksek sesle ve kesintiye neden olan | Gizli veri hırsızlığından farklı olarak, özellikle insan tarafından çalıştırılan fidye yazılımı olmak üzere birçok ayrıcalıklı erişim saldırısı kasıtlı olarak kesintiye neden oluyor. İşlemleri durdurur, müşteriye yönelik hizmetleri bozar ve aşırı zaman baskısı altında yönetim düzeyinde karar almaya zorlar. Tüm kuruluşlar hizmeti hızla geri yüklemek için finansal ve operasyonel motivasyona sahip olduğundan, bu saldırılar endüstriden veya boyuttan bağımsız olarak evrensel olarak uygulanabilir ve son derece etkilidir. |
| Büyüme riski, küçülme değil | Saldırganlar esnek ve teknolojiden bağımsızdır. Tek bir ürünü veya denetimi hedeflemez, ancak şu anda en zayıf olan ayrıcalıklı erişim yolundan yararlanır. Ayrıcalıklı erişim saldırısı yüzeyi geniştir ve birbirine bağlıdır ve şunları kapsar: - Hesaplar ve kimlik sistemleri - İş istasyonları ve cihazlar - Uzaktan erişim araçları ve PAM/PIM çözümleri gibi aracı sistemler. - Yönetim arabirimleri, portallar, API'ler ve yükseltme yolları. Bu öğelerden herhangi birinin tehlikeye girmesi, kurumun tamamının kontrolünü ele geçirmeye giden bir yol açabilir ve ortamlar evrildikçe sürekli olarak yeni erişim yolları ortaya çıkar. |
| Tek çözümlü yaklaşımlar başarısız | PAM/PIM, ağ kısıtlamaları veya algılama araçları gibi tek bir denetim sınıfının dağıtımı riski yeterince azaltmaz. Bu denetimler sistemin değil, sorunun bölümlerini ele alır. Ayrıcalıklı erişim uçtan uca korunmuyorsa, saldırganlar yalnızca yalıtılmış savunmaların etrafında yol alır ve erişim yolunda korumasız bir bağlantıdan yararlanılır. Bu nedenle ayrıcalıklı erişim, bağımsız araçlar koleksiyonu yerine kimlik ve cihaz güveninden yükseltme ve yürütmeye, izleme ve yanıta kadar eksiksiz bir sistem olarak ele alınmalıdır. |
Mimari ilkeler ve sonuçlar
Microsoft’un önerdiği yaklaşım, kapalı döngülü bir ayrıcalıklı erişim sistemi oluşturmaktır:
- Anında risk azaltma sağlar
- Artımlı ve sürdürülebilir ilerlemeyi destekler
- Gereksiz karmaşıklığı önler
- Net sonuçlar ve başarı ölçütlerini etkinleştirir
Mimari sonuçlar
Stratejinin bu ilkeler temelinde uygulanması, bir dizi net sonuç ve başarı ölçütü oluşturur.
| Sonuç | Mimarlık | Başarı ölçütleri |
|---|---|---|
| Ayrıcalıklı erişim, uçtan uca bir sistem olarak uygulanır | Ayrıcalıklı risk tüm erişim yolu genelinde denetlenmektedir: kimlik, rol ataması, cihaz, yürütme ortamı, yükseltme iş akışı, aracı sistemler, yönetim arabirimleri, izleme ve yanıt. Ayrıcalıklı çalışma yalnızca Sıfır Güven doğrulama (kimlik güvencesi, cihaz güveni, oturum bağlamı) ile açık, yetkilendirilmiş yükseltme yolları aracılığıyla gerçekleşir. | Her oturum, erişime izin vermeden önce kullanıcı hesabına ve cihaza yeterli düzeyde güvenildiğini doğrular. Ölçüm örnekleri: Ayrıcalıklı oturum açmaların yüzde kaçı MFA ve gerekli cihaz güveni gibi gereksinimleri karşılar, Onaylı yetki yükseltme iş akışıyla gerçekleştirilen ayrıcalıklı eylemlerin, sürekli ayrıcalıkla gerçekleştirilenlere oranı (%). |
| Kimlik sistemlerini koruma ve izleme | Ayrıcalık barındıran veya ayrıcalık sağlayan kimlik sistemlerini (dizinler, kimlik yönetimi, yönetici hesapları vb.) koruyun. İdare, ilke uygulama, günlüğe kaydetme ve analiz, kaymayı azaltmak ve görünürlüğü geliştirmek için merkezi hale getirilir. |
Bu sistemlerin her biri, içinde barındırılan hesapların olası iş etkisine uygun bir düzeyde korunur. Ölçü örnekleri: Düzenli erişim gözden geçirmesi kapsamındaki ayrıcalıklı kimliklerin yüzdesi Periyodik ayrıcalıklı erişim gözden geçirmelerinin tamamlanma oranı (kimin gözden geçirdiği, kimin iptal ettiği). |
| Yanal geçişi azaltma | Ayrıcalıklı işleri yüksek riskli ortamlardan yalıtın. Yerel yönetici kimlik bilgilerini, hizmet hesabı gizli dizilerini ve yükseltme mekanizmalarını koruyarak tek bir cihazın, hesabın veya kimlik bilgilerinin güvenliğinin aşılması daha geniş bir yönetim denetimine olanak tanımaz. | Tek bir cihazın ele geçirilmesi, ortamdaki diğer birçok cihazın veya tümünün hemen kontrol edilmesine yol açmaz. Ölçüm örneği: Yalnızca yönetici iş istasyonlarından gerçekleştirilen ayrıcalıklı eylemlerin yüzdesi. |
| Tehditlere hızla yanıt verme | Ayrıcalıklı etkinlik, algılama ve yanıt için öncelikli bir sinyaldir. Çok aşamalı saldırıları kesintiye uğratmak ve ayrıcalıklı erişimi hedefleyen saldırgan bekleme süresini sınırlamak için izleme ve olay yanıtı tasarlayın. | Olay yanıtınız, ayrıcalıklı erişime ulaşmadan önce çok aşamalı saldırıları güvenilir bir şekilde durdurabilir ve gerçekleştiğinde hızlı bir şekilde ayrıcalıklı kötüye kullanım içerebilir. Ölçüm örneği: Ayrıcalıklı olayların ortalama giderme süresi (MTTR), saatler veya günler yerine dakikalara iner. Beklenmeyen veya yeni ayrıcalıklı erişim yolları hızla tanımlanır ve kapatılır. |
İlerleme durumu için bu ölçüleri aylık olarak izleyin ve ayrıcalıklı erişim idaresinin bir parçası olarak üç ayda bir gözden geçirin.
Ayrıcalıklı erişim yollarını anlama
Ayrıcalıklı erişim yolları, aşağıdaki diyagramda gösterildiği gibi kimlikten yürütmeye tam bir zincir oluşturan erişim yollarıdır.
Zincirdeki herhangi bir bağlantı zayıfsa, yolun tamamı savunmasızdır.
| Path | Bileşen | Risk |
|---|---|---|
|
Kullanıcı erişim yolları Kullanıcı erişim yolları e-posta, işbirliği, web'e göz atma ve iş kolu uygulamaları gibi standart üretkenliği ve iş operasyonlarını destekler. |
Kullanıcı erişim yolu genellikle şunları içerir: - Kimlik: Standart bir kullanıcı hesabı - Cihaz: Genel amaçlı iş istasyonu - Aracı: VPN veya uzaktan erişim gibi isteğe bağlı aracılar. - Arabirim: Kurumsal uygulamalar ve hizmetlerle etkileşim kurma. |
Kullanıcı erişim yolunun tehlikeye atılmasına neden olabilir ancak olası etki ayrıcalıklı erişimle karşılaştırıldığında sınırlıdır. |
|
Ayrıcalıklı erişim yolları Ayrıcalıklı erişim yolları kimlikleri, altyapıyı, güvenlik denetimlerini ve iş açısından kritik sistemleri yönetir. |
Ayrıcalıklı erişim yolları genellikle şunlardan oluşur: - Kimlik: Ayrıcalıklı iş gerçekleştiren bir hesap. - Cihaz: Ayrıcalıklı oturum tarafından kullanılan uç nokta iş istasyonu veya cihaz. - Aracı: Uzaktan erişim veya yönetim araçları gibi, ayrıcalıklı oturuma aracılık eden veya onu barındıran herhangi bir sistem ya da hizmet. - Arayüz: Ayrıcalıklı denetimin uygulandığı yönetim arayüzü. Örneğin portallar, API'ler, komut satırı araçları veya otomasyon. |
Teknik bileşenler bir kullanıcı erişim yoluna benzer görünse de, riskten kaynaklanan olası hasar önemli ölçüde daha yüksektir. Bu nedenle ayrıcalıklı erişim yolları şu şekilde olmalıdır: - Sayı olarak daha az - Açıkça tanımlanmış - Kullanıcı erişim yollarından yalıtılmış - En güçlü kullanılabilir denetimlerle korunur. |
Örnek yol
Tipik bir ayrıcalıklı erişim sürecinde:
- Özel bir yönetici kimliği oturum açar.
- Oturum açma, güçlendirilmiş bir Ayrıcalıklı Erişim İş İstasyonu (PAW) üzerinden gerçekleştiriliyor.
- Oturum açma işlemi, Privileged Identity Management (PIM) aracılığıyla bir rolü etkinleştirir.
- Oturum açma, portal, API veya CLI gibi belirli bir yönetim arabirimini kullanır.
- Oturum açmış kimlik ayrıcalıklı bir eylem gerçekleştirir.
Çözüm bileşenleri
Ayrıcalıklı erişim çözümü, zorlanan koşullar altında güvenilir cihazlardan doğru kimliklere göre ayrıcalıklı eylemler gerçekleştirmeyi sağlayan sıkı bir şekilde bağlanmış üç öğe üzerine kurulmuştur.
Ayrıcalıklı kimlikler
- Ayrıcalıklı eylemler gerçekleştirmesine izin verilen ayrılmış yönetici hesapları.
- Güçlü kimlik doğrulaması ve mümkün olduğunda parolasız kimlik doğrulaması ile korunan kimlikler.
- Sınırlı ayrıcalıklı rol ataması.
- Onay ile tam zamanında ayrıcalıklı yükseltme.
Ayrıcalıklı Erişim İş İstasyonları (PAW)
- Sağlamlaştırılmış, kısıtlayıcı cihazlar.
- Cihazlarda azaltılmış saldırı yüzeyi.
- Kimlik bilgisi tehdidine ve kötü amaçlı yazılımlara karşı koruma.
- Yüksek riskli kullanıcı etkinliğinden yalıtılmış.
İlke uygulama ve izleme
- Koşullu Erişim kimlik, cihaz ve oturum bağlamlarını doğrular.
- Ayrıcalıklı yükseltme yolları açıkça tanımlanır.
- Tüm ayrıcalıklı etkinlikler günlüğe kaydedilir, izlenir ve gözden geçirilebilir.
Kimlik sistemleri ve yükseltme yolları
Kimlik sistemleri ve yükseltme yolları, her ayrıcalıklı erişim yolunun temel bileşenleridir. Ayrıcalıklı kimliklerin nerede oluşturulduğunu, yönetim rollerinin nasıl atanduğunu ve kullanıcıların ayrıcalıklı olmayan bir durumdan ayrıcalıklı eylemler gerçekleştirmeye nasıl geçiş yaptıklarını tanımlar.
Bu uygulama kılavuzu, kimlik sistemlerini ve yükseltme yollarını ayrıcalıklı saldırı yüzeyi ve kimlik kontrol düzleminin bir parçası olarak ele alır.
| Area | Ayrıntılar | Risk azaltma |
|---|---|---|
| Kimlik sistemleri | Ayrıcalıklı kimliklerin, rollerin ve yönetim izinlerinin tanımlandığı ve yönetildiği yer. Bu tanım dizinleri, rol atamalarını, yönetim gruplarını ve kiracı düzeyinde yapılandırmayı içerir. |
Ayrıcalıklı kimlikler kontrol düzleminde çalışır. Kimlik sistemlerinin güvenliği aşılırsa, saldırganlar cihaz denetimlerini, erişim koşullarını ve izlemeyi atlayarak ayrıcalıklı erişim oluşturabilir, değiştirebilir veya kalıcı hale gelebilir. Kimlik denetim düzleminin güvenliğini sağlamak en yüksek uygulama önceliğidir. |
| Yetkili yükseltme yolları | Bir kullanıcının ayrıcalıklı olmayan bir durumdan ayrıcalıklı eylemler gerçekleştirmek için geçiş yapma şekli. Örneğin, zamana bağlı rol etkinleştirme, onay iş akışları ve kapsamlı yönetim oturumları. |
Yükseltmenin güçlü kimlik doğrulaması gerektirdiğinden ve ayrıcalıklı yükseltmenin kasıtlı, geçici, izlendiğinden ve yalnızca onaylanan cihazlardan ve arabirimlerden gerçekleştiğinden emin olur. Onaylı iş akışları, cihazlar ve arayüzler üzerinden yükseltilmiş yetki verilmesini zorunlu kılarak kalıcı ayrıcalıkları önler, kötüye kullanımı, yanal hareketi ve gizli kalıcılığı azaltırsınız. |
Çözüm aşamaları
Microsoft en iyi yöntemlere uygun aşamalı bir benimseme modeli kullanarak ayrıcalıklı erişim mimarisini uygulayın.
- Yapılandırılmış benimseme modelini kullanarak benimsemeye başlama. Benimseme kılavuzu, iş liderlerinin güvenli kimlik için kritik iş düzeyinde sonuçları belirlemesine ve erişim ve kimlik disiplinini( ayrıcalıklı erişim gibi kimlik girişimlerini yönlendirmek için gereken ekipler ve çabalar dahil) anlamasına yardımcı olur.
- Çözümü planlayın. Planlama, tasarım hedeflerini belirlemenize, ayrıcalıklı erişim stratejisini belirlemek için güvenlik düzeyleri atamanıza ve uygulama planı gerçekleştirmenize yardımcı olur.
- Aşağıdaki tabloda özetlenen uygulama aşamalarını izleyin. Her aşamanın belirli bir hedefi vardır ve ilgili makalelerde somut yapılandırma adımları kullanılarak uygulanır.
Uygulama aşamaları
| Aşama | Riski Azaltın | Apply Sıfır Güven ilkeleri |
|---|---|---|
| 1. Aşama Kimlik denetim düzleminin güvenliğini sağlama Oluştur - Yöneticiye özel kimlikler. Rol ataması için güvenlik grupları. - Sahip değilseniz acil durum hesapları oluşturun. |
Kimlik bilgisi hırsızlığı, ayrıcalık kötüye kullanımı ve yetkisiz yükseltme riskini azaltır. |
Açıkça doğrula Güçlü kimlik doğrulaması kullanın. En az ayrıcalık kullan Yönetici rollerini kısıtlayın/tam zamanında ayrıcalıkları etkinleştirin. İhlal olduğunu varsayalım. Kurtarma için cam kıran hesapları kullanın. |
| 2. Aşama Ayrıcalıklı erişim cihazlarını dağıtma ve sağlamlaştırma Ayrılmış ayrıcalıklı erişim iş istasyonları (PAW) sağlayın. İşletim sistemi sağlamlaştırma ve güvenlik temelleri uygulama. Yama yönetimini, uç nokta korumasını ve disk şifrelemesini zorunlu kılın. Uygulama ve hizmet yüklemelerini en aza indirin. |
Kimlik bilgilerinin tehlikeye atılmasına ve cihaz tabanlı saldırılara neden olan riski azaltır. |
Açıkça doğrula Erişim vermeden önce cihazların kayıtlı, güvenilir ve uyumlu olduğundan emin olun. İhlal varsay Cihazları sağlamlaştırarak ve yönetim kimlik bilgilerini yalıtarak olası risk altındaki yolları en aza indirin. En az ayrıcalıklı erişim kullanın. Yöneticilerin bu ayrılmış cihazlarda yapabileceklerini kısıtlayın. |
| 3. Aşama Ayrıcalıklı erişim ilkelerini zorunlu kılma Ayrıcalıklı roller için Koşullu Erişimi yapılandırın. Uyumlu cihazlar ve güçlü kimlik doğrulaması gerektirme. Bağlama duyarlı erişim koşullarını uygulayın. Onaylı arabirimlere erişimi kısıtlayın. |
Yetkisiz erişimi ve kimlik bilgilerinin yeniden kullanımını önler. |
İhlal olduğunu varsayalım. Erişimin nerede ve nasıl verileceği kısıtlanarak hesaplar çalınırsa kimlik bilgilerinin kötüye kullanılmasını önleyin. En az ayrıcalığı kullanın. Rol tabanlı ve bağlama duyarlı izinleri zorunlu kılma. |
| 4. Aşama. İzleme ve sürekli doğrulama Olayları araştırın ve hızla düzeltin. Güven ve kapsamı sürekli olarak yeniden değerlendirmektedir. |
Ayrıcalıklı tehditleri algılayın, araştırın ve bunlara müdahale edin. Ayrıcalıklı rol etkinleştirmelerini ve oturumlarını izleyin. Anomalileri ve şüpheli desenleri algılama. Tespit edilemeyen ihlallerin ve saldırganların sistemde uzun süre fark edilmeden kalmasının etkilerini azaltın. |
İhlal olduğunu varsayalım. Saldırgan etkinliğini ve anormal davranışları sürekli izleyin. Açıkça doğrulayın. Güveni sürekli değerlendirin ve şüpheli erişim düzenlerini araştırın. |
Sonraki Adımlar
Şimdi bir uygulama stratejisi planlamaya başlayın.