Sıfır Güven ile kimliğin güvenliğini sağlama

  • Makale

Arka Plan

Bulut uygulamaları ve mobil iş gücü, güvenlik çevresini yeniden tanımladı. Çalışanlar kendi cihazlarını getiriyor ve uzaktan çalışıyor. Verilere şirket ağı dışından erişiliyor ve iş ortakları ve satıcılar gibi dış ortak çalışanlarla paylaşılıyor. Şirket uygulamaları ve verileri şirket içinden hibrit ve bulut ortamlarına taşınıyor. Kuruluşlar artık güvenlik için geleneksel ağ denetimlerine güvenemez. Denetimlerin verilerin bulunduğu yere taşınması gerekir: cihazlarda, uygulamalarda ve iş ortaklarında.

Kişileri, hizmetleri veya IoT cihazlarını temsil eden kimlikler, günümüzün birçok ağı, uç noktası ve uygulamasının ortak hakimidir. Sıfır Güven güvenlik modelinde, verilere erişimi denetlemenin güçlü, esnek ve ayrıntılı bir yolu olarak çalışır.

Bir kimlik bir kaynağa erişmeye çalışmadan önce kuruluşların şunları yapması gerekir:

  • Kimliği güçlü kimlik doğrulamasıyla doğrulayın.

  • Bu kimlik için erişimin uyumlu ve tipik olduğundan emin olun.

  • En az ayrıcalık erişim ilkelerini izler.

Kimlik doğrulandıktan sonra kuruluş ilkelerine, devam eden risk analizine ve diğer araçlara göre bu kimliğin kaynaklara erişimini denetleyebiliriz.

Kimlik Sıfır Güven dağıtım hedefleri

Çoğu kuruluş Sıfır Güven yolculuğuna başlamadan önce, şirket içi kimlik sağlayıcısının kullanımda olması, bulut ve şirket içi uygulamalar arasında SSO olmaması ve kimlik riskinin görünürlüğünün çok sınırlı olması nedeniyle kimlik yaklaşımı sorunludur.

Kimlik için uçtan uca bir Sıfır Güven çerçevesi uygularken öncelikle şu ilk dağıtım hedeflerine odaklanmanızı öneririz:

Bir onay işareti olan liste simgesi.

I.Cloud identity, şirket içi kimlik sistemleriyle birleştirilmiştir.

II.Koşullu Erişim ilkeleri erişimi geçitler ve düzeltme etkinlikleri sağlar.

III.Analiz, görünürlüğü artırır.

Bunlar tamamlandıktan sonra şu ek dağıtım hedeflerine odaklanın:

İki onay işareti olan liste simgesi.

IV.Kimlikler ve erişim ayrıcalıkları, kimlik idaresi ile yönetilir.

V.User, cihaz, konum ve davranış, riski belirlemek ve sürekli koruma sağlamak için gerçek zamanlı olarak analiz edilir.

VI.Algılamayı, korumayı ve yanıtı geliştirmek için diğer güvenlik çözümlerinden gelen tehdit sinyallerini tümleştirin.

Kimlik Sıfır Güven dağıtım kılavuzu

Bu kılavuz, Sıfır Güven bir güvenlik çerçevesinin ilkelerine göre kimlikleri yönetmek için gereken adımlarda size yol gösterir.




Bir onay işareti olan denetim listesi simgesi.

İlk dağıtım hedefleri

I. Bulut kimliği, şirket içi kimlik sistemleriyle birleştirilmiştir

Microsoft Entra ID, güçlü kimlik doğrulaması, uç nokta güvenliği için bir tümleştirme noktası ve en az ayrıcalıklı erişimi garanti etmek için kullanıcı merkezli ilkelerinizin temelini sağlar. Microsoft Entra Koşullu Erişim özellikleri, erişim noktasında açıkça doğrulanan kullanıcı kimliği, ortam, cihaz durumu ve risk temelinde kaynaklara erişim için ilke karar noktasıdır. Microsoft Entra ID ile Sıfır Güven kimlik stratejisini nasıl uygulayabileceğinizi göstereceğiz.

İlk dağıtım hedeflerinin 1. aşamasındaki adımların diyagramı.

Tüm kullanıcılarınızı Microsoft Entra Id'ye Bağlan ve şirket içi kimlik sistemleriyle federasyon yapın

Çalışanlarınızın kimliklerinin ve gerekli güvenlik yapıtlarının (yetkilendirme grupları ve ek erişim ilkesi denetimleri için uç noktalar) sağlıklı bir işlem hattının korunması, sizi bulutta tutarlı kimlikleri ve denetimleri kullanmak için en iyi konuma getirir.

Şu adımları izleyin:

  1. Bir kimlik doğrulama seçeneği belirleyin. Microsoft Entra ID size en iyi deneme yanılma, DDoS ve parola spreyi koruması sağlar, ancak kuruluşunuz ve uyumluluk gereksinimleriniz için doğru kararı verir.

  2. Sadece ihtiyacınız olan kimlikleri getirin. Örneğin, yalnızca şirket içinde anlamlı olan hizmet hesaplarını geride bırakmak için buluta gitme fırsatı olarak kullanın. Şirket içi ayrıcalıklı rolleri geride bırakın.

  3. Kuruluşunuzda 100.000'den fazla kullanıcı, grup ve cihaz varsa yaşam döngünüzü güncel tutacak yüksek performanslı bir eşitleme kutusu oluşturun.

Microsoft Entra Id ile Identity Foundation'ınızı oluşturma

Sıfır Güven stratejisi için açıkça doğrulama, en az ayrıcalıklı erişim ilkelerini kullanma ve ihlal varsayma gerekir. Microsoft Entra Id, kullanıcı, uç nokta, hedef kaynak ve ortam içgörülerine göre erişim ilkelerinizi zorunlu kılmak için ilke karar noktası olarak görev yapabilir.

Şu adımı atın:

  • Microsoft Entra Kimliğini her erişim isteğinin yoluna yerleştirin. Bu, her kullanıcıyı ve her uygulamayı veya kaynağı tek bir kimlik denetim düzlemi üzerinden bağlar ve kimlik doğrulaması/yetkilendirme riski hakkında mümkün olan en iyi kararları almak için Microsoft Entra Id'ye sinyal sağlar. Buna ek olarak, çoklu oturum açma ve tutarlı ilke korumaları daha iyi bir kullanıcı deneyimi sağlar ve üretkenlik kazanımlarına katkıda bulunur.

Tüm uygulamalarınızı Microsoft Entra ID ile tümleştirme

Çoklu oturum açma, kullanıcıların kimlik bilgilerinin kopyalarını çeşitli uygulamalarda bırakmasını önler ve aşırı istem nedeniyle kullanıcıların kimlik bilgilerini teslim etmeye alışmalarını önlemeye yardımcı olur.

Ayrıca ortamınızda birden çok IAM motoru olmadığından emin olun. Bu, Microsoft Entra ID'nin gördüğü sinyal miktarını azaltmakla birlikte, kötü aktörlerin iki IAM motoru arasındaki dikişlerde yaşamalarına izin vermekle birlikte, kötü kullanıcı deneyimine ve iş ortaklarınızın Sıfır Güven stratejinizin ilk şüphecileri olmasına da yol açabilir.

Şu adımları izleyin:

  1. OAuth2.0 veya SAML konuşan modern kurumsal uygulamaları tümleştirin.

  2. Kerberos ve form tabanlı kimlik doğrulama uygulamaları için, Bunları Microsoft Entra uygulama ara sunucusunu kullanarak tümleştirin.

  3. Eski uygulamalarınızı uygulama teslim ağlarını/denetleyicilerini kullanarak yayımlıyorsanız, microsoft Entra ID kullanarak önemli uygulamaların çoğuyla (Citrix, Akamai ve F5 gibi) tümleştirin .

  4. Uygulamalarınızı ADFS ve mevcut/eski IAM altyapılarından keşfetmenize ve geçirmenize yardımcı olmak için kaynakları ve araçları gözden geçirin.

  5. Çeşitli bulut uygulamalarınıza kimlik göndermeye güç sağlayın. Bu, bu uygulamalar içinde daha sıkı bir kimlik yaşam döngüsü tümleştirmesi sağlar.

İpucu

Uygulamalar için uçtan uca Sıfır Güven stratejisi uygulama hakkında bilgi edinin.

Güçlü kimlik doğrulaması ile açıkça doğrulama

Şu adımları izleyin:

  1. Microsoft Entra çok faktörlü kimlik doğrulamasını (P1) kullanıma sunma. Bu, kullanıcı oturumu riskini azaltmanın temel bir parçasıdır. Kullanıcılar yeni cihazlarda ve yeni konumlarda göründükçe, bir MFA sınamasına yanıt verebilmek, kullanıcılarınızın bize bunların dünya çapında hareket ettikleri (yöneticilerin tek tek sinyalleri ayrıştırmalarına gerek kalmadan) tanıdık cihazlar/konumlar olduğunu öğretebilecekleri en doğrudan yollardan biridir.

  2. Eski kimlik doğrulamasını engelleme. Kötü amaçlı aktörler için en yaygın saldırı vektörlerinden biri, modern güvenlik zorluklarına neden olmayan SMTP gibi eski protokollere karşı çalınan/yeniden oynatılan kimlik bilgilerini kullanmaktır.

II. Koşullu Erişim ilkeleri erişim geçidi erişimi ve düzeltme etkinlikleri sağlar

Microsoft Entra Koşullu Erişim (CA), kararları otomatikleştirmek ve kaynak için kurumsal erişim ilkelerini zorunlu kılmak için kullanıcı, cihaz ve konum gibi sinyalleri analiz eder. ÇOK faktörlü kimlik doğrulaması (MFA) gibi erişim denetimleri uygulamak için CA ilkelerini kullanabilirsiniz. CA ilkeleri, güvenlik için gerektiğinde kullanıcılardan MFA istemenizi ve gerekmediğinde kullanıcıların yolundan uzak durmanızı sağlar.

Sıfır Güven'daki Koşullu Erişim ilkelerinin diyagramı.

Microsoft, temel bir güvenlik düzeyi sağlayan güvenlik varsayılanları olarak adlandırılan standart koşullu ilkeler sağlar. Ancak, kuruluşunuzun güvenlik varsayılanları teklifinden daha fazla esnekliğe ihtiyacı olabilir. Güvenlik varsayılanlarını daha ayrıntılı olarak özelleştirmek ve gereksinimlerinizi karşılayan yeni ilkeler yapılandırmak için Koşullu Erişim'i kullanabilirsiniz.

Koşullu Erişim ilkelerinizi önceden planlamak ve bir dizi etkin ve geri dönüş ilkesine sahip olmak, Sıfır Güven dağıtımda Erişim İlkesi uygulamanızın temel bir dayanağıdır. Ortamınızdaki güvenilir IP konumlarınızı yapılandırmak için zaman ayırın. Bunları koşullu erişim ilkesinde kullanmasanız bile, bu IP'lerin yapılandırılması yukarıda belirtilen Kimlik Koruması riskini bildirir.

Şu adımı atın:

  • Dayanıklı Koşullu Erişim ilkeleri için dağıtım kılavuzumuzu ve en iyi yöntemleri gözden geçirin.

Güvenlik açığı bulunan ve güvenliği aşılmış cihazlardan erişimi kısıtlamak için cihazları Microsoft Entra ID ile kaydetme

Şu adımları izleyin:

  1. Microsoft Entra karma katılımını veya Microsoft Entra katılımını etkinleştirin. Kullanıcının dizüstü bilgisayarını/bilgisayarını yönetiyorsanız, bu bilgileri Microsoft Entra Id'ye getirin ve daha iyi kararlar almak için kullanın. Örneğin, kullanıcının kuruluşunuzun denetlediğini ve yönettiği bir makineden geldiğini biliyorsanız verilere (bilgisayarda çevrimdışı kopyaları olan istemciler) zengin istemci erişimine izin vermeyi seçebilirsiniz. Bunu getirmezseniz, büyük olasılıkla zengin istemcilerden erişimi engellemeyi seçersiniz; bu da kullanıcılarınızın güvenliğiniz üzerinde çalışmasına veya gölge BT kullanmasına neden olabilir.

  2. Kullanıcılarınızın mobil cihazlarını yönetmek ve cihazları kaydetmek için Microsoft Endpoint Manager (EMS) içinde Intune hizmetini etkinleştirin. Dizüstü bilgisayarlar hakkında olduğu gibi kullanıcı mobil cihazları hakkında da aynı şey söylenebilir: Bunlar hakkında ne kadar çok bilginiz varsa (yama düzeyi, jailbreak uygulanmış, kök erişimli vb.), bunlara o kadar fazla güvenebilir veya güvenemezsiniz ve erişimi neden engellediğiniz/erişime izin vermeniz için bir gerekçe sağlayabilirsiniz.

İpucu

Uç noktalar için uçtan uca Sıfır Güven stratejisi uygulama hakkında bilgi edinin

III. Analiz görünürlüğü artırır

Microsoft Entra ID'de kimlik doğrulaması, yetkilendirme ve sağlama ile varlıklarınızı oluştururken, dizinde neler olduğuna ilişkin güçlü operasyonel içgörülere sahip olmanız önemlidir.

Görünürlüğü artırmak için günlüğe kaydetmenizi ve raporlamanızı yapılandırma

Şu adımı atın:




İki onay işareti içeren denetim listesi simgesi.

Ek dağıtım hedefleri

IV. Kimlikler ve erişim ayrıcalıkları kimlik idaresi ile yönetilir

İlk üç hedefinizi tamamladıktan sonra daha güçlü kimlik idaresi gibi ek hedeflere odaklanabilirsiniz.

Ek dağıtım hedeflerinin 4. aşamasındaki adımların diyagramı.

Privileged Identity Management ile ayrıcalıklı erişimin güvenliğini sağlama

Kullanıcıların ayrıcalıklı işlemlere/rollere erişmek için kullandığı uç noktaları, koşulları ve kimlik bilgilerini denetleyin.

Şu adımları izleyin:

  1. Ayrıcalıklı kimliklerinizin denetimini ele alın. Dijital olarak dönüştürülmüş bir kuruluşta ayrıcalıklı erişimin yalnızca yönetim erişimi değil, görev açısından kritik uygulamalarınızın çalışma ve verileri işleme şeklini değiştirebilen uygulama sahibi veya geliştirici erişimi olduğunu unutmayın.

  2. Ayrıcalıklı kimliklerin güvenliğini sağlamak için Privileged Identity Management'ı kullanın.

Uygulamalara kullanıcı onayı, modern uygulamaların kuruluş kaynaklarına erişmesi için çok yaygın bir yoldur, ancak göz önünde bulundurulması gereken bazı en iyi yöntemler vardır.

Şu adımları izleyin:

  1. Kuruluşunuzun verilerinin uygulamalara gereksiz yere maruz kalmadığından emin olmak için kullanıcı onayını kısıtlayın ve onay isteklerini yönetin.

  2. Aşırı veya kötü amaçlı onay için kuruluşunuzdaki önceki/mevcut onayı gözden geçirin.

Hassas bilgilere erişim taktiklerine karşı koruma araçları hakkında daha fazla bilgi için kimlik Sıfır Güven stratejisi uygulama kılavuzumuzun "Siber tehditlere ve sahte uygulamalara karşı korumayı güçlendirme" bölümüne bakın.

Yetkilendirmeyi yönetme

Microsoft Entra ID'den merkezi olarak kimlik doğrulaması ve yönlendirmesi yapılan uygulamalar sayesinde artık erişim isteğinizi, onayınızı ve yeniden onaylama sürecinizi kolaylaştırarak doğru kişilerin doğru erişime sahip olduğundan ve kuruluşunuzdaki kullanıcıların neden sahip oldukları erişime sahip olduklarına ilişkin bir izne sahip olduğunuzdan emin olabilirsiniz.

Şu adımları izleyin:

  1. Yetkilendirme Yönetimi'ni kullanarak kullanıcıların farklı takımlara/projelere katıldığında istekte bulunabilecekleri ve ilişkili kaynaklara (uygulamalar, SharePoint siteleri, grup üyelikleri gibi) erişim atayan erişim paketleri oluşturun.

  2. Yetkilendirme Yönetimi'ni dağıtmak şu anda kuruluşunuz için mümkün değilse, en azından self servis grup yönetimi ve self servis uygulama erişimi dağıtarak kuruluşunuzda self servis paradigmalarını etkinleştirin.

Kimlik avı ve parola saldırıları riskini azaltmak için parolasız kimlik doğrulamasını kullanma

FIDO 2.0'ı destekleyen Microsoft Entra Id ve parolasız telefonla oturum açma ile, kullanıcılarınızın (özellikle hassas/ayrıcalıklı kullanıcılar) gündelik olarak çalıştırıldığı kimlik bilgilerine iğneyi taşıyabilirsiniz. Bu kimlik bilgileri, riski de azaltabilecek güçlü kimlik doğrulama faktörleridir.

Şu adımı atın:

V. Kullanıcı, cihaz, konum ve davranış, riski belirlemek ve sürekli koruma sağlamak için gerçek zamanlı olarak analiz edilir

Gerçek zamanlı analiz, risk ve korumanın belirlenmesi açısından kritik öneme sahiptir.

Ek dağıtım hedeflerinin 5. aşamasındaki adımların diyagramı.

Microsoft Entra Password Protection'ı dağıtma

Kullanıcıları açıkça doğrulamak için diğer yöntemleri etkinleştirirken zayıf parolaları, parola spreyi ve ihlal yeniden yürütme saldırılarını göz ardı etmeyin. Klasik karmaşık parola ilkeleri de en yaygın parola saldırılarını engellemez.

Şu adımı atın:

  • Buluttaki ve şirket içindeki kullanıcılarınız için Microsoft Entra Parola Koruması'nı etkinleştirin.

Kimlik Koruması’nı etkinleştirme

Kimlik Koruması ile daha ayrıntılı oturum/kullanıcı riski sinyali alın. Altyapının ortamınızda riskin nasıl göründüğünü daha iyi anlamasına yardımcı olacak riski araştırabilir ve güvenliğin ihlal edildiğini onaylayabilir veya sinyali kapatabilirsiniz.

Şu adımı atın:

Kimlik Koruması ile Bulut için Microsoft Defender Uygulamaları tümleştirmesini etkinleştirme

Bulut için Microsoft Defender Apps, SaaS ve modern uygulamalar içindeki kullanıcı davranışını izler. Bu, kimlik doğrulamasından geçtikten ve belirteç aldıktan sonra kullanıcıya ne olduğu hakkında Microsoft Entra Id'yi bilgilendirmektedir. Kullanıcı düzeni şüpheli görünmeye başlarsa (örneğin, bir kullanıcı OneDrive'dan gigabaytlarca veri indirmeye başlar veya Exchange Online'da istenmeyen postalar göndermeye başlarsa), kullanıcının gizliliğinin ihlal edilmiş veya yüksek riskli olduğunu bildiren bir sinyal Microsoft Entra ID'ye iletilebilir. Bu kullanıcıdan gelen bir sonraki erişim isteğinde, Microsoft Entra Id kullanıcıyı doğrulamak veya engellemek için doğru bir şekilde işlem yapabilir.

Şu adımı atın:

Bulut için Microsoft Defender Uygulamaları ile Koşullu Erişim tümleştirmesini etkinleştirme

Kimlik doğrulaması sonrasında ve uygulamalara Bulut için Defender Uygulamalar ara sunucusu istekleriyle gönderilen sinyalleri kullanarak SaaS uygulamalarına giden oturumları izleyebilir ve kısıtlamaları zorunlu kılabilirsiniz.

Şu adımları izleyin:

  1. Koşullu Erişim tümleştirmesini etkinleştirin.

  2. Koşullu Erişimi şirket içi uygulamalara genişletme.

Erişim kararlarında kullanım için kısıtlı oturumu etkinleştirme

Bir kullanıcının riski düşükse ancak bilinmeyen bir uç noktadan oturum açıyorsa, kritik kaynaklara erişmesine izin vermek isteyebilirsiniz, ancak kuruluşunuzu uyumsuz durumda bırakan işlemler yapmalarına izin vermeyebilirsiniz. Artık Exchange Online ve SharePoint Online'ı, kullanıcıya e-postaları okumasına veya dosyaları görüntülemesine izin veren kısıtlı bir oturum sunacak şekilde yapılandırabilir, ancak bunları indirip güvenilmeyen bir cihaza kaydedemezsiniz.

Şu adımı atın:

VI. Algılama, koruma ve yanıtı geliştirmek için diğer güvenlik çözümlerinden gelen tehdit sinyallerini tümleştirme

Son olarak, daha fazla etkinlik için diğer güvenlik çözümleri tümleştirilebilir.

Kimlik için Microsoft Defender Bulut için Microsoft Defender Uygulamaları ile tümleştirme

Kimlik için Microsoft Defender ile tümleştirme, Microsoft Entra Id'nin bir kullanıcının şirket içi, modern olmayan kaynaklara (Dosya Paylaşımları gibi) erişirken riskli davranışlarda bulunduğunu bilmesini sağlar. Daha sonra bu, buluta daha fazla erişimi engellemek için genel kullanıcı riskine dahil edilebilir.

Şu adımları izleyin:

  1. Şirket içi sinyalleri kullanıcı hakkında bildiğimiz risk sinyaline getirmek için Bulut için Microsoft Defender Uygulamaları ile Kimlik için Microsoft Defender etkinleştirin.

  2. SoC'nizin hangilerine odaklanması gerektiğine ilişkin bütüncül bir görünüm vermek için risk altında olan her kullanıcının birleşik Araştırma Önceliği puanını denetleyin.

Uç Nokta için Microsoft Defender etkinleştirme

Uç Nokta için Microsoft Defender, Windows makinelerinin durumunu kanıtlamanıza ve bir risk altında olup olmadıklarını belirlemenize olanak tanır. Daha sonra bu bilgileri çalışma zamanında riski azaltmak için besleyebilirsiniz. Etki Alanına Katılma size bir denetim hissi sağlarken, Uç Nokta için Defender, birden çok kullanıcı cihazının güvenilir olmayan sitelere isabet ettiği desenleri algılayarak ve çalışma zamanında cihaz/kullanıcı riskini artırarak neredeyse gerçek zamanlı olarak kötü amaçlı yazılım saldırısına tepki vermenizi sağlar.

Şu adımı atın:

Siber Güvenlik ve OMB Memorandum 22-09'da Yönetim Emri 14028 uyarınca Kimliğin Güvenliğini Sağlama

Nations Cyber Security ve OMB Memorandum 22-09'un geliştirilmesine ilişkin Yönetim Emri 14028, Sıfır Güven ile ilgili belirli eylemleri içerir. Kimlik eylemleri merkezi kimlik yönetimi sistemlerinin kullanılması, kimlik avına dayanıklı güçlü MFA kullanımı ve yetkilendirme kararlarında en az bir cihaz düzeyinde sinyal eklenmesini içerir. Microsoft Entra Id ile bu eylemlerin yerine getirilmesiyle ilgili ayrıntılı yönergeler için bkz . Microsoft Entra Id ile 22-09 arası not defterinin kimlik gereksinimlerini karşılama.

Bu kılavuzda ele alınan ürünler

Microsoft Azure

Microsoft Entra ID

Kimlik için Microsoft Defender

Microsoft 365

Microsoft Endpoint Manager (Microsoft Intune'u içerir)

Uç Nokta için Microsoft Defender

SharePoint Online

Exchange Online

Sonuç

Kimlik, başarılı bir Sıfır Güven stratejisinin merkezinde yer alır. Daha fazla bilgi edinmek veya uygulamayla ilgili yardım almak için lütfen Müşteri Başarısı ekibinize başvurun veya bu kılavuzun tüm Sıfır Güven yapı taşlarını kapsayan diğer bölümlerini okumaya devam edin.



Sıfır Güven dağıtım kılavuzu serisi

Giriş simgesi

Kimlik simgesi

Uç noktalar simgesi

Uygulamalar simgesi

Veri simgesi

Altyapı simgesi

Ağlar için simge

Görünürlük, otomasyon, düzenleme simgesi