Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Ayrıcalıklı erişim , kurumsal erişim modelinde yer alır ve denetim düzleminin tek yönetim yolunu sağlar. Sistemleri kimlerin yapılandırabileceğini, kimlikleri yönetebileceğini, güvenliği uygulayabileceğini ve nihai olarak kuruluşun teknoloji ortamını şekillendirebileceğini tanımlar.
Modern kuruluşlarda, nispeten az sayıda kimlik ( yöneticiler, hizmet hesapları ve denetim düzlemi rolleri) çoğu iş varlığına güç ve erişime sahiptir. Bu kimlikler şunları yapabilir:
- Erişim denetimlerini değiştirme
- Sistem yapılandırmalarını değiştirme
- Hassas verilere erişme
- Güvenlik korumalarını devre dışı bırakma veya atlama
Saldırganlar bunu tanır. Her sisteme tek tek saldırmak yerine şu konulara odaklanır:
- Kimlik bilgileri çalınıyor.
- Yükseltme ayrıcalıkları.
- Katma değeri yüksek rollere yatay geçiş yapmak.
Ayrıcalıklı erişim elde edildikten sonra saldırgan hız ve ölçekle çalışabilir.
Bu nedenle modern güvenlik modelleri ayrıcalıklı erişimi farklı şekilde ele almaktadır:
- Açıkça kontrol edilmelidir. Örneğin, kalıcı rol atamaları yerine onay ve süreyle sınırlı yetki yükseltmesi gerektirecek şekilde, ayrıcalıklı rolleri ve kuruma katılım süreçlerini kimlik yönetişimi ve ayrıcalıklı kimlik yönetimi (PIM) aracılığıyla tanımlayın.
- Normal etkinlikten yalıtılmış olmalıdır. Örneğin, ayrıcalıklı eylemlerin standart kullanıcı oturumlarından veya yönetilmeyen cihazlardan gerçekleşmemesi için ayrı yönetim hesapları ve ayrılmış ayrıcalıklı erişim cihazları (PAW) kullanın.
- Sürekli izlenmelidir. Örneğin, olağan dışı kullanım düzenlerini algılamak ve uyarıları veya otomatik yanıtı tetikleme amacıyla Microsoft Sentinel gibi izleme araçlarına ayrıcalıklı oturum açma işlemleri, rol etkinleştirmeleri ve ilke değişiklikleri gönderin.
- Ayrıcalıklı erişimin güvenliği aşmanın birincil hedefi olduğu kabul edilmelidir. Örneğin, saldırganların kimlik bilgilerini çalmaya ve ayrıcalık yükseltmeye çalıştığını varsayarak, tüm ayrıcalıklı hesapları güçlü çok faktörlü kimlik doğrulama (MFA), kalıcı erişimin olmaması ve acil durum (break-glass) hesap kontrolleriyle koruyun.
Ayrıcalıklı erişimin korunması, ayrıcalıklı erişime sahip tüm bileşenleri anlamak için yalnızca rollerin ve hesapların ötesine bakmayı gerektirir. Buna aşağıdakiler dahildir:
- Kimlik kontrol düzlemi.
- Ayrıcalıklı cihazlar, uygulamalar ve arabirimler.
- VPN'ler, PIM ve ayrıcalıklı erişim yönetimi (PAM) sistemleri gibi aracı sistemler.
Bunlar birlikte denetimin nasıl icra edilesini ve nasıl korunması gerektiğini tanımlar.
Aşağıdaki grafikte ayrıcalıklı erişim güvenliğinin aşılmasına yönelik olası saldırı yüzeyi gösterilmektedir.
Kimlik denetim düzlemi
Kimlik denetim düzlemi, kimlerin ayrıcalıklı rollere sahip olabileceğini ve bu ayrıcalıkların kuruluş genelinde nasıl atandığını, yükseltildiğini ve iptal edileceğini tanımlayan ve yöneten katmandır. Ayrıcalıklı erişim bağlamında, diğer tüm denetimlerin bağımlı olduğu temeli oluşturan ayrıcalıklı kimlikleri, rol atamalarını ve onaylı yükseltme yollarını içerir.
Kimlik denetim düzleminin güvenliğini sağlamak, ayrıcalığı açık, zamana bağlı, güçlü bir şekilde kimlik doğrulamasından geçirilebilir ve denetlenebilir hale getirerek ortamın tamamını denetleyen sistemlere yetkisiz veya denetimsiz erişimi önler.
Aşağıdaki diyagramda, denetim düzleminin bulut hizmetlerinde (Microsoft Entra ID, Intune, uç nokta için Defender) merkezi olarak yönetildiğini ve yalnızca ayrıcalıklı erişim iş istasyonu (PAW) aracılığıyla erişilebildiği, tüm ayrıcalıklı işlemlerin yalıtım, denetim ve güvenli yönetiminin zorunlu olduğu gösterilmektedir.
Denetim düzlemi rolleri
Microsoft Entra ID, ayrıcalıklı olarak tanımlanan rollere ve izinlere sahiptir.
Bu roller ve izinler, dizin kaynaklarının yönetimini diğer kullanıcılara devretmek, kimlik bilgilerini, kimlik doğrulama veya yetkilendirme ilkelerini değiştirmek ya da kısıtlanmış verilere erişmek için kullanılabilir. Ayrıcalıklı rol atamaları, güvenli ve amaçlanan şekilde kullanılmadıkları takdirde ayrıcalıkların yükseltilmesine yol açabilir.
- ayrıcalıklı Microsoft Entra rollerini gözden geçirin.
- Ayrıcalıklı rolleri görüntüleme ve kullanma hakkında daha fazla bilgi edinin.
Ayrıcalıklı erişim iş istasyonları
Privileged Access Workstation (PAW), yalnızca yönetim görevlerini gerçekleştirmek için kullanılan ayrılmış, sağlamlaştırılmış bir cihazdır. Normal kullanıcı cihazlarından ayrıdır ve kimlik bilgisi hırsızlığı, kötü amaçlı yazılım veya yanal hareket riskini azaltmak için sıkı bir şekilde güvenlidir. PAW'lar şunlar gibi temel korumaları zorunlu kılar:
- Güçlü kimlik doğrulaması (örneğin, Kurumsal Windows Hello)
- Cihaz sağlamlaştırma (Credential Guard, Device Guard, Exploit Guard, AppLocker)
- Kısıtlı kullanım (genel tarama veya üretkenlik etkinliği yok)
Amaç, ayrıcalıklı kimlik bilgilerinin ve eylemlerin güvenilmeyen ortamlara hiçbir zaman sunulmamasını sağlamaktır.
Aşağıdaki diyagramda PAW'ın kontrol düzlemine tek güvenilen erişim noktasında nasıl olduğu gösterilmektedir.
Diyagramda gösterildiği gibi, tüm yönetim eylemleri PAW üzerinden akar ve tabloda özetlendiği gibi denetlenır.
| Denetim | Uygulama |
|---|---|
| Açıkça denetlendi | Yönetim erişimi yalnızca ilke tabanlı kimlik denetimleri aracılığıyla verilir, güçlü kimlik doğrulaması ve onaylanan, zamana bağlı yükseltme gerekir. Erişime izin verilmeden önce cihaz durumu da uyumluluk gereksinimlerini karşılamalıdır. |
| Normal etkinlikten yalıtılmış | Ayrıcalıklı işlemler, kullanımı ve bağlantısı sıkı bir şekilde denetlenen ayrılmış bir PAW cihazıyla sınırlıdır. PAW, kısıtlı internet erişimi ve hassas sistemlere güvenli uzaktan bağlantı ile genel üretkenlik için kullanılmaz. |
| Sürekli izlenen | Tüm kimlik etkinliği, cihaz durumu ve uç nokta davranışı sürekli olarak toplanır ve analiz edilir ve anormal ayrıcalıklı etkinliğin algılanması ve hızlı yanıt sağlanır. |
| Hedeflendiği varsayıldı | Saldırganların ayrıcalıklı erişimi hedefledigi varsayılarak ortam sağlamlaştırılmış ve sürekli doğrulanmıştır. Cihazlar güncel tutulur, güvenli önyükleme uygulanır. |
Sonraki Adımlar
ayrıcalıklı erişim mimarisi dağıtın.