Azure ve Amazon Web Services (AWS) ile çoklu bulut güvenliği ve kimliği
Birçok kuruluş, kasıtlı stratejik amaçları olmasa bile, kendini gerçek bir çoklu bulut stratejisiyle buluyor. Çoklu bulut ortamında, geliştiriciler, iş girişimleri ve güvenlik boşluklarından yararlanan siber saldırılardan kaynaklanan kurumsal riskin artmasını önlemek için tutarlı güvenlik ve kimlik deneyimlerinin sağlanması kritik önem taşır.
Bulutlar arasında güvenlik ve kimlik tutarlılığının desteklenmesi şunları içermelidir:
- Çoklu bulut kimlik tümleştirmesi
- Güçlü kimlik doğrulaması ve açık güven doğrulaması
- Bulut Platformu Güvenliği (çoklu bulut)
- Microsoft Defender for Cloud
- Privilege Identity Management (Azure)
- Tutarlı uçtan uca kimlik yönetimi
Çoklu bulut kimlik tümleştirmesi
Hem Azure hem de AWS bulut platformlarını kullanan müşteriler, Microsoft Entra ID ve Çoklu Oturum Açma (SSO) hizmetlerini kullanarak bu iki bulut arasında kimlik hizmetlerini birleştirme avantajından yararlanıyor. Bu model, her iki buluttaki hizmetlere tutarlı bir şekilde erişilebilen ve yönetilebilen birleştirilmiş bir kimlik düzlemi sağlar.
Bu yaklaşım, Microsoft Entra Id'deki zengin rol tabanlı erişim denetimlerinin, Microsoft Entra ID'deki ve özniteliklerini IAM izinleriyle ilişkilendirme user.userprincipalname kuralları kullanılarak AWS'deki Kimlik ve user.assignrole Erişim Yönetimi (IAM) hizmetlerinde etkinleştirilmesini sağlar. Bu yaklaşım, aws tarafından uygulanan hesap tasarımı başına kimlik birleştirilmesi dahil olmak üzere kullanıcıların ve yöneticilerin her iki bulutta da bakımını yapmak için gereken benzersiz kimlik sayısını azaltır. AWS IAM çözümü, Microsoft Entra Id'yi müşterileri için federasyon ve kimlik doğrulama kaynağı olarak sunar ve özel olarak tanımlar.
Bu tümleştirmenin tüm adımları Öğretici: Amazon Web Services (AWS) ile Microsoft Entra çoklu oturum açma (SSO) tümleştirmesinde bulunabilir.
Güçlü kimlik doğrulaması ve açık güven doğrulaması
Birçok müşteri Active Directory hizmetleri için karma kimlik modelini desteklemeye devam ettiğinden, güvenlik mühendisliği ekiplerinin güçlü kimlik doğrulama çözümleri uygulaması ve öncelikli olarak şirket içi ve eski Microsoft teknolojileriyle ilişkili eski kimlik doğrulama yöntemlerini engellemesi giderek daha önemlidir.
Çok faktörlü kimlik doğrulaması ve koşullu erişim ilkelerinin birleşimi, kuruluşunuzdaki son kullanıcılar için yaygın kimlik doğrulama senaryoları için gelişmiş güvenlik sağlar. Çok faktörlü kimlik doğrulaması, kimlik doğrulamalarını onaylamak için güvenlik düzeyini artırırken, hem Azure hem de AWS bulut ortamlarında eski kimlik doğrulamasını engellemek için koşullu erişim denetimleri kullanılarak ek denetimler uygulanabilir. Yalnızca modern kimlik doğrulama istemcilerini kullanan güçlü kimlik doğrulaması yalnızca çok faktörlü kimlik doğrulaması ve koşullu erişim ilkelerinin birleşimiyle mümkündür.
Bulut Platformu Güvenliği (çoklu bulut)
Çoklu bulut ortamınızda ortak bir kimlik oluşturulduktan sonra, Bulut için Microsoft Defender Uygulamalarının Cloud Platform Security (CPS) hizmeti bu hizmetleri keşfetmek, izlemek, değerlendirmek ve korumak için kullanılabilir. Güvenlik operasyonları personeli Cloud Discovery panosunu kullanarak AWS ve Azure bulut platformlarında kullanılan uygulamaları ve kaynakları gözden geçirebilir. Hizmetler gözden geçirildikten ve kullanım tasdik edildikten sonra, kullanıcılara kolaylık sağlamak amacıyla SAML, parola tabanlı ve bağlantılı Çoklu Oturum Açma modunu etkinleştirmek için hizmetler Microsoft Entra ID'de kurumsal uygulamalar olarak yönetilebilir.
CPS ayrıca satıcıya özgü önerilen güvenlik ve yapılandırma denetimlerini kullanarak yanlış yapılandırmalar ve uyumluluk için bağlı bulut platformlarını değerlendirme olanağı sağlar. Bu tasarım, kuruluşların tüm bulut platformu hizmetlerinin tek birleştirilmiş görünümünü ve uyumluluk durumlarını korumasını sağlar.
CPS ayrıca bu platformlara veri sızdırma veya kötü amaçlı dosyalar sunulduğunda ortamınızı riskli uç noktalardan veya kullanıcılardan korumak için erişim ve oturum denetimi ilkeleri sağlar.
Microsoft Defender for Cloud
Bulut için Microsoft Defender Azure, Amazon Web Services (AWS) ve Google Cloud Platform (GCP) iş yükleri dahil olmak üzere hibrit ve çoklu bulut iş yüklerinizde birleşik güvenlik yönetimi ve tehdit koruması sağlar. Bulut için Defender güvenlik açıklarını bulup düzeltmenize, kötü amaçlı etkinlikleri engellemek için erişim ve uygulama denetimleri uygulamanıza, analiz ve zeka kullanarak tehditleri algılamanıza ve saldırı altındayken hızlı yanıt vermenize yardımcı olur.
aws tabanlı kaynaklarınızı Bulut için Microsoft Defender korumak için, Klasik bulut bağlayıcıları deneyimine veya önerilen Ortam ayarları sayfasına (önizlemede) sahip bir hesap bağlayabilirsiniz.
Privileged Identity Management (Azure)
Microsoft Entra Id'deki en yüksek ayrıcalıklı hesaplarınızın erişimini sınırlamak ve denetlemek için Privileged Identity Management (PIM), Azure hizmetlerine tam zamanında erişim sağlamak üzere etkinleştirilebilir. Dağıtıldıktan sonra PIM, roller için atama modelini kullanarak erişimi denetlemek ve sınırlandırmak, bu ayrıcalıklı hesaplar için kalıcı erişimi ortadan kaldırmak ve bu hesap türlerine sahip kullanıcıların ek keşfedilip izlenmesini sağlamak için kullanılabilir.
Microsoft Sentinel ile birlikte kullanıldığında, güvenliği tehlikeye girmiş hesapların yanal hareketi olduğunda güvenlik operasyonları merkezi personelinizi izlemek ve uyarı göndermek için çalışma kitapları ve playbook'lar oluşturulabilir.
Tutarlı uçtan uca kimlik yönetimi
Tüm süreçlerin hem tüm bulutların hem de şirket içi sistemlerin uçtan uca görünümünü içerdiğinden ve güvenlik ve kimlik personelinin bu süreçler üzerinde eğitildiğinden emin olun.
Microsoft Entra Id, AWS Hesapları ve şirket içi hizmetler genelinde tek bir kimlik kullanmak bu uçtan uca stratejiyi etkinleştirir ve ayrıcalıklı ve ayrıcalıklı olmayan hesaplar için hesapların daha fazla güvenlik ve korunmasına olanak tanır. Şu anda çoklu bulut stratejilerinde birden çok kimliği koruma yükünü azaltmak isteyen müşteriler, ortamlarındaki anomalilerin tutarlı ve güçlü bir şekilde denetlenmesi, denetlenmesi ve algılanması ve kimliklerin kötüye kullanılması için Microsoft Entra ID'yi benimsemektedir.
Microsoft Entra ekosistemindeki yeni özelliklerin sürekli büyümesi, çoklu bulut ortamlarınızda kimlikleri ortak bir denetim düzlemi olarak kullanmanın bir sonucu olarak ortamınıza yönelik tehditlerden önde kalmanıza yardımcı olur.
Sonraki adımlar
- Microsoft Entra B2B: İş ortağı tarafından yönetilen kimliklerden kurumsal uygulamalarınıza erişim sağlar.
- Azure Active Directory B2C: Tüketiciye yönelik uygulamalar için çoklu oturum açma ve kullanıcı yönetimi desteği sunan hizmet.
- Microsoft Entra Domain Services: Active Directory uyumlu etki alanına katılma ve kullanıcı yönetimi işlevselliği sağlayan barındırılan etki alanı denetleyicisi hizmeti.
- Microsoft Azure’daki güvenlik özellikleriyle çalışmaya başlama
- Azure Kimlik Yönetimi ve erişim denetimi için en iyi güvenlik uygulamaları
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin