Azure AD ile kimlik doğrulaması
Yönetilen kimlikler, Azure Hizmetlerinin kod aracılığıyla açık kimlik bilgileri vermeden kimlik doğrulaması yapmalarına ve güvenliği artırmalarına olanak sağlar.
Azure kaynakları için yönetilen kimlikler bir Azure Active Directory özelliğidir. Azure kaynakları için yönetilen kimlikleri destekleyen Azure hizmetlerinin her biri kendi zaman çizelgesine tabidir. Başlamadan önce kaynağınıza yönelik yönetilen kimliklerin kullanılabilirlik durumunu ve bilinen sorunları gözden geçirdiğinizden emin olun. Bu özellik, Azure hizmetlerine Azure AD üzerinde otomatik olarak yönetilen bir kimlik sağlar. Bu kimliği kullanarak, Key Vault da dahil olmak üzere Azure AD kimlik doğrulamasını destekleyen tüm hizmetlerde kodunuzda kimlik bilgileri olmadan kimlik doğrulaması yapabilirsiniz. Azure kaynakları için yönetilen kimlikler özelliği, Azure abonelikleri için Azure AD ile ücretsizdir ve ek ücret ödemez.
İki tür yönetilen kimlik vardır:
- Sistem tarafından atanan yönetilen kimlik doğrudan bir Azure hizmet örneğinde etkinleştirilir. Kimlik etkinleştirildiğinde Azure, örneğin aboneliğinin güvendiği Azure AD kiracısında örnek için bir kimlik oluşturur. Kimlik oluşturulduktan sonra, kimlik bilgileri örneğe sağlanır. Sistem tarafından atanan kimliğin yaşam döngüsü, etkinleştirilen Azure hizmet örneğine doğrudan bağlanır. Örnek silinirse, Azure AD'deki kimlik bilgileri ve kimlik Azure tarafından otomatik olarak temizlenir.
- Kullanıcı tarafından atanan yönetilen kimlik, tek başına bir Azure kaynağı olarak oluşturulur. Bir oluşturma işlemi çerçevesinde, Azure kullanılan abonelik tarafından güvenilen Azure AD kiracısında bir kimlik oluşturur. Kimlik oluşturulduktan sonra, bir veya birden çok Azure hizmet örneğine atanabilir. Kullanıcı tarafından atanan kimliğin yaşam döngüsü, atandığı Azure hizmet örneklerinin yaşam döngüsünden ayrı yönetilir.
Şifreleme anahtarları yerine kimlik hizmetleriyle kimlik doğrulaması yapma. Azure'da Yönetilen Kimlikler yanlışlıkla sızdırılmış olan kimlik bilgilerini depolama ihtiyacı ortadan kaldırılmış olur. Yönetilen Kimlik bir Azure kaynağı için etkinleştirildiğinde, Azure AD belirteçlerini almak için kullanabileceğiniz bir kimlik atanır. Daha fazla bilgi için bkz. Azure kaynakları için Azure AD tarafından yönetilen kimlikler.
Örneğin, Azure Kubernetes Service (AKS) kümesinden (ACR) Azure Container Registry gerekir. Görüntüye erişmek için kümenin ACR kimlik bilgilerini biliyor olması gerekir. Önerilen yol, küme yapılandırması sırasında Yönetilen Kimlikleri etkinleştirmektir. Bu yapılandırma kümeye bir kimlik atar ve kümenin Azure AD belirteçleri elde yapılandırmasını sağlar.
Bu yaklaşım güvenlidir çünkü temel alınan kimlik bilgilerinin yönetimini Sizin için Azure halleder.
- Kimlik, AKS kümesi örneğinde kaynağın yaşam döngüsüne bağlanır. Kaynak silindiğinde, Azure kimliği otomatik olarak siler.
- Azure AD, gizli dizileri sizin için zamanında döndürmeyi yönetir.
İpucu
Yukarıdaki örneğin kaynakları şu şekildedir:
GitHub: Azure Kubernetes Service (AKS) Güvenli Temel Başvuru Uygulaması.
Tasarım konusunda dikkat edilmesi gerekenler , Azure Kubernetes Service (AKS) üretim temeli altında açıklanmıştır.
Önerilen eylemler
- İş yükü kimlik doğrulamasını gözden geçirme ve açık kimlik bilgilerini (bağlantı dizesi ve API anahtarı gibi) yönetilen kimlikleri kullanmak üzere dönüştürme fırsatlarını belirleme.
- Tüm yeni Azure iş yükleri için, uygun olduğunda yönetilen kimlikleri kullanmayı standartlaştırın.
Daha fazla bilgi edinin
Azure kaynakları için yönetilen kimlikler nedir?
Uygulama API'leri ne tür bir kimlik doğrulaması gerektirir?
bir iş yükü tarafından kullanılan API URL'lerinin gizli olduğunu ve saldırganlara açık ola olmadığını varsayma. Örneğin, bir web sitesinde JavaScript kodu görüntülenebilirsiniz. Bir mobil uygulamanın derlemesi ve incelemeleri olabilir. Yalnızca arka uçta kullanılan iç API'ler için bile kimlik doğrulaması gereksinimi, bir saldırgan ağ erişimine sahipse yanal hareket zorluğuna neden olabilir. Tipik mekanizmalar API anahtarlarını, yetkilendirme belirteçlerini, IP kısıtlamalarını içerir.
Yönetilen Kimlik, insan tarafından yönetilen hizmet sorumlularının kullanımının yerini alan ve yetkilendirme belirteçleri isteğine neden olan API'nin daha güvenli olması için yardımcı olabilir.
Kullanıcı kimlik doğrulaması uygulamada nasıl ele alımını sağlar?
Kullanıcı kimlik bilgilerini yönetmek için özel uygulamalar kullanma. Bunun yerine Azure AD'yi veya Azure B2C gibi Microsoft hesabı kimlik sağlayıcılarını kullanın. Yönetilen kimlik sağlayıcıları modern parola korumaları, çok faktörlü kimlik doğrulaması (MFA) ve sıfırlamalar gibi ek güvenlik özellikleri sağlar. Genel olarak parolasız korumalar tercih edilir. Ayrıca, OAuth 2.0 gibi modern protokoller sınırlı zaman aralıklı belirteç tabanlı kimlik doğrulaması kullanır.
Kimlik doğrulama belirteçleri web sunucuları arasında paylaştırıldıklarında güvenli bir şekilde önbelleğe alınmış ve şifrelenir mi?
Uygulama kodu, performansı iyileştirmek ve kullanılabilirliği en üst düzeye çıkarmak için kimlik sağlayıcısından belirteç almaya çalışmadan önce önbellekten OAuth erişim belirteçlerini sessizce almaya çalışmalı. Belirteçler güvenli bir şekilde depolanmış ve diğer kimlik bilgileri olarak iş gerektir. Belirteçleri uygulama sunucuları arasında paylaşma ihtiyacı olduğunda (her sunucu kendi belirteçlerini almak ve önbelleğe almak yerine) şifreleme kullanılmalıdır.
Bilgi için bkz. Belirteçleri edinme ve önbelleğe almak.
Platformlar arası desteği olan bir sistem seçme
Tüm platformlarda (işletim sistemleri, bulut sağlayıcıları ve üçüncü taraf hizmetler) kimlik doğrulaması için tek bir kimlik sağlayıcısı kullanın.
Azure AD, hizmet sağlayıcısı olarak Windows, Linux, Azure, Office 365, diğer bulut sağlayıcıları ve üçüncü taraf hizmetlerde kimlik doğrulaması yapmak için kullanılabilir.
Örneğin, Azure AD tümleştirmesi ile Azure'da Linux sanal makinelerinin (VM) güvenliğini geliştirin. Ayrıntılar için bkz. Kimlik doğrulaması kullanarak Azure'da Linux sanal Azure Active Directory açma.
Tüm kimlik sistemlerini merkezileştirme
Tutarlılık sağlamak ve insan hatalarını azaltmak için bulut kimliğinizi mevcut kimlik sistemleriyle eşitlenmiş durumda tutma.
Bulutta ve şirket içinde kimliklerin tutarlılığı insan hatasını ve sonuçta güvenlik riskini azaltır. Teams ortamdaki kaynakları yönetmek için güvenlik güvencelerini elde etmek için tutarlı bir yetkili kaynak gerekir. İzleme için, bir ara eşleme işlemi olmadan kimlik belirlenenin, güvenlik verimliliği artırıldı.
Eşitleme, kullanıcılara şirket içi kimliklerine göre bulutta bir kimlik sağlamakla ilgilidir. Kimlik doğrulaması veya federasyon kimlik doğrulaması için eşitlenmiş hesap kullansalar da kullanmasalar da, kullanıcıların bulutta bir kimliğe sahip olması gerekir. Bu kimliğin düzenli aralıklarla korunması ve güncelleştirilmiş olması gerekir. Güncelleştirmeler, başlık değişikliklerinden parola değişikliklerine kadar birçok farklı biçime sahip olabilir.
Kuruluşun şirket içi kimlik çözümünü ve kullanıcı gereksinimlerini değerlendirerek başlayabilirsiniz. Bu değerlendirme, kullanıcı kimliklerinin bulutta nasıl oluşturulacak ve korunacakları ile ilgili teknik gereksinimleri tanımladığı için önemlidir. Kuruluşların çoğu için Active Directory şirket içinde kurulur ve kullanıcıların eşitlenecekleri şirket içi dizindir, ancak her zaman böyle değildir.
Azure AD'Bağlan mevcut şirket içi dizininiz ile eşitlemek için Azure AD Bağlan'ı kullanmayı düşünün. Geçiş projeleri için, Azure geçiş ve geliştirme projeleri başlamadan önce bu görevi tamamlama gereksiniminiz vardır.
Önemli
Yüksek ayrıcalıklı hesapları şirket içi dizinle eşitleme. Bir saldırgan şirket içi varlıkların tam denetimine sahipse, bir bulut hesabının güvenliğini tehlikeye atabilirsiniz. Bu strateji bir olayın kapsamını sınırlar. Daha fazla bilgi için bkz. Kritik etki hesabı bağımlılıkları.
Eşitleme varsayılan Azure AD etki alanı yapılandırmasında varsayılan Bağlan engellenir. Bu yapılandırmayı özelleştirmeyebilirsiniz. Azure AD'de filtreleme hakkında bilgi için bkz. Azure AD Bağlan eşitleme: Filtrelemeyi yapılandırma.
Daha fazla bilgi için bkz. karma kimlik sağlayıcıları.
İpucu
Yukarıdaki örneğin kaynakları şu şekildedir:
Tasarım konusunda dikkat edilmesi gerekenler Azure AD ile şirket içi Active Directory etki alanlarını tümleştir altında açıklanmıştır.
Daha fazla bilgi edinin
Karma kimlik sistemlerini eşitleme
Parolasız kimlik doğrulaması kullanma
Saldırganlar açık yönetim bağlantı noktaları için genel bulut IP aralıklarını sürekli tarar. Zayıf kimlik bilgilerini(parolaspreyi) ve SSH ve RDP gibi yönetim protokolleri içinde eşleşmeyen güvenlik açıklarından yararlanmaya çalışıyor. Sanal makinelere doğrudan internet erişiminin önlenmesi, yanlış yapılandırmayı veya gözetimi durdurarak daha ciddi hale geliyor.
Saldırı yöntemleri, tek başına parolaların bir hesabı güvenilir bir şekilde koruyama noktasına geldi. Parolasız ve çok faktörlü kimlik doğrulaması dahil olmak üzere modern kimlik doğrulama çözümleri, güçlü kimlik doğrulaması ile güvenlik duruşlarını artırmaktadır.
Mümkün olduğunda parola kullanımını kaldırın. Ayrıca, oturum açma ve şirket içi veya buluttaki kaynaklara erişmek için aynı kimlik bilgileri kümesine gerek vardır. Bu gereksinim, yönetici hesapları gibi parola gerektiren hesaplar için çok önemlidir.
Azure AD 'de Modern kimlik doğrulama ve güvenlik özellikleriyle, bu temel parolanın takıma eklenmesi veya daha güvenli kimlik doğrulama yöntemleriyle değiştirilmeleri gerekir. Her kuruluş, kimlik doğrulamasına geldiğinde farklı gereksinimlere sahiptir. Microsoft, Azure Active Directory (Azure AD) ile tümleştirilen üç adet passwordless kimlik doğrulama seçeneği sunar:
- İş İçin Windows Hello
- Microsoft Authenticator uygulaması
- FIDO2 güvenlik anahtarları
Parolasız olmak üzere dört aşamalı bir planı izlemeniz önerilir:
- Parola değiştirme teklifi geliştirme
- Kullanıcı tarafından görülebilen parola yüzeyi alanını azaltma
- Parola-daha az dağıtıma geçiş
- Kimlik dizininden parolaları kaldırma
Aşağıdaki kimlik doğrulama yöntemleri, en yüksek maliyet/zorlukla (en güçlü/tercih edilen seçenekler) en düşük maliyet/güç saldırılarına göre sıralanır:
- Passwordless kimlik doğrulaması. bu yöntemin bazı örnekleri Windows Hello veya Authenticator uygulamasıiçerir.
- MFA. Bu yöntem parolalardan daha etkilidir, ancak SMS metin mesajı tabanlı MFA 'ya bağlı olarak kaçınmanızı öneririz. daha fazla bilgi için bkz. oturum açma olaylarını güvenli hale getirmek için kullanıcı başına Azure Active Directory MFA 'yı etkinleştirme.
- Yönetilen kimlikler. Bkz. kimlik tabanlı kimlik doğrulaması kullanma.
Bu yöntemler tüm kullanıcılar için geçerlidir, ancak yönetim ayrıcalıklarına sahip hesaplara ilk ve en güçlü şekilde uygulanmalıdır.
Bu stratejinin bir uygulaması, cihazlar, uygulamalar ve hizmetler için çoklu oturum açma (SSO) olanağı sağlar. Tek bir kullanıcı hesabı kullanarak bir kez oturum açarak, iş gereksinimlerine göre tüm uygulama ve kaynaklara erişim izni verebilirsiniz. Kullanıcıların birden çok Kullanıcı adı ve parola kümesini yönetmesi gerekmez. Uygulama erişimini otomatik olarak temin edebilir veya sağlayabilirsiniz. Daha fazla bilgi için bkz. Çoklu oturum açma.
Önerilen Eylemler
- İşlemleri önemli ölçüde etkilemeksizin tüm kullanıcılar için MFA gerektiren bir passwordless Stratejisi geliştirin.
- İlke ve işlemlerin kısıtlama gerektirdiğinden ve sanal makineler tarafından doğrudan internet bağlantısını izlemediğinden emin olun.
Daha fazla bilgi edinin
Modern parola koruması kullan
Parolaların kullanımını azaltan yöntemler aracılığıyla modern korumalar gerektir. Modern kimlik doğrulama protokolleri MFA gibi güçlü denetimleri destekler ve eski kimlik doğrulama yöntemleri yerine kullanılmalıdır. Eski yöntemlerin kullanılması, kimlik bilgisi pozlaması riskini artırır.
Modern kimlik doğrulaması, daha güvenli Kullanıcı kimlik doğrulaması ve yetkilendirmesi sunan bir kimlik yönetimi yöntemidir. şirket içi Skype Kurumsal sunucu ve Exchange server şirket içi ve bölünmüş etki alanı Skype Kurumsal hybrilar Office 365 karma dağıtımları için kullanılabilir.
Modern kimlik doğrulaması, bir istemci (örneğin, dizüstü bilgisayarınız veya telefonunuz) ile bir sunucu arasındaki kimlik doğrulama ve yetkilendirme yöntemlerinin yanı sıra bildiğiniz erişim ilkelerine bağlı bazı güvenlik önlemlerinin bir birleşimi için şemsiye bir terimdir. Şunları içerir:
- Kimlik doğrulama yöntemleri: MFA; Akıllı kart kimlik doğrulaması; istemci sertifikası tabanlı kimlik doğrulaması
- Yetkilendirme yöntemleri: Microsoft 'un Open Authorization (OAuth) kullanımı
- koşullu erişim ilkeleri: mobil uygulama yönetimi (MAM) ve Azure Active Directory (Azure AD) koşullu erişim
Modern kimlik doğrulama protokollerinden yararlanan iş yüklerini gözden geçirin ve mümkün olduğunda dönüştürün. Ayrıca, gelecekteki tüm iş yükleri için modern kimlik doğrulama protokollerini kullanarak standartlaştırın.
Azure için Azure AD 'de korumaları etkinleştirin:
parola karmalarını eşitleyecek Azure AD Connect yapılandırın. bilgi için bkz. Azure AD Connect eşitleme ile parola karması eşitlemeyi uygulama.
Bir raporda bulunan sorunları otomatik olarak mi yoksa el ile mi düzeltemeyeceğinizi seçin. Daha fazla bilgi için bkz. kimlik risklerini izleme.
Azure AD 'de Modern parolaları destekleme hakkında daha fazla bilgi için aşağıdaki makalelere bakın:
- Kimlik koruması nedir?
- Active Directory Domain Services için şirket içi Azure AD parola korumasını zorlayın
- Risk altındaki kullanıcılar güvenlik raporu
- Riskli oturum açma işlemleri güvenlik raporu
Office 365 'da modern parolaları destekleme hakkında daha fazla bilgi için aşağıdaki makaleye bakın:
Modern kimlik doğrulaması nedir?
Koşullu erişimi etkinleştirme
Modern bulut tabanlı uygulamalara genellikle internet üzerinden erişilebilir ve ağ konumu tabanlı erişim ve tek etmenli parolalara karşı bir sorumluluk vardır. Koşullu erişim, bir erişim kararı için kimlik doğrulama ilkenizi açıklar. Örneğin, bir Kullanıcı Intune tarafından yönetilen bir şirket BILGISAYARDAN bağlanıyorsa, bu kişiler her seferinde MFA için gerekmeyebilir, ancak kullanıcı başka bir coğrafya içindeki farklı bir cihazdan aniden bağlanıyorsa MFA gereklidir.
İstek temelli güven düzeyine ve hedef kaynakların duyarlılığını temel alarak erişim istekleri verin.
Uygulama için herhangi bir koşullu erişim gereksinimi var mı?
İş yükleri, genel İnternet üzerinden kullanıma sunulabilir ve konum tabanlı ağ denetimleri geçerli değildir. Koşullu erişimi etkinleştirmek için kullanım örneği için hangi kısıtlamaların gerekli olduğunu anlayın. Örneğin MFA, uzaktan erişim için bir zorunludur; IP tabanlı filtreleme, geçici hata ayıklamayı etkinleştirmek için kullanılabilir (VPN 'Ler tercih edilir).
İşletimsel gereksinimlerinize göre Azure yönetimi için erişim ilkesini ayarlayarak Azure AD koşullu erişimini yapılandırın. Daha fazla bilgi için bkz. koşullu erişim Ile Azure yönetimine erişimi yönetme.
Koşullu erişim, eski kimlik doğrulama ve ilişkili protokollerin aşamasına yönelik etkili bir yol olabilir. İlkeler tüm yöneticiler ve diğer kritik etki hesapları için zorunlu kılınmalıdır. Eski istemcilerle kimlik doğrulaması yapan kullanıcıları öğrenmek için ölçüm ve günlükleri kullanarak başlayın. Ardından, kullanılmayan tüm alt düzey protokolleri devre dışı bırakın ve eski protokolleri kullanmayan tüm kullanıcılar için koşullu erişim ayarlayın. Son olarak, eski kimlik doğrulamasını engellemeden önce, kullanıcılara yükseltme hakkında bildirim ve kılavuzluk verin. Daha fazla bilgi için bkz. eski kimlik doğrulamasını engellemek Için Azure AD koşullu erişim desteği.
Önerilen Eylemler
Bu iş yükü için koşullu erişim ilkeleri uygulayın.
Azure AD koşullu erişimhakkında daha fazla bilgi edinin.
Sonraki
Erişimcinin kimliğini doğrulayarak bir sisteme erişim izni verin veya erişimi engelleyin.
İlgili bağlantılar
Ana makaleye geri dönün: Azure kimlik ve erişim yönetimi konuları
Kimlik doğrulaması, erişimcinin kimliğini doğrulayarak sisteme erişim izni veren veya erişimi reddeden bir işlemdir. Tüm kaynaklar için yönetilen bir kimlik hizmetini kullanarak genel yönetimin (parola ilkeleri gibi) basitleşmesini ve fazla yer ya da insan hatalarının riskini en aza indirmesini sağlar. Azure Active Directory (azure AD), azure için kimlik ve erişim yönetimi hizmeti için tek seferlik bir mağaza ' dur.
Önemli noktalar
- Azure 'daki kaynaklara erişmek için Yönetilen kimlikler kullanın.
- Yüksek ayrıcalıklı hesaplar hariç, bulutu ve şirket içi dizinleri eşitlenmiş halde tutun.
- Tercihen parolasız Yöntemler veya modern parola yöntemleri için OPT kullanın.
- Özellikle yüksek ayrıcalıklı hesaplar için, tüm kullanıcıların kimlik doğrulaması sırasında anahtar güvenlik özniteliklerine dayalı Azure AD koşullu erişimini etkinleştirin.
Kimlik tabanlı kimlik doğrulaması kullan
Azure platform hizmetleriyle iletişim kurulurken uygulamanın kimliği nasıl doğrulanır?