Azure AD ile yetkilendirme

  • Makale
  • Okumak için 4 dakika

Artık erişim gerekmiyorsa, kritik hesaplar için kalıcı erişim ve daha düşük izinler sağlamayın. Bazı stratejiler şunlardır:

  • Azure AD ve Azure kaynaklarına tam zamanında ayrıcalıklı erişim.
  • Zaman sınırı erişimi.
  • Onay tabanlı erişim.
  • Erişim kazanmak için acil durum erişim süreci için acil durum çağrısı.

Üretim sistemlerine yazma erişimini hizmet sorumluları ile sınırla. Hiçbir kullanıcı hesabının normal yazma erişimine sahip olması gerekir.

Kullanılmayan yönetim hesaplarını devre dışı bırakma veya silme işlemi olduğundan emin olun.

Tüm etkinliklerde değilse en azından yüksek ayrıcalıklı erişim izinlerini yükseltmek için yerel ve üçüncü taraf seçenekleri kullanabilirsiniz. Azure AD Privileged Identity Management (Azure AD PIM), Azure'da önerilen yerel çözümdür.

PIM hakkında daha fazla bilgi için bkz. Azure AD Privileged Identity Management?

Daha fazla bilgi edinin

Kritik etki hesapları için yaşam döngüsü yönetimi kurma

Ana makaleye geri dön: Azure kimlik ve erişim yönetimiyle ilgili dikkat edilmesi gerekenler

Yetkilendirme, erişimcinin istenen eylemi gerçekleştirme izinlerine sahip olup olmadığını doğrular ve sisteme erişim izni olan veya erişimi geri alan bir işlemdir. Bu bağlamda erişimci, iş yükü (bulut uygulaması) veya iş yükünün kullanıcısıdır. Eylem işlemsel veya kaynak yönetimiyle ilgili olabilir. Yetkilendirmenin iki ana yaklaşımı vardır: rol tabanlı ve kaynak tabanlı. Her ikisi de Azure AD ile yalıtabilirsiniz.

Önemli noktalar

  • Rol tabanlı ve kaynak tabanlı yetkilendirmenin bir karışımını kullanın. En az ayrıcalık ilkesiyle çalışmaya başlama ve ihtiyaçlarınıza göre daha fazla eylem ekleme.
  • Uygulama rolleri ve yönetecekleri kaynaklar için net sorumluluk satırları ve görev ayrımı tanımlayın. Üretim yayınlarını yayımlamak, müşteri verilerine erişmek, veritabanı kayıtlarını işlemek için gereken izinler gibi her operasyonel işlevin erişim düzeylerini göz önünde bulundurabilirsiniz.
  • Kritik hesaplar için kalıcı erişim sağlamayın. Onay tabanlı ve Azure AD Privileged Identity Management (Azure AD PIM) kullanarak zaman sınırı olan erişim izinlerini |

Rol tabanlı yetkilendirme

Bu yaklaşım, bir kullanıcıya atanan role göre bir eylemi yetkilendirmektedir. Örneğin, bazı eylemler bir yönetici rolü gerektirir.

Rol, bir izin kümesidir. Örneğin, yönetici rolü tüm okuma, yazma ve silme işlemlerini gerçekleştirme izinlerine sahip olur. Ayrıca rolün bir kapsamı vardır. Kapsam, rolün çalışmasına izin verilen yönetim gruplarını, abonelikleri veya kaynak gruplarını belirtir.

Yönetim grupları veya kaynak grupları aracılığıyla kaynaklara tutarlı izinler uygulanması, özel, belirli, kaynak başına izinlerin çoğalmasını azaltır. Özel kaynak tabanlı izinler genellikle gereksizdir ve amacını yeni benzer kaynaklara taşımayabileceklerinden karışıklığa neden olabilir. Bu işlem, bir şeyi bozma korkusu olmadan korunması veya değişmesi zor ve hem güvenliği hem de çözüm çeviklik durumunu olumsuz yönde etkileyen karmaşık bir eski yapılandırmada birikir.

Bir kullanıcıya rol atarken, rolün gerçekleştirecekleri eylemleri ve bu işlemlerin kapsamını göz önünde bulundurabilirsiniz. Rol ataması ile ilgili dikkat edilmesi gereken bazı noktalar:

  • VM'lere ve diğer nesnelere uygun izinleri vermek için özel roller oluşturmadan önce yerleşik rolleri kullanın. Kullanıcılara, gruplara, hizmet sorumlulara ve yönetilen kimliklere yerleşik roller atabilirsiniz. Daha fazla bilgi için bkz. Azure yerleşik rolleri.

  • Özel roller oluşturmanız gerekirse, uygun eyleme sahip rollere izin ver. Eylemler, operasyonel eylemler ve veri eylemleri olarak kategorilere ayrılmıştır. Fazla kullanımdan kaçınmak için en az ayrıcalığa sahip eylemlerle çalışmaya başlayabilir ve operasyonel veya veri erişim ihtiyaçlarına göre daha fazla ekleme gerçekleştirebilirsiniz. İzinleri uygulayan teknik ekiplerinize net rehberlik sağlama. Daha fazla bilgi için bkz. Azure özel rolleri.

  • Segmentasyon stratejiniz varsa, bir kapsam ile izinleri attayabilirsiniz. Örneğin, stratejinizi desteklemek için yönetim grubunu kullanıyorsanız kapsamı bireysel abonelikler yerine gruba ayarlayın. Bu tutarlılık sağlar ve gelecekteki aboneliklere uygulamanın sağlanmasını sağlar. Bir segmente izin atarken, çeşitli kuruluş modellerine uyum sağlamak için esneklik sağlarken tutarlılığı göz önünde bulundurabilirsiniz. Bu modeller, tek bir merkezi BIR IT grubundan çoğunlukla bağımsız BIR IT ve DevOps olabilir. Kapsam atama hakkında bilgi için bkz. AssignableScopes.

  • İzin atamak için güvenlik gruplarını kullanabilirsiniz. Ancak dezavantajları da vardır. İş yükünün her kiracı için hangi uygulama rollerine karşılık gelen güvenlik gruplarını takip etmek zorunda olduğu için karmaşık olabilir. Ayrıca, erişim belirteçleri önemli ölçüde büyüyer ve Azure AD, belirteç boyutunu sınırlamak için bir "fazla kullanım" talebi içerir. Bkz Microsoft kimlik platformu erişim belirteçleri.

  • Belirli kullanıcılara izin vermek yerine Azure AD gruplarına erişim atabilirsiniz. Ayrıca yönetim grupları, abonelik veya kaynak grupları RBAC içeren kapsamlı bir temsilci seçme modeli de oluşturma. Daha fazla bilgi için bkz. Azure rol tabanlı erişim denetimi (Azure RBAC).

Bir ASP.NET uygulamasında rol tabanlı yetkilendirme uygulama hakkında bilgi için bkz. Rol tabanlı yetkilendirme.

Daha fazla bilgi edinin

Kaynak tabanlı yetkilendirme

Rol tabanlı yetkilendirme ile kullanıcı, kullanıcının rolüne göre bir kaynak üzerinde aynı denetim düzeyini alır. Ancak, kaynak başına erişim hakları tanımlamanız gereken durumlar olabilir. Örneğin, bir kaynak grubunda bazı kullanıcıların kaynağı silmesine izin vermek; diğer kullanıcılar tarafından kullanılamaz. Böyle durumlarda, belirli bir kaynağa göre bir eylemi yetkilendi eden kaynak tabanlı yetkilendirmeyi kullanın. Her kaynağın Bir Sahibi olur. Sahip kaynağı silebilir. Katkıda bulunanlar okuyabilecek ve güncelleştirecek ancak silemez.

Not

Bir kaynağınsahibi ve katkıda bulunan rolleri, uygulama rolleri ile aynı değildir.

Kaynak tabanlı yetkilendirme için özel mantık uygulamanız gerekir. Bu mantık kaynak eşlemesi, Azure AD nesnesi (rol, grup, kullanıcı gibi) ve izinler olabilir.

Bir ASP.NET uygulamasında kaynak tabanlı yetkilendirme uygulama hakkında bilgi ve kod örneği için bkz. Kaynak tabanlı yetkilendirme.

Kritik hesaplar için yetkilendirme

Önemli kaynaklara erişim gerektiren etkinliklerde ihtiyacınız olan durumlar olabilir. Bu kaynaklara yönetici hesabı gibi kritik hesaplar tarafından zaten erişilebilir durumda olabilir. Veya etkinlikler tamamlandıktan sonra erişim izinlerini yükseltmesi de gerekli olabilir. Her iki yaklaşım da önemli riskler teşkil ediyor olabilir.

Kritik hesaplar, bulut yöneticileri veya iş yüküne özgü ayrıcalıklı kullanıcılar gibi iş açısından kritik bir sonuç üretecek hesaplardır. Böyle bir hesabın güvenliğinin tehlikeye atarak veya kötüye kullanılması, işletme ve bilgi sistemleri üzerinde zarara neden olabilir. Bu hesapları belirlemek ve kapatma izleme ve kullanımdan kapatma dahil olmak üzere yaşam döngüsü yönetimi gibi süreçleri benimsemek önemlidir.

Ayrıcalıklı erişim güvenliğinin sağlanması, modern bir kuruluştaki iş varlıkları için güvenlik güvencelerinin oluşturulmasında ilk önemli adımdır. Bir IT kuruluşunda çoğu veya tüm iş varlıklarının güvenliği, yönetmek, yönetmek ve geliştirmek için kullanılan ayrıcalıklı hesapların bütünlüğüne bağlıdır. Siber saldırılar genellikle verilere erişim elde etmek için bu hesapları ve ayrıcalıklı erişimin diğer öğelerini hedefler ve Pass-the-Hash ve Pass-the-Ticket gibi kimlik bilgisi hırsızlığı saldırılarını kullanan sistemler.

Ayrıcalıklı erişimin belirlenen saldırılara karşı korunması, bu sistemleri risklerden yalıtmak için eksiksiz ve düşünceli bir yaklaşım benimser.

Ayrıcalıklı etkinlikleri yönetmek için kullanılan herhangi bir işlem ve araç var mı?