Roller, sorumluluklar ve izinler

  • Makale
  • Okumak için 8 dakika

Azure'daki belirli işlevlerden sorumlu olan tarafları atama.

Bu işlevlerin her biri için sorumlu kişileri net bir şekilde belgele ve paylaşarak tutarlılık elde eder ve iletişimi kolaylaştırır. Birçok bulut benimseme projesiyle ilgili deneyimimize dayanarak, bu durum insan ve otomasyon hatalarına yol açarak güvenlik riski oluşturacak karışıklığı önleecektir.

Temel işlevlerden sorumlu olacak grupları (veya bireysel rolleri) atama.

Grup veya bireysel rol Sorumluluk
Ağ Güvenliği Genellikle mevcut ağ güvenlik ekibi. Azure Güvenlik Duvarı, Ağ Sanal Gereçleri (ve ilişkili yönlendirme), Web Uygulaması Güvenlik Duvarı (WAF), Ağ Güvenlik Grupları, Uygulama Güvenlik Grupları (ASG) ve diğer ağlar arası trafiğin yapılandırması ve bakımı.
Ağ Yönetimi Genellikle mevcut ağ operasyonları ekibi. Enterprise sanal ağ ve alt ağ ayırma.
Sunucu Uç Noktası Güvenliği Genellikle IT işlemleri, güvenlik veya birlikte. Sunucu güvenliğini (düzeltme eki uygulama, yapılandırma, uç nokta güvenliği) izleme ve düzeltme.
Olay İzleme ve Yanıt Genellikle güvenlik operasyonları ekibi. Güvenlik Bilgileri ve Olay Yönetimi (SIEM) veya Bulut Için Microsoft Defender gibi kaynak konsolunda güvenlik olaylarını araştırmak ve düzeltmek için olay izleme ve yanıt Azure AD Kimlik Koruması.
İlke Yönetimi Genellikle GRC ekibi + Mimari. Risk analizi ve uyumluluk gereksinimlerine göre idare uygulama. Azure rol tabanlı erişim denetimi (Azure RBAC), Bulut için Microsoft Defender, Yönetici koruma stratejisi ve Azure kaynaklarını idare etmek Azure İlkesi kullanım yönünü ayarlayın.
Kimlik Güvenliği ve Standartları Genellikle Güvenlik Ekibi + Kimlik Ekibi birlikte. Azure AD dizinleri, PIM/PAM kullanımı, MFA, parola/eşitleme yapılandırması, Uygulama Kimliği Standartları için yön ayarlayın.

Not

Uygulama rolleri ve sorumlulukları, her işletimsel işlevin farklı erişim düzeyini kapsayacaktır. Örneğin üretim sürümü yayımlama, müşteri verilerine erişme, veritabanı kayıtlarını işleme gibi. Uygulama ekipleri, önceki tabloda listelenen merkezi işlevleri içermeli.

İzinler atama

Rollere, en az ayrıcalıkla başlığa uygun izinleri verin ve operasyonel ihtiyaçlarınıza göre daha fazlasını ekleyin. İzinleri uygulayan teknik ekiplerinize net rehberlik sağlama. Bu netlik, fazlalık gibi insan hatalarını azaltan algılamayı ve düzeltmeyi kolaylaştırır.

  • Ayrı abonelikler yerine segment için yönetim grubunda izinler attayabilirsiniz. Bu tutarlılık sağlar ve gelecekteki aboneliklere uygulamanın sağlanmasını sağlar. Genel olarak, ayrıntılı ve özel izinlerden kaçının.

  • VM'lere ve diğer nesnelere uygun izinleri vermek için özel roller oluşturmadan önce Azure'daki yerleşik rolleri göz önünde bulundurabilirsiniz.

  • Güvenlik yöneticileri grup üyeliği, güvenlik ekiplerinin kapsamlı operasyonel sorumluluklara sahip olduğu küçük takımlar/kuruluşlar için uygun olabilir.

Bir segmente izin atarken, çeşitli kuruluş modellerine uyum sağlamak için esneklik sağlarken tutarlılığı göz önünde bulundurabilirsiniz. Bu modeller tek bir merkezi BIR IT grubundan çoğunlukla bağımsız BIR IT ve DevOps olabilir.

Başvuru modeli örneği

Bu bölümde, farklı segmentlere izin atamayla ilgili dikkat edilmesi gerekenleri göstermek için bu Başvuru modeli 2018'de 2018'de 2018'de 2014'e göre 2014'e göre 20 Microsoft, bu modellerden başlamanızı ve kuruluşa uyum sağlamanızı tavsiye ediyor.

Çekirdek hizmetler başvuru izinleri

Bu segment, kuruluş genelinde kullanılan paylaşılan hizmetleri barındırıyor. Bu paylaşılan hizmetler genellikle Active Directory Domain Services, DNS/DHCP, Hizmet Olarak Altyapı (IaaS) sanal makinelerde barındırılan Sistem Yönetim Araçları'dır.

Başvuru izinlerini gösteren kavramsal resim

Tüm kaynaklar genelinde Güvenlik Görünürlüğü: Güvenlik ekipleri için, tüm teknik ortamlar için güvenlik özniteliklerine salt okunur erişim izni ver. Bu erişim düzeyi risk faktörlerini değerlendirmek, olası risk azaltmalarını belirlemek ve riski kabul eden kuruluş paydaşlarına öneride bulunarak gereklidir. Diğer ayrıntılar için bkz. Güvenlik Ekibi Görünürlüğü.

Bazı veya tüm kaynaklar genelinde ilke yönetimi: Dış (veya iç) düzenlemelere, standartlara ve güvenlik ilkesine uyumluluğu izlemek ve uygulamak için, bu rollere uygun izinleri atamazsınız. Seçtiğiniz roller ve izinler, ilke programının kuruluş kültürüne ve beklentilerine bağlıdır. Bkz. Azure Bulut Benimseme Çerçevesi Microsoft Bulut Benimseme Çerçevesi.

İlkeleri tanımlamadan önce şunları göz önünde bulundurarak:

  • Kuruluşun güvenliği nasıl denetlendi ve raporlandı? Zorunlu raporlama var mı?
  • Mevcut güvenlik uygulamaları çalışıyor mu?
  • Sektöre, kamuya veya mevzuata özgü gereksinimler var mı?

Paylaşılan hizmetleri ve uygulamaları etkileyen merkezi işlevler için grup (veya bireysel roller) atama.

İlkeler ayardikten sonra, bu standartları artımlı olarak sürekli geliştirin. Denetim ve izleme uyumluluğuna sahip olarak güvenlik duruşunun zaman içinde düşüşe neden olmadığını kontrol edin. Bir kuruluşun güvenlik standartlarını yönetme hakkında bilgi için bkz. idare, risk ve uyumluluk (GRC).

Tüm kaynaklar genelinde merkezi IT işlemleri: Merkezi IT departmanına (genellikle altyapı ekibi) sanal makineler ve depolama gibi kaynakları oluşturma, değiştirme ve silme izinleri verin. Katkıda bulunan veya Sahip rolleri bu işlev için uygundur.

Ağ kaynakları arasında merkezi ağ grubu: Tutarlılığı sağlamak ve teknik çakışmaları önlemek için ağ kaynağı sorumluluklarını tek bir merkezi ağ kuruluşuna attayabilirsiniz. Bu kaynaklar sanal ağları, alt ağları, Ağ Güvenlik Gruplarını (NSG) ve sanal ağ gereçlerini barındıran sanal makineleri içerir. Ağ kaynağı sorumluluklarını tek bir merkezi ağ kuruluşuna attayabilirsiniz. Ağ Katılımcısı rolü bu grup için uygundur. Daha fazla ayrıntı için bkz. Ağ Yönetimini ve Güvenliğini Merkezi HaleLeştirme

Kaynak Rolü İzinleri: Çoğu çekirdek hizmet için, bunları yönetmek için gereken yönetim ayrıcalıkları uygulama aracılığıyla (Active Directory, DNS/DHCP, Sistem Yönetim Araçları) verildiği için ek Azure kaynak izinleri gerekmez. Kuruluş modeliniz bu ekiplerin kendi VM'lerini, depolama alanını veya diğer Azure kaynaklarını yönetmesini gerektiriyorsa bu izinleri bu rollere atabilirsiniz.

Otonom iş yükü DevOps ekipleri, her uygulamayla ilişkili kaynakları yönetir. Gerçek roller ve izinleri uygulama boyutuna ve karmaşıklığına, uygulama ekibinin boyutuna ve karmaşıklığına ve kuruluş ile uygulama ekibinin kültürüne bağlıdır.

Hizmet yöneticisi (Acil Servis Hesabı): Hizmet Yöneticisi rolünü yalnızca acil durumlar ve ilk kurulum için kullanın. Bu rolü günlük görevler için kullanma. Daha fazla bilgi için bkz. Acil Durum Erişimi ('Acil Durum Erişimi' Hesapları).

Segment başvuru izinleri

Bu segment izin tasarımı tutarlılık sağlarken tek bir merkezi IT grubundan çoğunlukla bağımsız BIR IT ve diğer ekiplere kadar birçok kuruluş modeline uyum DevOps sağlar.

Segment İzinlerini gösteren diyagram.

Tüm kaynaklar genelinde güvenlik görünürlüğü: Güvenlik ekipleri için, tüm teknik ortamlar için güvenlik özniteliklerine salt okunur erişim izni ver. Bu erişim düzeyi risk faktörlerini değerlendirmek, olası risk azaltmalarını belirlemek ve riski kabul eden kuruluş paydaşlarına öneride bulunarak gereklidir. Bkz. Güvenlik Ekibi Görünürlüğü.

Bazı veya tüm kaynaklar genelinde ilke yönetimi: Dış (veya iç) düzenlemelere, standartlara ve güvenlik ilkesine uyumluluğu izlemek ve uygulamak için bu rollere uygun izinleri atamazsınız. Seçtiğiniz roller ve izinler, ilke programının kuruluş kültürüne ve beklentilerine bağlıdır. Bkz. Azure Bulut Benimseme Çerçevesi Microsoft Bulut Benimseme Çerçevesi.

Tüm kaynaklar genelindeKI IT İşlemleri: Kaynakları oluşturma, değiştirme ve silme iznini vermek. Segmentin amacı (ve sonuçta elde edilen izinler) kuruluş yapınıza bağlıdır.

  • Merkezi bir IT kuruluşu tarafından yönetilen kaynaklara sahip segmentler, merkezi IT departmanına (genellikle altyapı ekibi) bu kaynakları değiştirme izni velayabilir.

  • Bağımsız iş birimleri veya işlevler (İnsan Kaynakları IT Ekibi gibi) tarafından yönetilen segmentler, bu ekiplere segmentte yer alan tüm kaynaklara izin velayabilir.

  • Otonom DevOps olan segmentlerin tüm kaynaklar genelinde izinler verilmesine gerek yok çünkü kaynak rolü (aşağıda) uygulama ekiplerine izinler sağlar. Acil durumlar için hizmet yöneticisi hesabını (acil durum hesabı) kullanın.

Ağ kaynakları arasında merkezi ağ grubu: Tutarlılığı sağlamak ve teknik çakışmaları önlemek için ağ kaynağı sorumluluklarını tek bir merkezi ağ kuruluşuna attayabilirsiniz. Bu kaynaklar sanal ağları, alt ağları, Ağ Güvenlik Gruplarını (NSG) ve sanal ağ gereçlerini barındıran sanal makineleri içerir. Bkz. Ağ yönetimini ve güvenliğini merkezileştirme.

Kaynak Rolü İzinleri: Otonom DevOps ekipleri, her uygulamayla ilişkili kaynakları yönetir. Gerçek roller ve izinleri uygulama boyutuna ve karmaşıklığına, uygulama ekibinin boyutuna ve karmaşıklığına ve kuruluş ile uygulama ekibinin kültürüne bağlıdır.

Hizmet Yöneticisi (Acil Servis Hesabı): Hizmet yöneticisi rolünü yalnızca acil durumlar (ve gerekirse ilk kurulum) için kullanın. Bu rolü günlük görevler için kullanma. Daha fazla bilgi için bkz. Acil Durum Erişimi ('Acil Durum Erişimi' Hesapları).

Güvenlik ekibi görünürlüğü

Uygulama ekibinin, güvenlik geliştirme planlarını bu etkinliklerin sonuçlarıyla uyumlu olması için güvenlik girişimlerinden haberdar olması gerekir. Güvenlik ekiplerine, kendi görünümlerinde tüm teknik kaynakların güvenlik yönlerine salt okunur erişim sağlama.

Güvenlik kuruluşları, kuruluş risklerini değerlendirme ve raporlama görevlerini gerçekleştirmek için teknik ortama görünürlük gerektirir. Bu görünürlük olmadan, güvenliğin gruplardan sağlanan bilgilere güvenmesi, ortamı çalıştırması ve olası çıkar çakışması (ve diğer öncelikleri) vardır.

Operasyonel sorumlulukları veya Azure kaynakları üzerinde uyumluluğu zorunlu hale getirme gereksinimi varsa güvenlik ekiplerine ayrıca ek ayrıcalıklar verilebilir.

Örneğin Azure'da güvenlik ekiplerini güvenlik riskini ölçmeye (verilere erişim sağlamadan) erişim sağlayan Güvenlik Okuyucuları iznine attayın.

Azure'ın güvenliğiyle ilgili geniş sorumluluklara sahip kurumsal güvenlik grupları için şu izni kullanarak atabilirsiniz:

  • Kök yönetim grubu – Tüm kaynaklarda riski değerlendirmekten ve raporlamadan sorumlu ekipler için

  • Segment yönetim grubu– sınırlı sorumluluk kapsamına sahip ekipler için (genellikle kuruluş sınırları veya mevzuat gereksinimleri nedeniyle gereklidir)

Önemli

Güvenliğin ortama geniş erişimi (ve açıklardan yararlanılabilir olabilecek güvenlik açıklarına yönelik görünürlük) olduğundan, güvenlik ekiplerini kritik etki hesapları olarak kabul eder ve yöneticilerle aynı korumaları uygulayabilir. Yönetim bölümünde Azure için bu denetimler ayrıntılı olarak ve ayrıntılı olarak

Önerilen eylemler

  • Uygulama ekibiyle iletişim, araştırma ve avlanma etkinliklerini hizalamaya yönelik bir süreç tanımlayın.
  • En az ayrıcalık ilkesine uygun olarak, teknik ortamda gerekli görünürlüğü elde etmek ve kuruluş risklerini değerlendirme ve raporlama görevlerini gerçekleştirmek için yeterli erişime sahip güvenlik ekipleri için tüm bulut ortamı kaynaklarına erişim denetimi gerçekleştirin.

Daha fazla bilgi edinin

Kuruluş güvenlik ekibiyle etkileşime girme

Bağlı kiracıları yönetme

Güvenlik takımınız tüm mevcut aboneliklere ve bulut ortamlarına görünür mü? Yenilerini nasıl keşfederler?

Güvenlik kuruluşlarının mevcut ortamınıza bağlı tüm kayıtların ve ilişkili aboneliklerin (ExpressRoute veya Site-Site VPN aracılığıyla) ve genel bir kuruluşun parçası olarak izlemeden haberdar olduğundan emin olun.

Bu Azure kaynakları, kurumsal ortamınız kapsamındadır ve güvenlik kuruluşları bunlara görünürlük gerektirir. Güvenlik kuruluşları, riski değerlendirmek ve kuruluş ilkelerinin ve ilgili mevzuat gereksinimlerinin izlenip izlen olmadığını belirlemek için bu erişime ihtiyaçmektedir.

Kuruluşların bulut altyapısı, güvenlik ekibinin izleme ve içgörü için gereken tüm kaynaklara erişimiyle birlikte iyi belgelenmiş olması gerekir. Kuruluş denetimlerinin dışında başka abonelik veya kiracı eklenmey olduğundan emin olmak için buluta bağlı varlıkların sık sık taramaları yapılmalıdır. Güvenlik ekibine en iyi erişim yöntemlerine danışmak ve takip etmek için Microsoft rehberliği düzenli olarak gözden geçirildi.

Önerilen eylemler

Üretim ortamınıza ve ağınıza bağlı tüm Azure ortamlarının, güvenlik için kuruluş ilkenizi ve IT idare denetimlerini uygulamalarını sağlar.

Microsoft tarafından sağlanan bir aracı kullanarak mevcut bağlı kiracıları keşfedebilirsiniz. İzinler hakkında kılavuz

Sonraki adımlar

En az ayrıcalık güvenliği ilkesiyle başlayarak, bilgi ihtiyacı temelinde Azure kaynaklarına erişimi kısıtlar ve operasyonel ihtiyaçlarınıza göre daha fazlasını ekleyin.

Azure denetim düzlemi güvenliği

Yönetim gruplarının kuruluş yapısını bir Azure Active Directory (Azure AD) kiracısı içinde yansıtması konusunda dikkat edilmesi gerekenler için bkz. CAF:Yönetim grubu ve abonelik kuruluşu.

Ana makaleye geri dön: Azure kimlik ve erişim yönetimiyle ilgili dikkat edilmesi gerekenler

Bir kuruluşta, iş yükünün ve destek altyapısının güvenli olduğundan emin olmak için birkaç ekip birlikte çalışır. Güvenlik riskleri oluşturacak karışıklığı önlemek için net sorumluluk satırları ve görev ayrımı tanımlayın.

Microsoft'un birçok bulut benimseme projesi deneyimine bağlı olarak, Azure'daki belirli işlevler için açıkça tanımlanmış roller ve sorumluluklar oluşturmak, insan ve otomasyon hatalarına yol açarak güvenlik riski oluşturacak karışıklığı önlemektedir.

Sorumluluk satırlarını temizleme

Ekipler sorumluluklar ve bireysel/grup erişim düzeyleri hakkında net bir görünüme sahip mi?