Azure Kimlik Yönetimi ve erişim denetimi için en iyi güvenlik yöntemleri

Bu makalede Azure kimlik yönetimi ve erişim denetimi güvenliğine yönelik en iyi yöntemlerden bir koleksiyon ele aacağız. Bu en iyi yöntemler, Azure AD deneyiminden ve kendi gibi müşterilerin deneyimlerinden türetildi.

Her en iyi yöntem için şunları açıklayacağız:

• En iyi yöntem nedir?
• Bu en iyi yönteme neden olanak sağlamak istediğiniz
• En iyi yöntem etkinleştirilenene kadar sonuç ne olabilir?
• En iyi uygulamanın olası alternatifleri
• En iyi yönteme olanak sağlamak için nasıl öğrenilenler

Bu Azure kimlik yönetimi ve erişim denetimi güvenliğine yönelik en iyi yöntemler makalesi, bu makalenin yazıldığı sırada mevcut olan fikir birliğine dayalı bir fikir birliğine ve Azure platformu özelliklerine ve özellik kümelerine dayalıdır.

Bu makaleyi yazarken amaç, bazı temel özelliklerimiz ve hizmetlerimizde size yol sağlayan " kimlik altyapınızı güvenli hale getirme " denetim listemizikullanarak 5adım kılavuzlu dağıtımdan sonra daha sağlam bir güvenlik duruşuna genel bir yol haritası sağlamaktır.

Görüşler ve teknolojiler zaman içinde değişir ve bu makale bu değişiklikleri yansıtacak şekilde düzenli olarak güncelleştirilecek.

Bu makalede ele alınan Azure kimlik yönetimi ve erişim denetimi güvenliğine yönelik en iyi yöntemler şunlardır:

• Kimliği birincil güvenlik çevresi olarak davranma
• Kimlik yönetimini merkezileştirme
• Bağlı kiracıları yönetme
• Çoklu oturum açma etkinleştir
• Koşullu Erişimi açma
• Rutin güvenlik geliştirmelerini planlama
• Parola yönetimini etkinleştirme
• Kullanıcılar için çok faktörlü doğrulamayı zorlama
• Rol tabanlı erişim denetimi kullanma
• Ayrıcalıklı hesapların daha düşük açık kalma süresi
• Kaynakların bulunduğu konumları denetleme
• Depolama kimlik doğrulaması için Azure AD kullanma

Kimliği birincil güvenlik çevresi olarak davranma

Çoğu kişi kimliği güvenlik için birincil çevre olarak kabul ediyor. Bu, geleneksel ağ güvenliği odaklı bir geçiştir. Ağ çevreleri daha bulanık hale geldi ve bu çevre savunması, BYOD cihazlarının ve bulut uygulamalarının patlamadan önceki kadar etkili olamayıyor.

Azure Active Directory (Azure AD), kimlik ve erişim yönetimi için Azure çözümüdür. Azure AD, Microsoft'un çok müşterili, bulut tabanlı bir dizin ve kimlik yönetimi hizmetidir. Temel dizin hizmetlerini, uygulama erişimi yönetimini ve kimlik korumasını tek bir çözümde toplar.

Aşağıdaki bölümlerde Azure AD kullanarak kimlik ve erişim güvenliğine yönelik en iyi yöntemler listelanmaktadır.

En iyi yöntem: Kullanıcı ve hizmet kimlikleri ile ilgili güvenlik denetimlerini ve algılamalarını merkezin. Ayrıntı: Denetimleri ve kimlikleri birlikte bulundurarak Azure AD kullanın.

Kimlik yönetimini merkezileştirme

Karma kimlik senaryosunda şirket içi ve bulut dizinlerinizi tümleştirin. Tümleştirme, bir hesabın nerede oluşturulduklarından bağımsız olarak, IT takımınızı tek bir konumdan yönetmeye olanak sağlar. Tümleştirme ayrıca hem bulut kaynaklarına hem de şirket içi kaynaklara erişmek için ortak bir kimlik sağlayarak kullanıcılarınızı daha üretken hale getirir.

En iyi yöntem: Tek bir Azure AD örneği kurma. Tutarlılık ve tek bir yetkili kaynak netliği artırır ve insan hatalarından ve yapılandırma karmaşıklığından gelen güvenlik risklerini azaltır. Ayrıntı: Kurumsal ve kuruluş hesapları için yetkili kaynak olarak tek bir Azure AD dizini seçin.

En iyi yöntem: Şirket içi dizinlerinizi Azure AD ile tümleştirin.
Ayrıntı: Azure AD Bağlan kullanarak şirket içi dizininizi bulut dizininiz ile eşitler.

En iyi yöntem: Mevcut Active Directory örneğiniz üzerinde yüksek ayrıcalıklara sahip hesapları Azure AD ile eşitleme. Ayrıntı: Bu hesapları filtreye alan varsayılan Azure AD Bağlan yapılandırmayı değiştirme. Bu yapılandırma, buluttan şirket içi varlıklara (önemli bir olay oluşturan) hasımların özetlenene kadar olan riskini azaltıyor.

En iyi yöntem: Parola karması eşitlemeyi açma.
Ayrıntı: Parola karması eşitlemesi, kullanıcı parolası karmalarını bir şirket içi Active Directory bulut tabanlı Azure AD örneğine eşitlemek için kullanılan bir özelliktir. Bu eşitleme, sızdırılan kimlik bilgilerinin önceki saldırılardan yeniden oynatılanlara karşı korunmasına yardımcı olur.

Active Directory Federasyon Hizmetleri (AD FS) (AD FS) veya diğer kimlik sağlayıcılarıyla federasyon kullanmaya karar verseniz bile, şirket içi sunucularının başarısız olması veya geçici olarak kullanılamaz duruma olması durumunda parola karması eşitlemesini yedek olarak ayarlayın. Bu eşitleme, kullanıcıların kendi örneklerinde oturum a açmaları için kendi parolalarıyla aynı parolayı kullanarak hizmette oturum şirket içi Active Directory sağlar. Ayrıca, bir kullanıcı Azure AD'ye bağlı olmayan diğer hizmetlerde aynı e-posta adresini ve parolayı kullandıysanız, Kimlik Koruması'nın eşitlenmiş parola karmalarını ele geçirildiklerine bilinen parolalarla karşılaştırarak güvenliği tehlikeye atılmış kimlik bilgilerini algılamasını sağlar.

Daha fazla bilgi için bkz. Azure AD ile parola karması eşitlemesi Bağlan.

En iyi yöntem: Yeni uygulama geliştirme için kimlik doğrulaması için Azure AD kullanın. Ayrıntı: Kimlik doğrulamasını desteklemek için doğru özellikleri kullanın:

• Çalışanlar için Azure AD
• Konuk kullanıcılar ve dış iş ortakları için Azure AD B2B
• Azure AD B2C uygulamalarınızı kullanan müşterilerin nasıl kaydolacaklarını, oturum açmalarını ve profillerini nasıl yöneteceklerini denetlemeyi sağlar

Şirket içi kimliklerini bulut kimlikleriyle tümleştiren kuruluşlar, hesapların yönetilmesinde daha fazla ek yüke sahip olabilir. Bu ek yük, hata ve güvenlik ihlali olasılığını artırır.

Bağlı kiracıları yönetme

Güvenlik kuruluşlarının riski değerlendirmek ve kuruluş ilkelerinin ve yasal düzenleme gereksinimlerinin izlenip izlen olmadığını belirlemek için görünürlüğü olması gerekir. Güvenlik kuruluşlarının üretim ortamınıza ve ağınıza bağlı tüm abonelikler (Azure ExpressRoute veya sitedensiteye VPN aracılığıyla) görünürlüğü olduğundan emin olun. Azure AD'de Genel Yönetici, erişimlerini Kullanıcı Erişimi Yöneticisi rolüne yükseltin ve ortamınıza bağlı tüm abonelikleri ve yönetilen grupları görebilir.

Ortamınıza bağlı tüm abonelikleri veya yönetim gruplarını görüntüleyişini sağlamak için bkz. Tüm Azure aboneliklerini ve yönetim gruplarını yönetmek için erişimi yükseltme. Riskleri değerlendirdikten sonra bu yükseltilmiş erişimi kaldırmanız gerekir.

Çoklu oturum açma etkinleştir

Mobil ve buluta özel bir dünyada, kullanıcılarının her yerde ve her yerde üretken olması için cihazlara, uygulamalara ve hizmetlere çoklu oturum açma (SSO) özelliği etkinleştirmek istiyorsunuz. Yönetmeniz gereken birden çok kimlik çözümü olduğunda, bu yalnızca IT için değil, aynı zamanda birden çok parolayı hatırlaması gereken kullanıcılar için de yönetim sorunu haline gelir.

Tüm uygulamalarınız ve kaynaklarınız için aynı kimlik çözümünü kullanarak SSO'ya ulaşabilirsiniz. Ayrıca kullanıcılarınız, hem şirket içinde hem de bulutta yer alan kaynaklara erişmek ve oturum açmaları için aynı kimlik bilgileri kümelerini kullanabilir.

En iyi yöntem: SSO'nun etkinleştirin.
Ayrıntı: Azure AD, şirket içi Active Directory buluta genişlettir. Kullanıcılar, etki alanına katılmış cihazları, şirket kaynakları ve işlerini yapmak için ihtiyaçları olan tüm web ve SaaS uygulamaları için birincil iş veya okul hesaplarını kullanabilir. Kullanıcıların birden çok kullanıcı adı ve parola kümesi anımsamalarına gerek yok ve kuruluş grubu üyeliklerine ve çalışan durumuna göre uygulama erişimi otomatik olarak sağlanabilir (veya sağlamaları silinebilir). Galeri uygulamaları veya geliştirip Azure AD Application Proxy ile yayımladığınız şirket içi uygulamalar için bu erişimi siz denetleyebilirsiniz.

Kullanıcıların Azure AD'de iş veya okul hesaplarına göre SaaS uygulamalarına erişmesini sağlamak için SSO kullanın. Bu yalnızca Microsoft SaaS uygulamaları için değil, Google Apps ve Salesforcegibi diğer uygulamalar için de geçerlidir. Azure AD'yi SAML tabanlı kimlik sağlayıcısı olarak kullanmak için uygulamanızı yapılandırabilirsiniz. Güvenlik denetimi olarak Azure AD, kullanıcılara Azure AD üzerinden erişim verilmediği sürece uygulamada oturum açma izni veren bir belirteç verilmez. Doğrudan veya kullanıcıların üyesi olduğu bir grup aracılığıyla erişim veabilirsiniz.

Kullanıcıları ve uygulamaları için SSO oluşturmak için ortak kimlik oluşturmaan kuruluşlar, kullanıcıların birden çok parolaya sahip olduğu senaryolarda daha çok ortaya çıkar. Bu senaryolar, kullanıcıların parolaları yeniden kullanma veya zayıf parola kullanma olasılığını artırıyor.

Koşullu Erişimi açma

Kullanıcılar, her yerden çeşitli cihaz ve uygulamaları kullanarak kuruluş kaynaklarına erişebilirsiniz. BIR IT yöneticisi olarak, bu cihazların güvenlik ve uyumluluk standartlarınızı karşılamasını sağlamak istersiniz. Bir kaynağa erişenlere odaklanmak artık yeterli değildir.

Güvenlik ve üretkenliği dengelemek için, erişim denetimi hakkında karar vermeden önce kaynağa nasıl erişil olduğunu düşünmeniz gerekir. Azure AD Koşullu Erişim ile bu gereksinimi karşıabilirsiniz. Koşullu Erişim ile bulut uygulamalarınıza erişim koşullarına göre otomatik erişim denetimi kararları veabilirsiniz.

En iyi yöntem: Şirket kaynaklarına erişimi yönetme ve denetleme.
Ayrıntı: SaaS uygulamaları ve Azure AD'ye bağlı uygulamalar için grup, konum ve uygulama duyarlılığına göre ortak Azure AD Koşullu Erişim ilkelerini yapılandırma.

En iyi yöntem: Eski kimlik doğrulama protokollerini engelleme. Ayrıntı: Saldırganlar, özellikle parola spreyi saldırıları için her gün eski protokollerde zayıf noktalardan faydalanıyor. Eski protokolleri engellemek için Koşullu Erişim'i yapılandırma.

Rutin güvenlik geliştirmelerini planlama

Güvenlik her zaman gelişmektedir ve bulut ve kimlik yönetimi çerçevenize düzenli olarak büyümeyi göstermenin ve ortamınızı güvenli hale etmenin yeni yollarını keşfetmenin bir yolunu oluşturmak önemlidir.

Kimlik Güvenliği Puanı, Microsoft'un yayımlayan ve güvenlik duruşlarınızı nesnel olarak ölçmenize ve gelecekteki güvenlik geliştirmelerini planlamanıza yardımcı olacak sayısal bir puan sağlamak için çalışan bir dizi önerilen güvenlik denetimidir. Ayrıca puanınızı diğer sektörlere ve zaman içinde kendi eğilimlerinize göre de görüntülabilirsiniz.

En iyi yöntem: Rutin güvenlik incelemelerini ve geliştirmeleri sektörümdeki en iyi yöntemlere göre planla. Ayrıntı: Zaman içinde geliştirmelerinizi sıralamak için Kimlik Güvenliği Puanı özelliğini kullanın.

Parola yönetimini etkinleştirme

Birden çok kiracınız varsa veya kullanıcıların kendi parolalarını sıfırlamasına olanak sağlamak için,kötüye kullanımı önlemek için uygun güvenlik ilkelerini kullanmak önemlidir.

En iyi yöntem: Kullanıcılarınız için self servis parola sıfırlama (SSPR) ayarlama.
Ayrıntı: Azure AD self servis parola sıfırlama özelliğini kullanın.

En iyi yöntem: SSPR'nin gerçekten nasıl veya gerçekten kullanılıp kullanılmay olduğunu izleme.
Ayrıntı: Azure AD Parola Sıfırlama Kayıt Etkinliği raporunu kullanarak kaydolan kullanıcıları izleme. Azure AD'nin sağladığı raporlama özelliği, önceden oluşturulmuş raporları kullanarak soruları yanıtlamanıza yardımcı olur. Uygun şekilde lisanslandıysanız özel sorgular da oluşturabilirsiniz.

En iyi yöntem: Bulut tabanlı parola ilkelerini şirket içi altyapınıza genişletme. Ayrıntı: Şirket içi parola değişiklikleri için bulut tabanlı parola değişiklikleriyle aynı denetimleri gerçekleştirerek, kuruluş içi parola ilkelerini geliştirin. Yasaklanmış parola listelerini mevcut altyapınıza Windows Server Active Directory şirket içi aracılar için Azure AD parola korumasını yükleyin. Şirket içinde parolaları değiştirecek, ayarlanacak veya sıfırlanacak kullanıcıların ve yöneticilerin, yalnızca bulut kullanıcıları ile aynı parola ilkesine uyması gerekir.

Kullanıcılar için çok faktörlü doğrulamayı zorlama

Tüm kullanıcılarınız için iki aşamalı doğrulama gerektirmenizi öneririz. Buna, kuruluşta hesabın tehlikeye atılmış olduğu durumda önemli bir etkisi olan yöneticiler ve diğer yöneticiler (örneğin, finans sorumluları) dahildir.

İki aşamalı doğrulama gerektirmek için birden çok seçenek vardır. Sizin için en iyi seçenek hedeflerinize, kullandığınız Azure AD sürümüne ve lisans programınıza bağlıdır. Bkz. Bir kullanıcının sizin için en iyi seçeneği belirlemesi için iki aşamalı doğrulama gerektirme. Lisanslar ve fiyatlandırma hakkında daha fazla bilgi için Azure AD ve Azure AD Multi-Factor Authentication fiyatlandırma sayfalarına bakın.

İki aşamalı doğrulamayı etkinleştirmenin seçenekleri ve avantajları şunlardır:

1. Seçenek: Azure AD Güvenlik Varsayılanları Avantajı ile tüm kullanıcılar ve oturum açma yöntemleri için MFA'ya olanak sağlar: Bu seçenek, ortamınız için MFA'yi şu sıkı ilkeyle kolayca ve hızlı bir şekilde zorlamanıza olanak sağlar:

• Yönetim hesaplarını ve yönetici oturum açma mekanizmalarını zorla
• Tüm kullanıcılar için MFA Microsoft Authenticator gerektirme
• Eski kimlik doğrulama protokollerini kısıtlama.

Bu yöntem tüm lisans katmanları için kullanılabilir ancak mevcut Koşullu Erişim ilkeleriyle karıştırılamaz. Azure AD Güvenlik Varsayılanları altında daha fazla bilgi bulabilirsiniz

2. Seçenek: Kullanıcı durumunu değiştirerek Multi-Factor Authentication'ın etkinleştirin.
Avantaj: Bu, iki aşamalı doğrulama gerektirmek için kullanılan geleneksel yöntemdir. Hem bulutta Azure AD Multi-Factor Authentication hem de Azure Multi-Factor Authentication Sunucusu. Bu yöntemi kullanmak için kullanıcıların her oturum açmalarında iki aşamalı doğrulama gerçekleştirmeleri ve Koşullu Erişim ilkelerini geçersiz kılmaları gerekir.

Multi-Factor Authentication'ın nerede etkinleştirilmesi gerektiğini belirlemek için bkz. Kuruluşum için hangi Azure AD MFA sürümü doğru?.

3. Seçenek: Koşullu Erişim ilkesiyle Multi-Factor Authentication'ın etkinleştirin. Avantaj: Bu seçenek, Koşullu Erişim kullanarak belirli koşullar altında iki aşamalı doğrulama isteminde bulundurabilirsiniz. Belirli koşullar farklı konumlardan, güvenilmeyen cihazlardan veya riskli olarak kabul edilen uygulamalardan kullanıcı oturum açması olabilir. İki aşamalı doğrulama gerektiren belirli koşulları tanımlamak, kullanıcılarınız için sürekli istemlerden kaçınmanıza olanak sağlar. Bu, kötü bir kullanıcı deneyimi olabilir.

Kullanıcılarınız için iki aşamalı doğrulamayı etkinleştirmenin en esnek yolu bu. Koşullu Erişim ilkesi etkinleştirme yalnızca bulutta Azure AD Multi-Factor Authentication için çalışır ve Azure AD'nin premium bir özelliğidir. Bu yöntem hakkında daha fazla bilgi için bulut tabanlı Azure AD Multi-Factor Authentication dağıtma'ya bakın.

4. Seçenek: Risk tabanlı Koşullu Erişim ilkelerini değerlendirerek Koşullu Erişim ilkeleriyle Multi-Factor Authentication'ın etkinleştirin.
Avantaj: Bu seçenek şunları sağlar:

• Kuruluş kimliklerini etkileyen olası güvenlik açıklarını algıla.
• Algılanan ve kuruluş kimlikleriyle ilgili şüpheli eylemlere otomatik yanıtları yapılandırma.
• Şüpheli olayları araştırma ve bunları çözmek için uygun eylemi uygulama.

Bu yöntem, Azure AD Kimlik Koruması ve tüm bulut uygulamaları için oturum açma riskine göre iki aşamalı doğrulamanın gerekli olup olmadığını belirlemek için risk değerlendirmesini kullanır. Bu yöntem için Azure Active Directory P2 lisansı gerekir. Kimlik Koruması'nın bu yöntemi hakkında daha fazla Azure Active Directory bulabilirsiniz.

İki aşamalı doğrulama gibi ek kimlik koruması katmanları eklemeen kuruluşlar, kimlik bilgisi hırsızlığı saldırısına karşı daha duyarlıdır. Kimlik bilgisi hırsızlığı saldırısı, verilerin güvenliğinin tehlikeye attırılana neden olabilir.

Rol tabanlı erişim denetimi kullanma

Bulut kaynakları için erişim yönetimi, bulutu kullanan tüm kuruluşlar için kritik öneme sahip. Azure rol tabanlı erişim denetimi (Azure RBAC), Azure kaynaklarına erişimi olanları, bu kaynakların bu kaynaklarla neler yapalarını ve erişimleri olan alanları yönetmenize yardımcı olur.

Azure'da belirli işlevlerden sorumlu grupların veya bireysel rollerin belirtılması, insan ve otomasyon hatalarına yol açarak güvenlik riskleri oluşturacak karışıklığı önlemeye yardımcı olur. Erişimi bilmek ve en az ayrıcalık güvenlik ilkelerine göre kısıtlamak, veri erişimi için güvenlik ilkeleri uygulamak isteyen kuruluşlarda zorunludur.

Güvenlik takımınız, riski değerlendirmek ve düzeltmek için Azure kaynaklarınızı görünürlüğüne ihtiyaç var. Güvenlik ekibinin operasyonel sorumlulukları varsa, işlerini yapmak için ek izinlere ihtiyaçları vardır.

Belirli bir kapsamda kullanıcılara, gruplara ve uygulamalara izin atamak için Azure RBAC'yi kullanabilirsiniz. Rol atamasının kapsamı abonelik, kaynak grubu veya tek bir kaynak olabilir.

En iyi yöntem: Görevleri takımınız içinde yalıtma ve kullanıcılara yalnızca işlerini gerçekleştirmek için gereken erişim miktarını ver. Herkese Azure aboneliğiniz veya kaynaklarınız için sınırsız izin vermek yerine belirli bir kapsamda yalnızca belirli eylemlere izin verin. Ayrıntı: Kullanıcılara ayrıcalık atamak için Azure'daki yerleşik Azure rollerini kullanın.

En iyi yöntem: Riski değerlendirip düzeltmek için Azure kaynaklarını görmek üzere Azure sorumluluklarına sahip güvenlik ekiplerine erişim izni ver. Ayrıntı: Güvenlik ekiplerine Azure RBAC Güvenlik Okuyucusu rolü ver. Sorumlulukların kapsamına bağlı olarak kök yönetim grubunu veya kesim yönetim grubunu kullanabilirsiniz:

• Tüm kurumsal kaynaklardan sorumlu ekipler için kök yönetim grubu
• Sınırlı kapsamı olan takımlar için segment yönetim grubu (genellikle mevzuat veya diğer kuruluş sınırları nedeniyle)

En iyi yöntem: Doğrudan operasyonel sorumlulukları olan güvenlik ekiplerine uygun izinleri verin. Ayrıntı: Uygun rol ataması için Azure yerleşik rollerini gözden geçirme. Yerleşik roller, kuruma özgü ihtiyaçları karşılayamasa Azure özel rolleri oluşturabilirsiniz. Yerleşik rollerde olduğu gibi abonelik, kaynak grubu ve kaynak kapsamlarında kullanıcılara, gruplara ve hizmet sorumlulara özel roller atabilirsiniz.

En iyi yöntemler: Bulut için Microsoft Defender'a ihtiyaç olan güvenlik rollerine erişim izni ver. Bulut için Defender, güvenlik ekiplerinin riskleri hızla tanımlamalarına ve düzeltmelerine olanak sağlar. Ayrıntı: Güvenlik ilkelerini görüntüleyişlerini, güvenlik durumları görüntüleyişlerini, güvenlik ilkelerini düzenleyişlerini, uyarıları ve önerileri görüntüleyişlerini ve uyarıları ve önerileri çıkararak bunları azure RBAC Güvenlik Yöneticisi rolüne ekleme. Sorumlulukların kapsamına bağlı olarak kök yönetim grubunu veya kesim yönetim grubunu kullanarak bunu yapabiliriz.

Azure RBAC gibi özellikleri kullanarak veri erişim denetimi uygulamayan kuruluşlar, kullanıcılarına gerekenden daha fazla ayrıcalık veriyor olabilir. Bu, kullanıcıların sahip olmaması gereken veri türlerine (yüksek iş etkisi gibi) erişmelerine olanak sağlayarak verilerin güvenliğinin tehlikeye atmasına yol açabilirsiniz.

Ayrıcalıklı hesapların daha düşük açık kalma süresi

Ayrıcalıklı erişimin güvenliğini sağlamak, iş varlıklarını korumanın kritik bir ilk adımıdır. Güvenli bilgilere veya kaynaklara erişimi olan kişi sayısını en aza indirmek, kötü amaçlı bir kullanıcının erişim elde etme veya yetkili bir kullanıcının hassas bir kaynağı yanlışlıkla etkileme ihtimalini azaltır.

Ayrıcalıklı hesaplar, BT sistemlerini yöneten ve yöneten hesaplardır. Cyber saldırganlar, bir kuruluşun verilerine ve sistemlerine erişim kazanmak için bu hesapları hedefleyin. Ayrıcalıklı erişimin güvenliğini sağlamak için, hesabı ve sistemleri kötü niyetli bir kullanıcıya açık olma riskini yalıtmanız gerekir.

Siber saldırganlarına karşı ayrıcalıklı erişimin güvenliğini sağlamak için bir yol haritası geliştirmenizi ve izlemenizi öneririz. azure ad, Microsoft Azure, Microsoft 365 ve diğer bulut hizmetlerinde yönetilen veya bildirilen kimliklerin ve erişimin güvenliğini sağlamak için ayrıntılı bir yol haritası oluşturma hakkında daha fazla bilgi için azure ad 'de karma ve bulut dağıtımları için ayrıcalıklı erişim güvenliğinigözden geçirin.

Aşağıda, Azure AD 'de karma ve bulut dağıtımları için ayrıcalıklı erişimin güvenliğini sağlamakonusunda bulunan en iyi yöntemler özetlenmektedir:

En iyi yöntem: ayrıcalıklı hesaplara erişimi yönetin, denetleyin ve izleyin.
Ayrıntı: Azure AD Privileged Identity Managementaçın. Privileged Identity Management açtıktan sonra, ayrıcalıklı erişim rolü değişiklikleri için bildirim e-posta iletilerini alacaksınız. Bu bildirimler, dizininizde son derece ayrıcalıklı rollere ek kullanıcılar eklendiğinde erken uyarı sağlar.

En iyi yöntem: tüm kritik yönetici HESAPLARıNıN Azure AD hesapları olarak yönetildiğinden emin olun. Ayrıntı: herhangi bir tüketici hesabını kritik yönetici rolünden kaldırın (örneğin, hotmail.com, live.com ve Outlook.com gibi Microsoft hesapları).

En iyi yöntem: yönetim ayrıcalıklarına engel olmak için tüm kritik Yönetici rollerinin yönetim görevleri için ayrı bir hesaba sahip olduğundan emin olun. Ayrıntı: yönetim görevlerini gerçekleştirmek için gereken ayrıcalıklara atanmış ayrı bir yönetici hesabı oluşturun. Microsoft 365 e-postası veya rastgele web 'e göz atma gibi günlük üretkenlik araçları için bu yönetim hesaplarının kullanımını engelleyin.

En iyi yöntem: yüksek ayrıcalıklı rollerdeki hesapları belirleme ve kategorilere ayırma.
ayrıntı: Azure AD Privileged Identity Management 'yi etkinleştirdikten sonra, genel yönetici, ayrıcalıklı rol yöneticisi ve diğer yüksek ayrıcalıklı rollerdeki kullanıcıları görüntüleyin. Artık bu rollerde gerekli olmayan hesapları kaldırın ve yönetici rollerine atanan kalan hesapları kategorilere ayırın:

• Yönetici kullanıcılara ayrı ayrı atanır ve yönetici olmayan amaçlar için kullanılabilir (örneğin, kişisel e-posta)
• Tek tek yönetici kullanıcılara atanır ve yalnızca yönetim amacıyla belirlenir
• Birden çok kullanıcı arasında paylaşılıyor
• Acil durum erişim senaryoları için
• Otomatikleştirilmiş betikler için
• Dış kullanıcılar için

En iyi yöntem: ayrıcalıkların etkilenme süresini daha da azaltmak ve ayrıcalıklı hesapların kullanımı hakkında görünürlüğünüzü artırmak için "zamanında anında" (JIT) erişimi uygulayın.
ayrıntı: Azure AD Privileged Identity Management şunları yapmanızı sağlar:

• Kullanıcıları yalnızca kendi ayrıcalıklarını JıT ' den ayırarak sınırlayın.
• Ayrıcalıkların otomatik olarak iptal edildiğinden emin olmak için, kısa süreli bir süre için roller atayın.

En iyi yöntem: en az iki acil durum erişim hesabı tanımlayın.
ayrıntı: acil erişim hesapları, kuruluşların mevcut bir Azure Active Directory ortamında ayrıcalıklı erişimi kısıtlamalarına yardımcı olur. Bu hesaplar son derece ayrıcalıklı ve belirli kişilere atanmamıştır. Acil durum erişim hesapları, normal yönetim hesaplarının kullanılabileceği senaryolarla sınırlıdır. Kuruluşların acil durum hesabının kullanımını yalnızca gerekli süre ile sınırlandırmalıdır.

Genel yönetici rolü için atanan veya uygun olan hesapları değerlendirin. *.onmicrosoft.comEtki alanını (acil erişim için tasarlanan) kullanarak yalnızca herhangi bir bulut hesabı görmüyorsanız, bunları oluşturun. Daha fazla bilgi için bkz. Azure AD 'de acil durum erişimi yönetim hesaplarını yönetme.

En iyi yöntem: acil durumda bir "cam" işlemine sahiptir. Ayrıntı: Azure AD 'de karma ve bulut dağıtımları Için ayrıcalıklı erişimin güvenliğini sağlama konusundakiadımları izleyin.

En iyi yöntem: tüm kritik yönetici hesaplarının parola-daha az (tercih edilen) olmasını veya Multi-Factor Authentication gerektirmesini gerektirir. ayrıntı: herhangi bir Azure AD hesabında parola kullanmadan oturum açmak için Microsoft Authenticator uygulamasını kullanın. Windows Hellogibi, Microsoft Authenticator bir cihaza bağlı bir kullanıcı kimlik bilgisini etkinleştirmek ve biyometrik kimlik doğrulaması ya da pın 'i kullanması için anahtar tabanlı kimlik doğrulaması kullanır.

azure ad yönetici rollerinin bir veya daha fazlasına kalıcı olarak atanan tüm bireysel kullanıcılar için oturum açma sırasında azure ad Multi-Factor Authentication gerektir: genel yönetici, ayrıcalıklı rol yöneticisi, Exchange Online yönetici ve çevrimiçi yönetici SharePoint. Yönetici hesaplarınız için Multi-Factor Authentication etkinleştirin ve yönetici hesabı kullanıcılarının kayıtlı olduğundan emin olun.

En iyi yöntem: kritik yönetici hesapları için, üretim görevlerine izin verilmeyen bir yönetim iş istasyonuna (örneğin, göz atma ve e-posta) sahiptir. Bu, yönetici hesaplarınızı göz atma ve e-posta kullanan saldırı vektörlerinden korur ve önemli bir olay riskini önemli ölçüde azaltır. Ayrıntı: yönetici iş istasyonu kullanın. Bir iş istasyonu güvenliği düzeyi seçin:

• Son derece güvenli üretkenlik cihazları, gözatma ve diğer üretkenlik görevlerine yönelik gelişmiş güvenlik sağlar.
• Ayrıcalıklı erişim Iş istasyonları (Paw 'lar) , hassas görevler için internet saldırılarına ve tehdit vektörlerinden korunan adanmış bir işletim sistemi sağlar.

En iyi yöntem: Çalışanlar kuruluştan ayrıldığında yönetici hesaplarının sağlamasını kaldırma. Ayrıntı: Çalışanlar kuruluştan ayrıldığında yönetici hesaplarını devre dışı bırakan veya silen bir işlem yapın.

En iyi yöntem: geçerli saldırı tekniklerini kullanarak yönetim hesaplarını düzenli olarak test edin. ayrıntı: kuruluşunuzda gerçekçi saldırı senaryoları çalıştırmak için Microsoft 365 saldırı simülatörü veya bir üçüncü taraf teklifi kullanın. Bu, gerçek bir saldırı gerçekleşmeden önce savunmasız kullanıcıları bulmanıza yardımcı olabilir.

En iyi yöntem: en sık kullanılan saldırıya uğrayan teknikleri azaltmaya yönelik adımları uygulayın.
Ayrıntı: Yönetim rollerinde iş veya okul hesaplarına geçiş yapması gereken Microsoft hesaplarını belirler

Genel yönetici hesapları için ayrı kullanıcı hesapları ve posta iletimi sağlayın

Yönetim hesaplarının parolalarının yakın zamanda değiştiğinden emin olun

Parola karması eşitlemesini aç

Tüm ayrıcalıklı rollerdeki kullanıcıların yanı sıra sunulan kullanıcılar için Multi-Factor Authentication gerektir

Microsoft 365 güvenli puanınızı edinin (Microsoft 365 kullanıyorsanız)

Microsoft 365 güvenlik kılavuzunu gözden geçirin (Microsoft 365 kullanıyorsanız)

Microsoft 365 etkinlik izlemeyi yapılandırın (Microsoft 365 kullanılıyorsa)

Olay/acil durum yanıt planı sahipleri oluşturma

Şirket içi ayrıcalıklı yönetim hesaplarının güvenliğini sağlama

Ayrıcalıklı erişimi güvenli hale getiremezseniz, yüksek ayrıcalıklı rollerde çok fazla kullanıcınız olduğunu ve saldırılara karşı daha savunmasız olduğunu fark edebilirsiniz. Siber saldırganlar de dahil olmak üzere kötü amaçlı aktörler, genellikle kimlik bilgileri hırsızlığı kullanarak hassas verilere ve sistemlere erişim kazanmak için yönetici hesaplarını ve ayrıcalıklı erişim 'in diğer öğelerini hedefleyin.

Kaynakların oluşturulduğu denetim konumları

Bulut operatörlerinin, kuruluşunuzun kaynaklarını yönetmek için gerekli olan kuralları bozmasını engellerken görevleri gerçekleştirmesini sağlama çok önemlidir. Kaynakların oluşturulduğu konumları denetlemek isteyen kuruluşlar bu konumları sabit olarak kodlemelidir.

Tanımları, özel olarak reddedilen eylemleri veya kaynakları tanımlayan güvenlik ilkeleri oluşturmak için Azure Resource Manager kullanabilirsiniz. Bu ilke tanımlarını, istenen kapsamda (abonelik, kaynak grubu veya tek bir kaynak gibi) atarsınız.

Kaynakların nasıl oluşturulduğunu denetmayan kuruluşlar, ihtiyaç duyduklarında daha fazla kaynak oluşturarak hizmeti kötüye kullanan kullanıcılara daha açıktır. Kaynak oluşturma sürecini sağlamlaştırma, çok kiracılı bir senaryonun güvenliğini sağlamaya yönelik önemli bir adımdır.

Şüpheli etkinlikler için etkin bir şekilde izleme

Etkin bir kimlik izleme sistemi, şüpheli davranışı hızla algılayabilir ve daha fazla araştırma için bir uyarı tetikleyebilir. Aşağıdaki tabloda, kuruluşların kimliklerini izlemelerine yardımcı olabilecek iki Azure AD özelliği listelenmektedir:

En iyi yöntem: şunları tanımlamak için bir yönteme sahiptir:

• İzlenmedenoturum açmaya çalışır.
• Belirli bir hesaba karşı deneme yanılma saldırıları.
• Birden çok konumdan oturum açmaya çalışır.
• Virüslü cihazlardanoturum açma işlemleri.
• Şüpheli IP adresleri.

ayrıntı: Azure AD Premium anomali raporlarınıkullanın. BT yöneticilerinin bu raporları günlük olarak veya isteğe bağlı olarak (genellikle bir olay yanıtı senaryosunda) çalıştırmasına yönelik işlemler ve yordamlar vardır.

En iyi yöntem: riskleri bildiren ve risk düzeyini (yüksek, orta veya düşük) iş gereksinimlerinize göre ayarlayabildiğiniz etkin bir izleme sistemine sahiptir.
Ayrıntı: kendi panosundaki geçerli riskleri işaret eden Azure AD kimlik korumasıkullanın ve e-posta aracılığıyla günlük Özet bildirimleri gönderir. Kuruluşunuzun kimliklerinin korunmasına yardımcı olmak için, belirtilen risk düzeyine ulaşıldığında algılanan sorunlara otomatik olarak yanıt veren risk tabanlı ilkeler yapılandırabilirsiniz.

Kimlik sistemlerini etkin bir şekilde izlemediği kuruluşlar, Kullanıcı kimlik bilgilerinin güvenliğinin aşılmasına neden olma risklidir. Bu kimlik bilgileriyle şüpheli etkinliklerin gerçekleşmesi konusunda bilgi sahibi olmayan kuruluşlar, bu tür tehdidi azaltamıyorum.

Depolama kimlik doğrulaması için Azure AD kullanma

azure Depolama , Blob depolama ve kuyruk depolama için azure AD ile kimlik doğrulaması ve yetkilendirmeyi destekler. Azure AD kimlik doğrulamasıyla, kullanıcılara, gruplara ve uygulamalara tek bir blob kapsayıcısının veya kuyruğunun kapsamına belirli izinler vermek için Azure rol tabanlı erişim denetimini kullanabilirsiniz.

Depolama erişimi için kimlik doğrulaması yapmak üzere Azure ADkullanmanızı öneririz.

Sonraki adım

Azure 'u kullanarak bulut çözümlerinizi tasarlarken, dağıttığınızda ve yönetirken en iyi güvenlik uygulamaları için bkz. Azure Güvenlik en iyi uygulamaları ve desenleri .