Güvenlik Denetimi V2: Kimlik Yönetimi
Not
En güncel Azure Güvenlik Karşılaştırması'na buradan ulaşabilirsiniz.
Kimlik Yönetimi, Azure Active Directory kullanarak güvenli bir kimlik ve erişim denetimleri oluşturmak için denetimleri kapsar. Bu, uygulamalar için çoklu oturum açma, güçlü kimlik doğrulamaları, yönetilen kimlikler (ve hizmet sorumluları) kullanımı, koşullu erişim ve hesap anomalilerini izlemeyi içerir.
Geçerli yerleşik Azure İlkesi görmek için bkz. Azure Güvenlik Karşılaştırması Mevzuat Uyumluluğu yerleşik girişiminin ayrıntıları: Kimlik Yönetimi
IM-1: Azure Active Directory'yi standart merkezi kimlik ve kimlik doğrulaması sistemi haline getirin
| Azure Kimliği | CIS Denetimleri v7.1 Kimlikleri | NIST SP 800-53 r4 kimlikleri |
|---|---|---|
| Anlık İleti-1 | 16.1, 16.2, 16.4, 16.5 | IA-2, IA-8, AC-2, AC-3 |
Azure Active Directory (Azure AD), Azure'ın varsayılan kimlik ve erişim yönetimi hizmetidir. Kuruluşunuzun kimliğini ve erişim yönetimini yönetmek için Azure AD standartlaştırmanız gerekir:
Microsoft bulut kaynakları. Örneğin Azure portal, Azure Depolama, Azure Sanal Makineler (Linux ve Windows), Azure Key Vault, PaaS ve SaaS uygulamaları.
Kuruluşunuzun kaynakları. Örneğin Azure’daki uygulamalar veya kurumsal ağ kaynaklarınız.
Azure AD güvenliğini sağlamak, kuruluşunuzun bulut güvenliği uygulamalarında yüksek öncelikli olmalıdır. Azure AD, Microsoft'un en iyi deneyim önerilerine göre kimlik güvenliği duruşunuzu değerlendirmenize yardımcı olacak bir kimlik güvenliği puanı sağlar. Bu puanı kullanarak yapılandırmanızın en iyi yöntem önerileriyle ne kadar uyumlu olduğunu ölçebilir ve güvenlik duruşunuzda geliştirmeler yapabilirsiniz.
Not: Azure AD dış kimlik sağlayıcılarını desteklediğinden, Microsoft hesabı olmayan kullanıcıların dış kimlikleriyle uygulamalarında ve kaynaklarında oturum açmasına izin verir.
Sorumluluk: Müşteri
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
IM-2: Uygulama kimliklerini güvenli ve otomatik bir şekilde yönetin
| Azure Kimliği | CIS Denetimleri v7.1 Kimlikleri | NIST SP 800-53 r4 kimlikleri |
|---|---|---|
| Anlık İleti-2 | Yok | AC-2, AC-3, IA-2, IA-4, IA-9 |
Hizmetler veya otomasyon gibi insan olmayan hesaplar için kaynaklara erişmek veya kod yürütmek için daha güçlü bir insan hesabı oluşturmak yerine Azure tarafından yönetilen kimlikleri kullanın. Azure tarafından yönetilen kimlikler, Azure AD kimlik doğrulamasını destekleyen Azure hizmetlerinde ve kaynaklarda kimlik doğrulaması yapabilir. Kimlik doğrulaması, önceden tanımlanmış erişim verme kuralları aracılığıyla etkinleştirilir ve kaynak kodunda veya yapılandırma dosyalarında sabit kodlanmış kimlik bilgilerini önler.
Yönetilen kimlikleri desteklemeyen hizmetler için Azure AD kullanarak kaynak düzeyinde kısıtlı izinlere sahip bir hizmet sorumlusu oluşturun. Hizmet sorumlularını sertifika kimlik bilgileriyle yapılandırmanızı ve istemci gizli dizilerine geri dönmenizi öneririz. Her iki durumda da Azure Key Vault Azure tarafından yönetilen kimliklerle birlikte kullanılabilir, böylece çalışma zamanı ortamı (azure işlevi gibi) anahtar kasasından kimlik bilgilerini alabilir.
Güvenlik sorumlusu kaydı için Azure Key Vault kullanma: authentication#authorize-a-security-principal-to-access-key-vault
Sorumluluk: Müşteri
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
IM-3: Uygulama erişimi için Azure AD çoklu oturum açma (SSO) özelliğini kullanın
| Azure Kimliği | CIS Denetimleri v7.1 Kimlikleri | NIST SP 800-53 r4 kimlikleri |
|---|---|---|
| Anlık İleti-3 | 4.4 | IA-2, IA-4 |
Azure AD, Azure kaynaklarına, bulut uygulamalarına ve şirket içi uygulamalara kimlik ve erişim yönetimi sağlar. Kimlik ve erişim yönetimi, çalışanlar gibi kurumsal kimliklerin yanı sıra iş ortakları, satıcılar ve tedarikçiler gibi dış kimlikler için de geçerlidir.
Kuruluşunuzun şirket içindeki ve buluttaki verilerine ve kaynaklarına erişimi yönetmek ve güvenli bir şekilde sağlamak için Azure AD çoklu oturum açma (SSO) kullanın. Sorunsuz, güvenli erişim ve daha fazla görünürlük ve denetim için tüm kullanıcılarınızı, uygulamalarınızı ve cihazlarınızı Azure AD bağlayın.
Sorumluluk: Müşteri
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
IM-4: Tüm Azure Active Directory tabanlı erişim girişimleri için güçlü kimlik doğrulaması denetimleri kullanın
| Azure Kimliği | CIS Denetimleri v7.1 Kimlikleri | NIST SP 800-53 r4 kimlikleri |
|---|---|---|
| Anlık İleti-4 | 4.2, 4.4 4.5, 11.5, 12.11, 16.3 | AC-2, AC-3, IA-2, IA-4 |
Azure AD, çok faktörlü kimlik doğrulaması (MFA) ve güçlü parolasız yöntemler aracılığıyla güçlü kimlik doğrulama denetimlerini destekler.
Çok faktörlü kimlik doğrulaması: Azure AD MFA'yı etkinleştirin ve Azure Güvenlik Merkezi "MFA'yı Etkinleştir" güvenlik denetimindeki önerileri izleyin. MFA tüm kullanıcılara, belirli kullanıcılara veya oturum açma koşullarına ve risk faktörlerine göre kullanıcı başına düzeyinde zorunlu kılınabilir.
Parolasız kimlik doğrulaması: Üç parolasız kimlik doğrulama seçeneği mevcuttur: İş İçin Windows Hello, Microsoft Authenticator uygulaması ve akıllı kartlar gibi şirket içi kimlik doğrulama yöntemleri.
Yönetici ve ayrıcalıklı kullanıcılar için, güçlü kimlik doğrulama yönteminin en yüksek düzeyinin kullanıldığından emin olun ve ardından uygun güçlü kimlik doğrulama ilkesini diğer kullanıcılara dağıtın.
Azure AD kimlik doğrulaması için eski parola tabanlı kimlik doğrulaması hala kullanılıyorsa, yalnızca bulut hesaplarının (doğrudan Azure'da oluşturulan kullanıcı hesapları) varsayılan temel parola ilkesine sahip olduğunu lütfen unutmayın. Karma hesaplar (şirket içi Active Directory gelen kullanıcı hesapları) şirket içi parola ilkelerini izler. Parola tabanlı kimlik doğrulaması kullanılırken, Azure AD kullanıcıların tahmin etmek kolay parolalar ayarlamasını engelleyen bir parola koruma özelliği sağlar. Microsoft, telemetri verilerine göre güncelleştirilen genel bir yasaklanmış parola listesi sağlar ve müşteriler listeyi ihtiyaçlarına göre (markalama, kültürel başvurular vb.) genişletebilir. Bu parola koruması yalnızca bulut ve karma hesaplar için kullanılabilir.
Not: Yalnızca parola kimlik bilgilerine dayalı kimlik doğrulaması popüler saldırı yöntemlerine açıktır. Daha yüksek güvenlik için MFA gibi güçlü kimlik doğrulaması ve güçlü bir parola ilkesi kullanın. Varsayılan parolalara sahip olabilecek üçüncü taraf uygulamalar ve market hizmetleri için, ilk hizmet kurulumu sırasında bunları değiştirmeniz gerekir.
Azure Active Directory için parolasız kimlik doğrulaması seçeneklerine giriş
Azure AD Parola Koruması kullanarak hatalı parolaları ortadan kaldırma
Sorumluluk: Müşteri
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
IM-5: Hesap anomalilerini izleyin ve uyarı oluşturun
| Azure Kimliği | CIS Denetimleri v7.1 Kimlikleri | NIST SP 800-53 r4 kimlikleri |
|---|---|---|
| Anlık İleti-5 | 4.8, 4.9, 16.12, 16.13 | AC-2, AC-3, AC-7, AU-6 |
Azure AD aşağıdaki veri kaynaklarını sağlar:
Oturum açma bilgileri – Oturum açma bilgileri raporu, yönetilen uygulamaların kullanımı ve kullanıcı oturum açma etkinlikleri hakkında bilgi sağlar.
Denetim günlükleri - Azure AD'daki çeşitli özellikler aracılığıyla yapılan tüm değişiklikler için günlükler aracılığıyla izlenebilirlik sağlar. Günlüğe kaydedilen değişikliklere örnek olarak kullanıcı, uygulama, grup, rol ve ilke ekleme veya kaldırma verilebilir.
Riskli oturum açma işlemleri - Riskli oturum açma işlemi bir kullanıcı hesabının meşru sahibi olmayan bir kişi tarafından gerçekleştirilmiş olabilecek oturum açma girişiminin göstergesidir.
Riskli oldukları belirlenen kullanıcılar - Riskli kullanıcı, güvenliği tehlikeye girmiş olabilecek bir kullanıcı hesabının göstergesidir.
Bu veri kaynakları Azure İzleyici, Azure Sentinel veya üçüncü taraf SIEM sistemleriyle tümleştirilebilir.
Azure Güvenlik Merkezi, aşırı sayıda başarısız kimlik doğrulama girişimi ve abonelikteki kullanım dışı hesaplar gibi bazı şüpheli etkinlikler hakkında da uyarı verebilir.
Kimlik için Microsoft Defender gelişmiş tehditleri, güvenliği aşılmış kimlikleri ve kötü amaçlı şirket içi eylemleri tanımlamak, algılamak ve araştırmak için şirket içi Active Directory sinyallerini kullanabilen bir güvenlik çözümüdür.
Riskli etkinlik bayrağıyla işaretlenen Azure AD kullanıcılarını belirleme
Azure Güvenlik Merkezi’nde kullanıcıların kimliğini ve erişim etkinliğini izleme
Azure Güvenlik Merkezi ve Azure Defender planlarındaki uyarılar
Sorumluluk: Müşteri
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
IM-6: Azure kaynaklarına erişimi koşullara göre kısıtlayın
| Azure Kimliği | CIS Denetimleri v7.1 Kimlikleri | NIST SP 800-53 r4 kimlikleri |
|---|---|---|
| Anlık İleti-6 | Yok | AC-2, AC-3 |
MFA kullanmak için belirli IP aralıklarından kullanıcı oturum açma işlemleri gerektirme gibi kullanıcı tanımlı koşullara göre daha ayrıntılı erişim denetimi için Azure AD koşullu erişim kullanın. Ayrıntılı kimlik doğrulama oturumu yönetimi, farklı kullanım örnekleri için Azure AD koşullu erişim ilkesi aracılığıyla da kullanılabilir.
Sorumluluk: Müşteri
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
IM-7: Kimlik bilgilerinin istenmeden açığa çıkma olasılığını ortadan kaldırın
| Azure Kimliği | CIS Denetimleri v7.1 Kimlikleri | NIST SP 800-53 r4 kimlikleri |
|---|---|---|
| Anlık İleti-7 | 18.1, 18.7 | IA-5 |
Kod içindeki kimlik bilgilerini tanımlamak için Azure DevOps Kimlik Bilgisi Tarayıcısı'nı uygulayın. Kimlik Bilgisi Tarayıcısı ayrıca bulunan kimlik bilgilerinin Azure Key Vault gibi daha güvenli konumlara taşınmasını da teşvik eder.
GitHub için yerel gizli dizi tarama özelliğini kullanarak kimlik bilgilerini veya kod içindeki diğer gizli dizi türlerini tanımlayabilirsiniz.
Sorumluluk: Müşteri
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):
IM-8: Eski uygulamalara kullanıcı erişiminin güvenliğini sağlama
| Azure Kimliği | CIS Denetimleri v7.1 Kimlikleri | NIST SP 800-53 r4 kimlikleri |
|---|---|---|
| Anlık İleti-8 | 14.6 | AC-2, AC-3, SC-11 |
Eski uygulamalar ve depolayıp işledikleri veriler için modern erişim denetimlerine ve oturum izlemesine sahip olduğunuzdan emin olun. VPN'ler genellikle eski uygulamalara erişmek için kullanılırken genellikle yalnızca temel erişim denetimine ve sınırlı oturum izlemeye sahiptir.
Azure AD Uygulama Ara Sunucusu, hem uzak kullanıcıların hem de Azure AD Koşullu Erişime sahip cihazların güvenilirliğini açıkça doğrularken, çoklu oturum açma (SSO) ile uzak kullanıcılara eski şirket içi uygulamaları yayımlamanıza olanak tanır.
Alternatif olarak, Microsoft Defender for Cloud Apps kullanıcının uygulama oturumlarını izleme ve eylemleri engelleme (hem eski şirket içi uygulamalar hem de hizmet olarak bulut yazılımı (SaaS) uygulamaları için) için denetimler sağlayabilen bir bulut erişim güvenlik aracısı (CASB) hizmetidir.
Sorumluluk: Müşteri
Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):