Güvenlik Denetimi V2: Ayrıcalıklı Erişim

  • Makale

Not

En güncel Azure Güvenlik Karşılaştırması'na buradan ulaşabilirsiniz.

Privileged Access, Azure kiracınıza ve kaynaklarınıza ayrıcalıklı erişimi korumak için denetimleri kapsar. Buna yönetim modelinizi, yönetim hesaplarınızı ve ayrıcalıklı erişim iş istasyonlarınızı kasıtlı ve yanlışlıkla risklere karşı korumaya yönelik çeşitli denetimler dahildir.

Geçerli yerleşik Azure İlkesi görmek için bkz. Azure Güvenlik Karşılaştırması Mevzuat Uyumluluğu yerleşik girişiminin ayrıntıları: Privileged Access

PA-1: Yüksek ayrıcalıklı kullanıcıları koruyun ve sınırlayın

Azure Kimliği CIS Denetimleri v7.1 kimlikleri NIST SP 800-53 r4 kimlikleri
PA-1 4.3, 4.8 AC-2

Yüksek ayrıcalıklı kullanıcı hesaplarının sayısını sınırlayın ve bu hesapları yükseltilmiş düzeyde koruyun. Azure AD'daki en kritik yerleşik roller Genel Yönetici ve Ayrıcalıklı Rol Yöneticisi'dir, çünkü bu iki role atanan kullanıcılar yönetici rollerini temsilci olarak atayabilir. Bu ayrıcalıklarla kullanıcılar Azure ortamınızdaki her kaynağı doğrudan veya dolaylı olarak okuyabilir ve değiştirebilir:

  • Genel Yönetici: Bu role sahip kullanıcılar, Azure AD'daki tüm yönetim özelliklerine ve Azure AD kimlikleri kullanan hizmetlere erişebilir.

  • Ayrıcalıklı Rol Yöneticisi: Bu role sahip kullanıcılar hem Azure AD hem de Azure AD Privileged Identity Management (PIM) içinde rol atamalarını yönetebilir. Buna ek olarak, bu rol PIM ve yönetim birimlerinin tüm yönlerinin yönetilmesine olanak tanır.

Not: Belirli ayrıcalıklı izinlere sahip özel roller kullanıyorsanız idare edilmesi gereken başka kritik rolleriniz olabilir. Ayrıca, kritik iş varlıklarının yönetici hesabına da benzer denetimler uygulamak isteyebilirsiniz.

Azure AD Privileged Identity Management’ı (PIM) kullanarak Azure kaynaklarına ve Azure AD’ye tam zamanında (JIT) ayrıcalıklı erişimi etkinleştirebilirsiniz. JIT yalnızca kullanıcıların ihtiyacı olduğunda ayrıcalıklı görevler gerçekleştirmeleri için geçici izinler verir. Azure AD kuruluşunuzda güvenli olmayan veya şüpheli etkinlikler olduğunda da PIM güvenlik uyarıları oluşturabilir.

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

PA-2: İş açısından kritik sistemlere yönetici erişimini kısıtlayın

Azure Kimliği CIS Denetimleri v7.1 kimlikleri NIST SP 800-53 r4 kimlikleri
PA-2 13.2, 2.10 AC-2, SC-3, SC-7

Hangi hesapların aboneliklere ve yönetim gruplarına ayrıcalıklı erişim verildiğini kısıtlayarak iş açısından kritik sistemlere erişimi yalıtın. ayrıca, Active Directory Etki Alanı Denetleyicileri (DC'ler), güvenlik araçları ve iş açısından kritik sistemlerde aracıların yüklü olduğu sistem yönetim araçları gibi iş açısından kritik varlıklarınıza yönetici erişimi olan yönetim, kimlik ve güvenlik sistemlerine erişimi de kısıtladığınızdan emin olun. Bu yönetim ve güvenlik sistemlerini tehlikeye atan saldırganlar, iş açısından kritik varlıkları tehlikeye atmak için bunları hemen silahlandırabilir.

Tutarlı erişim denetimi sağlamak için tüm erişim denetimi türleri kurumsal segmentasyon stratejinizle uyumlu olmalıdır.

E-posta, göz atma ve üretkenlik görevleri için kullanılan standart kullanıcı hesaplarından farklı ayrı ayrıcalıklı hesaplar atadığınızdan emin olun.

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

PA-3: Kullanıcı erişimini düzenli olarak gözden geçirin ve mutabık kılın

Azure Kimliği CIS Denetimleri v7.1 kimlikleri NIST SP 800-53 r4 kimlikleri
PA-3 4.1, 16.9, 16.10 AC-2

Hesapların ve erişim düzeylerinin geçerli olduğundan emin olmak için kullanıcı hesaplarını ve erişim atamasını düzenli olarak gözden geçirin. Grup üyeliklerini, kurumsal uygulamalara erişimi ve rol atamalarını gözden geçirmek için Azure AD erişim gözden geçirmelerini kullanabilirsiniz. Azure AD raporlama, eski hesapların bulunmasına yardımcı olmak için günlükler sağlayabilir. gözden geçirme sürecini kolaylaştıran bir erişim gözden geçirme raporu iş akışı oluşturmak için de Azure AD Privileged Identity Management kullanabilirsiniz. Ayrıca, Azure Privileged Identity Management çok fazla sayıda yönetici hesabı oluşturulduğunda uyarı vermek ve eski veya yanlış yapılandırılmış yönetici hesaplarını belirlemek için yapılandırılabilir.

Not: Bazı Azure hizmetleri, Azure AD aracılığıyla yönetilmeyen yerel kullanıcıları ve rolleri destekler. Bu kullanıcıları ayrı ayrı yönetmeniz gerekir.

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

PA-4: Azure AD'de acil durum erişimini ayarlayın

Azure Kimliği CIS Denetimleri v7.1 kimlikleri NIST SP 800-53 r4 kimlikleri
PA-4 16 AC-2, CP-2

Azure AD kuruluşunuzun yanlışlıkla kilitlenmesini önlemek için, normal yönetim hesapları kullanılamadığında erişim için bir acil durum erişim hesabı ayarlayın. Acil durum erişim hesapları genellikle yüksek ayrıcalığa sahiptir ve herhangi bir kişiye atanmamalıdır. Acil durum erişim hesaplarının kullanım alanı, normal yönetici hesaplarının kullanılamadığı acil veya "camı kırın" senaryolarıyla sınırlıdır. Acil durum erişim hesaplarının kimlik bilgilerinin (parola, sertifika veya akıllı kart) güvenli bir şekilde saklandığından ve yalnızca acil bir durumda bunları kullanma yetkisine sahip olan kullanıcılar tarafından bilindiğinden emin olmanız gerekir.

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

PA-5: Yetkilendirme yönetimini otomatikleştirme

Azure Kimliği CIS Denetimleri v7.1 kimlikleri NIST SP 800-53 r4 kimlikleri
PA-5 16 AC-2, AC-5, PM-10

Erişim atamaları, incelemeler ve süre sonu gibi erişim isteği iş akışlarını otomatikleştirmek için Azure AD yetkilendirme yönetimi özelliklerini kullanın. İkili veya çok aşamalı onay da desteklenir.

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

PA-6: Ayrıcalıklı erişim iş istasyonlarını kullanın

Azure Kimliği CIS Denetimleri v7.1 kimlikleri NIST SP 800-53 r4 kimlikleri
PA-6 4.6, 11.6, 12.12 AC-2, SC-3, SC-7

Güvenli, yalıtılmış iş istasyonları yönetici, geliştirici ve kritik hizmet operatörü gibi hassas rollerin güvenliği açısından kritik öneme sahiptir. Yönetim görevleri için yüksek oranda güvenli kullanıcı iş istasyonları ve/veya Azure Bastion kullanın. Yönetim görevleri için güvenli ve yönetilen bir kullanıcı iş istasyonu dağıtmak için Azure Active Directory, Kimlik için Microsoft Defender ve/veya Microsoft Intune kullanın. Güvenli iş istasyonları güçlü kimlik doğrulaması, yazılım ve donanım temelleri ve kısıtlı mantıksal ve ağ erişimi dahil olmak üzere güvenli yapılandırmayı zorunlu kılmak için merkezi olarak yönetilebilir.

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

AE-7: Tam yetecek kadar yönetim uygulama (en düşük ayrıcalık ilkesi)

Azure Kimliği CIS Denetimleri v7.1 kimlikleri NIST SP 800-53 r4 kimlikleri
PA-7 14.6 AC-2, AC-3, SC-3

Azure rol tabanlı erişim denetimi (Azure RBAC), rol atamaları aracılığıyla Azure kaynak erişimini yönetmenize olanak tanır. Bu rolleri kullanıcılara, grup hizmet sorumlularına ve yönetilen kimliklere atayabilirsiniz. Belirli kaynaklar için önceden tanımlanmış yerleşik roller vardır ve bu roller Azure CLI, Azure PowerShell ve Azure portal gibi araçlar aracılığıyla envantere kaydedilebilir veya sorgulanabilir. Azure RBAC aracılığıyla kaynaklara atadığınız ayrıcalıklar her zaman rollerin gerektirdiği ayrıcalıklarla sınırlı olmalıdır. Sınırlı ayrıcalıklar, Azure AD Privileged Identity Management (PIM) tam zamanında (JIT) yaklaşımını tamamlar ve bu ayrıcalıklar düzenli aralıklarla gözden geçirilmelidir.

İzinleri ayırmak ve yalnızca gerektiğinde özel roller oluşturmak için yerleşik rolleri kullanın.

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):

PA-8: Microsoft desteği için onay işlemini seçin

Azure Kimliği CIS Denetimleri v7.1 kimlikleri NIST SP 800-53 r4 kimlikleri
PA-8 16 AC-2, AC-3, AC-4

Microsoft'un müşteri verilerine erişmesi gereken destek senaryolarında, Müşteri Kasası her müşteri verisi erişim isteğini açıkça gözden geçirmeniz ve onaylamanız veya reddetmeniz için bir özellik sağlar.

Sorumluluk: Müşteri

Müşteri Güvenliği Paydaşları (Daha fazla bilgi edinin):