Ayrıcalıklı erişim: Arabirimler

  • Makale
  • Okumak için 4 dakika

Ayrıcalıklı erişimin güvenliğini sağlamanın kritik bir bileşeni, erişim sağlamadan önce cihazların, hesapların ve aracıların güvenlik gereksinimlerini karşılamasını güvence altına alan sıfır güven ilkesi uygulamasıdır.

Bu ilke, gelen oturumu başlatan kullanıcıların ve cihazların bilinen, güvenilen ve kaynağa erişmesine izin verir (arabirim üzerinden). İlke zorlaması, belirli bir uygulama arabirimine (Azure portalı, Salesforce, Office 365, AWS, workday ve diğerleri) atanan ilkeyi değerlendiren Azure AD Koşullu Erişim ilke altyapısı tarafından gerçekleştirilir.

Arabirimleri koruyarak kaynakları koruma

Bu kılavuz, farklı duyarlılık düzeylerine sahip varlıklar için kullanabileceğiniz arabirim güvenliği için üç güvenlik düzeyi tanımlar. Bu düzeyler, ayrıcalıklı erişimin hızlı modernleştirme planının (RAMP) güvenliğini sağlamada yapılandırılır ve hesapların ve cihazların güvenlik düzeylerine karşılık verir.

Hem fiziksel cihazlardan doğrudan bağlantı hem de Uzak Masaüstü / Atlama sunucusu aracı gibi arabirimlere gelen oturumların güvenlik gereksinimleri hesaplar ve kaynak cihaz için geçerlidir. Aracılar kurumsal güvenlik düzeyi sağlamak için kişisel cihazlardan oturumları kabul eder (bazı senaryolarda), ancak özel veya ayrıcalıklı aracıların rollerinin güvenlik duyarlı doğası nedeniyle alt düzeylerden bağlantılara izin vermeleri gerekir.

Not

Bu teknolojiler uygulama arabirimine sona doğru güçlü erişim denetimi sağlar, ancak kaynağın kendisi de temel alınan işletim sistemi veya üretici yazılımındaki uygulama kodu/işlevselliği, temel alınan işletim sistemi veya üretici yazılımındaki uygun olmayan güvenlik açıkları veya yapılandırma hataları, alınan veya geçişte olan verilerde bant dışı saldırılar, tedarik zincirleri veya başka türlerde güvenlik altına alınarak güvenlik altına alınmıştır.

Eksiksiz koruma için varlıkların kendileri için riskleri değerlendirin ve keşfedin. Microsoft, Bulut için Microsoft Defender, MicrosoftGüvenli Puanı ve tehdit modelleme kılavuzu gibi bu konuda size yardımcı olacak araç ve rehberlik sağlar.

Arabirim örnekleri

Arabirimler, genellikle şu şekilde farklı biçimlerde ortaya gelir:

  • Azure portalı, AWS ve Azure gibi bulut hizmeti/uygulama web Office 365
  • Şirket içi uygulama (Microsoft Yönetim Konsolu (MMC) veya özel uygulama) yöneten Masaüstü Konsolu
  • Güvenli Kabuk (SSH) veya PowerShell gibi Komut Dosyası/Konsol Arabirimi

Bunlardan bazıları Azure AD Koşullu Erişim ilke altyapısı aracılığıyla sıfır güven zorlamasını doğrudan desteklerken, bazıları Azure AD Uygulama Ara Sunucusu veya Uzak Masaüstü / atlama sunucusu gibi bir aracı üzerinden yayımlanacak.

Arabirim güvenliği

Arabirim güvenliğinin nihai amacı, arabirime gelen her oturumun bilindiği, güvenilen ve izin verilenler olduğundan emin olmaktır:

  • Bilinen – Güçlü kimlik doğrulamasıyla kullanıcı kimliği doğrulanır ve cihaz kimliği doğrulanır (kurumsal erişim için Uzak Masaüstü veya VDI çözümü kullanan kişisel cihazlar için özel durumlar dışında)
  • Güvenilir – Sıfır Güven ilke altyapısını kullanan hesaplar ve cihazlar için güvenlik durumu açık olarak doğrulanır ve zorunlu kılınır
  • İzin Verildi – Kaynaklara erişim, yalnızca erişilebilir olmasını sağlamak için denetimler birleşimini kullanarak en az ayrıcalık ilkesine sahiptir
    • Doğru kullanıcılar tarafından
    • Doğru zamanda (yalnızca zamanında erişimde, kalıcı erişimde değil)
    • Doğru onay iş akışıyla (gerektiğinde)
    • Kabul edilebilir bir risk/güven düzeyinde

Arabirim güvenlik denetimleri

Arabirim güvenlik güvencelerinin kurulması, aşağıdakiler gibi güvenlik denetimlerinin bir birleşimini gerektirir:

  • Sıfır Güven ilkesi zorlaması - Gelen oturumların aşağıdaki gereksinimleri karşı olduğundan emin olmak için Koşullu Erişim'i kullanma:
    • Cihazı en az düzeyde emin olmak için Cihaz Güveni:
      • Kuruluş tarafından yönetilir
      • Üzerinde uç noktada algılama ve yanıtlama var
      • Kuruluşların yapılandırma gereksinimleriyle uyumludur
      • Oturum sırasında virüs bulaştığında veya saldırı altında değil
    • Kullanıcı Güveni, şu sinyallere dayalı olarak yeterince yüksektir:
      • İlk oturum açma sırasında çok faktörlü kimlik doğrulama kullanımı (veya güveni artırmak için daha sonra eklenir)
      • Bu oturumun geçmiş davranış düzenleri ile eş olup olmadığı
      • Hesap veya geçerli oturumun tehdit İstihbaratı'nın temel alarak uyarıları tetikleyip tetikley olmadığı
      • Azure AD Kimlik Koruması riski
  • Kurumsal dizin gruplarını/izinlerini ve uygulamaya özgü rolleri, grupları ve izinleri birleştiren rol tabanlı erişim denetimi (RBAC) modeli
  • Ayrıcalıklar (eşler onayı, denetim izi, ayrıcalıklı süre sonu, vb.) için belirli gereksinimlerin sağlandıklarından emin olan zaman erişim iş akışları. ayrıcalıklara izin vermeden önce zorunlu kılınabilir.

Arabirim güvenlik düzeyleri

Bu kılavuz, üç güvenlik düzeyi tanımlar. Bu düzeyler hakkında daha fazla bilgi için bkz. Basit Tutma - Kişilikler ve Profiller. Uygulama kılavuzu için, hızlı bir modernleştirme planına bakın.

Belirli arabirim güvenlik düzeylerine kaynakları erişimi denetleme

Enterprise arabirimi

Enterprise arabirimi güvenliği tüm kurumsal kullanıcılar ve üretkenlik senaryoları için uygundur. Enterprise ayrıca, özelleştirilmiş ve ayrıcalıklı erişim düzeylerine ulaşmak için artımlı olarak artırarak daha yüksek duyarlılık iş yükleri için bir başlangıç noktası olarak hizmet sağlar.

  • Sıfır Güven ilkesi zorlaması - Kullanıcıların ve cihazların kuruluş veya daha yüksek düzeyde güvenlik altına alındıklarına emin olmak için Koşullu Erişim'i kullanarak gelen oturumlarda
    • Destek olmak için, özel bir Windows Sanal Masaüstü (WVD) veya benzeri bir Uzak Masaüstü / Atlama sunucusu çözümü gibi bir kurumsal aracı kullanıyorsa kendi cihaz (BYOD) senaryolarınızı, kişisel cihazlarınızı ve iş ortağı tarafından yönetilen cihazlarınıza bağlanma izni ve olabilir.
  • Role-Based Erişim Denetimi (RBAC) - Model, uygulamanın yalnızca özel veya ayrıcalıklı güvenlik düzeyindeki roller tarafından yönetilene kadar

Özel arabirim

Özel arabirimler için güvenlik denetimleri şunları içerebilir:

  • Sıfır Güven ilkesi zorlaması - Kullanıcıların ve cihazların özel veya ayrıcalıklı düzeyde güvenlik altına alındıklarına emin olmak için Koşullu Erişim'i kullanarak gelen oturumlarında
  • Role-Based Erişim Denetimi (RBAC) - Model, uygulamanın yalnızca özel veya ayrıcalıklı güvenlik düzeyindeki roller tarafından yönetilene kadar
  • Tam zamanında erişim iş akışları (isteğe bağlı) - ayrıcalıkların yalnızca gerekli olduğu süre içinde yetkili kullanıcılar tarafından kullanılmalarını sağlayarak en az ayrıcalığı zorunlu bulunduran iş akışları.

Ayrıcalıklı arabirim

Özel arabirimler için güvenlik denetimleri şunları içerebilir:

  • Sıfır Güven ilkesi zorlaması - Kullanıcıların ve cihazların ayrıcalıklı düzeyde güvenlik altına alındıklarına emin olmak için Koşullu Erişim'i kullanarak gelen oturumlarında
  • Role-Based Erişim Denetimi (RBAC) - Model, uygulamanın yalnızca ayrıcalıklı güvenlik düzeyindeki roller tarafından yönetilenin sağlanmasını sağlar
  • Tam zamanında erişim iş akışları (gerekli) ve ayrıcalıkların yalnızca gerekli olduğu süre içinde yetkili kullanıcılar tarafından kullanıldıklarından emin olarak en az ayrıcalık sağlayan iş akışları.

Sonraki adımlar