Ayrıcalıklı erişim: Aracılar

Aracı cihazların güvenliği, ayrıcalıklı erişimin güvenliğini sağlamanın kritik bir bileşenidir.

Aracılar, kullanıcı veya yöneticinin uç oturum için Sıfır Güven güvencesi zincirinin bağlantısını ekler, dolayısıyla oturumda Sıfır Güveni güvenlik güvencelerini sürdürmeleri (veya geliştirmeleri) gerekir. Aralara örnek olarak sanal özel ağlar (VPN'ler), atlama sunucuları, sanal masaüstü altyapısı (VDI) ve erişim ara sunucuları aracılığıyla uygulama yayımlama örnek olarak verilmiştir.

Bir saldırgan, bu dosyalarda depolanan kimlik bilgilerini kullanarak ayrıcalıkları yükseltmeye çalışır, şirket ağlarına uzaktan ağ erişimi elde etmek veya Sıfır Güven erişim kararları için kullanılıyorsa bu cihaza güveni istismar etmek için bir aracı saldırır. Özellikle bu cihazların güvenlik durumunu sıkı bir şekilde korumamış kuruluşlarda, aracıları hedeflemek çok yaygın hale geldi. Örneğin, VPN cihazlarından toplanan kimlik bilgileri.

Aracılar amaç ve teknolojiye göre değişir, ancak genellikle uzaktan erişim, oturum güvenliği veya her ikisini de sağlar:

• Uzaktan erişim - İnternet'den kurumsal ağlarda sistemlere erişimi etkinleştirme
• Oturum güvenliği - Oturumun güvenlik korumalarını ve görünürlüğünü artırma
  • Yönetilemeyen cihaz senaryosu - Bir iş ortağı/satıcı tarafından yönetilen yönetilemeyen cihazlar (örneğin, kişisel çalışan cihazları) ve/veya cihazlar tarafından yönetilen bir sanal masaüstüne erişilebilir.
  • Yönetici güvenliği senaryosu - Yalnızca zaman erişimi, oturumu izleme ve kaydetme ve benzer özelliklerle yönetim yollarını ve/veya güvenliği geliştirin.

Güvenlik güvencelerinin kaynak cihazdan ve hesaptan kaynak arabirimine kadar sürekli olmasını sağlamak, aracı ve risk azaltma seçeneklerinin risk profilinin anlaşılmasını gerektirir.

Fırsat ve değer fırsatları

Farklı aracı türler benzersiz işlevler gerçekleştirir ve her biri farklı bir güvenlik yaklaşımı gerektirir, ancak cihazlara, üretici yazılımına, işletim sistemlerine ve uygulamalara hızlı şekilde güvenlik yamaları uygulama gibi bazı kritik yaygınlıklar vardır.

Saldırgan fırsatı, bir saldırı operatörünün hedefleyebiliyor olduğu mevcut saldırı yüzeyi tarafından temsil edildi:

• Azure AD PIM, Azure Bastion ve Azure AD App Proxy gibi yerel bulut hizmetleri saldırganlara sınırlı bir saldırı alanı sunar. Genel İnternet'e açık olarak ulaşsalar da, müşterilerin (ve saldırganların) temel işletim sistemlerine erişimi yoktur ve bunlar genellikle bulut sağlayıcısında otomatik mekanizmalar aracılığıyla korunur ve tutarlı bir şekilde izlenir. Bu küçük saldırı yüzeyi, kullanılabilir seçenekleri saldırganlarla ve klasik şirket içi uygulamalarla ve bilgisayar cihazlarıyla sınırlar. Bu uygulamalar genellikle çakışan önceliklerin ve tamamlama süresinden daha fazla güvenlik görevlerine sahip olan IT personeli tarafından yapılandırılması, yamalı ve izleniyor olması gerekir.
• Sanal Özel Ağlar (VPN'ler) ve Uzak Masaüstleri Atlama sunucuları, uzaktan erişim sağlamak üzere İnternet'e açık olarak sık sık önemli bir saldırgan fırsatı elde ediyor ve bu sistemlerin bakımı sık sık atlandı. Yalnızca birkaç ağ bağlantı noktası açığa çıkarsa da, saldırganların saldırı için yalnızca eşleşmeyen bir hizmete erişmesi gerekir.
• Üçüncü taraf PIM/PAM hizmetleri sık sık şirket içinde veya Hizmet Olarak Altyapıda VM (IaaS) olarak barındırılan hizmetlerdir ve genellikle yalnızca intranet ana bilgisayarları tarafından kullanılabilir. İnternet'in doğrudan açıkları olmazken, güvenliği tehlikeye atılmış tek bir kimlik bilgisi, saldırganların hizmete VPN veya başka bir uzaktan erişim ortamı üzerinden erişmesine olanak sağlar.

Saldırgan değeri, bir saldırganin aracı ödün vermeden elde ettiği değeri temsil eder. Güvenlik ödünleri, bir saldırganın uygulama/VM üzerinde tam denetim eldesi ve/veya bulut hizmetinin müşteri örneğinin yöneticisi olarak tanımlanır.

Saldırganların saldırılarının bir sonraki aşaması için aracıdan toplayabilirsiniz:

• Kurumsal ağlarda çoğuyla veya tüm kaynakla iletişim kurmak için ağ bağlantısı elde edin. Bu erişim genellikle VPN'ler ve Uzak Masaüstü / Atlama sunucusu çözümleri tarafından sağlanır. Azure Bastion ve Azure AD Uygulama Ara Sunucusu (veya benzeri üçüncü taraf çözümleri) çözümleri de uzaktan erişim sağlarken, bu çözümler genellikle uygulamaya veya sunucuya özgü bağlantılardır ve genel ağ erişimi sağlamaz
• Kimliğine bürünme cihaz kimliği - bir cihaz kimlik doğrulaması için gerekli olursa ve/veya hedef ağlarda bilgi toplamak için bir saldırgan tarafından kullanılacaksa Sıfır Güven mekanizmalarına uygun değildir. Güvenlik İşlemleri ekipleri cihaz hesabı etkinliğini çoğu zaman takip etmemektedir ve yalnızca kullanıcı hesaplarına odaklanır.
• Saldırganlara en değerli varlık olan ve nihai hedeflerine veya saldırının bir sonraki aşamasına erişim ayrıcalıklarını yükseltme olanağı sunduğu için, kaynaklarda kimlik doğrulaması yapmak için hesap kimlik bilgilerini çalabilirsiniz. Uzak Masaüstü / Atlama sunucuları ve üçüncü taraf PIM/PAM en cazip hedeflerdir ve artan saldırgan değeri ve güvenlik azaltmaları ile "Tüm yumurtalarınızı tek sepette" dinamik olarak bulundurur:
  • PIM/PAM çözümleri normalde kuruluşta yer alan ayrıcalıklı rollerin çoğu veya hepsi için kimlik bilgilerini depolar, bu yüzden onları tehlikeye atmak veya heyecan vermek için çok kötü bir hedeftir.
  • Azure AD PIM, zaten MFA veya diğer iş akışlarını kullanarak bir hesaba atanmış olan ayrıcalıkların kilidini açabilmesine rağmen, kötü tasarlanmış bir iş akışı, karşıtların ayrıcalıkları yükseltmesine izin verir.
  • Yöneticiler tarafından kullanılan Uzak Masaüstü / Atlama sunucuları birçok veya tüm hassas oturumların geçişini sağlayan bir ana bilgisayar sağlayarak, saldırganların bu kimlik bilgilerini çalmak ve yeniden kullanmak için standart kimlik bilgileri hırsızlığı saldırı araçlarını kullanmasına olanak sağlar.
  • VPN'ler çözümde kimlik bilgilerini depolar ve olası bir ayrıcalık yükseltmesi sorunu olan saldırganlara izin verir ve bu riski azaltmak üzere kimlik doğrulaması için Azure AD'nin kullanımı konusunda güçlü bir öneriye yol sağlar.

Aracı güvenlik profilleri

Bu güvencelerin kurulması, bazıları birçok aracıda ortak olan ve bazıları da aracı türüne özgü olan güvenlik denetimlerinin bir bileşimini gerektirir.

Aracı, Sıfır Güven zincirinde kullanıcılara/cihazlara arabirim sunan ve sonraki arabirime erişimi sağlayan bir bağlantıdır. Güvenlik denetimleri gelen bağlantılara, aracı cihazın/uygulamanın/hizmetin kendisine karşı bir güvenlik sağlamalı ve (varsa) sonraki arabirim için Sıfır Güven güvenlik sinyallerini sağla olmalıdır.

Ortak güvenlik denetimleri

Aracılara yönelik yaygın güvenlik öğeleri, kuruluş ve özel düzeyler için iyi güvenlik önem düzeyine ve ayrıcalık güvenliğine yönelik ek kısıtlamalara sahip bakımına odaklan etmektedir.

Bu güvenlik denetimleri tüm aracı türlerine uygulanmalıdır:

• Gelen bağlantı güvenliğini zorunlu oluşturma - Cihazlardan ve hesaplardan gelen tüm bağlantıların bilinen, güvenilen ve izin verilen olduğundan emin olmak için Azure AD ve Koşullu Erişim'i kullanın. Daha fazla bilgi için, kurumsal ve özelleşmiş cihaz ve hesap gereksinimlerine ilişkin ayrıntılı tanımlar için ayrıcalıklı arabirimleri tercih edin makalesine bakın.
• Düzgün sistem bakımı - Tüm aracılar, aşağıdakiler de dahil olmak üzere iyi güvenlik yöntemlerine uyar:
  • Güvenli yapılandırma - Üretici veya endüstri güvenlik yapılandırması taban çizgilerini ve hem uygulama hem de temel işletim sistemleri, bulut hizmetleri veya diğer bağımlılıklar için en iyi yöntemleri izleyin. Microsoft'un ilgili kılavuzu Azure Güvenlik Temeli ve Temel Windows içerir.
  • Hızlı düzeltme eki - Satıcılardan gelen güvenlik güncelleştirmeleri ve yamaları, sürümden sonra hızlı bir şekilde uygulanmalıdır.
• Rol Tabanlı Erişim Denetimi (RBAC) modelleri, saldırganlar tarafından ayrıcalıkları yükseltmeyi kötüye kullanılabilir. Yalnızca özel veya ayrıcalıklı düzeyde korunan yetkili personele yönetim ayrıcalıkları verilmesini sağlamak için aracı RBAC modelinin dikkatle gözden geçirilmelidir. Bu model, temel işletim sistemlerini veya bulut hizmetlerini (kök hesap parolası, yerel yönetici kullanıcıları/grupları, kiracı yöneticileri vb.) içermeli.
• Uç nokta algılama ve yanıt (EDR) ve giden güven sinyali - Tam işletim sistemi içeren cihazlar, Uç Nokta için Microsoft Defender gibi bir EDR ile izlensin ve korunmalıdır. Bu denetim, koşullu Erişim'e cihaz uyumluluk sinyalleri sağlamak üzere yapılandırıldığından, ilke arabirimlerde bu gereksinimi zorunlu bulundurabilirsiniz.

Ayrıcalıklı Aracılar için ek güvenlik denetimleri gerektir:

• Rol Tabanlı Erişim Denetimi (RBAC) - Yönetim hakları, iş istasyonları ve hesaplar için standart olarak toplantının yalnızca ayrıcalıklı rollerle sınırlandırılmış olması gerekir.
• Ayrılmış cihazlar (isteğe bağlı) - ayrıcalıklı oturumların aşırı duyarlılığı nedeniyle, kuruluşlar ayrıcalıklı roller için özel ara işlev örnekleri uygulamaya karar verir. Bu denetim, bu ayrıcalıklı aracılar için ek güvenlik kısıtlamalarına ve ayrıcalıklı rol etkinliğinin daha yakından izlenmesine olanak sağlar.

Her aracı türü için güvenlik kılavuzu

Bu bölüm, her aracı türü için benzersiz olan belirli güvenlik kılavuzlarını içerir.

Privileged Access Management / Privileged Identity management

Güvenlik kullanımı örnekleri için açıkça tasarlanmış bir aracı türü, ayrıcalıklı kimlik yönetimi / ayrıcalıklı erişim yönetimi (PIM/PAM) çözümleridir.

PIM/PAM için vakaları ve senaryoları kullanma

PIM/PAM çözümleri, özel veya ayrıcalıklı profillerle örtülecek hassas hesapların güvenlik güvencelerini artırmak ve normalde ilk olarak da IT yöneticilerine odaklanmak için tasarlanmıştır.

Özellikler PIM/PAM satıcıları arasında farklılık göstersa da, birçok çözüm şunların için güvenlik özellikleri sağlar:

• Hizmet hesabı yönetimini ve parola döndürmeyi basitleştirme (çok önemli bir özellik)

• Yalnızca zamanında (JIT) erişim için gelişmiş iş akışları sağlama

• Yönetim oturumlarını kaydetme ve izleme

  Önemli

  PIM/PAM özellikleri bazı saldırılar için mükemmel risk azaltma sağlar, ancak birçok privielged erişim riskine ve cihaz güvenliği riskine karşı dikkat çekici bir riskle karşı karşıya değildir. Bazı satıcılar PIM/PAM çözümlerinin cihaz riskini azaltacak 'gümüş renkli bir madde işareti' çözümü olduğunu benimse de, müşteri olaylarını araştırma deneyimimiz bunun uygulamada tutarlı bir şekilde kanıtlanmıştır.

  İş istasyonu veya cihazı kontrol eden bir saldırgan, kullanıcı oturum açtığında bu kimlik bilgilerini (ve onlara atanan ayrıcalıklar) kullanabilir ve daha sonra kullanmak üzere kimlik bilgilerini çalar. Tek başına PIM/PAM çözümü bu cihaz risklerini tutarlı ve güvenilir bir şekilde görmek ve azaltmak için kullanılamaz, dolayısıyla birbirini tamamlayan ayrı cihaz ve hesap korumalarına sahip olmak gerekir.

PIM/PAM için güvenlik riskleri ve öneriler

Her PIM/PAM satıcısının özellikleri, bunların nasıl güvenli hale gelecekleri konusunda değişiklik gösterir; bu nedenle satıcınıza özel güvenlik yapılandırması önerilerini ve en iyi uygulamalarını gözden geçirin ve izleyin.

Son kullanıcı Sanal Özel Ağlar

Sanal Özel Ağlar (VPN'ler), uzak uç noktalar için tam ağ erişimi sağlayan, normalde son kullanıcının kimlik doğrulamasının gerekli olduğu aracıdır ve gelen kullanıcı oturumlarının kimliğini doğrulamak için kimlik bilgilerini yerel olarak depolar.

VPN'ler için vakaları ve senaryoları kullanma

VPN'ler, kullanıcılar ve yöneticiler için kaynak erişimini etkinleştirmek üzere kurumsal ağa uzak bağlantı kurabilir.

VPN'ler için güvenlik riskleri ve öneriler

VPN aracılarına yönelik en kritik riskler bakım bakımına yönelik bir sorun, yapılandırma sorunları ve kimlik bilgilerinin yerel depolamasıdır.

Microsoft, VPN aracıları için denetimler birleşimi öneren:

• Azure AD kimlik doğrulamasını tümleştirin: Yerel olarak depolanan kimlik bilgileri riskini (ve bakım yükünü ortadan kaldırmak için) ve koşullu erişimle gelen hesaplarda/cihazlarda Sıfır Güven ilkelerini zorunlu hale getirir. Tümleştirme hakkında yol gösterici bilgi için bkz.
  • Azure VPN AAD tümleştirmesi
  • VPN ağ geçidi üzerinde Azure AD Kimlik Doğrulamasını etkinleştirme
  • Üçüncü taraf VPN'lerini tümleştirme
    • Cisco AnyConnect
    • Palo Alto Networks GlobalProtect ve Alık portal
    • F5
    • Fortinet FortiGate SSL VPN
    • Citrix NetScaler
    • Zscaler Özel Erişim (ZPA)
    • ve daha fazlası
• Hızlı düzeltme eki uygulama - Tüm kuruluş öğelerinin şu öğeler de dahil olmak üzere hızlı yamaları desteklemeye yardımcı olduğundan emin olur:
  • Kuruluş desteği ve gereksinim için liderlik desteği
  • VPN'leri en düşük veya sıfır kapalı kalma süresiyle güncelleştirmek için standart teknik işlemler. Bu işlem VPN yazılımlarını, cihazları ve temeldeki işletim sistemlerini veya üretici yazılımını içermeli
  • Kritik güvenlik güncelleştirmelerinin hızlı bir şekilde dağıtımı için acil durum işlemleri
  • Gözden kaçırilen tüm öğeleri sürekli keşfetmek ve düzeltmek için yönetim
• Güvenli yapılandırma - Her VPN satıcısının özellikleri, bunların nasıl güvenli hale geleceklerine göre değişiklik gösterir; bu nedenle satıcınıza özel güvenlik yapılandırması önerilerini ve en iyi uygulamalarını gözden geçirin ve takip edin
• VPN'nin ötesine geç - ZAMAN içinde VPN'leri Azure AD Uygulama Ara Sunucusu veya Azure Bastion gibi daha güvenli seçeneklerle değiştirin. Bunlar, tam ağ erişimi yerine yalnızca doğrudan uygulama/sunucu erişimi sağlar. Ayrıca Azure AD Uygulama Ara Sunucusu, Bulut Uygulamaları için Microsoft Defender ile ek güvenlik için oturum izlemeye izin verir.

Azure AD Uygulama Ara Sunucusu

Azure AD Uygulama Ara Sunucusu ve benzer üçüncü taraf özellikleri, şirket içinde veya bulutta barındırılan IaaS VM'lerde barındırılan eski uygulamalara ve diğer uygulamalara uzaktan erişim sağlar.

Azure AD Uygulama Ara Sunucusu için vakaları ve senaryoları kullanma

Bu çözüm, İnternet üzerinden yetkili kullanıcılara eski son kullanıcı üretkenlik uygulamalarını yayımlamak için uygundur. Bazı yönetim uygulamalarını yayımlamak için de kullanılabilir.

Azure AD Uygulama Ara Sunucusu için güvenlik riskleri ve öneriler

Azure AD Uygulama ara sunucusu, modern Sıfır Güven ilke zorlaması için var olan uygulamalara etkili bir şekilde uygun olur. Daha fazla bilgi için bkz. Azure AD Uygulama Ara Sunucusu için güvenlikle ilgili dikkat edilmesi gereken noktalar

Azure AD Uygulama Ara Sunucusu, Koşullu Erişim Uygulama Denetimi oturumu güvenliğini aşağıdakilere eklemek için Bulut Uygulamaları için Microsoft Defender ile tümleştirebilir:

• Veri sızıntısını önleme
• İndirmede koruma
• Etiketsiz dosyaların karşıya yüklemesini engelleme
• Uyumluluk için kullanıcı oturumlarını izleme
• Erişimi engelle
• Özel etkinlikleri engelle

Daha fazla bilgi için bkz. Azure AD uygulamaları için Bulut Uygulamaları için Deploy Defender Koşullu Erişim Uygulama Denetimi

Azure AD Uygulama Ara Sunucusu aracılığıyla uygulama yayımlarken Microsoft, uygulama sahiplerinin en az ayrıcalıkla çalışmak için güvenlik ekipleriyle birlikte çalışmalarını ve her uygulamaya erişimin yalnızca uygulamayı gerektiren kullanıcıların kullanımına açık olmasını önerir. Bu şekilde daha fazla uygulama dağıtırken, bazı son kullanıcı noktasını site VPN kullanımına kaydırabilirsiniz.

Uzak Masaüstü / atlama sunucusu

Bu senaryo, bir veya birden çok uygulama çalıştıran tam masaüstü ortamı sağlar. Bu çözümün çeşitli çeşitlemeleri vardır:

• Deneyimler - Bir pencerede tam masaüstü veya tek bir uygulamalı deneyim
• Uzak ana bilgisayar - paylaşılan bir VM veya Windows Virtual Desktop (WVD) veya başka bir Sanal Masaüstü Altyapısı (VDI) çözümü kullanan özel bir masaüstü VM olabilir.
• Yerel cihaz - mobil cihaz, yönetilen iş istasyonu veya kişisel/iş ortağı tarafından yönetilen iş istasyonu olabilir
• Senaryo - kullanıcı üretkenlik uygulamalarına veya genellikle 'atlama sunucusu' olarak adlandırılan yönetim senaryolarına odaklanan

Uzak Masaüstü / Atlama sunucusu için vakaları ve güvenlik önerilerini kullanma

En yaygın yapılandırmalar:

• Doğrudan Uzak Masaüstü Protokolü (RDP) - Bu yapılandırma internet bağlantıları için önerilmez, çünkü RDP parola parola gibi modern saldırılara karşı sınırlı korumaları olan bir protokoldür. Doğrudan RDP, şu iki şekilde de dönüştürülmesi gerekir:
  • Azure AD Uygulama Ara Sunucusu tarafından yayımlanan bir ağ geçidi aracılığıyla RDP
  • Azure Bastion
• Kullanarak bir ağ geçidi aracılığıyla RDP
  • Windows Server'da bulunan Uzak Masaüstü Hizmetleri (RDS). Azure AD Uygulama Ara Sunucusu ile yayımlayın.
  • Windows Sanal Masaüstü (WVD) - En Windows Sanal Masaüstü güvenliği uygulamalarını izleyin.
  • Üçüncü taraf VDI - Üretici ve endüstrinin en iyi uygulamalarını izleyin veya WVD yönergelerini çözümünüzle uyarlama
• Güvenli Kabuk (SSH) sunucusu: teknoloji departmanları ve iş yükü sahipleri için uzak kabuk ve komut dosyası sağlar. Bu yapılandırmanın güvenliğini sağlama şunları içerebilir:
  • Endüstri/üreticinin güvenli bir şekilde yapılandırma, varsayılan parolaları değiştirme (varsa) ve parolalar yerine SSH tuşlarını kullanma, SSH anahtarlarını güvenli bir şekilde depolama ve yönetme gibi en iyi yöntemleri takip etmek.
  • Azure'da barındırılan kaynaklara SSH için Azure Bastion kullanma - Azure Bağlan kullanarak Linux VM'ye depolama

Azure Bastion

Azure Bastion, tarayıcı kullanarak Azure kaynaklarına ve Azure portalına güvenli erişim sağlamak için tasarlanan bir aracıdır. Azure Bastion, Azure'da Uzak Masaüstü Protokolü (RDP) ve Güvenli Kabuk (SSH) protokollerini destekleyen erişim kaynakları sağlar.

Azure Bastion için vakaları ve senaryoları kullanma

Azure Bastion, ortam için tam VPN bağlantısına gerek kalmadan, AZURE'da barındırılan kaynakları yönetmek için, IT dışından IŞ yükü personeli ve iş yükü yöneticileri tarafından kullanılana esnek bir çözüm sunar.

Azure Bastion için güvenlik riskleri ve öneriler

Azure Bastion'a Azure portalı aracılığıyla erişilir, bu nedenle Azure portal arabiriminizin, genellikle ayrıcalıklı veya özel düzey kullanarak kaynaklar ve roller için uygun güvenlik düzeyi gerektirdiğine emin olun.

Ek kılavuzu Azure Belgelerinde bulabilirsiniz

Sonraki adımlar

• Ayrıcalıklı erişimin güvenliğini sağlamaya genel bakış
• Ayrıcalıklı erişim stratejisi
• Başarıyı ölçme
• Güvenlik düzeyleri
• Ayrıcalıklı erişim hesapları
• Arabirimler
• Ayrıcalıklı erişim cihazları
• Enterprise erişim modeli