Sıfır Güven ile kimliğin güvenliğini sağlama

  • Makale
  • Okumak için 10 dakika

Arka plan

Bulut uygulamaları ve mobil iş gücü güvenlik çevresini yeniden tanımlandı. Çalışanlar kendi cihazlarını getiriyor ve uzaktan çalışıyor. Verilere şirket ağının dışından erişilir ve iş ortakları ve satıcılar gibi dış işbirliği yapanlarla paylaşılır. Şirket uygulamaları ve verileri şirket içi ortamlardan karma ve bulut ortamlarına taşınıyor. Kuruluşlar artık güvenlik için geleneksel ağ denetimlerine güvenmeyecektir. Denetimlerin verilerin bulunduğu yere taşıması gerekir: cihazlar, uygulamalar içindekiler ve iş ortakları.

Kişilerin, hizmetlerin veya IoT cihazlarının temsil eden kimlikleri, günümüzün birçok ağında,uç noktalarında ve uygulamalarda ortak olanpaydadır. Sıfır Güveni güvenlik modelinde, verilere erişimi denetlemenin güçlü, esnek ve ayrıntılı bir yolu olarak işlev gösterirler.

Kimlik bir kaynağa erişme girişiminde bulunmadan önce, kuruluşların:

  • Güçlü kimlik doğrulama ile kimliği doğrulayın.

  • Erişimin uyumlu ve tipik bir kimlik olduğundan emin olur.

  • En az ayrıcalık erişim ilkelerine göre.

Kimlik doğrulandıktan sonra, kuruluş ilkeleri, devam ediyor risk çözümlemesi ve diğer araçlara dayalı olarak kimliğin kaynaklara erişiminin denetiminde olabiliriz.

Kimlik Sıfır Güveni dağıtımı hedefleri

Çoğu kuruluş Sıfır Güven yolculuğuna başlamadan önce, kimlik yaklaşımı, şirket içi kimlik sağlayıcısının kullanımda olduğu, bulut ile şirket içi uygulamalar arasında hiç SSO'nun mevcut olmadığını ve kimlik riskiyle ilgili görünürlüğün çok sınırlı olduğunu gösterir.

Kimlik için uç uç Sıfır Güven çerçevesi uygulamanız için öncelikle şu ilk dağıtım hedefleri üzerinde odaklanmanızı öneririz:

Bir onay işareti bulunan liste simgesi.

I.Bulut kimliği federasyonları şirket içi kimlik sistemleriyle kullanılır.

II.Koşullu Erişim ilkeleri erişimi sınırlar ve düzeltme etkinlikleri sağlar.

III.Çözümlemeler görünürlüğü geliştirin.

Bunlar tamamlandıktan sonra, şu ek dağıtım hedeflerine odaklanın:

İki onay işareti bulunan liste simgesi.

IV.Kimlikler ve erişim ayrıcalıkları, kimlik yönetimiyle yönetilir.

V.Kullanıcı, cihaz, konum ve davranış, risk tespit etmek ve sürekli koruma sunmak için gerçek zamanlı olarak analiz edilir.

VI.Algılamayı, korumayı ve yanıtı geliştirmek için diğer güvenlik çözümlerinden gelen tehdit sinyallerini tümleştirin.

Identity Zero Trust dağıtım kılavuzu

Bu kılavuz, Sıfır Güven güvenlik çerçevesi ilkelerine göre kimlikleri yönetmek için gereken adımlarda size yol sağlar.




Tek bir onay işareti bulunan denetim listesi simgesi.

İlk dağıtım hedefleri

I. Şirket içi kimlik sistemleriyle bulut kimliği federasyonları

Azure Active Directory (AD), güçlü kimlik doğrulamayı, uç nokta güvenliği için bir tümleştirme noktasını ve en az ayrıcalıklı erişimi garanti etmek için kullanıcı odaklı ilkelerinizin temel noktasını sağlar. Azure AD'nin Koşullu Erişim özellikleri, kullanıcı kimliği, ortam, cihaz durumu ve risklere dayalı kaynaklara erişim için ilke karar noktasıdır ve erişim noktasında açık bir şekilde doğrulanır. Azure AD ile Sıfır Güveni Kimlik Stratejisi'nin nasıl uygulan uygulandığını göstereceğiz.

İlk dağıtım hedeflerinin 1. aşaması içindeki adımların diyagramı.

Bağlan kullanıcılarınızı Azure AD'de depolama ve şirket içi kimlik sistemleriyle federasyon

Çalışanlarınızı kimliklerini ve gerekli güvenlik yapılarını (fazladan erişim ilkesi denetimleri için yetkilendirme ve uç noktalar için gruplar) korumak, sizi bulutta tutarlı kimlikleri ve denetimleri kullanmak için en iyi yere koyar.

Şu adımları izleyin:

  1. Kimlik doğrulama seçeneğini belirtin. Azure AD size en iyi güvenlik gücü, DDoS ve parola parola korumasını sağlar, ancak organizasyonunız ve uyumluluk ihtiyaçlarını karşılar.

  2. Yalnızca kesinlikle ihtiyacınız olan kimlikleri getirin. Örneğin, yalnızca şirket içi olarak anlamlı olan hizmet hesaplarını geride bırakma fırsatı olarak buluta gitmek için buluta git'i kullanın. Şirket içi ayrıcalıklı rolleri geride bırakın.

  3. Kurumda 100.000'den fazla kullanıcı, grup ve cihaz varsa birleştirilmiş olarak, yaşam döngüsünizi güncel tutmak için yüksek performanslı bir eşitleme kutusu oluşturmanızı sağlar.

Azure AD ile Identity Foundation'nızı kurma

Sıfır Güven stratejisi açıkça doğrulamayı, en az ayrıcalıklı erişim ilkelerini kullanmayı ve ihlal olduğunu varsayma gerektirir. Azure AD, kullanıcı, uç nokta, hedef kaynak ve ortamla ilgili içgörüleri temel alan erişim ilkelerinizi zorunlu kılınan ilke karar noktası olarak hareket eder.

Şu adımı at:

  • Her erişim isteğinin yolunu Azure AD'ye koyma. Bu, her kullanıcı ve her uygulamayı veya kaynağı tek bir kimlik denetim uçağını üzerinden bağlar ve Azure AD'ye kimlik doğrulama/yetkilendirme riski hakkında mümkün olan en iyi kararları vermek için sinyal verir. Buna ek olarak, çoklu oturum açma ve tutarlı ilke koruması daha iyi bir kullanıcı deneyimi sağlar ve üretkenlik kazançlarına katkıda bulunmak sağlar.

Tüm uygulamalarınızı Azure AD ile tümleştirin

Çoklu oturum açma, kullanıcıların çeşitli uygulamalarda kimlik bilgilerinin kopyalarını bırakmasını önler ve aşırı istem nedeniyle kullanıcıların kimlik bilgilerini uyarıya alıştırmalarını önlemeye yardımcı olur.

Ayrıca, ortamınıza birden çok IAM altyapısının da sahip olmadığınız emin olun. Bu, Azure AD'nin gördüğü sinyal miktarını azalarak iki IAM altyapısı arasındaki aramalarda canlı kötü deneyime olanak verir, aynı zamanda kötü kullanıcı deneyimine ve iş ortaklarının Sıfır Güven stratejinizin ilk şüpheleri haline görmesine yol açmaktadır.

Şu adımları izleyin:

  1. OAuth2.0 veya SAML ile konuşan modern kurumsal uygulamaları tümleştirin.

  2. Kerberos ve form tabanlı kimlik doğrulama uygulamaları için, bunları Azure AD Uygulama Ara Sunucusu kullanarak tümleştirin.

  3. Uygulama teslim ağlarını/denetleyicilerini kullanarak eski uygulamalarınızı yayımlarsanız, başlıca ağların çoğuyla (Citrix, Akamai ve F5 gibi) tümleştirilmiş olarak Azure AD'yi kullanın.

  4. Uygulamalarınızı ADFS ve mevcut/eski IAM motorlarının dışını keşfederek geçirmenize yardımcı olmak için kaynakları ve araçları gözden geçirebilirsiniz.

  5. Kimlikleri çeşitli bulut uygulamalarınıza anında iletir. Bu, bu uygulamalar içinde daha sıkı bir kimlik yaşam döngüsü tümleştirmesi sağlar.

İpucu

Uygulamalar için uç uç Sıfır Güven stratejisini uygulama hakkında bilgi öğrenin.

Güçlü kimlik doğrulama ile açık bir şekilde doğrulama

Şu adımları izleyin:

  1. Azure AD MFA (P1) 'i dışarıyın. Bu, kullanıcı oturumu riskini azaltmanın temel bir parçasıdır. Kullanıcıların yeni cihazlarda ve yeni konumlarda görünmeleri nedeniyle, MFA görevlerinden birini yanıtlamak, kullanıcılarının dünya üzerinde hareket ettiklerine kadar bunların tanıdık cihazlar/konumlar olduğunu öğretecekleri en doğrudan yöntemlerden biridir (yöneticilerin tek tek sinyalleri ayrıştırmasına gerek kalmadan).

  2. Eski kimlik doğrulamayı engelin. Kötü amaçlı zararlı zararlı vektörlerin en yaygın saldırı vektörlerinden biri, çalınmış/yeniden oynatıldı kimlik bilgilerini SMTP gibi modern güvenlik güçlükleri gerçekleştir yapmayan eski protokollerde kullanmaktır.

II. Koşullu Erişim ilkeleri erişimi sınırlar ve düzeltme etkinlikleri sağlar

Azure AD Koşullu Erişim (CA), kararları otomatikleştirmek ve kaynak için kuruluş erişimi ilkelerini zorunluleştirmek için kullanıcı, cihaz ve konum gibi sinyalleri analiz eder. Çok faktörlü kimlik doğrulaması (MFA) gibi erişim denetimlerini uygulamak için CA ilkelerini kullanabilirsiniz. CA ilkeleri, güvenlik gerektiğinde kullanıcılardan MFA'dan bilgi alama ve gerek kalmadan kullanıcıların yolunu dışarıda kalmalarını sağlar.

Sıfır Güven'de Koşullu Erişim ilkelerinin diyagramı.

Microsoft, temel güvenlik düzeyi sağlayan, güvenlik varsayılanları olarak adlandırılan standart koşullu ilkeler sağlar. Bununla birlikte, organizasyonda güvenlik varsayılanları teklifine göre daha fazla esneklik gerekiyor olabilir. Koşullu Erişim'i kullanarak güvenlik varsayılanlarını daha ayrıntılı olarak özelleştirilebilir ve gereksinimlerinizi karşılayacak yeni ilkeler yapılandırebilirsiniz.

Koşullu Erişim ilkelerinizi önceden planlama ve bir dizi etkin ve geri dönüş ilkesine sahip olmak, Sıfır Güveni dağıtımında Access İlkesi zorlamanın temel sütunlarındandır. Zaman alıp ortamınıza güvenilir IP konumlarınızı yapılandırabilirsiniz. Bu IP'leri Koşullu Erişim ilkesinde kullanmasanız bile, bu IP'lerin yapılandırılması yukarıda açıklanan Kimlik Koruması riski hakkında bilgi sağlar.

Şu adımı at:

Korumasız ve güvenliği ihlal edilmiş cihazlara erişimi kısıtlamak için cihazları Azure AD'ye kaydettirin

Şu adımları izleyin:

  1. Azure AD Karma Katılma'ya veyaAzure AD Birleştirmeyi etkinleştirin. Kullanıcının dizüstü bilgisayarını/bilgisayarını yönetiyorsanız, bu bilgileri Azure AD'ye getirin ve daha iyi kararlar almak için kullanın. Örneğin, kullanıcının kuruluşun kontrol etmek ve yönetmekte olduğu bir makineden geldiğini biliyorsanız, zengin istemcinin verilere (bilgisayarda çevrimdışı kopyaları olan istemciler) erişimine izin vermeyi seçebilirsiniz. Bunu getirmezsiniz, büyük olasılıkla zengin istemcilerden erişimi engellemeyi seçersiniz ve bu da kullanıcılarının güvenliğiniz etrafında çalışmalarına veya gölge IT kullanmalarına neden olabilir.

  2. Kullanıcılarınızı mobil cihazlarını yönetmek ve cihazları Microsoft Endpoint Manager için Intune hizmetini e-posta (EMS) kapsamında etkinleştirin. Aynı durum kullanıcıların mobil cihazlar hakkında da dizüstü bilgisayarlar hakkında olduğu gibi açık olabilir: Bunlar hakkında ne kadar fazla bilgi sahibi olursanız (yama düzeyi,brok, kök erişim, kök erişim), kullanıcılara ne kadar fazla güvenebilir veya güvenebilirsiniz ve erişimi engelleme/izin verme nedenlerine karşı mantıklı bir gerekçe sağlarsınız.

İpucu

Uç noktalar için uç uç sıfır güven stratejisi uygulama hakkında bilgi

III. Analizler görünürlüğü geliştirme

Azure AD'de alanınızı kimlik doğrulama, yetkilendirme ve sağlama ile hazırlarken, dizinde olup neler olduğu hakkında güçlü faaliyet öngörüleri sahibi olmak önemlidir.

Görünürlüğü iyileştirmek için günlüğü ve raporlamanızı yapılandırma

Şu adımı at:

  • Azure'da ya da tercih ettiği bir SIEM sistemini kullanarak Azure AD'de günlükleri kalıcı olarak ince izlemek ve kalıcı olmak için bir Azure AD raporlama ve izleme dağıtımı plan edin.




İki onay işareti bulunan Denetim Listesi simgesi.

Ek dağıtım hedefleri

IV. Kimlikler ve erişim ayrıcalıkları, kimlik yönetimiyle yönetilir

İlk üç amacınızı gerçekleştirin ve daha güçlü kimlik yönetimi gibi ek hedeflere odaklanın.

Ek dağıtım hedeflerinin 4. aşaması içindeki adımların diyagramı.

Güvenlikle, ayrıcalıklı erişimi Privileged Identity Management

Kullanıcıların ayrıcalıklı işlemlere/rollere erişmek için kullanabileceği uç noktaları, koşulları ve kimlik bilgilerini denetleme.

Şu adımları izleyin:

  1. Ayrıcalıklı kimliklerinizi denetim altına alma. Dijital olarak dönüştürülen bir kuruluşta, ayrıcalıklı erişim, yalnızca yönetim erişimiyle değil, aynı zamanda görev açısından kritik uygulamalarınızı çalıştırma ve veri işleme yolunu değiştiren uygulama sahibi veya geliştirici erişimi de olabilir.

  2. Ayrıcalıklı Privileged Identity Management güvenliği sağlamak için E-bilgileri kullanın.

Uygulamalara kullanıcı izni, modern uygulamaların kuruluş kaynaklarına erişmesi için çok yaygın bir yol sağlar, ancak gözlerde tutmanız gereken bazı en iyi yöntemler vardır.

Şu adımları izleyin:

  1. Kuruluş verilerinizde uygulamalara gereksiz bir maruz kalma oluşmaması için kullanıcı iznini kısıtlar ve izin isteklerini yönetin.

  2. Aşırı veya kötü amaçlı izin için, organizasyonda önceki/var olan onayı gözden geçirin.

Hassas bilgilere erişmek için taktiklere karşı korunması gereken araçlar hakkında daha fazla bilgi için, kimlik Sıfır Güveni stratejisini uygulama kılavuzumuzun "Siber tehditlere ve uygulamalara karşı korumayı güçlendirme" konularına bakın.

Yetkilendirmeyi yönet

Uygulamalar merkezi olarak kimlik doğrulama ve Azure AD'den yönlendirildiklerinden, artık doğru kişilerin doğru erişime sahip olduğundan ve sizin de organizasyonum kullanıcılarının erişim hakkı olduğundan emin olmak için erişim isteğinizi, onay ve yeniden onaylama işleminizi kolaylaştırabilirsiniz.

Şu adımları izleyin:

  1. Kullanıcıların farklı ekiplere/projelere katıldıklarında istekte bulunduracak ve ilişkili kaynaklara (uygulamalar, site ve grup üyelikleri gibi) erişim atayacak erişim paketleri oluşturmak SharePoint Kullanım Hakkı Yönetimi'ne erişme.

  2. Şu anda organizasyonunız için Yetkilendirme Yönetimi'nin dağıtımı mümkün değilse, en azından kendi kendine grup yönetimi ve self servis uygulama erişimini dağıtarak kendi kendine hizmet kümelerini etkinleştirebilirsiniz.

Kimlik avı ve parola saldırılarının riskini azaltmak için parolasız kimlik doğrulamayı kullanma

Azure AD'nin FIDO 2.0'ı ve parolasız telefon oturum açmasını desteklemesi ile iğneyi, kullanıcılarının (özellikle hassas/ayrıcalıklı kullanıcılar) günlük olarak kullanan kimlik bilgilerine taşımanız gerekir. Bu kimlik bilgileri, riski azaltan güçlü kimlik doğrulama faktörleridir.

Şu adımı at:

V. Kullanıcı, cihaz, konum ve davranış, risk tespit etmek ve sürekli koruma sunmak için gerçek zamanlı olarak analiz edilir

Gerçek zamanlı çözümleme, riski ve korumayı belirlemek için çok önemlidir.

Ek dağıtım hedeflerinin 5. aşaması içindeki adımların diyagramı.

Azure AD Parola Koruması'nın dağıtımı

Diğer yöntemlerin kullanıcıları açık bir şekilde doğrulamasını sağlarken, zayıf parolaları, parolalarını ve yeniden yürütme saldırılarını ihlal etme saldırılarını yok sayma. Ayrıca klasik karmaşık parola ilkeleri en yaygın kullanılan parola saldırılarını engellemez.

Şu adımı at:

Kimlik Korumasını Etkinleştirme

Kimlik Koruması ile daha ayrıntılı oturum/kullanıcı riski sinyali al. Riski araştırabilecek ve sinyalin güvenliğini onaylayabilir veya reddedersiniz. Bu, altyapının ortamınız içinde nasıl bir risk göründüğünü daha iyi anlayana yardımcı olur.

Şu adımı at:

Kimlik Koruması ile Bulut Uygulamaları için Microsoft Defender tümleştirmesini etkinleştirme

Bulut Uygulamaları için Microsoft Defender, SaaS ve modern uygulamaların içinde kullanıcı davranışını izler. Bu, kullanıcının kimliği doğrulandıktan ve belirteç alındıktan sonra kullanıcıya ne olduğunu Azure AD'ye bilgi eder. Kullanıcı düzeni şüpheli görünmüyorsa (örneğin, kullanıcı OneDrive'tan gigabaytlık verileri indirmeye veya Exchange Online'te istenmeyen e-posta göndermeye başlar) bu durumda kullanıcının risk altında veya yüksek risk altında olduğunu bildiren bir sinyal Azure AD'ye beslenir. Bu kullanıcıdan gelen bir sonraki erişim isteğide, Azure AD doğru bir şekilde, kullanıcının doğru bir şekilde doğru bir şekilde doğru biçimde doğru şekilde doğru biçimde doğru şekilde eyleme geçe engellensin veya bunu engelleyebilir.

Şu adımı at:

Bulut Uygulamaları için Microsoft Defender ile Koşullu Erişim tümleştirmesini etkinleştirme

Kimlik doğrulamasının ardından yasaklanan sinyaller ve Bulut Uygulamaları için Defender ara sunucu istekleriyle, SaaS uygulamalarına gidip kısıtlamaları zorunlu kılınan oturumları izleyebilirsiniz.

Şu adımları izleyin:

  1. Koşullu Erişim tümleştirmeyi etkinleştirin.

  2. Koşullu Erişimi şirket içi uygulamalara genişletme.

Erişim kararlarında kullanmak üzere kısıtlanmış oturumu etkinleştirme

Kullanıcının riski düşükse, ancak bilinmeyen bir uç noktada oturum aıyorsa, kritik kaynaklara erişmesine izin vermek, ancak organizasyondan yetersiz durumda olan şeyler yapmalarına izin vermek istemeyebilirsiniz. Artık Exchange Online ve SharePoint Online'ı yapılandırarak kullanıcıya e-postaları okumalarına veya dosyaları görüntülemelerine olanak sağlayan, ancak indirip güvenilmeyen bir cihaza kaydetmelerine olanak sağlayan kısıtlı bir oturum sunabilirsiniz.

Şu adımı at:

VI. Algılamayı, korumayı ve yanıtı geliştirmek için diğer güvenlik çözümlerinden gelen tehdit sinyallerini tümleştirin

Son olarak, daha etkili olması için diğer güvenlik çözümleri tümleştirildi.

Kimlik için Microsoft Defender'ı Bulut Uygulamaları için Microsoft Defender ile tümleştirin

Identity için Microsoft Defender ile tümleştirme, Azure AD'nin, kullanıcının şirket içi, modern olmayan kaynaklara (Dosya Paylaşımları gibi) erişirken riskli bir davranışla karşıtlık içinde olduğunu an forma olanak sağlar. Bu, daha sonra bulutta daha fazla erişimi engellemek için genel kullanıcı riskiyle faktöre neden olabilir.

Şu adımları izleyin:

  1. Bulut Uygulamaları için Microsoft Defender ile Kimlik için Microsoft Defender'ı etkinleştir ve kullanıcı hakkında biliyoruz ki şirket içi sinyalleri risk sinyaline getirin.

  2. Risk altında olan her kullanıcının birleştirilmiş Araştırma Önceliği puanına göz atarak SOC'nizin hangi kullanıcılara odaklanması gerektiğine ilişkin hololojide bir görünüm sağlar.

Uç Nokta için Microsoft Defender'ı Etkinleştirme

Uç Nokta için Microsoft Defender, güvenlik ödünleri olan makinelerinin durumunu Windows belirlemenize olanak sağlar. Daha sonra bu bilgileri çalışma zamanında risk azaltma riskine girebilirsiniz. Etki Alanı Birleştirme size denetim hissi verirken, Uç Nokta için Defender, birden çok kullanıcı cihazı güvenilmez sitelere isabet eder ve cihaz/kullanıcı riskini çalışma zamanında yükselterek ifadeyle kötü amaçlı yazılım saldırılarına neredeyse gerçek zamanlı olarak tepki verir.

Şu adımı at:

Bu kılavuzda ele alan ürünler

Microsoft Azure

Azure Active Directory

Kimlik için Microsoft Defender

Microsoft 365

Microsoft Endpoint Manager (Microsoft Intune)

Uç Nokta için Microsoft Defender

SharePoint Online

Exchange Online

Sonuç

Kimlik, başarılı bir Sıfır Güven stratejisinin merkezidir. Uygulama hakkında daha fazla bilgi veya uygulamayla ilgili yardım için lütfen Müşteri Başarısı ekibine ulaşın veya tüm Sıfır Güven sütunlarına yayılan bu kılavuzun diğer kısımlarını okumaya devam edin.



Sıfır Güven dağıtım kılavuzu serisi

Giriş simgesi

Kimlik simgesi

Uç noktalar simgesi

Uygulamalar simgesi

Veri simgesi

Altyapı simgesi

Ağ simgesi

Görünürlük, otomasyon,tion simgesi