Microsoft Azure AD En İyi Uygulamalar

Microsoft Azure AD En İyi Uygulamalar

Bir Bilgi Teknolojileri yapısını donanım tabanlı bir altyapıdan yüksek performanslı bir bulut ortamına geçirmek çoğu işletme için zorlayıcıdır. Bulut bilişim, kurumsal süreçleri düzene sokma gücüne sahiptir ve veri depolama, erişim, yönetim, iş sürekliliği ve analiz için güvenilir bir çözüm sunar. Bilgi Teknolojileri ekipleri bu sayede prensip olarak, farklı donanım bileşenlerinden oluşan geleneksel bir veri merkezinden daha kolay, düşük maliyetli ve ölçeklenebilir bir çözümden faydalanmaktadır. Ancak güvenlik yönetimi ve kuruluş kültürünü yeniden tanımlama gibi dikkate alınması gereken zorluklar vardır. Microsoft Azure AD en iyi uygulamalar makalesiyle bu konulara özellikle güvenlik sorunlarından giriş yapacağız.

Microsoft Azure, global olarak Bilgi Teknolojileri ekiplerinin büyük çoğunluğu tarafından benimsenmiştir. Bulut tabanlı platform olan Microsoft Azure, Bilgi Teknolojileri yöneticilerinin küresel Microsoft veri merkezlerinde uygulamalar oluşturmasına, test etmesine, dağıtmasına ve denetlemesine olanak tanır. Bulutun benimsenme hızı, bir bulut ortamına verileri taşıma ve yönetme problemi ile birlikte, erişilebilirlik, veri koruma ve güvenlik konusunda bir dizi benzersiz sorunla birlikte gelir. Öyleyse kuruluşlar etkili bir Azure Active Directory stratejisi nasıl oluşturmalı?

Geleneksel bir şirket içi Active Directory ortamını yönetme ve güvence altına alma konusunda büyük deneyime sahip kuruluşlar için bile geçiş sıkıntılarla doludur. Azure Active Directory’nin yetki sistemi, kimlik doğrulaması diğer platformlardan çok farklıdır. Bu da buluta taşınmak yeni zorluklar getiriyor. Bu yazıda Bilgi Teknolojileri yöneticilerinin dikkat etmesi gereken bazı tecrübeleri paylaşacağız.

Güvenlik Risklerinin Değerlendirilmesi

Azure’daki bir güvenlik ihlali, hem Azure’da hem de diğer hizmetler için ana kimlik doğrulama yetkilisi olduğu için felaket olur. Active Directory’de yapılan değişiklikler Azure AD’ye kopyalanır. Bu nedenle, birinde yapılan değişikliklerin diğerinde olumsuz bir etkiye sahip olmasını engellemek için, etkili bir Active Directory yaşam döngüsü metodolojisine sahip olmanız önemlidir.

Sürekli Değerlendirme (Continual Assessment)

Sürekli değerlendirme (continual assessment) Azure Active Directory’deki geçerli güvenlik durumunu takip etme sürecidir. Azure AD ortamının sağlığı ve güvenliği için kritik önem taşır. Sistem yöneticileri PowerShell ve Microsoft Ayrıcalıklı Kimlik Yönetim Servisi (Microsoft Privileged Identity Management Service) gibi yerel araçları ve hizmetleri kullanarak bu değerlendirmeleri bir dereceye kadar yapabilirler. Ancak bu manuel işlemler zaman alıcı, hataya açık ve çoğu zaman eksiktir. İzleme ve raporlamayı otomatikleştiren üçüncü taraf çözümleri bulunmaktadır. Bu çözümler en iyi sürekli değerlendirme süreçlerini, Azure AD yönetim rutininize dahil etmeyi kolaylaştırır ve genellikle daha kapsamlı sonuçlar sunar.

Kimin neyi yapabileceği ve potansiyel güvenlik risklerini daha net bir şekilde görebilmek gerekir. Bu nedenle BT yöneticilerinin aşağıdakileri kontrolleri düzenli olarak değerlendirmesi gerekir:

• Rol üyelikleri
• Güvenlik doğrulama yöntemleri
• Grup üyelikleri

Azure Active Directory’de ve Microsoft Office 365 Suite genelinde roller, yönetim yeteneklerinin devredildiği yöntemlerdir. Hangi kullanıcılara hangi rollerin atandığını anlamak ve kontrol etmek kritik önem taşır. Kuruluşlar periyodik olarak kendilerine uygun olabilecek gözetimler uygulamalıdırlar. Bu şekilde iyi niyetli kullanıcıların hata yapma yeteneğini ve kötü niyetli kullanıcıların hasara neden olma kabiliyetini önemli ölçüde azaltabilirler.

Azure Active Directory, Exchange Online, Skype for Business, Microsoft Teams ve SharePoint Online dahil Microsoft Office 365 platformunun kimlik doğrulama ve erişim denetim çözümüdür. Azure Active Directory, Salesforce ve Workday gibi Microsoft dışı çözümlerle de entegre edilebilir. Bu nedenle bu sistemler için önemli bir güvenlik bileşeni haline gelir. Azure Active Directory’nin güvenliğini sağlamak bu yüzden çok önemlidir. Kuruluşlar, Azure AD’nin koruduğu kritik kaynaklara erişen kullanıcıların iddia ettikleri kişiler olmasını ve yalnızca istedikleri haklara sahip olmalarını sağlamalıdır.

Microsoft Azure Multifactor Authentication – MFA

Global Yönetici (Global Administrator) rolüne sahip kullanıcılar için Azure çok faktörlü kimlik doğrulamasını (Azure Multifactor Authentication – MFA) etkinleştirmek en iyi seçenektir.

Azure Multifactor Authentication – MFA kullanması gereken herkesin gerçekten kullandığından ve geçerli iletişim bilgilerine sahip olduğundan emin olmak için, bu bilgileri düzenli olarak değerlendirmek önemlidir. Bu gözlemleri yapmak için üç yöntem vardır:

• PowerShell
• Azure AD Identity Protection (Azure AD Premium P2 edition lisansı gerektirir)
• Third-party tools

Security Information Event Management – SIEM ve Loglama

Grup üyeliğindeki doğrudan değişiklikleri denetlemek ve uyarmak da önemlidir. Grup üyeliği değişiklikleri Azure AD’de de denetlenir ve Azure AD denetim kayıtlarında görüntülenebilir. Office 365 Güvenlik ve Uyumluluk Merkezi (Office 365 Security and Compliance Center) grup üyeliği değişiklikleri hakkında uyarı verebilir. Ancak yalnızca belirli bir grupta değilişiklik yapıldığında, yine belli bir grup için uyarı verilmesi yeteneğinden yoksundur.

Uyarıları belirli gruplara ayrıntılı bir şekilde gösterebilmek, bu uyarıları grup sahiplerine gönderebilmek ve grup üyeliği değişiklikleri için denetim bilgilerini gerektiği kadar koruyabilmek gerekir. Bunun için üçüncü taraf bir SIEM çözümüne yatırım yapmayı düşünebilirsiniz.

Log Korelasyon

Azure AD kullanan herkes için temel hedef, güvenlik olaylarında hızlı yanıt ve adli analiz için çok sayıda sistem ve cihazdan gelen farklı verileri etkileşimli bir arama motoruyla ilişkilendirmek olmalıdır. Yapılacak bu zenginleştirmeler kolayca yönetme yeteneği sağlayacaktır.

Azure’u kullanmak için buluta geçiş yapmak isteyen tüm BT yöneticilerinin, katı uyumluluk gereksinimlerini karşılamaları ve hibrit ortamları potansiyel tehditlerden güvenli bir şekilde korumalarına olanak tanıyan bir çözüm bulmaları gerekir. BT uzmanları, hibrit bir ortam üzerinde güvenliği yönetmek için giderek artan sayıda araç kullanmak zorunda kalmak gibi korkutucu bir görevle karşı karşıyadır. Bu durum, kullanılan bilgilerin çözüm için açıkça görülemediği veya tek başına düzgün bir şekilde anlaşılmadığı için önemli bilgilerin maskelenmesi veya gözden kaçırılması potansiyeli vardır.

Bu nedenle, BT ve güvenlik uzmanı için tüm bilgileri dinamik araştırma yollarına ve süreçlerine izin veren tek ve basit bir arayüzden görüntülemesini sağlayan bir çözüm hayati önem taşımaktadır. İyi bir güvenlik ve uyumluluk çözümü, kullanıcılar, gruplar, yetkiler ve diğer yapılandırmalar da dahil olmak üzere raporlar sunabilir. Hem kurum içi hem de bulut altyapıları arasında ilişkili bir görünüm sunarak BT yöneticilerine potansiyel tehditlere hızlı tepki verme gücü verir. Kuruluş genelinde güvenliği artırır.