Entra ID ve Intune kullanılarak Sıfır Güven modeli nasıl uygulanır?

Entra ID ve Intune kullanılarak Sıfır Güven modeli nasıl uygulanır?

02/08/2024

Bu teknik ve eğitici makale, güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine Microsoft Entra ID (eski adıyla Azure Active Directory) ve Microsoft Intune'un özelliklerini kullanarak Sıfır Güven güvenlik modelini uygulama konusunda rehberlik etmeyi amaçlamaktadır. "Asla güvenme, her zaman doğrula" ilkesi üzerine kurulan Sıfır Güven modeli, nereden kaynaklandığına veya hangi kaynağa erişmeye çalıştığına bakılmaksızın hiçbir erişim isteğine otomatik olarak güvenilmemesi gerektiğini varsayan modern bir güvenlik yaklaşımıdır [1].

Giriş

Uzaktan çalışmanın yaygınlaşması, kişisel cihazların çoğalması ve buluta geçişle birlikte kurumsal ağların geleneksel güvenlik çevresi geçerliliğini yitirdi. Sıfır Güven modeli, bu yeni senaryoya bir yanıt olarak ortaya çıkıyor; her erişim girişimi için açık doğrulama gerektiriyor, en az ayrıcalıkla erişim sağlıyor ve her zaman bir ihlal varsayılıyor. Microsoft Entra ID ve Microsoft Intune, sırasıyla kimlikleri ve uç noktaları koruyan, sağlam bir Sıfır Güven mimarisi oluşturmak için önemli bileşenlerdir [2].

Bu pratik kılavuz, Sıfır Güven ilkelerini kapsayacak ve bu ilkeleri uygulamak için Microsoft Entra ID ve Microsoft Intune'un nasıl yapılandırılıp entegre edileceğini gösterecektir. Okuyucunun, kuruluşlarının güvenlik duruşunu Sıfır Güven yaklaşımıyla uygulayabilmesi ve güçlendirebilmesi için adım adım talimatlar, yapılandırma örnekleri ve doğrulama yöntemleri sağlanacaktır.

Sıfır Güven İlkeleri

Sıfır Güven modeli üç temel prensip üzerine inşa edilmiştir [3]:

  1. Açıkça doğrulayın: Kullanıcı kimliği, konum, cihaz durumu, kaynak hassasiyeti ve anormallikler dahil olmak üzere mevcut tüm veri noktalarına göre her zaman kimlik doğrulaması yapın ve yetkilendirin.
  2. En az ayrıcalıklı erişimi kullan: Kullanıcı erişimini yalnızca gerekli olanla sınırlandırın. Verileri ve üretkenliği korumak için Tam Zamanında (JIT) ve Tam Yeterli Erişimi (JEA), risk tabanlı uyarlanabilir politikaları ve veri korumayı kullanın.
  3. İhlal Varsayalım: Patlama yarıçapını ve segment erişimini en aza indirin. Görünürlük elde etmek, tehditleri tespit etmek ve savunmaları iyileştirmek için uçtan uca şifrelemeyi doğrulayın ve analitiği kullanın.

Önkoşullar

Sıfır Güven modelini Microsoft Entra ID ve Intune ile uygulamak için aşağıdaki öğelere ihtiyacınız olacak:

  1. Lisanslama: Microsoft Entra ID Premium P1 veya P2 (Koşullu Erişim için) ve Microsoft Intune (genellikle Microsoft 365 E3/E5 veya EMS E3/E5 paketlerinin parçası) için uygun lisanslar [4].
  2. Yönetim Erişimi: Microsoft Entra yönetim merkezi (entra.microsoft.com) ve Microsoft Endpoint Manager yönetim merkezi (endpoint.microsoft.com) portallarında Genel Yönetici, Güvenlik Yöneticisi veya Intune Yönetici izinlerine sahip Hesaplar.
  3. Intune Kayıtlı Cihazlar: Microsoft Intune tarafından zaten kayıtlı ve yönetilen Windows 10/11 cihazları.
  4. Microsoft Entra ID'deki kimlikler: Microsoft Entra ID'de senkronize edilen veya oluşturulan kullanıcılar ve gruplar.

Adım Adım: Sıfır Güven Modelini Uygulamak

Microsoft Entra ID ve Intune'un Sıfır Güven ilkelerini, özellikle de "Açıkça Doğrula" ve "En Az Ayrıcalıklı Erişimi Kullan"ı uygulamak için birlikte nasıl çalıştığına odaklanacağız.

1. Microsoft Entra ID ile Kimliği Güçlendirmek

Microsoft Entra ID, kimlikler için Sıfır Güven'in omurgasıdır ve yalnızca doğrulanmış kullanıcıların erişime sahip olmasını sağlar.

1.1. Çok Faktörlü Kimlik Doğrulamayı (MFA) Uygulayın

MFA, "açıkça kontrol et" ilkesinin temel bir bileşenidir.

  1. MFA'yı Koşullu Erişim aracılığıyla yapılandırma: Madde 3'te açıklandığı gibi, tüm kullanıcılar veya belirli gruplar için ya da kurumsal ağ dışından erişim için MFA'yı zorunlu kılacak bir Koşullu Erişim politikası oluşturun.
    • Microsoft Oturum Açma yönetim merkezinde Koruma > Koşullu Erişim'e gidin.
    • Aşağıdaki ayarlarla yeni bir politika oluşturun:
      • Atamalar > Kimlik Kullanıcıları veya İş Yükleri: Tüm Kullanıcılar'ı seçin (acil durum hesapları hariç).
      • Bulut Kaynakları veya Eylemleri: Tüm Bulut Uygulamaları.
      • Hibe: Çok faktörlü kimlik doğrulama gerektir seçeneğini işaretleyin.
      • Politikayı etkinleştir: Etkin.

1.2. Azure AD Kimlik Korumasını Etkinleştirin

Kimlik Koruması, kuruluşunuzun kimliklerini etkileyen güvenlik açıklarını tespit eder, bu kimlikleri korumak için otomatik risk tabanlı politikalar yapılandırır ve riskli etkinlikleri araştırır [5].

  1. Microsoft Oturum Açma yönetim merkezinde Koruma > Kimlik Koruması'na gidin.
  2. Kullanıcı Riski Politikaları: Bu politikayı, orta veya yüksek riskli kullanıcılar için MFA veya şifre sıfırlamayı gerektirecek şekilde yapılandırın.
    • Roller > Kullanıcılar: Tüm kullanıcılar'ı seçin.
    • Koşullar > Kullanıcı Riski: Orta ve üzeri seçeneğini seçin.
    • Kontroller > Erişim: Erişim izni ver ve Şifre sıfırlama gerektir veya Çok faktörlü kimlik doğrulama gerektir.
    • Politikayı etkinleştir: Etkin.
  3. Giriş Riski Politikaları: Riskli girişleri engellemek veya MFA'yı gerektirmek için bu politikayı yapılandırın.
    • Roller > Kullanıcılar: Tüm kullanıcılar'ı seçin.
    • Koşullar > Giriş Riski: Orta ve üzeri seçeneğini seçin.
    • Kontroller > Erişim: Erişim izni ver ve Çok faktörlü kimlik doğrulama gerektir (veya yüksek risk için Erişimi engelle).
    • Politikayı etkinleştir: Etkin.

2. Microsoft Intune ile Uç Nokta Bütünlüğünü Sağlama

Intune, cihaza "açıkça kontrol et" ilkesini uygulayarak kurumsal kaynaklara erişen cihazların sağlıklı ve uyumlu olmasını sağlar.

2.1. Cihaz Uyumluluk Politikaları Oluşturun

Uyumluluk politikaları, bir cihazın uyumlu sayılması için karşılaması gereken güvenlik gereksinimlerini tanımlar. Uyumlu olmayan cihazların erişimi Koşullu Erişim yoluyla engellenebilir veya kısıtlanabilir.

  1. Microsoft Uç Nokta Yöneticisi yönetim merkezinde (https://endpoint.microsoft.com), Uç Nokta Güvenliği > Cihaz Uyumluluğu > İlkeler'e gidin.
  2. İlke Oluştur'u tıklayın.
  3. Platform: Windows 10 ve üzeri.
  4. Uyumluluk Ayarları:
    • Cihaz Bütünlüğü: BitLocker, Güvenli Önyükleme vb. gerektirir.
    • Cihaz Güvenliği: Antivirüs (ör. Microsoft Defender Antivirus), güvenlik duvarı, karmaşık şifreler vb. gerektirir.
    • Cihaz Özellikleri: Minimum işletim sistemi sürümünü gerektirir.
  5. Uyumsuzluk Eylemleri: Cihazı hemen veya ek süre sonrasında uyumsuz olarak işaretlemek gibi eylemleri yapılandırın.
  6. Atamalar: İlkeyi ilgili Windows cihaz gruplarına atayın.

2.2. Cihaz Yapılandırma Profilleri Oluşturun

Yapılandırma profilleri, güvenlik duvarı ayarları, Microsoft Defender güvenlik ayarları ve cihaz kısıtlamaları gibi belirli güvenlik ayarlarını dağıtmanıza olanak tanır.

  1. Microsoft Endpoint Manager yönetim merkezinde Cihazlar > Windows > Yapılandırma Profilleri'ne gidin.
  2. Profil oluştur'u tıklayın.
  3. Platform: Windows 10 ve üzeri.
  4. Profil türü: Microsoft Defender Antivirus ve Güvenlik Duvarını yapılandırmak için "Uç nokta koruması" veya belirli özellikleri devre dışı bırakmak için "Cihaz kısıtlamaları" gibi şablonları seçin.
  5. Güvenlik ayarlarını kuruluşunuzun en iyi uygulamalarına göre yapılandırın.
  6. Atamalar: Profili ilgili Windows cihaz gruplarına atayın.

3. Entra ID ve Intune'u Koşullu Erişimle Bütünleştirme

Koşullu Erişim, Sıfır Güven'i uygulamak için kimlik (Entra ID) ve cihaz (Intune) ilkelerini bir araya getiren motordur.

3.1. Uyumlu Cihaz Gerektirecek Koşullu Erişim Politikası Oluşturun

Bu politika, yalnızca Intune'un uyumluluk standartlarını karşılayan cihazların bulut uygulamalarına erişebilmesini sağlayacaktır.

  1. Microsoft Oturum Açma yönetim merkezinde Koruma > Koşullu Erişim'e gidin.
  2. Yeni Politika > Yeni Politika Oluştur'u tıklayın.
  3. Ad: "Erişim için Uyumlu Cihaz Gerektirir".
  4. Atamalar > Kimlik Kullanıcıları veya İş Yükleri: Tüm Kullanıcılar'ı seçin (acil durum hesapları hariç).
  5. Bulut Kaynakları veya Eylemleri: Tüm Bulut Uygulamaları.
  6. Koşullar (İsteğe bağlı): Windows için "Cihaz Platformları" gibi koşullar ekleyebilirsiniz.
  7. Hibe:
    • Erişim izni ver'i seçin.
    • Cihazın destekleniyor olarak işaretlenmesini zorunlu kıl seçeneğini işaretleyin. *Sel'e tıklayınvb .
  8. İlkeyi Etkinleştir: Etkin.
  9. Oluştur'u tıklayın.

Doğrulama ve Test Etme

Sıfır Güven uygulamasının doğrulanması, politikaların beklendiği gibi çalıştığından emin olmak için çok önemlidir.

1. Uyumlu Bir Cihazdan Erişimi Test Edin

  1. Intune tarafından yönetilen, uyumlu bir Windows cihazında bir bulut uygulamasına (ör. "portal.office.com") erişmeyi deneyin.
  2. Kullanıcı kimlik doğrulamasından (ve yapılandırıldıysa MFA'dan) sonra erişim verilmelidir.

2. Uyumlu Olmayan Bir Cihazdan Erişimi Test Edin

  1. Uyumlu olmayan bir Windows cihazında (örneğin, güvenlik duvarını devre dışı bırakın, işletim sistemi sürümünü Intune uyumluluk ilkesinin izin vermediği bir sürümle değiştirin veya yönetilmeyen bir cihaz kullanın).
  2. Bir bulut uygulamasına erişmeyi deneyin (ör. "portal.office.com").
  3. Erişim engellenmeli ve kullanıcı, cihazın uyumlu olmadığını ve kaynağa erişemediğini belirten bir mesaj almalıdır.

3. Koşullu Erişim Raporlarını İzleyin

  1. Microsoft Oturum Açma yönetim merkezinde Koruma > Koşullu Erişim > Raporlar'a gidin.
  2. Hangi Koşullu Erişim politikalarının uygulandığını ve sonucu (başarılı, başarısız, yalnızca rapor) görmek için giriş günlüklerini inceleyin.

Güvenlik İpuçları ve En İyi Uygulamalar

  • Küçük Başlayın, Kademeli Olarak Genişletin: Kesintileri en aza indirmek için kuruluş çapında genişlemeden önce test gruplarında Sıfır Güven politikalarını uygulayın.
  • Eğitim ve İletişim: Değişiklikleri kullanıcılara açık bir şekilde iletin ve cihazlarını nasıl uyumlu tutacakları ve MFA'yı nasıl kullanacakları konusunda eğitim sağlayın.
  • Sürekli İzleme: Herhangi bir boşluk veya anormalliği belirlemek için Intune uyumluluk raporlarını ve Koşullu Erişim ve Kimlik Koruma günlüklerini düzenli olarak izleyin.
  • En Az Ayrıcalıklı Erişim: Ayrıcalıklı erişimin Tam Zamanında ve Yeterince olmasını sağlamak için Koşullu Erişim politikalarını PIM (Ayrıcalıklı Kimlik Yönetimi) ile birleştirin.
  • İhlali Varsayın: Gelişmiş uç nokta tehdit algılaması için Uç Nokta için Microsoft Defender'ı ve güvenlik düzenlemesi ve otomatik yanıt için Microsoft Sentinel'i yapılandırın.
  • Periyodik İnceleme: Tehdit ortamındaki ve iş gereksinimlerindeki değişikliklere uyum sağlamak için Sıfır Güven politikalarınızı düzenli olarak gözden geçirin ve ayarlayın.

Genel Sorun Giderme

  • Erişim Beklenmedik Bir Şekilde Engellendi: Hangi politikanın erişimi engellediğini belirlemek için Koşullu Erişim oturum açma günlüklerini kontrol edin. Etkilenen cihaz için Intune uyumluluk ilkelerini kontrol edin.
  • Cihaz Uyumlu Değil: Intune'da cihazınızın uyumluluk durumunu kontrol edin. Cihaz politikaları almamış olabilir veya bazı yapılandırmalar uyumluluğu engelliyor olabilir (ör. devre dışı bırakılmış antivirüs, eski işletim sistemi sürümü).
  • Politika Çatışmaları: Beklenmedik davranışlara yol açabilecek çelişkili hariç tutma veya eklemelerin olmadığından emin olmak için tüm Koşullu Erişim ve uyumluluk politikalarını inceleyin.
  • Senkronizasyon Sorunları: Cihazların ve kullanıcıların sırasıyla Intune ve Azure AD ile doğru şekilde senkronize edildiğinden emin olun.

Sonuç

Sıfır Güven modelini uygulamak, mevcut dijital ortamda kuruluşları korumak için önemli bir güvenlik stratejisidir. Kimlikleri yönetmek için Microsoft Entra ID'den ve uç nokta bütünlüğünü sağlamak için Microsoft Intune'dan yararlanan şirketler, her erişim isteğini açıkça denetleyen ve en az ayrıcalık ilkesine göre çalışan güçlü bir güvenlik yaklaşımı uygulayabilir. Bu araçların Koşullu Erişim yoluyla entegre edilmesi, güçlü ve uyarlanabilir bir savunma oluşturarak konumlarına bakılmaksızın yalnızca güvenilir kullanıcıların ve cihazların kurumsal kaynaklara erişebilmesini sağlar. Sıfır Güvene yolculuk devam ediyor ve sürekli izleme ve iyileştirme gerektiriyor ancak riskin azaltılması ve güvenliğin güçlendirilmesi açısından faydaları paha biçilemez.

Referanslar:

[1] Microsoft Learn. Sıfır Güven nedir?. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/security/zero-trust/zero-trust-overview [2] Microsoft Learn. Microsoft Intune'a Sıfır Güven. Şu adreste bulunabilir: https://Learn.microsoft.com/en-us/intune/intune-service/fundamentals/zero-trust-with-microsoft-intune [3] Microsoft Learn. Sıfır Güven Yol Gösterici İlkeleri. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [4] Microsoft Learn. Microsoft Enter ID için lisanslama. Şu adreste bulunabilir: https://azure.microsoft.com/pt-br/pricing/details/active-directory/ [5] Microsoft Learn. Kimlik Koruması nedir?. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/identity/identity-protection/overview-identity-protection