RBAC (Rol Tabanlı Erişim Denetimi) ile Azure'da Minimum Erişim İlkelerini Uygulama

RBAC (Rol Tabanlı Erişim Denetimi) ile Azure'da Minimum Erişim İlkelerini Uygulama

10/08/2024

Bu teknik ve eğitici makale, güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine, Rol Tabanlı Erişim Denetimi'ni (RBAC) kullanarak Azure'da minimum erişim ilkelerini uygulama ve yönetme konusunda rehberlik etmeyi amaçlamaktadır. Azure RBAC, Azure kaynaklarına kimlerin erişebileceğini, bu kaynaklarla neler yapabileceklerini ve hangi alanlara erişebileceklerini yönetmenize olanak tanıyan bir yetkilendirme sistemidir. En az ayrıcalık ilkesinin uygulanması, herhangi bir bulut ortamındaki saldırı yüzeyini azaltmak ve güvenlik risklerini azaltmak açısından kritik öneme sahiptir [1].

Giriş

Kaynakların sürekli olarak oluşturulduğu, değiştirildiği ve silindiği Azure gibi dinamik bir bulut ortamında, kullanıcıların ve hizmetlerin yalnızca görevlerini gerçekleştirmek için ihtiyaç duydukları izinlere sahip olmasını sağlamak, süregelen bir zorluktur. Azure RBAC, kuruluşların ayrıntılı izinler tanımlamasına ve erişimi etkili bir şekilde denetlemesine olanak tanıyan, en az ayrıcalık ilkesini uygulamaya yönelik Azure'un yerel aracıdır [2].

Bu pratik kılavuz, roller, kapsamlar ve rol atamaları da dahil olmak üzere Azure RBAC'ın temel kavramlarını, roller oluşturmaya ve atamaya, atamaları yönetmeye ve izinleri doğrulamaya yönelik adım adım talimatlarla kapsayacaktır.

Azure RBAC ve En Az Ayrıcalık İlkesi neden önemlidir?

  • Saldırı Yüzeyinde Azaltma: Güvenliği ihlal edilmiş bir hesabın potansiyel etkisini sınırlar.
  • Yasal Uyumluluk: Denetim ve uyumluluk gerekliliklerinin (LGPD, GDPR, HIPAA) karşılanmasına yardımcı olur.
  • Gelişmiş Yönetişim: İzinlerin yönetimi ve denetimi için net bir model sağlar.
  • Kazara Sonucu Hata Önleme: Kritik kaynaklara kazara zarar gelme olasılığını azaltır.

Önkoşullar

  1. Etkin Azure Aboneliği.
  2. Yönetici Erişimi: İstenilen kapsamda 'Sahip' veya 'Kullanıcı Erişimi Yöneticisi' rolüne sahiptir [3].

Adım Adım: Azure RBAC'ı Uygulama

1. Azure RBAC Bileşenlerini Anlamak

  • Güvenlik Varlığı: Erişimi kim alır (kullanıcı, grup vb.).
  • Rol Tanımı: Ne yapılabilir (izinlerin toplanması). Örn: 'Okuyucu', 'Ortak Çalışan'.
  • Kapsam: Erişimin geçerli olduğu yer (abonelik, kaynak grubu vb.).

Rol Ataması bu üç unsurun birleşimidir.

2. Dahili Rollerin Atanması

  1. Azure portalında istediğiniz kaynağa veya kapsama (örneğin: Kaynak Grubu) gidin.
  2. Erişim Kontrolü (IAM) seçeneğini seçin.
  3. + Ekle > Rol Ataması Ekle'ye tıklayın.
  4. 'Rol' sekmesinde istediğiniz rolü seçin (ör. 'Okuyucu').
  5. 'Üyeler' sekmesinde kullanıcıyı, grubu veya hizmet sorumlusunu seçin.
  6. Bitirmek için 'İncele + Ata'yı tıklayın.

3. Özel İşlevler Oluşturma

Yerleşik işlevler yeterli olmadığında özel bir işlev oluşturun.

  1. Bir abonelik için Erişim Denetimi (IAM)'de + Ekle > Özel Rol Ekle'yi tıklayın.
  2. Role bir ad verin (ör. 'Kısıtlı VM Operatörü').
  3. "İzinler"in altına gerekli belirli eylemleri ekleyin. VM operatörü için örnek:
    • 'Microsoft.Compute/virtualMachines/start/action'
    • 'Microsoft.Compute/virtualMachines/restart/action'
    • 'Microsoft.Compute/virtualMachines/read'
  4. 'Atanabilir Kapsamları' tanımlayın (fonksiyonun kullanılabileceği yer).
  5. 'İncele + oluştur'u ve ardından 'Oluştur'u tıklayın.

Oluşturulduktan sonra bu özel rolü, yerleşik rolle aynı şekilde atayın.

4. Ödevleri Yönetme ve Denetleme

  • Erişim Kontrolü (IAM) ekranındaki "Rol Atamaları" sekmesi bu kapsama ilişkin tüm izinleri listeler.
  • Bu listeyi düzenli olarak gözden geçirin. Artık gerekmeyen erişimi iptal etmek için 'Kaldır' düğmesini kullanın.

En İyi Uygulamalar

  • Azure AD Gruplarını Kullan: Rolleri bireysel kullanıcılara değil, gruplara atayın. Grup üyeliğini yönetmek, düzinelerce RBAC atamasını yönetmekten daha kolaydır.
  • Mümkün Olan En Küçük Kapsam: Bir kullanıcının yalnızca bir kaynağa erişmesi gerekiyorsa rolü kaynak grubuna veya aboneliğe değil, o kaynağın kapsamına atayın.
  • Azure AD Ayrıcalıklı Kimlik Yönetimi'ni (PIM) kullanın: Yüksek ayrıcalıklı roller için ("Sahip", "Global Yönetici"), tam zamanında (JIT) erişimi etkinleştirmek için PIM'yi kullanın.geçici görevlerdir ve gerekçe gerektirir.

Genel Sorun Giderme

  • Kullanıcı bir kaynağa erişemiyor: Tüm düzeylerdeki (kaynak, kaynak grubu, abonelik) rol atamalarını kontrol edin. İzinler devralındı. Ayrıca erişimi engelleyen Atamayı Reddet olup olmadığını da kontrol edin.
  • İzin çakışmaları: Azure RBAC, eklemeli bir model izler. Bir kullanıcı kaynak grubunda "Okuyucu" rolüne ve içindeki bir VM'de "Katkıda Bulunan" rolüne sahipse izinler birbirine eklenir. Ancak Ödevlerin Reddedilmesi her zaman önceliklidir. Reddetme ataması bir eylemi engellerse, rol ataması buna izin verse bile erişim reddedilecektir [4].
  • Yeni verilen erişim çalışmıyor: İzinlerin yayılması birkaç dakikalık bir gecikme olabilir. Kullanıcıdan oturumu kapatıp portalda tekrar oturum açmasını isteyin.

Sonuç

Azure RBAC aracılığıyla en az ayrıcalık ilkesinin disiplinli bir şekilde uygulanması, buluttaki en etkili güvenlik uygulamalarından biridir. Yerleşik rollerden yararlanarak, gerektiğinde ayrıntılı özel roller oluşturarak ve erişimi düzenli olarak denetleyerek kuruluşlar, saldırı yüzeylerini önemli ölçüde azaltabilir, olası bir ihlalin etkisini sınırlayabilir ve düzenleyici standartlarla uyumluluk sağlayabilir. Azure AD PIM gibi araçlar, RBAC'yi tamamlayarak en kritik erişim için kontrol ve denetim katmanları ekler.

Referanslar

[1] Microsoft. (2023). Azure rol tabanlı erişim denetimi (Azure RBAC) nedir? [2] Microsoft. (2023). Azure RBAC için en iyi uygulamalar. [3] Microsoft. (2023). Azure yerleşik işlevleri. [4] Microsoft. (2023). Azure reddetme atamalarını anlayın.