Güvenliği Güçlendirmek İçin Azure AD'de Koşullu Erişim Uygulama

Güvenliği Güçlendirmek İçin Azure AD'de Koşullu Erişim Uygulama

05/01/2024

Bu teknik ve eğitici makale, güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine Microsoft Entra ID'de (eski adıyla Azure Active Directory) Koşullu Erişimi uygulama ve optimize etme konusunda rehberlik etmeyi amaçlamaktadır. Koşullu Erişim, Microsoft'un amiral gemisi Sıfır Güven politikası uygulama mekanizmasıdır ve kuruluşların, kullanıcı kimliği, konum, cihaz durumu ve oturum riski gibi gerçek zamanlı koşullara dayalı olarak kaynaklara erişimi kontrol etmesine olanak tanır [1].

Giriş

Siber tehditlerin karmaşık olduğu ve uzaktan çalışmanın yaygın olduğu günümüzün güvenlik ortamında, geleneksel ağ çevre koruması artık yeterli değildir. Azure AD Koşullu Erişim, kuruluşların statik güvenlik yaklaşımından, her erişim girişiminin verilmeden önce değerlendirildiği dinamik, uyarlanabilir bir yaklaşıma geçmesini sağlar. Bu, erişimin belirli koşullar altında yalnızca güvenilir kullanıcılara ve cihazlara verilmesini sağlayarak şirket verilerinin ve uygulamalarının daha etkili bir şekilde korunmasını sağlar [2].

Bu pratik kılavuz, çok faktörlü kimlik doğrulama (MFA), desteklenen cihazlar, güvenilir konumlar ve eski kimlik doğrulama engellemeyi gerektirme dahil olmak üzere Koşullu Erişim ilkelerinin oluşturulmasını ve yapılandırılmasını kapsayacaktır. Okuyucunun, kaynaklara erişimin güvenli ve uyumlu olmasını sağlayarak kuruluşunun güvenlik duruşunu uygulayabilmesi ve güçlendirebilmesi için adım adım talimatlar, yapılandırma örnekleri ve doğrulama yöntemleri sağlanacaktır.

Koşullu Erişim neden önemlidir?

  • Sıfır Güven: Her erişim isteğini açıkça doğrulayan Sıfır Güven modelini uygulamaya yönelik politika motorudur.
  • Uyarlanabilir Kontrol: Erişim politikalarının gerçek zamanlı risk sinyallerine göre dinamik olarak uyarlanmasına olanak tanır.
  • Kapsamlı Koruma: Buluttaki ve şirket içi kimlikleri, cihazları, verileri ve uygulamaları korur.
  • MFA ve Cihaz Uyumluluğu: MFA'nın uygulanmasını kolaylaştırır ve erişim için uyumlu veya Azure AD'ye katılmış cihazlar gerektirir.
  • Risk Azaltma: Kimlik bilgileri hırsızlığı, yetkisiz cihazlardan erişim ve şüpheli konumlardan erişim gibi risklerin azaltılmasına yardımcı olur.

Önkoşullar

Azure AD'de Koşullu Erişimi uygulamak için aşağıdaki öğelere ihtiyacınız olacak:

  1. Lisanslama: Microsoft Enroll ID Premium P1 veya P2 (eski adıyla Azure AD Premium P1 veya P2) lisansı. Koşullu Erişim bu lisansların benzersiz bir özelliğidir [3].
  2. Yönetici Erişimi: Microsoft Entra yönetici merkezinde (https://entra.microsoft.com) 'Koşullu Erişim Yöneticisi', 'Güvenlik Yöneticisi' veya 'Global Yönetici' rolüne sahip bir hesap.
  3. Kullanıcılar ve Gruplar: Politikaları test etmek için Microsoft Entra ID'deki kullanıcılar ve güvenlik grupları.
  4. Multi-Factor Authentication (MFA) Yapılandırılmış: MFA gerektiren politikalar için kullanıcıların MFA'yı yapılandırmış ve kaydetmiş olması gerekir.
  5. Yönetilen cihazlar (isteğe bağlı): Desteklenen veya Azure AD/Karma'ya katılmış cihazlar gerektiren politikalar için cihazların Microsoft Intune veya Azure AD'ye katılmış olarak yönetilmesi gerekir.

Adım Adım: Koşullu Erişim Politikalarını Yapılandırma

Güvenliği güçlendirmek için bazı temel Koşullu Erişim ilkeleri oluşturalım.

1. Microsoft Portal'a erişim Yönetici merkezine girin

  1. Tarayıcınızı açın ve https://entra.microsoft.com adresine gidin.
  2. Gerekli izinlere sahip bir hesapla oturum açın.
  3. Sol gezinme bölmesinde Koruma > Koşullu Erişim'i seçin.

2. Tüm Kullanıcılar için MFA Gerektirecek Bir Politika Oluşturma (Acil Durum Hesapları Hariç)

Bu, çoğu kuruluş için temel bir politikadır ve acil durum/frekans erişim hesapları dışındaki tüm erişim girişimleri için MFA'nın gerekli olmasını sağlar.

  1. Koşullu Erişim sayfasında Yeni Politika > Yeni Politika Oluştur'a tıklayın.
  2. Ad: 01 - Tüm Kullanıcılar için MFA Gerekir.

  3. Ödevler > Kimlik Kullanıcıları veya İş Yükleri:

    • Dahil et bölümünde Tüm kullanıcılar'ı seçin.
    • Sil altında Kullanıcılar ve gruplar'ı seçin ve acil erişim hesaplarınızı ekleyinajans/break-glass (MFA arızası veya dizinin kullanılamaması durumunda kiracıya erişmek için kullanılabilecek yüksek düzeyde korunan hesaplar).

  4. Bulut Kaynakları veya Eylemleri:

    • Dahil et altında Tüm Bulut Uygulamaları'nı seçin.

  5. Hibe:

    • Erişim izni ver'i seçin.
    • Çok faktörlü kimlik doğrulama gerektir seçeneğini işaretleyin.
    • Seç'i tıklayın.

  6. İlkeyi Etkinleştir: "Yalnızca raporla"yı (uygulamadan önce etkiyi test etmek için) veya "Etkin"i seçin.

    • İpucu: Politikanın etkisini uygulamadan izlemek için her zaman "Yalnızca rapor" ile başlayın ve olası istenmeyen bloklar için giriş günlüklerini kontrol edin.
  7. Oluştur'u tıklayın.

3. Eski Kimlik Doğrulamayı Engelleyecek Politika Oluşturma

Eski kimlik doğrulama (POP, IMAP, SMTP, Temel kimlik doğrulama gibi) MFA'yı desteklemez ve saldırılar için yaygın bir vektördür. Bunu engellemek çok önemli.

  1. Koşullu Erişim sayfasında Yeni Politika > Yeni Politika Oluştur'a tıklayın.
  2. Ad: 02 - Eski Kimlik Doğrulamasını Engelle.
  3. Atamalar > Kimlik Kullanıcıları veya İş Yükleri: Tüm Kullanıcılar'ı seçin (acil durum hesaplarınız hariç).
  4. Bulut Kaynakları veya Eylemler: Tüm Bulut Uygulamaları'nı seçin.

  5. Koşullar > Müşteri uygulamaları:

    • 'İstemci Uygulamaları'nı 'Evet' olarak ayarlayın.
    • 'Exchange ActiveSync İstemcileri' ve 'Diğer İstemciler'i işaretleyin.

  6. Erişim Kontrolleri > Hibe:

    • Erişimi engelle seçeneğini seçin.
    • Seç'i tıklayın.

  7. İlkeyi Etkinleştir: 'Yalnızca Rapor' veya 'Etkin'i seçin.

  8. Oluştur'u tıklayın.

4. Kritik Uygulamalara Erişim İçin Uyumlu Cihaz Gerektirecek Bir Politika Oluşturma

Bu politika, yalnızca güvenlik standartlarını karşılayan cihazların (örneğin Intune tarafından yönetilen) hassas uygulamalara erişebilmesini sağlar.

  1. Koşullu Erişim sayfasında Yeni Politika > Yeni Politika Oluştur'a tıklayın.
  2. Ad: 03 - Kritik Uygulamalar için Uyumlu Cihaz Gerektirir.
  3. Atamalar > Kimlik Kullanıcıları veya İş Yükleri: Tüm Kullanıcılar'ı (veya belirli bir grubu) seçin.

  4. Bulut Kaynakları veya Eylemleri:

    • Dahil et altında, Uygulamaları seç'i seçin ve kritik uygulamaları (ör. SharePoint Online, Dynamics 365, iş kolu uygulamaları) seçin.

  5. Hibe:

    • Erişim izni ver'i seçin.
    • Cihazın destekleniyor olarak işaretlenmesini zorunlu kıl seçeneğini işaretleyin.
    • Seç'i tıklayın.

  6. İlkeyi Etkinleştir: 'Yalnızca Rapor' veya 'Etkin'i seçin.

  7. Oluştur'u tıklayın.

5. Güvenilmeyen Konumlardan Erişimi Engelleyecek Politika Oluşturma

Bu politika, saldırı kaynağı olduğu bilinen coğrafi bölgelerden veya IP adreslerinden erişime karşı korunmaya yardımcı olur.

  1. Öncelikle, güvenilir konumları (ör. şirket ofisleri, VPN) tanımlamak için Azure AD'de Adlandırılmış Konumlar (Adlandırılmış Konumlar) oluşturmanız gerekir.

    • Microsoft Oturum Açma yönetim merkezinde Koruma > Koşullu Erişim > Adlandırılmış Konumlar'a gidin.
    • Güvenilir konumlarınızı ayarlamak için Yeni Ülkeler/Bölgeler Konumu veya Yeni IP Aralıkları Konumu'nu tıklayın.

  2. Koşullu Erişim sayfasında Yeni Politika > Yeni Politika Oluştur'a tıklayın.

  3. Ad: 04 - Güvenilmeyen Konumlardan Erişimi Engelle.
  4. Atamalar > Kimlik Kullanıcıları veya İş Yükleri: Tüm Kullanıcılar'ı seçin.
  5. Bulut Kaynakları veya Eylemler: Tüm Bulut Uygulamaları'nı seçin.

  6. Koşullar > Konumlar:

    • 'Konumlar'ı 'Evet' olarak ayarlayın.
    • Dahil et bölümünde Herhangi bir konum'u seçin.
    • Hariç Tut altında, Seçili Konumlar'ı seçin ve güvenilir olarak tanımladığınız 'Adlandırılmış Konumlar'ı seçin.

  7. Erişim Kontrolleri > Hibe:

    • Erişimi engelle seçeneğini seçin.
    • Seç'i tıklayın.
  8. İlkeyi Etkinleştir: 'Yalnızca Rapor' veya 'Etkin'i seçin.
  9. Oluştur'u tıklayın.

Doğrulama ve Test Etme

Koşullu Erişim ilkelerinin doğrulanması, bunların beklendiği gibi çalışmasını ve istenmeyen tıkanmalara neden olmamasını sağlamak açısından kritik öneme sahiptir.

1. “Ya Şöyle Olursa” Aracını Kullanmak

"Ya Şöyle Olursa" aracı, Koşullu Erişim politikalarınızın belirli bir kullanıcı veya senaryo üzerindeki etkisini simüle etmenize olanak tanır.

  1. Koşullu Erişim sayfasında öğesine tıklayın.Ve eğer.
  2. Test senaryosunu yapılandırın (kullanıcı, uygulama, IP adresi, cihaz vb.).
  3. Hangi politikaların uygulanacağını ve sonucunu (erişim izni verme veya engelleme) görmek için Ya şöyle olursa seçeneğini tıklayın.

2. Giriş Günlüklerini Kontrol Etme

Gelen günlükler, hangi Koşullu Erişim politikalarının değerlendirildiği ve sonuç da dahil olmak üzere her erişim girişimi hakkında ayrıntılı bilgi sağlar.

  1. Microsoft Oturum Açma yönetim merkezinde İzleme ve Sağlık > Gelen Günlükler'e gidin.
  2. Erişim girişimlerini araştırmak için günlükleri kullanıcıya, uygulamaya veya duruma (ör. 'Başarısız') göre filtreleyin.
  3. Uygulanan politikaları ve sonucu gösteren Koşullu Erişim sekmesi de dahil olmak üzere ayrıntıları görüntülemek için bir günlük girişini tıklayın.

3. Test Kullanıcılarıyla Gerçek Testler

İlkelerin beklenen davranışını doğrulamak için farklı senaryolarda (ör. güvenilmeyen bir konumdan, desteklenmeyen bir cihazla, MFA olmadan erişim) test kullanıcılarıyla testler gerçekleştirin.

Güvenlik İpuçları ve En İyi Uygulamalar

  • Dikkatli Planlama: Koşullu Erişim politikalarınızı kuruluşunuzun ihtiyaçlarına ve Sıfır Güven ilkelerine göre planlayın. Küçük bir dizi politikayla başlayın ve yavaş yavaş genişletin.
  • **Yalnızca Rapor Modu: Etkilerini değerlendirmek ve bunları Etkin modda uygulamadan önce ayarlamak için her zaman yeni politikaları yalnızca Rapor modunda dağıtın.
  • Acil Durum Hesapları: Kazara kilitlenmeleri önlemek için acil durum/sonuna kadar erişim hesaplarını her zaman tüm Koşullu Erişim politikalarından hariç tutun.
  • Eski Kimlik Doğrulamasını Engelle: Bu, saldırı yüzeyini azaltmak için en etkili politikalardan biridir.
  • Tüm Kullanıcılar için MFA'yı zorunlu kılın: Kimliklerin korunmasına yönelik temel bir politika.
  • Yönetilen Cihazlar: Hassas kaynaklara erişim için cihazların yönetilmesini (Azure AD'ye katılmış veya Intune'un etkin olması) gerektirir.
  • Adlandırılmış Konumlar: Güvenilir ağları tanımlamak ve güvenilmeyen konumlardan erişimi engellemek için adlandırılmış konumları kullanın.
  • Sürekli İnceleme ve Düzenleme: Tehdit ortamındaki ve iş gereksinimlerindeki değişikliklere uyum sağlamak için Koşullu Erişim politikalarınızı düzenli olarak gözden geçirin ve ayarlayın.
  • Belgeleme: Koşullu Erişim politikalarınızın amacı, kapsamı ve istisnaları dahil olmak üzere açık bir şekilde belgelenmesini sağlayın.

Genel Sorun Giderme

  • Beklenmedik Şekilde Engellenen Kullanıcılar: Hangi politikanın engellemeye neden olduğunu belirlemek için "Ya Şöyle Olursa" aracını ve oturum açma günlüklerini kullanın. Politika kapsamına girenleri ve hariç tutulanları kontrol edin.
  • Politikalar uygulanmadı: Politikanın "Etkin" modunda olduğunu ve kullanıcı ile uygulamanın politika kapsamında olduğunu kontrol edin. Politikanın değerlendirilip değerlendirilmediğini görmek için giriş günlüklerini kontrol edin.
  • MFA sorunları: Kullanıcıların MFA yöntemlerini kaydettirdiğinden emin olun. MFA sağlayıcılarıyla bağlantı sorunlarını kontrol edin.
  • Uyumlu Cihaz Sorunları: Cihazınızın Intune'daki uyumluluk durumunu kontrol edin. Cihazın Azure AD'ye katıldığından veya Intune'a kayıtlı olduğundan emin olun.
  • Politika Çatışmaları: Koşullu Erişim tüm politikaları değerlendirir ve en kısıtlayıcı olanı uygular. Çakışan politikalar varsa, bunları istenen davranışı sağlayacak şekilde ayarlayın.

Sonuç

Azure AD'de Koşullu Erişimin uygulanması, Sıfır Güven modelini temel alan sağlam ve uyarlanabilir bir güvenlik mimarisi oluşturmanın temel dayanağıdır. Koşullu Erişim, kuruluşların çeşitli koşullara göre ayrıntılı erişim politikaları belirlemesine olanak tanıyarak, kimliklerin ve kaynakların siber tehditlere karşı korunmasını önemli ölçüde güçlendirir. Stratejik politika yapılandırması, sıkı testler ve sürekli bir inceleme ve optimizasyon döngüsüyle birleştiğinde, güvenlik ekiplerine erişimin her zaman doğrulanmasını, minimum düzeyde ayrıcalıklı olmasını ve risk bağlamına uyarlanmasını sağlama yetkisi verir. Koşullu Erişim ile şirketler, kullanıcılarının her yerden ve her cihazdan güvenli ve verimli bir şekilde çalışmasına olanak tanırken en değerli varlıklarını da koruyabilir.

Referanslar:

[1] Microsoft Learn. Koşullu Erişim Nedir?. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview [2] Microsoft Learn. Koşullu Erişimin uygulanmasını planlayın. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/plan-conditional-access [3] Microsoft Learn. Koşullu Erişim için lisans gereksinimleri. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/identity/conditional-access/overview#license-requirements