PIM (Ayrıcalıklı Kimlik Yönetimi) ile ayrıcalıklı erişimi koruma

PIM (Ayrıcalıklı Kimlik Yönetimi) ile ayrıcalıklı erişimi koruma

04/15/2024

Bu teknik ve eğitici makale, güvenlik analistlerine, BT yöneticilerine ve sistem mühendislerine Microsoft Entra ID'de (eski adıyla Azure Active Directory) Ayrıcalıklı Kimlik Yönetimi'ni (PIM) uygulama ve yönetme konusunda rehberlik etmeyi amaçlamaktadır. PIM, kuruluşunuzdaki önemli kaynaklara erişimi yönetmenize, kontrol etmenize ve izlemenize olanak tanıyan, ayrıcalıklı işlevlere Tam Zamanında (JIT) ve Yeterince Erişim (JEA) erişimi sağlayarak ayrıcalığın kötüye kullanılması riskini en aza indiren bir hizmettir [1].

Giriş

Yönetici ayrıcalıklarına sahip hesaplar, siber saldırıların ana hedefleridir; çünkü bu hesapların ele geçirilmesi, bir kuruluşun sistemleri ve verileri üzerinde tam kontrole yol açabilir. Ayrıcalıklı hesapların kalıcı olarak atandığı geleneksel güvenlik modeli, saldırı yüzeyini ve saldırganların yanal hareket riskini artırır. PIM, "tam zamanında" (JIT) ve "tam yeterli erişim" (JEA) erişimi kavramını sunarak bu zorluğun üstesinden gelir ve kullanıcıların yalnızca gerektiğinde ve kesinlikle gerekli olan süre boyunca yükseltilmiş ayrıcalıklara sahip olmasını sağlar [2].

Bu pratik kılavuz, hizmetin etkinleştirilmesinden roller için uygunluk atamaya, etkinleştirme ilkelerini yapılandırmaya ve ayrıcalıklı bir rolü etkinleştirme sürecine kadar Microsoft Entra ID'deki PIM yapılandırmasını kapsayacaktır. Okuyucunun Microsoft ortamında ayrıcalıklı erişim güvenliğini uygulayabilmesi ve güçlendirebilmesi, riske maruz kalmayı azaltabilmesi ve uyumluluğu sağlayabilmesi için adım adım talimatlar, pratik örnekler ve doğrulama yöntemleri sağlanacaktır.

Ayrıcalıklı Kimlik Yönetimi neden önemlidir?

  • Saldırı Yüzeyini Azaltma: Ayrıcalıklı hesapların etkin kalma süresini en aza indirerek saldırganlara yönelik fırsatları azaltır.
  • JIT/JEA Erişimi: Sıfır Güven ilkelerine uygun olarak en az ayrıcalıkla geçici erişim sağlar.
  • Görünürlük ve Denetim: Tüm ayrıcalıklı işlev etkinleştirmelerinin ayrıntılı günlüklerini sağlayarak denetimi ve uyumluluğu kolaylaştırır.
  • Onay Akışı: Kritik işlevlerin etkinleştirilmesi için onay istemenize olanak tanıyarak ekstra bir güvenlik katmanı ekler.
  • Erişim İncelemeleri: Verilen ayrıcalıkların hâlâ uygun olduğundan emin olmak için periyodik erişim incelemelerini kolaylaştırır.

Önkoşullar

Ayrıcalıklı Kimlik Yönetimi'ni (PIM) uygulamak için aşağıdaki öğelere ihtiyacınız olacak:

  1. Lisanslama: Microsoft Enroll ID Premium P2 (eski adıyla Azure AD Premium P2) lisansı. PIM bu lisansın benzersiz bir özelliğidir [3].
  2. Yönetim Erişimi: PIM'i yapılandırmak için Microsoft Enter ID'de "Genel Yönetici" veya "Ayrıcalıklı Roller Yöneticisi" rolüne sahip bir hesap.
  3. Kullanıcılar ve Gruplar: Microsoft Entra ID'de ayrıcalıklı erişim gerektiren kullanıcılar ve/veya güvenlik grupları.

Adım Adım: PIM'i Yapılandırma ve Kullanma

PIM'i 'Global Yönetici' gibi kritik bir yönetici rolü için yapılandıracağız ve aktivasyon sürecini göstereceğiz.

1. Microsoft Entra ID'de PIM'in etkinleştirilmesi

Kiracınızda PIM zaten etkin değilse etkinleştirmeniz gerekecektir.

  1. Microsoft Entra yönetim merkezi portalına erişin: https://entra.microsoft.com.
  2. Sol gezinme bölmesinde Kimlik Yönetişimi > Ayrıcalıklı Kimlik Yönetimi'ni seçin.
  3. Bu ilk seferinizse PIM'i Etkinleştir seçeneğini göreceksiniz. Üzerine tıklayın.

2. Bir Role Uygunluk Atama

Öncelikle bir kullanıcıyı Global Yönetici rolüne uygun hale getirelim.

  1. PIM sol gezinme bölmesinde Microsoft Entra Rolleri > Roller'i seçin.
  2. Roller listesinde 'Genel Yönetici'yi arayın ve tıklayın.

  3. 'Genel Yönetici' rolü ayrıntıları sayfasında Rol Ekle'yi tıklayın.

  4. Ödev Ekle bölümünde Üyeleri Seç'i tıklayın.

  5. Bu role uygun hale getirmek istediğiniz kullanıcıyı/kullanıcıları veya grubu/grupları arayın ve seçin. Seç'i tıklayın.
  6. Ödev Türü altında, 'Uygun'u seçin.
  7. Kalıcı Atama altında uygunluk için bir başlangıç ​​ve bitiş tarihi belirleyebilir veya bunu kalıcı yapabilirsiniz. Yüksek ayrıcalıklı roller için kalıcı atamalardan kaçınılmalıdır, ancak bu amaç içinGösterim amacıyla olduğu gibi bırakabiliriz.
  8. Ata'yı tıklayın.

3. Rol Ayarlarını Yapılandırma

Rol tanımları, kullanıcıların ayrıcalıklarını nasıl etkinleştirebileceklerini kontrol eder.

  1. PIM sol gezinme bölmesinde Microsoft Entra İşlevleri > Ayarlar'ı seçin.

  2. Roller listesinde 'Genel Yönetici'yi arayın ve Düzenle'yi tıklayın.

  3. Etkinleştirme bölümünde:

    • Maksimum etkinleştirme süresi: Bir kullanıcının işlevi aktif tutabileceği maksimum süreyi tanımlayın (ör. "4" saat). Kısa bir süre kullanılması tavsiye edilir.
    • Etkinleştirmede çok faktörlü kimlik doğrulamayı zorunlu kıl: Bu seçeneği işaretleyin. Tüm ayrıcalıklı roller için Şiddetle tavsiye edilir.
    • Etkinleştirme sonrasında gerekçe gerektir: Bu seçeneği seçin. Kullanıcılardan etkinleştirme için bir neden belirtmeleri istenecektir.
    • Etkinleştirmek için onay gerektir: Onay akışı eklemek için bu seçeneği işaretleyin. Onaylayanları Seç'i tıklayın ve etkinleştirme isteklerini onaylayabilecek bir veya daha fazla kullanıcı/grup ekleyin.
  4. Ödev bölümünde:
    • Kalıcı olarak uygun atamalara izin ver: "Genel Yönetici" için, tüm atamaların geçici olmasını sağlamak amacıyla bu seçeneği devre dışı bırakmayı düşünün.
  5. Bildirim bölümünde:
    • İşlevin etkinleştirilmesiyle ilgili kimin bilgilendirileceğini yapılandırın.
  6. Ayarları kaydetmek için Güncelle'ye tıklayın.

4. Ayrıcalıklı Bir İşlevi Etkinleştirme (Kullanıcı Deneyimi)

Şimdi uygun bir kullanıcının "Global Yönetici" rolünü nasıl etkinleştirdiğini gösterelim.

  1. Uygun kullanıcı Microsoft Entra yönetim merkezi portalına erişir: https://entra.microsoft.com.
  2. Kimlik Yönetişimi > Ayrıcalıklı Kimlik Yönetimi'ne gidin.
  3. Sol gezinme bölmesinde Rollerim > Microsoft Oturum Açma Rolleri'ni seçin.
  4. Uygun Roller sekmesinde kullanıcı "Genel Yönetici" rolünü görecektir.

  5. 'Genel Yönetici' rolünün yanındaki Etkinleştir'i tıklayın.

  6. Etkinleştirme penceresinde:

    • Süre: Kullanıcı etkinleştirme süresini belirtebilir (işlev tanımlarında tanımlanan maksimum süre ile sınırlıdır).
    • Sebep: Kullanıcının etkinleştirme için bir gerekçe sunması gerekir (ör. 'X sunucusunda bakım gerçekleştirin').
    • (Yapılandırıldıysa) Güvenlik Kontrolü: Kullanıcıdan bir MFA kontrolü yapması istenebilir.

  7. Etkinleştir'i tıklayın.

  8. Onay gerekiyorsa talep onaylayanlara gönderilecektir. Kullanıcı durumu "Onay bekleniyor" olarak görecektir.

5. Etkinleştirme İsteğini Onaylama (Onaylayıcı Deneyimi)

Belirlenen onaylayıcı, etkinleştirme talebiyle ilgili bir bildirim (e-posta yoluyla veya PIM portalı üzerinden) alacaktır.

  1. Onaylayan, Microsoft Entra yönetim merkezi portalına erişir: https://entra.microsoft.com.
  2. Kimlik Yönetişimi > Ayrıcalıklı Kimlik Yönetimi'ne gidin.
  3. Sol gezinme bölmesinde İstekleri onayla seçeneğini seçin.
  4. Onaylayan, bekleyen isteği görecektir. Ayrıntıları görmek için üzerine tıklayın.

  5. Onaylayan, gerekçesini sunarak talebi Onaylayabilir veya Reddedebilir.

  6. Onayın ardından talepte bulunan kullanıcı, belirtilen süre boyunca aktif role sahip olacaktır.

Doğrulama ve Test Etme

PIM uygulamanızı doğrulamak, ayrıcalıklı erişim kontrollerinin beklendiği gibi çalışmasını sağlamak açısından çok önemlidir.

1. Etkinleştirme Durumunu Kontrol Etme

  1. Etkinleştirmeden (ve varsa onaylandıktan) sonra kullanıcı PIM'deki Rollerim > Microsoft Oturum Açma Rolleri sayfasına dönebilir.
  2. Aktif Roller sekmesinde, "Genel Yönetici" rolü, "Etkin" durumu ve kalan süre ile birlikte görünmelidir.

2. Yükseltilmiş Ayrıcalık Erişimini Test Etme

  1. İşlev etkinleştirildiğinde, kullanıcının kaynaklara erişmeye çalışması veya 'Global Yönetici' rolünü gerektiren eylemleri gerçekleştirmesi gerekir (örneğin, Microsoft Entra ID'de yeni bir kullanıcı oluşturma).
  2. Eylem başarılı olmalıdır.

3. PIM Denetim Günlüklerini Kontrol Etme

  1. PIM sol gezinme bölmesinde Denetim > Microsoft Entra Rol Denetimi'ni seçin.
  2. Rol etkinleştirmelerini, onaylarını ve PIM ile ilgili diğer etkinlikleri görmek için günlükleri filtreleyin. Bu, kimin hangi işlevi, ne zaman, ne kadar süreyle ve hangi gerekçeyle etkinleştirdiğine ilişkin eksiksiz bir kayıt sağlar.

4. Aktivasyon Sona Ermesinin Test Edilmesi

Etkinleştirme süresi dolduktan sonra kullanıcının kaybetmesi gerekirotomatik olarak yükseltilmiş ayrıcalıklar. Ayrıcalıklı eylemi tekrar gerçekleştirmeyi deneyin; başarısız olmalı.

Güvenlik İpuçları ve En İyi Uygulamalar

  • En Az Ayrıcalık Prensibi: Yalnızca kullanıcının görevlerini gerçekleştirmesi için gerekli olan rolleri atayın. Daha az ayrıcalıklı bir rol yeterli olacaksa "Genel Yönetici" atamaktan kaçının.
  • Uygunluk Ataması ve Aktif Atama: Mümkün olduğunda, ayrıcalıklı roller için kalıcı "Etkin" atamalar yerine "Uygun" atamaları kullanın.
  • MFA Zorunlu: Her zaman MFA'nın ayrıcalıklı işlevleri etkinleştirmesini zorunlu kılın. Bu, kritik bir güvenlik katmanı ekler.
  • Gerekli Gerekçe: Kullanıcıların her etkinleştirme için bir gerekçe sağlamasını zorunlu kılın. Bu, erişimin amacının denetlenmesine ve anlaşılmasına yardımcı olur.
  • Onay Akışları: Kritik işlevler için, etkinleştirmelerin başka biri tarafından incelenip yetkilendirilmesini sağlayacak şekilde onay akışlarını yapılandırın.
  • Erişim İncelemeleri: Ayrıcalıklı rollere uygunluğun hala uygun olduğundan emin olmak ve gereksiz atamaları kaldırmak için PIM'de düzenli erişim incelemeleri planlayın.
  • Bildirimler: Ayrıcalıklı roller etkinleştirildiğinde veya şüpheli etkinlik meydana geldiğinde yöneticiler için bildirimleri yapılandırın.
  • Koşullu Erişim ile Entegrasyon: PIM işlevlerini etkinleştirirken ek politikaları zorunlu kılmak için Koşullu Erişimi kullanın (örneğin, etkinleştirmenin desteklenen bir cihazdan veya güvenilir bir ağ konumundan gerçekleşmesini zorunlu kılmak).

Genel Sorun Giderme

  • Kullanıcı işlevi etkinleştiremiyor: Kullanıcının Microsoft Entra ID Premium P2 lisansına sahip olup olmadığını kontrol edin. Rol için uygun olanlar listesinde olup olmadığını kontrol edin. Rol ayarlarını kontrol edin (örneğin, MFA'nın gerekli olup olmadığı ve kullanıcının bunu yapılandırmadığı).
  • İşlev etkinleştirme başarısız oldu: Hata mesajları için PIM denetim günlüklerini kontrol edin. Bunun nedeni MFA hatası, gerekçe eksikliği veya onaylayan tarafından reddedilme olabilir.
  • Onaylayanlar bildirim almaz: Rol ayarlarında bildirim ayarlarını kontrol edin. Onaylayanların e-posta adreslerinin doğru olduğundan ve bildirimleri engelleyen gelen kutusu kuralları olmadığından emin olun.
  • İşlev otomatik olarak devre dışı bırakılmıyor: İşlev ayarlarında maksimum etkinleştirme süresini kontrol edin. Sorun devam ederse bunun nedeni hizmet senkronizasyonundaki bir gecikme olabilir.
  • İzin çakışmaları: Bir kullanıcı PIM rolü ve normal rol aracılığıyla aynı izne sahipse normal rol geçerli olacaktır. PIM yoluyla da uygun olan kullanıcılar için kalıcı ayrıcalıklı rol atamalarının kaldırılması iyi bir uygulamadır.

Sonuç

Microsoft Entra Ayrıcalıklı Kimlik Yönetimi (PIM), ayrıcalıklı erişimini korumak ve güvenlik duruşunu güçlendirmek isteyen her kuruluş için vazgeçilmez bir araçtır. Tam Zamanında ve Yeterince Erişim ilkelerini benimseyen PIM, saldırı yüzeyinin önemli ölçüde azaltılmasına yardımcı olur, ayrıntılı bir denetim takibi sağlar ve idari işlevler üzerinde sıkı kontroller uygular. PIM'in dikkatli bir şekilde uygulanması, en iyi güvenlik uygulamaları ve kullanıcı eğitimiyle birleştiğinde, BT ve güvenlik ekiplerinin ayrıcalıkları etkili bir şekilde yönetmesine olanak tanır, güvenliği ihlal edilmiş ayrıcalıklı hesaplarla ilişkili riskleri azaltır ve daha güvenli ve uyumlu bir ortam sağlar.

Referanslar:

[1] Microsoft Learn. Microsoft Entra Ayrıcalıklı Kimlik Yönetimi nedir?. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure [2] Microsoft Learn. Sıfır Güven Yol Gösterici İlkeleri. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/security/zero-trust/guidance-principles [3] Microsoft Learn. Microsoft Entra Privileged Identity Management için lisans gereksinimleri. Şu adreste bulunabilir: https://learn.microsoft.com/pt-br/entra/id-governança/privileged-identity-management/pim-configure#license-requirements