Koşullu Erişim’de Baseline Policy Kullanımları
Günümüz teknolojilerinin en büyük avantajlarından biri de kullanıcıların cihazları ve uygulamaları ile her yerden çalışmalarıdır. Bu teknolojiler iş verimliliği, iş birliği, iletişim gibi birçok avantaj sağlarken, burada düşünülmesi gereken en önemli nokta güvenlik konusudur. Güvenlik; veriler, uygulamalar, sunucular, kullanıcılar vb. birçok noktada uçtan uca düşünülmesi gereken konulardan biridir. Kullanıcı cihazlarından, işletim sistemlerine, kullanıcı kimlik bilgilerinden, uygulamalara erişim noktasına, verilerin şifrelenmesinden uygulamanın erişimine, portlardan, protokollerden ve birçok açıdan bakılması gerekir. Basit bir yaklaşım ile kullanıcılar firma uygulamalarına ve verilerine erişirken bir cihaz üzerinden kimlik bilgileri ile erişim sağlarlar. Haliyle kimlik bilgileri kullanıcıların yetkileri doğrultusunda uygulamaları kullanmasını ve verilere erişimlerini sağlar. BT ekipleri ise şirket politikaları çerçevesinde güvenlik ve uyumluluk standartlarına göre kullanıcı erişimlerinin sağlanmasından sorumludur. Bu noktada çeşitli güvenlik çözümlerine ihtiyaç duyarlar.
Azure Active Directory, Microsoft’un bulut tabanlı kimlik ve erişim yönetimi olup, kullanıcıların Microsoft 365, Azure portal ve binlerce SaaS uygulamalarda ve şirket içerisindeki uygulamalarda oturum açmasını ve kaynak erişimini sağlar. Haliyle Microsoft 365 kullanan ve SSO ayarları gibi ek özellikler yapılmadığı platformlarda kullanıcılar Azure Active Directory ile kimlik doğrulamaları anlamına gelir. Bu da kullanıcıların e-posta, Teams, OneDrive gibi Microsoft 365’in sunduğu servislere erişimlerinde Azure Active Directory’i kullandığını gösterir. Başka bir örnek ise şirket içerisinde kullanılan bir CRM uygulamasına erişimde Azure Active Directory kullanılabilir. Haliyle CRM uygulamasına erişim sağlamak isteyen kullanıcılar kimlik bilgilerinin Azure Active Directory ile doğrulanmasını ve oturum açmaları anlamına gelir. Görüldüğü üzere Azure Active Directory sunduğu özellikler ile uygulamalara ve verilere erişilmesinde önemli role sahip olup, kullanıcılara güvenlik açısından özellik sunar. MFA (Multi Factor Authentication) ve Koşullu Erişim (Conditional Access) bu özelliklerden bazılarıdır.
Bilindiği üzere MFA iki adımlı doğrulamanın güvenlik katmanında yer alır. Azure Multi-Factor Authentication (MFA) , verilere ve uygulamalara erişimde ikinci bir kimlik doğrulama biçimi kullanarak ek bir güvenlik katmanı sağlar. Böylelikle kullanıcılar kimlik bilgileri girdikten sonra ek ikinci bir güvenlik ayarı ile oturum açabilirler. Böylelikle gelişmiş kimlik avı ve sosyal mühendislik saldırı gibi saldırılara ek çözümler sunar.
Azure Active Directory’nin sunduğu diğer özellik ise Koşullu Erişimdir. Koşullu erişim ise yapılandırılan koşulu sağlayan kullanıcıların kaynak ya da uygulamalara erişmeleri sağlar. İstenirse koşullu sağlamayan kullanıcılar uygulamalara ve kaynaklara erişimi engellenir. Böylelikle belirli lokasyondan, belirli kurallara uyan kullanıcıların firma verilerine ve uygulamalarına erişimi sağlanarak güvenlik katmanı oluşturulur.
Koşullu erişim ile MFA beraber kullanılarak çeşitli kurallar tanımlanabilir ve böylelikle kullanıcıların belirli uygulamalara erişimlerinde MFA kullanımı ile ilgili ayarlamalar yapılabilir. Microsoft bunu bir adım öteye taşıyarak koşullu erişimde temel ilkeler sunmaktadır. Bu temel ilkeler dört tane olup, firmaların yaygın saldırılarak karşı korunması sağlayan önceden tanımlanmış ilkelerdir. Microsoft tüm firmaların herhangi ücret ödemeden etkin ve temel güvenlik düzeyine sahip olması için temel ilkeleri Azure AD’nin tüm sürümlerinde herkes tarafından kullanıma açık olarak sunar. Özelleştirilmiş koşullu erişim ilkelerinin yönetilmesi için ise Azure AD Premium lisansı gerekir.
Temel dört ilke aşağıdaki şekilde görüldüğü gibidir.
Require MFA for admins (önizleme): Yönetici hesapları sahip olduğu güç ve erişim yetkileri nedeni ile ek güvenlik önlemi alınması gereken hesaplardır. “Require MFA for Admins (önizleme)” genel yönetici, Sharepoint yöneticisi, Exchange yöneticisi, Koşullu erişim yöneticisi, güvenlik yöneticisi, Yardım Masası yöneticisi/Parola yöneticisi, Faturalama yöneticisi ve kullanıcı yöneticisi rollerindeki kullanıcıların MFA yani çoklu oturum ile oturum açmasını gerekli kılar.
End user protection (önizleme): Saldırıların odak noktaları sadece yönetici yetkisine sahip kullanıcılar değildir. Kullanıcı hesapları da saldırı hedefleri arasındadır. Saldırganlar son kullanıcı hesaplarına erişim sağladıktan sonra farklı yetkilere ve bilgilere erişim isteğinde bulunabilirler ve kimlik avı gerçekleştirebilirler. Bu gibi saldırılara önlem olarak riskli oturum açma algılandığında daha güçlü hesap doğrulama işleminin gerçekleştirilmesidir. En user protection (önizleme), tüm kullanıcıları koruyan ilkedir. Bu ilkenin etkinleştirilmesi ile Azure MFA için üm kullanıcıların 14 gün için kaydolması gerekli kılınır. Kaydolduktan sonra kullanıcılardan yalnızca riskli oturum girişiminde MFA sorulur.
Block legacy authentication (önizleme): Eski kimlik doğrulama protokolleri IMAP, SMTP,POP^gibi eski e-posta istemcileri tarafından kimlik doğrulamalası için kullanılan protokollerdir. Eski protokoller MFA’yı desteklemezler. BT ekipleri MFA doğrulaması gerektiren ilkeler ayarlamasalar dahi salgırı bu eski protokollerden yapılabilir. Block legancy authentication (önizleme) ilkesi, eski protokoller kullanılarak yapılan kimlik doğrulama isteklerini engeller. Tüm kullanıcılar oturum açmak için modern kimlik doğrulamaları kullanmalıdır. Diğer ilkeler ile beraber kullanıldığında eski protokollerden gelen istekler engellenir. Ayrıca tüm kullanıcılar gerektiğinde MFA yapması gerekir. Exchnage ActiveSync’i engellemez.
Require MFA for service management (önizleme): Azure Resource Manager tabanlı Azure portal, Azure PowerShell ve Azure CLI araçları ile Azure hizmetleri yönetilir. Azure hizmetlerini yönetmekte kullanılan bu araçlar için belirli yetkiler gerekir. Haliyle bu araçları yönetecek kullanıcıların yetki seviyeleri nedeniyle güvenliği sağlanmalıdır. “Require MFA for service management (önizleme)”, Azure portal, Azure PowerShell veya Azure CLI ile erişen kullanıcıların MFA doğrulamasını zorunlu kılar.
