Office 365 Cloud App Security ile Azure AD Enterprise Application Kontrolü
Office 365 Cloud App Security’e giriş yapmadan önce Azure AD Enterprise application nedir, nerelerde kullanılır bunlardan kısaca bahsetmek istiyorum. Daha sonrasında Office 365 Cloud App Security ile nasıl uygulamalarımızı kontrol altında tutacağımıza değiniyor olacağım.
Microsoft’un uygulamalara erişirken sunmuş olduğu Azure Active Directory (Azure AD) ile bulut ve şirket içi uygulamalara güvenli ve kesintisiz erişim sağlamaktayız. Kullanıcılar Microsoft’tan Office 365’e ve diğer iş uygulamalarına, software as a service (SaaS) uygulamalarına, şirket içi uygulamalar ve iş kolu (LOB) uygulamalarına erişirken Azure AD üzerinde bulunan account bilgileri ile erişebilmektedirler. Azure AD kullanıcı yetkilendirmesini otomatikleştirerek yönetim maliyetlerini düşürürken bununla beraber güvenli uygulama erişimi sağlamak için çok faktörlü kimlik doğrulama (MFA) ve koşullu erişim ilkeleri (Conditional Access) kullanarak güvenliği bir katman daha arttırmamıza olanak sağlamaktadır.
Uygulamaları neden bir Azure AD ile yönetelim?
Bildiğiniz üzere kurumlar genellikle kullanıcıların işlerini yönetmesi için yüzlerce uygulamaya sahiptirler. Kullanıcılar bu uygulamalara birçok cihaz ve konumdan erişirler. Günümüz dünyasında her gün yeni uygulamalar ekleniyor ve geliştiriliyor. Hal böyle olunca da bu kadar çok uygulama ve erişim noktasıyla, tüm uygulamalara kullanıcı erişimini yönetmek için bulut tabanlı bir çözüm kullanmak her zamankinden daha kritik hale gelir oldu.
Single sign-on (SSO) ile kullanıcı oturum açma deneyimini arttırın
Uygulamalar arasında ve Office 365’te single sign-on (SSO) tek oturum açma özelliğini etkinleştirmek, oturum açma istemlerini azaltarak veya ortadan kaldırarak mevcut kullanıcılar için üstün bir oturum açma deneyimi sağlamaktadır. Özellikle kurumlarda her kullanıcının her uygulamaya erişirken tekrar tekrar kullanıcı adını ve şifresini girmesi veya bununda dışında her uygulamada entegrasyon olmaması durumunda girilen farklı kullanıcı adları ve şifreleri kullanıcı deneyimini düşürmekle beraber IT tarafında yönetim süreçlerinin daha karmaşık hale gelmesine yol açmaktadır.
Azure Active Directory üzerinde bulunan Enterprise application özelliği bugün bizlere 3000’ün üzerinde uygulama ile entegrasyon yapmamızı sağlamaktadır. Tek bir kullanıcı adı ve şifre ile bu uygulamalara erişim imkânınız bulunmaktadır.
Varsayılan olarak, Azure Active Directory içindeki tüm kullanıcılar bir uygulamaya register olma haklarına sahiptir ve kullanıcılar şirket verilerine erişen uygulamalara kendi adına izin verebilirler.
- Bu seçenek evet olarak ayarlanmışsa, yönetici olmayan kullanıcılar bu dizinde kullanılmak üzere özel olarak geliştirilen uygulamaları kaydedebilir.
- Bu seçenek hayır olarak ayarlanırsa, yalnızca yönetici rolüne sahip kullanıcılar bu tür uygulamaları kaydedebilir.
Varsayılan olarak bu seçeneğin evet olarak gelmesinden dolayı burada da bir güvenlik zafiyeti oluşmaktadır. Kullanıcıların register ettikleri 3rd Party app’leri Azure Active Directory Adminleri Portal üzerinden girip kontrol etmediği sürece register edilen app’ler hakkında bilgi sahibi olmuyor olacaklar. Peki nedir bu güvenlik zafiyeti bu konuya bir göz atalım.
Office 365’teki “illicit consent grant” saldırısı nedir?
Bir “illicit consent grant” saldırısında, saldırgan iletişim bilgileri, e-posta veya belgeler gibi verilere erişim isteyen Azure’a kayıtlı bir uygulama oluşturur. Saldırgan daha sonra bir son kullanıcıyı, bu uygulamanın verilerine bir kimlik avı saldırısı yoluyla veya güvenilir bir web sitesine yasadışı kod enjekte ederek verilere erişme izni vermesi için kandırır.
Saldırgan, erişimin onaylanmasından sonra kurumsal bir hesaba ihtiyaç duymadan verilere hesap düzeyinde erişime sahiptir. Erişim verilmiş hesaplar için şifreleri sıfırlamak veya hesaplarda Çok Faktörlü Kimlik Doğrulama (MFA) etkinleştirsek bile, bu tür saldırılara karşı etkili değildir, çünkü bunlar üçüncü taraf uygulamalarıdır ve kuruluşun dışındadır. Bu saldırılar, bilgiyi çağıran varlığın bir insan değil otomasyon olduğunu varsayan bir etkileşim modelini kullanır.
Daha fazla bilgi için:
https://docs.microsoft.com/en-us/azure/active-directory/develop/application-consent-experience
Peki organizasyon içerisinde kullanıcıların yukarıdaki gibi bir uygulamaya register olduğunda Azure Active Directory üzerinde neler olduğuna bir göz atalım. Microsoft’un demo senaryolarına sahip olduğu blog üzerinde örnek bir kullanıcı ile yukarıda anlattığım senaryoyu test ediyor olacağız.
https://demo.wd.microsoft.com/
Yukarıdaki linke tıkladıktan sonra Office 365 üzerinde olan bir test kullanıcım ile oturum açıp ilgili uygulamaya izin veriyorum.
Kullanıcının uygulamaya register işlemi sonrası Azure Active Directory üzerinden Enterprise Applications altında bulunan All applications bölümünden organizasyon içerisinde kullanıcıların register olduğu uygulamaların listesini bulabileceğiniz gibi burada sakıncalı gördüğünüz veya kullanılmasını istemediğiniz uygulamaları engelleme opsiyonunuz da bulunmaktadır.
Örnek bir uygulamayı incelediğimizde register olan kullanıcıların bilgisini bulabilirsiniz.
Uygulamaların admin veya user üzerinde sahip olduğu permissionlarıda görüntüleyerek yetkileri kontrol edebiliriz.
Ve daha fazlası için audit log’larını inceleyebilirsiniz.
Konuyu toparlamak gerekirse burada anlatmak istediğim nokta Enterprise Application aracılığı ile Office 365 organizasyonunuzda kullanıcıların dikkatli olmaması sonucu “illicit consent grant” saldırısına maruz kalabilirsiniz. Peki organizasyona dahil edilen bu app’lerin takibini nasıl yapacağız? Her seferinde adminin Azure Active Directory’e erişip Audit log’larını manuel kontrol etmesi efektif bir çözüm olmamaktadır. İşte bu nokta ‘da devreye Cloud App Security girmektedir. Microsoft Cloud App Security, çok modlu bir Cloud Access Security Broker (CASB) aracıdır. Tüm bulut hizmetlerinizdeki siber tehditleri tanımlamak ve bunlarla mücadele etmek için zengin görünürlük, veri üzerinde kontrol ve derin analizler sunar.
Daha fazla bilgi için: https://www.cozumpark.com/cloud-app-security-nedir/
Cloud App Security ile Enterpise Application’ların log’lanması ve kontrolü için takip edilmesi gereken adımlar aşağıdaki gibidir.
https://portal.cloudappsecurity.com/
Cloud App Security Portalına eriştikten sonra Alerts altında bulunan Create policy bölümünden “OAuth app policy” kuralını oluşturuyoruz.
Policy’mize bir ad, açıklama ve filtreleri tanımlıyoruz.
Daha sonra uyarı ayarlarını tanımlayıp, durumun tetiklenmesi durumunda hangi kullanıcıların bir e-posta alacağını belirtiriz. İstersek, uygulamaya erişimi iptal eden Office 365 altındaki Revoke App özelliğini de uygulayabiliriz.
Policy ayarlarımızı tanımladıktan sonra kullanıcı uygulamayı register ettikten kısa bir süre sonra, “Alerts” üzerinde tanımlanmış kullanıcılar uyarı e-postası alır.
Email ile beraber Cloud App Security Console bir uyarı düşmektedir.
Uyarıyı inceleyerek, daha fazla ayrıntı alabiliriz.
Permission bölümü altından verilen izinleri gözden geçirebilir ve uygulamayı hangi kullanıcıların kullandığını görebiliriz.
Bizim bu yaptığımız örnekte, Policy’nin tetiklenmesi durumunda uygulamayı otomatik engelleyecek şekilde yapılandırmamıştık. Ancak, uygulamayı incelememizden sonra kullanıcıların uygulamaya erişmemesi gerektiğini düşünüyorsanız, manuel olarak yasaklayabilirsiniz.
Uygulama admin tarafından yasaklandıktan sonra, uygulamaya register olan kullanıcı veya kullanıcılar bir e-posta alacak ve kullanıcılar artık uygulamaya erişemeyecekler.
Bir kullanıcı uygulamaya da oturum açmaya çalıştığı zaman, aşağıdaki uyarı ile karşılaşıyor olacak.
Umarım faydalı olmuştur, keyifli okumalar.
Eline sağlık kardeşim. Çok güzel bir makale olmuş.