Son zamanlarda Microsoft’un güvenlik alanındaki gelişmeleri gerçekten olumlu yönde ilerliyor ve yakından takip ediyorum. Bir gün Azure portalında güvenlik ayarlarına göz attığımda bir güvenlik skoru fark ettim ve bu skor sıfır olarak görünüyordu. Bu durum beni şaşırttı ve güvenliğimin ne kadar düşük olduğuyla ilgili endişelerim oluştu.
Başlangıçta küçük bir altyapı kullanıyordum, ancak daha büyük bir altyapıya sahip olsaydım endişelenmeli miydim? Bu soruların cevaplarını aramaya başladım ve bir arkadaşımın %100 bir güvenlik skoruna sahip olduğunu gördüm. Detayları incelemeye başladığımda, Microsoft’un bizi zaten pasif bir şekilde koruduğunu, ek koruma ve hizmetlerin mevcut olduğunu tekrar hatirlamış oldum. Ancak, bu tek başına yeterli değil.
Microsoft, bu güvenlik skoruyla güvenliğimizi daha da sıkılaştırmamızı teşvik ediyor ve bu konuda daha fazla çaba sarf etmemiz gerektiğini vurguluyor.
100% güvenli kimlik skoru nedir ve neden önemlidir?
Microsoft, iyi yapılandırılmış bir tenantın göstergesi olarak kullanmanız için bir dizi güvenli puanı verir. Kimlik güvenli skoru çok önemlidir çünkü çoğu saldırı hesapların ele geçirilmesi veya sosyal mühendislikle başlar ve hesapların ele geçirilmesine yol açar.
%100 bir güvenli skor elde etmek için neler gereklidir?
Dürüst olmak gerekirse, buraya kazara geldik. Mükemmel bir skor elde etmeye çalışmıyordum. Aslında, kimlik için güvenlik özelliklerini koruyabilmek için mümkün olan kadar çok güvenlik özelliğini uygulamaya çalışıyordum, böylece sistemlerimi ve ürün ortamımı özellik hizmet verdiğimiz müşterilerimizi kendimizden korumak için iyi bir adımdı çünki hedef herzaman müşteri tarafı olmuyor kurumlar hizmet sektörleri daha çok hedef alınıyor.
Siz de %100 güvenli bir skora sahip olabilirsiniz
Ancak güvenli skorunuzun mükemmel olduğu anlamına gelmez. %100 ne anlama geliyor, tam olarak emin değilim, ancak hepimiz güvenlik konusunda mükemmel ve %100 bir şeyin olmadığını biliyoruz.
Şimdi ise bi kaç öneri ve tavsiye ile skorumuzu nasil yükselteceğimize gelelim
Azure AD portalında “Kimlik Skoru” menü öğesine tıklayın. Sizi bu URL‘ye götürecektir:
Bu sayfada ihtiyacınız olan bilgiler bulunmaktadır. Kimlik güvenliği için yapılandırılması gereken öğelerin bir listesi bulunmaktadır. “Columns” öğesine tıklayarak “Current Score” ve “Max Score” sütunlarını ekleyin. Şimdi kimlik güvenliğinizin hangi alanlarda çalışması gerektiğini görebilirsiniz. %100’ü elde etmek için her birini uygulamanız gerekecek (Azure AD-Entra lisansiniz el verdiğince max güvenlik için P2 taviye ederim)
Burada gördüğünüz Top recommenden actions dan ilerleye bilir yada sizin belirleyeceğiniz ayarlar ile devam edebilirsiniz ama ben tavsiye edilenler ile ilerledim.
Bir dizi güvenlik önlemi alarak Azure’da birden fazla global yönetici hesabı belirledik. Bu, genellikle birçok kuruluşta yaygın olan bir uygulamadır. Ancak, özellikle dikkat ettiğimiz birkaç önemli nokta var:
- Sıkı Şifre Politikası: İlk olarak, global yönetici hesaplarının hepsinin güçlü şifrelerle korunmasını sağladık. Özellikle biri, sanki nükleer füze ateşliyormuş gibi 200+ karakterli bir şifre ile korunuyor. Bu, hesabın güvende olduğunu garanti altına alıyor.
- Sınırlı Yetkiler: Her bir global yönetici hesabını, gereksiz yetkilere sahip olmamaları için düzenledik. Çoğu rollerden ve yetkilerden muaf tuttuk, yani sadece ihtiyaç duydukları yetkilere sahipler.
- Kritik Hesap: Özellikle dikkat ettiğimiz bir hesap, diğerlerine göre daha yüksek bir güvenlik seviyesine sahiptir. Bu hesap, sadece en kritik görevleri gerçekleştirmek için kullanılır ve 200+ karakterli şifresi ile güçlü bir şekilde korunur.
- Acil Durum Planı: Olası bir güvenlik ihlali durumunda, Microsoft’un o hesabı geri vermemesi riskine karşı bir acil durum planı oluşturduk. Bu plan, 200 karakterli şifreli hesabımızı kullanarak Azure portalına hızlı bir şekilde erişip durumu kontrol altına almamızı içerir.
Bu önlemler, global yönetici hesaplarının güvenliğini artırmamıza yardımcı oluyor ve olası güvenlik sorunlarına karşı hazırlıklı olmamızı sağlıyor.
“Güvenlik açısından önemli bir adım atarak, kullanıcıların güvenilir olmayan uygulamalara erişimine izin vermemek için bir politika uygulamaya başladık. Bu adım, kullanıcılarımızın güvenliklerini artırmamıza ve olası güvenlik tehditlerini azaltmamıza büyük ölçüde yardımcı oluyor.
Microsoft’un bu politikaya sadece 11 puan verdiğini görmek beni oldukça şaşırttı çünkü bu, güvenliği artırmak için çok etkili bir önlem. Politikayı uygulamak için, Kurumsal Uygulamalar policy yapılandırmamız gerekti. Bu policy, kullanıcıların güvensiz veya güvenilir olmayan uygulamalara izin vermesini sınırlamamıza yardımcı oluyor.
Daha fazla güvenlik sağlamak ve IT’nin etkisini azaltmak istediğimizden, kullanıcıların yeni bir uygulama eklemek istediklerinde yönetici onayı talep etmek zorunda kaldığı bir yönetici iş akışını bu policy dahil ettik. Bu, uygulamaların dikkatlice incelenmesini ve potansiyel güvenlik risklerinin en aza indirilmesini sağlıyor.
Kullanıcıların şifrelerini süresiz olarak kullanmasını kapattık. Bu karar, bazı düzenleyici gerekliliklere uyum sağlama açısından zor oldu, ancak güvenlik açısından daha sağlam bir yaklaşım istediğimiz için bunuda yaptık skor boardımıza 15 puan daha kazandık.
Eski kimlik doğrulama yöntemleri NTLM , kerbeos , basicauth vs. bunlari ile sisteme erişimleri engelledim bunu policy ile yapiyoruz hazir şablonu azure portalda var kendinize göre editleyebilirsiniz burdanda güzel bir skor aldım
MFA doğrulama sms , mobil auth app ile bunları zorunlu kıldım ve ciddi bir skor artışı yakaldım
Benim AD P2 lisansim vardı burdada Microsoft’un kullanıcının davranışının olağandışı olduğunu ve gerçekte kendileri olmayabileceğini tespit ettiğinde kullanıcının kimlik doğrulamasını engelleyebilecek veya ikinci bir kez MFA için uyarabilecek bir koşullu erişim policy uyguladım.
Extra lisansim olduğu için password write back açtim kullancılarımın kendi parolalarını resetlemek ve zure AD Connect ile sync olduğu için LDAP vs entegre olan diğer sistemler için tek parola ve MFA doğrulama tek elden tek yerden hesap yönetimi yapabilmemizi extra account yükünden kurtulmamizi sağladim
AD kullanıcılarımın tek tek MFA doğrulamasini yapmasini biraz bekledim bi kaç gün sürdü MFA sız hesap kalmadı ki yazdiğimiz policy ile bunu engellemiştik sistemi kimseyi sokturmayinca hizlica MFA işlemlerini tamamlıyor kullanicilar.
Bu önerilen policyleri uyguladığımda, Microsoft’un önerilerine göre kimliği güvence altına almış oldum ve %92 güvenli bir skora ulaşmış oldum %100 için zorluyorum ilerleyen günlerde daha detayli ve policy ile ilgili bir makale yazacağim hizlica sizlere önerilen güvenlik adimlarini yapmanızı şiddet ile tavsiye ederim.
Eline sağlık.