Microsoft, “mevcut en etkili güvenlik önlemlerinden biri” olan çok faktörlü kimlik doğrulamayı (MFA) tüm Azure oturum açma işlemleri için zorunlu hale getiriyor.
Azure için zorunlu MFA’ya hazırlanma
Değişimin iki aşamada gerçekleşmesi planlanıyor:
- Ekim 2024: Azure portalında, Microsoft Entra yönetim merkezinde ve Intune yönetim merkezinde oturum açmak için MFA gerekecek (tüm kiracılar için kademeli olarak kullanıma sunulacak)
- 2025 başı: Azure Komut Satırı Arayüzü (CLI), Azure PowerShell, Azure mobil uygulaması ve Altyapı Olarak Kod (IaC) araçları için oturum açmak üzere MFA gerekli olacak.
“Uygulamalara giriş yapan tüm kullanıcılar […] Microsoft, herhangi bir Oluşturma, Okuma, Güncelleme veya Silme (CRUD) işlemini gerçekleştirmek için uygulama başladığında MFA gerekeceğini açıklıyor. Azure’da barındırılan uygulamalara, web sitelerine veya hizmetlere erişen ancak listelenen uygulamalarda oturum açmayan son kullanıcıların MFA kullanması gerekmiyor” diye açıklıyor.
İş yükü kimlikleri (örneğin yönetilen kimlikler ve hizmet sorumluları) MFA uygulamasından etkilenmeyecektir.
Kuruluşlar, Microsoft Entra aracılığıyla MFA’yı şu şekilde etkinleştirebilir:
- FIDO2 güvenlik anahtarları
- Sertifika tabanlı kimlik doğrulama (kişisel kimlik doğrulama ve ortak erişim kartı kullanılarak)
- Parolalar (Microsoft Authenticator kullanılarak)
- Mobil uygulamadan push bildirimleri, biyometri veya tek seferlik parolalar (Microsoft Authenticator aracılığıyla) kullanılarak oturum açma
- SMS tabanlı kimlik doğrulama veya sesli arama doğrulaması (mümkünse kaçınılması gereken en az güvenli seçenek)
Azure Compute Ürün Yöneticileri Naj Shahid ve Bill DeForeest, “Harici çok faktörlü kimlik doğrulama çözümleri ve federasyon kimlik sağlayıcıları desteklenmeye devam edecek ve MFA talebi gönderecek şekilde yapılandırılmışlarsa MFA gereksinimini karşılayacaklar” dedi.
Oturum açma işlemleri için zorunlu MFA’ya hazırlanmak için ek zamana ihtiyaç duyan müşterilere (örneğin karmaşık ortamlar veya teknik engeller nedeniyle) 15 Mart 2024’e kadar geçici bir erteleme verilecektir. Küresel Yöneticilerin, başlatma verilerini ertelemek için (Azure portalı üzerinden) 15 Ekim 2024’e kadar süreleri vardır.
Arttırılmış güvenlik için baskı
Microsoft, daha önce kurumsal hesaplar için MFA kullanımını artırmak amacıyla Entra ID’de (eski adıyla Azure Active Directory) Microsoft tarafından yönetilen Koşullu Erişim politikalarını kullanıma sunmuştu.
Bu son adımın amacı, Azure müşterileri için hesap ihlali ve veri ihlali riskini azaltmak ve uyumluluğa (PCI DSS, HIPAA, GDPR ve NIST) yardımcı olmaktır.
“Bugünden itibaren Microsoft, tüm Entra global yöneticilerine e-posta ve Azure Hizmet Sağlığı Bildirimleri aracılığıyla 60 günlük bir ön bildirim göndererek, yaptırımın başlangıç tarihini ve gerekli eylemleri bildirecek. Ek bildirimler Azure portalı, Entra yönetim merkezi ve M365 mesaj merkezi aracılığıyla gönderilecek,” diye sonlandırdı Shahid ve DeForeest.