Bulutta etkili IAM, sıfır güven ilkelerine uygun olmalıdır


Günümüzün dijital ortamında, geleneksel güvenlik çerçevesi ortadan kalktı ve kimlik, savunmanın yeni ön cephesi haline geldi. Kuruluşlar bulut hizmetlerini ve uzaktan çalışma modellerini giderek daha fazla benimsedikçe, kimliklerin yönetilmesi ve güvenliğinin sağlanması çok önemli hale geldi. Etkili Kimlik ve Erişim Yönetimi (IAM) uygulamaları, BT departmanlarının siber saldırılara, kimlik avı girişimlerine ve fidye yazılımı tehditlerine karşı koruma sağlaması açısından önemlidir. Kuruluşlar, sağlam IAM stratejilerini uygulayarak yalnızca yetkili kişilerin kritik kaynaklara erişmesini sağlayabilir ve böylece potansiyel güvenlik risklerini azaltabilir. Odaklanmamız gereken en önemli konulara dalalım ve bunların tümü temel sıfır güven ilkeleriyle uyumludur.

Açıkça doğrulayın

Bulut teknolojisinin sürekli olarak benimsenmesini körükleyen ana faktörlerden biri, kaynaklara her yerden, herhangi bir cihazdan, günün herhangi bir saatinde erişimin benzersiz kolaylığıdır. Ancak pratik açıdan bakıldığında, erişim taleplerinin doğru kişi tarafından yapıldığını doğrulamadan bu düzeyde tartışmasız erişime izin vermek dar görüşlülük olacaktır. Sonuçta hâlâ kullanıcı adlarının ve şifrelerin sıklıkla kullanıldıkları cihazların yanına yazıldığı bir çağda yaşıyoruz. BT güvenlik ekipleri, özellikle tanınmayan ağ konumlarından erişime izin verme konusunda güven oluşturulabilmesi için bu erişim isteklerini açıkça doğrulamak için sağlam mekanizmalara sahip olmalıdır.

Bunun pratikte nasıl görünebileceğine dair bazı örnekler, isteklerin güvenliğini sağlamak için güçlü çok faktörlü kimlik doğrulama (MFA) yöntemlerinin kullanılması olabilir. Güçlü yöntemler arasında, bir akıllı cihazdaki seçtiğiniz kimlik doğrulama uygulamasındaki bir bildirim yoluyla (kilidi açılacak biyometriyi zaten kullanıyor) veya istek sahibinin, erişim sağlanmadan önce uygulamasına doğru cevabı manuel olarak girmesi için bir sayı eşleştirme istemi kullanılarak bir erişim isteğinin onaylanması yer alır. imtiyazlı. Bu yöntemler, saldırganların MFA istemlerini aşmak için kullandığı, SIM değiştirme ve MFA yorgunluğu gibi büyüyen tekniklerin bazılarının atlatılmasına yardımcı olur. MFA odaklı bu saldırı tekniklerinin ortaya çıkması, saldırganların ortaya çıkan güvenlik özelliklerinden her zaman bir adım önde olmaya çalışacağını göstermektedir.

Ancak kimlik güvenliği söz konusu olduğunda MFA her şeyin başı değil. Bu, güvenlik ekiplerinin saldırgan ile ortamı tehlikeye atma hedefi arasına koyması gereken ilk engeldir. Ne kadar çok engel mevcutsa, saldırganın pes etme ve “daha kolay” bir hedefe yönelme olasılığı da o kadar artar. MFA çoğu saldırganı caydıracaktır, ancak hepsini değil.

Kullanıcı ve Varlık Davranış Analizi (UEBA), ek bir güvenlik katmanı sağlayabilen başka bir modern tekniktir. Saldırganın karşılaştığı MFA engelini aşmayı başarmış olup olmadığına bakılmaksızın UEBA, bir kullanıcı bulut platformuyla etkileşim kurduğunda oluşturulan farklı ölçümleri sürekli olarak izler. Söz konusu kullanıcı için normal kabul edilenden herhangi bir sapmaya bir risk puanı atanır ve eğer yeterli sayıda anormallik yakalanırsa kullanıcıyı şifre sıfırlama deneyimine zorlayabilir, hatta güvenlik ekibi hesabın silindiğinden emin olana kadar hesabı tamamen kilitleyebilir. tehlikeye atılmadı.

Bu teknikler, IAM platformunun kimlik odaklı saldırılara karşı daha dayanıklı olmasını sağlamak için neler yapılabileceğinin küçük bir kısmını göstermektedir. Bunun gelecekte kaçınılmaz olarak ilerleyeceği yer, yapay zeka tarafından oluşturulan deepfake’lerin kullanımına karşı koruma olacaktır. Yapay zeka teknolojisi de herkes için daha erişilebilir hale geliyor; buna kötü aktörler de dahil! Orijinalliği kanıtlamak için gerçek zamanlı biyomimetik taramalar yapmak da dahil olmak üzere Microsoft Entra’daki Doğrulanmış Kimlik gibi özelliklerin kullanılması, yakında yaygınlaşacak ve birisi Cuma öğleden sonra CFO’dan ödeme için büyük faturaları onaylamak üzere bir çağrı aldığında bunu garanti altına alacak. , yapay zeka tarafından oluşturulan bir video görüşmesiyle değil, CFO’larıyla konuştuklarından emin olabilirler.

En az ayrıcalıklı erişimi kullan

Kuruluşlar büyüyüp geliştikçe, teknolojinin çalışmasını sağlamak için sağlanan izinler ve ayrıcalıklar da aynı şekilde gelişir. Zamanla kimlikler, çok özel görevleri yerine getirmek için çok büyük miktarlarda farklı alakart izinler biriktirebilir. Bu izinler düzenli olarak doğru boyutta değilse, bu, bazı kimliklerin BT ortamı üzerinde büyük miktarda güç taşıyabileceği anlamına gelebilir. Bu riski azaltmaya yardımcı olacak bazı kavramları ele alalım.

Rol Tabanlı Erişim Kontrolü (RBAC), belirli bir rol veya göreve uyacak şekilde önceden eşlenen izinleri ve ayrıcalıkları tutarlı bir şekilde sağlamanın bir yoludur. Bu önceden tanımlanmış roller, eldeki görev için doğru miktarda hakların sağlanmasını kolaylaştırır. Microsoft 365 ve Azure gibi bulut platformları, kullanıma hazır birçok rolle birlikte gelir, ancak aynı zamanda her kuruluşun ihtiyaçlarına uygun özel rollere de olanak tanır. RBAC rollerinin mümkün olduğunca kullanılması tavsiye edilir ve bir sonraki tekniğin uygulanmasında bu durum iki katına çıkar.

Tam zamanında (JIT) erişim, RBAC’ı bir adım daha ileri götürür. JIT erişimi, günün 24 saati yükseltilmiş izinler ve ayrıcalıklarla yığılmış kimliklere sahip olmak yerine, geçici olarak yükseltilmiş haklar verir. Microsoft Privileged Identity Management, bir JIT aracı örneğidir ve uygun kimliklerin izinlerini geçici olarak önceden belirlenmiş bir RBAC rolüne yükseltmesine olanak tanır ve onaylar, MFA onayının zorunlu kılınması, e-posta bildirimleri veya özelleştirme seçenekleri gibi ek denetimler ve dengeleri ne kadar süreyle kapsayabilir? bireyler belirli izinlere erişebilir. Sonuçta bu, daha yüksek ayrıcalıklara erişimi olan hesapların güvenliğinin ihlal edilmesi durumunda, kötü niyetli kişinin bu izinlerden yararlanabileceği anlamına gelmediği anlamına gelir.

Hak ve izinleri doğru boyutta tutmak için modern IAM tekniklerini ve teknolojilerini kullanmanın yanı sıra, iyi kimlik hijyeni uygulamalarını sağlayacak süreçlerin mevcut olduğundan emin olmak da önemlidir. Bu pek çok biçimde olabilir, ancak Microsoft Entra çözümlerine odaklanırsak, bu süreçlerin manuel bir çabadan daha sorunsuz çalışmasına yardımcı olabilecek iki özel aracı vurgulayabiliriz. İlk olarak, erişim incelemeleri bir ortamdaki kimlikleri periyodik olarak kontrol etmek ve yükseltilmiş haklarını kimlerin kullanıp kullanmadığına dair bir gösterge sağlamak için kullanılabilir. Bu, hizmet sahiplerine kimlerin izin gruplarında bırakılıp bırakılmayacağı konusunda karar verme yetkisi verir. Bu aynı zamanda Entra B2B aracılığıyla kiracınıza davet edilen dış işbirlikçileri denetlemenin harika bir yoludur.

Erişim Paketleri, izin etkinleştirmeyi standart tutmanın başka bir yoludur. Uygulamalar, gruplar, bulut hizmetleri ve daha fazlası tek bir pakette gruplandırılabilir; örneğin Giriş Düzeyi Muhasebe, bordro yazılımına erişim, birden fazla SharePoint sitesine görüntüleyici erişimi ve belirli bir Microsoft Ekibine erişim sağlayan oluşturulmuş bir paket olabilir. Söz konusu kişi erişim paketinden kaldırıldığında, örneğin departman değiştirecekse veya terfi alacaksa, bu tek Erişim Paketinden kaldırılması, hizmet paketine ilişkin tüm ilişkili erişimi kaldıracaktır. Bu, belirli bir kimlik üzerinde durağan izinlerin birikme olasılığının daha düşük olduğu anlamına gelir.

İhlal olduğunu varsayalım

Mevcut en iyi güvenlik araçlarına rağmen kuruluşlar saldırılara karşı hiçbir zaman %100 bağışıklık kazanamaz. Bu gerçekle yüzleşmek başarılı bir güvenlik stratejisinin önemli bir parçasıdır. Her zaman bir ihlalin mümkün olduğunu varsaymak ve saldırılara yanıt vermenin göz korkutucu bir deneyim olmaması için dayanıklılığınızı artırmak önemlidir. Burada yardımcı olmak için birkaç kavram tanıtılabilir.

İlk olarak, sürekli kimlik doğrulama fikrinin benimsenmesi önemlidir. “X kullanıcısı bir MFA isteğini başarıyla gerçekleştirdi, bu nedenle istedikleri tüm erişimi vereceğim” zihniyetini benimsemek yerine, bu makalede zaten ele alınan bazı kavramları tamamlıyor gibi görünüyor, ancak daha önce vurgulandığı gibi saldırganlar, Her zaman güvenlik araçlarının bir adım önüne geçmeye çalışacağız ve bu nedenle, kullanıcı her şeyi doğru yapıyor gibi görünse bile erişime sınırlama getirilmesi hayati önem taşıyor. Hiçbir şey bunu, özellikle de içeriğe kuruluş ağı sınırlarının dışından erişiyorsanız, kullanıcıların maruz kalacağı oturum açma sıklığını değiştirmekten daha iyi yapamaz. Ancak, sağlam güvenlik uygulamalarının uygulanması ile kullanıcı deneyimini hayal kırıklığına uğratacak kadar etkilemek arasında kurulması gereken önemli bir denge olduğunu unutmayın.

Uyarlanabilir Erişim Kontrolleri, erişim istekleri konusunda karar almayı harekete geçirmek için de kullanılabilir. Örneğin, X Kullanıcısı, kurumsal ağ sınırı dahilinde, her gün kullandıkları bir SaaS platformunda kayıtlı cihazından oturum açıyorsa bu, minimum düzeyde risk oluşturur. Burada çoğu durumda erişim izni verilmelidir. Ancak, tanınmış bir anonim VPN platformu olan harici bir IP adresinden, kayıtlı olmayan bir cihazda oturum açan ve SharePoint’ten büyük miktarda bilgi indirmek isteyen B Kullanıcısını ele alalım. Bu meşru bir talep olabilir, ancak aynı zamanda kimlik ihlalinin işaretleri de olabilir ve Entra ID Protection’daki Oturum Açma veya Risk politikaları gibi gerçek zamanlı uyarlanabilir kontroller, bu senaryolarda kaynakların daha iyi korunmasına yardımcı olabilir.

Özetle, IAM odaklı sıfır güven güvenlik modelinin uygulanması siber saldırılar, kimlik avı ve fidye yazılımlarıyla mücadele için çok önemlidir. Açıkça doğrulama, en az ayrıcalık ve ihlali üstlenme gibi ilkeleri benimseyen kuruluşlar, ağlarında yetkisiz erişim ve yanal hareket riskini önemli ölçüde azaltabilir. MFA, JIT erişimi ve UEBA gibi teknolojiler bu ilkelerin uygulanmasında önemli bir rol oynamaktadır. Ayrıca sürekli izleme, kimlik analitiği ve yanıltma teknolojileri, olası ihlallerin hızlı bir şekilde tespit edilmesine ve bunlara yanıt verilmesine yardımcı olarak sağlam ve dayanıklı bir güvenlik duruşu sağlar.



Source link