GenelSiber Güvenlik

Kritik Oturumlar için Entra ID’nizi Daha Güvenli Hale Getirecek Yedi Cıvata Bağlantısı

teknomers
teknomers


Contents

09 Aralık 2024Hacker HaberleriKimlik Güvenliği / Şifresiz

Kimlik güvenliği şu sıralar revaçta ve haklı olarak da öyle. Bir kuruluşun kaynaklarına erişen kimliklerin güvenliğini sağlamak sağlam bir güvenlik modelidir.

Ancak kimliklerin de sınırları vardır ve bir işletmenin güçlü bir kimliğe başka güvenlik katmanları eklemesi gereken birçok kullanım durumu vardır. SSH İletişim Güvenliği olarak bugün bunun hakkında konuşmak istiyoruz.

Ayrıcalıklı kullanıcılara yönelik kritik ve hassas oturumlar için diğer sistemlere bağlantı olarak ek güvenlik kontrolleri eklemenin yedi yoluna bakalım.

Bolt-on 1: Yüksek etkili kimlikler için erişimi güvence altına alma

Güçlü kimlik, ayrıcalıklı erişimde önemli bir öğe olduğundan modelimiz, Microsoft Entra ID gibi kimlik ve erişim yönetimi (IAM) çözümleriyle yerel olarak entegre olmaktır. IAM’yi kimlikler ve izinler için bir kaynak olarak kullanıyoruz ve kuruluşunuzun Entra ID’de kimlikler, gruplar veya izinlerle ilgili tüm değişiklikler konusunda gerçek zamanlı olarak güncel kalmasını sağlıyoruz.

Yerel entegrasyon, bir kullanıcının IAM’den kaldırılması durumunda tüm erişim ayrıcalıkları ve oturumların anında iptal edilmesi nedeniyle, katılma-taşıma-ayrılma sürecinin otomatikleştirilmesine olanak tanır. Bu, İK ve BT süreçlerini senkronize halde tutar.

Çözümümüz, Entra ID’de barındırılan güvenlik gruplarını rollerle eşleştirir ve bunları ayrıcalıklı kullanıcılar için rol tabanlı erişim kontrolü (RBAC) için uygular. Kimlik olmadan rol bazlı erişim kurulmaz.

Rollere bağlı kimliklerle, IAM’lerde bulunmayan aşağıdaki gibi ek güvenlik kontrollerini devreye alıyoruz:

  • Ayrıcalık Yükseltme ve Delegasyon Yönetimi (PEDM) Şirketlerin görevler için ayrıntılı kontroller kullanmasına olanak tanır ve yalnızca doğru süre boyunca en az ayrıcalıkla yeterli erişim sağlar. Erişim, sunucuların tamamı yerine belirli görevler, uygulamalar veya komut dosyalarıyla sınırlandırılabilir.
  • Ayrıcalıklı hesap keşfi Yerel Yönetici Hesapları ve Unix ve Linux yönetici hesapları dahil olmak üzere bulut, hibrit ve şirket içi ortamlardan.
  • İzole ve bağımsız kimlik kaynağı: Bir kuruluş, örneğin IAM’lerine üçüncü taraf kimliklerini eklemek istemiyorsa.
  • İlave bir doğrulama adımı olarak kritik hedeflere erişimi onaylamak için harici yönetici yetkilendirmesi
  • Parolasız ve anahtarsız yol: Parolalar ve kimlik doğrulama anahtarları gibi paylaşılan kimlik bilgileri riskini, gerektiğinde bunları yöneterek veya parolalar ve anahtarlar olmadan tam zamanında erişime geçerek azaltın.
  • Oturumların günlüğe kaydedilmesi, izlenmesi, kaydedilmesi ve denetlenmesi Adli tıp ve uyumluluk için.
Kimlik Güvenliği

Bolt-on 2: BT ve OT’de hibrit bulut güvenliği için kullanımı kanıtlanmış, geleceğe yönelik bir çözüm

Çok yönlü bir kritik erişim yönetimi çözümü, BT ortamlarından daha fazlasını yönetebilir. Şunları sağlayabilir:

  • Merkezi erişim yönetimi BT ve OT’de hibrit buluta geçiş: Herhangi bir ortamda herhangi bir kritik hedefe erişmek için aynı, tutarlı ve tutarlı mantığı kullanın.
  • Bulut, şirket içi ve OT varlıklarının otomatik keşfi: Kolay erişim yönetimi için varlık mülkünüze otomatik olarak küresel bir görünüm kazandırın.
  • Çoklu protokol desteği: IT (SSH, RDP, HTTPS, VNC, TCP/IP) ve OT (Ethernet/IP, Profinet, Modbus TCP, OPC UA, IEC61850) desteklenmektedir.
  • Ayrıcalıklı Uygulama güvenliği: Ayrıcalıklı uygulamaları (GitHub depoları gibi) barındırdığınızda, her erişim için ayrıntılı güvenlik kontrolleri uygularız.
  • Kritik bağlantılar için tarayıcı izolasyonu HTTP(S) üzerinden: Kaynakları kullanıcılardan ve kullanıcıları da kaynaklardan korumak için kaynaklara kullanıcı web erişimini kontrol etmek amacıyla hedeflere izole oturumlar oluşturmak.

Bolt-on 3: Güvenlik kontrolü bypassını önleme

En yaygın erişim kimlik bilgilerinden bazıları olan SSH anahtarları, Entra ürün ailesinin yanı sıra geleneksel PAM araçları tarafından da tespit edilmez. Büyük BT ortamlarında, uygun gözetim veya yönetim olmadan, Secure Shell (SSH) protokolü üzerinden binlerce oturum çalıştırılıyor. Bunun nedeni, SSH anahtarlarının şifreleri yönetmek için oluşturulmuş çözümlerle iyi çalışmaması nedeniyle, uygun SSH anahtar yönetiminin özel uzmanlık gerektirmesidir.

SSH anahtarları, aynı zamanda erişim kimlik bilgileri olsa da, onları parolalardan ayıran bazı özelliklere sahiptir:

  • SSH anahtarları varsayılan olarak kimliklerle ilişkilendirilmez.
  • Hiçbir zaman süreleri dolmaz.
  • Uzman kullanıcılar tarafından oluşturulması kolaydır ancak daha sonra takip edilmesi zordur.
  • Genellikle şifrelerin sayısını 10:1 oranında aşıyorlar.
  • İşlevsel olarak parolalardan farklıdırlar, bu nedenle parola odaklı araçlar bunları işleyemez.

Yönetilmeyen anahtarlar ayrıca şunlara da yol açabilir: ayrıcalıklı erişim yönetimi (PAM) atlaması. Bunu aşağıda anlattığımız yaklaşımımızla önleyebiliriz:

Kimlik Güvenliği

Bolt-on 4: Parolalar ve anahtarlar olmadan daha iyi; ayrıcalıklı kimlik bilgileri yönetimi doğru şekilde yapılır

Parolaları ve anahtarları yönetmek iyidir ancak parolasız ve anahtarsız geçiş elittir. Yaklaşımımız, ortamınızın hiçbir yerde, hatta kasalarda bile parolalara veya anahtar tabanlı güvenlere sahip olmamasını sağlayabilir. Bu, şirketlerin tamamen kimlik bilgisi gerektirmeyen bir ortamda faaliyet göstermesine olanak tanır.

Kimlik Güvenliği

Faydalarından bazıları şunlardır:

  • Çalınacak, kaybedilecek, kötüye kullanılacak veya yanlış yapılandırılacak kimlik bilgileri yoktur
  • Daha az işlem ve kaynak için şifreleri veya anahtarları değiştirmeye gerek yok
  • Kasaların çalışması için sunucudaki üretim komut dosyalarını değiştirmenize gerek yok
  • Şirketiniz kimlik doğrulama anahtarlarını kontrol altına alır; genellikle parolalardan daha fazla dikkat gerektirirler

Genel olarak, parolasız ve anahtarsız kimlik doğrulama, bir sonraki bölümde açıklandığı gibi, geleneksel PAM araçlarıyla elde edilemeyen performans düzeylerine olanak tanır.

Bolt-on 5: Otomatik bağlantıların uygun ölçekte güvence altına alınması

Makineler, uygulamalar ve sistemler birbirleriyle örneğin şu şekilde konuşur:

  • Uygulamadan uygulamaya bağlantılar (A2A): Makineler, API’ler aracılığıyla veri gönderip alır ve uygulama sırlarını kullanarak kimliklerini doğrular.
  • Dosya aktarımları: Makineden makineye dosya aktarımları, farklı sunucuların kritik bilgileri, insanlar bu gizli verileri okumadan paylaşmasına yardımcı olur.
  • Uygulamadan uygulamaya zamanlanmış toplu işler: Toplu iş, birden fazla işi insan müdahalesine gerek duymadan aynı anda çalıştırmak için oluşturulan zamanlanmış bir programı ifade eder.

IAM’ler çoğu zaman makine bağlantılarını hiçbir şekilde yönetemez ve geleneksel PAM’ler bunları geniş ölçekte yönetemez. Çoğu zaman bunun nedeni, SSH tabanlı bağlantıların kimliğinin, geleneksel PAM’lerin iyi yönetemediği SSH anahtarları kullanılarak doğrulanmasıdır. Yaklaşımımızla, büyük ölçüde bölüm 4’te açıklanan kimlik bilgileri gerektirmeyen yaklaşım nedeniyle, kimlik bilgilerinin uygun yönetim altında olmasını sağlarken, otomatik bağlantılar geniş ölçekte güvence altına alınabilir.

Bolt-on 6: Kim neyi, ne zaman yaptı – uyumluluk açısından denetleyin, kaydedin ve izleyin

Entra ID gibi çözümler uygun bir denetim izinden yoksundur. İçinde eksik olan ancak çözümümüzde bulunan tipik özellikler şunlardır:

  • Denetim olaylarını görüntülemek için kontrol panelleri
  • Düzenlemelere uyum için politika raporları
  • Gerektiğinde dört göz muayenesi için oturum kaydı ve izleme olanağı
  • Kullanıcı Varlık ve Davranış Analizi (UEBA), davranışa, konuma, zamana, cihaza ve cihazın güvenlik durumuna göre oturumlardaki anormallikleri tespit etmek için yapay zeka ve makine öğrenimini temel alır.

Bolt-on 7: Siteler, ağlar ve bulutlar arasında kuantum güvenli bağlantılar

Kuantum açısından güvenli bağlantılar yalnızca bağlantılarınızı kuantum bilgisayarlara karşı bile geleceğe hazır hale getirmekle kalmaz, aynı zamanda büyük ölçekli verileri iki hedef arasında güvenli bir şekilde iletmenin uygun bir yoludur.

  • Sunucularda iz bırakmayan kuantum güvenli uçtan uca şifreleme tünelleriyle açık genel ağlar üzerinden her türlü bağlantıyı güvenli hale getirin
  • Her türlü veriyi veya protokolü (şifrelenmemiş olsa bile) kuantum açısından güvenli bir tünel içine alın
  • Veri egemenliği: Bağlantılar için özel şifreleme anahtarlarını kullanarak kendi sırlarınızı yönetin
  • Verileri ağ topolojisinin daha derin katmanlarında taşıyın: Katman 2 (veri bağlantı katmanı) veya Katman 3 (ağ katmanı)

PrivX Zero Trust Suite – Kritik Bağlantılar için Microsoft Entra Ürün Ailesi İçin En İyi Bağlantılı Çözüm

Microsoft Entra ID gibi IAM’ler ne kadar harika olsa da, yüksek riskli hedeflere erişen yüksek etkili kullanıcılar için olmazsa olmaz özelliklerden yoksundurlar. Bizim PrivX Sıfır Güven Paketi Eş zamanlı olarak bile çok sayıda IAM ile yerel olarak bütünleşir ve yalnızca kimliğin yeterli olmadığı durumlar için işlevlerini genişletir.

Demo için bizimle iletişime geçin Üretim ortamlarına yönelik vidaları sıkmak için neden kritik bir güvenlik çözümünü Entra IAM’inize vidalamanız gerektiğini öğrenmek için.

Kimlik Güvenliği



siber-2

Kullanıcıları memnun etmeyecek olan işlemcinin ücretsiz hız aşırtması. AMD grafik sürücüsü, CPU için BIOS ayarlarını kendi başına değiştirir
Blizzard, Blizzcon 2023’te üç World of Warcraft genişletme paketini duyurdu
DNS Saldırılarına Karşı Savunmasız Hava Boşluklu Ağlar
Nvidia, Grace Hopper platformunu temel alan süper bilgisayarlarını duyurdu: AI için 200 ExaFLOPS
Microsoft, şirketin %4’ünden az olan 9,000 çalışanını işten çıkaracak.
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Ryzen Master artık sistemi yeniden başlatmadan EXPO profili etkinleştirmeyi destekliyor; yeni sürüm aynı zamanda Zen ve Zen+ Threadripper CPU desteğini de bırakıyor
Sonraki Makale X, yeni görüntü oluşturucusu Aurora’nın hafta içinde tüm kullanıcılar için yayınlanacağını söyledi

Sanal Medya

Son Eklenenler

Yeni Bir Macera: Spyro Ejderha, 20 Yıl Sonra Geri Dönüyor
Oyun
Kritik: VS Code, Tedarik Zinciri Saldırılarını Önlemek İçin Gecikme Getirdi
Siber Güvenlik
XRP Fiyatında Stabilizasyon: Dört Aylık Düşüklerin Üzerinde $1.10
Finans
5 Dakikada Üretime Hazır Bir Restoran POS Sistemi Oluşturma (Claude AI + Laravel)
Yazılım
Acil! Meta AI Destek Hatasıyla 20.000’den Fazla Instagram Hesabı Çalındı
Siber Güvenlik
Avrupa’nın Amerikan Teknolojisinden Kurtulma Yöntemleri Neler?
Genel