CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Microsoft Defender for Cloud Apps ile Bulut Uygulama Güvenliğini Artırma

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Microsoft Defender for Cloud Apps, bulut uygulamalarının güvenliğini sağlamak için etkili bir çözümdür. Bu yazıda, CASB uygulamalarının önemini keşfedin.

Microsoft Defender for Cloud Apps ile Bulut Uygulama Güvenliğini Artırma

Bulut uygulamalarında güvenlik açıklarını kapatmak için Microsoft Defender for Cloud Apps çözümünü etkili bir şekilde kullanmayı öğrenin. CASB ile gölge BT keşfi, uygulama yönetimi ve daha fazlasını keşfedin.

Giriş ve Konumlandırma

Bulut bilişim, günümüz dijital çağında kurumların veri yönetiminde devrimsel bir değişim sağlamıştır. Ancak, bu teknolojinin getirdiği esneklik ve verimlilik, beraberinde siber güvenlik risklerini de getirmektedir. Microsoft Defender for Cloud Apps, bu noktada önemli bir güvenlik katmanı sunarak, bulut uygulamalarına yönelik potansiyel tehditleri minimize etmede kritik bir rol oynamaktadır.

CASB Nedir?

Cloud Access Security Broker (CASB), kurumların bulut ortamlarında gerçekleştirdikleri işlemleri güvence altına almak amacıyla kullanıcının ve bulut sağlayıcısının arasına konumlanan bir güvenlik yapılandırmasıdır. CASB, kullanıcıların bulut uygulamalarını nasıl kullandıklarını kontrol ederken aynı zamanda veri sızıntılarını önleme, politika uygulama ve tehdit algılama gibi kritik işlevleri yerine getirir.

Microsoft Defender for Cloud Apps, kullanıcı davranışlarını izlerek ve yöneterek, hem onaylı hem de onaysız uygulamalarda veri güvenliğini sağlamak için entegre araçlar sunar. Böylece, kurumlar veri sızıntıları ve kötü niyetli uygulamalarla mücadele ederken, bilgi güvenliği standartlarına uyum sağlamış olur.

Neden Önemli?

Günümüz iş dünyasında, "gölge BT" olarak adlandırılan, IT departmanı tarafından onaylanmamış uygulamaların yaygın kullanımı, işletmelerin veri güvenliğini tehdit eden bir durum haline gelmiştir. Gerçek zamanlı izleme yapmadığı takdirde kurumlar, çalışanlarının hangi uygulamaları kullandığını ve bu uygulamalar aracılığıyla hangi verilere eriştiğini göremez hale gelir.

Microsoft Defender for Cloud Apps, bu tür tehditleri görünür kılar. Uygulamaların izin yönetimini ve veri kullanımı analizlerini gerçekle bir araya getirerek, kurumlar için proaktif bir güvenlik yaklaşımı benimser. Kullanıcıların erişim düzeylerini belirlemek ve riskli uygulamalara veri erişimini sınırlamak, güvenlik düzeyini artırmada kritik öneme sahiptir.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlam

Siber güvenlik açısından, CASB çözümleri, yalnızca bir güvenlik aracı değil, aynı zamanda bir saldırı yüzeyi yönetim çözümüdür. Bu bağlamda, güvenlik ekipleri, bulut uygulama güvenliği konusunu siber savunmanın bir parçası olarak görmelidir. Linux ya da Windows işletim sistemlerine yönelik yapılan penetrasyon testleri (pentest), bulut uygulamaları için de aynı şekilde uygulanmaktadır.

Bir örnek vermek gerekirse, Microsoft Defender for Cloud Apps, API bağlantıları aracılığıyla uygulama güvenliğini sağlamanın yanı sıra, onaysız uygulamalar için otomatik güvenlik kuralları oluşturabilir. Bu yapı, olası bir siber saldırı durumunda, hangi uygulamalara erişimin ne denli tehlikeli olabileceğini değerlendirerek, güvenlik ekiplerine önemli veriler sunar.

Sadece Teknoloji Değil, İş Süreçleriyle Entegrasyon

Microsoft Defender for Cloud Apps, teknik özellikleri ile sınırlı kalmayıp, iş süreçleriyle entegrasyon sağlayarak etkin bir güvenlik yönetimi sunar. Uygulama yönetişimi (App Governance) ile kullanıcı izinlerinin merkezi yönetimi, potansiyel veri kayıplarını önlemede önemli rol oynar. Kelime tabanlı tarama ve duyarlılık etiketleri, bilgi koruma stratejilerinin merkezinde yer almakta olup, kullanıcıların ne tür verilere eriştiğini denetlemekte hayati bir rol oynamaktadır.

Sadece siber güvenlik tehditlerini tespit etmekle kalmayıp, bu tehditlerin etkilerini minimize etmek ve önleyici tedbirler almak için Microsoft Defender for Cloud Apps, çeşitli araçlar ve analiz panelleri sunmaktadır. Uygulama analizleri, kullanıcı aktivitelerini detaylı bir şekilde gözlemlemeye olanak tanırken, kullanıcıların hangi durumlarda riskler oluşturabileceğini keşfetmeye yardımcı olur.

Sonuç Olarak

Microsoft Defender for Cloud Apps, bulut uygulamalarında güvenliği artırmak için kapsamlı bir çözüm sunmaktadır. Bu makalede ele aldığımız konular, okuyucuları siber güvenlik alanındaki gelişmelere ve bulut güvenliği stratejilerine hazırlayıcı bir ön bilgi sağlamayı amaçlamaktadır. Gelecek bölümlerde, CASB'nin sunduğu çeşitli özellikleri ve işlevsellikleri daha derinlemesine inceleyeceğiz. Kullanıcı güvenliği ve veri korunma yöntemlerini anlamak, hiç olmadığı kadar önemlidir.

Teknik Analiz ve Uygulama

CASB Nedir?

Microsoft Defender for Cloud Apps, bulut uygulamalarını güvenli bir şekilde yönetmeye yönelik bir güvenlik katmanı olarak öne çıkmaktadır. Cloud Access Security Broker (CASB) olarak bilinen bu yapı, bulut ortamlarında kullanıcı ve bulut sağlayıcı arasında konumlanarak güvenliği artırır. CASB, kullanıcıların bulut tabanlı hizmetlerle etkileşimde bulunduğu süreçte risk analizi yapar ve organizasyonun güvenlik politikaları çerçevesinde uygulamaları denetler.

Shadow IT Discovery (Gölge BT Keşfi)

Gölge BT, resmi olarak onaylanmamış veya izlenmeyen bulut hizmetlerinin kullanımını ifade eder. Kurumlar için bu tür uygulamaların tespiti büyük önem taşır. Microsoft Defender for Cloud Apps, organizasyonların ağında kullanılan uygulamaları keşfetmek üzere Firewall veya Proxy loglarını analiz eder. Aşağıda, kullanılan uygulamaların ve kullanıcı sayısının görselleştirildiği Discovery Dashboard'un nasıl yapılandırılacağını gösteren bir örnek verilmiştir:

# Discovery Dashboard yapılandırma komutu
Invoke-MgGraphRequest -Uri "https://graph.microsoft.com/v1.0/applications" -Method GET

Onaylı ve Onaysız Uygulamalar

Bulut ortamında güvenliğin sağlanabilmesi için uygulamaların onaylı (Sanctioned) ve onaysız (Unsanctioned) olarak sınıflandırılması gerekmektedir. Onaylı uygulamalara erişim sağlanırken, riskli olarak değerlendirilen uygulamalar otomatik olarak engellenir. Defender for Cloud Apps, uygulamaların risk puanlarını değerlendirerek yönetim stratejilerine göre otomatik kararlar alır.

Conditional Access App Control (CAAC)

Conditional Access App Control, bulut uygulamalarında kullanıcıların gerçekleştirdiği eylemleri izleme yeteneği sunar. Bu sistem, dosya indirme veya paylaşımından şüphelenilmesi durumunda müdahale edebilme olanağı sağlar. Örneğin, bir kullanıcı yetkisiz bir içeriği paylaşmaya çalıştığında, bu durum otomatik olarak tespit edilir ve gerekli önlemler alınır. Kullanım örneği olarak:

# CAAC politikası oluşturma komutu
New-ConditionalAccessPolicy -Name "Duyarlı Veri Koruma" -Conditions $conditions -Controls $controls

API Bağlayıcıları (App Connectors)

Defender for Cloud Apps, bulut uygulamalarıyla derin entegrasyon sunan API bağlayıcıları ile çalışır. Bu bağlayıcılar, uygulama sağlayıcısı ile doğrudan API üzerinden veri alışverişini mümkün kılar. Böylece, hassas verilerin denetimi ve yönetimi daha etkin bir şekilde gerçekleştirilir. Örneğin, Office 365 uygulaması için bir API bağlayıcısının nasıl kurulacağına dair bir örnek:

{
  "type": "apiConnector",
  "name": "Office365 Connector",
  "apiEndpoint": "https://o365.example.com/api",
  "authentication": {
    "type": "OAuth",
    "client_id": "your-client-id",
    "client_secret": "your-client-secret"
  }
}

Bilgi Koruması ve DLP

Bilgi koruması ve veri kaybını önleme (DLP) stratejileri, bu tür uygulamaların önemli bileşenleridir. Defender for Cloud Apps, uygulamalar içindeki hassas verileri tarayarak, veri sızıntılarını önlemek için çeşitli önlemler alır. Bu süreç, hassas veri kategorilerinin tanımlanmasını içerir. DLP kurallarının belirlenmesi için şu komut kullanılabilir:

# DLP kuralı oluşturma
New-DlpComplianceRule -Name "Kişisel Veriler" -Conditions $conditions -Actions $actions

Tehdit Algılama (Anomaliler)

Defender for Cloud Apps’ın bir diğer önemli özelliği ise tehdit algılama mekanizmasıdır. Normalden sapmaları tespit eden bu sistem, kullanıcıların davranışlarını analiz ederek anomali algılar. Şüpheli aktivitelerin değerlendirilmesi, analistlerin hızlı müdahale etmesine olanak tanır. Aşağıda, anomali algılama sürecinin nasıl çalıştığına dair bir örnek verilmiştir:

# Python ile anomali algılama
import numpy as np

def detect_anomalies(data):
    mean = np.mean(data)
    std_dev = np.std(data)
    threshold = mean + (2 * std_dev)
    return [d for d in data if d > threshold]

App Governance (Uygulama Yönetişimi)

Microsoft Defender for Cloud Apps, yönetişim stratejileri aracılığıyla uygulama güvenliğini artırır. Bu süreç, uygulamaların yönetimini ve izin seviyelerinin denetimini içerir. Uygulama izinlerinin analiz edilmesi, kullanıcıların erişim düzeyinin gözden geçirilmesini sağlar. Örnek bir yönetim stratejisi için OAuth uygulamalarının izin seviyelerinin kontrolü aşağıdaki gibi yapılabilir:

# OAuth uygulama izin düzeylerinin kontrolü
Get-OAuthAppPermission -AppName "ThirdPartyApp"

SOC Analizi ve Araştırma

Güvenlik operasyon merkezi (SOC) analistleri, Defender for Cloud Apps üzerinden gelen uyarıları inceleyerek potansiyel tehditleri değerlendirir. Bu analiz süreci, kullanıcı konumu, kullanılan cihaz ve hassas veri türleri gibi faktörlerin hızlıca incelenmesini içerir. Uyarı analizi için bir yol haritası oluşturabiliriz:

  1. Uyarı alınması.
  2. Kullanıcı bilgilerini kontrol etme.
  3. Cihaz ve konum analizinin yapılması.
  4. Gerekli durumlarda müdahale sağlama.

Microsoft Sentinel Entegrasyonu

Defender for Cloud Apps, tüm uyarıları ve logları merkezi analiz için SIEM (Security Information and Event Management) sistemlerine aktararak etkin bir güvenlik sağlanmasını mümkün kılar. Bu yapı, gerekli olayların izlenmesi ve analiz edilmesi için önemlidir. Data Connector kullanımına örnek olarak aşağıdaki komut verilebilir:

# Data Connector kurulumu
New-DataConnector -Name "Defender for Cloud Apps Connector" -Type "Microsoft"

Bu bileşenlerin entegrasyonu ile birlikte, Microsoft Defender for Cloud Apps, bulut uygulama güvenliğini artırmanın yanı sıra, organizasyonel güvenlik stratejilerini de güçlendirmektedir.

Risk, Yorumlama ve Savunma

Risk Analizi

Microsoft Defender for Cloud Apps (CASB), bulut ortamında uygulama güvenliğini sağlamak için kritik bir rol oynar. İlk aşamada, kurumların bulut uygulamalarını nasıl kullandığı ve hangi verilerin bu uygulamalar üzerinden işlendiği hakkında doğru bir risk analizi yapmak gerekir. Kullanılan uygulamalar, kullanıcı sayıları ve veri trafiği gibi unsurlar; Discovery Dashboard yardımıyla görselleştirilerek değerlendirilir. Bu panel, yöneticilere hangi uygulamaların kabul edilebilir, hangilerinin ise risk taşıdığı konusunda fikir verebilir.

Risk puanı (Risk Score) analizi, uygulamaların uyumluluk, güvenlik ve yasal standartlarına göre 0-10 arasında değerlendirilmesi sürecidir. Düşük puanlar, uygulamanın yüksek risk taşıdığı anlamına gelirken, yüksek puanlar güvenli uygulamaların varlığını gösterir. Örneğin, aşağıdaki kod bloğunda basit bir risk puanlama yapısını görebilirsiniz:

{
  "applications": [
    {
      "name": "Uygulama A",
      "riskScore": 3
    },
    {
      "name": "Uygulama B",
      "riskScore": 8
    }
  ]
}

Bu yapı üzerinden risk puanlarının değerlendirilmesi, hangi uygulamaların üzerinde daha fazla dikkat gösterilmesi gerektiğini açıkça göstermektedir.

Yorumlama

Risk değerlendirmesi, sadece rakamlara değil, aynı zamanda kullanıcı davranışlarına ve uygulama yapılandırmalarına da dayanır. Shadow IT (Gölge BT) keşfi sürecinde, izinsiz kullanılan uygulamalar tespit edilir. Bu tür uygulamalar genellikle veri sızıntılarına, zararlı yazılım bulaşmalarına ve hukuki uyumsuzluklara yol açabilmektedir. Örneğin, kullanıcıların bir proje üzerinde çalışmak için kullandıkları ancak onay almayan bir bulut uygulaması, kritik verilerin dışarıya sızmasına neden olabilir.

Anomaliler tespit edildiğinde, örneğin çoklu başarısız oturum açmaları veya "imkansız seyahat" durumları, güvenlik ekipleri bu tür anormal aktiviteleri değerlendirme sürecine girer. Kullanıcının IP adresi ve cihaz bilgisi gibi detayların yanı sıra, etkilenen verinin hassasiyet seviyesini de göz önünde bulundurmak gerekir. Bu tür durumların değerlendirilmesi, analistlerin sızma ya da veri hırsızlığı gibi olası saldırılara karşı hızlıca müdahale etmesine olanak tanır. Aşağıda bir örnek bulabilirsiniz:

anomalies = {
  "failed_logins": 5,
  "impossible_travel": True,
  "sensitive_data_access": 2
}

Önlemler ve Savunma

Kurumlar, bulut uygulama güvenliğini artırmak için bazı önlemler alabilir. İlk olarak, Conditional Access App Control (CAAC) kullanarak, bulut uygulamaları içindeki hassas verilerin taranması sağlanabilir. Örneğin, yetkisiz paylaşımların otomatik olarak engellenmesi için belirli politikalar oluşturulabilir:

{
  "policy": {
    "name": "Duyarlı Verileri Koru",
    "action": "engelle",
    "condition": "yetkisiz paylaşım"
  }
}

Ayrıca, eğitim ve farkındalık programları, kullanıcıların güvenli uygulamaları nasıl kullanmaları gerektiği konusunda eğitilmesine yönelik faydalı olacaktır. Kullanıcıların OAuth uygulamalarına verecekleri izinler de dikkatlice kontrol edilmelidir. Zararlı veya aşırı yetki talep eden uygulamaların, kurum genelinde yasaklanması (App Banning) gerekebilir.

Sonuç olarak, Microsoft Defender for Cloud Apps ile elde edilen bulgular, siber güvenlik açısından kritik bir yorumlama sürecine tabi tutulmalıdır. Analiz edilen verilerin yanı sıra, yanlış yapılandırmalar ve güvenlik açığı tespiti, etkili siber savunma stratejileri oluşturulmasına olanak tanır. Uygulama güvenliğini artırmak için alınacak profesyonel önlemlerle stratejik savunma oluşturarak, potansiyel tehditler minimize edilebilir.