CyberFlow Logo CyberFlow BLOG
Soc L2 Infra Ad Cloud

Microsoft Entra PIM ile Siber Güvenlikte Erişim Denetimini Güçlendirin

✍️ Ahmet BİRKAN 📂 Soc L2 Infra Ad Cloud

Microsoft Entra Privileged Identity Management (PIM) ile erişim denetimlerinizi nasıl güçlendirebilir ve siber güvenlikte risklerinizi azaltabilirsiniz?

Microsoft Entra PIM ile Siber Güvenlikte Erişim Denetimini Güçlendirin

Microsoft Entra Privileged Identity Management (PIM) ile yüksek yetkili hesaplarınızı yönetmek, erişim denetimlerinizi optimize etmek ve siber güvenlik risklerinizi minimize etmek mümkün. PIM'in sunduğu avantajları keşfedin.

Giriş ve Konumlandırma

Microsoft Entra PIM ile Siber Güvenlikte Erişim Denetimini Güçlendirin

Siber güvenlik ortamında, erişim denetimi kritik bir rol oynamaktadır. Modern dijital mimarilerin karmaşıklığı, yetkilendirme ve rol yönetimi süreçlerinin etkin bir şekilde gerçekleştirilmesini zorunlu kılmaktadır. Microsoft Entra Privileged Identity Management (PIM), bu bağlamda ön plana çıkan bir hizmettir. PIM, yüksek yetkili hesapların izinlerini kısıtlayarak, sadece ihtiyaç duyulduklarında ve belirli bir zaman diliminde bu yetkilerin aktif hale getirilmesini sağlar. Böylece, güvenlik açıklarını minimize etmek ve siber saldırılara karşı daha dayanıklı bir yapı oluşturmak için gereken temel bileşenleri sunar.

Erişim Denetiminin Önemi

Siber saldırılar genellikle kötü niyetli kullanıcılar tarafından yüksek yetkili hesapların istismar edilmesi yoluyla gerçekleştirilir. Bu noktada PIM, "en az yetki prensibini" (PoLP) uygulamaya koyarak sistemin savunmasını güçlendirir. PoLP, kullanıcılara sadece işlerini yapmaları için gereken en az erişim yetkisini vermeyi temel ilke olarak alır. Bu yaklaşım, yetkili kullanıcıların bile sistem üzerinde nasıl bir etki yaratabileceğini göz önünde bulundurarak, şirketlerin güvenlik politikalarını yenilemelerine olanak tanır.

Yüksek yetkili hesapların yanlış bir şekilde yapılandırılması veya istismar edilmesi, siber güvenlik ihlallerine yol açabilir. Dolayısıyla, bir erişim yönetim sistemi oluşturmak, etkili bir erişim denetimi uygulamak ve kullanıcıların rollerini sürekli gözden geçirmek kritik hale gelmektedir. Microsoft Entra PIM, bu amaca hizmet eden kapsamlı bir çözüm sunmaktadır.

Pentest ve Savunma Açısından Yapı

Erişim denetimi, bir güvenlik açığı tarama (pentest) süreçlerinde de önemli bir yer tutar. Pentest sırasında, tester’lar sistemin erişim denetimi ve yetki yönetimi mekanizmalarını test edebilirler. Örneğin, PIM ile bir kullanıcının belirli bir role erişim talep etmesi durumunda, bu aktivasyonun onaylanması sürecinin ne kadar sağlam olduğu veya bir yetkilinin onayına tabi olup olmadığını değerlendirebilirler.

PIM, Just-In-Time (JIT) mantığını kullanarak, bir kullanıcının rolünü geçici bir süreyle aktifleştirmesine olanak tanır. Bu yetki, başka bir yönetici tarafından onaylanmadan aktif hale gelmez. Aşağıda, JIT mantığının basit bir örneği verilmiştir:

1. Kullanıcı, "Global Admin" rolünü JIT yoluyla aktifleştirmek için bir talep gönderir.
2. Talep, belirlenen onaylayıcıya yönlendirilir.
3. Onaycı, talebi değerlendirir ve uygun bulursa onaylar.
4. Kullanıcı, rolü ancak onaylama tamamlandıktan sonra aktif hale getirebilir.

Bu mekanizma, kullanıcı hesaplarının zamanlamalı bir şekilde izlenmesini ve gereksiz yetki açıklarının önlenmesini sağlar. Böylece, siber güvenlik vakalarında risk faktörlerini en aza indirmek mümkündür.

Teknolojik Hazırlık

PIM’in uygulanabilirliğini anlamak için, kullanıcıların erişim yetkilerinin düzenli olarak denetlenmesi gerektiğini belirtmek önemlidir. Access Reviews (Erişim Gözden Geçirmeleri) gibi araçlar, bu denetimleri gerçekleştirmek için kullanılır. Belirli periyotlarla, kullanıcıların sahip oldukları yetkiler gözden geçirilir ve gereksiz erişimler kaldırılır. Böylelikle, her kullanıcının yetki durumunu güncel tutmak mümkün hale gelir.

Sonuç olarak, Microsoft Entra PIM, siber güvenlik stratejilerinin önemli bir parçasıdır. Güvenlik ekipleri, Entra PIM’in sunduğu araç ve mekanizmaları kullanarak sistemlerinin güvenliğini artırabilir. Etkin bir erişim yönetimi ile hem iç tehditlere hem de dış saldırılara karşı daha dayanıklı bir yapıya kavuşmak mümkündür. Tüm bu bilgiler, siber güvenlik alanında derinlemesine bir anlayış geliştirmek isteyen teknik uzmanlar için önemli bir zemin hazırlamaktadır.

Teknik Analiz ve Uygulama

PIM Nedir?

Microsoft Entra Privileged Identity Management (PIM), yüksek yetkili hesapların izinlerini kısıtlama amacıyla tasarlanmış bir servistir. Kullanıcıların, yalnızca ihtiyaç duydukları süre boyunca ve yalnızca gerekli durumlarda yetki almalarını sağlar. Böylece, siber güvenlik açığına yol açabilecek kalıcı yetki atamalarının önüne geçilmiş olur.

PIM ile kullanıcılar, gerekli yetkilere erişim sağlamak için "Just-In-Time" (JIT) yöntemi ile olanak elde eder. Bu mekanizma, gereksiz yetki atamalarının oluşmasını engelleyerek güvenlik seviyesini artırır.

Aktivasyon Durumları

PIM içinde üç ana aktivasyon durumu bulunmaktadır: "Eligible" (Uygun), "Active" (Etkin) ve "Permanent" (Kalıcı).

  • Uygun: Kullanıcıların rol talep edebildiği ancak henüz aktivasyon gerçekleştirmediği durumdur.
  • Etkin: Kullanıcının rolü aktif hale getirdiği ve bu süreçte yetkileri kullandığı durum.
  • Kalıcı: Kullanıcının, aktivasyon gerektirmeden sürek halinde sahip olduğu yetkilerdir.

Bunların yönetimi, siber güvenlik açısından kritik bir önem taşır; bu nedenle her aktivasyon ve onay süreci, güvenlik denetimleri için audit logları aracılığıyla izlenmelidir.

JIT (Just-In-Time) Mantığı

PIM’in en önemli yönlerinden biri olan JIT, kullanıcılara ihtiyaç duydukları durumlarda sadece belirli bir süre boyunca yetki sağlar. Bu süreç, yine eş zamanlı olarak yetki istenmesini ve onayını içermektedir. Kullanıcı, yetki talep ettiğinde, sistemin yöneticisi veya ilgili onay verici birim tarafından onay cimentinatı gerekmektedir.

Örnek kullanım:

# PIM ile bir kullanıcının rol aktivasyonunu başlatma
Start-AzureADPIMRoleActivation -RoleId "<RoleID>" -UserId "<UserID>" -JustInTimeActivationDuration "PT1H"

Yukarıdaki PowerShell komutları, belirli bir rol için yetki talep edilmesini ve sadece bir saat süreyle bu yetkinin geçerli olmasını sağlayacaktır.

Aktivasyon Onayları

Kritik rol atamaları sırasında, bir onay sürecinin uygulanması büyük önem taşır. PIM, bu mekanizmayı yöneterek, yetkilerin kolaylıkla kontrol edilmesine yardımcı olur. Örneğin, bir yönetici rolü aktif hale getirirken, sistem; geçerli bir bilet numarası veya güvenlik gerekçesi ile onay talep edebilir.

Erişim Gözden Geçirmeleri

Erişim gözden geçirmeleri, kullanıcıların mevcut yetkilerini belirli aralıklarla yeniden değerlendirmelerine olanak tanır. Bu işlemler, iki temel türde gerçekleşir:

  • Self-Review: Kullanıcının kendi ihtiyaçlarını değerlendirerek onaylaması.
  • Reviewers: Belirli yetkilere sahip kişilerin, kullanıcıların yetkilerini onaylaması veya reddetmesi.

Örneğin, bir gözden geçirme yapılırken kullanıcıların, sistem üzerindeki erişim yetkilerinin hala gerekli olup olmadığını sorgulayan aşağıdaki gibi bir rapor oluşturulabilir:

SELECT UserId, RoleName, LastReviewedDate
FROM UserRoles
WHERE LastReviewedDate < DATEADD(month, -3, GETDATE())

Bu SQL sorgusu, son üç aydır gözden geçirilmemiş rolleri listeleyecektir.

Gerekçelendirme ve Biletleme

Aktivasyon sırasında, kullanıcının talep ettiği yetkiyi gerekçelendirmesi ve bir bilet açması zorunlu tutulabilir. Bu durum, gerekli izinlerin sadece izin verildiği nedenlerle ve kontrol altında alınmasını sağlamaktadır.

Entitlement Management

PIM, erişim yaşam döngülerini yönetmek için entitlements yönetimini de sağlamaktadır. Kullanıcıların, erişim taleplerini ve yaşam döngülerini paketler halinde yönetmek, özellikle büyük organizasyonlar için kritik öneme sahiptir. Bu yapı, erişim taleplerini takip ederek, potansiyel güvenlik açıklarını minimize eder.

Özet

Microsoft Entra PIM, siber güvenlikte erişim denetimini güçlendirirken, aynı zamanda "en az yetki prensibi" (PoLP) ilkesini de destekler. PIM’in sağladığı JIT yöntemleri, aktivasyon onayları, erişim gözden geçirmeleri, gerekçelendirme ve entitlements yönetimi gibi özellikler, güvenliğe yönelik bir yapı oluşturur. Tüm işlemlerin izlenebilirliği, SOC ekipleri tarafından da denetlenebilir ve bu sayede potansiyel riskler minimize edilir. PIM’i etkin bir şekilde kullanarak, kuruluşların güvenlik düzeylerini artırmak mümkündür.

Risk, Yorumlama ve Savunma

Riskin Yorumlanması ve Savunma Stratejileri

Siber güvenlik, birçok farklı risk faktörünü içeren dinamik bir alan olup, erişim denetiminin bu riskleri yönetmedeki rolü kritik öneme sahiptir. Microsoft Entra Privileged Identity Management (PIM) uygulaması, bu bağlamda özellikle yüksek yetkili hesapların yönetimini geliştirmek için tasarlanmıştır. Ancak, PIM ile birlikte gelen avantajların yanı sıra, doğru uygulanmadığı takdirde ortaya çıkabilecek riskler de mevcuttur.

Güvenlik Anlamı ve Yanlış Yapılandırmalar

Microsoft Entra PIM, özellikle "En Az Yetki Prensibi" (PoLP) ilkesiyle, kullanıcıların yalnızca ihtiyaç duydukları süre boyunca yetkilere erişim sağlamalarına izin verir. Ancak, yapılandırmalarda yanlışlıklar gerçekleşirse, bu durum önemli güvenlik açıkları yaratabilir. Örneğin, uygun şekilde yapılandırılmamış aktif rollere sahip bir kullanıcının, sistemde kritik verilere erişiminin olmasına yol açabilir.

Yanlış yapılandırmanın etkilerini anlamak için aşağıdaki örneği inceleyelim:

Kullanıcı: JohnDoe
Rol: Global Admin
Aktivasyon Durumu: Aktif

Yukarıdaki yapı, kullanıcının her zaman "Global Admin" rolüne sahip olduğunu ve sürekli olarak bu yüksek yetkilerle sistemi yönetme yetkisini elinde bulundurduğunu göstermektedir. Bu tür bir yapılandırma, kötü niyetli bir saldırganın bu yetkileri ele geçirmesi durumunda ciddi sonuçlar doğurabilir.

Sızan Verilerin Tespiti

Sızan verilerin tespiti, bir güvenlik olayı sonrasında yapılan analizlerin önemli bir parçasıdır. PIM, kullanıcı etkinliklerini ve yetki artırımlarını ayrıntılı bir şekilde kayıt altına alır. SOC (Security Operations Center) ekipleri, bu kayıtları inceleyerek anomalileri belirleyebilir ve olası veri ihlallerini zamanında tespit edebilir.

Bir örnek vermek gerekirse, aşağıdaki audit logları sayesinde belirli bir kullanıcının gerçekleştirdiği aktiviteleri görüntüleyebiliriz:

2023-10-01 12:00:00 | Kullanıcı: JohnDoe | Rol: Global Admin | Aktivasyon: Onaylandı | Süre: 24 saat
2023-10-01 12:05:00 | Kullanıcı: JohnDoe | Erişim: Veritabanı | Durum: Yetki Açık
2023-10-01 12:10:00 | Kullanıcı: JohnDoe | Rol: Global Admin | Aktivasyon: Tamamlandı

Bu tür loglar, potansiyel bir ihlalin analizi için gerekli bilgileri sunar ve sistemdeki her bir yetki artışının izlenebilmesini sağlar.

Profesyonel Önlemler ve Hardening Önerileri

PIM uygulamasının etkin şekilde kullanılabilmesi için çeşitli profesyonel önlemler ve hardening stratejileri uygulanmalıdır:

  • Erişim Gözden Geçirmeleri: Kullanıcıların erişim yetkilerinin düzenli olarak gözden geçirilmesi, gereksiz yetkilerin kesilmesi açısından önemlidir. Bu süreç, belirli aralıklarla otomatikleştirilmiş erişim gözden geçirmeleri gerçekleştirilerek desteklenebilir.

  • Just-In-Time (JIT) Aktivasyon: Yetki artışlarının yalnızca ihtiyaç duyulduğunda ve belirtilen süreyle sınırlı olarak verilmesi, potansiyel risklerin azaltılmasına yardımcı olur.

  • Onay Süreçleri: Rol aktivasyonu sırasında, başka bir yöneticinin onayını zorunlu kılmak, kullanıcıların aşırı yetkilere ulaşmalarını engelleyebilir. Bu tür onay süreçleri, şüpheli aktivitelerin tespitine imkan tanır.

  • Audit Log Yönetimi: Tüm PIM aktiviteleri, audit logları aracılığıyla izlenmeli ve gerektiğinde incelenebilmek için güvenli bir ortamda saklanmalıdır.

Sonuç

Siber güvenlikte erişim denetimi, risk yönetiminin merkezinde yer alır. Microsoft Entra PIM, doğru yapılandırıldığında ve etkin bir şekilde kullanıldığında, siber güvenlikte önemli bir avantaj sağlar. Ancak, yanlış yapılandırmalar ve gözden kaçmış güvenlik zafiyetleri, ciddi sonuçlar doğurabilir. Bu nedenle, yapılandırmaların gözden geçirilmesi, aktivasyon sistemlerinin sıkı denetimi ve düzenli erişim gözden geçirme süreçlerinin uygulanması, siber saldırılara karşı güçlü bir savunma oluşturur. PIM ile birlikte gelen yetkilerin ve kullanıcı erişimlerinin dikkatle yönetilmesi, tüm yapının güvenliği için kritik öneme sahiptir.