Geleneksel çevre tabanlı ağ savunması artık eskimiştir. Çevre tabanlı ağlar, bir ağ içindeki tüm sistemlere güvenilebileceği varsayımıyla çalışır. Bununla birlikte, günümüzün giderek artan mobil iş gücü, genel bulut hizmetlerine geçiş ve Kendi Cihazını Getir (BYOD) modelinin benimsenmesi, çevre güvenlik kontrollerini gereksiz hale getiriyor. Geleneksel savunmalardan evrimleşemeyen ağlar, ihlallere karşı savunmasızdır. Utah Blockchain bu konuyu kendi sitesinde yazdı. Bir saldırgan, güvenilen sınır içinde tek bir uç noktayı tehlikeye atabilir ve ardından tüm ağa hızlı bir şekilde yayılma noktasını genişletebilir.
Zero Trust ağları, bir çevre içindeki ağ konumuna dayalı güven kavramını ortadan kaldırır. Bunun yerine, Zero Trust mimarileri, kurumsal verilere ve kaynaklara erişim kapısı sağlamak için cihaz ve kullanıcı güven iddialarından yararlanır. Genel bir Zero Trust ağ modeli (1. Resim) tipik olarak aşağıdakileri içerir;
- Kullanıcıları ve kullanıcıyla ilgili bilgileri takip etmek için kimlik sağlayıcı.
- İlgili cihaz bilgileriyle (ör. Cihaz türü, bütünlük vb.) Birlikte kurumsal kaynaklara erişimi olan cihazların bir listesini tutmak için cihaz dizini.
- Bir kullanıcının veya cihazın güvenlik yöneticileri tarafından belirlenen politikaya uyup uymadığını belirlemek için politika değerlendirme hizmeti.
Bir kuruluş kaynağına erişim vermek veya erişimi reddetmek için yukarıdaki sinyalleri kullanan proxy erişimi.
Dinamik güven kararlarını kullanarak kaynaklara erişim yetkisi vermek, bir kuruluşun belirli varlıklara herhangi bir cihazdan erişim sağlamasına olanak tanırken kurumsal yönetimli ve uyumlu cihazlarda yüksek değerli varlıklara erişimi kısıtlar. Hedefli ve veri ihlali saldırılarında, saldırganlar bir kuruluş içindeki tek bir cihazın güvenliğini ihlal edebilir ve ardından çalınan kimlik bilgilerini kullanarak ağda sanal olarak hareket etmek için “atlama” yöntemini kullanabilir. Kullanıcı ve cihaz güveniyle ilgili doğru ilkelerle yapılandırılan Zero Trust ağına dayalı bir çözüm, çalınan ağ kimlik bilgilerinin bir ağa erişim sağlamak için kullanılmasını önlemeye yardımcı olabilir.
Zero Trust, ağ güvenliğinde bir sonraki evrimdir. Siber saldırıların durumu, kuruluşları “ihlal varsayma” zihniyetini benimsemeye yönlendirir, ancak bu yaklaşım sınırlayıcı olmamalıdır. Zero Trust ağları, kurumsal verileri ve kaynakları korurken, kuruluşların çalışanların her zaman, her yerde ve her şekilde üretken olmalarını sağlayan teknolojileri kullanarak modern bir iş yeri inşa etmelerini sağlar.
Azure AD koşullu erişime dayalı Zero Trust ağ iletişimi
Günümüzde çalışanlar, çeşitli cihaz ve uygulamaları kullanarak kuruluşlarının kaynaklarına her yerden erişiyor. Yalnızca bir kaynağa kimin erişebileceğine odaklanan erişim kontrol politikaları yeterli değildir. Güvenlik ve üretkenlik arasındaki dengede ustalaşmak için, güvenlik yöneticilerinin bir kaynağa nasıl erişildiğini de hesaba katması gerekir.
Microsoft’un Zero Trust ağı hakkında bir hikâyesi ve stratejisi var. Azure Active Directory koşullu erişimi, müşterilerin Zero Trust bir ağ yaklaşımını nasıl uygulayabileceğinin temel yapı taşıdır. Koşullu erişim ve Azure Active directory kimlik koruması, her kaynak isteği için kullanıcı, cihaz, konum ve oturum riskine göre dinamik erişim denetimi kararları verir. Olası en güçlü güvenlik duruşuna ulaşmak için (1. Resim) bir Windows cihazının güvenlik durumu hakkında onaylanmış çalışma zamanı sinyalleri ve (2. Resim) kullanıcı oturumunun güvenilirliğini ve kimliğini birleştirirler.
Koşullu erişim, kullanıcıların kurumsal kaynaklara erişebilecekleri koşulları kontrol etmek için yapılandırılabilen bir dizi ilke sağlar. Erişimle ilgili hususlar arasında kullanıcı rolü, grup üyeliği, cihaz sağlığı ve uyumluluğu, mobil uygulamalar, konum ve oturum açma riski yer alır. Bu hususlar, (1. Resim) erişime izin verme, (2. Resim) erişimi reddetme veya (3. Resim) ek kimlik doğrulama zorlukları (örneğin; çok faktörlü kimlik doğrulama), Kullanım Koşulları veya erişim kısıtlamaları ile erişimi kontrol etme konusunda karar vermek için kullanılır. Koşullu erişim, Azure Active Directory ile erişim için yapılandırılmış tüm uygulamalarla sağlam bir şekilde çalışır.
Zero Trust modelini gerçekleştirmek için Microsoft, çeşitli bileşenleri ve yetenekleri entegre eder. Microsoft 365: Windows Defender Gelişmiş Tehdit Koruması, Azure Active Directory, Windows Defender System Guard ve Microsoft Intune servislerini sağlar.
Windows Defender Gelişmiş Tehdit Koruması
Windows Defender Gelişmiş Tehdit Koruması (ATP), istihbarat odaklı koruma, ihlal sonrası algılama, inceleme ve otomatik yanıt yetenekleri sağlayan bir uç nokta koruma platformu (EPP) ve uç nokta algılama yanıtı (EDR) teknolojisidir. Cihazların durumunu sürekli olarak izlemek ve gerekirse düzeltici eylemler gerçekleştirmek için yerleşik davranış sensörlerini, makine öğrenimini ve güvenlik analizini birleştirir. Windows Defender ATP’nin ihlalleri hafifletmesinin benzersiz yollarından biri, güvenliği ihlal edilen makineleri ve kullanıcıları daha fazla bulut kaynağı erişiminden otomatik olarak izole etmektir.
Örneğin: saldırganlar, güvenliği ihlal edilmiş bir cihazdan doğrudan karma kullanıcı kimlik bilgilerini çıkarmak için Karma İletme (PTH) ve “Kerberos için bilet geçirme” tekniklerini kullanır. Hashing uygulanmış kimlik bilgileri daha sonra, saldırganların bir sistemden diğerine atlamasına ve hatta ayrıcalıkları yükseltmesine olanak tanıyan yanal hareket yapmak için kullanılabilir iken, Windows Defender Kimlik Guard NTLM karmaları ve etki alanı kimlik bilgilerini koruyarak bu saldırıları engeller. Güvenlik yöneticileri hala bu tür bir saldırının meydana gelebileceğini bilmesini istiyorum.
Windows Defender ATP, bu tür saldırıları açığa çıkarır ve güvenliği ihlal edilmiş cihazlar için bir risk düzeyi oluşturur. Koşullu erişim bağlamında, Windows Defender ATP, daha sonra istemci cihazının kurumsal kaynaklara erişmek için gerekli bir belirteci alıp almayacağını belirlemek için kullanılan bir makine risk düzeyi atar. Windows Defender ATP, aşağıda listede dâhil olmak üzere çok çeşitli güvenlik yetenekleri ve sinyalleri kullanır. Detaylarına ulaşabilmeniz için başlıklar içerisine Microsoft kaynak linkleri eklenmiştir.
- Zengin makine öğrenimi ve davranış algılama kitaplığı
- Kötüye kullanım koruması
- Kimlik bilgisi koruması
- Uygulama izolasyonu
- Antivirüs
- Ağ koruması
- Web koruma
Windows Defender System Guard çalışma zamanı onayı
Windows Defender System Guard, başlatılırken ve çalışmaya devam ederken bir sistemin bütünlüğünü korur ve sürdürür. “İhlali varsayalım” mantığında, güvenlik yöneticilerinin bir cihazın güvenlik durumunu uzaktan onaylama yeteneğine sahip olması önemlidir. Windows 10 Nisan 2018 Güncelleştirmesi ile Windows Defender System Guard çalışma zamanı onayı cihaz bütünlüğünün kurulmasına katkıda bulunur. Aygıtın sağlığı hakkında donanım tabanlı önyükleme zamanı ve çalışma zamanı iddialarında bulunur. Bu ölçümler Windows Defender ATP tarafından tüketilir ve aygıta atanan makine risk düzeyine katkıda bulunur.
Windows Defender System Guard’ın tek ve en önemli amacı, sistem bütünlüğünün ihlal edilmediğini doğrulamaktır. Bu donanım destekli, yüksek bütünlüğe sahip güvenilir çerçeve, müşterilerin, aygıtın güvenlik durumunda herhangi bir değişiklik olmadığını doğrulayan (güvenlik taahhütleriyle belirlenen garantiler dâhilinde) imzalı bir rapor talep etmelerini sağlar. Windows Defender ATP müşterileri, Windows Defender ATP portalını kullanarak tüm cihazlarının güvenlik durumunu görüntüleyebilir, bu da herhangi bir güvenlik ihlalinin tespit edilmesine ve düzeltilmesine olanak tanır.
Windows Defender System Guard çalışma zamanı onayı, saldırıları algılamak için sanallaştırma tabanlı güvenlikteki (VBS) donanım tabanlı güvenlik teknolojilerinden yararlanır. Sanal güvenli mod etkin cihazlarda, Windows Defender System Guard çalışma zamanı yalıtılmış bir ortamda çalışır ve bu da onu çekirdek düzeyindeki bir düşmana bile dirençli hale getirir.
Windows Defender System Guard çalışma zamanı onayı, çalışma zamanında sürekli olarak sistem güvenliği durumunu ileri sürer. Bu iddialar, işlem korumasını devre dışı bırakmak gibi Windows güvenlik taahhütlerinin ihlallerini yakalamaya yöneliktir.
Azure Active Directory
Azure Active Directory, işletmelerin hem bulutta hem de şirket içinde uygulamalara erişimi yönetmek ve kullanıcı kimliklerini korumak için kullandıkları bir bulut kimliği ve erişim yönetimi çözümüdür. Azure AD erişim kontrol motoru olarak dizin ve kimlik yönetimi yeteneklerine ek olarak şunları sunar:
- Tek oturum açma deneyimi:Her kullanıcının, daha yüksek üretkenlik sağlamak için kuruluş genelindeki kaynaklara erişmek için tek bir kimliği vardır. Kullanıcılar, bulut hizmetlerinde ve şirket içi web uygulamalarında çoklu oturum açma için aynı iş veya okul hesabını kullanabilir. Çok faktörlü kimlik doğrulama, kullanıcı için ek bir doğrulama düzeyi sağlamaya yardımcı olur.
- Uygulama erişiminin otomatik olarak sağlanması: Kullanıcıların uygulamalara erişimi, grup üyeliklerine, coğrafi konumlarına ve istihdam durumuna göre otomatik olarak sağlanabilir veya yetkileri kaldırılabilir.
Bir erişim yönetimi motoru olarak Azure AD, aşağıdakilerle ilgili bilgileri kullanarak kurumsal kaynaklara erişim sağlama konusunda iyi bilgilendirilmiş bir karar verir;
- Grup ve kullanıcı izinleri
- Uygulama erişimleri
- Oturum açmak için kullanılan cihaz (örneğin, Intune’dan cihaz uyumluluk bilgileri) denetimi.
- Oturum açmak için kullanılan cihazın işletim sistemi kontrolü.
- Oturum açma konumu veya IP aralıkları kontrolü.
- Oturum açmak için kullanılan istemci uygulaması kontrolü.
- Oturum açma zamanı takibi.
- Belirli bir oturum açmanın kimlik sahibi tarafından yetkilendirilmeme olasılığını temsil eden oturum açma riski (Azure AD Identity Protection’ın çoklu makine öğrenimi veya sezgisel algılamalar tarafından hesaplanır)
- Kötü bir aktörün belirli bir kullanıcıyı tehlikeye atma olasılığını temsil eden kullanıcı riski (Azure AD Kimlik Koruması’nın etiket verilerinin sürekli olarak iyileştirilmesi için çok sayıda dâhili ve harici kaynaktan yararlanan gelişmiş makine öğrenimi tarafından hesaplanır)
- Bu listeye sürekli olarak ekleyeceğimiz daha fazla faktör doğrulaması.
Koşullu erişim ilkeleri, gerçek zamanlı olarak değerlendirilir ve bir kullanıcı, SaaS uygulamaları, bulutta çalışan özel uygulamalar veya şirket içi web uygulamaları gibi Azure AD bağlantılı herhangi bir uygulamaya erişmeye çalıştığında uygulanır. Şüpheli etkinlik tespit edildiğinde, Azure AD, yüksek riskli kullanıcıları engelleme, kimlik bilgilerinin güvenliği ihlal edilirse kullanıcı parolalarını sıfırlama, Kullanım Koşullarını uygulama ve diğerleri gibi düzeltme eylemlerinin gerçekleştirilmesine yardımcı olur.
Kurumsal bir uygulamaya erişim izni verme kararı, istemci cihazlarına bir erişim belirteci biçiminde verilir. Bu karar, Azure AD koşullu erişim ilkesiyle uyumluluk etrafında şekillenmiştir. Bir istek gereksinimleri karşılıyorsa, istemciye bir belirteç verilir. Politika, isteğin sınırlı erişim sağlamasını (örneğin, indirmeye izin verilmemesini) veya hatta oturum içi izleme için Microsoft Cloud App Security üzerinden geçirilmesini gerektirebilir.
Microsoft Intune
Microsoft Intune, bir kuruluştaki mobil cihazları, PC’leri ve uygulamaları yönetmek için kullanılır. Microsoft Intune ve Azure, kuruluş için değerli olan varlıkların ve verilerin yönetimine ve görünürlüğüne sahiptir ve Azure Information Protection, Veri etiketleme veya Microsoft Cloud App Security gibi yapılara dayalı olarak güven gereksinimlerini otomatik olarak belirleme yeteneğine sahiptir.
Microsoft Intune, istemci cihazlarının kaydı, kaydı ve yönetiminden sorumludur. Çok çeşitli cihaz türlerini destekler: mobil cihazlar (Android ve iOS), dizüstü bilgisayarlar (Windows ve macOS) ve çalışanların BYOD cihazları. Intune, aygıtın uyumluluk durumunu ( “isCompliant” ) belirlemek için Windows Defender ATP tarafından sağlanan makine risk düzeyini diğer uyumluluk sinyalleriyle birleştirir. Azure AD, kurumsal kaynaklara erişimi engellemek veya bunlara erişime izin vermek için bu uyumluluk durumundan yararlanır. Koşullu erişim ilkeleri Intune’ da iki şekilde yapılandırılabilir:
- Uygulama tabanlı: Yalnızca yönetilen uygulamalar kurumsal kaynaklara erişebilir.
- Cihaz tabanlı: Yalnızca yönetilen ve uyumlu cihazlar kurumsal kaynaklara erişebilir.
İş yerinde koşullu erişim (Conditional Access)
Koşullu erişimin değeri en iyi bir örnekle gösterilebilir.
SurelyMoney, dünyanın en prestijli finans kuruluşlarından biridir ve bir milyondan fazla müşterinin ticari işlemlerini sorunsuz bir şekilde gerçekleştirmesine yardımcı olur. Şirket, Microsoft 365 E5 paketini kullanıyor ve kurumsal güvenlik yöneticileri koşullu erişimi zorunlu kılıyor.
Saldırgan, şirketin müşterileri ve ticari işlemlerinin ayrıntıları hakkında bilgi çalmaya çalışır. Saldırgan, çalışanlara kötü amaçlı yazılım ekleri içeren görünüşte zararsız e-postalar gönderir. Bir çalışan, cihazı tehlikeye atarak kurumsal bir cihazdaki eki istemeden açar. Saldırgan artık çalışanın kullanıcı kimlik bilgilerini toplayabilir ve kurumsal bir uygulamaya erişmeye çalışabilir.
Aygıtın durumunu sürekli olarak izleyen Windows Defender ATP, ihlali tespit eder ve aygıtı tehlikeye atılmış olarak işaretler. Bu cihaz bilgileri, Azure AD ve Intune’ a aktarılır daha sonra bu cihazdan uygulamaya erişimi reddeder. Güvenliği ihlal edilen cihaz ve kullanıcı kimlik bilgilerinin, kurumsal kaynaklara daha fazla erişmesi engellenir. Aygıt, Windows Defender ATP tarafından otomatik olarak düzeltildikten sonra, düzeltilen aygıttaki kullanıcı için erişim yeniden verilir.
Bu durum, kötü amaçlı yazılımın yanal hareketini önlemeye, saldırı yalıtımı sağlamaya ve kurumsal kaynakların korunmasını sağlamaya yardımcı olmak için koşullu erişim ve Windows Defender ATP’ nin birlikte nasıl çalıştığını göstermektedir.
Azure AD uygulamaları Ofis 365, Exchange Online, DPT
SurelyMoney’ deki yöneticiler, Office 365 uygulaması olan Microsoft SharePoint’ te çok sayıda yüksek değerli gizli belgeyi depolar. Saldırgan, güvenliği ihlal edilmiş bir cihazı kullanarak bu belgeleri çalmaya çalışır. Bununla birlikte, koşullu erişimin O365 uygulamalarıyla sıkı bağlantısı, bunun gerçekleşmesini engeller.
Microsoft Word, Microsoft PowerPoint ve Microsoft Excel gibi Office 365 uygulamaları, bir kuruluşun çalışanlarının işbirliği yapmasına ve işlerini yapmasına olanak tanır. Farklı kullanıcılar, çalışmalarının hassasiyetine veya niteliğine, ait oldukları gruba ve diğer faktörlere bağlı olarak farklı izinlere sahip olabilir. Koşullu erişim, değerlendirmesiyle derinlemesine entegre olduklarından bu uygulamalarda erişim yönetimini kolaylaştırır. Koşullu erişim yoluyla, güvenlik yöneticileri, uygulamaların istenen kaynaklara kısmi veya tam erişim vermesini sağlayan özel politikalar uygulayabilir.
İş kolu uygulamaları
SurelyMoney, Azure AD’ye bağlı özel bir işlem izleme uygulamasına sahiptir. Bu uygulama, müşteriler tarafından gerçekleştirilen tüm işlemlerin kaydını tutar. Saldırgan, toplanan kullanıcı kimlik bilgilerini kullanarak bu uygulamaya erişim sağlamaya çalışır. Bununla birlikte, koşullu erişim bu ihlalin olmasını engeller.
Her organizasyonun, çalışanların başarısına ve verimliliğine doğrudan bağlı olan, görev açısından kritik ve işe özgü uygulamaları vardır. Bunlar genellikle e-ticaret sistemleri, bilgi izleme sistemleri, belge yönetimi sistemleri vb. İle ilgili özel uygulamaları içerir. Azure AD, ikili bir karara dayanarak gerekli uyumluluk ve risk politikasını karşılayamazsa bu uygulamalar için bir erişimi engeller.
Şirket içi web uygulamaları – Application Proxy
Günümüzde çalışanlar her yerde, her zaman ve herhangi bir cihazdan üretken olmak istiyor. İster tablet, ister telefon veya dizüstü bilgisayar olsun, kendi cihazlarında çalışmak isterler ve şirket içi uygulamalarına erişebilmek isterler. Azure AD Application Proxy, yönetilen veya yönetilmeyen cihazlardan koşullu erişim sağlayarak harici uygulamalara hizmet olarak uzaktan erişim sağlar.
Şirket içi eski uygulamaya yönelik istekler, Azure AD Application Proxy ara sunucusu aracılığıyla yönlendirilir. Saldırgan, bu uygulamaya erişmek için güvenliği ihlal edilmiş kullanıcı kimlik bilgilerini kullanmaya çalışır, ancak koşullu erişim bu girişimi engeller.
Koşullu erişim olmadan, saldırgan istediği herhangi bir kötü amaçlı uygulamayı oluşturabilir, kod imzalayabilir ve Intune aracılığıyla dağıtabilir. Bu uygulamalar daha sonra Intune’a kayıtlı her cihaza gönderilecek ve bilgisayar korsanı benzeri görülmemiş miktarda hassas bilgi elde edebilecektir. Bunun gibi saldırılar daha önce de görülmüştür ve bunun olmasını engellemek şirketinizin çıkarına olacaktır.
Sürekli yenilik
Şu anda, koşullu erişim web uygulamalarıyla sorunsuz bir şekilde çalışmaktadır. Zero Trust en katı anlamıyla, tüm ağ isteklerinin erişim denetiminin proxy üzerinden akmasını ve tüm değerlendirmelerin cihaz ve kullanıcı güven modeline dayalı olmasını gerektirir. Bu ağ istekleri, çeşitli eski iletişim protokollerini ve FTP, RDP, SMB ve diğerleri gibi erişim yöntemlerini içerebilir.
Koşullu erişim, kurumsal kaynaklara erişimi sınırlamak için cihaz ve kullanıcı güven taleplerinden yararlanarak, kullanıcı üretkenliğini sağlarken kurumsal verileri güvence altına alan kapsamlı ancak esnek politikalar sağlar. Kullanıcı verimliliğinin kurumsal ağın sınırlarının ötesine geçmeye devam ettiği modern iş yerini korumak için yenilikler yapılmaya devam edilecektir.