Azure AD’de verilerinizin güvenliğini sağlama

Herkese merhaba,

Bulut kimliği hizmetlerinde geçtiğimiz birkaç yıl içinde yaşanan güvenlik ihlallerinin ardından, müşteri verilerinin güvenliğini nasıl sağladığımıza ilişkin birçok soru alıyoruz. Bu nedenle bugünün blog yazısında, Azure AD’de müşteri verilerinin güvenliğini nasıl sağladığımızı ayrıntılarıyla açıklayacağız.

Veri Merkezi ve Hizmet Güvenliği

Veri merkezlerimizden bahsederek başlayalım. Öncelikle, Microsoft’un tüm veri merkezi çalışanları bir sicil soruşturmasından geçer. Veri merkezlerimize tüm erişim yolları sıkı bir şekilde denetlenir. Tüm giriş ve çıkış noktaları izlenir. Müşteri verilerinin depolandığı kritik Azure AD hizmetleri, bu veri merkezlerindeki özel kilitli raflarda bulunur. Bunlara fiziksel olarak erişim sağlanması son derece sıkı denetim altındadır ve bu raflar 24 saat kamerayla izlenir. Üstelik bu sunuculardan biri devreden çıkarıldığında veri sızıntısını önlemek için tüm diskler mantıksal ve fiziksel olarak yok edilir.

Ayrıca Azure AD hizmetlerine sınırlı sayıda kişi erişebiliyor. Erişim izni olan kişiler bile günlük işlerini yaparken bu ayrıcalığı kullanmıyor. Hizmete erişme ayrıcalığının gerekli olduğu durumlarda ise bir akıllı kart ile çok faktörlü bir kimlik doğrulaması aşamasından geçerek kimliklerini onaylamaları ve bir istek göndermeleri gerekiyor. Bu istek onaylandığında bu kullanıcılara “anlık” ayrıcalık sağlanıyor. Bu ayrıcalıklar belirli bir süre sonra otomatik olarak kaldırılıyor. Daha fazla zamana ihtiyaç duyan kişilerin bu istek ve onay sürecini en baştan tekrarlaması gerekiyor.

Bu ayrıcalıklar sağlandığında, hizmete yalnızca yönetilen bir yönetici çalışma istasyonundan (yayınlanan Ayrıcalıklı Erişim Çalışma İstasyonu kılavuzuyla uyumlu) erişim sağlanıyor. Bunun gerekliliği ilkelerle güvence altına alınmıştır ve ilkelere uyumluluk da sıkı bir şekilde denetlenir. Bu çalışma istasyonlarında sabit bir görüntü kullanılır ve makinedeki tüm yazılımlar tamamen yönetilir. Risk olasılığını mümkün olduğunca düşürmek için yalnızca belirli etkinliklere izin verilir. Kullanıcılar kutu üzerinde yönetici ayrıcalıklarına sahip olmadığından, yönetici çalışma istasyonunun tasarımına müdahale edemezler. Çalışma istasyonlarının güvenliğinin daha da güçlendirmek amacıyla, erişim sağlayacak herkesin bir akıllı kart kullanması gerekir. Her karta yalnızca belirli kullanıcılar erişebilir.

Son olarak da az sayıda (beşten az) “acil durum” hesabımız var. Bu hesaplar yalnızca acil durumlarda kullanılabilir ve birden fazla adımdan oluşan “acil durum” yordamıyla korunur. Bu hesapların kullanımı sürekli izlenir ve her kullanıldığında uyarılar tetiklenir.

Tehdit algılama

Her şeyin beklediğimiz gibi işlediğinden emin olmak amacıyla birkaç dakikada bir düzenli olarak otomatik bir şekilde yürüttüğümüz, müşterilerimiz tarafından istenen yeni işlevsellikleri eklerken bile aksatmadığımız bazı denetimler var:

• İhlal algılama: Bir ihlal olabileceğine işaret eden desenler olup olmadığını denetliyoruz. Bu algılama özelliklerine düzenli olarak yenilikler ekliyoruz. Ayrıca bu desenleri tetikleyen otomatik testler de kullanıyoruz. Böylece ihlal algılama mantığımızın doğru işleyip işlemediğini de denetliyoruz!
  
• Sızma testleri: Bu testler her zaman yürütülüyor. Bu testler, hizmetimizin güvenliğini ihlal etmek için her yolu deniyor ve biz de bu testlerin her seferinde başarısız olmasını bekliyoruz. Testler başarılı olursa bir sorun olduğunu anlayıp hemen düzeltebiliyoruz.
  
• Denetim: Tüm yönetim etkinlikleri günlüğe kaydedilir. Beklenmeyen bir etkinlik olduğunda (örneğin, bir yönetici ayrıcalıklara sahip bir hesap oluşturduğunda) uyarılar tetiklenir. Böylece biz de ayrıntılı bir soruşturma yürüterek bu etkinliğin olağandışı olup olmadığından emin olabiliyoruz.
  

Ayrıca Azure AD’deki tüm verilerinizin şifrelendiğinden bahsetmiş miydik? Evet, beklemede olan tüm Azure AD kimliklerini BitLocker ile şifreliyoruz. Peki ya aktarım sırasında ne olur? Bu aşamada da şifreliyoruz! Tüm Azure AD API’leri web tabanlıdır ve HTTPS üzerinden SSL kullanarak verileri şifreler. Tüm Azure AD sunucuları TLS 1.2’yi kullanacak biçimde yapılandırılmıştır. Harici istemcileri desteklemek amacıyla TLS 1.1 ve 1.0 üzerinden gelen bağlantılara izin veriyoruz. SSL 3.0 ve 2.0 dahil olmak üzere eski SSL sürümleri üzerinden gelen hiçbir bağlantıyı kabul etmiyoruz. Bilgilere erişim, belirteç tabanlı yetkilendirme yöntemiyle kısıtlandığından, bir kiracının verilerine yalnızca bu kiracıda izin verilen hesaplarla erişilebilir. Ayrıca dahili API’lerimiz, güvenilen sertifikalarda ve sertifika verme zincirlerinde SSL istemci/sunucu kimlik doğrulaması da gerektiriyor.

Son bir not

Azure AD iki şekilde sağlanır. Bu gönderide, Microsoft tarafından sağlanan ve işletilen genel kullanıma açık hizmete ilişkin güvenlik ve şifreleme konuları açıklanmıştır. Güvenilir iş ortaklarımız tarafından işletilen Ulusal Bulut örneklerimizle ilgili benzer konular için, çekinmeden hesap ekiplerinizle iletişime geçebilirsiniz.

(Not: Kısaca belirtmek gerekirse, Microsoft Online hizmetlerinize .com ile biten URL’lerle erişiyorsanız bu gönderideki açıklamalar sizin verilerinizi nasıl koruduğumuza ve şifrelediğimize yöneliktir.)

Verilerinizin güvenliği bizim için önceliklidir. Bu konuyu ÇOK ciddiye alıyoruz. Veri şifrelemesi ve güvenliğine ilişkin protokolümüze genel bir bakış sağlayan bu gönderinin kendinizi güvende hissetmenize yardımcı olduğunu umuyorum.

Saygılarımla,

Alex Simons (Twitter: @Alex_A_Simons)

Program Yönetimi Direktörü

Microsoft Kimlik Birimi

[TLS ve SSL kullanımımız hakkında belirli sürüm bilgilerini eklemek için 03.10.2017’de güncelleştirildi]