Bu yazımızda Microsoft 365 ortamınıza ek koruma sağlayacak bir özellikten bahsetmek isterim. Her zaman dışarıdan gelen saldırılara bir çözüm aradık, fakat içeriden gelebilecek saldırılara karşı bir önemin alınmadığını net bir şekilde söyleyebiliriz. OOffice 365 Privileged Access Management özelliği ile şirket içerisindeki yetkili kullanıcıların, şirket genelinde nasıl aksiyonlar aldıklarını yönetmek ister misiniz? O halde ürünümüzü inceleyelim. 🙂
Privileged Access Management (PAM), BT uzmanlarının şirket içerisinde yapabilecekleri süreçleri, yönetimi ve erişim süreçlerini sınırlayan bir güvenlik çözümüdür. Bu kişiler sıradan kullanıcılardan daha fazla ayrıcalığa sahiptirler. Mesela yetkili kullanıcılar, bilgisayarlar üzerinde yetkili hesap oluşturup silebilir, yazılım yükleyebilir veya kaldırabilir. Ya da işletim sistemini kurup, yükseltebilir veya alt yapı kurulum ve yapılandırma süreçlerini yapabilir. Yani standart kullanıcıların yapamadığı ve erişemediği tüm dosyalara erişim sağlayabilir.
Office 365’teki Privileged Access Management özelliği ise, Office 365 üzerinde daha ayrıntılı bir erişim kontrolü sağlamak adına sunulmaktadır. Firmaların hassas verilerine ve kritik yapılarına erişim sağlarken ikinci bir güvenlik katmanı oluşturmak için tercih edilmektedir. Bu sayede verilerin lokal olarak korunması ve Office 365 hizmetlerinin rol tabanlı erişim denetimini baz alarak, temel bir koruma sağlamaktadır.
Azure AD Privileged Identity Management ile birlikte kullanıldığında, bu iki özellik farklı kapsamlarda tam zamanlı erişim denetimi kontrolü sağlar. Privileged Access Management (PAM), ile erişim isteyen BT Adminlerin talepleri otomatik veya manuel olarak onaylanabilir ve tüm bu faaliyetler günlük aktivite olarak kaydedilir veya denetlenebilir. Böylece şirketinizde gerçekleşen ayrıcalıklı erişim isteklerini ve onaylarını inceleyebilir ve bu bilgileri, dahili incelemelere sorunsuz bir şekilde yanıt vermek için kullanabilirsiniz.
Privileged Access Management (PAM) Mimarisi ve akış süreçleri
Privileged Access Management’i kullanmak için Microsoft 365 Yönetici Merkezini veya Exchange Management Powershell ‘ini kullanabilirsiniz. Öncesinde ise Microsoft 365 yönetim merkezinden bu özelliği aktif etmeniz gerekir. Özelliği aktif ettikten sonra istek ve taleplerin onaylanması için bir grup oluşturulur. Gelen tüm talepler oluşturulan gruba düşer ve grup içinde kişi tüm talepleri istediği şekilde onaylar ya da reddeder. Bu süreç şu şekilde gerçekleşir; bir onay istediği oluşturulur ve oluşturulan bu istek PAM grubu içindeki kişilere bir e-posta gönderilir. Yetkili kişi bu istediği onaylar ise süreç işlenir ve görev tamamlanır. Aksi taktirde yetkili kişi istediği reddeder ise, istek engellenir ve istekte bulunan kişiye erişim izni verilmez. Bu durum onaylandığında ya da reddedildiğinde ilgili kişiye bir e-posta gönderilir.
Tüm görevler ve süreçlerle ilgili oluşan aksiyonlar, Microsoft 365 Güvenlik ve Uyumluluk Merkezi’ne kaydedilir.
Şimdi ise yukarıdaki süreçlere bağlı olarak Privileged Access Management (PAM) özelliği ile bir örnek yapalım. Örneğimiz yetkili kullanıcının bizim istediğimiz doğrultuda yetki talep etmesini ve bu talebi ise daha yetkili bir kullanıcının onaylaması doğrultusunda işlem yapmasını sağlayalım.
İlk olarak Microsoft 365 Portalına Global Admin hesabı ile giriş yapınız.
Ardından Panel üzerinde sol bölümde yer alan Groups altından Privileged Access için TeamPAM isiminde Mail-Enable Security grubu oluşturulur.
Oluşturulan bu gruba yetkili bir kullanıcı ekliyorum.
Microsoft 365 tarafında Privileged Access özelliğini aktif edebilmek için Panel’in sol bölümünde Settings- Security & privacy- Privileged Access adımlarını takip ediyorum. Privileged Access aktif ederken default bir grup tanımlaması yapılması gerekir. Öncesinde oluşturduğum TeamPAM grubunu ekliyorum.
Özelliğin aktif edilmesi ve grup tanımlama işlemini tamamlandıktan sonra Privileged Access ‘in politika ve isteklerinin yönetildiği “Manage Access Policies and requests” linkine tıklıyorum.
Configure Policies butonuna tıklayın.
Add Policy butonu ile örnek bir senaryo uygulayalım.
- Policy type: Task, Role veya Role Group’ları seçilebilir.
- Policy scope: Exchange
- Policy name: Varolan policy’ler içinde seçip yapılabilir.
- Approval type: Onaylama mekanızması otomatik veya manuel olarak seçilebilir.
- Approval group: Onay için makalemizin başında oluşturduğumuz grubu seçebiliriz.
İlgili adımları doldurduktan sonra kuralımız kısa bir süre içerisinde aktif olacaktır. TeamPAM grubu içerisinde olmayan herhangi bir yetkili kullanıcı, standart bir kullanıcıya Full Access yetkisi tanımlamak istediğinde yukarıdaki ekran görüntüsünde alınan hata gibi bir uyarı alacaktır.
Yetkili kullanıcı bu izni alabilmesi için panel’in sol bölümünden Settings- Security & privacy- Privileged Access adımlarını takip ederek bir istekte bulunması gerekir.
Request süreçlerini tamamlandıktan sonra TeamPAM grubun üyelerine bu konuyla ilgili bir bir istek yapıldığının bilgisi gelir.
TeamPAM grubunun üyesi olan Emre kullanıcısı gelen bu talebin bilgilerini inceleyerek onaylar ya da reddet edebilir.
Onay butonuna tıklayarak izin veriyorum.
Talebi oluşturan Joni kullanıcısı ile Alex mailbox’ına Full Access yetkisi verebilmekteyim.
Böylece sizlerde içeriden gelecek olan saldırıları ya da sizin bilginiz dahilinde olmayan süreçleri bu şekilde bir takip edebilirsiniz.