AD Bridging:Yalnızca kimlik doğrulama için mi kullanıyorsunuz?
Günümüzde kurumsal ağlar, çoklu bulutlardaki Windows, Linux ve UNIX sistemleriyle hibrittir ve BT ve BT Bölümleri ekiplerine erişimi yönetme gibi göz korkutucu bir görev bırakmaktadır. Active Directory Bridging, uzun yıllardır, kullanıcıların kurumsal Active Directory hesaplarıyla Windows olmayan sistemlerde oturum açmalarına olanak sağlayarak yardımcı olmuştur.
Ancak Active Directory Bridging’in değeri bunun çok ötesine geçebilir. Temel bridgingden daha fazla Active Directory özelliğinden yararlanarak erişimi daha iyi yönetebilir ve yanal hareketi önleyebilirsiniz.
Active Directory Bridging ve Kimlik Doğrulama
On kişiden dokuzu, “Active Directory Bridging nedir” sorusunu sorduğumda yanıtlar benzer olmaktadır:
o Ayrıcalıklı Erişim Yönetimi (PAM) özelliğidir.
o Yöneticilerin Active Directory hesaplarını kullanarak Linux makinelerinde oturum açmalarını sağlar.
o PAM rollerini tanımlarken Active Directory gruplarından yararlanmamızı sağlar.
Hepsi doğrudur. *NIX sunucularına sahip bir Active Directory mağazasında, yöneticileriniz herhangi bir yerde oturum açmak için Active Directory kimlik bilgilerini kullanmaktan ve çoklu oturum açma için Active Directory Kerberos’tan yararlanır. Active Directory’deki merkezi yönetim sayesinde operasyonel ek yükü azaltır, güvenlik açıklarını önler ve erişim yönetişimi ve kontrol tutarsızlıklarını en aza indirirsiniz. Ayrıca, yöneticilerin *NIX sistemlerinde oturum açmak için kullandığı birçok yerel ayrıcalıklı hesabı ortadan kaldırabilir, bunun yerine tek bir Active Directory hesabına güvenebilir ve böylece saldırı yüzeyinizi azaltabilirsiniz.
Active Directory Bridging, Active Directory ID’lerinin ve parolalarının doğrulanmasından çok daha fazlasıdır.
Bu avantajlar, genel olarak, AAA (Kimlik Doğrulama, Yetkilendirme ve Hesaplama) çerçevesinin Kimlik Doğrulama bölümü olarak da bilinen, oturum açma sırasında bir kullanıcıyı kimlik ve parola ile tanımlamayla eşleşir. Çoğu satıcı için AD Bridging’in durduğu yer burasıdır.
Active Directory Bridging, Yetkilendirme ve Muhasebe
Kullanıcıyı tanımlamak için kimlik doğrulama kullanmak yeterli değildir. Daha sonra, uygunluğu araştırmamız veya kanıtlamamız gerekirse, kullanıcının neler yapabileceğini kontrol etmek için izinleri kullanmalı ve bu aktiviteyi takip etmeliyiz. Bunlar, AAA çerçevesinin Yetkilendirme ve Muhasebe bölümleridir; şimdi bunları keşfedeceğiz.
Yetki
Kullanıcıların *NIX sistemlerinde yapabileceklerini yönetmek, yerel işletim sistemi denetimlerinin ve “sudo” haklarının bir birleşimidir. Yerel işletim sistemi kontrolleri sınırlıdır – kullanıcılar ve gruplar için okuma/yazma/yürütme izni – ayrıntılı kontrol yoktur.
Normal bir *NIX kullanıcısı, ayrıcalıklı sistem komutlarını çalıştıramayan sınırlı haklara sahiptir. Yerel sudo programı, talimatlarını her sistemde yapılandırmanız ve yönetmeniz gereken yerel bir /etc/sudoers dosyasından alarak izinlerin kontrollü olarak yükseltilmesini sağlar. Bu model, düzinelerce veya yüzlerce sisteminiz olduğunda ölçeklenmez (binlerce müşterimiz olduğunu varsayarsak). İdari yükü artırır ve toksik kombinasyonlar, güvenlik açıkları, aşırı ayrıcalıklı kullanıcılar ve başarısız denetimler riskini ortaya çıkarır.
AD Bridging ile yerel bir istemci, etki alanına bir Windows sunucusuna katılmak gibi *NIX sunucularını Active Directory’ye eklemenize olanak tanır. Yerel /etc/sudoer dosyalarına bağımlılığı ortadan kaldırarak, Active Directory’de merkezi olarak ayrıcalık yükseltme (“Yetkilendirme”) ilkelerini yönetmenize olanak tanıyoruz. Bu merkezi yönetim aynı zamanda oturum açma (“Kimlik Doğrulama”) ve çok faktörlü kimlik doğrulama (MFA) ilkelerini de kapsar; istemci bunları her sistemde yerel olarak uygular.
Kuruluşunuzun Windows ekibini üzmekten kaçınmak için bu *NIX ilkelerini diğer Windows merkezli Active Directory ilkelerinden ve yapılandırmalarından yalıtabilirsiniz.
Muhasebe
Sahneyi hayal edin; devam eden potansiyel bir ihlal var. Birkaç *NIX sisteminde oturum açmalı ve yerel günlük dosyalarında aceleyle dolaşmalısınız. Çok fazla aksiyon günlükleri kirletir ve binlerce alakasız olayı elemek zahmetli ve hataya açıktır. “Kök” ile ilişkilendirilen birçok ayrıcalıklı etkinlik görüyorsunuz. Ama kim root olarak giriş yaptı? Sorumluluk yok. Bunu her sistem için tekrarlayın ve değerli istihbarat bulana kadar siber saldırgan verilerinizle birlikte uçar gider.
AD Bridging, izinleri görevle daha iyi hizalamak için kısıtlayıcı, ayrıntılı ilkeleri destekler. Günlüğe kaydedilen ayrıcalıklı etkinlik farklıdır, şifreli değildir ve merkezi bir arabirim aracılığıyla analiz edilmesi kolaydır. En Az Ayrıcalık İlkesini uygulayan AD Bridging, hesap verebilirlik için etkinliği benzersiz bir Active Directory kullanıcısına bağlar. Oturum kayıtları ile, herhangi bir zaman aralığında herhangi bir makinede herhangi bir kullanıcı için ayrıcalıklı etkinliği yeniden oynatabilirsiniz. Ayrıca, çalıştırılan uygulamalar veya klavyede yazılan komutlar için kayıtlar arasında arama yapabilirsiniz.
Daha Gelişmiş AD Bridging için Daha Derin Active Directory Entegrasyonu
Bu yazımızda; Kullanıcı Kimlik Doğrulaması etrafında temel AD Bridging avantajlarını ve ayrıca Yetkilendirme ve Denetime bağlı ek avantajları tartıştık. Ancak faydaları burada bitmiyor. Gelişmiş AD Köprüleme ile veri ihlali veya fidye yazılımı saldırısı riskini azaltabilir, uyumluluk duruşunuzu iyileştirebilir, maliyeti azaltabilir ve operasyonel verimliliği daha da artırabilirsiniz.