Şirkete ait kaynaklar üzerinde tek tip MFA uygulama

İşletmede yaşanan sorun

Şifrelerin ele geçirilmesi, veri ihlalinin temel kaynaklarından biridir. Bir şifre ele geçirildiğinde bilgisayar korsanı, çalışanın erişim iznine sahip olduğu tüm şirket verilerine erişebilir.

Çok faktörlü kimlik doğrulaması (MFA), şirket kaynaklarını korumak için önemli bir araçtır. 2 adımlı doğrulama (2SV) olarak da adlandırılan MFA, kullanıcılardan, bildikleri bir öğeye (ör. şifre) ek olarak sahip oldukları bir öğeyi (ör. fiziksel anahtar veya erişim kodu) kullanarak kimliklerini doğrulamalarını ister.

Şirketiniz, kullanıcı hesaplarını ve verileri korumak amacıyla, şirket kaynaklarına erişmek isteyen tüm kullanıcıların 2SV aracılığıyla kimlik doğrulama işlemi yapması gerektiğine karar vermiştir.

Çözümler

Kimlik sağlayıcınız (IdP) Cloud Identity ise 2SV'yi çeşitli yollarla uygulayabilirsiniz. Üçüncü taraf bir IdP kullanıyorsanız sundukları 2SV çözümünü öğrenmek için ilgili sağlayıcıya başvurun.

2SV'yi zorunlu kılmaya yönelik farklı düzeyler arasından seçin yapabilirsiniz:

  • İsteğe bağlı: 2SV kullanıp kullanmayacağına çalışan karar verir.
  • Zorunlu: 2SV yöntemini çalışan seçer.
  • Zorunlu güvenlik anahtarları: Çalışanın güvenlik anahtarı kullanması gerekir.

Güvenlik anahtarları

Güvenlik anahtarları, en güçlü 2SV yöntemini sunar.

Güvenlik anahtarları kullanmak, diğer 2SV yöntemlerine kıyasla en güçlü güvenlik düzeyini sağlar. Bu fiziksel anahtar genellikle bilgisayardaki bir USB bağlantı noktasına takılır. Kullanıcı, istendiğinde anahtara dokunur ve böylece şifreli bir imza oluşturulur.

Bazı dolandırıcılar, Google gibi görünen ve 2SV kodları isteyen kimlik avı siteleri oluştururlar. Google güvenlik anahtarlarının şifreleme kullanması ve kullanıcıların ziyaret ettiği sitelerin geçerliliğini doğrulaması nedeniyle, bu güvenlik anahtarları kimlik avı saldırılarına daha dayanıklıdır.

Android mobil cihazlarda kullanıcılar, Near Field Communication (NFC) cihazındaki güvenlik anahtarına dokunarak güvenlik anahtarı kullanabilir. Android cihazlarda ayrıca USB ve Bluetooth Düşük Enerji (BLE) seçenekleri de kullanılabilir. Apple mobil cihazlar için Bluetooth özellikli güvenlik anahtarları gerekir.

Google istemi

Google İstemi, alternatif bir 2SV yöntemidir.

Kullanıcılar, 2SV kodu oluşturup bu kodu girmek yerine Android veya Apple mobil cihazlarını oturum açma istemi alacak şekilde ayarlayabilir. Google Hesaplarında bilgisayardan oturum açtıklarında, mobil cihazlarında "Oturum açmaya mı çalışıyorsunuz?" istemi görüntülenir. Onaylamak için mobil cihazlarına dokunamaları yeterlidir.

Google Authenticator uygulaması

Google Authenticator, alternatif bir 2SV yöntemidir.

Google Authenticator uygulaması Android veya Apple mobil cihazlarında tek kullanımlık 2SV kodları oluşturur. Kullanıcılar, mobil cihazlarında doğrulama kodu oluşturup istendiğinde bu kodu bilgisayarlarına girer. Bu kodla, masaüstü veya dizüstü bilgisayarın yanı sıra mobil cihazın kendisinde de oturum açılabilir.

Yedek kodlar

Yedek kod, alternatif bir 2SV yöntemidir.

Kullanıcının mobil cihazından uzak olduğu veya mobil cihazını yanında taşıyamayacağı yüksek güvenlikli bir alanda çalıştığı durumlarda 2SV için yedek kod kullanılabilir. Kullanıcılar, yedek doğrulama kodları oluşturup bunları önceden yazdırabilir.

Kısa mesaj veya telefon araması

Kısa mesaj veya telefon araması, alternatif 2SV yöntemleridir.

Google, kısa mesaj veya sesli arama yoluyla mobil cihazlara 2SV kodu gönderir.

Öneriler

Şirketiniz için en uygun 2SV alternatifinin hangisi olduğuna karar verirken güvenlik, maliyet ve kolaylık faktörlerini göz önünde bulundurmanız gerekir. Seçtiğiniz alternatif ne olursa olsun, 2SV'nin zorunlu kılınmasını öneririz. Bu işlem, 2SV kullanımını zorunlu hâle getirir.

Güvenlik anahtarı kullanma

En yüksek güvenlik düzeyini gerektiren veriler oluşturan ve bu tür verilere erişen çalışanlar için güvenlik anahtarı kullanımının zorunlu hâle getirilmesini öneririz. Diğer tüm çalışanlar için 2SV'yi zorunlu kılmanız ve güvenlik anahtarı kullanımını teşvik etmeniz gerekir.

Güvenlik anahtarları, Google tarafından Fast Identity Online (FIDO) Alliance kapsamında geliştirilen açık standardı temel alır ve 2SV'nin en güvenli biçimini sunar. Güvenlik anahtarlarının kullanılabilmesi için kullanıcı cihazlarında uyumlu bir tarayıcı bulunması gerekir.

Diğer seçenekler

Kararınızı verirken maliyet ve dağıtım faktörlerini dikkate alıyorsanız Google istemi veya Google Authenticator uygulaması, tercih edebileceğiniz iyi alternatifler arasındadır. Google istemi, doğrulama kodu girmek yerine cihaza dokunarak kolayca onaylama olanağı sunması nedeniyle daha iyi bir kullanıcı deneyimi sağlar.

Kullanıcılarınız, mobil cihazla girilemeyen yüksek güvenlikli alanlarda kullanmak üzere yazdırılabilir yedek kodlar oluşturabilir.

Kısa mesaj seçeneğini kullanmamanızı öneririz. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), devlet destekli kuruluşlardan gelebilecek saldırı riski nedeniyle SMS tabanlı 2SV'yi artık önermemektedir.

Örnek

A Şirketi, hem şirket içi uygulamalar hem de kimlik doğrulama yöntemleri kullanan büyük ve köklü bir kurumsal şirkettir. Bu şirket, güvenlik düzeyini yükseltmek, destek maliyetlerini düşürmek ve ölçeklenebilirliği artırmak için, birincil IdP olarak kullanmak üzere Cloud Identity'ye geçiş yapmak istiyor.

Şirket, bulut varlığının bir IDaaS tarafından yönetilmesine ilişkin talimatı uygulamaya karar veriyor. Bu da 2SV'nin kullanıma sunulmasını ve uygunluk gereksinimlerinin belirli bir tarihe kadar yerine getirilmesini gerektiriyor. Bilgi güvenliği ekibi, 2SV'nin tüm kullanıcılar için zorunlu olmasını istiyor.

A Şirketi, 2SV'yi uygulamak için Cloud Identity'yi kullanmaya karar veriyor. Hem işletme açısından en hassas ve en önemli şirket girişimleri üzerinde çalışan kullanıcılar hem de çalışan bilgilerine erişenler için güvenlik anahtarı kullanımının zorunlu hale getirilmesi planlanıyor. Bu uygulama, tüm birim yöneticilerinin yanı sıra mühendislik, finans ve insan kaynakları birimlerinde görev yapan kişileri kapsıyor. Diğer tüm çalışanların 2SV kullanması gerekiyor. Bu çalışanlar, kendilerine en uygun 2SV yöntemini seçebiliyor ve güvenlik anahtarı kullanmaya teşvik ediliyor.

Güvenlik anahtarını zorunlu kılma, kuruluşa göre değişen bir uygulamadır.

Daha geniş çaplı kuruluşlarda BT birimleri, güvenlik anahtarı kullanımını yalnızca belirli gruplar için zorunlu hale getirmek üzere kullanıcı alt grupları oluşturur. Bu alt gruplar, istisna grupları olarak adlandırılır. Örneğin, Pazarlama birimindeki herkesin 2SV kullanmasını gerektiren ancak güvenlik anahtarını yalnızca birim yöneticileri için zorunlu kılan bir kuruluşu ele alalım. Bu durumda BT, her birim için (pazarlama, satış, destek gibi) birer yönetici grubu oluşturur ve bu gruplarda güvenlik anahtarı kullanımını zorunlu kılar.