BT dünyasının en hızlı büyüyen “Bulut Bilişim” platformu olan Windows Azure, Windows Azure Multi-Factor Authentication (Çok Faktörlü Kimlik Doğrulama) ile kimlik doğrulama ve güvenlik işlemlerini bir üst seviyeye taşıyor.
Son kullanıcılar ve kurumsal firmaların “Bulut Bilişim” platformlarında en çok merak ettiği konulardan biridir güvenlik. Windows Azure’un güvenliği konusunda önemli bir katkı sağlayan Multi-factor (MFA) ya da two-factor (2FA) teknolojisi; birden fazla kimlik doğrulama yönetiminin birlikte kullanıldığı ve kullanıcı oturum açma işlemlerine ikinci bir katman daha ekleyerek güvenliği önemli derecede arttıran bir kimlik doğrulama yöntemidir.
Windows Azure’un coğrafi olarak dağıtılmış veri merkezleri, güvenlik ve güvenirlilik için ISO/IEC 27001:2001 gibi temel endüstri standartları ile uyumludur. Şimdi de kullanıcılar Multi-Factor Authentication teknolojisini ister Windows Azure Active Directory ile birlikte isterlerse şirket içi kaynaklarını güvenlik altına almak için Windows Azure Multi-Factor Authentication Server ile birlikte isterlerse SDK kullanarak kendi geliştirdikleri uygulamalar içerisinde kullanabilecekler.
Multi-Factor Authentication güvenlik teknolojisi; katmanlı bir yapıdan oluşmaktadır. Birden fazla kimlik doğrulama metoduyla saldırganlar için önemli bir meydan okuma sunmaktadır. Bu metotlar aşağıdaki gibidir:
- Tipik parola
- Akıllı telefon gibi kolayca taklit edilemeyecek bir aygıt
- Biometric
Bir saldırgan yukarıda saydığımız kimlik doğrulama metotlarından kullanıcı parolasına sahip olsa bile MFA için yetkilendirilmiş güvenilir bir cihaza sahip olmadığından kimlik doğrulamayı geçemeyecektir. Windows Azure Multi-Factor Authentication kullanıcıları aynı zamanda mobil uygulama, telefon veya kısa mesaj kullanarak kimliklerini doğrulayabilirler.
Resim-1
Kimlik Doğrulama Seçenekleri
Çoklu out-of-band yöntemleri ve tek kullanımlık parola seçeneği ile Windows Azure Multi-Factor Authentication kullanıcıların tercih ettikleri yöntem ile kimlik doğrulama işleminin başarısız olması durumunda yedekleme seçenekleri için esneklik sağlamaktadır.
1.Multi-Factor Authentication Uygulamaları, Windows Phone, Android ve IOS kullanıcılarının ücretsiz indirebilmeleri için Store’lar da bulunmaktadır. Uygulama yüklendikten sonra ek güvenlik sağlamak için 2 farklı modda çalışabilir.
a.Bildiri: Bu modda Windows Azure MFA, hesapları yetkisiz erişimlere karşı engeller ve hileli yapılan işlemleri durdurur. Bunu kullanıcının telefonuna bir bildirim mesajı göndererek yapmaktadır. Kullanıcı basitçe bildirimi görür ve bildiği bir erişim ise kimlik doğrulamayı onaylar.
b.Tek kullanımlık parola: Bu modda, Windows Azure MFA uygulaması bir OATH parolası oluşturmak için kullanılabilir. Daha sonra oluşturulan bu parola, kimlik doğrulama esnasında kullanıcı adı ve parolası ile birlikte kullanılacaktır.
2.Otomatik Telefon Araması metodu ile sabit veya cep telefonu hattınıza otomatik bir arama gelmektedir. Kullanıcı sadece # tuşunu tuşlayarak kimlik doğrulama işlemini onaylamış olmaktadır.
3.Kısa Mesaj, Windows Azure MFA tarafından belirlenen cep telefonuna gönderilir. Metin mesajı tek kullanımlık şifre içermektedir. Kullanıcı bu tek kullanımlık parolayı kullanarak kimlik doğrulama işlemini tamamlar. SDK için şu anda sadece telefon araması ve kısa mesaj metotları kullanılabilmektedir.
Dilerseniz Windows Azure Multi-Factor Authentication’ın kullanımların alanlarını birlikte inceleyelim.
Bulut ortamının güvenliği
Windows Azure Active Directory kullanıcıları için Multi-Factor Authentication etkinleştirilerek kullanıcıların sonraki oturum açmaları esnasında ek doğrulama metodunu kurmaları istenmektedir. Multi-Factor Authentication’ı Windows Azure, Office 365 ve Dynamics CRM Online gibi bulut ortamlarınızın güvenliğini artırmak için kullanabilirsiniz. Bununla birlikte Microsoft bulut platformu dışında kullandığınız diğer bulut bilişim platformlarını Windows Azure Active Directory ile entegre ettiyseniz, MFA için ek ayarlar yapmanıza gerek yoktur. Çok sayıda kullanıcı ve küresel ölçekte uygulamalar için kolayca etkinleştirilebilmektedir.
Şirket içi kaynakların ve Active Directory güvenliği
Windows Azure Multi-Factor Authentication Server kullanarak şirket içi kaynaklarınızı da Active Directory ortamınızı da MFA ile daha güvenli hale getirebilirsiniz. Windows Azure Multi-Factor Authentication yöneticilere Microsoft IIS web uygulamalarını IIS, RADIUS, LDAP ve Windows kimlik doğrulama metotlarını entegre ederek sunmaktadır.
Windows Azure Multi-Factor Authentication Server’ı indirmek için iki farklı yöntem bulunmaktadır. Bunlardan ilki Windows Azure portal alanında Multi-Factor Authenticaton alanına gelerek bir MFA oluşturmanız ve Manage butonuna tıklamanız. Açılan Management Portal ekranında Download bölümüne gelerek indirme işlemine başlayabilirsiniz. Bir diğer yöntem ise https://pfweb.phonefactor.net adresine bağlanmanız ve daha önceden PhoneFactor adresine kayıt ettirdiğiniz kullanıcı adınız ile oturum açmanız. Yine açılacak ekranda download bölümünden serverı indirebilirsiniz.
Özel uygulamaların güvenliği
Yazılım Geliştirme Seti (SDK), bulut hizmetlerinizle doğrudan tümleşiktir. Multi-Factor Authentication telefon çağrısı ve SMS ile doğrulama yöntemlerini uygulamanızın oturum açma veya işlem süreçlerine ekleyebilir ve uygulamanızın var olan kullanıcı veri tabanından yararlanabilirsiniz.
Resim-2
Şimdi de birlikte Windows Azure Multi-Factor Authentication’ın yapılandırma işlemlerine birlikte bakalım.
Active Authentication Sağlayınıcın Oluşturulması
Windows Azure ortamınızda active authentication sağlayıcıyı oluşturabilmeniz için Windows Azure Portal bölümüne yetkili bir kullanıcı ile giriş yapmanız gerekmektedir. Giriş işlemini başarılı bir şekilde geçtikten sonra ekranın sol bölümünde bulunan Active Directory bölümüne gelin ve burayı tıklayın.
Resim-3
Açılan Active Directory penceresinde ekranın üst bölümünde bulunan Active Authentication Providers bölümünü seçin New butonuna tıklayın.
Resim-4
New butonuna bastığınızda karşınıza gelen ekranı aşağıdaki bilgiler doğrultusunda doldurabilirsiniz.
1.Name – Active Authentication sağlayıcınız için belirlemeniz gereken isim bölümü
2.Usage Model – Active Authentication sağlayıcınız için kullanım modeli
a.Per Authentication – Bu model satın alınan kimlik doğrulama başına ücretlendirmektedir. Bir uygulama içerisinde Windows Azure Active Authentication kullanımı gerektiren senaryolar için uygundur.
b.Per Enabled User – Bu model satın alınan her etkin kullanıcı başına ücretlendirilmektedir. Office 365 gibi senaryolar için uygundur.
3.Directory – Windows Azure sağlayıcınızı Windows Azure Active Directory servisiniz ile ilişkilendirmek istediğinizde belirlemeniz gereken bölümdür.
Create butonuna bir kez bastığınızda Active Authentication Provider oluşturulmaya başlanacak Successfully mesajı ile başarılı bir şekilde oluşturduğunuzu göreceksiniz.
Windows Azure Multi-Factor Authentication için hilecilik ayalarının yapılması
Windows Azure Multi-Factor Authentication sağlayıcınızı oluşturduktan sonra Manage butonuna basarak Windows Azure Multi-Factor Authentication Management Portal sayfasını açın.
Resim-5
Açılan sayfanın sol bölümünden Settings alanına tıklayın. Açılan Settings sayfasında da Fraud Alert bölümünden Allow users to submit Fraud Alerts bölümünü seçerek sahte girişler için alarm verilmesini sağlayabilirsiniz. Yine aynı pencerede sahte giriş yaptığını bildirdiğiniz kullanıcıları Block user when fraud is reported seçeneği ile bloklayabilirsiniz. Telefon ile gelen doğrulama metodunda ise güvenilmeyen kullanıcı girişlerini Create to report fraud during initial greeting kutucuğuna girdiğiniz numara ve # işaretini kullanarak raporlayabilirsiniz.
Resim-6
Bu işlemleri gerçekleştirip Save butonuna bastıktan sonra raporlama ve bloklama işlemlerini kontrolünü yapabilirsiniz. Telefonunuzda bulunan Multi-Factor Authentication uygulamasına doğrulama bildirimi geldiğinde aşağıdaki gibi bir görünüm olacaktır.
Resim-7
Cancel and Report Fraud butonuna basarsanız, kuruluşunuzun IT çalışanının sahte girişim için bilgilendirileceği mesajı ile karşılaşacaksınız. Report Fraud butonu ile işlemi tamamlayabilirsiniz.
Resim-8
Bloklanan tüm sahte girişimleride Windows Azure Multi-Factor Authentication Management Portal ekranından raporlayabilirsiniz. View a Report bölümünün altında Fraud Alert bölümüne tıklayın ve açılan pencerede raporlamak istediğiniz tarih aralığını belirtin. Dilerseniz özel bir kullanıcı adı ya da telefon numarası belirtebilirsiniz. Run butonuna bastığınızda raporunuz hazırlanacaktır ve Export to CSV komutuyla da raporunuzu dışarıya çıkartabilirsiniz.
Resim-9
Windows Azure Multi-Factor Authentication Management Portal sayfasından sadece hilecilik ayarlarını değil birçok farklı bölümün ayarlarına dokunabiliyorsunuz. İsterseniz kendiniz dilediğiniz kullanıcıları ya da telefon numaralarını bloklayabileceğiniz gibi dilediğiniz kullanıcılardan da bloku kaldırabilirsiniz. Telefon aramaları için dilediğiniz sesli mesajları ekleyebilir, bildirimler için e-mail adresleri tanımlayabilirsiniz.
Makalemizin sonuna geldiğimiz bu bölümde Windows Azure Multi-Factor Authentication ile ilgili detaylı bilgilere http://www.windowsazure.com , http://msdn.microsoft.com , http://technet.microsoft.com adreslerinden de ulaşabilirsiniz.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
