Windows Azure Güvenlik Çözümleri: 2 – Çoklu Faktörlü Kimlik Doğrulama (MFA)

Geçen sene sonbaharda satın aldığımız pazar liderlerinden biri olan PhoneFactor Services ile birlikte güvenlik yatırımlarımızı arttırmaya devam ediyoruz.

Windows Azure’un bir servisi olarak sunulan Multi-Factor (MFA) ya da Two-Factor (TFA) teknolojisi, birden fazla kimlik doğrulama yönteminin birlikte kullanıldığı ve kullanıcı oturum açma işlemlerine ikinci bir katman daha ekleyerek güvenliğin önemli derecede arttırıldığı bir kimlik doğrulama yöntemidir.

Multi-Factor Authentication teknolojisi ile beraber ister buluttaki uygulamalarınızı isterseniz de şirket içine kurulan bir MFA sunucusu ile şirket içi sistemlerinizi güvenlik altına alabileceksiniz.

Peki MFA ne tip sistemler ve uygulamalarla uyumludur?

Azure_MFA_1

Dilerseniz SMS, dilerseniz otomatik telefon araması, dilerseniz de mobil uygulama (WindowsPhone, IOS, Android uyumlu) ile ikinci kimlik doğrulama hizmetinden yararlanabilirsiniz.  Çevrimdışı şifre üretimi de ayrıca mümkündür.  Kullanıcı kendisine gelen mesaja cevap vererek ya da telefonuna gelen çağrıda istenilen tuşu kulanarak veya mobil uygulamadaki kodu onaylayarak kimlik doğrulama işlemine devam edebilmektedir.

Şirket içinde RADIUS, AD, ADFS, IIS, LDAP entegrasyonları yapabilen ve şirket içine kurulan bu MFA sunucusu, tüm entegrasyon, kullanıcı ve uygulama bilgisini şirket içinden sağlar. Dolayısıyla buluta herhangi bir müşteri ya da şirket bilginiz asla çıkmaz. Servis sadece kimlik doğrulama kodları yaratan ve kodları kullanıcı telefonuna ulaştıran bir servis olarak calışır. Ayrıca mevcut uygulamalarınıza herhangi bir kod değişikliği yapmadan bu servisten çok kısa sürede yararlanabilirsiniz.


Şirket İçinde Sunulan Uygulamalar ile MFA Sunucusunun Entegrasyonu ve Çalışması:

Azure_MFA_2_622

  • İlk olarak kullanıcı, mevcut hesap bilgilerini kullanarak uygulamaya herhangi bir aygıttan giriş yapmaya çalışır.
  • Eğer kullanıcı şirket içindeki bir uygulamasına erişim yapıyorsa, müşteri ortamında kurulu olan MFA sunucusu kullanıcının bu kimlik doğrulama sürecinin arasına girer.
  • İlk olarak Active Directory’deki kullanıcı ismini ve şifresini kontrol eder.
  • Eğer hesap bilgileri doğru ise MFA bulut servisine bir istek gider.
  • Buluttaki MFA servisi kullanıcı telefonuna bir kimlik doğrulama talebi gönderir (SMS, telefon araması, mobil uygulama yöntemlerinden biri ile)
  • Kullanıcı telefonuna gelen bu isteğe doğru cevabı verdiği anda kullanıcının uygulamaya erişimi gerçekleşir.

 

Bulutta Sunulan Uygulamalar ile MFA Sunucusunun Entegrasyonu ve Çalışması:

Azure_MFA_3_622

  • Şirket içi MFA sunucusu mevcut bir ADFS sunucusu ya da diğer bir SAML uygulaması ile bulut uygulamalarına SSO (Çoklu oturum açma) yapabilir.
  • Eğer buluttaki uygulama Windows Azure Active Directory (WAZAD) kullanıyorsa, bu servise entegre çalışan yine buluttaki bu MFA servisini, herhangi bir MFA sunucusuna ihtiyaç duymadan direk kullanabilir.

MFA SDK’sı ile her zaman uygulamalarınıza özelleştirilmiş bir entegrasyon sağlayabilirsiniz.

MFA Servisinin Şirket İçi Sistemler İle Entegrasyonu

Windows (LogMeIn, Terminal Servisler), LDAP, RADIUS, IIS (OWA, çeşitli form ve http bazlı kimlik doğrulama gerektiren web uygulamaları) için kimlik doğrulama işlemlerinde MFA servisini, 2. faktör kimlik doğrulama servisi olarak ayarlayabilirsiniz.  Servisi aktif hale getirmek istediğiniz kullanıcıları ise Active Directory ile senkronize ederek MFA sunucusu üzerine çekebilirsiniz.

MFA sunucusu bir master ve birçok slave olacak şekilde çoklanabilmektedir ve gruplara ayrılabilmektedir.  Master, ana arayüz olarak işlev görmektedir ve slave olarak kurulu diğer MFA sunucuları ile konuşmaktadır. Mesela bu sunucular Active Directory, LDAP, IIS, Terminal Servis, RADIUS sunucuları olabilir.

Azure_MFA_4

IIS Sunucusu İle Entegrasyon

MFA sunucusu kurulumu esnasında IIS sunucusuna bir eklenti (plugin) yükler. Bu eklenti, buluttaki MFA kimlik doğrulama servisini harekete geçirmek için IIS Web sunucusuna yapılan talepleri filtreler. Tüm Form ve HTTP bazlı kimlik doğrulama yöntemlerini destekler.  OWA için ayar HTTP bazlı kimlik doğrulama sekmesinde yapılmaktadır.

Azure_MFA_5

RADIUS ile Entegrasyon

MFA sunucusu bu senaryoda RADIUS sunucusu olarak görev yapıyor ve RADIUS istemci (Örneğin VPN Cihazı) ile kimlik doğrulama yapılacak hedef arasına konumlanıyor (Örneğin Active Directory, LDAP, diğer bir RADIUS Sunucusu) ve MFA sunucusuna bu talebi yönlendirmeye yarıyor. Bunun için MFA sunucu üzerinde hem hedef hem de istemci ayarlarını yapmak gerekiyor. MFA sunucusu RADIUS istemcisinden gelen talepleri kabul eder, hedef ile bu hesap bilgilerini kontrol eder, sonra buluttaki MFA kimlik doğrulama servisini harekete geçirir ve cevabı RADIUS istemcisine döner. Eğer birincil kimlik doğrulama ve MFA kimlik doğrulaması beraber başarılı sayılırsa tüm işlem başarılı olur.

Azure_MFA_6_622

MFA Servisinin Diğer Genel Özellikleri

  • Aygıt sertifikası yatırımı ve yönetimi yoktur.
  • Kullanıcı eğitimine gerek kalmaz.
  • Herhangi bir telefon bu servisi kullanmak için yeterlidir.
  • Kullanıcı dilerse kendi doğrulama yöntemini bir kullanıcı portalına giriş yaparak değiştirebilir. Ayrıca dil seçimi de yapabilmektedir. Self servis bir portal olarak admin iş yükünü azaltmaktadır.
  • Uygulamalarda özelleştirmeye gerek kalmadan, kolay entegrasyon sağlanabilmektedir.
  • Zengin raporlama bilgisi sunmaktadır.
  • Özelleştirilmiş ses mesajı ile telefon araması yapılabilmektedir.
  • OTP (one-time password) yani bir kerelik erişim için şifre üretilebilmektedir.
  • Ek güvenlik için kullanıcı bazlı PIN kodu kullanılabilmektedir.
  • Hileli erişim alarmı verek erişimi kilitleyebilmektedir.

Detaylı bilgi için Windows Azure sayfamızda bulunan Multi Factor Authentication sayfasını ziyaret edebilirsiniz.

http://www.windowsazure.com/tr-tr/services/multi-factor-authentication/

 

Windows Azure Active Directory (WAAD) çözümünün ayrıntılarını bu yazıda , Rights Management Service (RMS) hakkındaki bilgileri ise bu yazıda bulabilirsiniz.