Microsoft Entra GA: WAF, Bot Savunması ve Kimlik Kurtarma

Giriş: neden önemli

Kimlik saldırıları giderek yalnızca kimlik doğrulamanın kendisini değil, tüm kullanıcı yolculuğunu—sign-up, sign-in ve recovery—hedefliyor. Microsoft Entra’nın GA durumundaki yeni iş ortağı entegrasyonları, daha güçlü kontrolleri daha hızlı benimsemeyle birleştirdiği için dikkat çekiyor: yöneticiler, geleneksel özel entegrasyonların sürtünmesi, uzun uygulama döngüleri veya özel sözleşmeler olmadan, belirli iş ortağı çözümlerini doğrudan Entra portalında (ve Microsoft Security Store üzerinden) keşfedebilir, satın alabilir ve dağıtabilir.

Neler yeni (GA): kimlik güvenliği için entegre iş ortağı çözümleri

Microsoft Entra artık temel kimlik temas noktalarında katmanlı korumalar ekleyen ürün içi entegrasyonlar sunuyor:

1) Kimlik doğrulama uç noktaları için edge seviyesinde WAF koruması

• İş ortakları: Cloudflare ve Akamai
• Senaryo: Dışa açık kimlik doğrulama uç noktalarını DDoS, OWASP Top 10 riskleri ve kötü amaçlı botlara karşı koruyun.
• Mimari (katmanlı): Trafik Cloudflare/Akamai WAF → Azure Front Door → Microsoft Entra External ID tenant üzerinden akar.
• Değer: Tehditleri daha erken (edge’de) engelleyerek istekler kimlik altyapısına ulaşmadan önce yükü ve riski azaltır.

2) Sign-up sırasında dolandırıcılık önleme (CIAM)

• İş ortakları: Arkose Labs ve HUMAN Security
• Senaryo: Microsoft Entra External ID sign-up akışlarına risk tabanlı tarama ve uyarlanabilir doğrulama (adaptive challenges) ekleyin.
• Değer: Meşru kullanıcılar için sürtünmeyi en aza indirmeyi hedeflerken otomatik hesap oluşturma ve dolandırıcılığa karşı dayanıklılığı artırır.

3) Devlet kimliği doğrulamasıyla daha güçlü hesap kurtarma ve güvenli erişim

• İş ortakları: Au10tix, IDEMIA ve TrueCredential (LexisNexis)
• Senaryo: Entra ID account recovery için zayıf kurtarma yöntemlerini (örneğin güvenlik soruları) devlet kimliği belge doğrulaması ve gizliliği koruyan yüz biyometrisi ile değiştirin.
• Genişletme: Aynı doğrulama akışı Access Packages için de kullanılabilir; böylece hassas kaynaklara daha yüksek güvenceyle istek yapılır.
• Ek fayda: Kullanıcılar, gelecekteki kilitlenmeleri azaltmak için doğrulama sonrası passkeys kaydedebilir.

IT yöneticileri ve son kullanıcılar için etki

Yöneticiler için:

• Entra deneyimi içinde, iş ortağı korumaları için daha hızlı onboarding ve yapılandırma.
• CIAM ve kurumsal (workforce) kimlik senaryolarında daha tutarlı defense-in-depth; kontrollerin konumlandırılması daha net (edge WAF, sign-up koruması, recovery güvencesi).
• Microsoft Security Store üzerinden merkezî edinim ve dağıtım; satın alma ve entegrasyon yükünü azaltır.

Son kullanıcılar için:

• Hesap ele geçirme ve sahte sign-up girişimlerine karşı daha iyi koruma; daha az kesintiye yol açan olay.
• Eski kurtarma yöntemlerine göre daha güvenli olabilen, daha yüksek güvenceli recovery seçenekleri.

Eylem maddeleri / sonraki adımlar

1. Kimlik çevrenizi gözden geçirin: Hangi uygulamaların/tenant’ların Microsoft Entra External ID kullandığını ve hangi uç noktaların dışa açık olduğunu belirleyin.
2. Edge korumasını pilotlayın: External ID giriş noktalarının önünde Cloudflare/Akamai WAF değerlendirin (özellikle yüksek hacimli, herkese açık uygulamalar için).
3. Sign-up akışlarını güçlendirin: CIAM senaryoları için bot kaynaklı kayıtları azaltmak üzere Arkose Labs veya HUMAN entegrasyonlarını test edin.
4. Recovery’yi modernleştirin: devlet kimliği doğrulamasının düzenleyici gereksinimleriniz, gizlilik yaklaşımınız ve kullanıcı kitleniz için uygun olup olmadığını değerlendirin; iletişim ve destek planlayın.
5. Operasyonelleştirin: Olay müdahale runbook’larını ve izlemeyi, Entra sign-in log’larının yanında edge/WAF ve dolandırıcılık sinyallerini de kapsayacak şekilde güncelleyin.

Referans dokümanlar (Microsoft’tan): Cloudflare/Akamai WAF kurulumu, Arkose/HUMAN dolandırıcılık koruması entegrasyonları ve Entra ID account recovery rehberliği.