Giriş
Yapay zeka (AI) ajanları, iş süreçlerini otomatikleştirmek ve verimliliği artırmak için giderek daha fazla kullanılmaktadır. Ancak bu ajanlar, insan müdahalesi olmadan çalıştıkları için geleneksel kimlik doğrulama yöntemleriyle yeterince korunamamaktadır. Microsoft Entra, AI ajanlarının benzersiz tehditlerine karşı yeni bir kimlik güvenlik çerçevesi sunmaktadır. Bu makalede, AI ajanlarının güvenliğini sağlamak için Conditional Access politikalarının nasıl uygulanacağı detaylandırılacaktır.
Sorun Tanımı: AI Ajanlarının Benzersiz Riskleri
AI ajanları, insanlardan farklı olarak saniyeler içinde binlerce işlem gerçekleştirebilir ve bu da onları geleneksel kimlik doğrulama yöntemlerine karşı savunmasız hale getirir. Temel riskler şunlardır:
- Hızlı İşlemler: AI ajanları, insanların algılayamayacağı kadar hızlı hareket eder ve bu da anormal aktivitelerin tespitini zorlaştırır.
- Otomatik DoS Saldırıları: Kötü niyetli ajanlar, sistemleri aşırı yükleyerek hizmet reddi saldırıları gerçekleştirebilir.
- Kimlik Yönlendirme: AI ajanları, kimlik bilgilerini çalmak için sahte kimlikler oluşturabilir.
- Veri Sızıntısı: Hassas verilerin yetkisiz ajanlar tarafından erişilmesi ve dışarı aktarılması riski artmaktadır.
Geleneksel MFA'nın Yetersizliği
Çok faktörlü kimlik doğrulama (MFA), insan kullanıcılar için etkili olsa da AI ajanları için yeterli değildir. AI ajanları, MFA'yı otomatik olarak atlayabilir veya kimlik bilgilerini çalabilir. Bu nedenle, Microsoft, kimlik güvenlik stratejisini birleşik risk modeline doğru genişletmektedir. Bu model, kimlik, uç nokta ve veri katmanlarından gelen sinyalleri entegre eder.
Çözüm: Birleşik Risk Modeli ve Conditional Access
Microsoft Entra, AI ajanlarının güvenliğini sağlamak için Conditional Access politikalarını kullanmaktadır. Bu politikalar, ajanların davranışını sürekli olarak izleyerek riskli aktiviteleri engeller. Aşağıda, adım adım uygulama süreci açıklanmaktadır:
Adım 1: Microsoft Entra ID'de AI Ajanları için Kimlik Oluşturma
Aşağıdaki komutlar, AI ajanları için özel kimlikler oluşturmanıza yardımcı olacaktır. Bu kimlikler, ajanların kimlik doğrulamasını yönetmek için kullanılır.
# PowerShell kullanarak AI ajanı için kimlik oluşturma
Connect-MgGraph -Scopes "Application.ReadWrite.All"
$app = New-MgApplication -DisplayName "AI-Agents-Secure-Identity" -SignInAudience "AzureADMyOrg"
$servicePrincipal = New-MgServicePrincipal -AppId $app.AppId -AccountEnabled
Adım 2: Risk Politikalarını Yapılandırma
AI ajanlarının riskli aktivitelerini tespit etmek için Microsoft Entra ID Risk Politikaları kullanılmalıdır. Bu politikalar, ajanların davranışını sürekli olarak izler ve riskli aktiviteleri engeller.
# Risk politikası oluşturma
Connect-MgGraph -Scopes "IdentityRiskPolicy.ReadWrite.All"
$riskPolicy = @{
displayName = "AI Agents Risk Policy"
isEnabled = $true
riskLevel = @("high", "medium")
userRiskLevels = @("high", "medium")
signInRiskLevels = @("high", "medium")
sessionRiskLevels = @("high", "medium")
}
New-MgIdentityRiskPolicy -BodyParameter $riskPolicy
Adım 3: Conditional Access Politikalarını Uygulama
Conditional Access politikaları, AI ajanlarının erişimini kısıtlamak için kullanılır. Aşağıdaki adımlar, ajanların yalnızca güvenilir uç noktalardan ve belirli koşullar altında erişim sağlamasını sağlar.
-
Microsoft Entra ID yönetim portalına gidin ve Security > Conditional Access bölümüne gidin.
-
New Policy seçeneğine tıklayın ve aşağıdaki ayarları yapılandırın:
- Name: "AI Agents Secure Access Policy"";
- Users or workload identities: AI ajanları için oluşturduğunuz kimlikleri seçin.
- Cloud apps or actions: AI ajanlarının erişeceği uygulamaları seçin.
- Conditions:
- User risk: Yüksek ve orta riskli kullanıcıları engelle.
- Sign-in risk: Yüksek ve orta riskli oturumları engelle.
- Device platforms: Sadece güvenilir cihaz platformlarını (örneğin, Windows, macOS) izin ver.
- Locations: Sadece güvenilir coğrafi konumlardan erişime izin ver.
- Grant: Erişimi yalnızca çok faktörlü kimlik doğrulama (MFA) ve cihaz uygunluğu ile sağla.
-
Politikayı Enable olarak ayarlayın ve kaydedin.
Adım 4: Uç Nokta ve Veri Katmanı Entegrasyonu
AI ajanlarının güvenliğini sağlamak için, uç nokta ve veri katmanlarından gelen sinyallerin de entegre edilmesi gerekmektedir. Bu, ajanların davranışını daha kapsamlı bir şekilde izlemenizi sağlar.
# Microsoft Defender for Endpoint ile entegrasyon
# Aşağıdaki komut, Defender for Endpoint ile Microsoft Entra ID arasındaki entegrasyonu yapılandırır.
Connect-MgGraph -Scopes "DeviceManagementManagedDevices.ReadWrite.All"
$deviceCompliancePolicy = @{
displayName = "AI Agents Device Compliance Policy"
description = "Ensure AI agents are compliant with security policies"
settings = @{
deviceCompliancePolicyType = "endpointProtection"
actionsForNoncompliance = @(
@{
actionType = "block"
gracePeriodHours = 0
}
)
}
}
New-MgDeviceCompliancePolicy -BodyParameter $deviceCompliancePolicy
İpuçları ve Uyarılar
⚠️ Uyarı: AI ajanları için oluşturulan kimlikler, yalnızca güvenilir uygulamalar tarafından kullanılmalıdır. Bu kimliklere erişimi olan uygulamaların sürekli olarak izlenmesi ve güncellenmesi gerekmektedir.
💡 İpucu: Conditional Access politikalarını test etmek için What If aracını kullanın. Bu araç, politikaların uygulanmadan önce nasıl çalışacağını simüle etmenizi sağlar.
Sonuç
Microsoft Entra'daki AI ajanlarının güvenliğini sağlamak, geleneksel kimlik doğrulama yöntemlerinin ötesine geçmeyi gerektirir. Birleşik risk modeli ve Conditional Access politikaları, AI ajanlarının benzersiz tehditlerine karşı etkili bir koruma sağlar. Bu makalede açıklanan adımları takip ederek, AI ajanlarınızın güvenliğini artırabilir ve kurumsal verilerinizi koruyabilirsiniz.
