Microsoft Entra Workload ID, geleneksel kullanıcı kimliklerine ek olarak workload kimliklerinin (uygulama, service principal, managed identity) güvenliği için Microsoft Entra ID Premium yetenekleridir.
Workload Identity nedir?
Modern bulut uygulamalarında insan olmayan kimlikler kullanılır:
- Application: Bir uygulamanın Azure'a kayıtlı kimliği (örn. ERP sistem CRM API'sine erişiyor)
- Service Principal: Bir uygulamanın belirli bir tenant'taki örneği
- Managed Identity: Azure servislerinin (VM, Function, App Service) otomatik atanan kimliği
Bu kimlikler insan kullanıcıdan farklıdır — şifre değil sertifika/secret kullanır, sürekli çalışır, yetki kapsamı belirsizse büyük güvenlik açığıdır. Saldırgan service principal'i ele geçirirse uygulamanın tüm yetkileriyle erişir.
Workload ID'nin Açtığı Yetenekler
1. Conditional Access for Workloads
"Bu service principal sadece şu IP'lerden erişsin", "Yalnızca Türkiye'den giriş yapsın", "Sadece şu cihaz uyumluysa" gibi kurallar. Geleneksel CA sadece kullanıcı için, Workload ID app/service principal için.
2. Identity Protection for Workloads
Service principal'in giriş davranışı sürekli izlenir — anormal coğrafya, anormal saat, brute-force denemesi otomatik tespit. Microsoft Threat Intelligence ile yüksek riskli workload identity'ler işaretlenir.
3. Workload Identity Federation
GitHub Actions, Azure DevOps gibi CI/CD platformlarından Azure'a sertifika/secret yönetmeden erişim. OIDC (OpenID Connect) federation ile kısa süreli token, sızıntı riski azalır.
4. Continuous Access Evaluation (CAE)
Service principal token'ı yetkisi değişince anlık iptal — geleneksel token'lar 1 saat geçerli, CAE ile kısa süreli + olay bazlı yenilenme.
5. Lifecycle Workflows
App credential'ların (sertifika, secret) otomatik rotasyonu, sona erme uyarısı, eski credential temizlemesi. Manuel takip yerine workflow ile yönetilir.
Tipik kullanım senaryoları
- Mikroservis mimarisi — 100+ servis, her biri ayrı service principal. CA ile her birinin erişim kapsamı kontrol edilir.
- Multi-cloud — Azure'da çalışan app, AWS'deki S3'e federe identity ile erişim. Sertifika yönetimi merkezi.
- CI/CD pipeline güvenliği — GitHub Actions, GitLab pipelines'a long-lived secret yerine federe identity.
- 3rd-party SaaS entegrasyon — Salesforce, ServiceNow gibi sistemlerin Microsoft Graph'a erişimi izlenir, anormal davranış tespit edilir.
- Shadow IT / unknown app risk — kuruluştaki tüm registered app'lerin envanter + risk skoru.
Lisans hesabı
Workload ID lisansı workload identity başına alınır (kullanıcı bazlı değil). Tipik bir kurumda:
- Küçük: 5-20 service principal — $45-180/ay
- Orta: 50-100 service principal — $450-900/ay
- Büyük: 500+ service principal (mikroservis) — $4,500+/ay
Türkiye'de KDV ve maliyet (örnek 50 service principal)
- 50 × Yıllık peşin $108 = $5,400/yıl + KDV %20 = $6,480/yıl
- Aylık eşdeğer: $540/ay (KDV dahil)
- Bir tek service principal saldırısının ortalama maliyeti $2M+ — Workload ID yıllık $5K yatırım büyük ROI
İlgili ürünler: