Was meinen wir mit Einhaltung von Zero Trust?

Dieser Artikel bietet einen Überblick über die Anwendungssicherheit aus der Sicht eines Entwicklers, um die Leitprinzipien von Zero Trust zu verstehen. In der Vergangenheit ging es bei der Codesicherheit um Ihre eigene App: Wenn Sie Fehler machten, war Ihre eigene App gefährdet. Heute ist Cybersicherheit eine hohe Priorität für Kunden und Regierungen weltweit.

Die Einhaltung der Cybersicherheitsanforderungen ist eine Voraussetzung für viele Kunden und Regierungen zum Kauf von Anwendungen. Weitere Informationen finden Sie in der Anforderungszusammenfassung in U.S. Executive Order 14028: Improving the Nation's Cybersecurity und U.S. General Services Administration. Ihre Anwendung muss den Kundenanforderungen entsprechen.

Cloudsicherheit wird in der Organisationsinfrastruktur berücksichtigt und ist nur so sicher wie das schwächste Glied. Wenn eine einzelne App das schwächste Glied ist, können arglistige Akteure Zugriff auf geschäftskritische Daten und Vorgänge erhalten.

Anwendungssicherheit aus Entwicklerperspektive umfasst einen Zero Trust-Ansatz: Anwendungen befassen sich mit den Leitprinzipien von Zero Trust. Als Entwickler aktualisieren Sie Ihre Anwendung kontinuierlich, da sich die Bedrohungslandschaft und die Sicherheitsleitlinien ändern.

Unterstützen von Zero Trust-Prinzipien in Ihrem Code

Zwei Schlüssel zur Einhaltung von Zero Trust-Prinzipien sind die Fähigkeit Ihrer Anwendung, explizit zu überprüfen und den geringsten Berechtigungszugriff zu unterstützen. Ihre Anwendung sollte die Identitäts- und Zugriffsverwaltung an Microsoft Entra ID delegieren, damit sie Microsoft Entra-Token verwenden kann. Durch Delegieren der Identitäts- und Zugriffsverwaltung kann Ihre Anwendung Kundentechnologien wie mehrstufige Authentifizierung, kennwortlose Authentifizierung und Richtlinien für bedingten Zugriff unterstützen.

Mit Microsoft Identity Platform und Zero Trust-Aktivierungstechnologien (wie im folgenden Diagramm dargestellt) hilft die Verwendung von Microsoft Entra-Token Ihrer Anwendung bei der Integration in die gesamte Suite von Sicherheitstechnologien von Microsoft.

Diagrammtitel: Die Zero Trust-Aktivierungstechnologien von Microsoft. Die Abbildung zeigt Microsoft Entra Conditional Access, Microsoft Entra ID, Defender for Identity, Information Protection, Defender for Cloud Apps, Azure Security, Azure Networking, Microsoft Sentinel, Defender XDR, Endpoint Manager und Defender for Endpunkt.

Wenn Ihre Anwendung Kennwörter erfordert, können Sie Ihre Kunden möglicherweise einem vermeidbaren Risiko aussetzen. Böswillige Akteure sehen die Umstellung auf Arbeit an jedem Ort mit jedem Gerät als Möglichkeit, auf Unternehmensdaten zuzugreifen, indem Aktivitäten wie Kennwortsprayangriffe ausgeführt werden. Bei einem Kennwortsprayangriff probieren böswillige Akteure ein vielversprechendes Kennwort über eine Reihe von Benutzerkonten hinweg aus. Sie können beispielsweise GoSeaHawks2022! für Benutzerkonten im Bereich Seattle ausprobieren. Dieser erfolgreiche Angriffstyp ist eine Rechtfertigung für die kennwortlose Authentifizierung.

Abrufen von Zugriffstoken von Microsoft Entra ID

Ihre Anwendung muss mindestens Zugriffstoken von Microsoft Entra ID abrufen, die OAuth 2.0-Zugriffstoken ausgibt. Ihre Clientanwendung kann diese Token verwenden, um eingeschränkten Zugriff auf Benutzerressourcen über API-Aufrufe im Namen des Benutzers zu erhalten. Sie verwenden ein Zugriffstoken, um jede API aufzurufen.

Wenn ein delegierter Identitätsanbieter die Identität überprüft, kann die IT-Abteilung Ihres Kunden die geringstmöglichen Zugriffsberechtigungen mit Microsoft Entra-Berechtigung und -Zustimmung erzwingen. Microsoft Entra ID bestimmt, wann Token für Anwendungen ausgegeben werden.

Wenn Ihre Kunden verstehen, auf welche Unternehmensressourcen Ihre Anwendung zugreifen muss, können sie Zugriffsanforderungen ordnungsgemäß gewähren oder verweigern. Wenn Ihre Anwendung beispielsweise auf Microsoft SharePoint zugreifen muss, dokumentieren Sie diese Anforderung, damit Kunden die richtigen Berechtigungen erteilen können.

Nächste Schritte

• Die Verwendung von standardsbasierten Entwicklungsmethoden bietet eine Übersicht über unterstützte Standards (OAuth 2.0, OpenID Connect, SAML, WS-Federation und SCIM) und die Vorteile der Verwendung mit MSAL und der Microsoft Identity Platform.
• Erstellen von Apps mit einem Zero Trust-Ansatz für Identität bietet eine Übersicht über Berechtigungen und bewährte Methoden für den Zugriff.
• Durch das Anpassen von Token werden die Informationen beschrieben, die Sie in Microsoft Entra-Token empfangen können. Erfahren Sie, wie die Tokenanpassung Flexibilität und Kontrolle verbessert, während die Sicherheit der Anwendung durch Zero Trust mit geringstmöglichen Zugriffsberechtigungen erhöht wird.
• Unterstützte Identitäts- und Kontotypen für Einzel- und Mehrinstanzen-Apps erläutern, wie Sie festlegen können, ob Ihre App nur Benutzer aus Ihrem Microsoft Entra-Mandanten, jedem Microsoft Entra-Mandanten oder Benutzern mit persönlichen Microsoft-Konten zulässt.
• Der API-Schutz beschreibt bewährte Methoden zum Schutz Ihrer API durch Registrierung, Definieren von Berechtigungen und Einwilligung sowie das Durchsetzen der Zugriffskontrolle, um Ihre Zero Trust-Ziele zu erreichen.
• Bewährte Methoden zur Autorisierung helfen Ihnen, die besten Autorisierungs-, Berechtigungs- und Zustimmungsmodelle für Ihre Anwendungen zu implementieren.