¿Qué significamos Confianza cero cumplimiento?

Aunque la seguridad ha sido un punto de conversación durante décadas, la capacidad de asegurarse de que las aplicaciones son lo más seguras posible es un requisito importante desde la perspectiva del cliente. La ciberseguridad es de suma importancia para los clientes y gobiernos de todo el mundo, y el cumplimiento de los requisitos de ciberseguridad es un requisito previo para que muchos clientes y gobiernos compren aplicaciones. Por ejemplo, vea U.S. Executive Order 14028: Improving the Nation's Cybersecurity and U.S. General Services Administration requirements summary. Si la aplicación no cumple los requisitos del cliente, los clientes no comprarán la aplicación.

¿Qué significamos cuando hablamos de la seguridad de las aplicaciones desde una perspectiva del desarrollador? El enfoque Confianza cero a la seguridad de las aplicaciones significa que se ha desarrollado una aplicación para abordar los principios rectores de Confianza cero. Como desarrollador, deberá actualizar continuamente la aplicación a medida que cambia el panorama de amenazas y las instrucciones de seguridad.

¿Qué necesita en el código para admitir Confianza cero principios?

En un nivel fundamental, dos de las claves para el cumplimiento de la aplicación con los principios de Confianza cero son la capacidad de la aplicación para comprobar explícitamente y admitir el acceso con privilegios mínimos. Para ello, la aplicación debe delegar la administración de identidades y acceso a Azure Active Directory (AD), lo que permite a la aplicación usar tokens de Azure AD. Delegar la administración de identidades y acceso permite a la aplicación admitir tecnologías que el cliente implementa, como la autenticación multifactor, la autenticación sin contraseña y las directivas de acceso condicional. Con la plataforma de identidad de Microsoft, el uso de tokens de Azure AD permite que la aplicación se integre con todo el conjunto de tecnologías de seguridad de Microsoft.

diagrama que muestra las tecnologías que habilitan Microsoft Confianza cero; en el centro se aplica la directiva de acceso condicional de Azure AD.

Nota:

Si la aplicación requiere contraseñas, es posible que exponga a los clientes para evitar riesgos. Los actores incorrectos ven el cambio a trabajar desde cualquier ubicación con cualquier dispositivo como una oportunidad para acceder a los datos corporativos mediante la realización de actividades como ataques de difusión de contraseñas. Un ataque de difusión de contraseña se produce cuando un actor incorrecto elige una contraseña prometedor e intenta esa contraseña en un conjunto de cuentas de usuario. Por ejemplo, podría probar GoSeaHawks2022! en las cuentas de usuario del área Seattle. Este tipo de ataque se ha realizado correctamente y es una razón para el movimiento en ciberseguridad hacia la autenticación sin contraseña.

Adquisición de tokens de acceso de Azure AD

Como mínimo, la aplicación debe admitir la adquisición de tokens de acceso de Azure AD. Se trata de un token de acceso de OAuth 2.0 emitido por Azure AD que una aplicación cliente puede usar para obtener acceso limitado a los recursos de un usuario a través de llamadas API en nombre del usuario. Necesita un token de acceso para llamar a cada API.

Dado que la identidad se comprueba mediante un proveedor de identidades delegado, el departamento de TI del cliente puede configurar Azure AD para aplicar automáticamente el acceso con privilegios mínimos mediante directivas de acceso condicional. Azure AD usará información en tokens de acceso para administrar la validación de tokens según estas directivas.

Nota:

Asegúrese de que los clientes comprendan todos los recursos corporativos a los que la aplicación necesita acceder para que puedan definir correctamente sus directivas. Por ejemplo, si la aplicación necesita acceder a Microsoft SharePoint, incluya esta información en la documentación para que pueda ayudar al cliente a minimizar los conflictos de directivas.