A biztonság növelése a minimális jogosultság elvével

A minimális jogosultságok információbiztonsági elve azt állítja, hogy a felhasználóknak és alkalmazásoknak csak azokhoz az adatokhoz és műveletekhez kell hozzáférést biztosítaniuk, amelyekre a munkájuk elvégzéséhez szükségük van. Kövesse az itt található útmutatást az alkalmazás támadási felületének csökkentéséhez, valamint a biztonsági rés (a robbanási sugár) hatásának csökkentéséhez, ha egy Microsoft Identitásplatform integrált alkalmazásban fordul elő.

Javaslatok egy pillantással

• A nem használt és visszavonható engedélyek visszavonásával megakadályozhatja a túlzottan hátrányos helyzetű alkalmazásokat.
• Az identitásplatform hozzájárulási keretrendszerének használatával megkövetelheti, hogy az alkalmazástól érkező kéréshez emberi hozzájárulás szükséges a védett adatokhoz való hozzáféréshez.
• A fejlesztés minden szakaszában a lehető legkevesebb jogosultsággal rendelkező alkalmazásokat hozhat létre .
• Rendszeresen naplózhatja az üzembe helyezett alkalmazásokat, hogy azonosítsa a túlzottan hátrányos alkalmazásokat.

Túlprivilegált alkalmazások

Minden olyan alkalmazás, amely nem használt vagy redukciós engedélyt kapott, túlprivilegáltnak minősül. A nem használt és visszavonható engedélyek lehetővé teszik az alkalmazás vagy felhasználói által a feladataik elvégzéséhez nem szükséges adatokhoz vagy műveletekhez való jogosulatlan vagy nem szándékos hozzáférést. A nem használt és visszavezethető engedélyek által okozott biztonsági kockázatokat elkerülheti, ha csak a megfelelő engedélyeket adja meg. A megfelelő engedélyek azok, amelyekhez az alkalmazás vagy a felhasználó által a szükséges feladatok elvégzéséhez szükséges legkevésbé megengedő hozzáférés szükséges.

Nem használt engedélyek

A fel nem használt engedély olyan engedély, amelyet egy alkalmazás kap, de amelynek API-ját vagy az engedély által közzétett műveletet az alkalmazás nem hívja meg, amikor a rendeltetésének megfelelően használják.

• Példa: Egy alkalmazás megjeleníti a bejelentkezett felhasználó OneDrive-ján tárolt fájlok listáját a Microsoft Graph API-nak a Files.Read engedély használatával történő meghívásával. Az alkalmazás azonban megkapta a Calendars.Read engedélyt is, de nem biztosít naptárfunkciókat, és nem hívja meg a Calendars API-t.

• Biztonsági kockázat: A nem használt engedélyek horizontális jogosultság-eszkalációs biztonsági kockázatot jelentenek. Az alkalmazásban biztonsági rést kihasználó entitások kihasználatlan engedélyekkel férhetnek hozzá az alkalmazás által általában nem támogatott vagy engedélyezett API-khoz vagy műveletekhez, amikor azt a célnak megfelelően használják.

• Megoldás: Távolítsa el az alkalmazás által kezdeményezett API-hívásokban nem használt engedélyeket.

Redukciós engedélyek

Az redukciós engedély olyan engedély, amely alacsonyabb jogosultságú megfelelővel rendelkezik, amely továbbra is hozzáférést biztosít az alkalmazásnak és felhasználóinak a szükséges feladatok elvégzéséhez.

• Példa: Egy alkalmazás megjeleníti a bejelentkezett felhasználó profiladatait a Microsoft Graph API meghívásával, de nem támogatja a profilok szerkesztését. Az alkalmazás azonban megkapta a User.ReadWrite.All engedélyt. A User.ReadWrite.All engedély itt vonható vissza, mert a kevésbé megengedő User.Read.All engedély elegendő írásvédett hozzáférést biztosít a felhasználói profil adataihoz.

• Biztonsági kockázat: A redukálható engedélyek vertikális jogosultság-eszkalációs biztonsági kockázatot jelentenek. Az alkalmazásban biztonsági rést kihasználó entitások használhatják a redukciós engedélyt az adatokhoz való jogosulatlan hozzáférésre, vagy olyan műveletek végrehajtására, amelyeket az entitás szerepköre általában nem engedélyez.

• Megoldás: Cserélje le az alkalmazás összes redukciós engedélyét a legkevésbé megengedő megfelelőre, amely továbbra is lehetővé teszi az alkalmazás kívánt működését.

Hozzájárulás használata az adatokhoz való hozzáférés szabályozásához

A legtöbb alkalmazásnak hozzáférésre van szüksége a védett adatokhoz, és az adatok tulajdonosának hozzá kell járulnia ehhez a hozzáféréshez. A hozzájárulást többféleképpen is megadhatja, például egy bérlői rendszergazda, aki a Microsoft Entra-bérlő összes felhasználójának, vagy maguk az alkalmazásfelhasználóknak adhat hozzáférést.

Amikor egy eszközön futó alkalmazás hozzáférést kér a védett adatokhoz, az alkalmazásnak a felhasználó hozzájárulását kell kérnie, mielőtt hozzáférést ad a védett adatokhoz. A felhasználónak engedélyt kell adnia (vagy megtagadnia) a kért engedélyhez, mielőtt az alkalmazás továbbhaladhat.

Minimális jogosultság az alkalmazásfejlesztés során

Az alkalmazás biztonsága és az általa elért felhasználói adatok a fejlesztő felelőssége.

Kövesse ezeket az irányelveket az alkalmazásfejlesztés során, hogy elkerülje a túlprivilegálást:

• Teljes mértékben megismerheti az alkalmazás által kezdeményezett API-hívásokhoz szükséges engedélyeket.
• Megismerheti az alkalmazás által a Graph Explorer használatával végzett összes API-hívás legkevésbé kiemelt engedélyét.
• Keresse meg a megfelelő engedélyeket a legkevésbé a kiemeltek közül.
• Távolítsa el az ismétlődő engedélykészleteket olyan esetekben, amikor az alkalmazás egymást átfedő engedélyekkel rendelkező API-hívásokat indít.
• Az engedélylistában a legkevésbé kiemelt engedélykészlet kiválasztásával csak a legkevésbé emelt szintű engedélyeket alkalmazza az alkalmazásra.

Legkisebb jogosultság az üzembe helyezett alkalmazásokhoz

A szervezetek gyakran haboznak módosítani a futó alkalmazásokat, hogy ne befolyásolják a normál üzleti működésüket. A szervezetnek azonban fontolóra kell vennie a biztonsági incidens kockázatának mérséklését, amely lehetővé vagy súlyosabbá vált azáltal, hogy túljogosított engedélyeket használ, hogy méltó legyen egy ütemezett alkalmazásfrissítésre.

Végezze el ezeket a szabványos eljárásokat egy szervezetben, hogy az üzembe helyezett alkalmazások ne legyenek túlprivilegáltak, és ne legyenek túlprivilegáltak az idők során:

• Értékelje ki az alkalmazásokból indított API-hívásokat.
• A szükséges és legkevésbé kiemelt engedélyekhez használja a Graph Explorert és a Microsoft Graph dokumentációját.
• A felhasználók vagy alkalmazások számára biztosított naplózási jogosultságok.
• Frissítse az alkalmazásokat a legkevésbé kiemelt jogosultsági csoporttal.
• Rendszeresen tekintse át az engedélyeket, és győződjön meg arról, hogy az összes engedélyezett engedély továbbra is releváns.

Következő lépések

• Engedélyek és hozzájárulás a Microsoft-identitásplatformon
• A Microsoft Entra alkalmazás-hozzájárulási élményének ismertetése