Apps bouwen met een Zero Trust-benadering voor identiteit

Zero Trust is een beveiligingsframework dat niet afhankelijk is van de impliciete vertrouwensrelatie die is geboden aan interacties achter een beveiligde netwerkperimeter. In plaats daarvan wordt gebruikgemaakt van de principes van expliciete verificatie, minst bevoegde toegang en ervan uitgaande dat er inbreuk wordt gemaakt om gebruikers en gegevens veilig te houden, terwijl algemene scenario's zoals toegang tot toepassingen van buiten de netwerkperimeter mogelijk zijn.

App-ontwikkelaars kunnen de beveiliging van apps verbeteren, de impact van schendingen minimaliseren en ervoor zorgen dat hun toepassingen voldoen aan de beveiligingsvereisten van hun klanten door gebruik te maken van Zero Trust-principes. Dit document gaat over hoe ontwikkelaars een Zero Trust-benadering voor identiteit kunnen gebruiken, waaronder verificatie, autorisatie en identiteitsbeheer.

De implementatie van Zero Trust is nog steeds in ontwikkeling en het traject van elke organisatie is uniek. Maar een logische plek om te beginnen voor de meeste klanten is identiteit. Hier volgen enkele beleidsregels en controles die organisaties prioriteren terwijl ze Zero Trust implementeren:

  • Organisaties beperken gebruikerstoestemming tot machtigingen met een laag risico voor door de uitgever geverifieerde apps. IT-beheerders omarmen het principe van verificatie expliciet door verificatie van uitgevers te vereisen en het principe van minimale bevoegdheden door alleen gebruikerstoestemming toe te staan voor machtigingen met een laag risico. Voordat uw organisatie of uw klant toestemming verleent, evalueren beheerders machtigingen die uw app aanvraagt en de betrouwbaarheid van uw app.
  • Organisaties stellen beleid voor referentiecontroles en rotatie in voor apps en services. Als de referenties van een app worden aangetast, kan de aanvaller vervolgens tokens verkrijgen onder het mom van de identiteit van die app, zodat deze toegang kan krijgen tot gevoelige gegevens, lateraal kan worden verplaatst of persistentie tot stand kan brengen.
  • Organisaties implementeren sterke verificatie. IT-beheerders verwachten dat ze beleid kunnen instellen waarvoor meervoudige verificatie en fido2-apparaten zonder wachtwoord vereist zijn.
  • Organisaties blokkeren verouderde protocollen en API's. Dit omvat het blokkeren van oudere verificatieprotocollen, zoals 'Basisverificatie' en het vereisen van moderne protocollen zoals OpenID Connect en OAuth 2.0. Microsoft heeft een einde van de levensduur aangekondigd van 30 juni 2022 voor Azure Active Directory (Azure AD) Graph en de verouderde Azure Active Directory Authentication Library (ADAL). Organisaties zorgen ervoor dat toepassingen waarvoor ze afhankelijk zijn, zijn voorbereid.

Belangrijkste aanbevelingen voor Zero Trust

De volgende aanbevolen procedures zijn essentieel om uw apps veilig te houden. We hebben ook een technisch document gepubliceerd dat deze aanbevolen procedures in detail doorloopt.

Gebruik een vertrouwde verificatiebibliotheek op basis van standaarden. Als u een bibliotheek gebruikt, bespaart u zelf de tijd om een oplossing te ontwikkelen. Maar belangrijker nog, het blijft up-to-date en reageert op de nieuwste technologieën en bedreigingen. Microsoft biedt verschillende verificatiebibliotheken, waaronder de Microsoft Authentication Library (MSAL), de Microsoft Identity Web Authentication Library en de Azure SDK's voor beheerde identiteiten. Deze bieden u toegang tot functies zoals voorwaardelijke toegang, apparaatregistratie en -beheer en de nieuwste innovaties zoals wachtwoordloze en FIDO2-verificatie zonder dat u extra code hoeft te schrijven.

Volg debest practices voor de beveiliging van azure AD-toepassingen. Een Azure AD-toepassingsregistratie is een essentieel onderdeel van uw bedrijfstoepassing. Elke onjuiste configuratie of verval in de hygiëne van uw toepassing kan leiden tot downtime of inbreuk.

Bewaar de referenties uit uw code. Dit maakt het rouleren van referenties mogelijk door IT-beheerders zonder een app uit te schakelen of opnieuw te implementeren. U kunt een service zoals Azure Key Vault of Azure Managed Identities gebruiken.

Ontwerp voor minst bevoegde toegang. Dit is een belangrijk tenet van Zero Trust. U moet altijd de minimale bevoegdheid opgeven die de gebruiker nodig heeft om zijn werk te doen. U kunt bijvoorbeeld incrementele toestemming gebruiken om alleen machtigingen aan te vragen wanneer ze nodig zijn. Een ander voorbeeld is het gebruik van gedetailleerde bereiken in Microsoft Graph. U kunt bereiken verkennen met behulp van Graph Explorer om een API aan te roepen en te onderzoeken welke machtigingen vereist zijn. Ze worden weergegeven in volgorde van laagste tot hoogste bevoegdheid. Als u de laagst mogelijke bevoegdheden kiest, is uw toepassing minder kwetsbaar voor aanvallen. Raadpleeg de aanbevolen procedures voor minimale toegang voor toepassingen voor meer informatie.

Ondersteuning voorcontinue toegangsevaluatie (CAE). Met CAE kan Microsoft Graph snel een actieve sessie intrekken als reactie op een beveiligingsgebeurtenis. Bijvoorbeeld: wanneer een gebruikersaccount wordt verwijderd of uitgeschakeld, wordt Multi-Factor Authentication (MFA) ingeschakeld voor een gebruiker, wordt een beheerder expliciet uitgegeven tokens voor een gebruiker ingetrokken, of wordt gedetecteerd dat een gebruiker een risico vormt. Wanneer CAE is ingeschakeld, zijn tokens die zijn uitgegeven voor Microsoft Graph bovendien 24 uur geldig in plaats van de standaard één uur. Dit is ideaal voor tolerantie, omdat uw app elk uur kan blijven werken zonder dat u elk uur teruggaat naar Azure Active Directory.

Definieer app-rollen voor IT om toe te wijzen aan gebruikers en groepen.Met app-rollen kunt u op rollen gebaseerd toegangsbeheer (RBAC) implementeren in uw toepassingen. Veelvoorkomende voorbeelden van app-rollen zijn rollen zoals 'Beheerder', 'Lezers' en 'Inzenders', waarmee uw toepassing gevoelige acties kan beperken tot gebruikers of groepen die zijn toegewezen aan een rol. Het gebruik van app-rollen maakt ook andere functies mogelijk, zoals de functie Privileged Identity Management (PIM) van Azure AD, die gebruikers just-in-time- en tijdgebonden toegang bieden tot gevoelige rollen, waardoor de kans op een kwaadwillende actor die toegang krijgt, of een onbevoegde gebruiker onbedoeld invloed heeft op een gevoelige resource.

Word eengeverifieerde uitgever. Wanneer een toepassing is gemarkeerd als geverifieerd door de uitgever, betekent dit dat de uitgever zijn identiteit heeft geverifieerd met behulp van een Microsoft Partner Network-account dat een vast verificatieproces heeft voltooid. Dit is ideaal voor ontwikkelaars van apps met meerdere tenants, omdat het helpt bij het opbouwen van vertrouwen met IT-beheerders in tenants van klanten.

Volgende stappen