Tworzenie aplikacji przy użyciu podejścia zero trust do tożsamości

Zero Trust to struktura zabezpieczeń, która nie opiera się na niejawnym zaufaniu przyznanym interakcjom za bezpiecznym obwodem sieci. Zamiast tego używa zasad jawnej weryfikacji, najmniej uprzywilejowanego dostępu i przy założeniu naruszenia, aby zapewnić bezpieczeństwo użytkowników i danych przy jednoczesnym zachowaniu bezpieczeństwa w typowych scenariuszach, takich jak dostęp do aplikacji spoza obwodu sieci.

Deweloperzy aplikacji mogą poprawić bezpieczeństwo aplikacji, zminimalizować wpływ naruszeń i upewnić się, że ich aplikacje spełniają wymagania dotyczące zabezpieczeń klientów, stosując zasady zero trust. Ten dokument dotyczy sposobu, w jaki deweloperzy mogą używać podejścia Zero Trust do tożsamości, w tym uwierzytelniania, autoryzacji i zarządzania tożsamościami.

Implementacja rozwiązania Zero Trust wciąż ewoluuje, a podróż każdej organizacji jest unikatowa. Jednak logicznym miejscem do rozpoczęcia dla większości klientów jest tożsamość. Poniżej przedstawiono niektóre zasady i mechanizmy kontroli, które widzimy, że organizacje ustalają priorytety w miarę wdrażania zerowej relacji zaufania:

  • Organizacje ograniczają zgodę użytkownika na uprawnienia o niskim ryzyku dla zweryfikowanych aplikacji wydawcy. Administratorzy IT korzystają z zasady weryfikacji jawnie, wymagając weryfikacji wydawcy i zasady najmniejszych uprawnień, zezwalając tylko na zgodę użytkownika na uprawnienia o niskim ryzyku. Zanim organizacja lub klient wyrazi zgodę, administratorzy będą oceniać uprawnienia, których aplikacja żąda, oraz wiarygodność aplikacji.
  • Organizacje konfigurują zasady higieny i rotacji poświadczeń dla aplikacji i usług. Jeśli poświadczenie aplikacji zostanie naruszone, osoba atakująca będzie mogła uzyskać tokeny pod pozorem tożsamości tej aplikacji, co pozwala uzyskać dostęp do poufnych danych, przenieść się później lub ustanowić trwałość.
  • Organizacje wdrażają silny uwierzytelnianie. Administratorzy IT oczekują, że będą mogli ustawić zasady wymagające uwierzytelniania wieloskładnikowego i bez hasła urządzeń FIDO2.
  • Organizacje blokują starsze protokoły i interfejsy API. Obejmuje to blokowanie starszych protokołów uwierzytelniania, takich jak "uwierzytelnianie podstawowe" i wymaga nowoczesnych protokołów, takich jak OpenID Connect i OAuth 2.0. Firma Microsoft ogłosiła koniec życia 30 czerwca 2022 r. dla usługi Azure Active Directory (Azure AD) Graph i starszej wersji biblioteki Azure Active Directory Authentication Library (ADAL). Organizacje zapewniają, że aplikacje, od których zależą, są przygotowane.

Najważniejsze zalecenia dotyczące zerowej relacji zaufania

Poniższe najlepsze rozwiązania są kluczem do zapewnienia bezpieczeństwa aplikacji. Opublikowaliśmy również oficjalny dokument , który szczegółowo opisuje te najlepsze rozwiązania.

Użyj zaufanej biblioteki uwierzytelniania opartej na standardach. Korzystanie z biblioteki pozwala zaoszczędzić czas tworzenia rozwiązania samodzielnie. Ale co ważniejsze, pozostanie na bieżąco i będzie reagować na najnowsze technologie i zagrożenia. Firma Microsoft udostępnia kilka bibliotek uwierzytelniania, w tym bibliotekę Microsoft Authentication Library (MSAL),bibliotekę uwierzytelniania sieci Web tożsamości firmy Microsoft oraz zestawy SDK platformy Azure dla tożsamości zarządzanych. Zapewniają one dostęp do funkcji, takich jak dostęp warunkowy, rejestracja urządzeń i zarządzanie nimi, oraz najnowsze innowacje, takie jak uwierzytelnianie bez hasła i FIDO2 bez konieczności pisania dodatkowego kodu.

Postępuj zgodnie znajlepszymi rozwiązaniami dotyczącymi zabezpieczeń rejestracji aplikacji usługi Azure AD. Rejestracja aplikacji usługi Azure AD jest krytyczną częścią aplikacji biznesowej. Każda błędna konfiguracja lub awaria w higienie aplikacji może spowodować przestój lub naruszenie zabezpieczeń.

Zachowaj poświadczenia poza kodem. Umożliwia to rotację poświadczeń przez administratorów IT bez wyłączania lub ponownego wdrażania aplikacji. Możesz użyć usługi, takiej jak Azure Key Vault lub Tożsamości zarządzane platformy Azure.

Projektowanie pod kątem najmniej uprzywilejowanego dostępu. Jest to kluczowy zestaw zaufania zero. Zawsze należy podać najmniejsze uprawnienia wymagane do wykonania zadania przez użytkownika. Na przykład możesz użyć zgody przyrostowej , aby zażądać uprawnień tylko wtedy, gdy są one niezbędne. Innym przykładem jest użycie szczegółowych zakresów w programie Microsoft Graph. Zakresy można eksplorować przy użyciu Eksploratora programu Graph , aby wywołać interfejs API i sprawdzić, które uprawnienia są wymagane. Są one wyświetlane w kolejności od najniższych do najwyższych uprawnień. Wybranie najniższych możliwych uprawnień sprawi, że aplikacja będzie mniej podatna na ataki. Aby dowiedzieć się więcej, zapoznaj się z najlepszymi rozwiązaniami dotyczącymi najmniej uprzywilejowanego dostępu dla aplikacji.

Obsługaoceny ciągłego dostępu (CAE) Usługa CAE umożliwia programowi Microsoft Graph szybkie odwołanie aktywnej sesji w odpowiedzi na zdarzenie zabezpieczeń. Na przykład: gdy konto użytkownika zostanie usunięte lub wyłączone, usługa Multi-Factor Authentication (MFA) jest włączona dla użytkownika, administrator jawnie odwołuje wystawione tokeny dla użytkownika lub użytkownik jest wykrywany jako zagrożenie. Ponadto po włączeniu funkcji CAE tokeny wystawione dla programu Microsoft Graph są ważne przez 24 godziny zamiast standardowej jednej godziny. Jest to doskonałe rozwiązanie w przypadku odporności, ponieważ aplikacja może nadal działać bez powrotu do usługi Azure Active Directory w celu uzyskania nowego tokenu co godzinę.

Zdefiniuj role aplikacji dla it w celu przypisania do użytkowników i grup.Role aplikacji ułatwiają implementowanie kontroli dostępu opartej na rolach (RBAC) w aplikacjach. Typowe przykłady ról aplikacji to role takie jak "Administrator", "Czytelnicy" i "Współautorzy", które umożliwiają aplikacji ograniczenie poufnych akcji do użytkowników lub grup przypisanych do roli. Korzystanie z ról aplikacji umożliwia również korzystanie z innych funkcji, takich jak funkcja usługi Privileged Identity Management (PIM) usługi Azure AD, która zapewnia użytkownikom dostęp just in time i ograniczony czas do poufnych ról, zmniejszając prawdopodobieństwo uzyskania dostępu przez złośliwego aktora lub nieautoryzowanego użytkownika, który przypadkowo wpływa na poufny zasób.

Zostań zweryfikowanym wydawcą. Gdy aplikacja jest oznaczona jako zweryfikowana przez wydawcę, oznacza to, że wydawca zweryfikował swoją tożsamość przy użyciu konta microsoft Partner Network, które zakończyło ustalony proces weryfikacji. Jest to doskonałe rozwiązanie dla deweloperów aplikacji z wieloma dzierżawami, ponieważ pomaga w tworzeniu zaufania administratorom IT w dzierżawach klientów.

Następne kroki