Vad menar vi med Nolltillit efterlevnad?

Den här artikeln innehåller en översikt över programsäkerhet ur utvecklarens perspektiv för att hantera de vägledande principerna för Nolltillit. Tidigare handlade kodsäkerhet om din egen app: om du gjorde fel var din egen app i fara. Idag är cybersäkerhet en hög prioritet för kunder och myndigheter över hela världen.

Efterlevnad av cybersäkerhetskrav är en förutsättning för att många kunder och myndigheter ska kunna köpa program. Se till exempel U.S. Executive Order 14028: Improving the Nation's Cybersecurity and U.S. General Services Administration requirements summary ( U.S. Executive Order 14028: Improving the Nation's Cybersecurity and U.S. General Services Administration requirements summary). Ditt program måste uppfylla kundernas krav.

Molnsäkerhet är ett övervägande av organisationens infrastruktur som bara är lika säker som den svagaste länken. När en enskild app är den svagaste länken kan skadliga aktörer få åtkomst till affärskritiska data och åtgärder.

Programsäkerhet från utvecklarperspektiv innehåller en Nolltillit metod: program hanterar de vägledande principerna för Nolltillit. Som utvecklare uppdaterar du programmet kontinuerligt när hotlandskapet och säkerhetsvägledningen ändras.

Stöd för Nolltillit principer i koden

Två nycklar för att följa Nolltillit principer är möjligheten för ditt program att verifiera explicit och stödja åtkomst med minst behörighet. Ditt program bör delegera identitets- och åtkomsthantering till Microsoft Entra-ID så att det kan använda Microsoft Entra-token. Genom att delegera identitets- och åtkomsthantering kan ditt program stödja kundtekniker som multifaktorautentisering, lösenordslös autentisering och principer för villkorlig åtkomst.

Med Microsofts identitetsplattform och Nolltillit aktiveringstekniker (som visas i följande diagram) hjälper användning av Microsoft Entra-token ditt program att integreras med Microsofts hela uppsättning säkerhetstekniker.

Diagramrubrik: Microsofts Nolltillit aktiveringstekniker. Diagram som visar villkorsstyrd åtkomst i Microsoft Entra, Microsoft Entra-ID, Defender för identitet, informationsskydd, Defender för molnet appar, Azure Security, Azure Networking, Microsoft Sentinel, Defender XDR, Endpoint Manager och Defender för Endpoint.

Om ditt program kräver lösenord kan du utsätta dina kunder för risker som kan undvikas. Dåliga aktörer ser övergången till att arbeta från valfri plats med valfri enhet som en möjlighet att komma åt företagsdata genom att utföra aktiviteter som lösenordssprayattacker. I en lösenordssprayattack provar dåliga aktörer ett lovande lösenord i en uppsättning användarkonton. De kan till exempel prova GoSeaHawks2022! mot användarkonton i Seattle-området. Den här lyckade attacktypen är en motivering för lösenordslös autentisering.

Hämta åtkomsttoken från Microsoft Entra-ID

Ditt program måste minst hämta åtkomsttoken från Microsoft Entra-ID som utfärdar OAuth 2.0-åtkomsttoken. Klientprogrammet kan använda dessa token för att få begränsad åtkomst till användarresurser via API-anrop för användarens räkning. Du använder en åtkomsttoken för att anropa varje API.

När en delegerad identitetsprovider verifierar identiteten kan kundens IT-avdelning framtvinga åtkomst med minsta möjliga behörighet med Microsoft Entra-behörighet och medgivande. Microsoft Entra-ID avgör när det utfärdar token till program.

När dina kunder förstår vilka företagsresurser som programmet behöver åtkomst till kan de bevilja eller neka åtkomstbegäranden korrekt. Om ditt program till exempel behöver åtkomst till Microsoft SharePoint dokumenterar du det här kravet så att du kan hjälpa kunder att bevilja rätt behörigheter.

Nästa steg

• Med hjälp av standardbaserade utvecklingsmetoder får du en översikt över standarder som stöds (OAuth 2.0, OpenID Anslut, SAML, WS-Federation och SCIM) och fördelarna med att använda dem med MSAL och Microsofts identitetsplattform.
• Att skapa appar med en Nolltillit metod för identitet ger en översikt över behörigheter och metodtips för åtkomst.
• Anpassning av token beskriver den information som du kan ta emot i Microsoft Entra-token. Lär dig hur du anpassar token och förbättrar flexibiliteten och kontrollen samtidigt som du ökar programmets Nolltillit säkerhet med minsta möjliga behörighet.
• Identitets- och kontotyper som stöds för appar med en och flera klientorganisationer förklarar hur du kan välja om din app endast tillåter användare från din Microsoft Entra-klientorganisation, någon Microsoft Entra-klient eller användare med personliga Microsoft-konton.
• API Protection beskriver metodtips för att skydda ditt API genom registrering, definiera behörigheter och medgivande samt framtvinga åtkomst för att uppnå dina Nolltillit mål.
• Metodtips för auktorisering hjälper dig att implementera de bästa auktoriserings-, behörighets- och medgivandemodellerna för dina program.