Zvýšení zabezpečení aplikací pomocí principů nulová důvěra (Zero Trust)
Zabezpečený obvod sítě kolem aplikací, které jsou vyvíjeny, nelze předpokládat. Téměř každá vyvinutá aplikace bude záměrně přístupná z vnějšku sítě. Aplikace není možné zaručit, že budou zabezpečené při jejich vývoji nebo zůstanou po nasazení. Je zodpovědností vývojáře aplikací nejen maximalizovat zabezpečení aplikace, ale také minimalizovat poškození, které může aplikace způsobit, pokud dojde k ohrožení zabezpečení.
Kromě toho odpovědnost zahrnuje podporu vyvíjejících se potřeb zákazníků a uživatelů, kteří očekávají, že aplikace splňuje nulová důvěra (Zero Trust) požadavky na zabezpečení. Seznamte se s principy modelu nulová důvěra (Zero Trust) a osvojte si postupy. Díky tomu, že se naučíte a přijmete zásady, je možné vyvíjet aplikace, které jsou bezpečnější a minimalizují poškození, které by mohly způsobit, pokud dojde k narušení zabezpečení.
Model nulová důvěra (Zero Trust) předepisuje jazykovou verzi explicitního ověření místo implicitního vztahu důvěryhodnosti. Model je ukotvený na třech klíčových hlavních principech:
- Explicitní ověření
- Použití nejméně privilegovaného přístupu
- Předpokládat porušení zabezpečení
osvědčené postupy pro nulová důvěra (Zero Trust)
Při vytváření aplikací připravených pro nulová důvěra (Zero Trust) pomocí platformy Microsoft Identity Platform a jejích nástrojů postupujte podle těchto osvědčených postupů.
Explicitní ověření
Platforma Microsoft Identity Platform nabízí mechanismy ověřování pro ověření identity osoby nebo služby, která přistupuje k prostředku. Pomocí níže popsaných osvědčených postupů ověřte explicitně všechny entity, které potřebují přístup k datům nebo prostředkům.
| Osvědčený postup | Výhody zabezpečení aplikací |
|---|---|
| Použijte knihovny MICROSOFT Authentication Library (MSAL). | KNIHOVNA MSAL je sada knihoven ověřování Microsoftu pro vývojáře. Pomocí knihovny MSAL je možné ověřovat uživatele a aplikace a tokeny je možné získat pro přístup k podnikovým prostředkům pomocí několika řádků kódu. MSAL používá moderní protokoly (OpenID Připojení a OAuth 2.0), které odstraňují potřebu aplikací zpracovávat přihlašovací údaje uživatele přímo. Toto zpracování přihlašovacích údajů výrazně zlepšuje zabezpečení pro uživatele i aplikace, protože zprostředkovatel identity se stává hraničním zabezpečením. Tyto protokoly se také neustále vyvíjejí, aby řešily nová paradigmata, příležitosti a výzvy v oblasti zabezpečení identit. |
| Pokud je to vhodné, osvojte rozšíření rozšířeného zabezpečení, jako je průběžné vyhodnocování přístupu (CAE) a kontext ověřování podmíněného přístupu. | V Microsoft Entra ID některé z nejčastěji používaných rozšíření zahrnují podmíněný přístup, kontext ověřování podmíněného přístupu a CAE. Aplikace, které používají vylepšené funkce zabezpečení, jako je CAE a kontext ověřování podmíněného přístupu, musí být kódované pro řešení problémů s deklaracemi identity. Otevřené protokoly umožňují výzvy deklarací identity a žádosti o deklarace identity použít k vyvolání dalších funkcí klienta. Funkce mohou být pokračovat v interakci s ID Microsoft Entra, například v případě, že došlo k anomálii nebo pokud se změní podmínky ověřování uživatele. Tato rozšíření se dají naprogramovat do aplikace bez narušení primárních toků kódu pro ověřování. |
| Použijte správný tok ověřování podle typu aplikace. U webových aplikací se vždy snažte používat důvěrné toky klientů. V případě mobilních aplikací zkuste k ověřování použít zprostředkovatele nebo systémový prohlížeč . | Toky webových aplikací, které mohou obsahovat tajný klíč (důvěrné klienty), se považují za bezpečnější než veřejné klienty (například desktopové a konzolové aplikace). Když se k ověření mobilní aplikace používá systémový webový prohlížeč, umožňuje zabezpečené jednotné přihlašování (SSO) použití zásad ochrany aplikací. |
Použití nejméně privilegovaného přístupu
Vývojář pomocí platformy Microsoft Identity Platform udělí oprávnění (obory) a před povolením přístupu ověří, že volající získal správné oprávnění. Vynucujte nejnižší privilegovaný přístup v aplikacích tím, že povolíte jemně odstupňovaná oprávnění, která umožňují udělení nejmenšího množství přístupu. Vezměte v úvahu následující postupy, abyste zajistili dodržování zásady nejnižších oprávnění:
- Vyhodnoťte oprávnění, která jsou požadována, abyste měli jistotu, že je nastavená absolutní nejnižší oprávnění, aby se úloha dokončila. Nevytvávejte oprávnění "catch-all" s přístupem k celé ploše rozhraní API.
- Při návrhu rozhraní API poskytněte podrobná oprávnění, která umožňují přístup s nejnižšími oprávněními. Začněte rozdělením funkcí a přístupu k datům do oddílů, které je možné řídit pomocí oborů a rolí aplikací. Nepřidávejte rozhraní API k existujícím oprávněním způsobem, který mění sémantiku oprávnění.
- Nabízí oprávnění jen pro čtení.
Writepřístup, zahrnuje oprávnění pro operace vytvoření, aktualizace a odstranění. Klient by nikdy neměl vyžadovat přístup k zápisu pouze ke čtení dat. - Nabízí delegovaná oprávnění i oprávnění aplikace. Přeskočení oprávnění aplikace může vytvořit pevný požadavek pro klienty k dosažení běžných scénářů, jako je automatizace, mikroslužby a další.
- Pokud pracujete s citlivými daty, zvažte standardní a úplná přístupová oprávnění. Omezte citlivé vlastnosti tak, aby k nim nebylo možné přistupovat pomocí standardního přístupového oprávnění, například
Resource.Read. Pak implementujte "úplná" přístupová oprávnění, napříkladResource.ReadFullkterá vrátí všechny dostupné vlastnosti včetně citlivých informací.
Předpokládat porušení zabezpečení
Registrační portál aplikace Microsoft Identity Platform je primárním vstupním bodem pro aplikace, které mají v úmyslu používat platformu pro jejich ověřování a přidružené potřeby. Při registraci a konfiguraci aplikací postupujte podle níže popsaných postupů, abyste minimalizovali škody, které by mohly způsobit, pokud dojde k narušení zabezpečení. Další informace naleznete v tématu Microsoft Entra application registration security best practices.
Zvažte následující akce, které brání porušení zabezpečení:
- Správně definujte identifikátory URI přesměrování pro aplikaci. Nepoužívejte stejnou registraci aplikace pro více aplikací.
- Ověřte identifikátory URI přesměrování používané v registraci aplikace pro vlastnictví a vyhněte se převzetí domény. Nevytvávejte aplikaci jako víceklientskou, pokud nemá být určená. |
- Ujistěte se, že vlastníci aplikací a instančních objektů jsou vždy definované a spravované pro aplikace zaregistrované v tenantovi.
Viz také
- Centrum pokynů pro nulová důvěra (Zero Trust)
- Osvědčené postupy a doporučení pro Microsoft Identity Platform