Co znamená dodržování předpisů nulová důvěra (Zero Trust)?

Tento článek obsahuje přehled zabezpečení aplikací z pohledu vývojáře, který řeší hlavní principy nulová důvěra (Zero Trust). V minulosti zabezpečení kódu bylo všechno o vaší vlastní aplikaci: pokud jste se spletli, vaše vlastní aplikace byla ohrožena. V současné době je kybernetická bezpečnost pro zákazníky a vlády po celém světě vysokou prioritou.

Dodržování požadavků na kybernetickou bezpečnost je předpokladem pro mnoho zákazníků a vlád k nákupu aplikací. Podívejte se například na americký výkonný řád 14028: Zlepšení kybernetické bezpečnostia obecných služeb USA Správa sistrace požadavků. Vaše aplikace musí splňovat požadavky zákazníků.

Zabezpečení cloudu je důležitým aspektem infrastruktury organizace, která je stejně zabezpečená jako nejslabší propojení. Když je jedna aplikace nejslabším propojením, můžou aktéři se zlými úmysly získat přístup k důležitým obchodním datům a operacím.

Zabezpečení aplikací z pohledu vývojáře zahrnuje přístup nulová důvěra (Zero Trust): aplikace řeší hlavní principy nulová důvěra (Zero Trust). Jako vývojář neustále aktualizujete aplikaci, protože se mění prostředí hrozeb a pokyny k zabezpečení.

Podpora principů nulová důvěra (Zero Trust) v kódu

Dva klíče pro dodržování nulová důvěra (Zero Trust) principů jsou schopnost vaší aplikace ověřit explicitně a podporovat přístup s nejnižšími oprávněními. Vaše aplikace by měla delegovat správu identit a přístupu na ID Microsoft Entra, aby mohl používat tokeny Microsoft Entra. Delegování správy identit a přístupu umožňuje vaší aplikaci podporovat zákaznické technologie, jako je vícefaktorové ověřování, ověřování bez hesla a zásady podmíněného přístupu.

S platformou Microsoft Identity Platform a nulová důvěra (Zero Trust) umožňujícími technologiemi vám používání tokenů Microsoft Entra pomůže integrovat vaši aplikaci s celou sadou technologií zabezpečení od Microsoftu.

Pokud vaše aplikace vyžaduje hesla, možná vystavujete své zákazníky, aby se vyhnuli riziku. Chybní aktéři si prohlížejí přechod na práci z libovolného umístění s jakýmkoli zařízením jako příležitost pro přístup k podnikovým datům prostřednictvím aktivit, jako jsou útoky typu password spray. Při útoku password spray vyzkouší bad actors slibné heslo v sadě uživatelských účtů. Mohou například vyzkoušet GoSeaHawks2022! vůči uživatelským účtům v oblasti Seattle. Tento úspěšný typ útoku je jedním z důvodů ověřování bez hesla.

Získání přístupových tokenů z Microsoft Entra ID

Minimálně vaše aplikace potřebuje získat přístupové tokeny z ID Microsoft Entra, které vydává přístupové tokeny OAuth 2.0. Klientská aplikace může tyto tokeny použít k získání omezeného přístupu k prostředkům uživatelů prostřednictvím volání rozhraní API jménem uživatele. K volání jednotlivých rozhraní API použijete přístupový token.

Když delegovaný zprostředkovatel identity ověří identitu, může IT oddělení zákazníka vynutit přístup s nejnižšími oprávněními pomocí oprávnění Microsoft Entra a souhlasu. ID Microsoft Entra určuje, kdy vydává tokeny pro aplikace.

Když vaši zákazníci pochopí, ke kterým podnikovým prostředkům vaše aplikace potřebuje přístup, můžou správně udělit nebo odepřít žádosti o přístup. Pokud třeba vaše aplikace potřebuje přístup k Microsoft SharePointu, zdokumentujte tento požadavek, abyste zákazníkům pomohli udělit správná oprávnění.

Další kroky

• Metodologie vývoje založené na standardech poskytují přehled podporovaných standardů a jejich výhod.
• Vytváření aplikací s přístupem k identitě nulová důvěra (Zero Trust) poskytuje přehled o oprávněních a osvědčených postupech přístupu.
• Přizpůsobení tokenů popisuje informace, které můžete přijímat v tokenech Microsoft Entra. Zjistěte, jak přizpůsobit tokeny a zlepšit flexibilitu a řízení a současně zvýšit zabezpečení nulová důvěra (Zero Trust) aplikací s nejnižšími oprávněními.
• Podporované typy identit a účtů pro jednoklientové aplikace vysvětlují, jak můžete zvolit, jestli vaše aplikace povoluje jenom uživatele z vašeho tenanta Microsoft Entra, libovolného tenanta Microsoft Entra nebo uživatele s osobními účty Microsoft.
• Služba API Protection popisuje osvědčené postupy pro ochranu rozhraní API prostřednictvím registrace, definování oprávnění a souhlasu a vynucování přístupu k dosažení vašich cílů nulová důvěra (Zero Trust).
• Osvědčené postupy autorizace pomáhají implementovat nejlepší modely autorizace, oprávnění a souhlasu pro vaše aplikace.