Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Aplikace, které používají tajné kódy klienta, je můžou ukládat do konfiguračních souborů, pevně je zakódovat ve skriptech nebo riskovat jejich vystavení jinými způsoby. Složitosti managementu tajemství činí tajemství náchylnými k únikům a atraktivními pro útočníky. Tajné kódy klientů při zveřejnění poskytují útočníkům legitimní přihlašovací údaje, aby mohli své aktivity kombinovat s legitimními operacemi, což usnadňuje obejití bezpečnostních prvků. Pokud útočník naruší tajný klíč klienta aplikace, může v závislosti na oprávněních aplikace eskalovat svá oprávnění v systému, což vede k širšímu přístupu a řízení. Nahrazení ohroženého certifikátu může být neuvěřitelně časově náročné a rušivé. Z těchto důvodů Microsoft doporučuje, aby všichni naši zákazníci přešli od ověřování pomocí hesla nebo certifikátu na ověřování založeného na tokenech.
V tomto článku zvýrazníme prostředky a osvědčené postupy, které vám pomůžou migrovat aplikace mimo ověřování založené na tajných klíčích na bezpečnější a uživatelsky přívětivější metody ověřování.
Proč migrovat aplikace mimo ověřování založené na tajných kódech?
Migrace aplikací mimo ověřování založené na tajných klíčích nabízí několik výhod:
Vylepšené zabezpečení: Ověřování na základě tajných kódů je náchylné k únikům a útokům. Migrace na bezpečnější metody ověřování, jako jsou spravované identity, zlepšuje zabezpečení.
Menší složitost: Správa tajných kódů může být složitá a náchylná k chybám. Migrace na bezpečnější metody ověřování snižuje složitost a zlepšuje zabezpečení.
Škálovatelnost: Migrace na bezpečnější metody ověřování pomáhá bezpečně škálovat aplikace.
Dodržování předpisů: Migrace na bezpečnější metody ověřování pomáhá splňovat požadavky na dodržování předpisů a osvědčené postupy zabezpečení.
Osvědčené postupy pro migraci aplikací mimo ověřování na základě tajných kódů
Pokud chcete migrovat aplikace mimo ověřování založené na tajných klíčích, zvažte následující osvědčené postupy:
Použití spravovaných identit pro prostředky Azure
Spravované identity představují bezpečný způsob ověřování aplikací v cloudových službách bez nutnosti spravovat přihlašovací údaje nebo mít v kódu přihlašovací údaje. Služby Azure tuto identitu používají k ověřování ve službách, které podporují ověřování Microsoft Entra. Další informace najdete v tématu Přiřazení přístupu spravované identity k roli aplikace.
U aplikací, které nejde migrovat v krátkodobém horizontu, obměňte tajný klíč a ujistěte se, že používají zabezpečené postupy, jako je použití služby Azure Key Vault. Azure Key Vault pomáhá chránit kryptografické klíče a tajné kódy používané cloudovými aplikacemi a službami. Klíče, tajné kódy a certifikáty jsou chráněné bez nutnosti psát kód sami a můžete je snadno používat ze svých aplikací. Další informace najdete v tématu služby Azure Key Vault.
Nasazení zásad podmíněného přístupu pro identity úloh
Podmíněný přístup pro identity úloh umožňuje blokovat instanční objekty mimo známé rozsahy veřejných IP adres na základě rizika zjištěného službou Microsoft Entra Protection nebo v kombinaci s kontexty ověřování. Další informace najdete v tématu Podmíněný přístup pro identity úloh.
Důležitý
K vytvoření nebo úpravě zásad podmíněného přístupu zaměřených na poskytovatele služeb jsou vyžadovány licence Workload Identities Premium. V adresářích bez odpovídajících licencí budou stávající zásady podmíněného přístupu pro identity úloh nadále fungovat, ale není možné je upravovat. Další informace naleznete v tématu Microsoft Entra Workload ID.
Implementace skenování tajných informací
Kontrola tajemství pro vaše úložiště kontroluje všechna tajemství, která už mohou existovat ve zdrojovém kódu v historii, a ochrana před zveřejněním brání odhalení nových tajemství ve zdrojovém kódu. Další informace najdete v tématu Kontrola tajných kódů.
Nasazení zásad ověřování aplikací pro vynucení postupů zabezpečeného ověřování
Zásady správy aplikací umožňují správcům IT vynucovat osvědčené postupy pro konfiguraci aplikací v jejich organizacích. Správce může například nakonfigurovat zásadu pro blokování použití nebo omezení životnosti tajných kódů hesel. Další informace najdete v tématu Kurz: Vynucování standardů tajných kódů a certifikátů pomocí zásad správy aplikací a přehled rozhraní API zásad správy aplikací Microsoft Entra.
Důležitý
Licence Premium se vyžadují k implementaci správy zásad ověřování aplikací. Další informace najdete v tématu Licencování Microsoft Entra.
Použití federované identity pro účty služeb
Federace identit umožňuje přístup k prostředkům chráněným Microsoft Entra, aniž byste museli spravovat tajné kódy (pro podporované scénáře) vytvořením vztahu důvěryhodnosti mezi externím zprostředkovatelem identity (IDP) a aplikací v Microsoft Entra ID tím, že nakonfigurujete přihlašovací údaje federované identity. Další informace najdete v tématu Přehled přihlašovacích údajů federované identity v Microsoft Entra ID.
Vytvořte vlastní roli s nejnižšími oprávněními pro obnovení přihlašovacích údajů aplikace.
Role Microsoft Entra umožňují udělit správcům podrobná oprávnění, abidovat zásadou nejnižších oprávnění. K obměně přihlašovacích údajů aplikace je možné vytvořit vlastní roli, která zajistí, že k dokončení úlohy budou udělena pouze potřebná oprávnění. Další informace najdete v tématu Vytvoření vlastní role v Microsoft Entra ID.
Ujistěte se, že máte proces pro třídění a monitorování aplikací.
Tento proces by měl zahrnovat pravidelné posouzení zabezpečení, kontrolu ohrožení zabezpečení a postupy reakce na incidenty. Povědomí o stavu zabezpečení vašich aplikací je nezbytné k udržování zabezpečeného prostředí.