osvědčené postupy pro vývoj správy identit a přístupu nulová důvěra (Zero Trust)

  • Článek

Tento článek vám jako vývojář pomůže porozumět osvědčeným postupům správy identit a přístupu pro životní cyklus vývoje aplikací. Začnete vyvíjet zabezpečené nulová důvěra (Zero Trust) kompatibilní aplikace se správou identit a přístupu (IAM).

Architektura zabezpečení nulová důvěra (Zero Trust) používá zásady explicitního ověřování, nejnižšího privilegovaného přístupu a za předpokladu porušení zabezpečení. Zabezpečte uživatele a data a zároveň povolte běžné scénáře, jako je přístup k aplikacím mimo hraniční síť. Omezte závislost na implicitním vztahu důvěryhodnosti vůči interakcím za zabezpečenou hraniční sítí, která může být zranitelná vůči útokům na zabezpečení.

I když se implementace nulová důvěra (Zero Trust) stále vyvíjí, cesta každé organizace je jedinečná a často začíná identitou uživatele a aplikace. Tady jsou zásady a kontroly, které mnoho organizací upřednostňuje při zavádění nulová důvěra (Zero Trust):

  1. Implementujte zásady hygieny a obměny přihlašovacích údajů pro aplikace a služby. Když útočníci ohrožují tajné kódy, jako jsou certifikáty nebo hesla, můžou dosáhnout hloubky systémového přístupu k získání tokenů pod názvem identity aplikace. Pak přistupují k citlivým datům, přesunují se později a navazují trvalost.
  2. Zavedení silného ověřování Správci IT konfigurují zásady, které vyžadují vícefaktorové ověřování a zařízení FIDO2 bez hesla.
  3. Omezte souhlas uživatele s aplikacemi s nízkým rizikem na ověřené aplikace vydavatele. Přístup k datům v rozhraních API, jako je Microsoft Graph, umožňuje vytvářet bohaté aplikace. Organizace a zákazníci vyhodnocují žádosti o oprávnění a důvěryhodnost vaší aplikace před udělením souhlasu. Správci IT používají zásadu ověřování explicitně tím, že vyžadují ověření vydavatele. Použijí zásadu nejnižšího oprávnění tím, že povolí souhlas uživatele pouze s oprávněními s nízkým rizikem.
  4. Blokování starších protokolů a rozhraní API Správci IT blokují starší ověřovací protokoly, jako je základní ověřování, a vyžadují moderní protokoly, jako je OpenID Připojení a OAuth2.

Použití důvěryhodných knihoven ověřování založených na standardech

Vyvíjejte aplikaci se známými a uznávanými standardy a knihovnami, abyste zvýšili přenositelnost a zabezpečení aplikací. Důvěryhodné knihovny ověřování založené na standardech zůstávají aktuální, aby vaše aplikace reagovaly na nejnovější technologie a hrozby. Použití metodik vývoje založených na standardech poskytuje přehled podporovaných standardů (OAuth 2.0, OpenID Připojení, SAML, WS-Federation a SCIM) a výhody jejich používání s MSAL a platformou Microsoft Identity Platform.

Místo použití protokolů, které můžou mít známé chyby zabezpečení a rozsáhlou dokumentaci, vyvíjejte aplikaci s knihovnami, jako je Microsoft Authentication Library (MSAL), knihovna microsoft Identity Web Authentication Library a sady Azure SDK pro spravované identity. MsAL a sady SDK umožňují používat tyto funkce, aniž byste museli psát další kód:

  • Podmíněný přístup
  • Registrace a správa zařízení
  • Ověřování bez hesla a OVĚŘOVÁNÍ FIDO2

MSAL a Microsoft Graph jsou vašimi nejlepšími volbami pro vývoj aplikací Microsoft Entra. Vývojáři MSAL udělali za vás práci, abyste zajistili dodržování předpisů s protokoly. Microsoft optimalizuje MSAL pro efektivitu při práci přímo s Microsoft Entra ID.

Registrace aplikací v Microsoft Entra ID

Dodržujte osvědčené postupy zabezpečení pro vlastnosti aplikace v Microsoft Entra ID. Registrace aplikace v Microsoft Entra ID je důležitá, protože chybná konfigurace nebo selhání hygieny vaší aplikace může vést k výpadkům nebo ohrožení zabezpečení.

Mezi vlastnosti aplikace, které zlepšují zabezpečení, patří identifikátor URI přesměrování, přístupové tokeny (nikdy se nepoužívají s implicitními toky), certifikáty a tajné kódy, identifikátor URI ID aplikace a vlastnictví aplikace. Proveďte pravidelná posouzení zabezpečení a stavu podobně jako posouzení modelu ohrožení zabezpečení pro kód.

Delegování správy identit a přístupu

Vyvíjejte aplikaci tak, aby používala tokeny pro explicitní ověřování identit a řízení přístupu, které definují a spravují vaši zákazníci. Microsoft doporučuje vyvíjet vlastní systémy pro správu uživatelských jmen a hesel.

Zachovejte přihlašovací údaje mimo kód, aby správci IT mohli obměňovat přihlašovací údaje, aniž by museli aplikaci znovu nasadit. K delegování IAM použijte službu, jako je Azure Key Vault nebo Spravované identity Azure.

Plánování a návrh přístupu s nejnižšími oprávněními

Klíčovým principem nulová důvěra (Zero Trust) je přístup s nejnižšími oprávněními. Dostatečně vyvíjejte a dokumentujte aplikaci, aby vaši zákazníci mohli úspěšně konfigurovat zásady nejnižších oprávnění. Při podpoře tokenů a rozhraní API poskytněte zákazníkům dobrou dokumentaci k prostředkům, které vaše aplikace volá.

Vždy poskytněte uživateli nejnižší požadovaná oprávnění k provádění konkrétních úloh. Pokud například potřebujete požádat o oprávnění, použijte přírůstkový souhlas a používejte podrobné obory v Microsoft Graphu.

Prozkoumejte obory v Graph Exploreru , abyste mohli volat rozhraní API a prozkoumat požadovaná oprávnění. Zobrazují se v pořadí od nejnižšího po nejvyšší oprávnění. Výběr nejnižšího možného oprávnění zajistí, že vaše aplikace bude méně zranitelná vůči útokům.

Postupujte podlepokynůch

Zabezpečená správa tokenů

Když vaše aplikace požaduje tokeny z MICROSOFT Entra ID, bezpečně je spravujte:

  • Ověřte, že jsou správně vymezeny na vaši aplikaci.
  • Odpovídajícím způsobem je uložíte do mezipaměti.
  • Používejte je podle očekávání.
  • Problémy s tokeny můžete zpracovat kontrolou tříd chyb a kódováním odpovídajících odpovědí.
  • Místo přímého čtení přístupových tokenů si prohlédněte jejich obory a podrobnosti v odpovědích na tokeny.

Podpora průběžného vyhodnocování přístupu (CAE)

CAE umožňuje Microsoft Graphu rychle odepřít přístup v reakci na události zabezpečení. Mezi příklady patří tyto aktivity správce tenanta:

  • Odstranění nebo zakázání uživatelského účtu
  • Povolení vícefaktorového ověřování (MFA) pro uživatele
  • Explicitní odvolání vydaných tokenů uživatele
  • Zjištění uživatele, který přechází na stav s vysokým rizikem

Když podporujete CAE, jsou tokeny, se kterými se Microsoft Entra ID týká volání Microsoft Graphu, platné po dobu 24 hodin místo standardních 60 až 90 minut. CaE zvyšuje odolnost vaší aplikace tím, že vyžaduje aktualizaci tokenu po hodinách a umožní službě MSAL proaktivně aktualizovat token před vypršením platnosti tokenu.

Definování rolí aplikací pro IT, které se mají přiřazovat uživatelům a skupinám

Role aplikací pomáhají implementovat řízení přístupu na základě role ve vašich aplikacích. Mezi běžné příklady rolí aplikací patří Správa istrator, Čtenář a Přispěvatel. Řízení přístupu na základě role umožňuje aplikaci omezit citlivé akce na uživatele nebo skupiny na základě jejich definovaných rolí.

Staňte se ověřeným vydavatelem

Jako ověřený vydavatel jste ověřili svou identitu pomocí účtu Microsoft Partner Network a dokončili jste zavedený proces ověření. Pro vývojáře aplikací s více tenanty pomáhá ověřený vydavatel vytvářet důvěru správců IT v tenantech zákazníků.

Další kroky

  • Přizpůsobení tokenů popisuje informace, které můžete přijímat v tokenech Microsoft Entra. Zjistěte, jak přizpůsobit tokeny, abyste zlepšili flexibilitu a řízení a současně zvýšili zabezpečení aplikací nulová důvěra (Zero Trust) s nejnižšími oprávněními.
  • Konfigurace skupinových deklarací identity a rolí aplikací v tokenech popisuje, jak nakonfigurovat aplikace s definicemi rolí aplikace a přiřadit skupiny zabezpečení k rolím aplikací. Tento přístup zlepšuje flexibilitu a řízení při zvyšování zabezpečení nulová důvěra (Zero Trust) aplikací s nejnižšími oprávněními.
  • Vytváření aplikací s přístupem k identitě nulová důvěra (Zero Trust) poskytuje přehled o oprávněních a osvědčených postupech přístupu.
  • Průvodce integrací identit vysvětluje, jak integrovat řešení zabezpečení s produkty Microsoftu a vytvářet nulová důvěra (Zero Trust) řešení.
  • Odpovědnost vývojáře a správce za registraci, autorizaci a přístup k aplikacím vám pomůže lépe spolupracovat s it specialisty.
  • Podporované typy identit a účtů pro jednoklientové aplikace vysvětlují, jak můžete zvolit, jestli vaše aplikace povoluje jenom uživatele z vašeho tenanta Microsoft Entra ID), libovolného tenanta Microsoft Entra nebo uživatele s osobními účty Microsoft.
  • Osvědčené postupy autorizace pomáhají implementovat nejlepší modely autorizace, oprávnění a souhlasu pro vaše aplikace.
  • Služba API Protection popisuje osvědčené postupy pro ochranu rozhraní API prostřednictvím registrace, definování oprávnění a souhlasu a vynucování přístupu k dosažení vašich cílů nulová důvěra (Zero Trust).