Poznámka:
Přístup k této stránce vyžaduje autorizaci. Můžete se zkusit přihlásit nebo změnit adresáře.
Přístup k této stránce vyžaduje autorizaci. Můžete zkusit změnit adresáře.
Tento článek obsahuje přehled zabezpečení aplikací z pohledu vývojáře, který řeší hlavní principy nulové důvěryhodnosti. V minulosti zabezpečení kódu bylo všechno o vaší vlastní aplikaci: pokud jste se spletli, vaše vlastní aplikace byla ohrožena. V současné době je kybernetická bezpečnost pro zákazníky a vlády po celém světě vysokou prioritou.
Dodržování požadavků na kybernetickou bezpečnost je předpokladem pro mnoho zákazníků a vlád k nákupu aplikací. Vaše aplikace musí splňovat požadavky zákazníků.
Zabezpečení cloudu je důležitým aspektem infrastruktury organizace, která je stejně zabezpečená jako nejslabší propojení. Když je jedna aplikace nejslabším propojením, můžou chybní aktéři získat přístup k důležitým obchodním datům a operacím.
Zabezpečení aplikací z pohledu vývojáře zahrnuje přístup nulové důvěryhodnosti: aplikace řeší hlavní principy nulové důvěryhodnosti. Jako vývojář neustále aktualizujte aplikaci, protože se mění prostředí hrozeb a pokyny k zabezpečení.
Podpora principů nulové důvěryhodnosti v kódu
Dva klíče pro dodržování zásad nulové důvěryhodnosti představují schopnost vaší aplikace ověřit explicitně a podporovat přístup s nejnižšími oprávněními. Vaše aplikace by měla delegovat správu identit a přístupu na ID Microsoft Entra, aby mohl používat tokeny Microsoft Entra. Delegování správy identit a přístupu umožňuje vaší aplikaci podporovat zákaznické technologie, jako je vícefaktorové ověřování, ověřování bez hesla a zásady podmíněného přístupu.
Díky platformě Microsoft Identity Platform a technologiím s nulovou důvěryhodností pomáhá použití tokenů Microsoft Entra vaší aplikaci integrovat s celou sadou technologií zabezpečení od Microsoftu.
Pokud vaše aplikace vyžaduje hesla, možná vystavujete své zákazníky zbytečnému riziku. Chybní aktéři si prohlížejí přechod na práci z libovolného umístění s jakýmkoli zařízením jako příležitost pro přístup k podnikovým datům prostřednictvím aktivit, jako jsou útoky typu password spray. Při útoku typu password spray se útočníci pokouší použít nadějné heslo na sadu uživatelských účtů. Mohou se například pokusit o GoSeaHawks2022! účty uživatelů v oblasti Seattlu. Tento úspěšný typ útoku je jedním z důvodů ověřování bez hesla.
Získání přístupových tokenů z Microsoft Entra ID
Minimálně vaše aplikace potřebuje získat přístupové tokeny z ID Microsoft Entra, které vydává přístupové tokeny OAuth 2.0. Klientská aplikace může tyto tokeny použít k získání omezeného přístupu k prostředkům uživatelů prostřednictvím volání rozhraní API jménem uživatele. K volání jednotlivých rozhraní API použijete přístupový token.
Když delegovaný zprostředkovatel identity ověří identitu, může IT oddělení zákazníka vynutit přístup s nejnižšími oprávněními pomocí oprávnění Microsoft Entra a souhlasu. ID Microsoft Entra určuje, kdy vydává tokeny pro aplikace.
Když vaši zákazníci pochopí, ke kterým podnikovým prostředkům vaše aplikace potřebuje přístup, můžou správně udělit nebo odepřít žádosti o přístup. Pokud třeba vaše aplikace potřebuje přístup k Microsoft SharePointu, zdokumentujte tento požadavek, abyste zákazníkům pomohli udělit správná oprávnění.
Další kroky
- Metodologie vývoje založené na standardech poskytují přehled podporovaných standardů a jejich výhod.
- Vytváření aplikací s přístupem Zero Trust k identitě poskytuje přehled o oprávněních a osvědčených postupech přístupu.
- Přizpůsobení tokenů popisuje informace, které můžete přijímat v tokenech Microsoft Entra. Zjistěte, jak přizpůsobit tokeny a zlepšit flexibilitu a řízení a současně zvýšit zabezpečení nulové důvěryhodnosti aplikací s nejnižšími oprávněními.
- Podporované typy identit a účtů pro jednoklientové aplikace vysvětlují, jak můžete zvolit, jestli vaše aplikace povoluje jenom uživatele z vašeho tenanta Microsoft Entra, libovolného tenanta Microsoft Entra nebo uživatele s osobními účty Microsoft.
- Služba API Protection popisuje osvědčené postupy pro ochranu rozhraní API prostřednictvím registrace, definování oprávnění a souhlasu a vynucování přístupu k dosažení cílů nulové důvěryhodnosti.
- Osvědčené postupy autorizace pomáhají implementovat nejlepší modely autorizace, oprávnění a souhlasu pro vaše aplikace.