Was meinen wir mit Einhaltung von Zero Trust?
Dieser Artikel bietet einen Überblick über die Anwendungssicherheit aus der Sicht eines Entwicklers, um die Leitprinzipien von Zero Trust zu verstehen. In der Vergangenheit ging es bei der Codesicherheit um Ihre eigene App: Wenn Sie Fehler machten, war Ihre eigene App gefährdet. Heute ist Cybersicherheit eine hohe Priorität für Kunden und Regierungen weltweit.
Die Einhaltung der Cybersicherheitsanforderungen ist eine Voraussetzung für viele Kunden und Regierungen zum Kauf von Anwendungen. Weitere Informationen finden Sie in der Anforderungszusammenfassung in U.S. Executive Order 14028: Improving the Nation's Cybersecurity und U.S. General Services Administration. Ihre Anwendung muss den Kundenanforderungen entsprechen.
Cloudsicherheit wird in der Organisationsinfrastruktur berücksichtigt und ist nur so sicher wie das schwächste Glied. Wenn eine einzelne App das schwächste Glied ist, können arglistige Akteure Zugriff auf geschäftskritische Daten und Vorgänge erhalten.
Anwendungssicherheit aus Entwicklerperspektive umfasst einen Zero Trust-Ansatz: Anwendungen befassen sich mit den Leitprinzipien von Zero Trust. Als Entwickler aktualisieren Sie Ihre Anwendung kontinuierlich, da sich die Bedrohungslandschaft und die Sicherheitsleitlinien ändern.
Unterstützen von Zero Trust-Prinzipien in Ihrem Code
Zwei Schlüssel zur Einhaltung von Zero Trust-Prinzipien sind die Fähigkeit Ihrer Anwendung, explizit zu überprüfen und den geringsten Berechtigungszugriff zu unterstützen. Ihre Anwendung sollte die Identitäts- und Zugriffsverwaltung an Microsoft Entra ID delegieren, damit sie Microsoft Entra-Token verwenden kann. Das Delegieren von Identitäts- und Zugriffsverwaltung ermöglicht es Ihrer Anwendung, Kundentechnologien wie mehrstufige Authentifizierung, kennwortlose Authentifizierung und Richtlinien für bedingten Zugriff zu unterstützen.
Mit der Microsoft Identity Platform und Zero Trust-Aktivierung von Technologien hilft die Verwendung von Microsoft Entra-Token Ihrer Anwendung bei der Integration in die gesamte Suite von Sicherheitstechnologien von Microsoft.
Wenn Ihre Anwendung Kennwörter erfordert, setzen Sie Ihre Kunden möglicherweise einem vermeidbaren Risiko aus. Böswillige Akteure sehen die Umstellung auf Arbeit an jedem Ort mit jedem Gerät als Möglichkeit, auf Unternehmensdaten zuzugreifen, indem Aktivitäten wie Kennwortsprayangriffe ausgeführt werden. Bei einem Kennwortsprayangriff probieren böswillige Akteure ein vielversprechendes Kennwort über eine Reihe von Benutzerkonten hinweg aus. Sie können beispielsweise GoSeaHawks2022! für Benutzerkonten im Bereich Seattle ausprobieren. Dieser erfolgreiche Angriffstyp ist eine Rechtfertigung für die kennwortlose Authentifizierung.
Abrufen von Zugriffstoken aus Microsoft Entra ID
Ihre Anwendung muss mindestens Zugriffstoken von Microsoft Entra ID abrufen, die OAuth 2.0-Zugriffstoken ausgibt. Ihre Clientanwendung kann diese Token verwenden, um eingeschränkten Zugriff auf Benutzerressourcen über API-Aufrufe im Namen des Benutzers zu erhalten. Sie verwenden ein Zugriffstoken, um jede API aufzurufen.
Wenn ein delegierter Identitätsanbieter die Identität überprüft, kann die IT-Abteilung Ihres Kunden die geringstmöglichen Zugriffsberechtigungen mit Microsoft Entra-Berechtigung und -Zustimmung erzwingen. Microsoft Entra ID bestimmt, wann Token für Anwendungen ausgegeben werden.
Wenn Ihre Kunden verstehen, auf welche Unternehmensressourcen Ihre Anwendung zugreifen muss, können sie Zugriffsanforderungen ordnungsgemäß gewähren oder verweigern. Wenn Ihre Anwendung beispielsweise auf Microsoft SharePoint zugreifen muss, dokumentieren Sie diese Anforderung, damit Kunden die richtigen Berechtigungen erteilen können.
Nächste Schritte
- Standardsbasierte Entwicklungsmethoden bieten einen Überblick über unterstützte Standards und deren Vorteile.
- Erstellen von Apps mit einem Zero Trust-Ansatz für Identität bietet eine Übersicht über Berechtigungen und bewährte Methoden für den Zugriff.
- Anpassen von Token beschreibt die Informationen, die Sie in Microsoft Entra-Token empfangen können. Erfahren Sie, wie die Tokenanpassung Flexibilität und Kontrolle verbessert, während die Sicherheit der Anwendung durch Zero Trust mit geringstmöglichen Zugriffsberechtigungen erhöht wird.
- Unterstützte Identitäts- und Kontotypen für Einzel- und Mehrinstanzen-Apps erläutern, wie Sie auswählen können, ob Ihre App nur Benutzer aus Ihrem Microsoft Entra-Mandanten, jedem Microsoft Entra-Mandanten oder Benutzer mit persönlichen Microsoft-Konten zulässt.
- Der API-Schutz beschreibt bewährte Methoden zum Schutz Ihrer API durch Registrierung, Definieren von Berechtigungen und Einwilligung sowie das Durchsetzen der Zugriffskontrolle, um Ihre Zero Trust-Ziele zu erreichen.
- Bewährte Methoden zur Autorisierung helfen Ihnen, die besten Autorisierungs-, Berechtigungs- und Zustimmungsmodelle für Ihre Anwendungen zu implementieren.