Oharra
Baimena behar duzu orria atzitzeko. Direktorioetan saioa has dezakezu edo haiek alda ditzakezu.
Baimena behar duzu orria atzitzeko. Direktorioak alda ditzakezu.
En este artículo se proporciona información general sobre la seguridad de las aplicaciones desde la perspectiva del desarrollador para abordar los principios rectores de Confianza cero. En el pasado, la seguridad del código era sobre su propia aplicación: si se ha producido un error, su propia aplicación estaba en riesgo. Hoy en día, la ciberseguridad es una prioridad alta para los clientes y gobiernos de todo el mundo.
El cumplimiento de los requisitos de ciberseguridad es un requisito previo para que muchos clientes y gobiernos compren aplicaciones. La aplicación debe cumplir los requisitos del cliente.
La seguridad en la nube es una consideración de la infraestructura de la organización que solo es tan segura como el vínculo más débil. Cuando una sola aplicación es el vínculo más débil, los actores incorrectos pueden obtener acceso a datos y operaciones críticos para la empresa.
La seguridad de las aplicaciones desde una perspectiva del desarrollador incluye un enfoque de confianza cero: las aplicaciones abordan los principios rectores de Confianza cero. Como desarrollador, actualice continuamente la aplicación a medida que cambia el panorama de amenazas y las instrucciones de seguridad.
Apoyo a los principios de Zero Trust en tu código
Dos claves para el cumplimiento de los principios de confianza cero son la capacidad de la aplicación para comprobar explícitamente y admitir el acceso con privilegios mínimos. La aplicación debe delegar la administración de identidades y acceso a Microsoft Entra ID para que pueda usar tokens de Microsoft Entra. Delegar la administración de identidades y acceso permite a la aplicación admitir tecnologías de clientes como la autenticación multifactor, la autenticación sin contraseña y las directivas de acceso condicional.
Con la plataforma de identidad de Microsoft y la habilitación de Confianza cero, el uso de tokens de Microsoft Entra ayuda a su aplicación a integrarse con todo el conjunto de tecnologías de seguridad de Microsoft.
Si la aplicación requiere contraseñas, es posible que exponga a los clientes a riesgos evitables. Los actores malintencionados ven el cambio hacia el trabajo desde cualquier ubicación con cualquier dispositivo como una oportunidad para acceder a los datos corporativos mediante actividades como los ataques de rociado de contraseñas. En un ataque de rociado de contraseñas, los malos actores prueban una contraseña prometedora en un conjunto de cuentas de usuario. Por ejemplo, podrían intentar GoSeaHawks2022! contra cuentas de usuario en el área de Seattle. Este tipo de ataque exitoso es una justificación para la autenticación sin contraseña.
Adquisición de tokens de acceso de Microsoft Entra ID
Como mínimo, la aplicación debe adquirir tokens de acceso del identificador de Microsoft Entra que emite tokens de acceso de OAuth 2.0. La aplicación cliente puede usar estos tokens para obtener acceso limitado a los recursos de usuario a través de llamadas API en nombre del usuario. Use un token de acceso para llamar a cada API.
Cuando un proveedor de identidades delegado comprueba la identidad, el departamento de TI del cliente puede aplicar el acceso con privilegios mínimos con el permiso y el consentimiento de Microsoft Entra. Microsoft Entra ID determina cuándo emite tokens para las aplicaciones.
Cuando los clientes entienden a qué recursos corporativos necesita acceder la aplicación, pueden conceder o denegar correctamente las solicitudes de acceso. Por ejemplo, si la aplicación necesita acceder a Microsoft SharePoint, documente este requisito para que pueda ayudar a los clientes a conceder los permisos correctos.
Pasos siguientes
- Las metodologías de desarrollo basadas en estándares proporcionan información general sobre los estándares admitidos y sus ventajas.
- Creación de aplicaciones con un enfoque de confianza cero para la identidad proporciona información general sobre los permisos y los procedimientos recomendados de acceso.
- Personalizar tokens describe la información que puede recibir en tokens de Microsoft Entra. Obtenga información sobre cómo personalizar los tokens y mejorar la flexibilidad y el control, al tiempo que aumenta la seguridad de confianza cero con privilegios mínimos.
- Los tipos de identidad y de cuenta admitidos para aplicaciones únicas y multiinquilino explican cómo puede elegir si la aplicación solo permite a los usuarios de su inquilino de Microsoft Entra, cualquier inquilino de Microsoft Entra o usuarios con cuentas personales de Microsoft.
- En el artículo Protección de API se describen los procedimientos recomendados para proteger la API mediante su registro, la definición de permisos y del consentimiento, y la aplicación del acceso para lograr los objetivos de confianza cero.
- Procedimientos recomendados de autorización le ayuda a implementar los mejores modelos de autorización, permisos y consentimiento para las aplicaciones.