Qu’entendons-nous par conformité Confiance Zéro ?

Cet article fournit une vue d’ensemble de la sécurité des applications du point de vue d’un développeur pour répondre aux principes fondamentaux de Confiance Zéro. Dans le passé, la sécurité du code concerne votre propre application : si vous avez eu tort, votre propre application était à risque. Aujourd’hui, la cybersécurité est une priorité élevée pour les clients et les gouvernements dans le monde entier.

La conformité aux exigences de cybersécurité est un prérequis pour de nombreux clients et gouvernements pour acheter des applications. Par exemple, consultez l’Ordre exécutif des États-Unis 14028 : Amélioration de la cybersécurité de la nation et des services généraux américains Administration istration requises. Votre application doit répondre aux exigences du client.

La sécurité cloud est une considération de l’infrastructure de l’organisation qui n’est que aussi sécurisée que le lien le plus faible. Lorsqu’une application unique est le lien le plus faible, les acteurs malveillants peuvent accéder aux données et opérations critiques pour l’entreprise.

La sécurité des applications du point de vue du développeur comprend une approche Confiance Zéro : les applications répondent aux principes fondamentaux de Confiance Zéro. En tant que développeur, vous mettez continuellement à jour votre application en tant que paysage des menaces et conseils de sécurité changent.

Prise en charge des principes de Confiance Zéro dans votre code

Deux clés de conformité aux principes de Confiance Zéro sont la capacité de votre application à vérifier explicitement et à prendre en charge l’accès au privilège minimum. Votre application doit déléguer la gestion des identités et des accès à Microsoft Entra ID afin qu’elle puisse utiliser des jetons Microsoft Entra. La délégation de la gestion des identités et des accès permet à votre application de prendre en charge les technologies client telles que l’authentification multifacteur, l’authentification sans mot de passe et les stratégies d’accès conditionnel.

Avec les Plateforme d'identités Microsoft et Confiance Zéro technologies d’activation (comme illustré dans le diagramme suivant), l’utilisation de jetons Microsoft Entra aide votre application à s’intégrer à l’ensemble de la suite de technologies de sécurité de Microsoft.

Titre du diagramme : Confiance Zéro de Microsoft activant les technologies. Le diagramme montre l’accès conditionnel Microsoft Entra, Microsoft Entra ID, Defender for Identity, Information Protection, applications Defender pour le Cloud, Sécurité Azure, Azure Networking, Microsoft Sentinel, Defender XDR, Endpoint Manager et Defender for Endpoint.

Si votre application nécessite des mots de passe, vous exposerez peut-être vos clients à des risques évitables. Les acteurs malveillants considèrent le passage au travail à partir de n’importe quel emplacement avec n’importe quel appareil comme une opportunité d’accéder aux données d’entreprise en perpétrant des activités telles que les attaques par pulvérisation de mots de passe. Dans une attaque par pulvérisation de mot de passe, les acteurs malveillants essaient un mot de passe prometteur sur un ensemble de comptes d’utilisateur. Par exemple, ils peuvent essayer GoSeaHawks2022 ! par rapport aux comptes d’utilisateur dans la région de Seattle. Ce type d’attaque réussi est une justification pour l’authentification sans mot de passe.

Acquisition d’un jeton d’accès Microsoft Entra ID

Au minimum, votre application doit acquérir des jetons d’accès à partir de Microsoft Entra ID qui émet des jetons d’accès OAuth 2.0. Votre application cliente peut utiliser ces jetons pour obtenir un accès limité aux ressources utilisateur via des appels d’API au nom de l’utilisateur. Vous utilisez un jeton d’accès pour appeler chaque API.

Lorsqu’un fournisseur d’identité délégué vérifie l’identité, le service informatique de votre client peut appliquer un accès de privilège minimum avec l’autorisation Microsoft Entra et le consentement. Microsoft Entra ID détermine quand il émet des jetons aux applications.

Lorsque vos clients comprennent les ressources d’entreprise dont votre application a besoin pour accéder, ils peuvent accorder ou refuser correctement les demandes d’accès. Par exemple, si votre application doit accéder à Microsoft SharePoint, documentez cette exigence afin que vous puissiez aider les clients à accorder les autorisations appropriées.

Étapes suivantes

• L’utilisation de méthodologies de développement basées sur des normes fournit une vue d’ensemble des normes prises en charge (OAuth 2.0, OpenID Connect, SAML, WS-Federation et SCIM) et les avantages de les utiliser avec MSAL et la Plateforme d’identités Microsoft.
• La création d’applications avec une approche Confiance Zéro de l’identité fournit une vue d’ensemble des autorisations et des meilleures pratiques d’accès.
• La personnalisation des jetons décrit les informations que vous pouvez recevoir dans les jetons Microsoft Entra. Découvrez comment personnaliser des jetons et améliorer la flexibilité et le contrôle tout en augmentant la sécurité des applications Confiance Zéro avec des privilèges minimum.
• Les types d’identité et de compte pris en charge pour les applications à locataire unique et multilocataire expliquent comment choisir si votre application autorise uniquement les utilisateurs de votre locataire Microsoft Entra, n’importe quel locataire Microsoft Entra ou les utilisateurs disposant de comptes Microsoft personnels.
• API Protection décrit les meilleures pratiques pour protéger votre API par le biais de l'enregistrement, de la définition des autorisations et du consentement, et de l'application de l'accès pour atteindre vos objectifs de confiance zéro.
• Les meilleures pratiques d’autorisation vous aident à implémenter les modèles d’autorisation, d’autorisation et de consentement les mieux adaptés à vos applications.