Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Ez a cikk áttekintést nyújt az alkalmazásbiztonságról egy fejlesztő szemszögéből, hogy kezelje a nulla megbízhatóság alapelveit. Korábban a kódbiztonság a saját alkalmazásáról szólt: ha tévedett, a saját alkalmazása volt veszélyben. Napjainkban a kiberbiztonság kiemelt fontosságú az ügyfelek és a kormányok számára világszerte.
A kiberbiztonsági követelményeknek való megfelelés számos ügyfél és kormány számára előfeltétele az alkalmazások vásárlásának. Az alkalmazásnak meg kell felelnie az ügyfélkövetelményeknek.
A felhőbiztonság a szervezeti infrastruktúra egyik szempontja, amely csak olyan biztonságos, mint a leggyengébb kapcsolat. Ha egyetlen alkalmazás a leggyengébb hivatkozás, a rossz szereplők hozzáférhetnek az üzletileg kritikus fontosságú adatokhoz és műveletekhez.
Az alkalmazásbiztonság fejlesztői szempontból nulla megbízhatósági megközelítést is magában foglal: az alkalmazások a Zero Trust alapelveit kezelik. Fejlesztőként folyamatosan frissítse az alkalmazást a fenyegetési környezet és a biztonsági útmutató változásaival.
Nulla megbízhatósági alapelvek támogatása a kódban
A zéró megbízhatósági elveknek való megfelelés két kulcsa az alkalmazás azon képessége, hogy explicit módon ellenőrizze és támogassa a legkevésbé jogosultsághoz való hozzáférést. Az alkalmazásnak delegálnia kell az identitás- és hozzáférés-kezelést a Microsoft Entra-azonosítóba, hogy a Microsoft Entra-jogkivonatokat használhassa. Az identitás- és hozzáférés-kezelés delegálása lehetővé teszi, hogy az alkalmazás támogassa az olyan ügyféltechnológiák használatát, mint a többtényezős hitelesítés, a jelszó nélküli hitelesítés és a feltételes hozzáférési szabályzatok.
A Microsoft identitásplatform és a nulla bizalmi biztonsági technológiák segítségével a Microsoft Entra jogkivonatok használata segíti az alkalmazás integrációját a Microsoft teljes biztonsági technológiakészletével.
Ha az alkalmazás jelszavakat igényel, előfordulhat, hogy az ügyfeleket kiteszik az elkerülhető kockázatnak. A rosszindulatú szereplők lehetőségként tekintenek arra a váltásra, hogy bármilyen helyszínről és eszközzel dolgozhassanak, hogy jelszóspray-támadásokhoz hasonló tevékenységekkel hozzáférjenek a vállalati adatokhoz. Jelszóspray-támadás esetén a rossz szereplők ígéretes jelszót próbálnak ki a felhasználói fiókok egy készletében. Például előfordulhat, hogy a seattle-i területen a felhasználói fiókokkal szemben próbálják meg GoSeaHawks2022!. Ez a sikeres támadástípus a jelszó nélküli hitelesítés egyik indoka.
Hozzáférési jogkivonatok beszerzése a Microsoft Entra-azonosítóból
Az alkalmazásnak legalább olyan hozzáférési jogkivonatokat kell beszereznie a Microsoft Entra-azonosítóból, amelyek OAuth 2.0 hozzáférési jogkivonatokat bocsátanak ki. Az ügyfélalkalmazás ezeket a jogkivonatokat arra használhatja, hogy korlátozott hozzáférést szerezzenek a felhasználói erőforrásokhoz a felhasználó nevében indított API-hívásokon keresztül. Az egyes API-k meghívásához hozzáférési jogkivonatot használ.
Ha egy delegált identitásszolgáltató ellenőrzi az identitást, az ügyfél informatikai részlege a Microsoft Entra engedélyével és hozzájárulásával kikényszerítheti a minimális jogosultsági hozzáférést. A Microsoft Entra ID határozza meg, hogy mikor ad ki jogkivonatokat az alkalmazásoknak.
Ha az ügyfelek tisztában vannak azzal, hogy az alkalmazásnak mely vállalati erőforrásokhoz kell hozzáférnie, helyesen adhatnak vagy tagadhatnak meg hozzáférési kéréseket. Ha például az alkalmazásnak hozzá kell férnie a Microsoft SharePointhoz, dokumentálja ezt a követelményt, hogy segítsen az ügyfeleknek a megfelelő engedélyek megadásában.
Következő lépések
- A szabványokon alapuló fejlesztési módszertanok áttekintést nyújtanak a támogatott szabványokról és azok előnyeiről.
- A Zero Trust megközelítést alkalmazva az identitásra vonatkozó alkalmazások létrehozása áttekintést nyújt az engedélyek és a hozzáférés legjobb gyakorlatairól.
- Tokenek testreszabása ismerteti az információkat, amelyeket a Microsoft Entra tokenekben kaphat. Megtudhatja, hogyan szabhatja testre a jogkivonatokat, és hogyan javíthatja a rugalmasságot és a vezérlést, miközben a minimális jogosultság elvének alkalmazásával növeli az alkalmazás Zero Trust biztonságát.
- Az egy- és több-bérlős alkalmazások támogatott identitás- és fióktípusai azt ismertetik, hogyan választhatja ki, hogy az alkalmazás csak a Microsoft Entra-bérlői, bármely Microsoft Entra-bérlői vagy személyes Microsoft-fiókkal rendelkező felhasználókat engedélyezi-e.
- API védelem ismerteti az API regisztrációval, az engedélyek és hozzájárulások meghatározásával, valamint a hozzáférés szigorításával kapcsolatos legjobb gyakorlatokat a Zero Trust célok elérése érdekében.
- Az ajánlott engedélyezési eljárások segítségével implementálhatja a legjobb engedélyezési, engedély- és hozzájárulási modelleket az alkalmazásokhoz.