Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Aplikasi yang menggunakan kunci rahasia klien mungkin menyimpannya dalam file konfigurasi, menyematkannya secara langsung dalam skrip, atau berisiko membuatnya terpapar dengan cara lain. Kompleksitas manajemen rahasia membuat rahasia rentan terhadap kebocoran dan menarik bagi penyerang. Informasi rahasia klien, ketika diekspos, memberikan penyerang kredensial yang sah untuk menyamarkan aktivitas mereka dengan operasi yang sah, sehingga lebih mudah untuk melewati sistem keamanan. Jika penyerang mengorbankan rahasia klien aplikasi, mereka dapat meningkatkan hak istimewa mereka dalam sistem, yang mengarah ke akses dan kontrol yang lebih luas, tergantung pada izin aplikasi. Mengganti sertifikat yang disusupi dapat sangat memakan waktu dan mengganggu. Untuk alasan ini, Microsoft merekomendasikan agar semua pelanggan kami menjauh dari kata sandi atau autentikasi berbasis sertifikat ke autentikasi berbasis token.
Dalam artikel ini, kami menyoroti sumber daya dan praktik terbaik untuk membantu Anda memigrasikan aplikasi Anda dari autentikasi berbasis rahasia ke metode autentikasi yang lebih aman dan ramah pengguna.
Mengapa memigrasikan aplikasi jauh dari autentikasi berbasis rahasia?
Memigrasikan aplikasi dari autentikasi berbasis rahasia menawarkan beberapa manfaat:
Peningkatan keamanan: Autentikasi berbasis rahasia rentan terhadap kebocoran dan serangan. Migrasi ke metode autentikasi yang lebih aman, seperti identitas terkelola, meningkatkan keamanan.
Mengurangi kompleksitas: Mengelola rahasia bisa menjadi kompleks dan rawan kesalahan. Migrasi ke metode autentikasi yang lebih aman mengurangi kompleksitas dan meningkatkan keamanan.
Skalabilitas: Bermigrasi ke metode autentikasi yang lebih aman membantu Anda menskalakan aplikasi dengan aman.
Kepatuhan: Bermigrasi ke metode autentikasi yang lebih aman membantu Anda memenuhi persyaratan kepatuhan dan praktik terbaik keamanan.
Praktik terbaik untuk memigrasikan aplikasi dari autentikasi berbasis rahasia
Untuk memigrasikan aplikasi dari autentikasi berbasis rahasia, pertimbangkan praktik terbaik berikut:
Menggunakan identitas terkelola untuk sumber daya Azure
Identitas terkelola adalah cara yang aman untuk mengautentikasi aplikasi ke layanan cloud tanpa perlu mengelola kredensial atau memiliki kredensial dalam kode Anda. Layanan Azure menggunakan identitas ini untuk mengautentikasi ke layanan yang mendukung autentikasi Microsoft Entra. Untuk mempelajari selengkapnya, lihat Menetapkan akses identitas terkelola pada peran aplikasi.
Untuk aplikasi yang tidak dapat dimigrasikan dalam jangka pendek, ganti rahasia dan pastikan mereka menggunakan praktik aman, misalnya dengan menggunakan Azure Key Vault. Azure Key Vault membantu Anda melindungi kunci kriptografi dan rahasia yang digunakan oleh aplikasi dan layanan cloud. Kunci, rahasia, dan sertifikat dilindungi tanpa harus menulis kode sendiri, dan Anda dapat dengan mudah menggunakannya dari aplikasi Anda. Untuk mempelajari selengkapnya, lihat Azure Key Vault.
Menerapkan kebijakan Akses Bersyarat untuk identitas beban kerja
Akses Bersyarat untuk identitas beban kerja memungkinkan Anda memblokir prinsipal layanan dari luar rentang IP publik yang diketahui, berdasarkan risiko yang terdeteksi oleh Microsoft Entra Protection atau dikombinasikan dengan konteks autentikasi. Untuk mempelajari lebih lanjut, lihat Akses Bersyarat untuk Identitas Beban Kerja.
Penting
Lisensi Workload Identities Premium diperlukan untuk membuat atau memodifikasi kebijakan Akses Bersyarat yang ditujukan untuk principal layanan. Di direktori tanpa lisensi yang sesuai, kebijakan Akses Bersyarat yang ada untuk identitas pekerjaan terus berfungsi, tetapi tidak dapat dimodifikasi. Untuk informasi lebih lanjut, lihat ID Beban Kerja Microsoft Entra.
Menerapkan pemindaian rahasia
Pemindaian rahasia pada repositori Anda memeriksa setiap rahasia yang mungkin sudah ada dalam kode sumber Anda sepanjang riwayat, dan perlindungan saat pendorongan mencegah rahasia baru terungkap dalam kode sumber. Untuk mempelajari lebih lanjut, lihat pemindaian Rahasia .
Menyebarkan kebijakan autentikasi aplikasi untuk menerapkan praktik autentikasi yang aman
Kebijakan manajemen aplikasi memungkinkan admin TI untuk menerapkan praktik terbaik tentang bagaimana aplikasi di organisasi mereka harus dikonfigurasi. Misalnya, admin mungkin mengonfigurasi kebijakan untuk memblokir penggunaan atau membatasi masa pakai rahasia kata sandi. Untuk mempelajari selengkapnya, lihat Tutorial: Menerapkan standar rahasia dan sertifikat menggunakan kebijakan manajemen aplikasi dan gambaran umum API kebijakan manajemen aplikasi Microsoft Entra.
Penting
Lisensi premium diperlukan untuk menerapkan manajemen kebijakan autentikasi aplikasi, untuk informasi selengkapnya, lihat lisensi Microsoft Entra.
Menggunakan identitas federasi untuk akun layanan
Federasi identitas memungkinkan Anda mengakses sumber daya yang dilindungi Microsoft Entra tanpa perlu mengelola rahasia (untuk skenario yang didukung) dengan membuat hubungan kepercayaan antara Penyedia Identitas Eksternal (IdP) dan aplikasi di ID Microsoft Entra dengan mengonfigurasi kredensial identitas gabungan. Untuk mempelajari selengkapnya, lihat Ringkasan kredensial identitas federatif di Microsoft Entra ID.
Membuat peran kustom dengan hak akses paling minimal untuk memutar kredensial aplikasi
Peran Microsoft Entra memungkinkan Anda memberikan izin terperinci kepada admin Anda, mematuhi prinsip hak istimewa paling sedikit. Peran khusus dapat dibuat untuk mengelola rotasi kredensial aplikasi, memastikan bahwa hanya izin yang diperlukan yang diberikan untuk menyelesaikan tugas. Untuk mempelajari selengkapnya, lihat Membuat peran kustom di Microsoft Entra ID.
Pastikan Anda memiliki proses untuk melakukan triase dan memantau aplikasi
Proses ini harus mencakup penilaian keamanan reguler, pemindaian kerentanan, dan prosedur respons insiden. Kesadaran akan postur keamanan aplikasi Anda sangat penting untuk menjaga lingkungan yang aman.