Catatan
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba masuk atau mengubah direktori.
Akses ke halaman ini memerlukan otorisasi. Anda dapat mencoba mengubah direktori.
Artikel ini memberikan gambaran umum keamanan aplikasi dari perspektif pengembang untuk mengatasi prinsip panduan Zero Trust. Di masa lalu, keamanan kode adalah semua tentang aplikasi Anda sendiri: jika Anda salah, aplikasi Anda sendiri berisiko. Saat ini, keamanan cyber adalah prioritas tinggi bagi pelanggan dan pemerintah di seluruh dunia.
Kepatuhan terhadap persyaratan keamanan cyber adalah prasyarat bagi banyak pelanggan dan pemerintah untuk membeli aplikasi. Aplikasi Anda perlu memenuhi persyaratan pelanggan.
Keamanan cloud adalah pertimbangan infrastruktur organisasi yang hanya seaman tautan terlemah. Saat satu aplikasi adalah tautan terlemah, pelaku jahat dapat memperoleh akses ke data dan operasi penting bisnis.
Keamanan aplikasi dari perspektif pengembang mencakup pendekatan Zero Trust: aplikasi membahas prinsip panduan Zero Trust. Sebagai pengembang, terus perbarui aplikasi Anda saat lanskap ancaman dan panduan keamanan berubah.
Mendukung prinsip Zero Trust dalam kode Anda
Dua kunci untuk mematuhi prinsip Zero Trust adalah kemampuan aplikasi Anda untuk memverifikasi secara eksplisit dan untuk mendukung akses hak istimewa paling sedikit. Aplikasi Anda harus mendelegasikan manajemen identitas dan akses ke ID Microsoft Entra sehingga dapat menggunakan token Microsoft Entra. Mendelegasikan identitas dan manajemen akses memungkinkan aplikasi Anda mendukung teknologi pelanggan seperti autentikasi multifaktor, autentikasi tanpa kata sandi, dan kebijakan akses bersyarkat.
Dengan platform identitas Microsoft dan teknologi yang mengaktifkan Zero Trust, menggunakan token Microsoft Entra membantu aplikasi Anda untuk berintegrasi dengan seluruh rangkaian teknologi keamanan Microsoft.
Jika aplikasi Anda memerlukan kata sandi, Anda mungkin mengekspos pelanggan Anda untuk menghindari risiko. Pelaku jahat melihat pergeseran ke bekerja dari lokasi mana pun dengan perangkat apa pun sebagai kesempatan untuk mengakses data perusahaan dengan melakukan aktivitas seperti serangan semprotan kata sandi. Dalam serangan semprotan kata sandi, pelaku jahat mencoba kata sandi yang menjanjikan di sekumpulan akun pengguna. Misalnya, mereka dapat mencoba GoSeaHawks2022! pada akun pengguna di wilayah Seattle. Jenis serangan yang berhasil ini adalah salah satu pembenaran untuk autentikasi tanpa kata sandi.
Memperoleh token akses dari ID Microsoft Entra
Minimal, aplikasi Anda perlu memperoleh token akses dari ID Microsoft Entra yang mengeluarkan token akses OAuth 2.0. Aplikasi klien Anda dapat menggunakan token ini untuk mendapatkan akses terbatas ke sumber daya pengguna melalui panggilan API atas nama pengguna. Anda menggunakan token akses untuk memanggil setiap API.
Saat penyedia identitas yang didelegasikan memverifikasi identitas, departemen TI pelanggan Anda dapat memberlakukan akses hak istimewa paling sedikit dengan izin dan persetujuan Microsoft Entra. MICROSOFT Entra ID menentukan kapan mengeluarkan token ke aplikasi.
Ketika pelanggan Anda memahami sumber daya perusahaan mana yang perlu diakses aplikasi Anda, mereka dapat memberikan atau menolak permintaan akses dengan benar. Misalnya, jika aplikasi Anda perlu mengakses Microsoft SharePoint, dokumentasikan persyaratan ini sehingga Anda dapat membantu pelanggan memberikan izin yang benar.
Langkah berikutnya
- Metodologi pengembangan berbasis standar memberikan gambaran umum tentang standar yang didukung dan manfaatnya.
- Membangun aplikasi dengan pendekatan Zero Trust untuk identitas memberikan gambaran umum izin dan praktik terbaik akses.
- Menyesuaikan token menjelaskan informasi yang dapat Anda terima di token Microsoft Entra. Pelajari cara menyesuaikan token dan meningkatkan fleksibilitas dan kontrol sambil meningkatkan keamanan Zero Trust aplikasi dengan hak istimewa paling sedikit.
- Jenis identitas dan akun yang didukung untuk aplikasi tunggal dan multipenyewa menjelaskan bagaimana Anda dapat memilih apakah aplikasi Anda hanya mengizinkan pengguna dari penyewa Microsoft Entra Anda, penyewa Microsoft Entra apa pun, atau pengguna dengan akun Microsoft pribadi.
- API Protection menjelaskan praktik terbaik untuk melindungi API Anda melalui pendaftaran, menentukan izin dan persetujuan, dan menegakkan akses untuk mencapai tujuan Zero Trust Anda.
- Praktik terbaik otorisasi membantu Anda menerapkan model otorisasi, izin, dan persetujuan terbaik untuk aplikasi Anda.