Aumentare la sicurezza delle applicazioni usando i principi Zero Trust
Non è possibile presupporre un perimetro di rete sicuro intorno alle applicazioni sviluppate. Quasi tutte le applicazioni sviluppate, per progettazione, saranno accessibili dall'esterno del perimetro di rete. Le applicazioni non possono essere sicure quando vengono sviluppate o rimarranno così dopo la distribuzione. È responsabilità dello sviluppatore dell'applicazione non solo massimizzare la sicurezza dell'applicazione, ma anche ridurre al minimo il danno che l'applicazione può causare se è compromessa.
Inoltre, la responsabilità include il supporto delle esigenze in continua evoluzione dei clienti e degli utenti, che si aspettano che l'applicazione soddisfi i requisiti di sicurezza Zero Trust. Apprendere i principi del modello Zero Trust e adottare le procedure. Imparando e adottando i principi, le applicazioni possono essere sviluppate che sono più sicure e che riducono al minimo i danni che potrebbero causare in caso di interruzione della sicurezza.
Il modello Zero Trust prevede impostazioni cultura di verifica esplicita anziché attendibilità implicita. Il modello è ancorato su tre principi guida chiave:
- Verificare esplicita
- Usare l'accesso con privilegi minimi
- Presunzione di violazione
Procedure consigliate per Zero Trust
Seguire queste procedure consigliate per creare applicazioni pronte per Zero Trust con Microsoft Identity Platform e i relativi strumenti.
Verificare esplicita
Microsoft Identity Platform offre meccanismi di autenticazione per verificare l'identità della persona o del servizio che accede a una risorsa. Applicare le procedure consigliate descritte di seguito per verificare in modo esplicito le entità che devono accedere a dati o risorse.
| Procedure consigliate | Vantaggi della sicurezza delle applicazioni |
|---|---|
| Usare le librerie di autenticazione Microsoft (MSAL). | MSAL è un set di librerie di autenticazione Microsoft per gli sviluppatori. Con MSAL, gli utenti e le applicazioni possono essere autenticati e i token possono essere acquisiti per accedere alle risorse aziendali usando solo poche righe di codice. MSAL usa protocolli moderni (OpenID Connessione e OAuth 2.0) che eliminano la necessità per le applicazioni di gestire direttamente le credenziali di un utente. Questa gestione delle credenziali migliora notevolmente la sicurezza sia per gli utenti che per le applicazioni poiché il provider di identità diventa il perimetro di sicurezza. Inoltre, questi protocolli si evolvono continuamente per affrontare nuovi paradigmi, opportunità e sfide nella sicurezza delle identità. |
| Adottare estensioni di sicurezza avanzate come la valutazione dell'accesso continuo (CAE) e il contesto di autenticazione dell'accesso condizionale, se appropriato. | In Microsoft Entra ID alcune delle estensioni più usate includono l'accesso condizionale, il contesto di autenticazione dell'accesso condizionale e l'autorità di certificazione. Le applicazioni che usano funzionalità di sicurezza avanzate, ad esempio CAE e il contesto di autenticazione dell'accesso condizionale, devono essere codificate per gestire le richieste di attestazioni. I protocolli aperti consentono l'uso delle richieste di attestazioni e attestazioni per richiamare funzionalità client aggiuntive. Le funzionalità potrebbero essere di continuare l'interazione con Microsoft Entra ID, ad esempio quando si è verificato un'anomalia o se le condizioni di autenticazione dell'utente cambiano. Queste estensioni possono essere codificate in un'applicazione senza disturbare i flussi di codice primario per l'autenticazione. |
| Usare il flusso di autenticazione corretto in base al tipo di applicazione. Per le applicazioni Web, provare sempre a usare flussi client riservati. Per le applicazioni per dispositivi mobili, provare a usare broker o il browser di sistema per l'autenticazione. | I flussi per le applicazioni Web che possono contenere un segreto (client riservati) sono considerati più sicuri dei client pubblici (ad esempio: applicazioni desktop e console). Quando il Web browser di sistema viene usato per autenticare un'applicazione per dispositivi mobili, un'esperienza SSO (Single Sign-On) sicura consente l'uso dei criteri di protezione delle applicazioni. |
Usare l'accesso con privilegi minimi
Uno sviluppatore usa Microsoft Identity Platform per concedere autorizzazioni (ambiti) e verificare che a un chiamante sia stata concessa l'autorizzazione appropriata prima di consentire l'accesso. Applicare l'accesso con privilegi minimi nelle applicazioni abilitando autorizzazioni con granularità fine che consentono di concedere la minima quantità di accesso necessaria. Considerare le procedure seguenti per assicurarsi di rispettare il principio dei privilegi minimi:
- Valutare le autorizzazioni richieste per assicurarsi che il livello di privilegi assoluto sia impostato per eseguire il processo. Non creare autorizzazioni "catch-all" con accesso all'intera superficie API.
- Quando si progettano API, fornire autorizzazioni granulari per consentire l'accesso con privilegi minimi. Iniziare dividendo le funzionalità e l'accesso ai dati in sezioni che possono essere controllate usando ambiti e ruoli dell'app. Non aggiungere API alle autorizzazioni esistenti in modo da modificare la semantica dell'autorizzazione.
- Offrire autorizzazioni di sola lettura.
Writeaccesso, include privilegi per le operazioni di creazione, aggiornamento ed eliminazione. Un client non deve mai richiedere l'accesso in scrittura solo ai dati di lettura. - Offrire autorizzazioni sia delegate che dell'applicazione . Ignorare le autorizzazioni dell'applicazione può creare requisiti rigidi per i client per ottenere scenari comuni come l'automazione, i microservizi e altro ancora.
- Prendere in considerazione le autorizzazioni di accesso "standard" e "completo" se si lavora con dati sensibili. Limitare le proprietà sensibili in modo che non sia possibile accedervi usando un'autorizzazione di accesso "standard", ad esempio
Resource.Read. E quindi implementare un'autorizzazione di accesso "completa", ad esempioResource.ReadFullche restituisce tutte le proprietà disponibili, incluse le informazioni riservate.
Presunzione di violazione
Il portale di registrazione delle applicazioni di Microsoft Identity Platform è il punto di ingresso principale per le applicazioni che intendono usare la piattaforma per l'autenticazione e le esigenze associate. Durante la registrazione e la configurazione delle applicazioni, seguire le procedure descritte di seguito per ridurre al minimo i danni che potrebbero causare in caso di violazione della sicurezza. Per altre informazioni, vedere Procedure consigliate per la sicurezza per la registrazione delle applicazioni di Microsoft Entra.
Considerare le azioni seguenti per evitare violazioni della sicurezza:
- Definire correttamente gli URI di reindirizzamento per l'applicazione. Non usare la stessa registrazione dell'applicazione per più applicazioni.
- Verificare gli URI di reindirizzamento usati nella registrazione dell'applicazione per la proprietà ed evitare acquisizioni di dominio. Non creare l'applicazione come multi-tenant a meno che non sia prevista. |
- Assicurarsi che i proprietari dell'applicazione e dell'entità servizio siano sempre definiti e mantenuti per le applicazioni registrate nel tenant.
Vedi anche
- Centro linee guida Zero Trust
- Procedure consigliate e raccomandazioni di Microsoft Identity Platform.