Wat bedoelen we met Zero Trust-naleving?

Dit artikel bevat een overzicht van toepassingsbeveiliging vanuit het perspectief van een ontwikkelaar om de leidende principes van Zero Trust aan te pakken. In het verleden draait codebeveiliging allemaal om uw eigen app: als u het verkeerd hebt, loopt uw eigen app risico. Vandaag de dag is cybersecurity een hoge prioriteit voor klanten en overheden wereldwijd.

Naleving van vereisten voor cyberbeveiliging is een vereiste voor veel klanten en overheden om toepassingen te kopen. Zie bijvoorbeeld Executive Order 14028 van de V.S. : Verbetering van de cyberbeveiliging van de natie en algemene services Beheer overzicht. Uw toepassing moet voldoen aan de vereisten van de klant.

Cloudbeveiliging is een overweging van de organisatie-infrastructuur die alleen zo veilig is als de zwakste koppeling. Wanneer één app de zwakste koppeling is, kunnen kwaadwillende actoren toegang krijgen tot bedrijfskritieke gegevens en bewerkingen.

Toepassingsbeveiliging vanuit het perspectief van een ontwikkelaar omvat een Zero Trust-benadering: toepassingen hebben betrekking op de leidende principes van Zero Trust. Als ontwikkelaar werkt u uw toepassing continu bij naarmate het bedreigingslandschap en de beveiligingsrichtlijnen veranderen.

Ondersteuning voor Zero Trust-principes in uw code

Twee sleutels voor naleving van Zero Trust-principes zijn de mogelijkheid van uw toepassing om expliciet te verifiëren en om toegang met minimale bevoegdheden te ondersteunen. Uw toepassing moet identiteits- en toegangsbeheer delegeren aan Microsoft Entra-id, zodat deze Microsoft Entra-tokens kan gebruiken. Door identiteits- en toegangsbeheer te delegeren, kan uw toepassing klanttechnologieën ondersteunen, zoals meervoudige verificatie, verificatie zonder wachtwoord en beleid voor voorwaardelijke toegang.

Met het Microsoft Identity Platform en Zero Trust voor het inschakelen van technologieën, helpt het gebruik van Microsoft Entra-tokens uw toepassing te integreren met de volledige suite beveiligingstechnologieën van Microsoft.

Als uw toepassing wachtwoorden vereist, kunt u uw klanten blootstellen om risico's te voorkomen. Slechte actoren zien de verschuiving naar het werken vanaf elke locatie met elk apparaat als een mogelijkheid om toegang te krijgen tot bedrijfsgegevens door activiteiten zoals wachtwoordsprayaanvallen tepeteren. Bij een wachtwoordsprayaanval proberen slechte actoren een veelbelovende wachtwoord in een set gebruikersaccounts. Ze kunnen bijvoorbeeld GoSeaHawks2022 proberen! voor gebruikersaccounts in het gebied Seattle. Dit geslaagde aanvalstype is één reden voor verificatie zonder wachtwoord.

Toegangstokens verkrijgen van Microsoft Entra-id

Uw toepassing moet minimaal toegangstokens verkrijgen van Microsoft Entra-id waarmee OAuth 2.0-toegangstokens worden opgegeven. Uw clienttoepassing kan deze tokens gebruiken om beperkte toegang tot gebruikersbronnen te verkrijgen via API-aanroepen namens de gebruiker. U gebruikt een toegangstoken om elke API aan te roepen.

Wanneer een gedelegeerde id-provider identiteit verifieert, kan de IT-afdeling van uw klant toegang met minimale bevoegdheden afdwingen met microsoft Entra-machtigingen en -toestemming. Microsoft Entra-id bepaalt wanneer tokens worden opgegeven voor toepassingen.

Wanneer uw klanten begrijpen welke bedrijfsbronnen uw toepassing nodig heeft om toegang te krijgen, kunnen ze toegangsaanvragen correct verlenen of weigeren. Als uw toepassing bijvoorbeeld toegang nodig heeft tot Microsoft SharePoint, documenteert u deze vereiste zodat klanten de juiste machtigingen kunnen verlenen.

Volgende stappen

• Op standaarden gebaseerde ontwikkelingsmethodologieën biedt een overzicht van ondersteunde standaarden en hun voordelen.
• Het bouwen van apps met een Zero Trust-benadering voor identiteit biedt een overzicht van machtigingen en aanbevolen procedures voor toegang.
• Tokens aanpassen beschrijft de informatie die u kunt ontvangen in Microsoft Entra-tokens. Meer informatie over het aanpassen van tokens en het verbeteren van flexibiliteit en controle en het vergroten van de beveiliging van Zero Trust met minimale bevoegdheden.
• In ondersteunde identiteits- en accounttypen voor apps met één en meerdere tenants wordt uitgelegd hoe u kunt kiezen of uw app alleen gebruikers van uw Microsoft Entra-tenant, elke Microsoft Entra-tenant of gebruikers met persoonlijke Microsoft-accounts toestaat.
• API Protection beschrijft aanbevolen procedures voor het beveiligen van uw API via registratie, het definiëren van machtigingen en toestemming en het afdwingen van toegang om uw Zero Trust-doelstellingen te bereiken.
• Met best practices voor autorisatie kunt u de beste autorisatie-, machtigings- en toestemmingsmodellen voor uw toepassingen implementeren.