Best practices voor identiteits- en toegangsbeheer van Zero Trust

Dit artikel helpt u, als ontwikkelaar, om inzicht te krijgen in aanbevolen procedures voor identiteits- en toegangsbeheer voor de levenscyclus van uw toepassingsontwikkeling. U begint met het ontwikkelen van veilige, Zero Trust-compatibele toepassingen met identiteits- en toegangsbeheer (IAM).

Het Zero Trust-beveiligingsframework maakt gebruik van de principes van expliciete verificatie, minst bevoegde toegang en ervan uitgaande dat er inbreuk wordt gemaakt. Beveilig gebruikers en gegevens terwijl veelvoorkomende scenario's zoals toegang tot toepassingen buiten de netwerkperimeter mogelijk zijn. Verminder de afhankelijkheid van impliciete vertrouwensrelatie tot interacties achter een beveiligde netwerkperimeter die kwetsbaar kan worden voor beveiligingsaanvallen.

Beveiligingstrends in de branche zijn van invloed op toepassingsvereisten

Hoewel de implementatie van Zero Trust zich blijft ontwikkelen, is het traject van elke organisatie uniek en begint vaak met gebruikers- en toepassingsidentiteit. Hier volgen beleidsregels en besturingselementen die veel organisaties prioriteren wanneer ze Zero Trust implementeren:

1. Implementeer referentiecontroles en rotatiebeleid voor apps en services. WWhen aanvallers inbreuk maken op geheimen, zoals certificaten of wachtwoorden, ze kunnen een diepte van systeemtoegang bereiken om tokens te verkrijgen onder het beheer van de identiteit van een app. Vervolgens hebben ze toegang tot gevoelige gegevens, verplaatsen ze zich lateraal en stellen ze persistentie vast.
2. Implementatie van sterke verificatie. IT-beheerders configureren beleidsregels die meervoudige verificatie en wachtwoordloze FIDO2-apparaten vereisen.
3. Beperk gebruikerstoestemming voor apps met beperkte risico's voor geverifieerde uitgevers-apps. Met toegang tot gegevens in API's zoals Microsoft Graph kunt u uitgebreide toepassingen bouwen. Organisaties en klanten evalueren de machtigingsaanvragen en betrouwbaarheid van uw app voordat ze toestemming geven. IT-beheerders omarmen het principe van verificatie expliciet door verificatie van uitgevers te vereisen. Ze passen het principe van minimale bevoegdheden toe door alleen gebruikerstoestemming toe te staan voor machtigingen met een laag risico.
4. Verouderde protocollen en API's blokkeren. IT-beheerders blokkeren oudere verificatieprotocollen zoals Basisverificatie en vereisen moderne protocollen zoals OpenID Verbinding maken en OAuth2.

Vertrouwde, op standaarden gebaseerde verificatiebibliotheken gebruiken

Ontwikkel uw toepassing met bekende en geaccepteerde standaarden en bibliotheken om de draagbaarheid en beveiliging van toepassingen te vergroten. Vertrouwde, op standaarden gebaseerde verificatiebibliotheken blijven up-to-date, zodat uw apps reageren op de nieuwste technologieën en bedreigingen. Het gebruik van op standaarden gebaseerde ontwikkelmethoden biedt een overzicht van ondersteunde standaarden (OAuth 2.0, OpenID Verbinding maken, SAML, WS-Federation en SCIM) en de voordelen van het gebruik ervan met MSAL en het Microsoft Identity Platform.

In plaats van protocollen te gebruiken die bekende beveiligingsproblemen en uitgebreide documentatie kunnen hebben, kunt u uw toepassing ontwikkelen met bibliotheken zoals Microsoft Authentication Library (MSAL), Microsoft Identity Web Authentication Library en Azure SDK's voor beheerde identiteiten. Met MSAL en SDK's kunt u deze functies gebruiken zonder dat u extra code hoeft te schrijven:

• Voorwaardelijke toegang
• Apparaatregistratie en -beheer
• Verificatie zonder wachtwoord en FIDO2

MSAL en Microsoft Graph zijn uw beste keuzes voor het ontwikkelen van Microsoft Entra-toepassingen. MSAL-ontwikkelaars hebben het werk voor u gedaan om ervoor te zorgen dat protocollen worden nageleefd. Microsoft optimaliseert MSAL voor efficiëntie bij het rechtstreeks werken met Microsoft Entra-id.

Uw apps registreren in Microsoft Entra-id

Volg de aanbevolen beveiligingsprocedures voor toepassingseigenschappen in Microsoft Entra ID. Toepassingsregistratie in Microsoft Entra-id is essentieel omdat onjuiste configuratie of verval in de hygiëne van uw toepassing kan leiden tot downtime of inbreuk.

Toepassingseigenschappen die de beveiliging verbeteren, zijn omleidings-URI, toegangstokens (nooit gebruiken met impliciete stromen), certificaten en geheimen, de URI van de toepassings-id en het eigendom van de toepassing. Voer periodieke beveiligings- en statusbeoordelingen uit die vergelijkbaar zijn met evaluaties van beveiligingsrisicomodellen voor code.

Identiteits- en toegangsbeheer delegeren

Ontwikkel uw toepassing om tokens te gebruiken voor expliciete identiteitsverificatie en toegangsbeheer die uw klanten definiëren en beheren. Microsoft adviseert u om uw eigen systemen voor gebruikersnaam- en wachtwoordbeheer te ontwikkelen.

Bewaar uw referenties uit uw code, zodat IT-beheerders referenties kunnen roteren zonder uw app uit te voeren of opnieuw te implementeren. Gebruik een service zoals Azure Key Vault of Azure Managed Identities om IAM te delegeren.

Plannen en ontwerpen voor toegang met minimale bevoegdheden

Een belangrijk principe van Zero Trust is toegang met minimale bevoegdheden. Ontwikkel en documenteer uw toepassing voldoende, zodat uw klanten beleid voor minimale bevoegdheden kunnen configureren. Bij het ondersteunen van tokens en API's geeft u uw klanten goede documentatie over resources die door uw toepassing worden aangeroepen.

Geef altijd de minimale bevoegdheid op die uw gebruiker nodig heeft om specifieke taken uit te voeren. Gebruik bijvoorbeeld incrementele toestemming om alleen machtigingen aan te vragen wanneer ze nodig zijn en gedetailleerde bereiken in Microsoft Graph te gebruiken.

Verken bereiken in Graph Explorer om een API aan te roepen en de vereiste machtigingen te onderzoeken. Ze worden weergegeven in volgorde van laagste tot hoogste bevoegdheid. Het kiezen van de laagst mogelijke bevoegdheden zorgt ervoor dat uw toepassing minder kwetsbaar is voor aanvallen.

Volg de richtlijnen in De beveiliging verbeteren met het principe van minimale bevoegdheden om de kwetsbaarheid voor aanvallen van uw toepassingen te verminderen en de straal van beveiligingsschending zou moeten worden aangetast.

Tokens veilig beheren

Wanneer uw toepassing tokens van Microsoft Entra-id aanvraagt, beheert u deze veilig:

• Controleer of ze correct zijn afgestemd op uw toepassing.
• Plaats ze op de juiste manier in de cache.
• Gebruik ze zoals bedoeld.
• Problemen met tokens afhandelen door te controleren op foutklassen en de juiste antwoorden te coderen.
• In plaats van toegangstokens rechtstreeks te lezen, bekijkt u de bereiken en details in tokenantwoorden.

Ondersteuning voor continue toegangsevaluatie (CAE)

Met CAE kan Microsoft Graph snel toegang weigeren als reactie op beveiligingsgebeurtenissen. Voorbeelden hiervan zijn deze activiteiten voor tenantbeheerders:

• Een gebruikersaccount verwijderen of uitschakelen.
• Multi-Factor Authentication (MFA) inschakelen voor een gebruiker.
• Expliciet de uitgegeven tokens van een gebruiker intrekken.
• Het detecteren van een gebruiker die overgaat naar de status met een hoog risico.

Wanneer u CAE ondersteunt, zijn tokens die problemen met Microsoft Entra ID voor het aanroepen van Microsoft Graph 24 uur geldig zijn in plaats van de standaard 60 tot 90 minuten. CAE voegt tolerantie toe aan uw app door het vernieuwen van tokens per uur te vereisen en MSAL in staat te stellen het token proactief te vernieuwen voordat het token verloopt.

App-rollen definiëren voor IT om toe te wijzen aan gebruikers en groepen

Met app-rollen kunt u op rollen gebaseerd toegangsbeheer implementeren in uw toepassingen. Veelvoorkomende voorbeelden van app-rollen zijn Beheer istrator, Lezer en Inzender. Met op rollen gebaseerd toegangsbeheer kan uw toepassing gevoelige acties beperken tot gebruikers of groepen op basis van hun gedefinieerde rollen.

Een geverifieerde uitgever worden

Als geverifieerde uitgever hebt u uw identiteit geverifieerd met uw Microsoft Partner Network-account en het tot stand gebrachte verificatieproces voltooid. Ontwikkelaars van apps met meerdere tenants kunnen als geverifieerde uitgever vertrouwen opbouwen met IT-beheerders in tenants van klanten.

Volgende stappen

• Door tokens aan te passen worden de gegevens beschreven die u kunt ontvangen in Microsoft Entra-tokens. Meer informatie over het aanpassen van tokens om de flexibiliteit en controle te verbeteren en tegelijkertijd de beveiliging van Zero Trust met minimale bevoegdheden te vergroten.
• Als u groepsclaims en app-rollen in tokens configureert, wordt beschreven hoe u uw apps configureert met app-roldefinities en beveiligingsgroepen toewijst aan app-rollen. Deze aanpak verbetert de flexibiliteit en controle terwijl de beveiliging van Zero Trust met minimale bevoegdheden toeneemt.
• Het bouwen van apps met een Zero Trust-benadering voor identiteit biedt een overzicht van machtigingen en aanbevolen procedures voor toegang.
• In de handleiding identiteitsintegraties wordt uitgelegd hoe u beveiligingsoplossingen integreert met Microsoft-producten om Zero Trust-oplossingen te maken.
• Ontwikkelaars- en beheerdersverantwoordelijkheden voor toepassingsregistratie, autorisatie en toegang helpen u om beter samen te werken met uw IT-professionals.
• In ondersteunde identiteits- en accounttypen voor apps met één en meerdere tenants wordt uitgelegd hoe u kunt kiezen of uw app alleen gebruikers van uw Microsoft Entra ID-tenant, elke Microsoft Entra-tenant of gebruikers met persoonlijke Microsoft-accounts toestaat.
• Met best practices voor autorisatie kunt u de beste autorisatie-, machtigings- en toestemmingsmodellen voor uw toepassingen implementeren.
• API Protection beschrijft aanbevolen procedures voor het beveiligen van uw API via registratie, het definiëren van machtigingen en toestemming en het afdwingen van toegang om uw Zero Trust-doelstellingen te bereiken.