O que queremos dizer com conformidade com Zero Trust?

Este artigo fornece uma visão geral da segurança de aplicativos da perspetiva de um desenvolvedor para abordar os princípios orientadores do Zero Trust. No passado, a segurança do código tinha tudo a ver com o seu próprio aplicativo: se você errasse, seu próprio aplicativo estava em risco. Hoje, a cibersegurança é uma alta prioridade para clientes e governos em todo o mundo.

A conformidade com os requisitos de segurança cibernética é um pré-requisito para muitos clientes e governos comprarem aplicativos. Por exemplo, consulte a Ordem Executiva dos EUA 14028: Melhorando a segurança cibernética da nação e o resumo dos requisitos da Administração de Serviços Gerais dos EUA. Seu aplicativo precisa atender aos requisitos do cliente.

A segurança na nuvem é uma consideração da infraestrutura da organização que é tão segura quanto o elo mais fraco. Quando um único aplicativo é o elo mais fraco, agentes mal-intencionados podem obter acesso a dados e operações críticos para os negócios.

A segurança de aplicativos do ponto de vista do desenvolvedor inclui uma abordagem Zero Trust: os aplicativos abordam os princípios orientadores do Zero Trust. Como desenvolvedor, você atualiza continuamente seu aplicativo à medida que o cenário de ameaças e as diretrizes de segurança mudam.

Apoie os princípios Zero Trust no seu código

Duas chaves para a conformidade com os princípios do Zero Trust são a capacidade do seu aplicativo de verificar explicitamente e oferecer suporte ao acesso com privilégios mínimos. Seu aplicativo deve delegar o gerenciamento de identidade e acesso ao Microsoft Entra ID para que ele possa usar tokens do Microsoft Entra. A delegação de gerenciamento de identidade e acesso permite que seu aplicativo ofereça suporte a tecnologias de clientes, como autenticação multifator, autenticação sem senha e políticas de acesso condicional.

Com a plataforma de identidade da Microsoft e as tecnologias habilitadoras Zero Trust, o uso de tokens Microsoft Entra ajuda seu aplicativo a se integrar a todo o pacote de tecnologias de segurança da Microsoft.

Se o seu aplicativo exigir senhas, você pode estar expondo seus clientes a riscos evitáveis. Os agentes mal-intencionados veem a mudança para trabalhar de qualquer local com qualquer dispositivo como uma oportunidade de acessar dados corporativos, perpetrando atividades como ataques de pulverização de senha. Em um ataque de pulverização de senha, os agentes mal-intencionados tentam uma senha promissora em um conjunto de contas de usuário. Por exemplo, eles podem tentar GoSeaHawks2022! contra contas de usuário na área de Seattle. Esse tipo de ataque bem-sucedido é uma justificativa para a autenticação sem senha.

Adquira tokens de acesso do Microsoft Entra ID

No mínimo, seu aplicativo precisa adquirir tokens de acesso do Microsoft Entra ID que emite tokens de acesso OAuth 2.0. Seu aplicativo cliente pode usar esses tokens para obter acesso limitado aos recursos do usuário por meio de chamadas de API em nome do usuário. Você usa um token de acesso para chamar cada API.

Quando um provedor de identidade delegado verifica a identidade, o departamento de TI do cliente pode impor o acesso com privilégios mínimos com permissão e consentimento do Microsoft Entra. O Microsoft Entra ID determina quando emite tokens para aplicativos.

Quando seus clientes entendem quais recursos corporativos seu aplicativo precisa acessar, eles podem conceder ou negar solicitações de acesso corretamente. Por exemplo, se seu aplicativo precisar acessar o Microsoft SharePoint, documente esse requisito para que você possa ajudar os clientes a conceder as permissões corretas.

Próximos passos

• As metodologias de desenvolvimento baseadas em padrões fornecem uma visão geral dos padrões suportados e seus benefícios.
• A criação de aplicativos com uma abordagem Zero Trust para identidade fornece uma visão geral das permissões e das práticas recomendadas de acesso.
• Personalizar tokens descreve as informações que você pode receber nos tokens do Microsoft Entra. Saiba como personalizar tokens e melhorar a flexibilidade e o controle enquanto aumenta a segurança do aplicativo Zero Trust com o menor privilégio.
• Identidade e tipos de conta suportados para aplicações de inquilino único e multiinquilino explica como pode escolher se a sua aplicação permite apenas utilizadores do seu inquilino do Microsoft Entra, qualquer inquilino do Microsoft Entra ou utilizadores com contas pessoais da Microsoft.
• A Proteção de API descreve as práticas recomendadas para proteger sua API por meio de registro, definição de permissões e consentimento e imposição de acesso para atingir suas metas de Zero Trust.
• As práticas recomendadas de autorização ajudam você a implementar os melhores modelos de autorização, permissão e consentimento para seus aplicativos.