Что мы имеем в виду на соответствие нулевому доверию?
В этой статье представлен обзор безопасности приложений с точки зрения разработчика для решения руководящих принципов нулевого доверия. В прошлом безопасность кода была все о собственном приложении: если вы получили это неправильно, ваше собственное приложение было под угрозой. Сегодня кибербезопасность является высоким приоритетом для клиентов и правительств по всему миру.
Соответствие требованиям к кибербезопасности является обязательным условием для многих клиентов и правительств для приобретения приложений. Например, см. исполнительный указ США 14028: улучшение кибербезопасности страны и общие службы США Администратор сводка требований к Администратор istration. Ваше приложение должно соответствовать требованиям клиента.
Облачная безопасность — это рассмотрение инфраструктуры организации, которая является только безопасной, как самая слабая связь. Если одно приложение является самым слабым, злоумышленники могут получить доступ к критически важным для бизнеса данным и операциям.
Безопасность приложений с точки зрения разработчика включает подход нулевого доверия: приложения обращаются к руководящим принципам нулевого доверия. В качестве разработчика вы постоянно обновляете приложение в виде изменений в области угроз и безопасности.
Поддержка принципов нулевого доверия в коде
Два ключа соответствия принципам нулевого доверия — это возможность приложения проверять явным образом и поддерживать минимальный доступ к привилегиям. Приложение должно делегировать управление удостоверениями и доступом к идентификатору Microsoft Entra, чтобы он смог использовать токены Microsoft Entra. Делегирование управления удостоверениями и доступом позволяет приложению поддерживать такие технологии клиентов, как многофакторная проверка подлинности, бессерверная проверка подлинности и политики условного доступа.
Благодаря технологиям платформа удостоверений Майкрософт и нулевого доверия с помощью токенов Microsoft Entra приложение помогает приложению интегрироваться со всеми наборами технологий безопасности Майкрософт.
Если приложению требуются пароли, возможно, вы предоставляете клиентам возможность избежать риска. Плохие субъекты рассматривают переход на работу с любого места с любым устройством как возможность доступа к корпоративным данным путем совершения таких действий, как атаки с распыления паролем. В атаке с распыления паролем плохие субъекты пытаются попробовать перспективный пароль в наборе учетных записей пользователей. Например, они могут попробовать GoSeaHawks2022! для учетных записей пользователей в районе Сиэтла. Этот успешный тип атаки является одним из оснований для проверки подлинности без пароля.
Получение маркеров доступа из идентификатора Microsoft Entra
Как минимум, приложению необходимо получить маркеры доступа из идентификатора Microsoft Entra ID, который выдает маркеры доступа OAuth 2.0. Клиентское приложение может использовать эти маркеры для получения ограниченного доступа к ресурсам пользователей через вызовы API от имени пользователя. Маркер доступа используется для вызова каждого API.
Когда делегированный поставщик удостоверений проверяет удостоверение, ИТ-отдел клиента может применить минимальные привилегии с разрешением и согласием Microsoft Entra. Идентификатор Microsoft Entra определяет, когда он выдает маркеры для приложений.
Когда клиенты понимают, какие корпоративные ресурсы приложению необходимо получить к ним доступ, они могут правильно предоставлять или запрещать запросы на доступ. Например, если приложению требуется доступ к Microsoft SharePoint, задокументируйте это требование, чтобы помочь клиентам предоставить правильные разрешения.
Следующие шаги
- Методологии разработки на основе стандартов предоставляют общие сведения о поддерживаемых стандартах и их преимуществах.
- Создание приложений с использованием подхода "Нулевое доверие" к удостоверениям предоставляет общие сведения о разрешениях и рекомендациях по доступу.
- Настройка маркеров описывает сведения, которые можно получить в токенах Microsoft Entra. Узнайте, как настроить маркеры и повысить гибкость и контроль при увеличении безопасности нулевого доверия приложений с минимальными привилегиями.
- Поддерживаемые типы удостоверений и учетных записей для отдельных и мультитенантных приложений объясняют, разрешен ли ваше приложение только пользователям из клиента Microsoft Entra, любого клиента Microsoft Entra или пользователей с личными учетными записями Майкрософт.
- Защита API описывает рекомендации по защите API путем регистрации, определения разрешений и согласия и принудительного доступа к достижению целей нулевого доверия.
- Рекомендации по авторизации помогут реализовать лучшие модели авторизации, разрешения и согласия для приложений.