Sıfır Güven ilkelerini kullanarak uygulama güvenliğini artırma
Geliştirilen uygulamaların etrafındaki güvenli bir ağ çevresi varsayılamaz. Tasarım gereği neredeyse tüm geliştirilmiş uygulamalara ağ çevresi dışından erişilir. Uygulamaların geliştirildiğinde veya dağıtıldıktan sonra bu şekilde kalacakları garanti edilemez. Uygulamanın güvenliğini en üst düzeye çıkarmakla kalmaz, aynı zamanda gizliliği ihlal edilirse uygulamanın neden olabileceği hasarı en aza indirmek uygulama geliştiricisinin sorumluluğundadır.
Ayrıca sorumluluk, uygulamanın Sıfır Güven güvenlik gereksinimlerini karşılamasını bekleyen müşterilerin ve kullanıcıların gelişen gereksinimlerini desteklemeyi içerir. Sıfır Güven modelinin ilkelerini öğrenin ve uygulamaları benimseyin. İlkeleri öğrenip benimseyerek, daha güvenli ve güvenlikte bir kırılma olması durumunda neden olabilecek zararları en aza indiren uygulamalar geliştirilebilir.
Sıfır Güven modeli örtük güven yerine açık doğrulama kültürü oluşturur. Model üç temel kılavuz ilkeye bağlıdır:
- Açıkça doğrula
- En az ayrıcalıklı erişim kullan
- İhlal varsay
Sıfır Güven en iyi yöntemleri
Microsoft kimlik platformu ve araçlarıyla Sıfır Güven hazır uygulamalar oluşturmak için bu en iyi yöntemleri izleyin.
Açıkça doğrula
Microsoft kimlik platformu, bir kaynağa erişen kişinin veya hizmetin kimliğini doğrulamak için kimlik doğrulama mekanizmaları sunar. Verilere veya kaynaklara erişmesi gereken varlıkları açıkça doğrulamak için aşağıda açıklanan en iyi yöntemleri uygulayın.
En iyi uygulama | Uygulama güvenliğinin avantajları |
---|---|
Microsoft Kimlik Doğrulama Kitaplıkları'nı (MSAL) kullanın. | MSAL, geliştiriciler için bir dizi Microsoft Kimlik Doğrulama Kitaplığıdır. MSAL ile kullanıcıların ve uygulamaların kimliği doğrulanabilir ve yalnızca birkaç kod satırı kullanılarak kurumsal kaynaklara erişmek için belirteçler alınabilir. MSAL, uygulamaların kullanıcının kimlik bilgilerini doğrudan işleme gereksinimini ortadan kaldıran modern protokolleri (OpenID Connect ve OAuth 2.0) kullanır. Kimlik bilgilerinin bu şekilde işlenmesi, kimlik sağlayıcısı güvenlik çevresi haline geldikçe hem kullanıcıların hem de uygulamaların güvenliğini büyük ölçüde artırır. Ayrıca, bu protokoller kimlik güvenliğindeki yeni paradigmaları, fırsatları ve zorlukları ele almak için sürekli olarak gelişir. |
Uygun olduğunda Sürekli Erişim Değerlendirmesi (CAE) ve Koşullu Erişim kimlik doğrulaması bağlamı gibi gelişmiş güvenlik uzantılarını benimseyin. | Microsoft Entra Id'de en çok kullanılan uzantılardan bazıları Koşullu Erişim, Koşullu Erişim kimlik doğrulaması bağlamı ve CAE'dir. CAE ve Koşullu Erişim kimlik doğrulaması bağlamı gibi gelişmiş güvenlik özellikleri kullanan uygulamalar, talep sınamalarını işlemek için kodlanmalıdır. Açık protokoller, ek istemci özelliklerini çağırmak için talep sınamalarının ve talep isteklerinin kullanılmasını sağlar. Bu özellikler, bir anomali olduğunda veya kullanıcı kimlik doğrulaması koşullarının değişmesi gibi Microsoft Entra Id ile etkileşime devam etmek olabilir. Bu uzantılar, kimlik doğrulaması için birincil kod akışlarını bozmadan bir uygulamaya kodlanabilir. |
Uygulama türüne göre doğru kimlik doğrulama akışını kullanın. Web uygulamaları için her zaman gizli istemci akışlarını kullanmayı deneyin. Mobil uygulamalarda, kimlik doğrulaması için aracıları veya sistem tarayıcısınıkullanmayı deneyin. | Gizli dizi (gizli istemciler) tutabilen web uygulamaları akışları genel istemcilere göre daha güvenli olarak kabul edilir (örneğin: Masaüstü ve Konsol uygulamaları). Bir mobil uygulamanın kimliğini doğrulamak için sistem web tarayıcısı kullanıldığında, güvenli bir çoklu oturum açma (SSO) deneyimi uygulama koruma ilkelerinin kullanılmasını sağlar. |
En az ayrıcalıklı erişim kullan
Geliştirici, erişime izin vermeden önce izinler (kapsamlar) vermek ve bir arayana uygun izin verildiğini doğrulamak için Microsoft kimlik platformu kullanır. En az sayıda erişim verilmesine izin veren ayrıntılı izinleri etkinleştirerek uygulamalarda en az ayrıcalıklı erişimi zorunlu tutun. En düşük ayrıcalık ilkesine bağlı kalmak için aşağıdaki uygulamaları göz önünde bulundurun:
- İşi yapmak için mutlak en az ayrıcalıklı ayarın ayarlandığından emin olmak için istenen izinleri değerlendirin. API yüzeyinin tamamına erişimle "tümünü yakala" izinleri oluşturmayın.
- API'leri tasarlarken, en az ayrıcalıklı erişime izin vermek için ayrıntılı izinler sağlayın. İşlevselliği ve veri erişimini kapsamlar ve Uygulama rolleri kullanılarak denetlenebilecek bölümlere bölerek başlayın. Var olan izinlere, iznin semantiğini değiştirecek şekilde API'ler eklemeyin.
- Salt okunur izinler salar.
Write
erişim, oluşturma, güncelleştirme ve silme işlemleri için ayrıcalıklar içerir. İstemci, yalnızca okuma verileri için hiçbir zaman yazma erişimi gerektirmemelidir. - Hem temsilci hem de uygulama izinleri sağlayın. Uygulama izinlerinin atlanması, istemcilerin otomasyon, mikro hizmetler ve daha fazlası gibi yaygın senaryolara ulaşması için zor bir gereksinim oluşturabilir.
- Hassas verilerle çalışıyorsanız "standart" ve "tam" erişim izinlerini göz önünde bulundurun. Örneğin, "standart" erişim izni kullanılarak erişilememeleri için
Resource.Read
hassas özellikleri kısıtlayın. Ardından, örneğin hassas bilgiler de dahil olmak üzere tüm kullanılabilir özellikleri döndüren bir "tam" erişim izniResource.ReadFull
uygulayın.
İhlal varsay
Microsoft kimlik platformu uygulama kayıt portalı, platformu kimlik doğrulaması ve ilişkili ihtiyaçları için kullanmayı planlayan uygulamaların birincil giriş noktasıdır. Uygulamaları kaydederken ve yapılandırırken, güvenlik ihlali olması durumunda neden olabilecek zararları en aza indirmek için aşağıda açıklanan uygulamaları izleyin. Daha fazla bilgi için bkz . Microsoft Entra uygulama kaydı güvenlik en iyi yöntemleri.
Güvenlik ihlallerini önlemek için aşağıdaki eylemleri göz önünde bulundurun:
- Uygulama için yeniden yönlendirme URI'lerini düzgün bir şekilde tanımlayın. Birden çok uygulama için aynı uygulama kaydını kullanmayın.
- Sahiplik için uygulama kaydında kullanılan yeniden yönlendirme URI'lerini doğrulayın ve etki alanı devralmalarını önleyin. Amaçlanmadığı sürece uygulamayı çok kiracılı olarak oluşturmayın. |
- Uygulama ve hizmet sorumlusu sahiplerinin kiracıda kayıtlı uygulamalar için her zaman tanımlandığından ve korundığından emin olun.
Ayrıca bkz.
- Sıfır Güven Rehberlik Merkezi
- en iyi yöntemleri ve önerileri Microsoft kimlik platformu.