零信任 合規性代表什麼意思?
本文提供開發人員觀點的應用程式安全性概觀,以解決 零信任 的指導原則。 過去,程式代碼安全性全都與您自己的應用程式有關:如果您弄錯了,您自己的應用程式就會面臨風險。 如今,網路安全是全球客戶和政府的首要任務。
符合網路安全需求是許多客戶和政府購買應用程式的必要條件。 例如,請參閱美國行政命令 14028:改善美國的網路安全和美國一般服務 管理員 要求摘要。 您的應用程式需要符合客戶需求。
雲端安全性是組織基礎結構的考慮,其只與最弱的連結一樣安全。 當單一應用程式是最弱的連結時,惡意執行者可以存取業務關鍵數據和作業。
從開發人員的觀點來看,應用程式安全性包括 零信任 方法:應用程式可解決 零信任 的指導原則。 身為開發人員,您會隨著威脅環境和安全性指引變更而持續更新應用程式。
在您的程式代碼中支援 零信任 原則
符合 零信任 原則的兩個金鑰是應用程式明確驗證和支援最低許可權存取的能力。 您的應用程式應該 將身分識別和存取管理 委派給 Microsoft Entra 識別碼,以便使用 Microsoft Entra 令牌。 委派身分識別和存取管理可讓您的應用程式支援客戶技術,例如多重要素驗證、無密碼驗證和條件式存取原則。
透過 Microsoft 身分識別平台 和 零信任 啟用技術,使用 Microsoft Entra 令牌可協助您的應用程式與 Microsoft 的完整安全性技術套件整合。
如果您的應用程式需要密碼,您可能會向客戶公開以避免風險。 不良執行者認為,從任何位置使用任何裝置工作的轉變,是藉由執行密碼噴洒攻擊等活動來存取公司數據的機會。 在密碼噴洒攻擊中,不良動作項目會嘗試在一組用戶帳戶上提供有希望的密碼。 例如,他們可能會嘗試 GoSeaHawks2022! 針對西雅圖區域中的用戶帳戶。 此成功的攻擊類型是無密碼驗證的一個理由。
從 Microsoft Entra 識別碼取得存取令牌
您的應用程式至少需要 從發出 OAuth 2.0 存取令牌的 Microsoft Entra 識別碼取得存取令牌 。 用戶端應用程式可以使用這些令牌,代表使用者透過 API 呼叫取得用戶資源的有限存取權。 您可以使用存取權杖來呼叫每個 API。
當委派的身分識別提供者驗證身分識別時,客戶的IT部門可以使用 Microsoft Entra 許可權和同意來強制執行最低許可權存取。 Microsoft Entra ID 會決定何時向應用程式發出令牌。
當客戶瞭解應用程式需要存取的公司資源時,他們可以正確地授與或拒絕存取要求。 例如,如果您的應用程式需要存取 Microsoft SharePoint,請記錄這項需求,以便協助客戶授與正確的許可權。
下一步
- 以標準為基礎的開發方法 提供支持的標準及其優點的概觀。
- 使用身分識別 零信任 方法來建置應用程式,提供許可權和存取最佳做法的概觀。
- 自定義令牌 描述您可以在 Microsoft Entra 令牌中接收的資訊。 瞭解如何自定義令牌並改善彈性和控制,同時以最低許可權提高應用程式 零信任 安全性。
- 單一和多租使用者應用程式 支援的身分識別和帳戶類型說明如何選擇您的應用程式是否只允許來自 Microsoft Entra 租使用者、任何 Microsoft Entra 租使用者或具有個人 Microsoft 帳戶的使用者。
- API 保護說明透過註冊、定義許可權和同意來保護 API 的最佳做法,以及強制執行存取權以達成您的 零信任 目標。
- 授權最佳做法 可協助您為應用程式實作最佳的授權、許可權和同意模型。