Перенос приложений от проверки подлинности на основе секретов

Приложения, использующие секреты клиента, могут хранить их в файлах конфигурации, жестко закодировать их в скриптах или рисковать их воздействием другими способами. Сложности управления секретами делают секреты уязвимыми к утечкам и привлекательным для злоумышленников. Секреты клиентов, когда раскрываются, предоставляют злоумышленникам законные учетные данные, чтобы скрывать свои действия среди законных операций, что упрощает обход мер безопасности. Если злоумышленник компрометирует секрет клиента приложения, он может повысить свои привилегии в системе, что приведет к более широкому доступу и контролю в зависимости от разрешений приложения. Замена скомпрометированного сертификата может быть невероятно длительным и дестабилизирующим. По этим причинам корпорация Майкрософт рекомендует всем нашим клиентам отойти от проверки подлинности на основе паролей или сертификатов до проверки подлинности на основе маркеров.

В этой статье мы рассмотрим ресурсы и рекомендации по переносу приложений из секретной проверки подлинности в более безопасные и удобные для пользователей методы проверки подлинности.

Почему перенос приложений от секретной проверки подлинности?

Перенос приложений из секретной проверки подлинности обеспечивает несколько преимуществ:

• улучшенная безопасность: проверка подлинности на основе секретов подвержена утечкам и атакам. Перенос на более безопасные методы проверки подлинности, такие как управляемые удостоверения, повышает безопасность.

• снижение сложности. Управление секретами может быть сложным и подверженным ошибкам. Переход на более безопасные методы проверки подлинности снижает сложность и повышает безопасность.

• Масштабируемость. Миграция на более безопасные методы проверки подлинности помогает безопасно масштабировать приложения.

• Соответствие: Миграция на более безопасные методы проверки подлинности помогает соответствовать требованиям и передовым практикам безопасности.

Рекомендации по переносу приложений с аутентификации, основанной на секретах

Чтобы мигрировать приложения от аутентификации, основанной на секретах, рассмотрите следующие рекомендации.

Использование управляемых идентификаторов для ресурсов Azure

Управляемые удостоверения — это безопасный способ проверки подлинности приложений в облачных службах без необходимости управлять учетными данными или иметь учетные данные в коде. Службы Azure используют это удостоверение для проверки подлинности в службах, поддерживающих проверку подлинности Microsoft Entra. Дополнительные сведения см. в статье Назначение управляемого удостоверения для роли приложения.

Для приложений, которые не могут быть перенесены в краткосрочной перспективе, смените секрет и убедитесь, что они используют безопасные методики, такие как использование Azure Key Vault. Azure Key Vault помогает защитить криптографические ключи и секреты, используемые облачными приложениями и службами. Ключи, секреты и сертификаты защищены без необходимости самостоятельно писать код, и их можно легко использовать из приложений. Дополнительные сведения см. в статье Azure Key Vault.

Разверните политики условного доступа для учетных данных рабочей нагрузки

Условный доступ для рабочих идентификаторов позволяет блокировать служебные субъекты, которые находятся за пределами известных диапазонов публичных IP-адресов, основываясь на риске, обнаруженном Microsoft Entra Protection, или в сочетании с контекстами аутентификации. Для получения дополнительной информации см. раздел Условный доступ для идентификаторов рабочих нагрузок.

Реализация сканирования секретов

Проверка секретов для вашего репозитория сканирует наличие любых секретов, которые могли уже существовать в исходном коде за всю его историю, а защита от(push) внесения предотвращает раскрытие новых секретов в исходном коде. Дополнительные сведения см. в статье Сканирование секретов.

Развертывание политик проверки подлинности приложений для применения безопасных методов проверки подлинности

Политики управления приложениями позволяют ИТ-администраторам применять рекомендации по настройке приложений в своих организациях. Например, администратор может настроить политику, чтобы заблокировать использование или ограничить время существования секретов паролей. Дополнительные сведения см. в руководстве по применению стандартов секретов и сертификатов с помощью политик управления приложениями иAPI управления приложениями Microsoft Entra.

Использование федеративного удостоверения для учетных записей служб

Федерация удостоверений позволяет получить доступ к защищаемым ресурсам Microsoft Entra без управления секретами (для поддерживаемых сценариев), создавая доверительные отношения между внешним поставщиком удостоверений (IdP) и приложением в Microsoft Entra ID путем настройки учетных данных федеративного удостоверения. Чтобы узнать больше, см. в разделе Общие сведения об учетных данных федеративного удостоверения в идентификаторе Microsoft Entra.

Создание настраиваемой роли с минимальными привилегиями для смены учетных данных приложения

Роли Microsoft Entra позволяют предоставлять подробные разрешения администраторам, соблюдая принцип наименьших привилегий. Пользовательская роль может быть создана для смены учетных данных приложения, обеспечивая предоставление только необходимых разрешений для выполнения задачи. Дополнительные сведения см. в статье Создание настраиваемой роли видентификатора Microsoft Entra.

Убедитесь, что у вас есть процесс для обработки и мониторинга приложений

Этот процесс должен включать регулярные оценки безопасности, сканирование уязвимостей и процедуры реагирования на инциденты. Осведомленность о состоянии безопасности приложений важна для поддержания безопасной среды.

Связанное содержимое

• Разрабатывать с использованием принципов нулевого доверия.
• лучшие практики разработки управления удостоверениями и доступом в контексте стратегии Zero Trust