Что мы имеем в виду под соответствием концепции "Zero Trust"?

В этой статье представлен обзор безопасности приложений с точки зрения разработчика для решения руководящих принципов нулевого доверия. В прошлом безопасность кода касалась только вашего приложения: если вы допустили ошибку, ваше собственное приложение было под угрозой. Сегодня кибербезопасность является высоким приоритетом для клиентов и правительств по всему миру.

Соответствие требованиям к кибербезопасности является обязательным условием для многих клиентов и правительств для приобретения приложений. Ваше приложение должно соответствовать требованиям клиента.

Облачная безопасность является аспектом инфраструктуры организации и обеспечивает защиту только на уровне самого слабого звена. Если одно приложение является самым слабым звеном, плохие субъекты могут получить доступ к критически важным для бизнеса данным и операциям.

Безопасность приложений с точки зрения разработчика включает подход нулевого доверия: приложения обращаются к руководящим принципам нулевого доверия. В качестве разработчика непрерывно обновляйте приложение в виде изменений в области угроз и рекомендаций по безопасности.

Поддержка принципов нулевого доверия в коде

Два ключа соответствия принципам нулевого доверия — это возможность приложения проверять явным образом и поддерживать минимальный доступ к привилегиям. Приложение должно делегировать управление удостоверениями и доступом к идентификатору Microsoft Entra, чтобы он смог использовать токены Microsoft Entra. Делегирование управления удостоверениями и доступом позволяет приложению поддерживать такие технологии клиентов, как многофакторная проверка подлинности, бессерверная проверка подлинности и политики условного доступа.

С использованием платформы удостоверений Microsoft и технологий, поддерживающих концепцию Zero Trust, использование токенов Microsoft Entra помогает вашему приложению интегрироваться со всем набором технологий безопасности Microsoft.

Если приложению требуются пароли, возможно, вы предоставляете клиентам возможность избежать риска. Плохие субъекты рассматривают переход на работу с любого места с любым устройством как возможность доступа к корпоративным данным путем совершения таких действий, как атаки с распыления паролем. В атаке методом разбрызгивания паролей злоумышленники пробуют возможный пароль на учетных записях пользователей. Например, они могут попытаться GoSeaHawks2022! против учетных записей пользователей в районе Сиэтла. Этот успешный тип атаки является одним из оснований для проверки подлинности без пароля.

Получение токенов доступа из Microsoft Entra ID

Как минимум, приложению необходимо получить маркеры доступа из идентификатора Microsoft Entra ID, который выдает маркеры доступа OAuth 2.0. Клиентское приложение может использовать эти маркеры для получения ограниченного доступа к ресурсам пользователей через вызовы API от имени пользователя. Маркер доступа используется для вызова каждого API.

Когда делегированный поставщик удостоверений проверяет личность, ИТ-отдел клиента может ограничить доступ минимальными привилегиями с разрешениями и согласием Microsoft Entra. Идентификатор Microsoft Entra определяет, когда он выдает маркеры для приложений.

Когда заказчики понимают, к каким корпоративным ресурсам необходимо предоставить доступ вашему приложению, они могут правильно предоставлять или запрещать запросы на доступ. Например, если приложению требуется доступ к Microsoft SharePoint, задокументируйте это требование, чтобы помочь клиентам предоставить правильные разрешения.

Дальнейшие действия