Rámec zabezpečení: Ověřování | Zmírnění rizik

• Zvažte použití standardního ověřovacího mechanismu k ověření ve webové aplikaci.
• Aplikace musí bezpečně zpracovávat neúspěšné scénáře ověřování.
• Povolení krokování nebo adaptivního ověřování
• Ujistěte se, že jsou rozhraní pro správu správně uzamčená.
• Zabezpečená implementace zapomenutých funkcí hesel
• Ujistěte se, že jsou implementované zásady hesel a účtů.
• Implementace ovládacích prvků, které zabrání výčtu uživatelského jména

• Pokud je to možné, pro připojení k SQL Serveru použijte ověřování systému Windows.
• Pokud je to možné, použijte ověřování Microsoft Entra pro připojení ke službě SQL Database
• Při použití režimu ověřování SQL se ujistěte, že se na SQL Serveru vynucují zásady účtu a hesla.
• Nepoužívejte ověřování SQL v databázích s omezením

• Použití přihlašovacích údajů pro ověřování jednotlivých zařízení pomocí tokenů SaS

• Povolení vícefaktorového ověřování Microsoft Entra pro správce Azure

• Omezení anonymního přístupu ke clusteru Service Fabric
• Ujistěte se, že se certifikát typu klient-uzel Service Fabric liší od certifikátu typu node-to-node.
• Ověřování klientů v clusterech Service Fabric pomocí ID Microsoft Entra
• Ujistěte se, že jsou certifikáty Service Fabric získány ze schválené certifikační autority (CA).

• Použití standardních scénářů ověřování podporovaných serverem identit
• Přepsání výchozí mezipaměti tokenů serveru identit škálovatelnou alternativou

• Ujistěte se, že jsou binární soubory nasazené aplikace digitálně podepsané.

• Povolení ověřování při připojování k frontám MSMQ ve WCF
• WCF-Nenastavujte vlastnost Message clientCredentialType na žádné
• WCF-Nenastavujte transport clientCredentialType na žádný

• Ujistěte se, že se k zabezpečení webových rozhraní API používají standardní techniky ověřování.

• Použití standardních scénářů ověřování podporovaných ID Microsoft Entra
• Přepsání výchozí mezipaměti tokenů MSAL distribuovanou mezipamětí
• Ujistěte se, že se používá tokenReplayCache, aby se zabránilo přehrání příchozích ověřovacích tokenů.
• Použití knihoven MSAL ke správě žádostí o tokeny z klientů OAuth2 do Microsoft Entra ID (nebo místní služby AD)

• Ověřování zařízení připojujících se ke službě Field Gateway

• Ujistěte se, že se ověřují zařízení, která se připojují ke cloudové bráně.
• Použití přihlašovacích údajů pro ověřování jednotlivých zařízení

• Ujistěte se, že anonymní přístup ke čtení mají jenom požadované kontejnery a objekty blob.
• Udělení omezeného přístupu k objektům v úložišti Azure pomocí SAS nebo SAP

Ověřování je proces, kdy entita prokáže svou identitu, obvykle prostřednictvím přihlašovacích údajů, jako je uživatelské jméno a heslo. K dispozici je několik ověřovacích protokolů, které je možné zvážit. Některé z nich jsou uvedené níže:

• Klientské certifikáty
• Windows
• Formuláře založené na formulářích
• Federace – ADFS
• Federace – Microsoft Entra ID
• Federace – Server identit

Zvažte použití standardního ověřovacího mechanismu k identifikaci zdrojového procesu.

Aplikace, které explicitně ověřují uživatele, musí bezpečně zpracovávat neúspěšné scénáře ověřování. Ověřovací mechanismus musí:

• Odepření přístupu k privilegovaným prostředkům v případě selhání ověřování
• Zobrazení obecné chybové zprávy po neúspěšném ověření a odepření přístupu

Test pro:

• Ochrana privilegovaných prostředků po neúspěšných přihlášeních
• Obecná chybová zpráva se zobrazí u neúspěšného ověřování a událostí odepření přístupu.
• Účty jsou zakázané po nadměrném počtu neúspěšných pokusů.

Ověřte, že aplikace má další autorizaci (například krokování nebo adaptivní ověřování, prostřednictvím vícefaktorového ověřování, jako je odeslání jednorázového hesla v SMS, e-mailu atd.) nebo výzva k opětovnému ověření, aby se uživateli zobrazila výzva před udělením přístupu k citlivým informacím. Toto pravidlo platí také pro provádění důležitých změn účtu nebo akce.

To také znamená, že přizpůsobení ověřování musí být implementováno takovým způsobem, že aplikace správně vynucuje autorizaci citlivou na kontext, aby například nepovolila neoprávněnou manipulaci pomocí manipulace s parametry.

První věcí je ověřit, že zapomenuté heslo a další cesty obnovení odešlou odkaz, včetně časově omezeného aktivačního tokenu, a ne samotného hesla. Další ověřování založené na soft tokenech (např. token SMS, nativní mobilní aplikace atd.) je možné vyžadovat i před odesláním odkazu. Za druhé byste neměli zamknout uživatelský účet, zatímco probíhá proces získání nového hesla.

To může vést k útoku na dostupnost služby, kdykoli se útočník rozhodne záměrně uzamknout uživatele automatizovaným útokem. Za třetí, kdykoli byla nastavena nová žádost o heslo, měla by být zobrazená zpráva zobecněna, aby se zabránilo výčtu uživatelského jména. Začtvrté, vždy nepovolte používání starých hesel a implementujte silné zásady hesel.

Zásady hesel a účtů v souladu se zásadami organizace a osvědčenými postupy by se měly implementovat.

Chcete-li se bránit proti hádání na základě hrubou silou a slovníku: Musí být implementovány zásady silného hesla, aby uživatelé vytvořili komplexní heslo (např. minimální délka 12 znaků, alfanumerické a speciální znaky).

Zásady uzamčení účtu se můžou implementovat následujícím způsobem:

• Měkké uzamčení: Tato možnost může být dobrou volbou pro ochranu uživatelů před útoky hrubou silou. Například pokaždé, když uživatel zadá nesprávné heslo třikrát, může aplikace po dobu minuty uzamknout účet, aby zpomalil proces vynucení hesla, aby útočník mohl pokračovat. Pokud byste v tomto příkladu implementovali pevně uzamčené protichůdné opatření, dosáhli byste "DoS" trvalým uzamčením účtů. Případně může aplikace vygenerovat jednorázové heslo (jednorázové heslo) a odeslat ho uživateli mimo pásmo (prostřednictvím e-mailu, sms atd.). Dalším přístupem může být implementace CAPTCHA po dosažení prahové hodnoty počtu neúspěšných pokusů.
• Pevné uzamčení: Tento typ uzamčení by se měl použít vždy, když zjistíte, že uživatel napadá vaši aplikaci, a čítače pomocí trvalého uzamčení účtu, dokud tým odpovědí neměl čas provést forenzní akce. Po tomto procesu se můžete rozhodnout, že uživateli vrátíte svůj účet nebo proti nim provedete další právní kroky. Tento typ přístupu brání útočníkovi v dalším průniku vaší aplikace a infrastruktury.

Pokud chcete bránit útokům na výchozí a předvídatelné účty, ověřte, že všechny klíče a hesla se dají nahradit a generují nebo nahrazují po instalaci.

Pokud aplikace musí automaticky generovat hesla, ujistěte se, že generovaná hesla jsou náhodná a mají vysokou entropii.

Model zabezpečení služby Event Hubs je založený na kombinaci tokenů sdíleného přístupového podpisu (SAS) a vydavatelů událostí. Název vydavatele představuje DEVICEID, který přijímá token. To by pomohlo přidružit tokeny vygenerované k příslušným zařízením.

Všechny zprávy jsou označené původcem na straně služby, což umožňuje detekci pokusů o falšování identity v datové části. Při ověřování zařízení vygenerujte token SaS pro každé zařízení s vymezeným jedinečným vydavatelem.

vícefaktorové ověřování (MFA) je metoda ověřování, která vyžaduje více než jednu metodu ověřování a přidává kritickou druhou vrstvu zabezpečení k přihlašování a transakcím uživatelů. Funguje tak, že vyžaduje jakékoli dvě nebo více z následujících metod ověřování:

• Něco, co znáte (obvykle heslo)
• Něco, co máte (důvěryhodné zařízení, které se nedá snadno duplikovat, třeba telefon)
• Něco, co jste (biometrické údaje)

Clustery by měly být vždy zabezpečené, aby se zabránilo neoprávněným uživatelům v připojení k vašemu clusteru, zejména v případě, že na něm běží produkční úlohy.

Při vytváření clusteru Service Fabric se ujistěte, že je režim zabezpečení nastavený na zabezpečení a nakonfigurujte požadovaný certifikát serveru X.509. Vytvoření "nezabezpečeného" clusteru umožní každému anonymnímu uživateli připojit se k němu, pokud zveřejní koncové body správy pro veřejný internet.

Zabezpečení certifikátu typu klient-uzel se konfiguruje při vytváření clusteru prostřednictvím webu Azure Portal, šablon Resource Manageru nebo samostatné šablony JSON zadáním klientského certifikátu správce nebo klientského certifikátu uživatele.

Zadané klientské certifikáty klienta správce a uživatele by se měly lišit od primárních a sekundárních certifikátů, které zadáte pro zabezpečení node-to-node.

Service Fabric používá certifikáty serveru X.509 pro ověřování uzlů a klientů.

Při používání certifikátů v service fabrics je potřeba vzít v úvahu několik důležitých věcí:

• Certifikáty používané v clusterech s produkčními úlohami by se měly vytvořit pomocí správně nakonfigurované certifikační služby systému Windows Server nebo získané ze schválené certifikační autority (CA). Certifikační autoritou může být schválená externí certifikační autorita nebo správně spravovaná interní infrastruktura veřejných klíčů (PKI).
• Nikdy nepoužívejte žádné dočasné nebo testovací certifikáty v produkčním prostředí vytvořené pomocí nástrojů, jako jsou MakeCert.exe
• Můžete použít certifikát podepsaný svým držitelem, ale měl by to udělat jenom pro testovací clustery a ne v produkčním prostředí.

Níže jsou uvedené typické interakce podporované serverem identit:

• Prohlížeče komunikují s webovými aplikacemi
• Webové aplikace komunikují s webovými rozhraními API (někdy samy o sobě, někdy jménem uživatele).
• Aplikace založené na prohlížeči komunikují s webovými rozhraními API
• Nativní aplikace komunikují s webovými rozhraními API
• Serverové aplikace komunikují s webovými rozhraními API
• Webová rozhraní API komunikují s webovými rozhraními API (někdy samy o sobě, někdy jménem uživatele).

IdentityServer má jednoduchou integrovanou mezipaměť v paměti. I když je to vhodné pro nativní aplikace v malém měřítku, nešupupuje se pro střední vrstvu a back-endové aplikace z následujících důvodů:

• K těmto aplikacím přistupuje mnoho uživatelů najednou. Uložení všech přístupových tokenů ve stejném úložišti vytváří problémy s izolací a představuje výzvy při provozu ve velkém: mnoho uživatelů, každý s tolika tokeny, kolik prostředků aplikace přistupuje jejich jménem, může znamenat obrovské počty a velmi nákladné operace vyhledávání.
• Tyto aplikace jsou obvykle nasazené v distribuovaných topologiích, kde musí mít více uzlů přístup ke stejné mezipaměti.
• Tokeny uložené v mezipaměti musí přežít recyklace a deaktivace procesů.
• Z výše uvedených důvodů se při implementaci webových aplikací doporučuje přepsat výchozí mezipaměť tokenů serveru identit škálovatelnou alternativou, jako je Azure Cache for Redis.

Ověřování je proces, kdy entita prokáže svou identitu, obvykle prostřednictvím přihlašovacích údajů, jako je uživatelské jméno a heslo. K dispozici je několik ověřovacích protokolů, které je možné zvážit. Některé z nich jsou uvedené níže:

• Klientské certifikáty
• Windows
• Formuláře založené na formulářích
• Federace – ADFS
• Federace – Microsoft Entra ID
• Federace – Server identit

Odkazy v části Odkazy poskytují podrobné informace o tom, jak se dají implementovat jednotlivá schémata ověřování za účelem zabezpečení webového rozhraní API.

Microsoft Entra ID zjednodušuje ověřování pro vývojáře tím, že poskytuje identitu jako službu s podporou standardních protokolů, jako jsou OAuth 2.0 a OpenID Connect. Níže je uvedeno pět primárních scénářů aplikací podporovaných ID Microsoft Entra:

• Webový prohlížeč do webové aplikace: Uživatel se musí přihlásit k webové aplikaci, která je zabezpečená pomocí Microsoft Entra ID.
• Jednostránkové aplikace (SPA): Uživatel se musí přihlásit k jednostránkové aplikaci, která je zabezpečená pomocí Microsoft Entra ID.
• Nativní aplikace pro webové rozhraní API: Nativní aplikace, která běží na telefonu, tabletu nebo počítači, musí ověřit uživatele, aby získal prostředky z webového rozhraní API, které je zabezpečené pomocí Microsoft Entra ID.
• Webová aplikace na webové rozhraní API: Webová aplikace potřebuje získat prostředky z webového rozhraní API zabezpečeného id Microsoft Entra
• Démon nebo serverová aplikace do webového rozhraní API: Aplikace démona nebo serverová aplikace bez webového uživatelského rozhraní potřebuje získat prostředky z webového rozhraní API zabezpečeného rozhraním Microsoft Entra ID.

Podrobnosti o implementaci nízké úrovně najdete na odkazech v části s odkazy.

Výchozí mezipaměť, kterou knihovna MSAL (Microsoft Authentication Library) používá, je mezipaměť v paměti a je škálovatelná. Existují však různé možnosti, které můžete použít jako alternativu, jako je například mezipaměť distribuovaných tokenů. Tyto mechanismy mají L1/L2, kde L1 je v paměti a L2 je implementace distribuované mezipaměti. Ty je možné odpovídajícím způsobem nakonfigurovat tak, aby omezovaly paměť L1, zašifrovaly nebo nastavily zásady vyřazení. Mezi další alternativy patří mezipaměti Redis, SQL Server nebo Azure Comsos DB. Implementace mezipaměti distribuovaných tokenů najdete v následujícím kurzu: Začínáme s ASP.NET Core MVC.

Vlastnost TokenReplayCache umožňuje vývojářům definovat mezipaměť pro přehrání tokenu, úložiště, které lze použít k ukládání tokenů pro účely ověření, že se žádný token nedá použít více než jednou.

Jedná se o míru proti běžnému útoku, který se označuje jako útok na přehrání tokenu: Útočník, který zachytí token odeslaný při přihlášení, se může pokusit ho znovu odeslat do aplikace ("přehrát" ji) pro vytvoření nové relace. Například v toku udělení kódu OIDC po úspěšném ověření uživatele se vytvoří požadavek na koncový bod /signin-oidc předávající strany s parametry "id_token", "code" a "state".

Předávající strana ověří tento požadavek a vytvoří novou relaci. Pokud nežádoucí osoba tuto žádost zachytí a přehraje ji, může navázat úspěšnou relaci a zneuživatele. Přítomnost nonce v OpenID Connect může omezit, ale nemůže zcela eliminovat okolnosti, ve kterých může být útok úspěšně přijat. K ochraně svých aplikací můžou vývojáři poskytnout implementaci ITokenReplayCache a přiřadit instanci tokenReplayCache.

Knihovna MICROSOFT Authentication Library (MSAL) umožňuje vývojářům získávat tokeny zabezpečení z platformy Microsoft Identity Platform k ověřování uživatelů a přístupu k zabezpečeným webovým rozhraním API. Dá se použít k zajištění zabezpečeného přístupu k Microsoft Graphu, dalším rozhraním API Microsoftu, webovým rozhraním API třetích stran nebo k vlastnímu webovému rozhraní API. MSAL podporuje mnoho různých aplikačních architektur a platforem, včetně .NET, JavaScriptu, Javy, Pythonu, Androidu a iOS.

• Obecné: Ověřte zařízení pomocí protokolu TLS (Transport Layer Security) nebo IPSec. Infrastruktura by měla podporovat použití předsdíleného klíče (PSK) na těchto zařízeních, která nemohou zpracovat úplnou asymetrickou kryptografii. Využijte Microsoft Entra ID, Oauth.
• C#: Při vytváření instance DeviceClient ve výchozím nastavení vytvoří metoda Create instanci DeviceClient, která používá protokol AMQP ke komunikaci se službou IoT Hub. Pokud chcete používat protokol HTTPS, použijte přepis metody Create, který umožňuje určit protokol. Pokud používáte protokol HTTPS, měli byste do projektu přidat Microsoft.AspNet.WebApi.Client také balíček NuGet, aby zahrnoval System.Net.Http.Formatting obor názvů.

Ve výchozím nastavení může mít kontejner a všechny objekty blob v něm přístup jenom vlastník účtu úložiště. Pokud chcete anonymním uživatelům udělit oprávnění ke čtení kontejneru a jeho objektů blob, můžete nastavit oprávnění kontejneru tak, aby umožňovala veřejný přístup. Anonymní uživatelé můžou číst objekty blob v rámci veřejně přístupného kontejneru bez ověřování požadavku.

Kontejnery poskytují následující možnosti pro správu přístupu ke kontejnerům:

• Úplný veřejný přístup ke čtení: Data kontejnerů a objektů blob je možné číst prostřednictvím anonymního požadavku. Klienti můžou vytvořit výčet objektů blob v rámci kontejneru prostřednictvím anonymního požadavku, ale nemůžou vytvořit výčet kontejnerů v rámci účtu úložiště.
• Veřejný přístup pro čtení pouze pro objekty blob: Data objektů blob v tomto kontejneru se dají číst prostřednictvím anonymního požadavku, ale data kontejneru nejsou k dispozici. Klienti nemohou vytvořit výčet objektů blob v rámci kontejneru prostřednictvím anonymního požadavku.
• Žádný veřejný přístup ke čtení: Kontejner a data objektů blob můžou číst jenom vlastník účtu.

Anonymní přístup je nejvhodnější pro scénáře, kdy by určité objekty blob měly být vždy dostupné pro anonymní přístup pro čtení. Pro jemně odstupňované řízení může vytvořit sdílený přístupový podpis, který umožňuje delegovat omezený přístup pomocí různých oprávnění a v zadaném časovém intervalu. Ujistěte se, že kontejnery a objekty blob, které můžou potenciálně obsahovat citlivá data, nemají neúmyslně anonymní přístup.

Použití sdíleného přístupového podpisu (SAS) je účinný způsob, jak udělit omezený přístup k objektům v účtu úložiště jiným klientům, aniž byste museli vystavit přístupový klíč účtu. SAS je identifikátor URI, který zahrnuje v parametrech dotazu všechny informace potřebné pro ověřený přístup k prostředku úložiště. Pro přístup k prostředkům úložiště pomocí sdíleného přístupového podpisu musí klient předat pouze sas příslušnému konstruktoru nebo metodě.

Sas můžete použít, když chcete poskytnout přístup k prostředkům ve vašem účtu úložiště klientovi, kterému se nedá důvěřovat klíč účtu. Klíče účtu úložiště zahrnují primární i sekundární klíč, z nichž oba uděluje přístup pro správu k vašemu účtu a všem prostředkům v něm. Vystavení některého z klíčů účtu otevře váš účet pro možnost škodlivého nebo negligentního použití. Sdílené přístupové podpisy poskytují bezpečnou alternativu, která ostatním klientům umožňuje číst, zapisovat a odstraňovat data ve vašem účtu úložiště podle udělených oprávnění a bez nutnosti klíče účtu.

Pokud máte logickou sadu parametrů, které jsou pokaždé podobné, je lepší použít uložené zásady přístupu (SAP). Vzhledem k tomu, že použití sdíleného přístupového podpisu odvozeného ze zásad uloženého přístupu umožňuje okamžitě odvolat tento SAS, doporučuje se vždy používat uložené zásady přístupu, pokud je to možné.