Cosa si intende per conformità Zero Trust?
Questo articolo offre una panoramica della sicurezza delle applicazioni dal punto di vista di uno sviluppatore per affrontare i principi guida di Zero Trust. In passato, la sicurezza del codice riguardava tutta la tua app: in caso di errore, la tua app era a rischio. Oggi, la cybersecurity è una priorità elevata per i clienti e i governi in tutto il mondo.
La conformità ai requisiti di cybersecurity è un prerequisito per molti clienti e governi per acquistare applicazioni. Ad esempio, vedi l'ordine esecutivo degli Stati Uniti 14028: Miglioramento della cybersecurity della nazione e riepilogo dei requisiti di Amministrazione istration dei servizi generali statunitensi. L'applicazione deve soddisfare i requisiti dei clienti.
La sicurezza del cloud è una considerazione dell'infrastruttura dell'organizzazione che è sicura come il collegamento più debole. Quando una singola app è il collegamento più debole, gli attori malintenzionati possono accedere a dati e operazioni critici per l'azienda.
La sicurezza delle applicazioni dal punto di vista dello sviluppatore include un approccio Zero Trust: le applicazioni affrontano i principi guida di Zero Trust. Gli sviluppatori aggiornano continuamente l'applicazione man mano che cambia il panorama delle minacce e le linee guida per la sicurezza.
Supportare i principi Zero Trust nel codice
Due chiavi per la conformità ai principi Zero Trust sono la possibilità dell'applicazione di verificare in modo esplicito e di supportare l'accesso con privilegi minimi. L'applicazione deve delegare la gestione delle identità e degli accessi a Microsoft Entra ID in modo che possa usare i token Microsoft Entra. La delega della gestione delle identità e degli accessi consente all'applicazione di supportare tecnologie dei clienti come l'autenticazione a più fattori, l'autenticazione senza password e i criteri di accesso condizionale.
Grazie alle tecnologie di abilitazione di Microsoft Identity Platform e Zero Trust, l'uso dei token Microsoft Entra consente all'applicazione di integrarsi con l'intera suite di tecnologie di sicurezza di Microsoft.
Se l'applicazione richiede password, è possibile esporre i clienti per evitare rischi evitabili. Gli attori malintenzionati visualizzano il passaggio a lavorare da qualsiasi posizione con qualsiasi dispositivo come opportunità per accedere ai dati aziendali tramite attività come attacchi password spraying. In un attacco con password spraying, gli attori malintenzionati provano una password promettente in un set di account utente. Ad esempio, potrebbero provare GoSeaHawks2022! contro gli account utente nell'area seattle. Questo tipo di attacco riuscito è una giustificazione per l'autenticazione senza password.
Acquisire i token di accesso da Microsoft Entra ID
Come minimo, l'applicazione deve acquisire token di accesso da Microsoft Entra ID che rilascia i token di accesso OAuth 2.0. L'applicazione client può usare questi token per ottenere accesso limitato alle risorse utente tramite chiamate API per conto dell'utente. Usare un token di accesso per chiamare ogni API.
Quando un provider di identità delegato verifica l'identità, il reparto IT del cliente può applicare l'accesso con privilegi minimi con l'autorizzazione e il consenso di Microsoft Entra. Microsoft Entra ID determina quando rilascia token alle applicazioni.
Quando i clienti conoscono le risorse aziendali a cui l'applicazione deve accedere, possono concedere o negare correttamente le richieste di accesso. Ad esempio, se l'applicazione deve accedere a Microsoft SharePoint, documentare questo requisito in modo da consentire ai clienti di concedere le autorizzazioni corrette.
Passaggi successivi
- Le metodologie di sviluppo basate su standard offrono una panoramica degli standard supportati e dei relativi vantaggi.
- La creazione di app con un approccio Zero Trust all'identità offre una panoramica delle autorizzazioni e delle procedure consigliate per l'accesso.
- Personalizzare i token descrive le informazioni che è possibile ricevere nei token di Microsoft Entra. Informazioni su come personalizzare i token e migliorare la flessibilità e il controllo aumentando al contempo la sicurezza Zero Trust dell'applicazione con privilegi minimi.
- I tipi di identità e account supportati per le app a tenant singolo e multi-tenant spiegano come è possibile scegliere se l'app consente solo agli utenti del tenant di Microsoft Entra, a qualsiasi tenant di Microsoft Entra o agli utenti con account Microsoft personali.
- Protezione API descrive le procedure consigliate per proteggere l'API tramite la registrazione, la definizione di autorizzazioni e il consenso e l'applicazione dell'accesso per raggiungere gli obiettivi zero trust.
- Le procedure consigliate per l'autorizzazione consentono di implementare i modelli di autorizzazione, autorizzazione e consenso ottimali per le applicazioni.