Sıfır Güven kimlik ve erişim yönetimi geliştirme en iyi yöntemleri

Bu makale, bir geliştirici olarak uygulama geliştirme yaşam döngünüze yönelik kimlik ve erişim yönetimi en iyi yöntemlerini anlamanıza yardımcı olur. Kimlik ve erişim yönetimi (IAM) ile güvenli, Sıfır Güven uyumlu uygulamalar geliştirmeye başlarsınız.

Sıfır Güven güvenlik çerçevesi açık doğrulama, en az ayrıcalıklı erişim ve ihlal varsayma ilkelerini kullanır. Ağ çevresi dışından uygulamalara erişim gibi yaygın senaryolara izin verirken kullanıcıların ve verilerin güvenliğini sağlayın. Güvenlik saldırılarına karşı savunmasız hale gelebilen güvenli bir ağ çevresi arkasındaki etkileşimlere örtük güvene olan güveni azaltın.

Sektör güvenliği eğilimleri uygulama gereksinimlerini etkiler

Sıfır Güven uygulama gelişmeye devam ederken, her kuruluşun yolculuğu benzersizdir ve genellikle kullanıcı ve uygulama kimliğiyle başlar. Birçok kuruluşun Sıfır Güven dağıtılırken önceliklerini belirlemesi gereken ilkeler ve denetimler şunlardır:

1. Uygulamalar ve hizmetler için kimlik bilgisi hijyeni ve döndürme ilkeleri uygulayın. Saldırganlar sertifikalar veya parolalar gibi gizli dizileri tehlikeye attığında, bir uygulama kimliğinin kisvesi altında belirteçleri almak için sistem erişiminin derinliğini elde edebilir. Daha sonra hassas verilere erişip, daha sonra hareket eder ve kalıcılık sağlar.
2. Güçlü kimlik doğrulamayı kullanıma sunma. BT yöneticileri, çok faktörlü kimlik doğrulaması ve parolasız FIDO2 cihazları gerektiren ilkeler yapılandırıyor.
3. Doğrulanmış yayımcı uygulamaları için düşük riskli izinlere sahip uygulamalar için kullanıcı onaylarını kısıtlayın. Microsoft Graph gibi API'lerdeki verilere erişim, zengin uygulamalar oluşturmanıza olanak tanır. Kuruluşlar ve müşteriler, onay vermeden önce uygulamanızın izin isteklerini ve güvenilirliğini değerlendirir. BT yöneticileri, yayımcı doğrulaması gerektirerek açıkça doğrulama ilkesini benimsemektedir. Yalnızca düşük riskli izinler için kullanıcı onayına izin vererek en az ayrıcalık ilkesini uygularlar.
4. Eski protokolleri ve API'leri engelleme. BT yöneticileri "Temel kimlik doğrulaması" gibi eski kimlik doğrulama protokollerini engelliyor ve OpenID Bağlan ve OAuth2 gibi modern protokoller gerektirir.

Güvenilir, standartlara dayalı kimlik doğrulama kitaplıklarını kullanma

Uygulama taşınabilirliğini ve güvenliğini artırmak için uygulamanızı bilinen ve kabul edilen standartlar ve kitaplıklarla geliştirin. Güvenilir, standartlara dayalı kimlik doğrulama kitaplıkları güncel kalır, böylece uygulamalarınız en son teknolojilere ve tehditlere yanıt verir. Standartlara dayalı geliştirme metodolojileri , desteklenen standartlara ve bunların avantajlarına genel bir bakış sağlar.

Bilinen güvenlik açıklarına ve kapsamlı belgelere sahip protokolleri kullanmak yerine, uygulamanızı Microsoft Kimlik Doğrulama Kitaplığı (MSAL), Microsoft Identity Web kimlik doğrulama kitaplığı ve Azure Yazılım Geliştirici Setleri (SDK) gibi kitaplıklarla geliştirin. MSAL ve Yazılım Geliştirici Setleri (SDK), ek kod yazmanıza gerek kalmadan bu özellikleri kullanmanıza olanak sağlar:

• Koşullu erişim
• Cihaz kaydı ve yönetimi
• Parolasız ve FIDO2 kimlik doğrulaması

MSAL ve Microsoft Graph , Microsoft Entra uygulamaları geliştirmek için en iyi seçeneklerinizdir. MSAL geliştiricileri protokollerle uyumluluğu güvence altına alır. Microsoft, doğrudan Microsoft Entra Id ile çalışırken MSAL'yi verimlilik için en iyi duruma getirmektedir.

Uygulamalarınızı Microsoft Entra ID'ye kaydetme

Microsoft Entra Id'de uygulama özellikleri için en iyi güvenlik yöntemlerini izleyin. Microsoft Entra Id'de uygulama kaydı kritik öneme sahiptir çünkü uygulamanızın hijyenindeki yanlış yapılandırma veya atlama kapalı kalma süresine veya risk altında kalma süresine neden olabilir.

Güvenliği geliştiren uygulama özellikleri arasında yeniden yönlendirme URI'si, erişim belirteçleri (hiçbir zaman örtük akışlarla kullanmayın), sertifikalar ve gizli diziler, uygulama kimliği URI'si ve uygulama sahipliği bulunur. Kod için Güvenlik Tehdit Modeli değerlendirmelerine benzer düzenli aralıklarla güvenlik ve sistem durumu değerlendirmeleri gerçekleştirin.

Kimlik ve erişim yönetimi temsilcisi seçme

Müşterilerinizin tanımlayıp yönettiği açık kimlik doğrulaması ve erişim denetimi için belirteçleri kullanmak üzere uygulamanızı geliştirin. Microsoft, kendi kullanıcı adınızı ve parola yönetim sistemlerinizi geliştirmenizi önerir.

BT yöneticilerinin uygulamanızı düşürmeden veya yeniden dağıtmadan kimlik bilgilerini döndürebilmesi için kimlik bilgilerini kodunuzdan uzak tutun. IAM'ye temsilci seçmek için Azure Key Vault veya Azure Yönetilen Kimlikler gibi bir hizmet kullanın.

En az ayrıcalık erişimi için planlama ve tasarım

Sıfır Güven temel ilkelerinden biri en az ayrıcalık erişimidir. Müşterilerinizin en az ayrıcalık ilkelerini başarıyla yapılandırabilmesi için uygulamanızı yeterince geliştirin ve belgeleyin. Belirteçleri ve API'leri desteklerken, müşterilerinize uygulamanızın çağırdığını kaynakların iyi belgelerini sağlayın.

Kullanıcınızın belirli görevleri gerçekleştirmesi için her zaman gereken en düşük ayrıcalığı sağlayın. Örneğin, Microsoft Graph'ta ayrıntılı kapsamlar kullanın.

Api çağırmak ve gerekli izinleri incelemek için Graph Explorer'daki kapsamları keşfedin. Bunlar en düşükten en yüksek ayrıcalıklara kadar sırayla görüntülenir. Mümkün olan en düşük ayrıcalığı seçmek, uygulamanızın saldırılara karşı daha az savunmasız olmasını sağlar.

Uygulamalarınızın saldırı yüzeylerini azaltmak için güvenliği en az ayrıcalık ilkesiyle geliştirme ve güvenlik ihlali patlama yarıçapının tehlikeye atılması durumunda yönergeleri izleyin.

Belirteçleri güvenli bir şekilde yönetme

Uygulamanız Microsoft Entra ID'den belirteç istediğinde bunları güvenli bir şekilde yönetin:

• Bunların kapsamının uygulamanıza uygun şekilde tanımlandığını doğrulayın.
• Bunları uygun şekilde önbelleğe alın.
• Bunları istediğiniz gibi kullanın.
• Hata sınıflarını denetleyerek ve uygun yanıtları kodlayarak belirteç sorunlarını işleyebilir.
• Erişim belirteçlerini doğrudan okumak yerine kapsamlarını ve ayrıntılarını belirteç yanıtlarında görüntüleyin.

Sürekli Erişim Değerlendirme desteği (CAE)

Sürekli Erişim Değerlendirmesi (CAE), Microsoft Graph'ın güvenlik olaylarına yanıt olarak erişimi hızla reddetmesine olanak tanır. Örnek olarak şu kiracı yöneticisi etkinlikleri verilebilir:

• Kullanıcı hesabını silme veya devre dışı bırakma.
• Bir kullanıcı için çok faktörlü kimlik doğrulamasını (MFA) etkinleştirme.
• Kullanıcının verilen belirteçlerini açıkça iptal etme.
• Yüksek riskli duruma geçmekte olan bir kullanıcıyı algılama.

CAE'yi desteklediğinizde, Microsoft Graph'ı çağırmak için Microsoft Entra ID sorunlarının belirteci standart 60 ile 90 dakika yerine 24 saat geçerlidir. CAE, MSAL'nin belirtecin süresi dolmadan önce belirteci önceden yenilemesini sağlayarak uygulamanıza dayanıklılık ekler.

BT için kullanıcılara ve gruplara atanacak uygulama rollerini tanımlama

Uygulama rolleri, uygulamalarınızda rol tabanlı erişim denetimi uygulamanıza yardımcı olur. Uygulama rollerinin yaygın örnekleri arasında Yönetici istrator, Okuyucu ve Katkıda Bulunan sayılabilir. Rol tabanlı erişim denetimi, uygulamanızın tanımlı rollerine göre hassas eylemleri kullanıcılara veya gruplara kısıtlamasına olanak tanır.

Doğrulanmış yayımcı olma

Doğrulanmış bir yayımcı olarak kimliğinizi Microsoft İş Ortağı Ağı hesabınızla doğrular ve yerleşik doğrulama işlemini tamamlarsınız. Çok kiracılı uygulama geliştiricileri için, doğrulanmış bir yayımcı olmak müşteri kiracılarındaki BT yöneticilerine güven oluşturmaya yardımcı olur.

Sonraki adımlar

• Belirteçleri özelleştirme, Microsoft Entra belirteçlerinde alabileceğiniz bilgileri açıklar. En az ayrıcalıkla uygulama Sıfır Güven güvenliği artırırken esnekliği ve denetimi geliştirmek için belirteçleri özelleştirmeyi öğrenin.
• Belirteçlerde grup taleplerini ve uygulama rollerini yapılandırma, uygulama rol tanımlarıyla uygulamalarınızı yapılandırmayı ve uygulama rollerine güvenlik grupları atamayı açıklar. Bu yaklaşım, en az ayrıcalıkla uygulama Sıfır Güven güvenliği artırırken esnekliği ve denetimi artırır.
• Kimlik için Sıfır Güven bir yaklaşımla uygulama oluşturmak, izinlere ve erişime yönelik en iyi yöntemlere genel bir bakış sağlar.
• Kimlik tümleştirmeleri kılavuzu, Sıfır Güven çözümleri oluşturmak için güvenlik çözümlerini Microsoft ürünleriyle tümleştirmeyi açıklar.
• Uygulama kaydı, yetkilendirme ve erişim için geliştirici ve yönetici sorumlulukları, BT Uzmanlarınızla daha iyi işbirliği yapma konusunda size yardımcı olur.
• Tek ve çok kiracılı uygulamalar için desteklenen kimlik ve hesap türleri, uygulamanızın yalnızca Microsoft Entra ID) kiracınızdaki kullanıcılara, herhangi bir Microsoft Entra kiracısına veya kişisel Microsoft hesaplarına sahip kullanıcılara izin vermeyi nasıl seçebileceğinizi açıklar.
• Yetkilendirme en iyi yöntemleri , uygulamalarınız için en iyi yetkilendirme, izin ve onay modellerini uygulamanıza yardımcı olur.
• API Koruması, api'nizi kayıt, izin ve onay tanımlama ve Sıfır Güven hedeflerinize ulaşmak için erişimi zorlama yoluyla korumaya yönelik en iyi yöntemleri açıklar.