Sıfır Güven uyumluluğu ile neyi kast ediyoruz?

  • Makale

Bu makalede, Sıfır Güven yol gösteren ilkeleri ele almak için geliştirici perspektifinden uygulama güvenliğine genel bakış sağlanır. Geçmişte kod güvenliği tamamen kendi uygulamanızla ilgiliydi: Yanlış aldıysanız, kendi uygulamanız risk altındaydı. Günümüzde siber güvenlik, dünya çapındaki müşteriler ve hükümetler için yüksek bir önceliktir.

Siber güvenlik gereksinimleriyle uyumluluk, birçok müşteri ve kamu kuruluşlarının uygulama satın alması için bir önkoşuldur. Örneğin, bkz. ABD Yönetim Emri 14028: Ulusun Siber Güvenlik ve ABD Genel Hizmetlerinin geliştirilmesi Yönetici istrasyon gereksinimleri özeti. Uygulamanızın müşteri gereksinimlerini karşılaması gerekir.

Bulut güvenliği, yalnızca en zayıf bağlantı kadar güvenli olan kuruluş altyapısını dikkate alır. Tek bir uygulama en zayıf bağlantı olduğunda, kötü amaçlı aktörler iş açısından kritik verilere ve işlemlere erişim elde edebilir.

Geliştirici perspektifinden uygulama güvenliği Sıfır Güven bir yaklaşım içerir: uygulamalar Sıfır Güven yol gösteren ilkeleri ele alır. Geliştirici olarak, tehdit ortamı ve güvenlik kılavuzu değiştikçe uygulamanızı sürekli güncelleştirirsiniz.

Kodunuzda Sıfır Güven ilkelerini destekleme

Sıfır Güven ilkeleriyle uyumluluğun iki anahtarı, uygulamanızın açıkça doğrulayabilmesi ve en az ayrıcalık erişimini desteklemesidir. Uygulamanızın Microsoft Entra belirteçlerini kullanabilmesi için kimlik ve erişim yönetimini Microsoft Entra Id'ye devretmesi gerekir. Kimlik ve erişim yönetimi yetkisi vermek, uygulamanızın çok faktörlü kimlik doğrulaması, parolasız kimlik doğrulaması ve koşullu erişim ilkeleri gibi müşteri teknolojilerini desteklemesini sağlar.

Microsoft kimlik platformu ve Sıfır Güven teknolojilerin etkinleştirilmesiyle, Microsoft Entra belirteçlerini kullanmak uygulamanızın Microsoft'un tüm güvenlik teknolojileri paketiyle tümleştirilmesine yardımcı olur.

Uygulamanız parola gerektiriyorsa, müşterilerinizi önlenebilir risklere maruz bırakmanız gerekebilir. Kötü aktörler, parola spreyi saldırıları gibi etkinlikleri gerçekleştirerek şirket verilerine erişme fırsatı olarak herhangi bir konumdan herhangi bir cihazdan çalışmaya geçişi görüntüler. Parola spreyi saldırısında, kötü aktörler bir dizi kullanıcı hesabı arasında gelecek vaat eden bir parolayı dener. Örneğin GoSeaHawks2022'yi deneyebilirler! seattle alanındaki kullanıcı hesaplarına karşı. Bu başarılı saldırı türü, parolasız kimlik doğrulamasının bir gerekçesidir.

Microsoft Entra Id'den erişim belirteçleri alma

Uygulamanızın en azından Microsoft Entra Id'den OAuth 2.0 erişim belirteçleri veren erişim belirteçleri alması gerekir. İstemci uygulamanız, kullanıcı adına API çağrıları aracılığıyla kullanıcı kaynaklarına sınırlı erişim elde etmek için bu belirteçleri kullanabilir. Her API'yi çağırmak için bir erişim belirteci kullanırsınız.

Temsilci kimlik sağlayıcısı kimliği doğruladığında, müşterinizin BT departmanı Microsoft Entra izni ve onayıyla en az ayrıcalık erişimini zorunlu kılabilir. Microsoft Entra Id, uygulamalara belirteçleri ne zaman çıkardığını belirler.

Müşterileriniz uygulamanızın erişmesi gereken şirket kaynaklarını anladığında, erişim isteklerini doğru bir şekilde verebilir veya reddedebilir. Örneğin, uygulamanızın Microsoft SharePoint'e erişmesi gerekiyorsa, müşterilerin doğru izinleri vermesine yardımcı olabilmeniz için bu gereksinimi belgeleyin.

Sonraki adımlar

  • Standartlara dayalı geliştirme metodolojileri , desteklenen standartlara ve bunların avantajlarına genel bir bakış sağlar.
  • Kimlik için Sıfır Güven bir yaklaşımla uygulama oluşturmak, izinlere ve erişime yönelik en iyi yöntemlere genel bir bakış sağlar.
  • Belirteçleri özelleştirme, Microsoft Entra belirteçlerinde alabileceğiniz bilgileri açıklar. En az ayrıcalıkla uygulama Sıfır Güven güvenliği artırırken belirteçleri özelleştirmeyi ve esnekliği ve denetimi geliştirmeyi öğrenin.
  • Tek ve çok kiracılı uygulamalar için desteklenen kimlik ve hesap türleri, uygulamanızın yalnızca Microsoft Entra kiracınızdaki, herhangi bir Microsoft Entra kiracınızdaki veya kişisel Microsoft hesabı olan kullanıcılara izin vermeyi nasıl seçebileceğinizi açıklar.
  • API Koruması, api'nizi kayıt, izin ve onay tanımlama ve Sıfır Güven hedeflerinize ulaşmak için erişimi zorlama yoluyla korumaya yönelik en iyi yöntemleri açıklar.
  • Yetkilendirme en iyi yöntemleri , uygulamalarınız için en iyi yetkilendirme, izin ve onay modellerini uygulamanıza yardımcı olur.