Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo offre una panoramica della sicurezza delle applicazioni dal punto di vista di uno sviluppatore per affrontare i principi guida di Zero Trust. In passato, la sicurezza del codice riguardava tutta la tua app: in caso di errore, la tua app era a rischio. Oggi, la cybersecurity è una priorità elevata per i clienti e i governi in tutto il mondo.
La conformità ai requisiti di cybersecurity è un prerequisito per molti clienti e governi per acquistare applicazioni. L'applicazione deve soddisfare i requisiti dei clienti.
La sicurezza del cloud è una considerazione per l'infrastruttura organizzativa che è sicura solo quanto il suo anello più debole. Quando una singola app è il collegamento più debole, gli attori malintenzionati possono ottenere l'accesso a dati e operazioni critici per l'azienda.
La sicurezza delle applicazioni dal punto di vista dello sviluppatore include un approccio Zero Trust: le applicazioni affrontano i principi guida di Zero Trust. Gli sviluppatori aggiornano continuamente l'applicazione man mano che cambia il panorama delle minacce e le linee guida per la sicurezza.
Supportare i principi Zero Trust nel codice
Due chiavi per la conformità ai principi Zero Trust sono la possibilità dell'applicazione di verificare in modo esplicito e di supportare l'accesso con privilegi minimi. L'applicazione deve delegare la gestione delle identità e degli accessi a Microsoft Entra ID in modo che possa usare i token Microsoft Entra. La delega della gestione delle identità e degli accessi consente all'applicazione di supportare tecnologie dei clienti come l'autenticazione a più fattori, l'autenticazione senza password e i criteri di accesso condizionale.
Grazie alle tecnologie di abilitazione di Microsoft Identity Platform e Zero Trust, l'uso dei token Microsoft Entra consente all'applicazione di integrarsi con l'intera suite di tecnologie di sicurezza di Microsoft.
Se la tua applicazione richiede password, potresti esporre i tuoi clienti a rischi evitabili. Gli attori malintenzionati vedono il passare a lavorare da qualsiasi posizione con qualsiasi dispositivo come un'opportunità per accedere ai dati aziendali tramite attività come gli attacchi di password spraying. In un attacco con password spraying, gli attori malintenzionati provano una password promettente in un set di account utente. Ad esempio, potrebbero provare GoSeaHawks2022! sugli account utente nell'area di Seattle. Questo tipo di attacco riuscito è una giustificazione per l'autenticazione senza password.
Acquisire i token di accesso da Microsoft Entra ID
Come minimo, l'applicazione deve acquisire token di accesso da Microsoft Entra ID che rilascia i token di accesso OAuth 2.0. L'applicazione client può usare questi token per ottenere accesso limitato alle risorse utente tramite chiamate API per conto dell'utente. Usare un token di accesso per chiamare ogni API.
Quando un provider di identità delegato verifica l'identità, il reparto IT del cliente può applicare l'accesso con privilegi minimi con l'autorizzazione e il consenso di Microsoft Entra. Microsoft Entra ID determina quando rilascia token alle applicazioni.
Quando i clienti conoscono le risorse aziendali a cui l'applicazione deve accedere, possono concedere o negare correttamente le richieste di accesso. Ad esempio, se l'applicazione deve accedere a Microsoft SharePoint, documentare questo requisito in modo da consentire ai clienti di concedere le autorizzazioni corrette.
Passaggi successivi
- Le metodologie di sviluppo basate su standard offrono una panoramica degli standard supportati e dei relativi vantaggi.
- La creazione di app con un approccio Zero Trust all'identità offre una panoramica delle autorizzazioni e delle procedure consigliate per l'accesso.
- Personalizzare i token descrive le informazioni che è possibile ricevere nei token di Microsoft Entra. Informazioni su come personalizzare i token e migliorare la flessibilità e il controllo aumentando al contempo la sicurezza Zero Trust dell'applicazione con privilegi minimi.
- I tipi di identità e account supportati per le app a tenant singolo e multi-tenant spiegano come è possibile scegliere se l'app consente solo agli utenti del tenant di Microsoft Entra, a qualsiasi tenant di Microsoft Entra o agli utenti con account Microsoft personali.
- Protezione dell'API descrive le migliori pratiche per proteggere la tua API attraverso la registrazione, la definizione di autorizzazioni e consenso, e l'applicazione dell'accesso per raggiungere gli obiettivi di Zero Trust.
- Le procedure consigliate per l'autorizzazione consentono di implementare i modelli di autorizzazione, autorizzazione e consenso ottimali per le applicazioni.