Qu’entendons-nous par conformité Confiance Zéro ?

Cet article fournit une vue d’ensemble de la sécurité des applications du point de vue d’un développeur pour répondre aux principes fondamentaux de Confiance Zéro. Dans le passé, la sécurité du code concerne votre propre application : si vous avez eu tort, votre propre application était à risque. Aujourd’hui, la cybersécurité est une priorité élevée pour les clients et les gouvernements dans le monde entier.

La conformité aux exigences de cybersécurité est un prérequis pour de nombreux clients et gouvernements pour acheter des applications. Par exemple, consultez l’Ordre exécutif des États-Unis 14028 : Amélioration de la cybersécurité de la nation et des services généraux américains Administration istration requises. Votre application doit répondre aux exigences du client.

La sécurité cloud est une considération de l’infrastructure de l’organisation qui n’est que aussi sécurisée que le lien le plus faible. Lorsqu’une application unique est le lien le plus faible, les acteurs malveillants peuvent accéder aux données et opérations critiques pour l’entreprise.

La sécurité des applications du point de vue du développeur comprend une approche Confiance Zéro : les applications répondent aux principes fondamentaux de Confiance Zéro. En tant que développeur, vous mettez continuellement à jour votre application en tant que paysage des menaces et conseils de sécurité changent.

Prendre en charge les principes de la Confiance Zéro dans votre code

Deux clés de conformité aux principes de Confiance Zéro sont la capacité de votre application à vérifier explicitement et à prendre en charge l’accès au privilège minimum. Votre application doit déléguer la gestion des identités et des accès à Microsoft Entra ID afin qu’elle puisse utiliser des jetons Microsoft Entra. La délégation de la gestion des identités et des accès permet à votre application de prendre en charge les technologies de clients telles que l’authentification multifacteur, l’authentification sans mot de passe et les stratégies d’accès conditionnel.

Grâce à la plateforme d’identité Microsoft et aux technologies prenant en charge la Confiance Zéro, votre application peut utiliser des jetons Microsoft Entra pour s’intégrer à l’ensemble de la suite des technologies de sécurité de Microsoft.

Si votre application exige des mots de passe, vous exposez peut-être vos clients à des risques évitables. Les acteurs malveillants considèrent le passage au travail à partir de n’importe quel emplacement avec n’importe quel appareil comme une opportunité d’accéder aux données d’entreprise en perpétrant des activités telles que les attaques par pulvérisation de mots de passe. Dans une attaque par pulvérisation de mot de passe, les acteurs malveillants essaient un mot de passe prometteur sur un ensemble de comptes d’utilisateur. Par exemple, ils peuvent essayer GoSeaHawks2022 ! par rapport aux comptes d’utilisateur dans la région de Seattle. Ce type d’attaque réussi est une justification pour l’authentification sans mot de passe.

Acquérir des jetons d’accès à partir de Microsoft Entra ID

Au minimum, votre application doit acquérir des jetons d’accès à partir de Microsoft Entra ID qui émet des jetons d’accès OAuth 2.0. Votre application cliente peut utiliser ces jetons pour obtenir un accès limité aux ressources utilisateur via des appels d’API au nom de l’utilisateur. Vous utilisez un jeton d’accès pour appeler chaque API.

Lorsqu’un fournisseur d’identité délégué vérifie l’identité, le service informatique de votre client peut appliquer un accès de privilège minimum avec l’autorisation Microsoft Entra et le consentement. Microsoft Entra ID détermine quand il émet des jetons aux applications.

Lorsque vos clients comprennent les ressources d’entreprise dont votre application a besoin pour accéder, ils peuvent accorder ou refuser correctement les demandes d’accès. Par exemple, si votre application doit accéder à Microsoft SharePoint, documentez cette exigence afin que vous puissiez aider les clients à accorder les autorisations appropriées.

Étapes suivantes

• Méthodologies de développement basées sur des normes fournit une vue d’ensemble des normes prises en charge et de leurs avantages.
• La création d’applications avec une approche Confiance Zéro de l’identité fournit une vue d’ensemble des autorisations et des meilleures pratiques d’accès.
• Personnaliser les jetons décrit les informations que vous pouvez recevoir dans les jetons Microsoft Entra. Découvrez comment personnaliser des jetons et améliorer la flexibilité et le contrôle tout en augmentant la sécurité des applications Confiance Zéro avec des privilèges minimum.
• Types d’identités et de comptes pris en charge pour les applications monolocataires et multilocataires explique comment choisir si votre application autorise uniquement les utilisateurs de votre locataire Microsoft Entra, ceux de n’importe quel locataire Microsoft Entra ou ceux disposant de comptes Microsoft personnels.
• API Protection décrit les meilleures pratiques pour protéger votre API par le biais de l'enregistrement, de la définition des autorisations et du consentement, et de l'application de l'accès pour atteindre vos objectifs de confiance zéro.
• Les meilleures pratiques d’autorisation vous aident à implémenter les modèles d’autorisation, d’autorisation et de consentement les mieux adaptés à vos applications.