Eseguire la migrazione delle applicazioni dall'autenticazione basata su segreto
Le applicazioni che usano segreti dei client possono archiviarli in file di configurazione, inserirli direttamente in script o rischiarne l'esposizione in altri modi. Le complessità della gestione dei segreti rendono i segreti suscettibili a perdite e attraenti per gli attaccanti. I segreti client, quando esposti, forniscono agli utenti malintenzionati credenziali legittime per combinare le proprie attività con operazioni legittime, semplificando il bypass dei controlli di sicurezza. Se un utente malintenzionato compromette il segreto client di un'applicazione, può aumentare i propri privilegi all'interno del sistema, ottenendo un accesso e un controllo maggiori, in base alle autorizzazioni dell'applicazione. La sostituzione di un certificato compromesso può richiedere molto tempo e interruzioni. Per questi motivi, Microsoft raccomanda a tutti i clienti di abbandonare l'autenticazione basata su password o certificati per passare all'autenticazione basata su token.
In questo articolo evidenzieremo le risorse e le migliori pratiche per facilitare la migrazione delle applicazioni dall'autenticazione basata su segreti a metodi di autenticazione più sicuri e facili da usare.
Perché eseguire la migrazione delle applicazioni dall'autenticazione basata su segreto?
La migrazione di applicazioni lontano dall'autenticazione basata su segreto offre diversi vantaggi:
Sicurezza migliorata: l'autenticazione basata su segreto è soggetta a fughe e attacchi. La migrazione a metodi di autenticazione più sicuri, ad esempio le identità gestite, può contribuire a migliorare la sicurezza.
riduzione della complessità: la gestione dei segreti può essere complessa e soggetta a errori. La migrazione a metodi di autenticazione più sicuri può contribuire a ridurre la complessità e migliorare la sicurezza.
scalabilità: la migrazione a metodi di autenticazione più sicuri consente di ridimensionare le applicazioni in modo sicuro.
Compliance: la migrazione a metodi di autenticazione più sicuri consente di soddisfare i requisiti di conformità e le procedure consigliate per la sicurezza.
Come eseguire la migrazione di applicazioni dall'autenticazione basata su segreto
Per eseguire la migrazione di applicazioni dall'autenticazione basata su segreto, prendere in considerazione le procedure consigliate seguenti:
Usare le identità gestite per le risorse di Azure
Le identità gestite sono un modo sicuro per autenticare le applicazioni nei servizi cloud senza dover gestire le credenziali o avere le credenziali nel codice. I servizi di Azure usano questa identità per eseguire l'autenticazione ai servizi che supportano l'autenticazione di Microsoft Entra. Per ulteriori informazioni, vedere Assegnare a un'identità gestita l'accesso a un ruolo dell'applicazione.
Per le applicazioni di cui non è possibile eseguire la migrazione a breve termine, aggiornare il segreto e assicurarsi di usare procedure sicure come l'uso di Azure Key Vault. Azure Key Vault consente di proteggere chiavi crittografiche e segreti usati da applicazioni e servizi cloud. Chiavi, segreti e certificati sono protetti senza dover scrivere manualmente il codice ed è possibile usarli facilmente dalle applicazioni. Per altre informazioni, vedere Azure Key Vault.
Distribuire criteri di accesso condizionale per le identità del carico di lavoro
L'accesso condizionale per le identità del carico di lavoro consente di bloccare le entità servizio dall'esterno di intervalli IP pubblici noti, in base al rischio rilevato da Microsoft Entra ID Protection o in combinazione con i contesti di autenticazione. Per ulteriori informazioni, vedere Accesso condizionale per le identità dei carichi di lavoro.
Importante
Per creare o modificare i criteri di Accesso Condizionale per gli ambiti degli enti servizio, sono necessarie le licenze Premium delle identità di carico di lavoro. Nelle directory prive di licenze appropriate, le politiche di accesso condizionale esistenti per le identità di carico di lavoro continueranno a funzionare, ma non potranno essere modificate. Per altre informazioni, vedere ID per carichi di lavoro di Microsoft Entra.
Implementare l'analisi dei segreti
L'analisi dei segreti per il repository verifica la presenza di segreti già presenti nel codice sorgente nella cronologia e la protezione push impedisce l'esposizione di nuovi segreti nel codice sorgente. Per ulteriori informazioni, vedere Analisi dei segreti.
Distribuire i criteri di autenticazione delle applicazioni per applicare procedure di autenticazione sicure
I criteri di gestione delle applicazioni consentono agli amministratori IT di applicare le procedure consigliate per la configurazione delle app nelle organizzazioni. Ad esempio, un amministratore potrebbe configurare un criterio per bloccare l'uso o limitare la durata dei segreti delle password. Per altre informazioni, vedere Panoramica dell'API dei criteri di gestione delle applicazioni di Microsoft Entra.
Importante
Sono necessarie licenze Premium per implementare la gestione dei criteri di autenticazione delle applicazioni; per ulteriori informazioni, vedere licenze di Microsoft Entra.
Usare l'identità federata per gli account di servizio
La federazione delle identità consente di accedere alle risorse protette di Microsoft Entra senza dover gestire i segreti (per scenari supportati) creando una relazione di trust tra un provider di identità esterno (IdP) e un'app in Microsoft Entra ID configurando una credenziale di identità federata. Per altre informazioni, vedere Panoramica delle credenziali di identità federate in Microsoft Entra ID.
Creare un ruolo personalizzato con privilegi minimi per ruotare le credenziali dell'applicazione
I ruoli di Microsoft Entra consentono di concedere autorizzazioni granulari agli amministratori, rispettando il principio dei privilegi minimi. È possibile creare un ruolo personalizzato per ruotare le credenziali dell'applicazione, assicurandosi che vengano concesse solo le autorizzazioni necessarie per completare l'attività. Per altre informazioni, vedere Creare un ruolo personalizzato in Microsoft Entra ID.
Assicurarsi di disporre di un processo per valutare e monitorare le applicazioni
Questo processo deve includere valutazioni regolari della sicurezza, analisi delle vulnerabilità e procedure di risposta agli eventi imprevisti. La consapevolezza del comportamento di sicurezza delle applicazioni è essenziale per mantenere un ambiente sicuro.