Toepassingen migreren die niet op geheim gebaseerde verificatie zijn
Toepassingen die clientgeheimen gebruiken, kunnen deze opslaan in configuratiebestanden, ze in scripts hardcoderen of hun blootstelling op andere manieren riskeren. Geheimenbeheercomplexiteiten maken geheimen vatbaar voor lekken en aantrekkelijk voor aanvallers. Clientgeheimen, wanneer ze worden blootgesteld, bieden aanvallers legitieme referenties om hun activiteiten te combineren met legitieme bewerkingen, waardoor het eenvoudiger is om beveiligingscontroles te omzeilen. Als een aanvaller inbreuk heeft op het clientgeheim van een toepassing, kunnen ze hun bevoegdheden binnen het systeem escaleren, wat leidt tot bredere toegang en controle, afhankelijk van de machtigingen van de toepassing. Het vervangen van een gecompromitteerd certificaat kan ongelooflijk tijdrovend en verstorend zijn. Om deze redenen raadt Microsoft aan dat al onze klanten wachtwoorden of verificatie op basis van certificaten naar tokenverificatie verplaatsen.
In dit artikel vindt u informatiebronnen en aanbevolen procedures om u te helpen uw toepassingen te migreren van geheime verificatie naar veiligere en gebruiksvriendelijkere verificatiemethoden.
Waarom toepassingen migreren die niet op geheim gebaseerde verificatie zijn?
Het migreren van toepassingen weg van verificatie op basis van geheimen biedt verschillende voordelen:
Verbeterde beveiliging: verificatie op basis van geheimen is vatbaar voor lekken en aanvallen. Door te migreren naar veiligere verificatiemethoden, zoals beheerde identiteiten, kunt u de beveiliging verbeteren.
Verminderde complexiteit: het beheren van geheimen kan complex en foutgevoelig zijn. Migreren naar veiligere verificatiemethoden kan helpen de complexiteit te verminderen en de beveiliging te verbeteren.
schaalbaarheid: door te migreren naar veiligere verificatiemethoden kunt u uw toepassingen veilig schalen.
compliance-: door te migreren naar veiligere verificatiemethoden kunt u voldoen aan de nalevingsvereisten en aanbevolen beveiligingsprocedures.
"Hoe toepassingen weg te migreren van op geheim gebaseerde authenticatie"
Als u toepassingen wilt migreren die niet op geheim gebaseerde verificatie zijn, moet u de volgende aanbevolen procedures overwegen:
Beheerde identiteiten gebruiken voor Azure-resources
Beheerde identiteiten zijn een veilige manier om toepassingen te verifiëren bij cloudservices zonder referenties te hoeven beheren of referenties in uw code te hebben. Azure-services gebruiken deze identiteit om te verifiëren bij services die ondersteuning bieden voor Microsoft Entra-verificatie. Zie Een beheerde identiteit toegang toewijzen aan een toepassingsrolvoor meer informatie.
Voor toepassingen die op korte termijn niet kunnen worden gemigreerd, roteert u het geheim en zorgt u ervoor dat ze veilige procedures gebruiken, zoals het gebruik van Azure Key Vault. Met Azure Key Vault kunt u cryptografische sleutels en geheimen beveiligen die worden gebruikt door cloudtoepassingen en -services. Sleutels, geheimen en certificaten worden beveiligd zonder dat u de code zelf hoeft te schrijven en u kunt ze eenvoudig gebruiken vanuit uw toepassingen. Zie Azure Key Vault-voor meer informatie.
Beleid voor conditionele toegang toepassen voor workload-identiteiten
Met voorwaardelijke toegang voor workloadidentiteiten kunt u service-principals blokkeren van buiten bekende openbare IP-bereiken, op basis van het risico dat is gedetecteerd door Microsoft Entra ID Protection of in combinatie met verificatiecontexten. Zie voorwaardelijke toegang voor workloadidentiteitenvoor meer informatie.
Belangrijk
Premium-licenties voor workloadidentiteiten zijn vereist voor het maken of wijzigen van beleidsregels voor voorwaardelijke toegang die zijn gericht op service-principals. In mappen zonder de juiste licenties blijven bestaande beleidsregels voor voorwaardelijke toegang voor workloadidentiteiten functioneren, maar kunnen ze niet worden gewijzigd. Zie Microsoft Entra Workload IDvoor meer informatie.
Geheim scannen implementeren
De geheimenscan van uw repository controleert op geheimen die mogelijk al bestaan in de geschiedenis van uw broncode, en pushbeveiliging voorkomt dat nieuwe geheimen in de broncode terechtkomen. Voor meer informatie, zie Scannen van geheimen.
Beleid voor toepassingsverificatie implementeren om veilige verificatieprocedures af te dwingen
Met beleidsregels voor toepassingsbeheer kunnen IT-beheerders aanbevolen procedures afdwingen voor de manier waarop apps in hun organisaties moeten worden geconfigureerd. Een beheerder kan bijvoorbeeld een beleid configureren om het gebruik te blokkeren of de levensduur van wachtwoordgeheimen te beperken. Voor meer informatie, zie het API-overzicht van het Microsoft Entra Application Management-beleid.
Belangrijk
Premium-licenties zijn vereist voor het implementeren van toepassingsauthenticatiebeleid; voor meer informatie, zie Microsoft Entra-licenties.
Federatieve identiteit gebruiken voor serviceaccounts
Met identiteitsfederatie hebt u toegang tot met Microsoft Entra beveiligde resources zonder dat u geheimen (voor ondersteunde scenario's) hoeft te beheren door een vertrouwensrelatie te maken tussen een externe id-provider (IdP) en een app in Microsoft Entra ID door een federatieve identiteitsreferentie te configureren. Zie Overzicht van federatieve identiteitsreferenties in Microsoft Entra IDvoor meer informatie.
Een aangepaste rol met uiterst minimale bevoegdheden maken voor het roteren van toepassingsreferenties
Met Microsoft Entra-rollen kunt u gedetailleerde machtigingen verlenen aan uw beheerders, afhankelijk van het principe van minimale bevoegdheden. Er kan een aangepaste rol worden gemaakt om toepassingsreferenties te roteren, zodat alleen de benodigde machtigingen worden verleend om de taak te voltooien. Zie Een aangepaste rol maken in Microsoft Entra IDvoor meer informatie.
Zorg ervoor dat u een proces hebt voor het classificeren en bewaken van toepassingen
Dit proces moet bestaan uit regelmatige beveiligingsevaluaties, scannen van beveiligingsproblemen en procedures voor het reageren op incidenten. Bewustzijn van de beveiligingsstatus van uw toepassingen is essentieel voor het onderhouden van een veilige omgeving.