Delen via


Best practices voor identiteits- en toegangsbeheer van Zero Trust

Dit artikel helpt u, als ontwikkelaar, om inzicht te krijgen in aanbevolen procedures voor identiteits- en toegangsbeheer voor de levenscyclus van uw toepassingsontwikkeling. U begint met het ontwikkelen van veilige, Zero Trust-compatibele toepassingen met identiteits- en toegangsbeheer (IAM).

Het Zero Trust-beveiligingsframework maakt gebruik van de principes van expliciete verificatie, minst bevoegde toegang en ervan uitgaande dat er inbreuk wordt gemaakt. Beveilig gebruikers en gegevens terwijl veelvoorkomende scenario's zoals toegang tot toepassingen buiten de netwerkperimeter mogelijk zijn. Verminder de afhankelijkheid van impliciete vertrouwensrelatie tot interacties achter een beveiligde netwerkperimeter die kwetsbaar kan worden voor beveiligingsaanvallen.

Hoewel de implementatie van Zero Trust zich blijft ontwikkelen, is het traject van elke organisatie uniek en begint vaak met gebruikers- en toepassingsidentiteit. Hier volgen beleidsregels en besturingselementen die veel organisaties prioriteren wanneer ze Zero Trust implementeren:

  1. Implementeer referentiecontroles en rotatiebeleid voor apps en services. Wanneer aanvallers geheimen zoals certificaten of wachtwoorden in gevaar hebben, kunnen ze toegang krijgen tot het systeem om tokens te verkrijgen onder het mom van de identiteit van een app. Vervolgens hebben ze toegang tot gevoelige gegevens, verplaatsen ze zich lateraal en stellen ze persistentie vast.
  2. Implementatie van sterke verificatie. IT-beheerders configureren beleidsregels die meervoudige verificatie en wachtwoordloze FIDO2-apparaten vereisen.
  3. Beperk gebruikerstoestemming voor apps met beperkte risico's voor geverifieerde uitgevers-apps. Met toegang tot gegevens in API's zoals Microsoft Graph kunt u uitgebreide toepassingen bouwen. Organisaties en klanten evalueren de machtigingsaanvragen en betrouwbaarheid van uw app voordat ze toestemming geven. IT-beheerders omarmen het principe van verificatie expliciet door verificatie van uitgevers te vereisen. Ze passen het principe van minimale bevoegdheden toe door alleen gebruikerstoestemming toe te staan voor machtigingen met een laag risico.
  4. Verouderde protocollen en API's blokkeren. IT-beheerders blokkeren oudere verificatieprotocollen zoals Basisverificatie en vereisen moderne protocollen zoals OpenID Verbinding maken en OAuth2.

Vertrouwde, op standaarden gebaseerde verificatiebibliotheken gebruiken

Ontwikkel uw toepassing met bekende en geaccepteerde standaarden en bibliotheken om de draagbaarheid en beveiliging van toepassingen te vergroten. Vertrouwde, op standaarden gebaseerde verificatiebibliotheken blijven up-to-date, zodat uw apps reageren op de nieuwste technologieën en bedreigingen. Op standaarden gebaseerde ontwikkelingsmethodologieën biedt een overzicht van ondersteunde standaarden en hun voordelen.

In plaats van protocollen te gebruiken met bekende beveiligingsproblemen en uitgebreide documentatie, ontwikkelt u uw toepassing met bibliotheken zoals Microsoft Authentication Library (MSAL), Microsoft Identity Web Authentication Library en Azure Software Developer Kits (SDK). Met MSAL en Software Developer Kits (SDK) kunt u deze functies gebruiken zonder dat u extra code hoeft te schrijven:

  • Voorwaardelijke toegang
  • Apparaatregistratie en -beheer
  • Verificatie zonder wachtwoord en FIDO2

MSAL en Microsoft Graph zijn uw beste keuzes voor het ontwikkelen van Microsoft Entra-toepassingen. MSAL-ontwikkelaars zorgen voor naleving van protocollen. Microsoft optimaliseert MSAL voor efficiëntie bij het rechtstreeks werken met Microsoft Entra-id.

Uw apps registreren in Microsoft Entra-id

Volg de aanbevolen beveiligingsprocedures voor toepassingseigenschappen in Microsoft Entra ID. Toepassingsregistratie in Microsoft Entra-id is essentieel omdat onjuiste configuratie of verval in de hygiëne van uw toepassing kan leiden tot downtime of inbreuk.

Toepassingseigenschappen die de beveiliging verbeteren, zijn omleidings-URI, toegangstokens (nooit gebruiken met impliciete stromen), certificaten en geheimen, de URI van de toepassings-id en het eigendom van de toepassing. Voer periodieke beveiligings- en statusbeoordelingen uit die vergelijkbaar zijn met evaluaties van beveiligingsrisicomodellen voor code.

Identiteits- en toegangsbeheer delegeren

Ontwikkel uw toepassing om tokens te gebruiken voor expliciete identiteitsverificatie en toegangsbeheer die uw klanten definiëren en beheren. Microsoft adviseert u om uw eigen systemen voor gebruikersnaam- en wachtwoordbeheer te ontwikkelen.

Bewaar uw referenties uit uw code, zodat IT-beheerders referenties kunnen roteren zonder uw app uit te voeren of opnieuw te implementeren. Gebruik een service zoals Azure Key Vault of Azure Managed Identities om IAM te delegeren.

Plannen en ontwerpen voor toegang met minimale bevoegdheden

Een belangrijk principe van Zero Trust is toegang met minimale bevoegdheden. Ontwikkel en documenteer uw toepassing voldoende, zodat uw klanten beleid voor minimale bevoegdheden kunnen configureren. Bij het ondersteunen van tokens en API's geeft u uw klanten goede documentatie over resources die door uw toepassing worden aangeroepen.

Geef altijd de minimale bevoegdheid op die uw gebruiker nodig heeft om specifieke taken uit te voeren. Gebruik bijvoorbeeld gedetailleerde bereiken in Microsoft Graph.

Verken bereiken in Graph Explorer om een API aan te roepen en de vereiste machtigingen te onderzoeken. Ze worden weergegeven in volgorde van laagste tot hoogste bevoegdheid. Het kiezen van de laagst mogelijke bevoegdheden zorgt ervoor dat uw toepassing minder kwetsbaar is voor aanvallen.

Volg de richtlijnen in De beveiliging verbeteren met het principe van minimale bevoegdheden om de kwetsbaarheid voor aanvallen van uw toepassingen te verminderen en de straal van beveiligingsschending zou moeten worden aangetast.

Tokens veilig beheren

Wanneer uw toepassing tokens van Microsoft Entra-id aanvraagt, beheert u deze veilig:

  • Controleer of ze correct zijn afgestemd op uw toepassing.
  • Plaats ze op de juiste manier in de cache.
  • Gebruik ze zoals bedoeld.
  • Problemen met tokens afhandelen door te controleren op foutklassen en de juiste antwoorden te coderen.
  • In plaats van toegangstokens rechtstreeks te lezen, bekijkt u de bereiken en details in tokenantwoorden.

Ondersteuning voor continue toegangsevaluatie (CAE)

Met continue toegangsevaluatie (CAE) kan Microsoft Graph snel toegang weigeren als reactie op beveiligingsgebeurtenissen. Voorbeelden hiervan zijn deze activiteiten voor tenantbeheerders:

  • Een gebruikersaccount verwijderen of uitschakelen.
  • Meervoudige verificatie (MFA) inschakelen voor een gebruiker.
  • Expliciet de uitgegeven tokens van een gebruiker intrekken.
  • Het detecteren van een gebruiker die overgaat naar de status met een hoog risico.

Wanneer u CAE ondersteunt, zijn tokens die problemen met Microsoft Entra ID voor het aanroepen van Microsoft Graph 24 uur geldig zijn in plaats van de standaard 60 tot 90 minuten. CAE voegt tolerantie toe aan uw app door MSAL in staat te stellen het token proactief te vernieuwen voordat het token verloopt.

App-rollen definiëren voor IT om toe te wijzen aan gebruikers en groepen

Met app-rollen kunt u op rollen gebaseerd toegangsbeheer implementeren in uw toepassingen. Veelvoorkomende voorbeelden van app-rollen zijn Beheer istrator, Lezer en Inzender. Met op rollen gebaseerd toegangsbeheer kan uw toepassing gevoelige acties beperken tot gebruikers of groepen op basis van hun gedefinieerde rollen.

Een geverifieerde uitgever worden

Als geverifieerde uitgever verifieert u uw identiteit met uw Microsoft Partner Network-account en hebt u het tot stand gebrachte verificatieproces voltooid. Ontwikkelaars van multitenant-apps kunnen als geverifieerde uitgever vertrouwen opbouwen met IT-beheerders in tenants van klanten.

Volgende stappen