Udostępnij za pośrednictwem

Tworzenie i uruchamianie bezpiecznych aplikacji

  • Artykuł

Uwaga

Jest to artykuł 5 z 6 w temacie Tworzenie aplikacji w chmurze firmy Microsoft.

Dobre zabezpieczenia chronią systemy i w związku z tym organizację przed przypadkowymi i zamierzonymi uszkodzeniami. Zapewnia, że tylko odpowiednie osoby mogą uzyskać dostęp do Twoich zasobów i zminimalizować możliwość, że mogą wyrządzić nieumyślne szkody. Ostrzega również przed zagrożeniami, naruszeniami i innymi ważnymi zdarzeniami zabezpieczeń.

W tym artykule omówiono sposoby zabezpieczania systemów przez usługę Microsoft Cloud.

Używanie identyfikatora Entra firmy Microsoft do ujednoliconego rozwiązania do zarządzania tożsamościami i dostępem

W naszym świecie opartym na chmurze pracownicy i klienci mogą uzyskiwać dostęp do niestandardowych aplikacji z wielu urządzeń w wielu różnych lokalizacjach. Udzielanie dostępu odpowiednim osobom z odpowiednimi ograniczeniami zależy zasadniczo od tożsamości. Dobre zabezpieczenia wymagają, aby każdy użytkownik udowodnił swoją tożsamość, zanim będzie mógł uzyskiwać dostęp do systemów i że uzyskuje dostęp tylko do zasobów, których potrzebują do wykonania swojej pracy.

Tworzenie oprogramowania do tego celu jest trudne. Wymaga specjalistów i potrzeba czasu, aby się dobrze, więc na pewno nie chcesz tworzyć własnych. Tak samo ważne, tożsamość powinna być tak prosta, jak to możliwe, zarówno dla użytkowników, jak i deweloperów. W idealnym przypadku chcesz uzyskać jednolity sposób zarządzania tożsamościami w całym środowisku.

To właśnie chmura firmy Microsoft udostępnia identyfikator Entra firmy Microsoft, największą na świecie usługę tożsamości w chmurze. Jeśli twoja organizacja używa obecnie dowolnych składników chmury firmy Microsoft, takich jak Azure, Power Platform, Microsoft 365 lub Dynamics 365, używasz już identyfikatora Microsoft Entra. Jest ona używana w całej chmurze firmy Microsoft, zapewniając użytkownikom jedną tożsamość dla wszystkich jej składników.

Aplikacje niestandardowe utworzone w chmurze firmy Microsoft powinny również używać identyfikatora Microsoft Entra. Rysunek 9 przedstawia sposób wyszukiwania przykładowej aplikacji.

Diagram przedstawiający usługi azure A D B 2 C i Azure A D zapewniające usługi tożsamości zarówno dla aplikacji klientów, jak i aplikacji pracowników.

Rysunek 9. Microsoft Entra ID i Azure Active Directory B2C udostępniają wspólną usługę tożsamości dla aplikacji opartych na chmurze firmy Microsoft.

Jak pokazano na rysunku, aplikacje niestandardowe mogą używać dwóch powiązanych usług tożsamości:

  • Microsoft Entra ID, który udostępnia tożsamości w chmurze firmy Microsoft. Pracownicy, którzy uzyskują dostęp do aplikacji niestandardowych, zazwyczaj używają identyfikatora Entra do logowania się i ustanawiania tożsamości używanej do uzyskiwania dostępu do wszystkich usług w chmurze firmy Microsoft.
  • Microsoft Entra ID B2C, który zapewnia tożsamości dla użytkowników zewnętrznych. Ta usługa umożliwia klientom tworzenie własnych kont lub używanie istniejących kont publicznych od firmy Microsoft, Google, Facebooka i innych.

Korzystanie z identyfikatora Entra firmy Microsoft dla tożsamości przynosi kilka korzyści:

  • Posiadanie tej samej tożsamości w całej chmurze firmy Microsoft ułatwia zarówno deweloperom, jak i użytkownikom aplikacji. W przykładzie przedstawionym na rysunku 9 pracownik może rozpocząć od zalogowania się do środowiska Microsoft Entra ID organizacji znanego jako dzierżawa. Po wykonaniu tej czynności mogą oni uzyskać dostęp do składnika aplikacji dostępnego dla pracowników, który został utworzony przy użyciu usługi Power Apps. Ta aplikacja może wywoływać usługi Azure API Management, Dynamics 365 i Microsoft Graph przy użyciu tej samej tożsamości, więc pracownik nie musi się ponownie zalogować.
  • Deweloperzy mogą używać Platforma tożsamości Microsoft w tworzonych aplikacjach. Biblioteki i narzędzia do zarządzania ułatwiają deweloperom tworzenie aplikacji korzystających z tożsamości z identyfikatora Entra firmy Microsoft i w innych miejscach. Aby to zrobić, Platforma tożsamości Microsoft implementuje standardy branżowe, takie jak OAuth 2.0 i OpenID Connect.
  • Korzystanie z identyfikatora Entra firmy Microsoft i Platforma tożsamości Microsoft zapewnia kontrolę nad sposobem korzystania z tożsamości. Można na przykład włączyć obsługę uwierzytelniania wieloskładnikowego w wielu aplikacjach utworzonych przy użyciu Platforma tożsamości Microsoft, zmieniając jedno ustawienie. Microsoft Entra ID integruje się również z narzędziami zabezpieczeń firmy Microsoft do monitorowania zagrożeń i ataków opartych na tożsamościach.

Uzyskiwanie prawa do zarządzania tożsamościami i dostępem jest podstawową częścią zapewnienia bezpieczeństwa. Tworzenie aplikacji w chmurze firmy Microsoft przy użyciu identyfikatora Entra firmy Microsoft ułatwia osiągnięcie tego celu.

Monitorowanie zabezpieczeń aplikacji i zarządzanie nimi za pomocą usługi Microsoft Sentinel

Obecnie wszyscy tworzący aplikacje powinni założyć, że ich oprogramowanie jest celem atakujących. Biorąc pod uwagę to, twoja organizacja musi stale monitorować zabezpieczenia aplikacji i środowiska, w których działają, oraz zarządzać nimi. Chmura firmy Microsoft udostępnia kilka narzędzi do tego celu.

Jednym z najważniejszych z nich jest usługa Microsoft Sentinel. Usługa Microsoft Sentinel zapewnia zarządzanie informacjami i zdarzeniami zabezpieczeń (SIEM), umożliwiając przechwytywanie i analizowanie szerokiej gamy danych związanych z zabezpieczeniami. Może również reagować automatycznie na zagrożenia, zapewniając aranżację zabezpieczeń, automatyzację i reagowanie (SOAR). Usługa Microsoft Sentinel może pomóc organizacji w efektywniejszym znalezieniu i rozwiązaniu problemów z zabezpieczeniami.

Szeroki zasięg usługi Microsoft Sentinel obejmuje chmurę firmy Microsoft i poza nią za pośrednictwem dużego zestawu łączników. Te łączniki umożliwiają usłudze Microsoft Sentinel interakcję z wieloma innymi usługami i technologiami. Jednym z najważniejszych z nich są narzędzia usługi Microsoft Defender, w tym:

  • Microsoft Defender dla Chmury, co pomaga organizacji zrozumieć i poprawić bezpieczeństwo aplikacji platformy Azure. Może również chronić określone usługi w chmurze, takie jak Azure Storage.
  • Usługa Microsoft 365 Defender, która udostępnia składniki, takie jak:
    • Ochrona usługi Office 365 w usłudze Microsoft Defender, który chroni program Exchange i inne aspekty usługi Office 365.
    • Usługa Microsoft Defender for Identity, która monitoruje usługę Active Directory w celu wykrywania tożsamości z naruszonymi zabezpieczeniami i innych zagrożeń.
    • Microsoft Defender dla Chmury Apps, która działa jako broker zabezpieczeń dostępu do chmury między użytkownikami w organizacji i używanymi przez nich zasobami w chmurze. Pomaga lepiej zrozumieć, które aplikacje są używane, zarówno w chmurze firmy Microsoft, jak i w innych miejscach oraz kto z nich korzysta.

Usługa Microsoft Sentinel może również importować dzienniki inspekcji usługi Office 365, dzienniki aktywności platformy Azure i inne istotne informacje dotyczące zabezpieczeń w chmurze firmy Microsoft. Usługa Microsoft Sentinel może również uzyskiwać dostęp do informacji związanych z zabezpieczeniami z wielu innych źródeł udostępnianych przez zróżnicowany zestaw dostawców. Po połączeniu usługi Microsoft Sentinel ze źródłami informacji możesz analizować dane, aby zrozumieć zdarzenia zabezpieczeń i reagować na nie.

Zabezpieczenia nie są prostym tematem. W związku z tym firma Microsoft udostępnia usługę Microsoft Sentinel i inne oferty zabezpieczeń do rozwiązania tego obszaru. Wszystkie te technologie współpracują ze sobą, aby zwiększyć bezpieczeństwo aplikacji działających w chmurze firmy Microsoft.

Następne kroki

Zapoznaj się z podsumowaniem tworzenia aplikacji w chmurze firmy Microsoft i dowiedz się, jak dowiedzieć się więcej o sukcesie jako lider w zakresie tworzenia aplikacji dla przedsiębiorstw.

6. Podsumowanie