Migre aplicativos para longe da autenticação baseada em segredo
Os aplicativos que usam segredos de cliente podem armazená-los em arquivos de configuração, codificá-los em scripts ou arriscar sua exposição de outras maneiras. As complexidades de gerenciamento secreto tornam os segredos suscetíveis a vazamentos e atraentes para os invasores. Os segredos do cliente, quando expostos, fornecem aos atacantes credenciais legítimas para misturar suas atividades com operações legítimas, tornando mais fácil contornar os controles de segurança. Se um invasor comprometer o segredo do cliente de um aplicativo, ele poderá escalar seus privilégios dentro do sistema, levando a um acesso e controle mais amplos, dependendo das permissões do aplicativo. A substituição de um certificado comprometido pode ser incrivelmente demorada e perturbadora. Por esses motivos, a Microsoft recomenda que todos os nossos clientes mudem a autenticação baseada em senha ou certificado para a autenticação baseada em token.
Neste artigo, destacaremos recursos e práticas recomendadas para ajudá-lo a migrar seus aplicativos da autenticação baseada em segredo para métodos de autenticação mais seguros e fáceis de usar.
Por que migrar aplicações da autenticação baseada em segredos?
A migração de aplicações da autenticação baseada em segredo oferece diversos benefícios.
Segurança aprimorada: A autenticação baseada em segredos é suscetível a vazamentos e ataques. A migração para métodos de autenticação mais seguros, como identidades gerenciadas, pode ajudar a melhorar a segurança.
Complexidade reduzida: Gerenciar segredos pode ser complexo e propenso a erros. A migração para métodos de autenticação mais seguros pode ajudar a reduzir a complexidade e melhorar a segurança.
de escalabilidade: A migração para métodos de autenticação mais seguros pode ajudá-lo a escalar os seus aplicativos com segurança.
Conformidade: Migrar para métodos de autenticação mais seguros pode ajudá-lo a atender aos requisitos de conformidade e às boas práticas de segurança.
Como migrar aplicativos da autenticação baseada em segredo
Para migrar aplicativos da autenticação baseada em segredo, considere as seguintes práticas recomendadas:
Usar identidades gerenciadas para recursos do Azure
As identidades gerenciadas são uma maneira segura de autenticar aplicativos em serviços de nuvem sem a necessidade de gerenciar credenciais ou ter credenciais em seu código. Os serviços do Azure usam essa identidade para autenticar em serviços que dão suporte à autenticação do Microsoft Entra. Para saber mais, consulte Atribuir um acesso de identidade gerenciado a uma função de aplicativo.
Para aplicações que não podem ser migradas a curto prazo, altere periodicamente o segredo e garanta que elas usem práticas seguras, como utilizar o Azure Key Vault. O Azure Key Vault ajuda-o a proteger chaves criptográficas e segredos utilizados por aplicações e serviços na nuvem. Chaves, segredos e certificados são protegidos sem que você precise escrever o código sozinho, e você pode usá-los facilmente de seus aplicativos. Para saber mais, consulte Azure Key Vault.
Implantar políticas de Acesso Condicional para identidades de carga de trabalho
O Acesso Condicional para identidades de carga de trabalho permite bloquear entidades de serviço fora de intervalos de IP públicos conhecidos, com base no risco detetado pela Proteção de ID do Microsoft Entra ou em combinação com contextos de autenticação. Para saber mais, consulte Acesso condicional para identidades de carga de trabalho.
Importante
As licenças Workload Identities Premium são necessárias para criar ou modificar políticas de Acesso Condicional que abrangem entidades de serviço. Em diretórios sem licenças apropriadas, as políticas de Acesso Condicional existentes para identidades de carga de trabalho continuarão a funcionar, mas não poderão ser modificadas. Para obter mais informações, consulte ID de carga de trabalho do Microsoft Entra.
Implementar verificação secreta
A verificação secreta do repositório verifica se há segredos que já existam no código-fonte ao longo do histórico e a proteção por push impede que novos segredos sejam expostos no código-fonte. Para saber mais, consulte Análise secreta.
Implantar políticas de autenticação de aplicativos para impor práticas de autenticação seguras
As políticas de gerenciamento de aplicativos permitem que os administradores de TI apliquem as práticas recomendadas para como os aplicativos em suas organizações devem ser configurados. Por exemplo, um administrador pode configurar uma política para bloquear o uso ou limitar o tempo de vida dos segredos de senha. Para saber mais, consulte Visão geral da API de políticas de gerenciamento de aplicativos do Microsoft Entra.
Importante
Licenças Premium são necessárias para gerir a implementação de políticas de autenticação de aplicativos. Para mais informações, consulte o licenciamento do Microsoft Entra.
Usar identidade federada para contas de serviço
A federação de identidades permite que você acesse recursos protegidos do Microsoft Entra sem a necessidade de gerenciar segredos (para cenários com suporte) criando uma relação de confiança entre um provedor de identidade externo (IdP) e um aplicativo no Microsoft Entra ID configurando uma credencial de identidade federada. Para saber mais, consulte Visão geral das credenciais de identidade federada no Microsoft Entra ID.
Criar uma função personalizada com privilégios mínimos para alternar as credenciais do aplicativo
As funções do Microsoft Entra permitem que você conceda permissões granulares aos seus administradores, respeitando o princípio do menor privilégio. Uma função personalizada pode ser criada para rodar as credenciais de autenticação, garantindo que apenas as permissões necessárias sejam concedidas para realizar a tarefa. Para saber mais, consulte Criar uma função personalizada no Microsoft Entra ID.
Certifique-se de ter um processo para triagem e monitoramento de aplicativos
Este processo deve incluir avaliações de segurança regulares, análise de vulnerabilidades e procedimentos de resposta a incidentes. A consciência da postura de segurança de seus aplicativos é essencial para manter um ambiente seguro.