Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Anwendungen, die geheime Clientschlüssel verwenden, speichern sie möglicherweise in Konfigurationsdateien, hartcodieren sie in Skripts oder riskieren ihre Gefährdung auf andere Weise. Geheime Verwaltungskomplexe machen Geheimgeheimnisse anfällig für Lecks und attraktiv für Angreifer. Wenn geheime Clientschlüssel offengelegt werden, erhalten Angreifer legitime Anmeldeinformationen, um ihre Aktivitäten mit legitimen Vorgängen zu verschmelzen, wodurch es einfacher wird, Sicherheitskontrollen zu umgehen. Wenn ein Angreifer den geheimen Clientschlüssel einer Anwendung kompromittiert, kann er seine Berechtigungen innerhalb des Systems eskalieren, was je nach den Berechtigungen der Anwendung zu einem umfassenderen Zugriff und zur Kontrolle führt. Das Ersetzen eines kompromittierten Zertifikats kann unglaublich zeitaufwendig und störend sein. Aus diesen Gründen empfiehlt Microsoft, dass alle Kunden von der kennwort- oder zertifikatbasierten Authentifizierung zur tokenbasierten Authentifizierung wechseln.
In diesem Artikel werden Ressourcen und bewährte Methoden hervorgehoben, mit denen Sie Ihre Anwendungen von der geheimen Authentifizierung zu sichereren und benutzerfreundlicheren Authentifizierungsmethoden migrieren können.
Warum Anwendungen von einer geheimnisbasierten Authentifizierung wegmigrieren?
Das Migrieren von Anwendungen außerhalb der geheimen Authentifizierung bietet mehrere Vorteile:
Verbesserte Sicherheit: Die geheime Authentifizierung ist anfällig für Lecks und Angriffe. Die Migration zu sichereren Authentifizierungsmethoden wie verwalteten Identitäten verbessert die Sicherheit.
Reduzierte Komplexität: Das Verwalten von Geheimnissen kann komplex und fehleranfällig sein. Die Migration zu sichereren Authentifizierungsmethoden reduziert die Komplexität und verbessert die Sicherheit.
Skalierbarkeit: Durch die Migration zu sichereren Authentifizierungsmethoden können Sie Ihre Anwendungen sicher skalieren.
Compliance: Durch die Migration zu sichereren Authentifizierungsmethoden können Sie Complianceanforderungen und bewährte Methoden für die Sicherheit erfüllen.
Bewährte Methoden zum Migrieren von Anwendungen außerhalb der geheimen Authentifizierung
Um Anwendungen aus der geheimen Authentifizierung zu migrieren, sollten Sie die folgenden bewährten Methoden berücksichtigen:
Verwenden verwalteter Identitäten für Azure-Ressourcen
Verwaltete Identitäten sind eine sichere Möglichkeit, Anwendungen bei Clouddiensten zu authentifizieren, ohne Anmeldeinformationen zu verwalten oder Anmeldeinformationen in Ihrem Code zu besitzen. Azure-Dienste verwenden diese Identität, um sich bei Diensten zu authentifizieren, die die Microsoft Entra-Authentifizierung unterstützen. Weitere Informationen finden Sie unter Zuweisung eines verwalteten Identitätszugriffs zu einer Anwendungsrolle.
Für Anwendungen, die kurzfristig nicht migriert werden können, drehen Sie den geheimen Schlüssel, und stellen Sie sicher, dass sie sichere Methoden wie die Verwendung von Azure Key Vault verwenden. Azure Key Vault hilft Ihnen, kryptografische Schlüssel und geheime Schlüssel zu schützen, die von Cloudanwendungen und -diensten verwendet werden. Schlüssel, geheime Schlüssel und Zertifikate sind geschützt, ohne dass Sie den Code selbst schreiben müssen, und Sie können sie ganz einfach aus Ihren Anwendungen verwenden. Weitere Informationen finden Sie unter Azure Key Vault.
Bereitstellen von Richtlinien für bedingten Zugriff für Workloadidentitäten
Mit bedingtem Zugriff für Workloadidentitäten können Sie Dienstprinzipale außerhalb bekannter öffentlicher IP-Bereiche blockieren, basierend auf dem von Microsoft Entra Protection erkannten Risiko oder in Kombination mit Authentifizierungskontexten. Weitere Informationen finden Sie unter Conditional Access für Workloadidentitäten.
Wichtig
Premium-Lizenzen für Workloadidentitäten sind erforderlich, um Richtlinien für bedingten Zugriff zu erstellen oder zu ändern, die auf Dienstprinzipale beschränkt sind. In Verzeichnissen ohne entsprechende Lizenzen funktionieren vorhandene Richtlinien für den bedingten Zugriff für Workloadidentitäten weiterhin, können aber nicht geändert werden. Weitere Informationen finden Sie unter Microsoft Entra Workload ID.
Implementieren der Prüfung auf Geheimnisse
Die Überprüfung auf Geheimnisse Ihres Repositorys sucht nach Geheimnissen, die möglicherweise bereits im Quellcode in der gesamten Historie vorhanden sind, und der Pushschutz verhindert, dass neue Geheimnisse im Quellcode aufgedeckt werden. Weitere Informationen finden Sie unter Prüfung auf Geheimnisse.
Bereitstellen von Richtlinien für die Anwendungsauthentifizierung zum Erzwingen sicherer Authentifizierungsmethoden
Mithilfe von Anwendungsverwaltungsrichtlinien können IT-Administratoren bewährte Methoden für die Konfiguration von Apps in ihren Organisationen erzwingen. Beispielsweise kann ein Administrator eine Richtlinie konfigurieren, um die Verwendung zu blockieren oder die Lebensdauer von geheimen Kennwortschlüsseln zu begrenzen. Weitere Informationen finden Sie im Lernprogramm: Erzwingen von geheimen und Zertifikatstandards mithilfe von Anwendungsverwaltungsrichtlinien und der API-Übersicht über die Microsoft Entra-Anwendungsverwaltungsrichtlinien.
Wichtig
Premium-Lizenzen sind erforderlich, um die Verwaltung von Richtlinien zur Anwendungsauthentifizierung zu implementieren; weitere Informationen finden Sie unter Microsoft Entra-Lizenzierung.
Verwenden der Verbundidentität für Dienstkonten
Ein Identitätsverbund ermöglicht Ihnen den Zugriff auf geschützte Microsoft Entra-Ressourcen, ohne dass Sie Geheimnisse verwalten müssen (für unterstützte Szenarien), indem Sie eine Vertrauensbeziehung zwischen einem externen Identitätsanbieter (IdP) und einer App in Microsoft Entra ID herstellen, indem Sie Anmeldeinformationen für eine Verbundidentität konfigurieren. Weitere Informationen finden Sie unter Übersicht über die Anmeldeinformationen für Verbundidentitäten in Microsoft Entra ID.
Erstellen einer benutzerdefinierte Rolle mit den geringsten Berechtigungen, um Anmeldeinformationen für Anwendungen zu rotieren.
Mit Microsoft Entra-Rollen können Sie Ihren Administratoren präzise Berechtigungen erteilen, wobei das Prinzip der geringsten Rechte eingehalten wird. Es kann eine benutzerdefinierte Rolle erstellt werden, um die Anmeldeinformationen für Anwendungen zu rotieren und sicherzustellen, dass nur die erforderlichen Berechtigungen erteilt werden, um die Aufgabe abzuschließen. Weitere Informationen finden Sie unter Erstellen einer benutzerdefinierten Rolle in Microsoft Entra ID.
Stellen Sie sicher, dass Sie über einen Prozess zum Triagen und Überwachen von Anwendungen verfügen
Dieser Prozess sollte regelmäßige Sicherheitsbewertungen, Sicherheitsrisikoüberprüfungen und Verfahren zur Reaktion auf Vorfälle umfassen. Das Bewusstsein für den Sicherheitsstatus Ihrer Anwendungen ist für die Aufrechterhaltung einer sicheren Umgebung unerlässlich.