App registrations should no longer use secrets

Γιατί Είναι Σημαντικό

Τα μυστικά εφαρμογών, όπως τα client secrets ή οι κωδικοί πρόσβασης, μπορεί να παραβιαστούν εάν αποθηκευτούν λανθασμένα ή εκτεθούν σε αποθετήρια κώδικα. Οι επιτιθέμενοι που αποκτούν αυτά τα μυστικά μπορούν να υποδυθούν τις εφαρμογές σας και να αποκτήσουν μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητα δεδομένα. Η μετάβαση σε έλεγχο ταυτότητας βάσει πιστοποιητικού ή σε managed identities εξαλείφει αυτόν τον κίνδυνο, απομακρύνοντας τα μακροχρόνια, στατικά διαπιστευτήρια.

Τι Ελέγχει το Aether365

Αυτός ο έλεγχος σαρώνει τον Microsoft 365 μισθωτή σας για καταχωρήσεις εφαρμογών που εξακολουθούν να βασίζονται σε client secrets για έλεγχο ταυτότητας. Εμφανίζεται στο ταμπλό του Aether365 στην ενότητα ελέγχων microsoft-365 και επισημαίνει εφαρμογές που θα πρέπει να αναβαθμιστούν σε πιο ασφαλείς μεθόδους ελέγχου ταυτότητας.

Πώς να το Διορθώσετε

1. Συνδεθείτε στο Azure portal (portal.azure.com) και μεταβείτε στο Azure Active Directory > App registrations.
2. Επιλέξτε την καταχώρηση εφαρμογής που χρησιμοποιεί μυστικά.
3. Στην ενότητα Manage, κάντε κλικ στα Certificates and secrets.
4. Αφαιρέστε τυχόν υπάρχοντα client secrets και προσθέστε ένα πιστοποιητικό. Ανεβάστε ένα αρχείο δημόσιου πιστοποιητικού (.cer) στην καταχώρηση εφαρμογής.
5. Ενημερώστε τον κώδικα της εφαρμογής ώστε να χρησιμοποιεί το πιστοποιητικό για έλεγχο ταυτότητας, αντί για το μυστικό.
6. Για εφαρμογές που εκτελούνται στο Azure, εξετάστε το ενδεχόμενο χρήσης managed identities για να αποφύγετε τη διαχείριση διαπιστευτηρίων.

Συμμόρφωση

• CIS Microsoft 365 Foundations Benchmark: Δεν υπάρχει άμεση αντιστοίχιση
• CISA Azure Security Baseline: Αναφορές στις βέλτιστες πρακτικές καταχώρησης εφαρμογών
• EIDSCA: Δεν υπάρχει συγκεκριμένη αντιστοίχιση

Σχετικοί Πόροι

• Microsoft Learn: App registration secrets best practices
• Microsoft Learn: Managed identities overview

Microsoft references

• Workload identity federation create trust