App registrations should no longer use secrets
Dlaczego to jest ważne
Sekrety aplikacji, takie jak klucze tajne klienta lub hasła, mogą zostać naruszone, jeśli są przechowywane nieprawidłowo lub ujawnione w repozytoriach kodu. Osoby atakujące, które zdobędą te sekrety, mogą podszywać się pod Twoje aplikacje i uzyskiwać nieautoryzowany dostęp do wrażliwych danych. Przejście na uwierzytelnianie oparte na certyfikatach lub tożsamościach zarządzanych eliminuje to ryzyko poprzez usunięcie długotrwałych, statycznych poświadczeń.
Co sprawdza Aether365
To sprawdzenie skanuje Twoją dzierżawę Microsoft 365 w poszukiwaniu rejestracji aplikacji, które nadal polegają na kluczach tajnych klienta do uwierzytelniania. Pojawia się na pulpicie nawigacyjnym Aether365 w sekcji microsoft-365 checks i wskazuje aplikacje, które należy zaktualizować do bardziej bezpiecznych metod uwierzytelniania.
Jak naprawić
- Zaloguj się do Azure Portal (portal.azure.com) i przejdź do Azure Active Directory > App registrations.
- Wybierz rejestrację aplikacji, która używa sekretów.
- W obszarze Manage kliknij Certificates and secrets.
- Usuń wszystkie istniejące klucze tajne klienta i zamiast tego dodaj certyfikat. Prześlij plik certyfikatu publicznego (.cer) do rejestracji aplikacji.
- Zaktualizuj kod aplikacji, aby uwierzytelniała się za pomocą certyfikatu, a nie sekretu.
- W przypadku aplikacji działających na platformie Azure rozważ użycie tożsamości zarządzanych, aby uniknąć zarządzania jakimikolwiek poświadczeniami.
Zgodność z normami
- CIS Microsoft 365 Foundations Benchmark: Brak bezpośredniego mapowania
- CISA Azure Security Baseline: Odniesienia do najlepszych praktyk rejestracji aplikacji
- EIDSCA: Brak konkretnego mapowania
Powiązane zasoby
- Microsoft Learn: App registration secrets best practices
- Microsoft Learn: Managed identities overview