App registrations should no longer use secrets
De ce este important
Secretele aplicațiilor, cum ar fi secretele client sau parolele, pot fi compromise dacă sunt stocate necorespunzător sau expuse în depozitele de cod. Atacatorii care obțin aceste secrete se pot da drept aplicațiile dumneavoastră și pot accesa date sensibile fără autorizare. Trecerea la autentificarea bazată pe certificate sau la identități gestionate elimină acest risc prin eliminarea credențialelor statice cu durată lungă de viață.
Ce verifică Aether365
Această verificare scanează entitatea Microsoft 365 pentru înregistrări de aplicații care se bazează în continuare pe secretele client pentru autentificare. Apare în tabloul de bord Aether365 sub secțiunea de verificări microsoft-365 și evidențiază aplicațiile care ar trebui actualizate la metode de autentificare mai sigure.
Cum se remediază
- Conectați-vă la Azure portal (portal.azure.com) și navigați la Azure Active Directory > App registrations.
- Selectați înregistrarea aplicației care utilizează secrete.
- Sub Manage, faceți clic pe Certificates and secrets.
- Eliminați orice secrete client existente și adăugați în schimb un certificat. Încărcați un fișier de certificat public (.cer) la înregistrarea aplicației.
- Actualizați codul aplicației pentru a se autentifica utilizând certificatul, nu secretul.
- Pentru aplicațiile care rulează în Azure, luați în considerare utilizarea identităților gestionate pentru a evita administrarea oricăror credențiale.
Conformitate
- CIS Microsoft 365 Foundations Benchmark: Nu este mapat direct
- CISA Azure Security Baseline: Face referire la cele mai bune practici privind înregistrările aplicațiilor
- EIDSCA: Fără mapare specifică
Resurse conexe
- Microsoft Learn: App registration secrets best practices
- Microsoft Learn: Managed identities overview