Entwickeln auf Basis von Zero Trust-Prinzipien
Dieser Artikel hilft Ihnen als Entwickler, die Leitprinzipien von Zero Trust zu verstehen, damit Sie Ihre Anwendungssicherheit verbessern können. Sie spielen eine wichtige Rolle bei der organisatorischen Sicherheit. Anwendungen und ihre Entwickler können nicht mehr davon ausgehen, dass der Netzwerkperimeter sicher ist. Kompromittierte Anwendungen können sich auf die gesamte Organisation auswirken.
Organisationen stellen neue Sicherheitsmodelle bereit, die sich an komplexe moderne Umgebungen anpassen und die Belegschaft mobil arbeiten lassen. Neue Modelle sind darauf ausgelegt, Personen, Geräte, Anwendungen und Daten zu schützen, unabhängig davon, wo sie sich befinden. Organisationen sind bestrebt, Zero Trust zu erreichen, eine Sicherheitsstrategie und ein Ansatz für das Entwickeln und Implementieren von Anwendungen, die den folgenden Leitprinzipien folgen:
- Explizit verifizieren
- Verwenden des Zugriffs mit den geringsten Rechten
- Von einer Sicherheitsverletzung ausgehen
Anstatt zu glauben, dass alles hinter der Unternehmensfirewall sicher ist, wird beim Zero Trust-Modell standardmäßig von einer Sicherheitsverletzung ausgegangen, und jede Anforderung wird so überprüft, als stamme sie von einem nicht kontrollierten Netzwerk. Unabhängig vom Ursprung der Anforderung oder der Ressource, auf die zugegriffen wird, verlangt das Zero Trust-Modell: nie vertrauen, immer prüfen.
Bedenken Sie jedoch, dass Zero Trust kein Ersatz für Sicherheitsgrundsätze ist. Wenn Arbeit von überall auf beliebigen Geräten ausgeführt werden kann, entwerfen Sie Ihre Anwendungen so, dass sie Zero Trust-Prinzipien während des gesamten Entwicklungszyklus integrieren.
Warum mit einer Zero Trust-Perspektive entwickeln?
- Wir sehen einen Anstieg in der Raffinesse der Angriffe auf die Cybersicherheit.
- Die „Arbeit von überall aus“ hat den Sicherheitsperimeter neu definiert. Auf Daten wird außerhalb des Unternehmensnetzwerks zugegriffen und sie werden mit externen Mitarbeitern wie Partnern und Anbietern geteilt.
- Unternehmensanwendungen und -Daten verlagern sich von lokalen Umgebungen zu hybriden und Cloud-Umgebungen. Herkömmliche Netzwerksteuerungen können nicht mehr für die Sicherheit verwendet werden. Die Kontrollen müssen dorthin verlagert werden, wo sich die Daten befinden: auf Geräten und in Apps.
Die Entwicklungsanleitung in diesem Abschnitt hilft Ihnen, die Sicherheit zu erhöhen, den Strahlradius eines Sicherheitsvorfalls zu verringern und mithilfe der Microsoft-Technologie schnell die Systemwiederherstellung einzuleiten.
Nächste Schritte
Abonnieren Sie unseren RSS-Feed Entwickeln mit Zero Trust-Prinzipien, damit Sie über neue Artikel in Kenntnis gesetzt werden.
Entwicklerhandbuch – Überblick
- Was meinen wir mit Zero Trust Compliance? bietet einen Überblick über die Anwendungssicherheit aus Sicht eines Entwicklers, um die Leitgrundsätze von Zero Trust zu adressieren.
- Verwenden Sie bewährte Methoden der Zero Trust-Identitäts- und Zugriffsverwaltungsentwicklung in Ihrem Anwendungsentwicklungslebenszyklus, um sichere Anwendungen zu erstellen.
- Standardbasierte Entwicklungsmethoden bieten einen Überblick über unterstützte Standards und deren Vorteile.
- Entwickler- und Administratoraufgaben für die Anwendungsregistrierung, Autorisierung und den Zugriff helfen Ihnen, besser mit Ihren IT-Spezialisten zusammenzuarbeiten.
Berechtigungen und Zugriff
- Erstellen von Apps, die die Identität über Berechtigungen und Zustimmung sichern bietet eine Übersicht über Berechtigungen und bewährte Methoden für den Zugriff.
- Integrieren von Anwendungen in Microsoft Entra ID und die Microsoft Identity Platform hilft Entwicklern und Entwicklerinnen, Apps zu erstellen und zu integrieren, die IT-Fachkräfte im Unternehmen sichern können.
- Registrierung von Anwendungen führt Entwickler in den Anwendungsregistrierungsprozess und deren Anforderungen ein. Es hilft ihnen sicherzustellen, dass Apps die Zero Trust-Grundsätze bezüglich der Verwendung des Zugriffs mit den geringsten Rechten erfüllt und von Sicherheitsverletzungen ausgeht.
- Unterstützte Identitäts- und Kontotypen für Einzel- und Mehrinstanzen-Apps erläutern, wie Sie auswählen können, ob Ihre App nur Benutzer aus Ihrem Microsoft Entra-Mandanten, jedem Microsoft Entra-Mandanten oder Benutzer mit persönlichen Microsoft-Konten zulässt.
- Authentifizierung von Benutzern für Zero Trust hilft Entwicklern, bewährte Methoden für die Authentifizierung von Anwendungsbenutzern in der Zero Trust-Anwendungsentwicklung zu erlernen. Es beschreibt, wie Sie die Anwendungssicherheit mit den Zero Trust-Prinzipien der geringsten Berechtigungen verbessern und explizit überprüfen.
- Erwerben der Autorisierung für den Zugriff auf Ressourcen hilft Ihnen zu verstehen, wie Sie beim Abrufen von Ressourcenzugriffsberechtigungen für Ihre Anwendung Zero Trust am besten sicherstellen können.
- Entwickeln einer Strategie mit delegierten Berechtigungen hilft Ihnen, den besten Ansatz für die Verwaltung von Berechtigungen in Ihrer Anwendung zu implementieren und mithilfe von Zero Trust-Prinzipien zu entwickeln.
- Entwickeln einer Strategie für Anwendungsberechtigungen hilft Ihnen bei der Entscheidung über den Ansatz Ihrer Anwendungsberechtigungen für die Verwaltung von Anmeldeinformationen.
- Anfordern von Berechtigungen, die Administratoreinwilligung erfordern beschreibt den Ablauf bei Berechtigungen und Einwilligungen, wenn Administratoreinwilligung für Anwendungsberechtigungen erforderlich ist.
- Reduzieren von übermäßigen Berechtigungen und Apps hilft Ihnen dabei, Berechtigungen zum Verwalten des Zugriffs und zur Verbesserung der Sicherheit zu beschränken.
- Bereitstellen von Anmeldeinformationen für Anwendungsidentitäten ohne Benutzer und Benutzerinnenerläutert, warum verwaltete Identitäten für Azure-Ressourcen als Best Practices für Dienste (Nichtbenutzeranwendungen) gelten.
- Verwalten von Token für Zero Trust hilft Entwicklern, Sicherheit in Anwendungen mit ID-Token, Zugriffstoken und Sicherheitstoken zu erstellen, die sie von der Microsoft Identity Platform erhalten können.
- Anpassen von Token beschreibt die Informationen, die Sie in Microsoft Entra-Token empfangen können, und wie Sie Token anpassen können.
- Sichere Anwendungen mit fortlaufender Zugriffsauswertung helfen Entwicklern, die Anwendungssicherheit mit fortlaufender Zugriffsauswertung zu verbessern. Erfahren Sie, wie Sie die Zero Trust-Unterstützung in Ihren Apps sicherstellen, die die Autorisierung für den Zugriff auf Ressourcen erhalten, wenn sie Zugriffstoken von Microsoft Entra ID erwerben.
- Konfigurieren von Gruppenansprüchen und App-Rollen in Token zeigt, wie Sie Ihre Apps mit App-Rollendefinitionen konfigurieren und Sicherheitsgruppen zuweisen.
- Der API-Schutz beschreibt bewährte Methoden zum Schutz Ihrer API durch Registrierung, Definieren von Berechtigungen und Einwilligung sowie das Durchsetzen der Zugriffskontrolle, um Ihre Zero Trust-Ziele zu erreichen.
- Ein Beispiel für API protected by Microsoft Identity Consent Framework hilft Ihnen, Strategien für die Anwendungsberechtigungen mit geringsten Berechtigungen für die beste Benutzererfahrung zu entwerfen.
- Aufrufen einer API aus einer anderen API hilft Ihnen, Zero Trust sicherzustellen, wenn Sie über eine API verfügen, die eine andere API aufrufen muss. Sie erfahren, wie Sie Ihre Anwendung sicher entwickeln, wenn sie im Auftrag eines Benutzers arbeitet.
- Bewährte Methoden zur Autorisierung helfen Ihnen, die besten Autorisierungs-, Berechtigungs- und Zustimmungsmodelle für Ihre Anwendungen zu implementieren.
Zero Trust DevSecOps
- Sichere DevOps-Umgebungen für Zero Trust beschreibt bewährte Methoden zum Sichern Ihrer DevOps-Umgebungen.
- Sichern der DevOps-Plattformumgebung hilft Ihnen, Zero Trust-Prinzipien in Ihrer DevOps-Plattformumgebung zu implementieren und bewährte Methoden für die geheime und Zertifikatverwaltung hervorzuheben.
- Sichern der Entwicklerumgebung hilft Ihnen, Zero Trust-Prinzipien in Ihren Entwicklungsumgebungen mit bewährten Methoden für geringste Berechtigungen, Verzweigungssicherheit und vertrauenswürdige Tools, Erweiterungen und Integrationen zu implementieren.
- Wenn Sie Zero Trust-Sicherheit in Ihren Entwicklerworkflow einbetten, können Sie schnell und sicher Innovationen einführen.
Weitere Dokumentation zu Zero Trust
Lesen Sie die folgenden Zero Trust-Inhalte basierend auf der Dokumentation oder den Rollen in Ihrer Organisation.
Dokumentationssatz
In der folgenden Tabelle finden Sie die besten Zero Trust-Dokumentationssätze für Ihre Anforderungen.
| Dokumentationssatz | Hilfsfunktion | Rollen |
|---|---|---|
| Adoption Framework für detaillierte Anleitungen für wichtige Geschäftslösungen und -ergebnisse | Anwenden von Zero Trust-Schutzmechanismen aus der C-Suite auf die IT-Implementierung | Sicherheitsarchitekt*innen, IT-Teams und Projektmanager*innen |
| Konzepte und Bereitstellungsziele für einen allgemeinen Bereitstellungsleitfaden für Technologiebereiche | Anwenden von Zero Trust-Schutzmechanismen für Technologiebereiche | IT-Teams und Sicherheitsmitarbeiter*innen |
| Zero Trust für kleine Unternehmen | Anwenden von Zero Trust-Prinzipien auf kleine Unternehmenskund:innen | Kund:innen und Partner:innen, die Microsoft 365 für Unternehmen nutzen |
| Schneller Zero Trust-Modernisierungsplan (Rapid Modernization Plan, RaMP) für Anleitungen und Checklisten in der Projektverwaltung für schnelle Fortschritte | Schnelle Implementierung von wichtigen Zero Trust-Schutzschichten | Sicherheitsarchitekt*innen und IT-Implementierer*innen |
| Zero Trust-Bereitstellungsplan mit Microsoft 365 für einen detaillierten Entwurfs- und Bereitstellungsleitfaden | Anwenden von Zero Trust-Schutzmechanismen auf Ihren Microsoft 365-Mandanten | IT-Teams und Sicherheitsmitarbeiter*innen |
| Zero Trust für Microsoft-Copilots für einen schrittweisen und detaillierten Entwurfs- und Bereitstellungsleitfaden | Anwenden von Zero-Trust-Schutz auf Microsoft-Copilots | IT-Teams und Sicherheitsmitarbeiter*innen |
| Zero Trust-Modell für Azure-Dienste für einen detaillierten Entwurfs- und Bereitstellungsleitfaden | Anwenden von Zero Trust-Schutzmechanismen auf Azure-Workloads und -Dienste | IT-Teams und Sicherheitsmitarbeiter*innen |
| Integration von Zero Trust-Schutzmechanismen in Partnerlösungen für Entwurfsanleitungen für Technologiebereiche und Spezialisierungen | Anwenden von Zero Trust-Schutzmechanismen auf Microsoft-Cloudlösungen von Partnerunternehmen | Entwickler*innen in Partnerunternehmen, IT-Teams und Sicherheitsmitarbeiter*innen |
Ihre Rolle
In der folgenden Tabelle finden Sie die besten Dokumentationssätze für Ihre Rolle in Ihrer Organisation.
| Rolle | Dokumentationssatz | Hilfsfunktion |
|---|---|---|
| Sicherheitsarchitekt*in IT-Projektmanager*in Verantwortlicher für die IT-Implementierung |
Adoption Framework für detaillierte Anleitungen für wichtige Geschäftslösungen und -ergebnisse | Anwenden von Zero Trust-Schutzmechanismen aus der C-Suite auf die IT-Implementierung |
| Mitglied eines IT-Teams oder Sicherheitsteams | Konzepte und Bereitstellungsziele für einen allgemeinen Bereitstellungsleitfaden für Technologiebereiche | Anwenden von Zero Trust-Schutzmechanismen für Technologiebereiche |
| Kund:in oder Partner:in von Microsoft 365 für Unternehmen | Zero Trust für kleine Unternehmen | Anwenden von Zero Trust-Prinzipien auf kleine Unternehmenskund:innen |
| Sicherheitsarchitekt*in Verantwortlicher für die IT-Implementierung |
Schneller Zero Trust-Modernisierungsplan (Rapid Modernization Plan, RaMP) für Anleitungen und Prüflisten in der Projektverwaltung für schnelle Erfolge | Schnelle Implementierung von wichtigen Zero Trust-Schutzschichten |
| Mitglied eines IT-Teams oder Sicherheitsteams für Microsoft 365 | Zero Trust-Bereitstellungsplan mit Microsoft 365 für einen detaillierten Entwurfs- und Bereitstellungsleitfaden für Microsoft 365 | Anwenden von Zero Trust-Schutzmechanismen auf Ihren Microsoft 365-Mandanten |
| Mitglied eines IT-Teams oder Sicherheitsteams für Microsoft Copilot | Zero Trust für Microsoft-Copilots für einen schrittweisen und detaillierten Entwurfs- und Bereitstellungsleitfaden | Anwenden von Zero-Trust-Schutz auf Microsoft-Copilots |
| Mitglied eines IT-Teams oder Sicherheitsteams für Azure-Dienste | Zero Trust-Modell für Azure-Dienste für einen detaillierten Entwurfs- und Bereitstellungsleitfaden | Anwenden von Zero Trust-Schutzmechanismen auf Azure-Workloads und -Dienste |
| Entwickler*in in Partnerunternehmen oder Mitglied eines IT-Teams oder Sicherheitsteams | Integration von Zero Trust-Schutzmechanismen in Partnerlösungen für Entwurfsanleitungen für Technologiebereiche und Spezialisierungen | Anwenden von Zero Trust-Schutzmechanismen auf Microsoft-Cloudlösungen von Partnerunternehmen |