Opracowywanie przy użyciu zasad zero trust
Ten artykuł ułatwia deweloperom zrozumienie wytycznych dotyczących modelu Zero Trust w celu zwiększenia bezpieczeństwa aplikacji. Odgrywasz kluczową rolę w zabezpieczeniach organizacji; aplikacje i ich deweloperzy nie mogą już zakładać, że obwód sieci jest bezpieczny. Naruszone aplikacje mogą mieć wpływ na całą organizację.
Organizacje wdrażają nowe modele zabezpieczeń, które dostosowują się do złożonych nowoczesnych środowisk i korzystają z pracowników mobilnych. Nowe modele są przeznaczone do ochrony osób, urządzeń, aplikacji i danych wszędzie tam, gdzie się znajdują. Organizacje starają się osiągnąć zero trust, strategię zabezpieczeń i podejście do projektowania i implementowania aplikacji, które są zgodne z następującymi zasadami przewodnimi:
- Jawną weryfikację
- Korzystanie z dostępu z najmniejszymi uprawnieniami
- Zakładanie naruszeń zabezpieczeń
Zamiast wierzyć, że wszystko za zaporą firmową jest bezpieczne, model Zero Trust zakłada naruszenie i weryfikuje każde żądanie tak, jakby pochodziło z niekontrolowanych sieci. Niezależnie od tego, skąd pochodzi żądanie lub jakiego zasobu uzyskuje dostęp, model Zero Trust wymaga od nas "nigdy zaufania, zawsze weryfikowania".
Dowiedz się, że zero trust nie zastępuje podstaw zabezpieczeń. Dzięki pracy pochodzącej z dowolnego miejsca na dowolnym urządzeniu zaprojektuj aplikacje tak, aby uwzględniały zasady zero trustu w całym cyklu programowania.
Dlaczego warto rozwijać się z perspektywą zero trust?
- Widzimy wzrost poziomu wyrafinowania ataków cyberbezpieczeństwa.
- "Praca z dowolnego miejsca" pracowników ponownie zdefiniowała obwód zabezpieczeń. Dane są dostępne poza siecią firmową i udostępniane zewnętrznym współpracownikom, takim jak partnerzy i dostawcy.
- Aplikacje i dane firmowe są przenoszone ze środowisk lokalnych do środowisk hybrydowych i w chmurze. Tradycyjne mechanizmy kontroli sieci nie mogą już polegać na zabezpieczeniach. Kontrolki muszą przejść do miejsca, w którym znajdują się dane: na urządzeniach i w aplikacjach.
Wskazówki dotyczące programowania w tej sekcji pomagają zwiększyć bezpieczeństwo, zmniejszyć promień wybuchu zdarzenia zabezpieczeń i szybko odzyskać przy użyciu technologii firmy Microsoft.
Następne kroki
Zasubskrybuj nasz kanał informacyjny RSS dotyczący programowania przy użyciu zasad zero trust, aby otrzymywać powiadomienia o nowych artykułach.
Omówienie wskazówek dla deweloperów
- Co oznacza zgodność z zerowym zaufaniem? Zawiera omówienie zabezpieczeń aplikacji z perspektywy dewelopera w celu rozwiązania wytycznych dotyczących zerowego zaufania.
- Użyj najlepszych rozwiązań dotyczących tworzenia tożsamości zero trust i zarządzania dostępem w cyklu tworzenia aplikacji, aby utworzyć bezpieczne aplikacje.
- Metodologie opracowywania oparte na standardach to omówienie obsługiwanych standardów i ich korzyści.
- Obowiązki deweloperów i administratorów dotyczące rejestracji aplikacji, autoryzacji i dostępu ułatwiają współpracę z informatykami.
Uprawnienia i dostęp
- Tworzenie aplikacji, które zabezpieczają tożsamość za pomocą uprawnień i zgody , zawiera omówienie uprawnień i najlepszych rozwiązań dotyczących dostępu.
- Integrowanie aplikacji z identyfikatorem Entra firmy Microsoft i Platforma tożsamości Microsoft ułatwia deweloperom tworzenie i integrowanie aplikacji, które specjalista IT może zabezpieczyć w przedsiębiorstwie.
- Rejestrowanie aplikacji wprowadza deweloperów do procesu rejestracji aplikacji i jej wymagań. Pomaga im to zapewnić, że aplikacje spełniają zasady zerowego zaufania dotyczące korzystania z najmniej uprzywilejowanego dostępu i zakładają naruszenie.
- Obsługiwane typy tożsamości i kont dla aplikacji z jedną i wieloma dzierżawami wyjaśniają, jak można wybrać, czy aplikacja zezwala tylko użytkownikom z dzierżawy Microsoft Entra, dowolnej dzierżawy firmy Microsoft lub użytkowników z osobistymi kontami Microsoft.
- Uwierzytelnianie użytkowników w usłudze Zero Trust pomaga deweloperom poznać najlepsze rozwiązania dotyczące uwierzytelniania użytkowników aplikacji w tworzeniu aplikacji Zero Trust. W tym artykule opisano, jak zwiększyć bezpieczeństwo aplikacji przy użyciu zasad zerowego zaufania dotyczących najniższych uprawnień i jawnie zweryfikować.
- Uzyskiwanie autoryzacji dostępu do zasobów pomaga zrozumieć, jak najlepiej zapewnić zero trust podczas uzyskiwania uprawnień dostępu do zasobów dla aplikacji.
- Opracowywanie strategii uprawnień delegowanych ułatwia zaimplementowanie najlepszego podejścia do zarządzania uprawnieniami w aplikacji i opracowywania przy użyciu zasad zero trust.
- Opracowywanie strategii uprawnień aplikacji ułatwia podjęcie decyzji o podejściu uprawnień aplikacji do zarządzania poświadczeniami.
- Żądanie uprawnień wymagających zgody administracyjnej opisuje środowisko uprawnień i zgody, gdy uprawnienia aplikacji wymagają zgody administracyjnej.
- Zmniejszenie uprawnień i aplikacji nadmiernie uprzywilejowanych pomaga ograniczyć uprawnienia do zarządzania dostępem i poprawiania zabezpieczeń.
- Podaj poświadczenia tożsamości aplikacji, gdy żaden użytkownik nie wyjaśnia tożsamości zarządzanych dla najlepszych rozwiązań dotyczących zasobów platformy Azure dla usług (aplikacji nieużytkowników).
- Zarządzanie tokenami dla usługi Zero Trust ułatwia deweloperom tworzenie zabezpieczeń w aplikacjach przy użyciu tokenów identyfikatorów, tokenów dostępu i tokenów zabezpieczających, które mogą odbierać z Platforma tożsamości Microsoft.
- Dostosowywanie tokenów opisuje informacje, które można otrzymywać w tokenach firmy Microsoft Entra i jak można dostosować tokeny.
- Zabezpieczanie aplikacji za pomocą oceny ciągłego dostępu pomaga deweloperom w ulepszaniu zabezpieczeń aplikacji dzięki ciągłej ocenie dostępu. Dowiedz się, jak zapewnić obsługę usługi Zero Trust w aplikacjach, które otrzymują autoryzację dostępu do zasobów podczas uzyskiwania tokenów dostępu z identyfikatora Entra firmy Microsoft.
- Konfigurowanie oświadczeń grup i ról aplikacji w tokenach pokazuje, jak skonfigurować aplikacje przy użyciu definicji ról aplikacji i przypisać grupy zabezpieczeń.
- Usługa API Protection opisuje najlepsze rozwiązania dotyczące ochrony interfejsu API za pośrednictwem rejestracji, definiowania uprawnień i zgody oraz wymuszania dostępu w celu osiągnięcia celów zero trust.
- Przykład interfejsu API chronionego przez platformę wyrażania zgody na tożsamość firmy Microsoft ułatwia projektowanie strategii uprawnień aplikacji o najniższych uprawnieniach w celu uzyskania najlepszego środowiska użytkownika.
- Wywołanie interfejsu API z innego interfejsu API pomaga zapewnić zero trust, gdy masz jeden interfejs API, który musi wywoływać inny interfejs API. Dowiesz się, jak bezpiecznie opracowywać aplikację, gdy działa ona w imieniu użytkownika.
- Najlepsze rozwiązania dotyczące autoryzacji pomagają zaimplementować najlepsze modele autoryzacji, uprawnień i zgody dla aplikacji.
DevSecOps z zerowym zaufaniem
- W artykule Secure DevOps environments for Zero Trust opisano najlepsze rozwiązania dotyczące zabezpieczania środowisk DevOps.
- Zabezpieczanie środowiska platformy DevOps pomaga zaimplementować zasady Zero Trust w środowisku platformy DevOps i wyróżnia najlepsze rozwiązania dotyczące zarządzania wpisami tajnymi i certyfikatami.
- Zabezpieczanie środowiska deweloperskiego pomaga zaimplementować zasady Zero Trust w środowiskach deweloperskich z najlepszymi rozwiązaniami dotyczącymi najniższych uprawnień, zabezpieczeń gałęzi i narzędzi, rozszerzeń i integracji zaufania.
- Osadzanie zabezpieczeń Zero Trust w przepływie pracy dla deweloperów ułatwia szybkie i bezpieczne wprowadzanie innowacji.
Więcej dokumentacji zero trust
Odwołaj się do następującej zawartości Zero Trust opartej na zestawie dokumentacji lub rolach w organizacji.
Zestaw dokumentacji
Postępuj zgodnie z tą tabelą, aby uzyskać najlepsze zestawy dokumentacji zero trust dla Twoich potrzeb.
| Zestaw dokumentacji | Pomaga... | Role |
|---|---|---|
| Struktura wdrażania dla fazy i wskazówek kroków dotyczących kluczowych rozwiązań biznesowych i wyników | Zastosuj ochronę zero trust z pakietu C-suite do implementacji IT. | Architekci zabezpieczeń, zespoły IT i menedżerowie projektów |
| Pojęcia i cele wdrażania dla ogólnych wskazówek dotyczących wdrażania obszarów technologicznych | Zastosuj ochronę Zero Trust zgodną z obszarami technologii. | Zespoły IT i pracownicy ds. zabezpieczeń |
| Zero Trust dla małych firm | Stosowanie zasad Zero Trust do klientów małych firm. | Klienci i partnerzy pracujący z platformą Microsoft 365 dla firm |
| Plan szybkiej modernizacji Zero Trust (RaMP) na potrzeby wskazówek i list kontrolnych dotyczących zarządzania projektami w celu uzyskania łatwych zwycięstw | Szybko zaimplementuj kluczowe warstwy ochrony zerowej zaufania. | Architekci zabezpieczeń i implementatorzy IT |
| Plan wdrożenia Zero Trust z platformą Microsoft 365 dla krokowych i szczegółowych wskazówek dotyczących projektowania i wdrażania | Zastosuj ochronę Zero Trust do dzierżawy platformy Microsoft 365. | Zespoły IT i pracownicy ds. zabezpieczeń |
| Zero Trust for Microsoft Copilots for Stepd and detailed design and deployment guidance (Zero Trust for Microsoft Copilots — szczegółowe wskazówki dotyczące projektowania i wdrażania) | Zastosuj ochronę zero trust do microsoft copilots. | Zespoły IT i pracownicy ds. zabezpieczeń |
| Zero Trust dla usług platformy Azure w celu uzyskania szczegółowych wskazówek dotyczących projektowania i wdrażania | Zastosuj ochronę Zero Trust do obciążeń i usług platformy Azure. | Zespoły IT i pracownicy ds. zabezpieczeń |
| Integracja partnerów z usługą Zero Trust w celu uzyskania wskazówek dotyczących projektowania obszarów technologii i specjalizacji | Stosowanie zabezpieczeń Zero Trust do rozwiązań w chmurze firmy Microsoft partnerów. | Deweloperzy partnerów, zespoły IT i pracownicy ds. zabezpieczeń |
Twoja rola
Postępuj zgodnie z tą tabelą, aby uzyskać najlepsze zestawy dokumentacji dla Twojej roli w organizacji.
| Rola | Zestaw dokumentacji | Pomaga... |
|---|---|---|
| Architekt zabezpieczeń Menedżer projektu IT Implementator IT |
Struktura wdrażania dla fazy i wskazówek kroków dotyczących kluczowych rozwiązań biznesowych i wyników | Zastosuj ochronę zero trust z pakietu C-suite do implementacji IT. |
| Członek zespołu IT lub zespołu ds. zabezpieczeń | Pojęcia i cele wdrażania dla ogólnych wskazówek dotyczących wdrażania obszarów technologicznych | Zastosuj ochronę Zero Trust zgodną z obszarami technologii. |
| Klient lub partner platformy Microsoft 365 dla firm | Zero Trust dla małych firm | Stosowanie zasad Zero Trust do klientów małych firm. |
| Architekt zabezpieczeń Implementator IT |
Plan szybkiej modernizacji Zero Trust (RaMP) na potrzeby wskazówek i list kontrolnych dotyczących zarządzania projektami w celu uzyskania łatwych zwycięstw | Szybko zaimplementuj kluczowe warstwy ochrony zerowej zaufania. |
| Członek zespołu IT lub zespołu ds. zabezpieczeń dla platformy Microsoft 365 | Plan wdrożenia Zero Trust z platformą Microsoft 365 dla krokowych i szczegółowych wskazówek dotyczących projektowania i wdrażania platformy Microsoft 365 | Zastosuj ochronę Zero Trust do dzierżawy platformy Microsoft 365. |
| Członek zespołu IT lub zespołu ds. zabezpieczeń firmy Microsoft Copilots | Zero Trust for Microsoft Copilots for Stepd and detailed design and deployment guidance (Zero Trust for Microsoft Copilots — szczegółowe wskazówki dotyczące projektowania i wdrażania) | Zastosuj ochronę zero trust do microsoft copilots. |
| Członek zespołu IT lub zespołu ds. zabezpieczeń dla usług platformy Azure | Zero Trust dla usług platformy Azure w celu uzyskania szczegółowych wskazówek dotyczących projektowania i wdrażania | Zastosuj ochronę Zero Trust do obciążeń i usług platformy Azure. |
| Partner developer lub członek zespołu IT lub ds. zabezpieczeń | Integracja partnerów z usługą Zero Trust w celu uzyskania wskazówek dotyczących projektowania obszarów technologii i specjalizacji | Stosowanie zabezpieczeń Zero Trust do rozwiązań w chmurze firmy Microsoft partnerów. |