Dieser Artikel hilft Ihnen als Entwickler, die Leitprinzipien von Zero Trust zu verstehen, damit Sie Ihre Anwendungssicherheit verbessern können. Sie spielen eine wichtige Rolle bei der organisatorischen Sicherheit. Anwendungen und ihre Entwickler können nicht mehr davon ausgehen, dass der Netzwerkperimeter sicher ist. Kompromittierte Anwendungen können sich auf die gesamte Organisation auswirken.
Organisationen stellen neue Sicherheitsmodelle bereit, die sich an komplexe moderne Umgebungen anpassen und die Belegschaft mobil arbeiten lassen. Neue Modelle sind darauf ausgelegt, Personen, Geräte, Anwendungen und Daten zu schützen, unabhängig davon, wo sie sich befinden. Organisationen sind bestrebt, Zero Trust zu erreichen, eine Sicherheitsstrategie und ein Ansatz für das Entwickeln und Implementieren von Anwendungen, die den folgenden Leitprinzipien folgen:
Explizit verifizieren
Verwenden des Zugriffs mit den geringsten Rechten
Von einer Sicherheitsverletzung ausgehen
Anstatt zu glauben, dass alles hinter der Unternehmensfirewall sicher ist, wird beim Zero Trust-Modell standardmäßig von einer Sicherheitsverletzung ausgegangen, und jede Anforderung wird so überprüft, als stamme sie von einem nicht kontrollierten Netzwerk. Unabhängig vom Ursprung der Anforderung oder der Ressource, auf die zugegriffen wird, verlangt das Zero Trust-Modell: nie vertrauen, immer prüfen.
Bedenken Sie jedoch, dass Zero Trust kein Ersatz für Sicherheitsgrundsätze ist. Wenn Arbeit von überall auf beliebigen Geräten ausgeführt werden kann, entwerfen Sie Ihre Anwendungen so, dass sie Zero Trust-Prinzipien während des gesamten Entwicklungszyklus integrieren.
Warum mit einer Zero Trust-Perspektive entwickeln?
Wir sehen einen Anstieg in der Raffinesse der Angriffe auf die Cybersicherheit.
Die „Arbeit von überall aus“ hat den Sicherheitsperimeter neu definiert. Auf Daten wird außerhalb des Unternehmensnetzwerks zugegriffen und sie werden mit externen Mitarbeitern wie Partnern und Anbietern geteilt.
Unternehmensanwendungen und -Daten verlagern sich von lokalen Umgebungen zu hybriden und Cloud-Umgebungen. Herkömmliche Netzwerksteuerungen können nicht mehr für die Sicherheit verwendet werden. Die Kontrollen müssen dorthin verlagert werden, wo sich die Daten befinden: auf Geräten und in Apps.
Die Entwicklungsanleitung in diesem Abschnitt hilft Ihnen, die Sicherheit zu erhöhen, den Strahlradius eines Sicherheitsvorfalls zu verringern und mithilfe der Microsoft-Technologie schnell die Systemwiederherstellung einzuleiten.
Nächste Schritte
Abonnieren Sie unseren RSS-Feed Entwickeln mit Zero Trust-Prinzipien, damit Sie über neue Artikel in Kenntnis gesetzt werden.
Entwicklerhandbuch – Überblick
Was meinen wir mit Zero Trust Compliance? bietet einen Überblick über die Anwendungssicherheit aus Sicht eines Entwicklers, um die Leitgrundsätze von Zero Trust zu adressieren.
Registrierung von Anwendungen führt Entwickler in den Anwendungsregistrierungsprozess und deren Anforderungen ein. Es hilft ihnen sicherzustellen, dass Apps die Zero Trust-Grundsätze bezüglich der Verwendung des Zugriffs mit den geringsten Rechten erfüllt und von Sicherheitsverletzungen ausgeht.
Authentifizierung von Benutzern für Zero Trust hilft Entwicklern, bewährte Methoden für die Authentifizierung von Anwendungsbenutzern in der Zero Trust-Anwendungsentwicklung zu erlernen. Es beschreibt, wie Sie die Anwendungssicherheit mit den Zero Trust-Prinzipien der geringsten Berechtigungen verbessern und explizit überprüfen.
Verwalten von Token für Zero Trust hilft Entwicklern, Sicherheit in Anwendungen mit ID-Token, Zugriffstoken und Sicherheitstoken zu erstellen, die sie von der Microsoft Identity Platform erhalten können.
Anpassen von Token beschreibt die Informationen, die Sie in Microsoft Entra-Token empfangen können, und wie Sie Token anpassen können.
Sichere Anwendungen mit fortlaufender Zugriffsauswertung helfen Entwicklern, die Anwendungssicherheit mit fortlaufender Zugriffsauswertung zu verbessern. Erfahren Sie, wie Sie die Zero Trust-Unterstützung in Ihren Apps sicherstellen, die die Autorisierung für den Zugriff auf Ressourcen erhalten, wenn sie Zugriffstoken von Microsoft Entra ID erwerben.
Der API-Schutz beschreibt bewährte Methoden zum Schutz Ihrer API durch Registrierung, Definieren von Berechtigungen und Einwilligung sowie das Durchsetzen der Zugriffskontrolle, um Ihre Zero Trust-Ziele zu erreichen.
Aufrufen einer API aus einer anderen API hilft Ihnen, Zero Trust sicherzustellen, wenn Sie über eine API verfügen, die eine andere API aufrufen muss. Sie erfahren, wie Sie Ihre Anwendung sicher entwickeln, wenn sie im Auftrag eines Benutzers arbeitet.
Bewährte Methoden zur Autorisierung helfen Ihnen, die besten Autorisierungs-, Berechtigungs- und Zustimmungsmodelle für Ihre Anwendungen zu implementieren.
Sichern der DevOps-Plattformumgebung hilft Ihnen, Zero Trust-Prinzipien in Ihrer DevOps-Plattformumgebung zu implementieren und bewährte Methoden für die geheime und Zertifikatverwaltung hervorzuheben.
Sichern der Entwicklerumgebung hilft Ihnen, Zero Trust-Prinzipien in Ihren Entwicklungsumgebungen mit bewährten Methoden für geringste Berechtigungen, Verzweigungssicherheit und vertrauenswürdige Tools, Erweiterungen und Integrationen zu implementieren.
Zero Trust ist kein Produkt oder Tool, sondern eine wesentliche Sicherheitsstrategie, die darauf abzielt, jede Transaktion kontinuierlich zu überprüfen, den Zugriff mit den geringsten Rechten zu gewährleisten und davon auszugehen, dass jede Transaktion ein möglicher Angriff sein könnte. Durch die Module in diesem Lernpfad erhalten Sie ein Verständnis von Zero Trust und wie es auf Identität, Endpunkte, Anwendungen, Netzwerke, Infrastruktur und Daten angewendet wird.
Veranschaulichen der Features von Microsoft Entra ID, um Identitätslösungen zu modernisieren sowie Hybridlösungen und Identitätsgovernance zu implementieren