Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel hilft Ihnen als Entwickler, die Leitprinzipien von Zero Trust zu verstehen, damit Sie Ihre Anwendungssicherheit verbessern können. Sie spielen eine wichtige Rolle bei der Unternehmenssicherheit. Anwendungen und ihre Entwickler können nicht mehr davon ausgehen, dass der Netzwerkperimeter sicher ist. Kompromittierte Anwendungen können sich auf die gesamte Organisation auswirken.
Organisationen stellen neue Sicherheitsmodelle bereit, die sich an komplexe moderne Umgebungen anpassen und die mobile Belegschaft nutzen. Neue Modelle schützen Personen, Geräte, Anwendungen und Daten überall dort, wo sie sich befinden. Organisationen sind bestrebt, Zero Trust zu erreichen, eine Sicherheitsstrategie und ein Ansatz für das Entwerfen und Implementieren von Anwendungen, die den folgenden Leitprinzipien folgen:
- Explizit überprüfen
- Verwenden Sie den Zugriff mit den geringsten Rechten
- Annehmen eines Verstoßes
Anstatt zu glauben, dass alles hinter der Unternehmensfirewall sicher ist, wird beim Zero Trust-Modell standardmäßig von einer Sicherheitsverletzung ausgegangen, und jede Anforderung wird so überprüft, als stamme sie von einem nicht kontrollierten Netzwerk. Unabhängig davon, wo die Anforderung stammt oder auf welche Ressource zugegriffen wird, erfordert das Zero Trust-Modell , dass wir niemals vertrauen, immer überprüfen.
Verstehen Sie, dass Zero Trust kein Ersatz für Sicherheitsgrundsätze ist. Da die Arbeit von überall und auf jedem Gerät starten kann, entwerfen Sie Ihre Anwendungen so, dass sie die Zero-Trust-Prinzipien während des gesamten Entwicklungszyklus integrieren.
Warum mit einer Zero Trust-Perspektive entwickeln?
- Wir sehen einen Anstieg der Raffinesse der Cybersicherheitsangriffe.
- Die Arbeit von überall aus hat die Mitarbeiter den Sicherheitsperimeter neu definiert. Auf Daten wird außerhalb des Unternehmensnetzwerks zugegriffen und für externe Mitarbeiter wie Partner und Anbieter freigegeben.
- Unternehmensanwendungen und Daten werden von lokalen zu Hybrid- und Cloudumgebungen verschoben. Herkömmliche Netzwerksteuerelemente können nicht mehr für die Sicherheit verwendet werden. Steuerelemente müssen an die Stelle verschoben werden, an der sich die Daten auf Geräten und in Apps befinden.
Die Entwicklungshilfen in diesem Abschnitt helfen Ihnen, die Sicherheit zu erhöhen, den Strahlradius eines Sicherheitsvorfalls zu verringern und mit der Microsoft-Technologie schnell wiederherzustellen.
Übersicht zum Entwicklerleitfaden
- Was bedeuten wir mit Zero Trust Compliance? bietet einen Überblick über die Anwendungssicherheit aus Sicht eines Entwicklers, um die Leitprinzipien von Zero Trust zu adressieren.
- Verwenden Sie bewährte Methoden der Zero Trust-Identitäts- und Zugriffsverwaltungsentwicklung in Ihrem Anwendungsentwicklungslebenszyklus, um sichere Anwendungen zu erstellen.
- Standardsbasierte Entwicklungsmethoden bieten einen Überblick über unterstützte Standards und deren Vorteile.
- Entwickler- und Administratoraufgaben für die Anwendungsregistrierung, Autorisierung und den Zugriff helfen Ihnen, besser mit Ihren IT-Spezialisten zusammenzuarbeiten.
Berechtigungen und Zugriff
- Erstellen von Apps, die die Identität über Berechtigungen und Zustimmung sichern bietet eine Übersicht über Berechtigungen und bewährte Methoden für den Zugriff.
- Die Integration von Anwendungen mit microsoft Entra ID und der Microsoft Identity Platform hilft Entwicklern, Apps zu erstellen und zu integrieren, die IT-Spezialisten im Unternehmen sichern können.
- Die Registrierung von Anwendungen führt Entwickler in den Anwendungsregistrierungsprozess und deren Anforderungen ein. Es hilft ihnen, sicherzustellen, dass Apps die Zero-Trust-Prinzipien erfüllen, indem sie den Zugriff mit den geringsten Privilegien verwenden und annehmen, dass Sicherheitsverletzungen möglich sind.
- Unterstützte Identitäts- und Kontotypen für Einzel- und Mehrinstanzen-Apps erläutern, wie Sie auswählen können, ob Ihre App nur Benutzer aus Ihrem Microsoft Entra-Mandanten, jedem Microsoft Entra-Mandanten oder Benutzern mit persönlichen Microsoft-Konten zulässt.
- Die Authentifizierung von Benutzern für Zero Trust hilft Entwicklern, bewährte Methoden für die Authentifizierung von Anwendungsbenutzern in der Zero Trust-Anwendungsentwicklung zu erlernen. Es beschreibt, wie Sie die Anwendungssicherheit mit den Zero Trust-Prinzipien der geringsten Berechtigungen verbessern und explizit überprüfen.
- Erwerben der Autorisierung für den Zugriff auf Ressourcen hilft Ihnen zu verstehen, wie Sie beim Abrufen von Ressourcenzugriffsberechtigungen für Ihre Anwendung Zero Trust am besten sicherstellen können.
- Das Entwickeln delegierter Berechtigungen hilft Ihnen, den besten Ansatz zum Verwalten von Berechtigungen in Ihrer Anwendung zu implementieren und mit Zero Trust-Prinzipien zu entwickeln.
- Entwickeln einer Strategie für Anwendungsberechtigungen hilft Ihnen, über Ihre Strategie zur Verwaltung von Anmeldeinformationen nachzudenken.
- Anfordern von Berechtigungen, die eine administratortechnische Zustimmung erfordern, beschreibt die Berechtigungs- und Zustimmungserfahrung, wenn Anwendungsberechtigungen administrative Zustimmung erfordern.
- Verringern Sie überprivilegierte Berechtigungen und Apps , um Berechtigungen zum Verwalten des Zugriffs zu beschränken und die Sicherheit zu verbessern.
- Stellen Sie Anwendungsidentitätsanmeldeinformationen bereit, wenn kein Benutzer vorhanden ist. Dies erläutert die bewährten Methoden bei der Verwendung von verwalteten Identitäten für Azure-Ressourcen in Diensten (nicht-benutzerbezogene Anwendungen).
- Das Verwalten von Token für Zero Trust hilft Entwicklern, Sicherheit in Anwendungen mit ID-Token, Zugriffstoken und Sicherheitstoken zu erstellen, die sie von der Microsoft Identity Platform erhalten können.
- Anpassen von Token beschreibt die Informationen, die Sie in Microsoft Entra-Token empfangen können, und wie Sie Token anpassen können.
- Sichere Anwendungen mit fortlaufender Zugriffsauswertung helfen Entwicklern, die Anwendungssicherheit mit fortlaufender Zugriffsauswertung zu verbessern. Erfahren Sie, wie Sie die Zero Trust-Unterstützung in Ihren Apps sicherstellen, die die Autorisierung für den Zugriff auf Ressourcen erhalten, wenn sie Zugriffstoken von Microsoft Entra ID erwerben.
- Das Konfigurieren von Gruppenansprüchen und App-Rollen in Token zeigt, wie Sie Ihre Apps mit App-Rollendefinitionen konfigurieren und Sicherheitsgruppen zuweisen.
- Der API-Schutz beschreibt bewährte Methoden zum Schutz Ihrer API durch Registrierung, Definieren von Berechtigungen und Einwilligung sowie das Durchsetzen der Zugriffskontrolle, um Ihre Zero Trust-Ziele zu erreichen.
- Ein Beispiel einer API, die durch das Microsoft Identity Consent Framework geschützt ist, hilft Ihnen, Strategien für Anwendungsberechtigungen mit minimalen Berechtigungen zu entwerfen, um die Benutzererfahrung zu optimieren.
- Rufen Sie eine API aus einer anderen API auf, um eine Zero Trust-API sicherzustellen, wenn Sie über eine API verfügen, die eine andere API aufrufen muss. Sie erfahren, wie Sie Ihre Anwendung sicher entwickeln, wenn sie im Auftrag eines Benutzers arbeitet.
- Bewährte Methoden zur Autorisierung helfen Ihnen, die besten Autorisierungs-, Berechtigungs- und Zustimmungsmodelle für Ihre Anwendungen zu implementieren.
Zero Trust DevSecOps
- Secure DevOps-Umgebungen für Zero Trust beschreibt bewährte Methoden zum Sichern Ihrer DevOps-Umgebungen.
- Das Sichern der DevOps-Plattformumgebung hilft Ihnen, Zero Trust-Prinzipien in Ihrer DevOps-Plattformumgebung zu implementieren und bewährte Methoden für die geheime und Zertifikatverwaltung hervorzuheben.
- Die Sicherheit der Entwicklerumgebung hilft Ihnen, Zero Trust-Prinzipien in Ihren Entwicklungsumgebungen mit bewährten Methoden für geringste Berechtigungen, Verzweigungssicherheit und vertrauenswürdige Tools, Erweiterungen und Integrationen zu implementieren.
- Wenn Sie Zero Trust-Sicherheit in Ihren Entwicklerworkflow einbetten , können Sie schnell und sicher innovationen.
Weitere Zero Trust-Dokumentation
Beziehen Sie sich auf die folgenden Zero Trust-Inhalte, basierend auf dem Dokumentationssatz oder den Rollen in Ihrer Organisation.
Dokumentationspaket
In der folgenden Tabelle finden Sie die besten Zero Trust-Dokumentationssätze für Ihre Anforderungen.
| Dokumentationspaket | Hilft Ihnen... | Rollen |
|---|---|---|
| Adoption Framework für Phasen- und Schrittanleitungen zu wichtigen Geschäftslösungen und -ergebnissen | Wenden Sie Zero Trust-Schutz von der C-Suite auf die IT-Implementierung an. | Sicherheitsarchitekten, IT-Teams und Projektmanager |
| Konzepte und Bereitstellungsziele für einen allgemeinen Bereitstellungsleitfaden für Technologiebereiche | Wenden Sie Zero Trust-Schutz an, der an Technologiebereichen ausgerichtet ist. | IT-Teams und Sicherheitsmitarbeiter*innen |
| Zero Trust für kleine Unternehmen | Anwenden von Zero Trust-Prinzipien auf kleine Unternehmenskund:innen | Kund:innen und Partner:innen, die Microsoft 365 für Unternehmen nutzen |
| Zero Trust Rapid Modernization Plan (RaMP) für Projektmanagementanleitungen und Checklisten für leichte Erfolge | Implementieren Sie schnell wichtige Ebenen des Zero Trust-Schutzes. | Sicherheitsarchitekt*innen und IT-Implementierer*innen |
| Zero Trust-Bereitstellungsplan mit Microsoft 365 für schrittweisen und detaillierten Entwurf und Bereitstellungsleitfaden | Wenden Sie Zero Trust-Schutz auf Ihren Microsoft 365-Mandanten an. | IT-Teams und Sicherheitsmitarbeiter*innen |
| Zero Trust für Microsoft Copilots für schrittweise und detaillierte Design- und Bereitstellungsanleitungen | Wenden Sie Zero Trust-Schutz auf Microsoft Copilots an. | IT-Teams und Sicherheitsmitarbeiter*innen |
| Zero Trust für Azure-Dienste: Schrittweise und detaillierte Anleitungen zu Design und Bereitstellung | Wenden Sie Zero Trust-Schutz auf Azure-Workloads und -Dienste an. | IT-Teams und Sicherheitsmitarbeiter*innen |
| Partnerintegration mit Zero Trust für Designanleitungen für Technologiebereiche und Spezialisierungen | Wenden Sie Zero Trust-Schutz auf Partner-Microsoft-Cloudlösungen an. | Partnerentwickler, IT-Teams und Sicherheitsmitarbeiter |
Ihre Rolle
Befolgen Sie diese Tabelle, um die besten Dokumentationssätze für Ihre Rolle in Ihrer Organisation zu ermitteln.
| Rolle | Dokumentationspaket | Hilft Ihnen... |
|---|---|---|
| Sicherheitsarchitekt IT-Projektmanager IT-Implementierer |
Adoption Framework für Phasen- und Schrittanleitungen zu wichtigen Geschäftslösungen und -ergebnissen | Wenden Sie Zero Trust-Schutz von der C-Suite auf die IT-Implementierung an. |
| Mitglied eines IT-Teams oder Sicherheitsteams | Konzepte und Bereitstellungsziele für einen allgemeinen Bereitstellungsleitfaden für Technologiebereiche | Wenden Sie Zero Trust-Schutz an, der an Technologiebereichen ausgerichtet ist. |
| Kund:in oder Partner:in von Microsoft 365 für Unternehmen | Zero Trust für kleine Unternehmen | Anwenden von Zero Trust-Prinzipien auf kleine Unternehmenskund:innen |
| Sicherheitsarchitekt IT-Implementierer |
Zero Trust Rapid Modernization Plan (RaMP) für Projektmanagementanleitungen und Checklisten für leichte Erfolge | Implementieren Sie schnell wichtige Ebenen des Zero Trust-Schutzes. |
| Mitglied eines IT- oder Sicherheitsteams für Microsoft 365 | Zero Trust-Bereitstellungsplan mit Microsoft 365 als stufenweiser und detaillierter Leitfaden für Entwurf und Bereitstellung von Microsoft 365. | Wenden Sie Zero Trust-Schutz auf Ihren Microsoft 365-Mandanten an. |
| Mitglied eines IT- oder Sicherheitsteams für Microsoft Copilots | Zero Trust für Microsoft Copilots für schrittweise und detaillierte Design- und Bereitstellungsanleitungen | Wenden Sie Zero Trust-Schutz auf Microsoft Copilots an. |
| Mitglied eines IT- oder Sicherheitsteams für Azure-Dienste | Zero Trust für Azure-Dienste: Schrittweise und detaillierte Anleitungen zu Design und Bereitstellung | Wenden Sie Zero Trust-Schutz auf Azure-Workloads und -Dienste an. |
| Partnerentwickler oder Mitglied eines IT- oder Sicherheitsteams | Partnerintegration mit Zero Trust für Designanleitungen für Technologiebereiche und Spezialisierungen | Wenden Sie Zero Trust-Schutz auf Partner-Microsoft-Cloudlösungen an. |