Desarrollo mediante los principios de confianza cero
Este artículo le ayuda a comprender, como desarrollador, los principios rectores de confianza cero que le permiten mejorar la seguridad de las aplicaciones. Usted desempeña un papel clave en la seguridad de la organización; las aplicaciones y sus desarrolladores ya no pueden dar por hecho que el perímetro de red es seguro. Las aplicaciones en peligro pueden afectar a toda la organización.
Las organizaciones implementan nuevos modelos de seguridad que se adaptan a entornos modernos complejos e incluyen a los recursos móviles. Los nuevos modelos están diseñados para proteger a personas, dispositivos, aplicaciones y datos dondequiera que se encuentren. Las organizaciones se esfuerzan por alcanzar el objetivo de confianza cero, una estrategia de seguridad y un enfoque para diseñar e implementar aplicaciones que sigan estos principios rectores:
- Comprobación explícita
- Uso del acceso con privilegios mínimos
- Asunción de que hay brechas
En lugar de creer que todo lo que se encuentra detrás del firewall corporativo es seguro, el modelo de confianza cero presupone que hay brechas y, por consiguiente, comprueba todas las solicitudes como si provinieran de una red no controlada. Independientemente del lugar en el que se origine la solicitud o del recurso al que acceda, el modelo de confianza cero le obliga a "no confiar nunca, a realizar siempre todas las comprobaciones pertinentes".
Comprenda que el concepto de confianza cero no es un reemplazo de los aspectos básicos de seguridad. Teniendo en cuenta que el trabajo se origina desde cualquier lugar y en cualquier dispositivo, diseñe aplicaciones para incorporar principios de confianza cero a lo largo de todo el ciclo de desarrollo.
¿Por qué desarrollar con una perspectiva de confianza cero?
- Vemos un aumento en el nivel de sofisticación de los ataques de ciberseguridad.
- El personal de "trabajo desde cualquier lugar" redefinió el perímetro de seguridad. Se accede a los datos fuera de la red corporativa y se comparten con colaboradores externos, como asociados y proveedores.
- Las aplicaciones y los datos corporativos se están moviendo desde los entornos locales hasta los entornos híbridos y de nube. Los controles de red tradicionales ya no son totalmente fiables para la seguridad. Los controles deben moverse a donde están los datos: en los dispositivos y dentro de las aplicaciones.
La guía de desarrollo de esta sección le ayuda a aumentar la seguridad, reducir el radio de explosión de un incidente de seguridad y recuperarse rápidamente mediante la tecnología de Microsoft.
Pasos siguientes
Suscríbase a nuestro canal RSS Desarrollo mediante los principios de confianza cero para recibir notificaciones de nuevos artículos.
Información general sobre la guía para desarrolladores
- ¿Qué queremos decir con cumplimiento de confianza cero? proporciona información general sobre la seguridad de las aplicaciones desde la perspectiva de un desarrollador para abordar los principios rectores de confianza cero.
- Use los procedimientos recomendados de desarrollo para la administración de identidad y acceso de confianza cero en el ciclo de vida de desarrollo de las aplicaciones para crear aplicaciones seguras.
- Metodologías de desarrollo basadas en estándares proporciona información general sobre los estándares admitidos y sus ventajas.
- Las responsabilidades de desarrollador y administrador para el registro, autorización y acceso de aplicaciones le ayudan a colaborar mejor con sus profesionales de TI.
Permisos y acceso
- Compilar aplicaciones que aseguren la identidad a través de permisos y consentimiento proporcionan información general sobre los permisos y los procedimientos recomendados de acceso.
- Integración de aplicaciones con Microsoft Entra ID y la plataforma de identidad de Microsoft ayuda a los desarrolladores a crear e integrar aplicaciones que los profesionales de TI pueden proteger en la empresa.
- Registrar aplicaciones introduce a los desarrolladores el proceso de registro de aplicaciones y sus requisitos. Les ayuda a asegurarse de que las aplicaciones cumplen con los principios de confianza cero en cuanto al uso del acceso con privilegios mínimos y la presunción de que ha habido una vulneración.
- Tipos de cuenta e identidad admitidos para aplicaciones de un solo inquilino y multiinquilino explica cómo puede elegir si la aplicación solo permite a los usuarios de su inquilino de Microsoft Entra, a cualquier inquilino de Microsoft Entra o a los usuarios con cuentas personales de Microsoft.
- Autenticar a los usuarios para Confianza cero ayuda a los desarrolladores a aprender los procedimientos recomendados para autenticar a los usuarios de la aplicación en el desarrollo de aplicaciones de Confianza cero. Describe cómo mejorar la seguridad de las aplicaciones con los principios de confianza cero de privilegios mínimos y comprobar explícitamente.
- Adquirir autorización para acceder a los recursos le ayuda a comprender cómo garantizar mejor Confianza cero al adquirir permisos de acceso a recursos para la aplicación.
- Desarrollar estrategia de permisos delegados le ayuda a implementar el mejor enfoque para administrar permisos en la aplicación y desarrollar mediante principios de confianza cero.
- Desarrollar la estrategia de permisos de aplicación le ayuda a decidir sobre el enfoque de permisos de aplicación para la administración de credenciales.
- Solicitar permisos que requieren consentimiento administrativo describe la experiencia de permisos y consentimiento cuando los permisos de aplicación requieren consentimiento administrativo.
- Reducir los permisos y aplicaciones con privilegios excesivos le ayuda a limitar los privilegios para administrar el acceso y mejorar la seguridad.
- Proporcionar credenciales de identidad de aplicación cuando no hay ningún usuario explica los procedimientos recomendados de identidades administradas para recursos de Azure para servicios (aplicaciones que no son de usuario).
- Administrar tokens para Confianza cero ayuda a los desarrolladores a crear seguridad en aplicaciones con tokens de identificador, tokens de acceso y tokens de seguridad que pueden recibir de la plataforma de identidad de Microsoft.
- Personalizar tokens describe la información que puede recibir en tokens de Microsoft Entra y cómo puede personalizar los tokens.
- Aplicaciones seguras con la evaluación continua del acceso ayuda a los desarrolladores a mejorar la seguridad de las aplicaciones con la evaluación continua de acceso. Obtenga información sobre cómo garantizar la compatibilidad de confianza cero en las aplicaciones que reciben autorización para acceder a los recursos cuando adquieren tokens de acceso de Microsoft Entra ID.
- Configurar notificaciones de grupo y roles de aplicación en tokens muestra cómo configurar las aplicaciones con definiciones de roles de aplicación y asignar grupos de seguridad.
- En el artículo Protección de API se describen los procedimientos recomendados para proteger la API mediante su registro, la definición de permisos y del consentimiento, y la aplicación del acceso para lograr los objetivos de confianza cero.
- El artículo Ejemplo de una API protegida por el marco de consentimiento de identidades de Microsoft le ayuda a diseñar estrategias de permisos de aplicación con privilegios mínimos para ofrecer la mejor experiencia del usuario.
- Llamar a una API desde otra API le ayuda a garantizar confianza cero cuando tenga una API que necesite llamar a otra API. Aprenderá a desarrollar de forma segura la aplicación cuando se trabaja en nombre de un usuario.
- Procedimientos recomendados de autorización le ayuda a implementar los mejores modelos de autorización, permisos y consentimiento para las aplicaciones.
DevSecOps de confianza cero
- Entornos de DevOps seguros para Zero Trust describe los procedimientos recomendados para proteger los entornos de DevOps.
- Proteger el entorno de la plataforma DevOps le ayuda a implementar principios de confianza cero en el entorno de la plataforma DevOps y resalta los procedimientos recomendados para la administración de secretos y certificados.
- Proteger el entorno de desarrollador le ayuda a implementar principios de Confianza cero en los entornos de desarrollo con procedimientos recomendados para privilegios mínimos, seguridad de rama y herramientas, extensiones e integraciones de confianza.
- Seguridad de inserción de Confianza cero en el flujo de trabajo del desarrollador le ayuda a innovar de forma rápida y segura.
Documentación de más Confianza cero
Haga referencia al siguiente contenido de Confianza cero basado en el conjunto de documentación o los roles de su organización.
Conjunto de documentación
Siga esta tabla a fin obtener los mejores conjuntos de documentación de Confianza cero para sus necesidades.
| Conjunto de documentación | Le ayuda... | Roles |
|---|---|---|
| Marco de adopción para las instrucciones de fases y pasos para soluciones empresariales y resultados clave | Aplique protecciones de Confianza cero desde los directivos a la implementación de TI. | Arquitectos de seguridad, equipos de TI y administradores de proyectos |
| Conceptos y objetivos de implementación para obtener instrucciones generales de implementación para áreas tecnológicas | Aplique protecciones de Confianza cero alineadas con áreas tecnológicas. | Equipos de TI y personal de seguridad |
| Confianza cero para pequeñas empresas | Aplique los principios de Confianza cero a los clientes de pequeñas empresas. | Clientes y asociados que trabajan con Microsoft 365 para empresas |
| Plan de modernización rápida de Confianza cero (RaMP) para obtener instrucciones de administración de proyectos y listas de comprobación para obtener victorias fáciles | Implemente rápidamente capas clave de protección de Confianza cero. | Arquitectos de seguridad e implementadores de TI |
| Plan de implementación de Confianza cero con Microsoft 365 para obtener instrucciones de diseño e implementación detalladas y escalonadas | Aplique protecciones de Confianza cero al inquilino de Microsoft 365. | Equipos de TI y personal de seguridad |
| Confianza cero para Microsoft Copilots para un diseño escalonado y detallado y orientación para la implementación | Aplicar protecciones Confianza cero a copilotos de Microsoft. | Equipos de TI y personal de seguridad |
| Confianza cero para los servicios de Azure a fin de obtener instrucciones detalladas de diseño e implementación escalonadas | Aplique protecciones de Confianza cero a las cargas de trabajo y los servicios de Azure. | Equipos de TI y personal de seguridad |
| Integración de asociados con Confianza cero a fin de obtener instrucciones de diseño para áreas tecnológicas y especializaciones | Aplique protecciones de Confianza cero a las soluciones en la nube de Microsoft asociadas. | Desarrolladores asociados, equipos de TI y personal de seguridad |
Su rol
Siga esta tabla para obtener los mejores conjuntos de documentación para su rol en su organización.
| Role | Conjunto de documentación | Le ayuda... |
|---|---|---|
| Arquitecto de seguridad Jefe de proyectos de TI Implementador de TI |
Marco de adopción para las instrucciones de fases y pasos para soluciones empresariales y resultados clave | Aplique protecciones de Confianza cero desde los directivos a la implementación de TI. |
| Miembro de un equipo de TI o de seguridad | Conceptos y objetivos de implementación para obtener instrucciones generales de implementación para áreas tecnológicas | Aplique protecciones de Confianza cero alineadas con áreas tecnológicas. |
| Cliente o asociado para Microsoft 365 para empresas | Confianza cero para pequeñas empresas | Aplique los principios de Confianza cero a los clientes de pequeñas empresas. |
| Arquitecto de seguridad Implementador de TI |
Plan de modernización rápida de Confianza cero (RaMP) para obtener instrucciones de administración de proyectos y listas de comprobación para obtener victorias fáciles | Implemente rápidamente capas clave de protección de Confianza cero. |
| Miembro de un equipo de TI o de seguridad de Microsoft 365 | Plan de implementación de Confianza cero con Microsoft 365 a fin de obtener instrucciones de diseño e implementación detalladas y escalonadas para Microsoft 365 | Aplique protecciones de Confianza cero al inquilino de Microsoft 365. |
| Miembro de un equipo de TI o de seguridad de Microsoft Copilot | Confianza cero para Microsoft Copilots para un diseño escalonado y detallado y orientación para la implementación | Aplicar protecciones Confianza cero a copilotos de Microsoft. |
| Miembro de un equipo de TI o de seguridad para los servicios de Azure | Confianza cero para los servicios de Azure a fin de obtener instrucciones detalladas de diseño e implementación escalonadas | Aplique protecciones de Confianza cero a las cargas de trabajo y los servicios de Azure. |
| Desarrollador asociado o miembro de un equipo de TI o de seguridad | Integración de asociados con Confianza cero a fin de obtener instrucciones de diseño para áreas tecnológicas y especializaciones | Aplique protecciones de Confianza cero a las soluciones en la nube de Microsoft asociadas. |
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de