Opracowywanie przy użyciu zasad zero trust

Ten artykuł ułatwia deweloperom zrozumienie wytycznych dotyczących modelu Zero Trust w celu zwiększenia bezpieczeństwa aplikacji. Odgrywasz kluczową rolę w zabezpieczeniach organizacji; aplikacje i ich deweloperzy nie mogą już zakładać, że obwód sieci jest bezpieczny. Naruszone aplikacje mogą mieć wpływ na całą organizację.

Organizacje wdrażają nowe modele zabezpieczeń, które dostosowują się do złożonych nowoczesnych środowisk i korzystają z pracowników mobilnych. Nowe modele są zaprojektowane tak, aby chronić osoby, urządzenia, aplikacje i dane wszędzie tam, gdzie się znajdują. Organizacje starają się osiągnąć zero trust, strategię zabezpieczeń i podejście do projektowania i implementowania aplikacji, które są zgodne z następującymi zasadami przewodnimi:

• Jawną weryfikację
• Korzystanie z dostępu z najmniejszymi uprawnieniami
• Zakładanie naruszeń zabezpieczeń

Zamiast wierzyć, że wszystko za zaporą firmową jest bezpieczne, model Zero Trust zakłada naruszenie i weryfikuje każde żądanie tak, jakby pochodziło z niekontrolowanych sieci. Niezależnie od tego, skąd pochodzi żądanie lub jakiego zasobu uzyskuje dostęp, model Zero Trust wymaga od nas "nigdy zaufania, zawsze weryfikowania".

Dowiedz się, że zero trust nie zastępuje podstaw zabezpieczeń. Dzięki pracy pochodzącej z dowolnego miejsca na dowolnym urządzeniu zaprojektuj aplikacje tak, aby uwzględniały zasady zero trustu w całym cyklu programowania.

Dlaczego warto rozwijać się z perspektywą zero trust?

• Widzieliśmy wzrost poziomu wyrafinowania ataków cyberbezpieczeństwa.
• "Praca z dowolnego miejsca" pracowników ponownie zdefiniowała obwód zabezpieczeń. Dane są dostępne poza siecią firmową i udostępniane zewnętrznym współpracownikom, takim jak partnerzy i dostawcy.
• Aplikacje i dane firmowe są przenoszone ze środowisk lokalnych do środowisk hybrydowych i w chmurze. Tradycyjne mechanizmy kontroli sieci nie mogą już polegać na zabezpieczeniach. Kontrolki muszą przejść do miejsca, w którym znajdują się dane: na urządzeniach i w aplikacjach.

Wskazówki dotyczące programowania w tej sekcji pomagają zwiększyć bezpieczeństwo, zmniejszyć promień wybuchu zdarzenia zabezpieczeń i szybko odzyskać przy użyciu technologii firmy Microsoft.

Następne kroki

Zasubskrybuj nasz kanał informacyjny RSS dotyczący programowania przy użyciu zasad zero trust, aby otrzymywać powiadomienia o nowych artykułach.

Omówienie wskazówek dla deweloperów

• Co oznacza zgodność z zerowym zaufaniem? Zawiera omówienie zabezpieczeń aplikacji z perspektywy dewelopera w celu rozwiązania wytycznych dotyczących zerowego zaufania.
• Użyj najlepszych rozwiązań dotyczących tworzenia tożsamości zero trust i zarządzania dostępem w cyklu tworzenia aplikacji, aby utworzyć bezpieczne aplikacje.
• Korzystanie z metodologii programowania opartego na standardach zawiera omówienie obsługiwanych standardów (OAuth 2.0, OpenID Połączenie, SAML, WS-Federation i SCIM) oraz korzyści wynikające z używania ich z biblioteki MSAL i Platforma tożsamości Microsoft.
• Obowiązki deweloperów i administratorów dotyczące rejestracji aplikacji, autoryzacji i dostępu ułatwiają współpracę z informatykami.

Uprawnienia i dostęp

• Tworzenie aplikacji, które zabezpieczają tożsamość za pomocą uprawnień i zgody , zawiera omówienie uprawnień i najlepszych rozwiązań dotyczących dostępu.
• Integrowanie aplikacji z identyfikatorem Entra firmy Microsoft i Platforma tożsamości Microsoft ułatwia deweloperom tworzenie i integrowanie aplikacji, które prozy IT mogą zabezpieczyć w przedsiębiorstwie, bezpiecznie integrując aplikacje z identyfikatorem Microsoft Entra ID i Platforma tożsamości Microsoft.
• Rejestrowanie aplikacji wprowadza deweloperów do procesu rejestracji aplikacji i jej wymagań. Pomaga im to zapewnić, że aplikacje spełniają zasady zerowego zaufania dotyczące korzystania z najmniej uprzywilejowanego dostępu i zakładają naruszenie.
• Obsługiwane typy tożsamości i kont dla aplikacji z jedną i wieloma dzierżawami wyjaśniają, jak można wybrać, czy aplikacja zezwala tylko użytkownikom z dzierżawy Microsoft Entra, dowolnej dzierżawy firmy Microsoft lub użytkowników z osobistymi kontami Microsoft.
• Uwierzytelnianie użytkowników w usłudze Zero Trust pomaga deweloperom nauczyć się najlepszych rozwiązań dotyczących uwierzytelniania użytkowników aplikacji w tworzeniu aplikacji Zero Trust. W tym artykule opisano, jak zwiększyć bezpieczeństwo aplikacji przy użyciu zasad zerowego zaufania dotyczących najniższych uprawnień i jawnie zweryfikować.
• Uzyskanie autoryzacji dostępu do zasobów pomaga zrozumieć, jak najlepiej zapewnić zero trust podczas uzyskiwania uprawnień dostępu do zasobów dla aplikacji.
• Opracowanie strategii uprawnień delegowanych ułatwia zaimplementowanie najlepszego podejścia do zarządzania uprawnieniami w aplikacji i opracowywania przy użyciu zasad zero trust.
• Opracowywanie strategii uprawnień aplikacji ułatwia podjęcie decyzji o podejściu uprawnień aplikacji do zarządzania poświadczeniami.
• Żądanie uprawnień wymagających zgody administracyjnej opisuje środowisko uprawnień i zgody, gdy uprawnienia aplikacji wymagają zgody administracyjnej.
• Zmniejszenie nadmiernie uprzywilejowanych uprawnień i aplikacji pomaga zrozumieć, dlaczego aplikacje nie powinny żądać większej liczby uprawnień niż potrzebują (nadmiernie uprzywilejowane) i jak ograniczyć uprawnienia do zarządzania dostępem i poprawy zabezpieczeń.
• Podawanie poświadczeń tożsamości aplikacji, gdy nie ma użytkownika , wyjaśnia, dlaczego najlepsze praktyki poświadczeń klienta Zero Trust dla usług (aplikacji innych niż użytkownicy) na platformie Azure to Tożsamości zarządzane dla zasobów platformy Azure.
• Zarządzanie tokenami dla usługi Zero Trust ułatwia deweloperom tworzenie zabezpieczeń w aplikacjach przy użyciu tokenów identyfikatorów, tokenów dostępu i tokenów zabezpieczających, które mogą otrzymywać od Platforma tożsamości Microsoft.
• Dostosowywanie tokenów opisuje informacje, które można otrzymywać w tokenach firmy Microsoft Entra i jak można dostosować tokeny.
• Zabezpieczanie aplikacji za pomocą oceny ciągłego dostępu pomaga deweloperom w ulepszaniu zabezpieczeń aplikacji dzięki ciągłej ocenie dostępu. Dowiedz się, jak zapewnić obsługę usługi Zero Trust w aplikacjach, które otrzymują autoryzację dostępu do zasobów podczas uzyskiwania tokenów dostępu z identyfikatora Entra firmy Microsoft.
• Konfigurowanie oświadczeń grup i ról aplikacji w tokenach pokazuje, jak skonfigurować aplikacje przy użyciu definicji ról aplikacji i przypisać grupy zabezpieczeń.
• Usługa API Protection opisuje najlepsze rozwiązania dotyczące ochrony interfejsu API za pośrednictwem rejestracji, definiowania uprawnień i zgody oraz wymuszania dostępu w celu osiągnięcia celów zero trust.
• Przykład interfejsu API chronionego przez platformę wyrażania zgody na tożsamość firmy Microsoft ułatwia projektowanie strategii uprawnień aplikacji o najniższych uprawnieniach w celu uzyskania najlepszego środowiska użytkownika.
• Wywołanie interfejsu API z innego interfejsu API pomaga zapewnić zero trust, gdy masz jeden interfejs API, który musi wywoływać inny interfejs API. Dowiesz się, jak bezpiecznie opracowywać aplikację, gdy działa ona w imieniu użytkownika.
• Najlepsze rozwiązania dotyczące autoryzacji pomagają zaimplementować najlepsze modele autoryzacji, uprawnień i zgody dla aplikacji.

DevSecOps z zerowym zaufaniem

• Securing DevOps environments for Zero Trust (Zabezpieczanie środowisk DevOps dla rozwiązania Zero Trust) opisuje najlepsze rozwiązania dotyczące zabezpieczania środowisk DevOps przy użyciu podejścia Zero Trust , aby uniemożliwić hakerom naruszenie pól deweloperskich, infekowanie potoków wydania za pomocą złośliwych skryptów i uzyskanie dostępu do danych produkcyjnych za pośrednictwem środowisk testowych.
• Zabezpieczanie środowiska platformy DevOps pomaga zaimplementować zasady Zero Trust w środowisku platformy DevOps i wyróżnia najlepsze rozwiązania dotyczące zarządzania wpisami tajnymi i certyfikatami.
• Zabezpieczanie środowiska deweloperskiego pomaga zaimplementować zasady Zero Trust w środowiskach deweloperskich z najlepszymi rozwiązaniami dotyczącymi najniższych uprawnień, zabezpieczeń gałęzi i narzędzi, rozszerzeń i integracji zaufania.
• Osadzanie zabezpieczeń Zero Trust w przepływie pracy deweloperów ułatwia szybkie i bezpieczne wprowadzanie innowacji.