Desenvolver usando os princípios Zero Trust
Este artigo ajuda você, como desenvolvedor, a entender os princípios orientadores do Zero Trust para que você possa melhorar a segurança do seu aplicativo. Você desempenha um papel fundamental na segurança organizacional; Os aplicativos e seus desenvolvedores não podem mais assumir que o perímetro da rede é seguro. Aplicativos comprometidos podem afetar toda a organização.
As organizações estão implantando novos modelos de segurança que se adaptam a ambientes modernos complexos e adotam a força de trabalho móvel. Os novos modelos foram concebidos para proteger pessoas, dispositivos, aplicações e dados onde quer que estejam localizados. As organizações estão se esforçando para alcançar o Zero Trust, uma estratégia e abordagem de segurança para projetar e implementar aplicativos que seguem estes princípios orientadores:
- Verificar explicitamente
- Usar acesso com privilégios mínimos
- Assuma a violação
Em vez de acreditar que tudo por trás do firewall corporativo é seguro, o modelo Zero Trust assume a violação e verifica cada solicitação como se tivesse sido originada de uma rede não controlada. Independentemente da origem do pedido ou do recurso a que acede, o modelo Zero Trust exige que "nunca confiemos, verifiquemos sempre".
Entenda que o Zero Trust não substitui os fundamentos de segurança. Com trabalho originado de qualquer lugar e em qualquer dispositivo, projete seus aplicativos para incorporar os princípios Zero Trust durante todo o ciclo de desenvolvimento.
Porquê desenvolver com uma perspetiva Zero Trust?
- Assistimos a um aumento do nível de sofisticação dos ataques de cibersegurança.
- A força de trabalho "trabalhando de qualquer lugar" redefiniu o perímetro de segurança. Os dados estão sendo acessados fora da rede corporativa e compartilhados com colaboradores externos, como parceiros e fornecedores.
- Os aplicativos e dados corporativos estão migrando de ambientes locais para ambientes híbridos e em nuvem. Os controles de rede tradicionais não podem mais ser confiáveis para segurança. Os controles precisam se mover para onde os dados estão: em dispositivos e dentro de aplicativos.
As orientações de desenvolvimento nesta secção ajudam-no a aumentar a segurança, a reduzir o raio de explosão de um incidente de segurança e a recuperar rapidamente utilizando a tecnologia Microsoft.
Próximos passos
Subscreva o nosso feed RSS Desenvolver utilizando os princípios Zero Trust para notificação de novos artigos.
Visão geral da orientação do desenvolvedor
- O que queremos dizer com conformidade com Zero Trust? fornece uma visão geral da segurança de aplicativos da perspetiva de um desenvolvedor para abordar os princípios orientadores do Zero Trust.
- Use as práticas recomendadas de desenvolvimento de gerenciamento de acesso e identidade Zero Trust em seu ciclo de vida de desenvolvimento de aplicativos para criar aplicativos seguros.
- As metodologias de desenvolvimento baseadas em padrões fornecem uma visão geral dos padrões suportados e seus benefícios.
- As responsabilidades do desenvolvedor e administrador para registro, autorização e acesso de aplicativos ajudam você a colaborar melhor com seus profissionais de TI.
Permissões e acesso
- Criar aplicativos que protegem a identidade por meio de permissões e consentimento fornece uma visão geral das permissões e das práticas recomendadas de acesso.
- A integração de aplicativos com o Microsoft Entra ID e a plataforma de identidade da Microsoft ajuda os desenvolvedores a criar e integrar aplicativos que os profissionais de TI podem proteger na empresa.
- Registrar aplicativos apresenta aos desenvolvedores o processo de registro de aplicativos e seus requisitos. Isso os ajuda a garantir que os aplicativos satisfaçam os princípios Zero Trust de usar acesso menos privilegiado e assumir violação.
- Identidade e tipos de conta suportados para aplicações de inquilino único e multiinquilino explica como pode escolher se a sua aplicação permite apenas utilizadores do seu inquilino do Microsoft Entra, qualquer inquilino do Microsoft Entra ou utilizadores com contas pessoais da Microsoft.
- Autenticar usuários para Zero Trust ajuda os desenvolvedores a aprender as práticas recomendadas para autenticar usuários de aplicativos no desenvolvimento de aplicativos Zero Trust. Ele descreve como melhorar a segurança do aplicativo com os princípios Zero Trust de menor privilégio e verificar explicitamente.
- Adquirir autorização para acessar recursos ajuda você a entender a melhor forma de garantir o Zero Trust ao adquirir permissões de acesso a recursos para seu aplicativo.
- Desenvolver a estratégia de permissões delegadas ajuda você a implementar a melhor abordagem para gerenciar permissões em seu aplicativo e desenvolver usando os princípios Zero Trust.
- Desenvolver a estratégia de permissões de aplicativo ajuda você a decidir sobre a abordagem de permissões de aplicativo para o gerenciamento de credenciais.
- Solicitar permissões que exigem consentimento administrativo descreve a experiência de permissão e consentimento quando as permissões do aplicativo exigem consentimento administrativo.
- Reduzir permissões e aplicativos com privilégios excessivos ajuda você a limitar os privilégios para gerenciar o acesso e melhorar a segurança.
- Fornecer credenciais de identidade de aplicativo quando não houver nenhum usuário explica as práticas recomendadas de recursos do Managed Identities for Azure para serviços (aplicativos não usuários).
- Gerenciar tokens para Zero Trust ajuda os desenvolvedores a criar segurança em aplicativos com tokens de ID, tokens de acesso e tokens de segurança que eles podem receber da plataforma de identidade da Microsoft.
- Personalizar tokens descreve as informações que você pode receber nos tokens do Microsoft Entra e como você pode personalizar os tokens.
- Aplicativos seguros com Avaliação de Acesso Contínuo ajudam os desenvolvedores a melhorar a segurança de aplicativos com Avaliação de Acesso Contínuo. Saiba como garantir o suporte Zero Trust em seus aplicativos que recebem autorização para acessar recursos quando adquirem tokens de acesso do Microsoft Entra ID.
- Configurar declarações de grupo e funções de aplicativo em tokens mostra como configurar seus aplicativos com definições de função de aplicativo e atribuir grupos de segurança.
- A Proteção de API descreve as práticas recomendadas para proteger sua API por meio de registro, definição de permissões e consentimento e imposição de acesso para atingir suas metas de Zero Trust.
- Exemplo de API protegida pela estrutura de consentimento de identidade da Microsoft ajuda você a projetar estratégias de permissões de aplicativo de privilégios mínimos para a melhor experiência do usuário.
- Chamar uma API de outra API ajuda você a garantir o Zero Trust quando você tem uma API que precisa chamar outra API. Você aprende como desenvolver seu aplicativo com segurança quando ele está trabalhando em nome de um usuário.
- As práticas recomendadas de autorização ajudam você a implementar os melhores modelos de autorização, permissão e consentimento para seus aplicativos.
Zero Trust DevSecOps
- Os ambientes Secure DevOps para Zero Trust descrevem as práticas recomendadas para proteger seus ambientes de DevOps.
- Proteger o ambiente da plataforma DevOps ajuda você a implementar os princípios Zero Trust em seu ambiente de plataforma DevOps e destaca as práticas recomendadas para gerenciamento de segredos e certificados.
- Proteger o ambiente do desenvolvedor ajuda você a implementar os princípios do Zero Trust em seus ambientes de desenvolvimento com práticas recomendadas para privilégios mínimos, segurança de filial e ferramentas, extensões e integrações confiáveis.
- Incorporar a segurança Zero Trust no seu fluxo de trabalho de desenvolvedor ajuda você a inovar de forma rápida e segura.
Mais documentação do Zero Trust
Faça referência ao seguinte conteúdo Zero Trust com base na documentação, no conjunto ou nas funções da sua organização.
Conjunto de documentação
Siga esta tabela para obter os melhores conjuntos de documentação Zero Trust para as suas necessidades.
| Conjunto de documentação | Ajuda-o... | Funções |
|---|---|---|
| Estrutura de adoção para orientação de fases e etapas para as principais soluções e resultados de negócios | Aplique proteções Zero Trust do C-suite à implementação de TI. | Arquitetos de segurança, equipes de TI e gerentes de projeto |
| Conceitos e objetivos de implantação para orientações gerais de implantação para áreas de tecnologia | Aplique proteções Zero Trust alinhadas com as áreas de tecnologia. | Equipas de TI e pessoal de segurança |
| Zero Trust para pequenas empresas | Aplique os princípios do Zero Trust aos clientes de pequenas empresas. | Clientes e parceiros que trabalham com o Microsoft 365 para empresas |
| Zero Trust Rapid Modernization Plan (RaMP) para orientação de gerenciamento de projetos e listas de verificação para ganhos fáceis | Implemente rapidamente as principais camadas de proteção Zero Trust. | Arquitetos de segurança e implementadores de TI |
| Plano de implantação Zero Trust com o Microsoft 365 para orientação de projeto e implantação escalonada e detalhada | Aplique proteções Zero Trust ao seu locatário do Microsoft 365. | Equipas de TI e pessoal de segurança |
| Zero Trust for Microsoft Copilots para orientação de projeto e implantação escalonada e detalhada | Aplique proteções Zero Trust aos Microsoft Copilots. | Equipas de TI e pessoal de segurança |
| Serviços Zero Trust para Azure para orientações de projeto e implantação escalonadas e detalhadas | Aplique proteções Zero Trust a cargas de trabalho e serviços do Azure. | Equipas de TI e pessoal de segurança |
| Integração de parceiros com a Zero Trust para orientação de design para áreas de tecnologia e especializações | Aplique proteções Zero Trust a soluções de nuvem parceiras da Microsoft. | Desenvolvedores parceiros, equipes de TI e equipe de segurança |
A sua função
Siga esta tabela para obter os melhores conjuntos de documentação para a sua função na sua organização.
| Role | Conjunto de documentação | Ajuda-o... |
|---|---|---|
| Arquiteto de segurança Gerente de projetos de TI Implementador de TI |
Estrutura de adoção para orientação de fases e etapas para as principais soluções e resultados de negócios | Aplique proteções Zero Trust do C-suite à implementação de TI. |
| Membro de uma equipa de TI ou de segurança | Conceitos e objetivos de implantação para orientações gerais de implantação para áreas de tecnologia | Aplique proteções Zero Trust alinhadas com as áreas de tecnologia. |
| Cliente ou parceiro do Microsoft 365 para empresas | Zero Trust para pequenas empresas | Aplique os princípios do Zero Trust aos clientes de pequenas empresas. |
| Arquiteto de segurança Implementador de TI |
Zero Trust Rapid Modernization Plan (RaMP) para orientação de gerenciamento de projetos e listas de verificação para ganhos fáceis | Implemente rapidamente as principais camadas de proteção Zero Trust. |
| Membro de uma equipe de TI ou segurança do Microsoft 365 | Plano de implantação Zero Trust com o Microsoft 365 para diretrizes de projeto e implantação escalonadas e detalhadas para o Microsoft 365 | Aplique proteções Zero Trust ao seu locatário do Microsoft 365. |
| Membro de uma equipe de TI ou segurança do Microsoft Copilots | Zero Trust for Microsoft Copilots para orientação de projeto e implantação escalonada e detalhada | Aplique proteções Zero Trust aos Microsoft Copilots. |
| Membro de uma equipe de TI ou segurança para serviços do Azure | Serviços Zero Trust para Azure para orientações de projeto e implantação escalonadas e detalhadas | Aplique proteções Zero Trust a cargas de trabalho e serviços do Azure. |
| Desenvolvedor parceiro ou membro de uma equipe de TI ou segurança | Integração de parceiros com a Zero Trust para orientação de design para áreas de tecnologia e especializações | Aplique proteções Zero Trust a soluções de nuvem parceiras da Microsoft. |