Разработка с использованием принципов "Никому не доверяй"
Эта статья поможет вам, как разработчику, понять руководящие принципы нулевого доверия, чтобы повысить безопасность приложений. Вы играете ключевую роль в безопасности организации; приложения и их разработчики больше не могут предположить, что периметр сети является безопасным. Скомпрометированные приложения могут повлиять на всю организацию.
Организации развертывают новые модели безопасности, которые адаптируются к сложным современным средам и принимают мобильных сотрудников. Новые модели предназначены для защиты людей, устройств, приложений и данных, где бы они ни находились. Организации стремятся достичь нулевого доверия, стратегии безопасности и подхода к разработке и реализации приложений, которые соответствуют этим руководящим принципам:
- Прямая проверка
- Использование наименьших привилегий для доступа
- Предполагайте наличие бреши в системе безопасности
Вместо того, чтобы считать, что все, что находится за корпоративным брандмауэром, безопасно, модель "Никому не доверяй" предполагает наличие нарушения и проверяет каждый запрос, как если бы он исходил из неконтролируемой сети. Независимо от того, где происходит запрос или какой ресурс он обращается, модель нулевого доверия требует от нас "никогда не доверять, всегда проверять".
Понять, что нулевое доверие не является заменой принципов безопасности. Работа, исходящая из любого устройства, разрабатывает приложения для внедрения принципов нулевого доверия на протяжении всего цикла разработки.
Зачем развиваться с точки зрения нулевого доверия?
- Мы видели рост уровня сложности атак кибербезопасности.
- "Работа из любого места" работники переопределили периметр безопасности. Доступ к данным осуществляется извне корпоративной сети и предоставляется внешним участникам совместной работы, таким как партнеры и поставщики.
- Корпоративные приложения и данные переносятся из локальной среды в гибридную и облачную среды. Традиционные сетевые элементы управления больше не могут полагаться на безопасность. Элементы управления должны перемещаться в расположение данных: на устройствах и внутри приложений.
Руководство по разработке в этом разделе помогает повысить безопасность, уменьшить радиус взрыва инцидента безопасности и быстро восстановить с помощью технологии Майкрософт.
Следующие шаги
Подпишитесь на наш веб-канал RSS для уведомления о новых статьях с помощью принципов нулевого доверия.
Общие сведения о руководстве разработчика
- Что мы имеем в виду на соответствие нулевому доверию? предоставляет обзор безопасности приложений с точки зрения разработчика для решения руководящих принципов нулевого доверия.
- Используйте рекомендации по разработке удостоверений и управления доступом в жизненном цикле разработки приложений для создания безопасных приложений.
- Использование методологий разработки на основе стандартов предоставляет общие сведения о поддерживаемых стандартах (OAuth 2.0, OpenID Подключение, SAML, WS-Federation и SCIM) и преимуществах их использования с MSAL и платформа удостоверений Майкрософт.
- Обязанности разработчика и администратора для регистрации приложений, авторизации и доступа помогают лучше сотрудничать с ИТ-специалистами.
Разрешения и доступ
- Создание приложений, защищенных удостоверениями с помощью разрешений и согласия , предоставляет общие сведения о разрешениях и рекомендациях по доступу.
- Интеграция приложений с идентификатором Microsoft Entra и платформа удостоверений Майкрософт помогает разработчикам создавать и интегрировать приложения, которые ИТ-специалисты могут защитить в организации, безопасно интегрируя приложения с идентификатором Microsoft Entra и платформа удостоверений Майкрософт.
- Регистрация приложений представляет разработчикам процесс регистрации приложений и его требования. Это помогает им обеспечить, чтобы приложения соответствовали принципам использования наименее привилегированного доступа и предполагать нарушение.
- Поддерживаемые типы удостоверений и учетных записей для приложений с одним и несколькими клиентами объясняют, разрешен ли ваше приложение только пользователям из клиента Microsoft Entra, любого клиента Microsoft Entra или пользователей с личными учетными записями Майкрософт.
- Проверка подлинности пользователей для Zero Trust помогает разработчикам узнать рекомендации по проверке подлинности пользователей приложений в разработке приложений Zero Trust. В нем описывается, как повысить безопасность приложений с помощью принципов нулевого доверия наименьших привилегий и явно проверить их.
- Получение авторизации для доступа к ресурсам помогает понять, как лучше всего обеспечить нулевое доверие при получении разрешений доступа к ресурсам для приложения.
- Разработка стратегии делегированных разрешений помогает реализовать оптимальный подход к управлению разрешениями в приложении и разработке с помощью принципов нулевого доверия.
- Разработка стратегии разрешений приложений помогает решить подход к управлению учетными данными приложения.
- Запрос разрешений, требующих административного согласия, описывает разрешение и взаимодействие с согласием, когда разрешения приложений требуют административного согласия.
- Сокращение избыточных разрешений и приложений помогает понять, почему приложения не должны запрашивать больше разрешений, чем им требуется (избыточно) и как ограничить привилегии для управления доступом и повышения безопасности.
- Предоставление учетных данных удостоверения приложения, когда нет пользователя, объясняет, почему лучшие учетные данные клиента Zero Trust для служб (не пользовательских приложений) в Azure — управляемые удостоверения для ресурсов Azure.
- Управление маркерами нулевого доверия помогает разработчикам создавать безопасность в приложениях с маркерами идентификатора, маркерами доступа и маркерами безопасности, которые они могут получать от платформа удостоверений Майкрософт.
- Настройка маркеров описывает сведения, которые можно получить в токенах Microsoft Entra и как можно настроить маркеры.
- Защита приложений с помощью непрерывной оценки доступа помогает разработчикам улучшить безопасность приложений с помощью непрерывной оценки доступа. Узнайте, как обеспечить поддержку нулевого доверия в приложениях, которые получают авторизацию для доступа к ресурсам при получении маркеров доступа из идентификатора Microsoft Entra.
- Настройка утверждений групп и ролей приложений в маркерах показывает, как настроить приложения с определениями ролей приложения и назначить группы безопасности.
- Защита API описывает рекомендации по защите API путем регистрации, определения разрешений и согласия и принудительного доступа к достижению целей нулевого доверия.
- Пример API, защищенный платформой согласия на идентификацию Майкрософт, помогает разрабатывать стратегии с минимальными привилегиями приложений для оптимального взаимодействия с пользователем.
- Вызов API из другого API помогает обеспечить нулевое доверие при наличии одного API, который должен вызывать другой API. Вы узнаете, как безопасно разрабатывать приложение при его работе от имени пользователя.
- Рекомендации по авторизации помогут реализовать лучшие модели авторизации, разрешения и согласия для приложений.
Нулевое доверие DevSecOps
- Защита сред DevOps для Zero Trust описывает рекомендации по защите сред DevOps с помощью подхода "Нулевое доверие", чтобы предотвратить компрометации хакеров в полях разработчиков, заразив конвейеры выпуска вредоносными сценариями и получить доступ к рабочим данным через тестовые среды.
- Защита среды платформы DevOps помогает реализовать принципы нулевого доверия в среде платформы DevOps и выделяет рекомендации по управлению секретами и сертификатами.
- Защита среды разработчика помогает реализовать принципы нулевого доверия в средах разработки с рекомендациями по наименьшей привилегии, безопасности ветви и доверия средствам, расширениям и интеграции.
- Внедрение безопасности нулевого доверия в рабочий процесс разработчика помогает быстро и безопасно внедрять инновации.
Дополнительная документация по нулю доверия
Используйте дополнительное содержимое нулевого доверия на основе набора документации или ролей в организации.
Набор документации
Следуйте этой таблице для лучших наборов документации по нулю доверия для ваших потребностей.
| Набор документации | Помогает вам... | Роли |
|---|---|---|
| Платформа внедрения для поэтапного и пошагового руководства по ключевым бизнес-решениям и результатам | Применение защиты нулевого доверия из набора C к реализации ИТ-специалистов. | Архитекторы безопасности, ИТ-команды и руководители проектов |
| Основные понятия и цели развертывания для общих рекомендаций по развертыванию для технологических областей | Применение защиты нулевого доверия в соответствии с технологическими областями. | ИТ-команды и сотрудники службы безопасности |
| Нулевое доверие для малого бизнеса | Применение принципов нулевого доверия к клиентам малого бизнеса. | Клиенты и партнеры, работающие с Microsoft 365 для бизнеса |
| План быстрого модернизации нулевого доверия (RaMP) для руководства по управлению проектами и проверка списки для простых побед | Быстро реализуйте ключевые уровни защиты нулевого доверия. | Архитекторы безопасности и ИТ-разработчики |
| План развертывания нулевого доверия с Microsoft 365 для пошагового и подробного проектирования и развертывания | Применение защиты нулевого доверия к клиенту Microsoft 365. | ИТ-команды и сотрудники службы безопасности |
| Нулевая доверие для Microsoft Copilots для пошагового и подробного руководства по проектированию и развертыванию | Применение защиты нулевого доверия к Microsoft Copilots. | ИТ-команды и сотрудники службы безопасности |
| Руководство по проектированию и развертыванию служб Azure с нулевой доверием для пошагового и подробного проектирования и развертывания | Применение защиты нулевого доверия к рабочим нагрузкам и службам Azure. | ИТ-команды и сотрудники службы безопасности |
| Интеграция партнеров с Нулевым доверием для разработки технологических областей и специализаций | Применение защиты нулевого доверия к партнерским облачным решениям Майкрософт. | Разработчики партнеров, ИТ-команды и сотрудники по безопасности |
Ваша роль
Следуйте этой таблице для лучших наборов документации для вашей роли в организации.
| Роль | Набор документации | Помогает вам... |
|---|---|---|
| Архитектор безопасности ИТ-менеджер проектов ИТ-реализация |
Платформа внедрения для поэтапного и пошагового руководства по ключевым бизнес-решениям и результатам | Применение защиты нулевого доверия из набора C к реализации ИТ-специалистов. |
| Член ИТ-группы или группы безопасности | Основные понятия и цели развертывания для общих рекомендаций по развертыванию для технологических областей | Применение защиты нулевого доверия в соответствии с технологическими областями. |
| Клиент или партнер microsoft 365 для бизнеса | Нулевое доверие для малого бизнеса | Применение принципов нулевого доверия к клиентам малого бизнеса. |
| Архитектор безопасности ИТ-реализация |
План быстрого модернизации нулевого доверия (RaMP) для руководства по управлению проектами и проверка списки для простых побед | Быстро реализуйте ключевые уровни защиты нулевого доверия. |
| Член ИТ-группы или группы безопасности для Microsoft 365 | План развертывания нулевого доверия с Microsoft 365 для пошагового и подробного проектирования и развертывания для Microsoft 365 | Применение защиты нулевого доверия к клиенту Microsoft 365. |
| Член ИТ-группы или группы безопасности для Microsoft Copilots | Нулевая доверие для Microsoft Copilots для пошагового и подробного руководства по проектированию и развертыванию | Применение защиты нулевого доверия к Microsoft Copilots. |
| Член ИТ-группы или группы безопасности для служб Azure | Руководство по проектированию и развертыванию служб Azure с нулевой доверием для пошагового и подробного проектирования и развертывания | Применение защиты нулевого доверия к рабочим нагрузкам и службам Azure. |
| Разработчик партнера или член ИТ-группы или группы безопасности | Интеграция партнеров с Нулевым доверием для разработки технологических областей и специализаций | Применение защиты нулевого доверия к партнерским облачным решениям Майкрософт. |
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по