本文將協助你作為開發者理解零信任的指導原則,進而提升你的應用程式安全性。 你在組織安全中扮演關鍵角色。 應用程式及其開發者已無法再假設網路邊界是安全的。 應用程式被入侵可能影響整個組織。
組織正部署新的安全模型,以適應複雜的現代環境,並擁抱行動勞動力。 新模型能保護人員、裝置、應用程式與資料,無論其身處何地。 組織正努力實現 零信任,這是一種遵循以下指導原則的設計與實施應用程式的安全策略與方法:
- 明確驗證
- 使用最低權限存取
- 假設洩漏
零信任模型不會相信公司防火牆背後的一切是安全的,而是假設有缺口,並驗證每個要求,就好像它源自不受控制的網路一樣。 無論請求來自何處或存取哪種資源,零信任模式要求我們 永遠不信任,必須永遠驗證。
請理解零信任原則不能取代安全基礎。 由於工作可從任何裝置、任何地方進行,設計你的應用程式時,在整個開發週期中融入零信任原則。
為什麼要以零信任的視角來開發?
- 我們看到網路安全攻擊的複雜度正在提升。
- 「 隨時隨地工作 」重新定義了安全邊界。 資料被存取到企業網路之外,並與合作夥伴和廠商等外部合作夥伴分享。
- 企業應用程式與資料正從本地部署轉向混合式與雲端環境。 傳統的網路控制已無法再被依賴於安全性。 控制需要移動到數據所在的裝置和應用程式內。
本節的開發指引幫助你提升安全性、縮小安全事件的爆炸範圍,並利用 Microsoft 技術迅速復原。
開發者指導概述
- 我們所說的零信任合規是什麼意思? 從開發者的角度提供應用程式安全性的概述,以回應零信任的指導原則。
- 在應用程式開發生命週期中使用 零信任身分識別和存取管理開發最佳做法 來建立安全的應用程式。
- 標準導向開發方法 論提供了所支援標準及其好處的概覽。
- 開發人員與管理員負責應用程式註冊、授權與存取 ,有助於您與 IT 專業人員更有效地協作。
權限與存取
- 建置可透過許可權和同意 保護身分識別的應用程式,提供許可權和存取最佳做法的概觀。
- 將應用程式整合至 Microsoft Entra ID 及 Microsoft 身份平台 ,幫助開發者建立並整合 IT 專業人員能在企業中安全保護的應用程式。
- 註冊應用程式 向開發者介紹申請註冊流程及其要求。 這有助於他們確保應用程式符合零信任原則,即使用最低權限存取並假設違規。
- 支援單一及多租戶應用程式的身份與帳號類型 說明,您可以選擇應用程式是只允許 Microsoft Entra 租戶的使用者、任何 Microsoft Entra 租戶,或是擁有個人 Microsoft 帳號的使用者。
- 《零信任使用者認證》 幫助開發者學習在零信任應用開發中驗證應用程式使用者的最佳實務。 它描述如何依據零信任原則的最小權限與明確驗證來提升應用程式安全性。
- 取得存取資源的授權 可協助您瞭解如何在取得應用程式的資源訪問許可權時,最好確保零信任。
- 開發委派權限策略 可協助您實作在應用程式中管理權限的最佳方法,並使用零信任原則進行開發。
- 開發應用程式許可權策略 可協助您決定認證管理的應用程式許可權方法。
- 請求權限需要行政同意 ,描述應用程式權限需要行政同意時的權限與同意體驗。
- 減少過度特權的權限,應用程式 能幫助你限制權限,管理存取並提升安全性。
- 當沒有使用者時提供應用程式身份憑證 ,說明 Azure 的管理身份資源,服務的最佳實務(非使用者應用程式)。
- Manage Tokens for Zero Trust 幫助開發者透過 ID 憑證、存取憑證及安全憑證,將安全性內建於應用程式中,這些憑證可從 Microsoft 身份平台接收。
- 自定義令牌 描述您可以在 Microsoft Entra 令牌中接收的資訊,以及如何自定義令牌。
- 透過持續存取評估來保護應用程式, 協助開發者透過持續存取評估提升應用程式安全。 了解如何確保您的應用程式在從 Microsoft Entra ID 取得存取權杖並獲得資源授權時,支援零信任。
- 在 token 中設定群組聲明與應用程式角色, 教你如何用應用程式角色定義來設定應用程式並指派安全群組。
- API 保護 說明透過註冊、定義許可權和同意來保護 API 的最佳做法,以及強制執行存取以達成零信任目標。
- Microsoft身分識別同意架構所保護的 API 範例 可協助您設計最低許可權的應用程式許可權策略,以獲得最佳用戶體驗。
- 從另一個 API 呼叫 API 能幫助你確保零信任,當你有一個 API 需要呼叫另一個 API 時。 當應用程式代表使用者運作時,你會學會如何安全地開發你的應用程式。
- 授權最佳做法 可協助您為應用程式實作最佳的授權、許可權和同意模型。
零信任 DevSecOps
- 零信任的安全 DevOps 環境 描述了保護 DevOps 環境的最佳實務。
- 《Secure the DevOps》平台環境 協助您在DevOps平台環境中實施零信任原則,並強調秘密與憑證管理的最佳實務。
- 保護開發人員環境可協助您在開發環境中實作 零信任 原則,並提供最低許可權、分支安全性和信任工具、延伸模組和整合的最佳做法。
- 將零信任安全融入您的開發者工作流程 ,幫助您快速且安全地創新。
更多零信任文件
請參考您組織中依據文件集或角色而提供的以下零信任內容。
文件集
請遵循此表格,以取得符合您需求的最佳 Zero Trust 文件集。
| 文件集 | 幫助您... | 角色 |
|---|---|---|
| 主要商務解決方案和成果階段和步驟指引的採用架構 | 將零信任保護措施從高階主管層級擴展到 IT 部門的實施。 | 安全架構師、IT 團隊和專案經理 |
| 技術領域一般部署指引的概念和部署目標 | 套用與技術領域一致的零信任保護。 | IT 團隊和安全人員 |
| 小型企業 零信任 | 將 零信任 原則套用至小型企業客戶。 | 使用 Microsoft 365 企業版與客戶和合作夥伴合作 |
| 零信任快速現代化計劃 (RaMP) 提供專案管理指導和檢查清單,輕鬆獲勝 | 快速實作零信任保護的關鍵層。 | 安全性架構師和 IT 實作者 |
| 使用 Microsoft 365 的零信任部署計劃 ,以取得逐步和詳細的設計和部署指引 | 對您的 Microsoft 365 租戶套用零信任保護。 | IT 團隊和安全人員 |
| Microsoft Copilots 的零信任:分階段和詳細的設計與部署指引 | 將零信任保護套用至 Microsoft Copilots。 | IT 團隊和安全人員 |
| 適用於 Azure 服務的零信任 ,提供逐步和詳細的設計和部署指引 | 將零信任保護套用至 Azure 工作負載和服務。 | IT 團隊和安全人員 |
| 合作夥伴與零信任整合,提供技術領域和專門化的設計指引 | 將零信任保護套用至合作夥伴 Microsoft 雲端解決方案。 | 合作夥伴開發人員、IT 團隊和安全人員 |
您的角色
請依據下表選擇適合您在組織中角色的最佳文件集。
| 角色 | 文件集 | 幫助您... |
|---|---|---|
| 安全性架構師 IT 項目經理 IT 實作者 |
主要商務解決方案和成果階段和步驟指引的採用架構 | 將零信任保護措施從高階主管層級擴展到 IT 部門的實施。 |
| IT 或安全性小組的成員 | 技術領域一般部署指引的概念和部署目標 | 套用與技術領域一致的零信任保護。 |
| Microsoft 365 商務用的客戶或合作夥伴 | 小型企業 零信任 | 將 零信任 原則套用至小型企業客戶。 |
| 安全性架構師 IT 實作者 |
零信任快速現代化計劃 (RaMP) 提供專案管理指導和檢查清單,輕鬆獲勝 | 快速實作零信任保護的關鍵層。 |
| Microsoft 365 的 IT 或安全團隊成員 | 使用 Microsoft 365 的零信任部署計劃 ,以取得 Microsoft 365 的逐步和詳細設計和部署指引 | 對您的 Microsoft 365 租戶套用零信任保護。 |
| Microsoft Copilots 的 IT 或安全性團隊成員 | Microsoft Copilots 的零信任:分階段和詳細的設計與部署指引 | 將零信任保護套用至 Microsoft Copilots。 |
| Azure 服務的 IT 或安全性小組成員 | 適用於 Azure 服務的零信任 ,提供逐步和詳細的設計和部署指引 | 將零信任保護套用至 Azure 工作負載和服務。 |
| 合作夥伴開發人員或 IT 或安全性小組成員 | 合作夥伴與零信任整合,提供技術領域和專門化的設計指引 | 將零信任保護套用至合作夥伴 Microsoft 雲端解決方案。 |