Développer selon les principes de la Confiance Zéro
Cet article vous aide, en tant que développeur, à comprendre les principes fondamentaux de Confiance Zéro afin que vous puissiez améliorer la sécurité de votre application. Vous jouez un rôle clé dans la sécurité organisationnelle ; les applications et leurs développeurs ne peuvent plus supposer que le périmètre du réseau est sécurisé. Les applications compromises peuvent affecter l’ensemble de l’organisation.
Les organisations déploient de nouveaux modèles de sécurité qui s’adaptent aux environnements modernes complexes et adoptent la main-d’œuvre mobile. De nouveaux modèles sont conçus pour protéger les personnes, les appareils, les applications et les données indépendamment de leur emplacement. Les organisations s’efforcent d’atteindre Confiance Zéro, une stratégie de sécurité et une approche pour la conception et l’implémentation d’applications qui suivent ces principes directeurs :
- Vérifier explicitement
- Utiliser l’accès du moindre privilège
- Supposer une violation
Au lieu de croire que tout ce qui se trouve derrière le pare-feu de l’entreprise est sûr, le modèle Confiance Zéro part du principe qu’une violation est possible et vérifie chaque demande comme si elle provenait d’un réseau non contrôlé. Indépendamment de l'origine de la demande ou de la ressource à laquelle elle accède, le modèle de confiance zéro nous oblige à « ne jamais faire confiance, toujours vérifier ».
Comprenez que Confiance Zéro n’est pas un remplacement des principes fondamentaux de la sécurité. Avec le travail provenant de n’importe où sur n’importe quel appareil, concevez vos applications pour incorporer des principes Confiance Zéro tout au long de votre cycle de développement.
Pourquoi développer avec une perspective Confiance Zéro ?
- Nous constatons une augmentation du niveau de sophistication des cyberattaques.
- Le télétravail a redéfini le périmètre de sécurité. Les données sont accessibles en dehors du réseau de l’entreprise et sont partagées avec des collaborateurs externes, tels que des partenaires et des fournisseurs.
- Les applications et les données d’entreprise sont déplacées d’un environnement local vers un environnement hybride et cloud. Les contrôles réseau traditionnels ne peuvent plus être appuyés pour la sécurité. Les contrôles doivent être déplacés vers l’emplacement où se trouvent les données : sur les appareils, dans les applications.
Les conseils de développement de cette section vous aident à renforcer la sécurité, à réduire le rayon d’explosion d’un incident de sécurité et à récupérer rapidement à l’aide de la technologie Microsoft.
Étapes suivantes
Abonnez-vous à notre flux RSS Développer selon les principes de la confiance zéro pour être informé des nouveaux articles.
Vue d'ensemble de l’assistance développeur
- Qu’entendons-nous par conformité Confiance Zéro ? fournit une vue d’ensemble de la sécurité des applications du point de vue d’un développeur pour répondre aux principes fondamentaux de Confiance Zéro.
- Utilisez les meilleures pratiques de développement de la gestion des identités et des accès Confiance Zéro dans votre cycle de développement d'applications pour créer des applications sécurisées.
- Méthodologies de développement basées sur des normes fournit une vue d’ensemble des normes prises en charge et de leurs avantages.
- Les responsabilités des développeurs et des administrateurs pour l’inscription, l’autorisation et l’accès aux applications vous aident à mieux collaborer avec vos professionnels de l’informatique.
Autorisations et accès
- Créer des applications qui sécurisent l’identité grâce aux autorisations et au consentement fournit une vue d’ensemble des autorisations et des meilleures pratiques d’accès.
- Intégrer des applications à Microsoft Entra ID et à la plateforme d’identité Microsoft permet aux développeurs de créer et d’intégrer des applications que les professionnels de l’informatique peuvent sécuriser dans l’entreprise.
- Inscrire des applications présente aux développeurs le processus d’inscription d’application et ses exigences. Il les aide à s’assurer que les applications répondent Confiance Zéro principes d’utilisation de l’accès au moins privilégié et supposent une violation.
- Types d’identités et de comptes pris en charge pour les applications monolocataires et multilocataires explique comment choisir si votre application autorise uniquement les utilisateurs de votre locataire Microsoft Entra, ceux de n’importe quel locataire Microsoft Entra ou ceux disposant de comptes Microsoft personnels.
- Authentifier les utilisateurs pour la Confiance Zéro permet aux développeurs de découvrir les meilleures pratiques pour authentifier les utilisateurs d’une application dans le cadre du développement d’applications Confiance Zéro. Il décrit comment améliorer la sécurité des applications avec les principes de Confiance Zéro des privilèges minimum et vérifier explicitement.
- Acquérir l’autorisation d’accéder aux ressources vous aide à comprendre comment garantir la Confiance Zéro lors de l’acquisition d’autorisations d’accès aux ressources pour votre application.
- Développer une stratégie de permissions déléguées vous aide à implémenter la meilleure approche pour gérer les autorisations dans votre application et à développer du code selon les principes de la Confiance Zéro.
- Développer une stratégie d’autorisations d’application vous aide à choisir une approche en matière d’autorisations d’application pour la gestion des informations d’identification.
- Demander des autorisations qui nécessitent un consentement administratif décrit l’expérience d’autorisation et de consentement lorsque les autorisations d’application nécessitent un consentement administratif.
- Réduire les autorisations et les applications surprivilégiées vous aide à limiter les privilèges pour gérer l’accès et améliorer la sécurité.
- Fournir des informations d’identification d’identité d’application en l’absence d’utilisateur explique les meilleures pratiques relatives aux identités managées pour les ressources Azure pour les services (applications non-utilisateur).
- Gérer les jetons pour la Confiance Zéro aide les développeurs à intégrer la sécurité dans les applications à l’aide de jetons d’ID, de jetons d’accès et de jetons de sécurité qu’elles peuvent recevoir de la plateforme d’identité Microsoft.
- Personnaliser les jetons décrit les informations que vous pouvez recevoir dans les jetons Microsoft Entra et la façon dont vous pouvez les personnaliser.
- Sécuriser des applications avec Évaluation continue de l’accès permet aux développeurs d’améliorer la sécurité des applications à l’aide de la fonctionnalité Évaluation continue de l’accès. Apprenez comment assurer la prise en charge de la confiance zéro dans vos applications qui reçoivent l'autorisation d'accéder aux ressources lorsqu'elles acquièrent des jetons d'accès à partir de Microsoft Entra ID.
- Configurer des revendications de groupe et des rôles d’application dans les jetons vous montre comment configurer vos applications avec des définitions de rôle d’application et comment affecter des groupes de sécurité.
- API Protection décrit les meilleures pratiques pour protéger votre API par le biais de l'enregistrement, de la définition des autorisations et du consentement, et de l'application de l'accès pour atteindre vos objectifs de confiance zéro.
- Exemple d'API protégée par le cadre de consentement d’identité Microsoft vous aide à concevoir des stratégies de permissions d'application à moindre privilège pour une meilleure expérience utilisateur.
- Appeler une API à partir d’une autre API vous aide à garantir la Confiance Zéro lorsque vous avez une API qui doit appeler une autre API. Apprenez à développer en toute sécurité votre application lorsqu’elle fonctionne pour le compte d’un utilisateur.
- Les meilleures pratiques d’autorisation vous aident à implémenter les modèles d’autorisation, d’autorisation et de consentement les mieux adaptés à vos applications.
Confiance Zéro DevSecOps
- Sécuriser les environnements DevOps pour la Confiance Zéro décrit les meilleures pratiques à suivre pour sécuriser vos environnements DevOps.
- Sécuriser l’environnement de plateforme DevOps vous aide à implémenter les principes de la Confiance Zéro dans votre environnement de plateforme DevOps et met en évidence les meilleures pratiques de gestion des secrets et des certificats.
- Sécuriser l’environnement de développement vous aide à implémenter les principes de la Confiance Zéro dans vos environnements de développement avec les meilleures pratiques pour des privilèges minimum, la sécurité des branches et les outils, extensions et intégrations de confiance.
- Incorporer la sécurité Confiance Zéro dans votre flux de travail de développeur vous permet d’innover rapidement en toute sécurité.
Documentation supplémentaire sur la Confiance Zéro
Consultez le contenu Confiance Zéro suivant selon l’ensemble de documentation ou les rôles dans votre organisation.
Ensemble de documentations
Suivez ce tableau pour déterminer les meilleurs ensembles de documentations Confiance Zéro pour vos besoins.
| Ensemble de documentations | Vous aide à... | Rôles |
|---|---|---|
| Framework d’adoption pour obtenir des directives sur les phases et les étapes pour des solutions et des résultats métier clés | Appliquer des protections Confiance Zéro de la direction à l’implémentation de l’informatique. | Architectes de sécurité, équipes informatiques et responsables de projets |
| Concepts et objectifs de déploiement afin d’obtenir des conseils généraux sur le déploiement pour les domaines technologiques | Appliquer des protections Confiance Zéro alignées sur des domaines technologiques. | Équipes informatiques et personnel de sécurité |
| Confiance Zéro pour les petites entreprises | Appliquer les principes de Confiance Zéro aux clients de type petite entreprise. | Clients et partenaires travaillant avec Microsoft 365 pour les entreprises |
| Plan de modernisation rapide (RaMP) Confiance Zéro pour obtenir des conseils et des listes de contrôle de gestion de projet, pour progresser facilement | Implémenter rapidement les couches clés de la protection Confiance Zéro. | Architectes de sécurité et responsables de l’implémentation de l’informatique |
| Plan de déploiement de Confiance Zéro avec Microsoft 365 pour obtenir des directives détaillées et par étapes sur la conception et le déploiement | Appliquer des protections Confiance Zéro à votre locataire Microsoft 365. | Équipes informatiques et personnel de sécurité |
| Confiance Zéro pour des Microsoft Copilot afin d’obtenir un aide détaillé et par étapes sur la conception et le déploiement | Appliquez des protections Confiance Zéro à Microsoft Copilot. | Équipes informatiques et personnel de sécurité |
| Confiance Zéro pour les services Azure pour obtenir des directives détaillées et par étapes sur la conception et le déploiement | Appliquer des protections Confiance Zéro aux charges de travail et aux services Azure. | Équipes informatiques et personnel de sécurité |
| Intégration de partenaires à Confiance Zéro pour obtenir des directives de conception pour des domaines et des spécialisations technologiques | Appliquer des protections Confiance Zéro aux solutions Microsoft cloud de partenaires. | Développeurs partenaires, équipes informatiques et personnel de sécurité |
Votre rôle
Suivez ce tableau afin de déterminer les meilleurs ensembles de documentation pour votre rôle au sein de votre organisation.
| Rôle | Ensemble de documentations | Vous aide à... |
|---|---|---|
| Architecte de la sécurité Chef de projet informatique Implémentation informatique |
Framework d’adoption pour obtenir des directives sur les phases et les étapes pour des solutions et des résultats métier clés | Appliquer des protections Confiance Zéro de la direction à l’implémentation de l’informatique. |
| Membre d’une équipe informatique ou de sécurité | Concepts et objectifs de déploiement afin d’obtenir des conseils généraux sur le déploiement pour les domaines technologiques | Appliquer des protections Confiance Zéro alignées sur des domaines technologiques. |
| Client ou partenaire pour Microsoft 365 pour les entreprises | Confiance Zéro pour les petites entreprises | Appliquer les principes de Confiance Zéro aux clients de type petite entreprise. |
| Architecte de la sécurité Implémentation informatique |
Plan de modernisation rapide (RaMP) Confiance Zéro pour obtenir des conseils et des listes de contrôle de gestion de projet, pour progresser facilement | Implémenter rapidement les couches clés de la protection Confiance Zéro. |
| Membre d’une équipe informatique ou de sécurité pour Microsoft 365 | Plan de déploiement de Confiance Zéro avec Microsoft 365 pour obtenir des directives détaillées et par étapes sur la conception et le déploiement pour Microsoft 365 | Appliquer des protections Confiance Zéro à votre locataire Microsoft 365. |
| Membre d’une équipe informatique ou de sécurité pour Microsoft Copilot | Confiance Zéro pour des Microsoft Copilot afin d’obtenir un aide détaillé et par étapes sur la conception et le déploiement | Appliquez des protections Confiance Zéro à Microsoft Copilot. |
| Membre d’une équipe informatique ou de sécurité pour les services Azure | Confiance Zéro pour les services Azure pour obtenir des directives détaillées et par étapes sur la conception et le déploiement | Appliquer des protections Confiance Zéro aux charges de travail et aux services Azure. |
| Développeur partenaire, ou membre d’une équipe informatique ou de sécurité | Intégration de partenaires à Confiance Zéro pour obtenir des directives de conception pour des domaines et des spécialisations technologiques | Appliquer des protections Confiance Zéro aux solutions Microsoft cloud de partenaires. |