Sviluppare usando i principi Zero Trust
Questo articolo consente agli sviluppatori di comprendere i principi guida di Zero Trust in modo da migliorare la sicurezza delle applicazioni. Si gioca un ruolo chiave nella sicurezza dell'organizzazione; le applicazioni e i relativi sviluppatori non possono più presupporre che il perimetro di rete sia sicuro. Le applicazioni compromesse possono influire sull'intera organizzazione.
Le organizzazioni distribuiscono nuovi modelli di sicurezza che si adattano a ambienti moderni complessi e abbracciano la forza lavoro mobile. I nuovi modelli sono progettati per proteggere persone, dispositivi, applicazioni e dati ovunque si trovino. Le organizzazioni stanno cercando di raggiungere Zero Trust, una strategia di sicurezza e un approccio per la progettazione e l'implementazione di applicazioni che seguono questi principi guida:
- Verificare esplicita
- Uso dell'accesso con privilegi minimi
- Presunzione di violazione
Invece di presupporre che tutto ciò che è protetto dal firewall aziendale sia sicuro, il modello Zero Trust presuppone la presenza di una violazione e verifica ogni richiesta come se provenisse da una rete non controllata. Indipendentemente dalla posizione di origine della richiesta o dalla risorsa a cui accede, il modello Zero Trust richiede che non si consideri mai attendibile, sempre verificare.
Comprendere che Zero Trust non è una sostituzione dei concetti fondamentali della sicurezza. Con il lavoro proveniente da qualsiasi dispositivo, progettare le applicazioni per incorporare i principi Zero Trust durante il ciclo di sviluppo.
Perché sviluppare con una prospettiva Zero Trust?
- Vediamo un aumento del livello di complessità degli attacchi alla cybersecurity.
- La forza lavoro "lavoro da qualsiasi luogo" ha ridefinito il perimetro di sicurezza. I dati vengono accessibili all'esterno della rete aziendale e condivisi con collaboratori esterni, ad esempio partner e fornitori.
- Le applicazioni e i dati aziendali vengono spostati da ambienti locali ad ambienti ibridi e cloud. I controlli di rete tradizionali non possono più essere basati sulla sicurezza. I controlli devono passare alla posizione in cui si trovano i dati: nei dispositivi e all'interno delle app.
Le linee guida per lo sviluppo in questa sezione consentono di aumentare la sicurezza, ridurre il raggio di un evento imprevisto di sicurezza e ripristinare rapidamente la tecnologia Microsoft.
Passaggi successivi
Sottoscrivere il feed RSS Dei principi Zero Trust per la notifica dei nuovi articoli.
Panoramica delle linee guida per gli sviluppatori
- Cosa si intende per conformità Zero Trust? offre una panoramica della sicurezza delle applicazioni dal punto di vista di uno sviluppatore per affrontare i principi guida di Zero Trust.
- Usare le procedure consigliate per lo sviluppo di identità Zero Trust e di gestione degli accessi nel ciclo di vita di sviluppo delle applicazioni per creare applicazioni sicure.
- Le metodologie di sviluppo basate su standard offrono una panoramica degli standard supportati e dei relativi vantaggi.
- Le responsabilità degli sviluppatori e degli amministratori per la registrazione, l'autorizzazione e l'accesso dell'applicazione consentono di collaborare meglio con i professionisti IT.
Autorizzazioni e accesso
- Creare app che proteggono l'identità tramite autorizzazioni e consenso offre una panoramica delle autorizzazioni e delle procedure consigliate per l'accesso.
- Integrare applicazioni con Microsoft Entra ID e Microsoft Identity Platform consente agli sviluppatori di creare e integrare app che i professionisti IT possono proteggere nell'azienda.
- La registrazione delle applicazioni introduce gli sviluppatori al processo di registrazione dell'applicazione e ai relativi requisiti. Consente loro di garantire che le app soddisfino i principi Zero Trust di usare l'accesso con privilegi minimi e presupporre la violazione.
- I tipi di identità e account supportati per le app a tenant singolo e multi-tenant spiegano come è possibile scegliere se l'app consente solo agli utenti del tenant di Microsoft Entra, a qualsiasi tenant di Microsoft Entra o agli utenti con account Microsoft personali.
- Autenticare gli utenti per Zero Trust consente agli sviluppatori di apprendere le procedure consigliate per autenticare gli utenti delle applicazioni nello sviluppo di applicazioni Zero Trust. Descrive come migliorare la sicurezza delle applicazioni con i principi Zero Trust dei privilegi minimi e verificare in modo esplicito.
- Acquisire l'autorizzazione per accedere alle risorse consente di comprendere come garantire al meglio Zero Trust durante l'acquisizione delle autorizzazioni di accesso alle risorse per l'applicazione.
- Sviluppare una strategia di autorizzazioni delegate consente di implementare l'approccio migliore per gestire le autorizzazioni nell'applicazione e sviluppare usando i principi Zero Trust.
- Sviluppare una strategia di autorizzazioni per le applicazioni consente di decidere l'approccio alle autorizzazioni dell'applicazione per la gestione delle credenziali.
- Richiedere autorizzazioni che richiedono il consenso amministrativo descrive l'autorizzazione e l'esperienza di consenso quando le autorizzazioni dell'applicazione richiedono il consenso amministrativo.
- Ridurre le autorizzazioni e le app con privilegi elevati consente di limitare i privilegi per gestire l'accesso e migliorare la sicurezza.
- Specificare le credenziali di identità dell'applicazione quando non è presente alcun utente spiega le procedure consigliate per le identità gestite per le risorse di Azure per i servizi (applicazioni non utente).
- Gestire i token per Zero Trust consente agli sviluppatori di creare sicurezza nelle applicazioni con token ID, token di accesso e token di sicurezza che possono ricevere da Microsoft Identity Platform.
- Personalizzare i token descrive le informazioni che è possibile ricevere nei token di Microsoft Entra e come personalizzare i token.
- Le applicazioni sicure con la valutazione dell'accesso continuo consentono agli sviluppatori di migliorare la sicurezza delle applicazioni con la valutazione dell'accesso continuo. Informazioni su come garantire il supporto zero trust nelle app che ricevono l'autorizzazione per accedere alle risorse quando acquisiscono token di accesso da Microsoft Entra ID.
- Configurare le attestazioni di gruppo e i ruoli dell'app nei token illustra come configurare le app con definizioni di ruolo dell'app e assegnare gruppi di sicurezza.
- Protezione API descrive le procedure consigliate per proteggere l'API tramite la registrazione, la definizione di autorizzazioni e il consenso e l'applicazione dell'accesso per raggiungere gli obiettivi zero trust.
- Un esempio di API protetta dal framework di consenso delle identità Microsoft consente di progettare strategie di autorizzazioni dell'applicazione con privilegi minimi per un'esperienza utente ottimale.
- Chiamare un'API da un'altra API consente di garantire Zero Trust quando si dispone di un'API che deve chiamare un'altra API. Si apprenderà come sviluppare in modo sicuro l'applicazione quando lavora per conto di un utente.
- Le procedure consigliate per l'autorizzazione consentono di implementare i modelli di autorizzazione, autorizzazione e consenso ottimali per le applicazioni.
Zero Trust DevSecOps
- Gli ambienti DevOps sicuri per Zero Trust descrivono le procedure consigliate per proteggere gli ambienti DevOps.
- Proteggere l'ambiente della piattaforma DevOps consente di implementare i principi Zero Trust nell'ambiente della piattaforma DevOps ed evidenzia le procedure consigliate per la gestione dei segreti e dei certificati.
- Proteggere l'ambiente di sviluppo consente di implementare principi Zero Trust negli ambienti di sviluppo con procedure consigliate per privilegi minimi, sicurezza dei rami e strumenti di attendibilità, estensioni e integrazioni.
- Incorporare la sicurezza Zero Trust nel flusso di lavoro dello sviluppatore consente di innovare in modo rapido e sicuro.
Altre documentazione di Zero Trust
Fare riferimento al contenuto Zero Trust seguente in base al set di documentazione o ai ruoli dell'organizzazione.
Set di documentazione
Seguire questa tabella per i set di documentazione Zero Trust migliori per le proprie esigenze.
| Set di documentazione | Ti aiuta... | Ruoli |
|---|---|---|
| Framework di adozione per fasi e linee guida dettagliate per le principali soluzioni e risultati aziendali | Applicare protezioni Zero Trust dalla suite C all'implementazione IT. | Architetti della sicurezza, team IT e project manager |
| Concetti e obiettivi di distribuzione per indicazioni generali sulla distribuzione per le aree tecnologiche | Applicare protezioni Zero Trust allineate alle aree tecnologiche. | Team IT e personale addetto alla sicurezza |
| Zero Trust per le piccole imprese | Applicare i principi Zero Trust ai clienti di piccole imprese. | Clienti e partner che collaborano con Microsoft 365 per le aziende |
| Piano di modernizzazione rapida Zero Trust (RaMP) per linee guida ed elenchi di controllo per la gestione dei progetti per ottenere facilmente le priorità | Implementare rapidamente i livelli chiave di Protezione Zero Trust. | Architetti della sicurezza e implementatori IT |
| Piano di distribuzione Zero Trust con Microsoft 365 per indicazioni dettagliate sulla progettazione e la distribuzione | Applicare protezioni Zero Trust al tenant di Microsoft 365. | Team IT e personale addetto alla sicurezza |
| Zero Trust for Microsoft Copilots for stepped and detailed design and deployment guidance (Zero Trust for Microsoft Copilots for stepped and detailed design and deployment guidance) | Applicare protezioni Zero Trust a Microsoft Copilots. | Team IT e personale addetto alla sicurezza |
| Zero Trust per i servizi di Azure per indicazioni dettagliate sulla progettazione e sulla distribuzione | Applicare protezioni Zero Trust ai carichi di lavoro e ai servizi di Azure. | Team IT e personale addetto alla sicurezza |
| Integrazione dei partner con Zero Trust per linee guida di progettazione per aree tecnologiche e specializzazioni | Applicare protezioni Zero Trust alle soluzioni cloud Microsoft partner. | Sviluppatori partner, team IT e personale addetto alla sicurezza |
Ruolo
Seguire questa tabella per i set di documentazione migliori per il ruolo dell'organizzazione.
| Ruolo | Set di documentazione | Ti aiuta... |
|---|---|---|
| Architetto della sicurezza Responsabile del progetto IT Implementatore IT |
Framework di adozione per fasi e linee guida dettagliate per le principali soluzioni e risultati aziendali | Applicare protezioni Zero Trust dalla suite C all'implementazione IT. |
| Membro di un team IT o della sicurezza | Concetti e obiettivi di distribuzione per indicazioni generali sulla distribuzione per le aree tecnologiche | Applicare protezioni Zero Trust allineate alle aree tecnologiche. |
| Cliente o partner per Microsoft 365 per le aziende | Zero Trust per le piccole imprese | Applicare i principi Zero Trust ai clienti di piccole imprese. |
| Architetto della sicurezza Implementatore IT |
Piano di modernizzazione rapida Zero Trust (RaMP) per linee guida ed elenchi di controllo per la gestione dei progetti per ottenere facilmente le priorità | Implementare rapidamente i livelli chiave di Protezione Zero Trust. |
| Membro di un team IT o di sicurezza per Microsoft 365 | Piano di distribuzione Zero Trust con Microsoft 365 per indicazioni dettagliate sulla progettazione e sulla distribuzione per Microsoft 365 | Applicare protezioni Zero Trust al tenant di Microsoft 365. |
| Membro di un team IT o di sicurezza per Microsoft Copilots | Zero Trust for Microsoft Copilots for stepped and detailed design and deployment guidance (Zero Trust for Microsoft Copilots for stepped and detailed design and deployment guidance) | Applicare protezioni Zero Trust a Microsoft Copilots. |
| Membro di un team IT o di sicurezza per i servizi di Azure | Zero Trust per i servizi di Azure per indicazioni dettagliate sulla progettazione e sulla distribuzione | Applicare protezioni Zero Trust ai carichi di lavoro e ai servizi di Azure. |
| Sviluppatore partner o membro di un team IT o di sicurezza | Integrazione dei partner con Zero Trust per linee guida di progettazione per aree tecnologiche e specializzazioni | Applicare protezioni Zero Trust alle soluzioni cloud Microsoft partner. |