Sıfır Güven ilkelerini kullanarak geliştirme
Bu makale, bir geliştirici olarak uygulama güvenliğinizi geliştirebilmeniz için Sıfır Güven yol gösterici ilkelerini anlamanıza yardımcı olur. Kuruluş güvenliğinde önemli bir rol oynarsınız; uygulamaları ve geliştiricileri artık ağ çevresinin güvenli olduğunu varsayamıyor. Güvenliği aşılmış uygulamalar tüm kuruluşu etkileyebilir.
Kuruluşlar karmaşık modern ortamlara uyum sağlayan ve mobil iş gücünü benimsemiş yeni güvenlik modelleri dağıtmaktadır. Yeni modeller, bulundukları her yerde kişileri, cihazları, uygulamaları ve verileri korumak için tasarlanmıştır. Kuruluşlar, bu yol gösterici ilkelere uyan uygulamalar tasarlamaya ve uygulamaya yönelik bir güvenlik stratejisi ve yaklaşımı olan Sıfır Güven elde etmek için çaba harcıyor:
- Açıkça doğrula
- En az ayrıcalık erişimi kullan
- İhlal varsay
kurumsal güvenlik duvarının arkasındaki her şeyin güvenli olduğuna inanmak yerine, Sıfır Güven modeli ihlal olduğunu varsayar ve her isteği kontrolsüz bir ağdan geliyormuş gibi doğrular. İsteğin nereden geldiğine veya hangi kaynağa eriştiğine bakılmaksızın, Sıfır Güven modeli "hiçbir zaman güvenmemizi, her zaman doğrulamamızı" gerektirir.
Sıfır Güven'in güvenlikle ilgili temel bilgiler yerine geçe olmadığını anlayın. Herhangi bir cihazdan kaynaklanan işlerle, uygulamalarınızı geliştirme döngünüz boyunca Sıfır Güven ilkeleri içerecek şekilde tasarlayın.
Neden Sıfır Güven bir bakış açısıyla geliştirin?
- Siber güvenlik saldırılarının karmaşıklık düzeyinde bir artış görüyoruz.
- "Her yerden çalışma" iş gücü, güvenlik çevresini yeniden tanımladı. Verilere şirket ağı dışından erişiliyor ve iş ortakları ve satıcılar gibi dış ortak çalışanlarla paylaşılıyor.
- Şirket uygulamaları ve verileri şirket içinden hibrit ve bulut ortamlarına taşınıyor. Geleneksel ağ denetimleri artık güvenlik için kullanılamaz. Denetimlerin verilerin bulunduğu yere taşınması gerekir: cihazlarda ve uygulamaların içinde.
Bu bölümdeki geliştirme kılavuzu güvenliği artırmanıza, bir güvenlik olayının patlama yarıçapını azaltmanıza ve Microsoft teknolojisini kullanarak hızla kurtarmanıza yardımcı olur.
Sonraki adımlar
Yeni makalelerin bildirimi için Sıfır Güven ilkeleri kullanarak geliştirme RSS akışımıza abone olun.
Geliştirici kılavuzuna genel bakış
- Sıfır Güven uyumluluğuyla ne demek istiyoruz? Sıfır Güven yol gösteren ilkeleri ele almak için geliştirici perspektifinden uygulama güvenliğine genel bir bakış sağlar.
- Güvenli uygulamalar oluşturmak için uygulama geliştirme yaşam döngünüzde Sıfır Güven kimlik ve erişim yönetimi geliştirme en iyi yöntemlerini kullanın.
- Standartlara dayalı geliştirme metodolojileri , desteklenen standartlara ve bunların avantajlarına genel bir bakış sağlar.
- Uygulama kaydı, yetkilendirme ve erişim için geliştirici ve yönetici sorumlulukları, BT Uzmanlarınızla daha iyi işbirliği yapma konusunda size yardımcı olur.
İzinler ve erişim
- İzinler ve onaylar aracılığıyla kimliğin güvenliğini sağlayan uygulamalar derlemek, izinlere ve erişime yönelik en iyi yöntemlere genel bir bakış sağlar.
- Uygulamaları Microsoft Entra ID ile tümleştirme ve Microsoft kimlik platformu, geliştiricilerin BT uzmanlarının kuruluşta güvenliğini sağlayabildiği uygulamalar oluşturmasına ve tümleştirmesine yardımcı olur.
- Uygulamaları kaydetme, geliştiricileri uygulama kayıt sürecine ve gereksinimlerine tanıtır. Uygulamaların en az ayrıcalıklı erişim kullanma ve ihlal varsayma Sıfır Güven ilkelerine uymasını sağlamalarına yardımcı olur.
- Tek ve çok kiracılı uygulamalar için desteklenen kimlik ve hesap türleri, uygulamanızın yalnızca Microsoft Entra kiracınızdaki, herhangi bir Microsoft Entra kiracınızdaki veya kişisel Microsoft hesabı olan kullanıcılara izin vermeyi nasıl seçebileceğinizi açıklar.
- Sıfır Güven için kullanıcıların kimliğini doğrulama, geliştiricilerin uygulama geliştirme Sıfır Güven uygulama kullanıcılarının kimliğini doğrulamaya yönelik en iyi yöntemleri öğrenmesine yardımcı olur. Uygulama güvenliğini en az ayrıcalıklı Sıfır Güven ilkeleriyle geliştirmeyi ve açıkça doğrulamayı açıklar.
- Kaynaklara erişmek için yetkilendirme alma, uygulamanız için kaynak erişim izinleri alırken Sıfır Güven en iyi şekilde nasıl sağlayacağınızı anlamanıza yardımcı olur.
- Temsilcili izinler stratejisi geliştirme, uygulamanızdaki izinleri yönetmek ve Sıfır Güven ilkeleri kullanarak geliştirmek için en iyi yaklaşımı uygulamanıza yardımcı olur.
- Uygulama izinleri stratejisi geliştirme , kimlik bilgileri yönetimine yönelik uygulama izinleri yaklaşımınıza karar vermenize yardımcı olur.
- Yönetici onayı gerektiren istek izinleri, uygulama izinleri yönetici onayı gerektirdiğinde izin ve onay deneyimini açıklar.
- Fazla ayrıcalıklı izinleri ve uygulamaları azaltma, erişimi yönetmek ve güvenliği geliştirmek için ayrıcalığı sınırlamanıza yardımcı olur.
- Hizmetlerde (kullanıcı olmayan uygulamalar) en iyi Azure kaynakları için Yönetilen Kimlikler'i açıklayan bir kullanıcı olmadığında uygulama kimliği kimlik bilgilerini sağlayın.
- Sıfır Güven için belirteçleri yönetme, geliştiricilerin Microsoft kimlik platformu alabilecekleri kimlik belirteçleri, erişim belirteçleri ve güvenlik belirteçleri olan uygulamalarda güvenlik oluşturmasına yardımcı olur.
- Belirteçleri özelleştirme, Microsoft Entra belirteçlerinde alabileceğiniz bilgileri ve belirteçleri nasıl özelleştirebileceğinizi açıklar.
- Sürekli Erişim Değerlendirmesi ile güvenli uygulamalar, geliştiricilerin Sürekli Erişim Değerlendirmesi ile uygulama güvenliğini geliştirmelerine yardımcı olur. Microsoft Entra Id'den erişim belirteçleri aldıklarında kaynaklara erişim yetkisi alan uygulamalarınızda Sıfır Güven desteğinin nasıl sağlandığını öğrenin.
- Belirteçlerde grup taleplerini ve uygulama rollerini yapılandırma, uygulama rolü tanımlarıyla uygulamalarınızı yapılandırmayı ve güvenlik gruplarını atamayı gösterir.
- API Koruması, api'nizi kayıt, izin ve onay tanımlama ve Sıfır Güven hedeflerinize ulaşmak için erişimi zorlama yoluyla korumaya yönelik en iyi yöntemleri açıklar.
- Microsoft kimlik onayı çerçevesi tarafından korunan API örneği, en iyi kullanıcı deneyimi için en az ayrıcalıklı uygulama izinleri stratejileri tasarlamanıza yardımcı olur.
- Başka bir API'den API çağırma, başka bir API'yi çağırması gereken bir API'niz olduğunda Sıfır Güven emin olmanıza yardımcı olur. Bir kullanıcı adına çalışırken uygulamanızı güvenli bir şekilde geliştirmeyi öğreneceksiniz.
- Yetkilendirme en iyi yöntemleri , uygulamalarınız için en iyi yetkilendirme, izin ve onay modellerini uygulamanıza yardımcı olur.
DevSecOps'Sıfır Güven
- Sıfır Güven için Güvenli DevOps ortamları, DevOps ortamlarınızın güvenliğini sağlamaya yönelik en iyi yöntemleri açıklar.
- DevOps platform ortamının güvenliğini sağlama, DevOps platform ortamınızda Sıfır Güven ilkeleri uygulamanıza yardımcı olur ve gizli dizi ve sertifika yönetimi için en iyi yöntemleri vurgular.
- Geliştirici ortamının güvenliğini sağlama, geliştirme ortamlarınızda en az ayrıcalık, dal güvenliği ve güvenen araçlar, uzantılar ve tümleştirmeler için en iyi yöntemlerle Sıfır Güven ilkeleri uygulamanıza yardımcı olur.
- Geliştirici iş akışınıza Sıfır Güven güvenliği ekleme, hızlı ve güvenli bir şekilde yenilik oluşturmanıza yardımcı olur.
Diğer Sıfır Güven belgeleri
Kuruluşunuzdaki belge kümesine veya rollere göre aşağıdaki Sıfır Güven içeriğine başvurun.
Belge kümesi
İhtiyaçlarınıza en uygun Sıfır Güven belge kümeleri için bu tabloyu izleyin.
| Belge kümesi | Size yardımcı olur... | Roller |
|---|---|---|
| Önemli iş çözümleri ve sonuçları için aşama ve adım kılavuzuna yönelik benimseme çerçevesi | C paketinden BT uygulamasına Sıfır Güven korumaları uygulayın. | Güvenlik mimarları, BT ekipleri ve proje yöneticileri |
| Teknoloji alanları için genel dağıtım kılavuzuna yönelik kavramlar ve dağıtım hedefleri | Teknoloji alanlarıyla uyumlu Sıfır Güven korumaları uygulayın. | BT ekipleri ve güvenlik personeli |
| Küçük işletmeler için Sıfır Güven | Küçük işletme müşterilerine Sıfır Güven ilkeleri uygulayın. | İş için Microsoft 365 ile çalışan müşteriler ve iş ortakları |
| Proje yönetimi kılavuzu ve kolay kazançlar için denetim listeleri için hızlı modernizasyon planı (RaMP) Sıfır Güven | Sıfır Güven korumanın önemli katmanlarını hızla uygulayın. | Güvenlik mimarları ve BT uygulayıcıları |
| Basamaklı ve ayrıntılı tasarım ve dağıtım kılavuzu için Microsoft 365 ile Sıfır Güven dağıtım planı | Microsoft 365 kiracınıza Sıfır Güven korumaları uygulayın. | BT ekipleri ve güvenlik personeli |
| Basamaklı ve ayrıntılı tasarım ve dağıtım kılavuzu için Microsoft Copilots için Sıfır Güven | Microsoft Copilots'a Sıfır Güven korumaları uygulayın. | BT ekipleri ve güvenlik personeli |
| Basamaklı ve ayrıntılı tasarım ve dağıtım kılavuzu için Azure hizmetleri için Sıfır Güven | Azure iş yüklerine ve hizmetlerine Sıfır Güven korumaları uygulayın. | BT ekipleri ve güvenlik personeli |
| Teknoloji alanları ve uzmanlıklar için tasarım kılavuzu için Sıfır Güven ile iş ortağı tümleştirmesi | İş ortağı Microsoft bulut çözümlerine Sıfır Güven korumaları uygulayın. | İş ortağı geliştiricileri, BT ekipleri ve güvenlik personeli |
Rolünüz
Kuruluşunuzdaki rolünüz için en iyi belge kümeleri için bu tabloyu izleyin.
| Role | Belge kümesi | Size yardımcı olur... |
|---|---|---|
| Güvenlik mimarı BT proje yöneticisi BT uygulayıcısı |
Önemli iş çözümleri ve sonuçları için aşama ve adım kılavuzuna yönelik benimseme çerçevesi | C paketinden BT uygulamasına Sıfır Güven korumaları uygulayın. |
| BT veya güvenlik ekibinin üyesi | Teknoloji alanları için genel dağıtım kılavuzuna yönelik kavramlar ve dağıtım hedefleri | Teknoloji alanlarıyla uyumlu Sıfır Güven korumaları uygulayın. |
| İş için Microsoft 365 müşterisi veya iş ortağı | Küçük işletmeler için Sıfır Güven | Küçük işletme müşterilerine Sıfır Güven ilkeleri uygulayın. |
| Güvenlik mimarı BT uygulayıcısı |
Proje yönetimi kılavuzu ve kolay kazançlar için denetim listeleri için hızlı modernizasyon planı (RaMP) Sıfır Güven | Sıfır Güven korumanın önemli katmanlarını hızla uygulayın. |
| Microsoft 365 için BT veya güvenlik ekibinin üyesi | Microsoft 365 için basamaklı ve ayrıntılı tasarım ve dağıtım kılavuzu için Microsoft 365 ile Sıfır Güven dağıtım planı | Microsoft 365 kiracınıza Sıfır Güven korumaları uygulayın. |
| Microsoft Copilots için BT veya güvenlik ekibinin üyesi | Basamaklı ve ayrıntılı tasarım ve dağıtım kılavuzu için Microsoft Copilots için Sıfır Güven | Microsoft Copilots'a Sıfır Güven korumaları uygulayın. |
| Azure hizmetleri için BT veya güvenlik ekibinin üyesi | Basamaklı ve ayrıntılı tasarım ve dağıtım kılavuzu için Azure hizmetleri için Sıfır Güven | Azure iş yüklerine ve hizmetlerine Sıfır Güven korumaları uygulayın. |
| İş ortağı geliştiricisi veya BT veya güvenlik ekibinin üyesi | Teknoloji alanları ve uzmanlıklar için tasarım kılavuzu için Sıfır Güven ile iş ortağı tümleştirmesi | İş ortağı Microsoft bulut çözümlerine Sıfır Güven korumaları uygulayın. |