Desenvolver usando os princípios Zero Trust
Este artigo ajuda você, como desenvolvedor, a entender os princípios orientadores do Zero Trust para que você possa melhorar a segurança do seu aplicativo. Você desempenha um papel fundamental na segurança organizacional; Os aplicativos e seus desenvolvedores não podem mais assumir que o perímetro da rede é seguro. Aplicativos comprometidos podem afetar toda a organização.
As organizações estão implantando novos modelos de segurança que se adaptam a ambientes modernos complexos e adotam a força de trabalho móvel. Novos modelos são projetados para proteger pessoas, dispositivos, aplicativos e dados onde quer que estejam localizados. As organizações estão se esforçando para alcançar o Zero Trust, uma estratégia e abordagem de segurança para projetar e implementar aplicativos que seguem estes princípios orientadores:
- Verificar explicitamente
- Usar acesso com privilégios mínimos
- Assuma a violação
Em vez de acreditar que tudo por trás do firewall corporativo é seguro, o modelo Zero Trust assume a violação e verifica cada solicitação como se tivesse sido originada de uma rede não controlada. Independentemente da origem do pedido ou do recurso a que acede, o modelo Zero Trust exige que "nunca confiemos, verifiquemos sempre".
Entenda que o Zero Trust não substitui os fundamentos de segurança. Com trabalho originado de qualquer lugar e em qualquer dispositivo, projete seus aplicativos para incorporar os princípios Zero Trust durante todo o ciclo de desenvolvimento.
Porquê desenvolver com uma perspetiva Zero Trust?
- Assistimos a um aumento do nível de sofisticação dos ataques de cibersegurança.
- A força de trabalho "trabalha de qualquer lugar" redefiniu o perímetro de segurança. Os dados estão sendo acessados fora da rede corporativa e compartilhados com colaboradores externos, como parceiros e fornecedores.
- Os aplicativos e dados corporativos estão migrando de ambientes locais para ambientes híbridos e em nuvem. Os controles de rede tradicionais não podem mais ser confiáveis para segurança. Os controles precisam se mover para onde os dados estão: em dispositivos e dentro de aplicativos.
As orientações de desenvolvimento nesta secção ajudam-no a aumentar a segurança, a reduzir o raio de explosão de um incidente de segurança e a recuperar rapidamente utilizando a tecnologia Microsoft.
Próximos passos
Subscreva o nosso feed RSS Desenvolver utilizando os princípios Zero Trust para notificação de novos artigos.
Visão geral da orientação do desenvolvedor
- O que queremos dizer com conformidade com Zero Trust? fornece uma visão geral da segurança de aplicativos da perspetiva de um desenvolvedor para abordar os princípios orientadores do Zero Trust.
- Use as práticas recomendadas de desenvolvimento de gerenciamento de acesso e identidade Zero Trust em seu ciclo de vida de desenvolvimento de aplicativos para criar aplicativos seguros.
- O uso de metodologias de desenvolvimento baseadas em padrões fornece uma visão geral dos padrões suportados (OAuth 2.0, OpenID Connect, SAML, WS-Federation e SCIM) e os benefícios de usá-los com o MSAL e a plataforma de identidade da Microsoft.
- As responsabilidades do desenvolvedor e administrador para registro, autorização e acesso de aplicativos ajudam você a colaborar melhor com seus profissionais de TI.
Permissões e acesso
- A criação de aplicativos que protegem a identidade por meio de permissões e consentimento fornece uma visão geral das permissões e das práticas recomendadas de acesso.
- A integração de aplicativos com o Microsoft Entra ID e a plataforma de identidade da Microsoft ajuda os desenvolvedores a criar e integrar aplicativos que os profissionais de TI podem proteger na empresa, integrando com segurança aplicativos com o Microsoft Entra ID e a plataforma de identidade da Microsoft.
- O registro de aplicativos apresenta aos desenvolvedores o processo de registro de aplicativos e seus requisitos. Isso os ajuda a garantir que os aplicativos satisfaçam os princípios Zero Trust de usar acesso menos privilegiado e assumir violação.
- Identidade e tipos de conta suportados para aplicações de inquilino único e multilocatário explica como pode escolher se a sua aplicação permite apenas utilizadores do seu inquilino do Microsoft Entra, qualquer inquilino do Microsoft Entra ou utilizadores com contas pessoais da Microsoft.
- A autenticação de usuários para o Zero Trust ajuda os desenvolvedores a aprender as práticas recomendadas para autenticar usuários de aplicativos no desenvolvimento de aplicativos Zero Trust. Ele descreve como melhorar a segurança do aplicativo com os princípios Zero Trust de menor privilégio e verificar explicitamente.
- Adquirir autorização para acessar recursos ajuda você a entender como melhor garantir o Zero Trust ao adquirir permissões de acesso a recursos para seu aplicativo.
- O desenvolvimento da estratégia de permissões delegadas ajuda você a implementar a melhor abordagem para gerenciar permissões em seu aplicativo e desenvolver usando os princípios de Zero Trust.
- O desenvolvimento da estratégia de permissões de aplicativos ajuda você a decidir sobre a abordagem de permissões de aplicativos para o gerenciamento de credenciais.
- Solicitar permissões que exigem consentimento administrativo descreve a experiência de permissão e consentimento quando as permissões do aplicativo exigem consentimento administrativo.
- A redução de permissões e aplicativos com privilégios excessivos ajuda você a entender por que os aplicativos não devem solicitar mais permissões do que precisam (superprivilegiados) e como limitar os privilégios para gerenciar o acesso e melhorar a segurança.
- Fornecer credenciais de identidade de aplicativo quando não há usuário explica por que a melhor prática de credenciais de cliente Zero Trust para serviços (aplicativos não usuários) no Azure é Identidades Gerenciadas para recursos do Azure.
- O gerenciamento de tokens para Zero Trust ajuda os desenvolvedores a criar segurança em aplicativos com tokens de ID, tokens de acesso e tokens de segurança que eles podem receber da plataforma de identidade da Microsoft.
- Personalizando tokens descreve as informações que você pode receber em tokens do Microsoft Entra e como você pode personalizar tokens.
- A proteção de aplicativos com a Avaliação de Acesso Contínuo ajuda os desenvolvedores a melhorar a segurança de aplicativos com a Avaliação de Acesso Contínuo. Saiba como garantir o suporte Zero Trust em seus aplicativos que recebem autorização para acessar recursos quando adquirem tokens de acesso do Microsoft Entra ID.
- Configurar declarações de grupo e funções de aplicativo em tokens mostra como configurar seus aplicativos com definições de função de aplicativo e atribuir grupos de segurança.
- A Proteção de API descreve as práticas recomendadas para proteger sua API por meio de registro, definição de permissões e consentimento e imposição de acesso para atingir suas metas de Zero Trust.
- Exemplo de API protegida pela estrutura de consentimento de identidade da Microsoft ajuda você a projetar estratégias de permissões de aplicativo de privilégios mínimos para a melhor experiência do usuário.
- Chamar uma API de outra API ajuda a garantir o Zero Trust quando você tem uma API que precisa chamar outra API. Você aprenderá como desenvolver seu aplicativo com segurança quando ele estiver trabalhando em nome de um usuário.
- As práticas recomendadas de autorização ajudam você a implementar os melhores modelos de autorização, permissão e consentimento para seus aplicativos.
Zero Trust DevSecOps
- Protegendo ambientes de DevOps para Zero Trust descreve as práticas recomendadas para proteger seus ambientes de DevOps com uma abordagem Zero Trust para evitar que hackers comprometam caixas de desenvolvedores, infetem pipelines de liberação com scripts mal-intencionados e obtenham acesso a dados de produção por meio de ambientes de teste.
- Proteger o ambiente da plataforma DevOps ajuda você a implementar os princípios Zero Trust em seu ambiente de plataforma DevOps e destaca as práticas recomendadas para gerenciamento secreto e de certificados.
- Proteger o ambiente do desenvolvedor ajuda você a implementar os princípios do Zero Trust em seus ambientes de desenvolvimento com práticas recomendadas para privilégios mínimos, segurança de filial e ferramentas, extensões e integrações confiáveis.
- Incorporar a segurança Zero Trust no seu fluxo de trabalho de desenvolvedor ajuda você a inovar de forma rápida e segura.
Documentação adicional do Zero Trust
Use conteúdo adicional do Zero Trust com base em um conjunto de documentação ou nas funções em sua organização.
Conjunto de documentação
Siga esta tabela para obter os melhores conjuntos de documentação Zero Trust para as suas necessidades.
| Conjunto de documentação | Ajuda-o... | Funções |
|---|---|---|
| Estrutura de adoção para orientação de fases e etapas para as principais soluções e resultados de negócios | Aplique proteções Zero Trust do C-suite à implementação de TI. | Arquitetos de segurança, equipes de TI e gerentes de projeto |
| Conceitos e objetivos de implantação para orientações gerais de implantação para áreas de tecnologia | Aplique proteções Zero Trust alinhadas com as áreas de tecnologia. | Equipas de TI e pessoal de segurança |
| Zero Trust para pequenas empresas | Aplique os princípios do Zero Trust aos clientes de pequenas empresas. | Clientes e parceiros que trabalham com o Microsoft 365 para empresas |
| Zero Trust Rapid Modernization Plan (RaMP) para orientação de gerenciamento de projetos e listas de verificação para ganhos fáceis | Implemente rapidamente as principais camadas de proteção Zero Trust. | Arquitetos de segurança e implementadores de TI |
| Plano de implantação Zero Trust com o Microsoft 365 para orientação de projeto e implantação escalonada e detalhada | Aplique proteções Zero Trust ao seu locatário do Microsoft 365. | Equipas de TI e pessoal de segurança |
| Zero Trust for Microsoft Copilots para orientação de projeto e implantação escalonada e detalhada | Aplique proteções Zero Trust aos Microsoft Copilots. | Equipas de TI e pessoal de segurança |
| Serviços Zero Trust para Azure para orientações de projeto e implantação escalonadas e detalhadas | Aplique proteções Zero Trust a cargas de trabalho e serviços do Azure. | Equipas de TI e pessoal de segurança |
| Integração de parceiros com a Zero Trust para orientação de design para áreas de tecnologia e especializações | Aplique proteções Zero Trust a soluções de nuvem parceiras da Microsoft. | Desenvolvedores parceiros, equipes de TI e equipe de segurança |
A sua função
Siga esta tabela para obter os melhores conjuntos de documentação para a sua função na sua organização.
| Função | Conjunto de documentação | Ajuda-o... |
|---|---|---|
| Arquiteto de segurança Gerente de projetos de TI Implementador de TI |
Estrutura de adoção para orientação de fases e etapas para as principais soluções e resultados de negócios | Aplique proteções Zero Trust do C-suite à implementação de TI. |
| Membro de uma equipa de TI ou de segurança | Conceitos e objetivos de implantação para orientações gerais de implantação para áreas de tecnologia | Aplique proteções Zero Trust alinhadas com as áreas de tecnologia. |
| Cliente ou parceiro do Microsoft 365 para empresas | Zero Trust para pequenas empresas | Aplique os princípios do Zero Trust aos clientes de pequenas empresas. |
| Arquiteto de segurança Implementador de TI |
Zero Trust Rapid Modernization Plan (RaMP) para orientação de gerenciamento de projetos e listas de verificação para ganhos fáceis | Implemente rapidamente as principais camadas de proteção Zero Trust. |
| Membro de uma equipe de TI ou segurança do Microsoft 365 | Plano de implantação Zero Trust com o Microsoft 365 para diretrizes de projeto e implantação escalonadas e detalhadas para o Microsoft 365 | Aplique proteções Zero Trust ao seu locatário do Microsoft 365. |
| Membro de uma equipe de TI ou segurança do Microsoft Copilots | Zero Trust for Microsoft Copilots para orientação de projeto e implantação escalonada e detalhada | Aplique proteções Zero Trust aos Microsoft Copilots. |
| Membro de uma equipe de TI ou segurança para serviços do Azure | Serviços Zero Trust para Azure para orientações de projeto e implantação escalonadas e detalhadas | Aplique proteções Zero Trust a cargas de trabalho e serviços do Azure. |
| Desenvolvedor parceiro ou membro de uma equipe de TI ou segurança | Integração de parceiros com a Zero Trust para orientação de design para áreas de tecnologia e especializações | Aplique proteções Zero Trust a soluções de nuvem parceiras da Microsoft. |
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários