Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этом разделе содержатся рекомендации компании Microsoft по модели зрелости нулевого доверия CISA Zero Trust Maturity в столпе приложений и рабочих нагрузок.
4 Приложения и рабочие нагрузки
Согласно определению CISA, приложения и рабочие нагрузки включают корпоративные системы, компьютерные программы и службы, которые выполняются локально, на мобильных устройствах и в облачных средах.
Чтобы перейти к разделам руководства, воспользуйтесь приведенными ниже ссылками.
- введение
- Идентичность
- устройства
- Сети
- Приложения и рабочие нагрузки
- данных
4.1 Функция: доступ к приложению
| Описание этапа CISA ZTMM | руководство и рекомендации Майкрософт |
|---|---|
|
начальное состояние зрелости Предприятие начинает внедрять возможности авторизации доступа к приложениям, которые включают контекстную информацию (например, идентификацию, соответствие устройства и/или другие атрибуты) для каждого запроса с истечением срока действия. |
приложения Microsoft Entra ID используйте платформу Microsoft Entra ID в качестве поставщика удостоверений предприятия (IdP). Установите политику для использования идентификатора Microsoft Entra для новых приложений. Авторизация доступа к приложению с помощью назначения пользователей и групп приложений. Идентификатор Microsoft Entra реализует стандартные отраслевые протоколы при сочетании с условным доступом Microsoft Entra. Включите контекстную информацию для каждого запроса с истечением срока действия. - Интегрировать Microsoft Entra ID и приложения - Токены и утверждения - Назначить пользователей и группы в приложении Условный доступ Использовать сигналы устройства, такие как расположение, в политиках Условного доступа для принятия решений по безопасности. Используйте фильтры на основе атрибутов устройства для включения и исключения политик. - условия - фильтр для устройств |
|
состояние расширенной зрелости Enterprise автоматизирует решения о доступе приложений с расширенными контекстными сведениями и условия истечения срока действия, которые соответствуют принципам наименьших привилегий. |
условный доступ Автоматизировать решения о доступе к приложениям с помощью политик условного доступа, которые соответствуют корпоративным требованиям. Условный доступ — это точка принятия решений политики (PDP) для доступа к приложениям или ресурсам. Расширьте конкретную контекстную информацию для устройств в решениях о доступе. Требовать совместимые устройства или гибридные устройства, присоединенные к Microsoft Entra. Предоставляйте контроль для обеспечения доступа только для известных или совместимых устройств. - условный доступ - политика на основе устройств - гибридное присоединение Microsoft Entra Повышайте автоматические решения о доступе к приложениям, используя расширенные контекстные сведения. Настройте политики условного доступа для приложений, защищенных действий и проверки подлинности. Настройте условия истечения срока действия с помощью управления сеансами по частоте входа в систему. - Защищенные действия - руководство разработчика по аутентификации - условного доступа: сеанс Microsoft Intune Зарегистрировать устройства с помощью Microsoft Entra ID и управлять конфигурацией с помощью Intune. Оценка соответствия устройств политикам Intune. - Зарегистрированные устройства - Соответствие политик устройств Microsoft Defender для облачных приложений Мониторинг и управление сеансами в облачных приложениях с помощью Defender для облачных приложений. - Защита приложений - политика сеанса - проверка подлинности для рискованных действий Настройка политики для гигиены приложений: неиспользуемые приложения, неиспользуемые учетные данные и учетные данные с истекающим сроком действия. функции управления приложениями роли приложений Microsoft Entra Создавайте модели авторизации и разрешений приложений с использованием ролей приложений. Чтобы делегировать управление приложениями, назначьте владельцам управление конфигурацией приложений, также зарегистрируйтесь и назначьте роли приложения. роли приложений |
|
оптимальное состояние зрелости Enterprise постоянно авторизует доступ к приложениям, включая аналитику рисков в режиме реального времени и факторы, такие как поведение или шаблоны использования. |
Защита идентификаторов Microsoft Entra ID Protection оценивает уровень риска пользователя и входа. В комплексе Microsoft Defender XDR обнаружения в реальном времени и в автономном режиме определяют совокупный уровень риска. Чтобы применить политики адаптивного доступа на основе рисков, используйте условия риска в политиках условного доступа. - защита идентификаторов - риск в защите идентификаторов оценка непрерывного доступа Механизм оценки непрерывного доступа (CAE) позволяет приложениям реагировать на нарушения политики практически в реальном времени без ожидания истечения срока действия маркера. Приложения, поддерживающие CAE, реагируют на критические события, включая пользователя, помеченного как представляющего высокий риск в системе защиты идентификаторов. Обзор CAE Глобальный безопасный доступ Чтобы снизить риск кражи токенов и атак воспроизведения, настройте соответствующие механизмы сетевой защиты, которые работают со службами, поддерживающими CAE. В режиме практически в реальном времени приложение отклоняет украденные токены доступа, используемые вне сети арендатора. - Global Secure Access - Microsoft Entra Internet Access - проверка совместимости сети |
Функция 4.2. Защита от угроз приложений
| Описание Этапа CISA ZTMM | Руководства и рекомендации Майкрософт |
|---|---|
|
начальное состояние зрелости Enterprise интегрирует защиту от угроз в критически важные рабочие процессы приложений, применяя защиту от известных угроз и некоторых угроз, относящихся к приложениям. |
Microsoft Entra ID Сделайте Microsoft Entra ID частью каждого запроса доступа. Реализуйте политику, которая требует, чтобы критически важные приложения были интегрированы с идентификатором Microsoft Entra ID. Убедитесь, что защита от угроз является частью рабочих процессов приложений. - управление приложениями - Добавление корпоративных приложений - миграции приложений и проверки подлинности Microsoft Defender для облачных приложений Настройка Defender для облачных приложений для обнаружения и оповещения о рискованных приложениях OAuth. Изучите и отслеживайте разрешения приложений, предоставленные пользователями. Рискованные приложения OAuth Шлюз приложений Azure Развертывайте приложения и API Azure за шлюзом приложений Azure с брандмауэром веб-приложений Azure в режиме предотвращения. Включите базовый набор правил проекта Open Web Application Security Project (OWASP) Core Rule Set (CRS). брандмауэр веб-приложений Microsoft Defender XDR Defender XDR является интегрированным комплексом защиты до и после нарушения безопасности, который координирует действия по обнаружению, предотвращению, расследованию и реагированию в конечных точках, а также с идентификационными данными, электронной почтой и приложениями. - Defender XDR - настройка средств XDR |
|
состояние расширенной зрелости Enterprise интегрирует защиту от угроз во все рабочие процессы приложений, обеспечивая защиту от некоторых конкретных и целевых угроз. |
идентификатор Microsoft Entra размещайте идентификатор Microsoft Entra на пути запросов на доступ. Реализация политики, предписывающей интеграцию приложений с Microsoft Entra ID. Убедитесь, что защита от угроз применяется ко всем приложениям. - управление приложениями - добавление корпоративных приложений - миграция приложений и проверка подлинности Microsoft Entra условный доступзащита токенов включение защиты токенов или их привязки в политике условного доступа. Защита маркеров снижает атаки, гарантируя, что маркеры доступны на предполагаемых устройствах. защита токенов прокси приложения Microsoft Entra Использовать прокси приложения и Microsoft Entra ID для частных приложений, использующих устаревшие протоколы проверки подлинности. Разверните прокси приложения или интегрируйте решения партнеров по безопасному гибридному доступу (SHA). Чтобы расширить защиту, настройте политики сеансов в Microsoft Defender для облачных приложений. - Защита устаревших приложений - вопросы безопасности прокси приложения - создание политики сеансов средства управления уязвимостями Microsoft Defender сканеры без агента управления уязвимостями Defender постоянно отслеживают и обнаруживают риск. Консолидированные инвентаризации — это представление уязвимостей программного обеспечения в режиме реального времени, цифровые сертификаты с использованием слабых криптографических алгоритмов, уязвимостей оборудования и встроенного ПО, а также опасных расширений браузера на конечных точках. Defender по управлению уязвимостями Defender для Cloud включить защиту рабочих нагрузок для рабочих нагрузок приложений. Используйте Defender для серверов P2 для подключения серверов к Microsoft Defender для конечной точки и управления уязвимостями Defender для серверов. - Defender для службы приложений - Defender для API - Defender для контейнеров - Defender для серверов Microsoft Entra Workload ID Premium для интеграции защиты от угроз в процессы работы приложений. Настройте защиту удостоверений рабочих нагрузок. обеспечьте безопасность рабочих нагрузок |
|
Оптимальное состояние зрелости Enterprise интегрирует расширенную защиту от угроз во все рабочие процессы приложений, предлагая видимость в режиме реального времени и защиту с учетом содержимого от сложных атак, адаптированных к приложениям. |
Microsoft Defender for Cloud Apps настройте политики управления сеансами в Microsoft Defender for Cloud Apps для обеспечения видимости и контроля в режиме реального времени. Используйте политики файлов для сканирования содержимого в режиме реального времени, применения меток и ограничения действий с файлами. - видимость и управление облачными приложениями - политика файлов Defender XDR, Microsoft Sentinel Интеграция Defender XDR и Microsoft Sentinel. - Defender XDR - Sentinel и Defender XDR для нулевого доверия Fusion в Sentinel Fusion — это правило аналитики обнаружения многоэтапных атак в Sentinel. Fusion имеет подсистему корреляции машинного обучения, которая обнаруживает многоэтапные атаки или расширенные постоянные угрозы (APTs). Он определяет аномальное поведение и подозрительные действия. Инциденты характеризуются низким объемом, высокой точностью и высокой степенью серьезности. - обнаружение многоэтапных атак - настройка аномалий - правил аналитики аномалий глобальный безопасный доступ обеспечить безопасный доступ к приложениям и ресурсам, постоянно отслеживая и управляя доступом пользователей в режиме реального времени. Интеграция с Defender для облачных приложений для видимости и контроля использования программного обеспечения и безопасности. Предотвращайте сложные атаки, такие как кража повторно используемых токенов, с помощью проверки соответствия сети для клиента в условном доступе. Поддерживать производительность и осуществлять проверки безопасности на основе расположения. Для предотвращения обхода служб безопасности на границе сети (SSE) для приложений SaaS. - глобальный безопасный доступ - проверка сети |
4.3 Функция: доступные приложения
| описание этапа CISA ZTMM | руководящие принципы и рекомендации Майкрософт |
|---|---|
|
Состояние начальной зрелости Предприятие предоставляет некоторые из своих актуальных критически важных приложений через открытые общедоступные сети авторизованным пользователям по мере необходимости с помощью брокерских подключений. |
Microsoft Entra ID добавьте Microsoft Entra ID в процесс обработки запросов на доступ. Реализуйте политику, которая требует, чтобы критически важные приложения были интегрированы с идентификатором Microsoft Entra. - управление приложениями - Добавление корпоративных приложений - миграции приложений и проверки подлинности Microsoft Azure Миграция и модернизация приложений путем их внедрения в Azure. - миграция приложений - модернизировать приложения и платформы - создать план миграции прокси приложения Microsoft Entra Настроить прокси приложения для публикации внутренних критически важных веб-приложений, доступ к которым предоставляется пользователям, авторизованным идентификатором Microsoft Entra. - прокси приложения - Настройка единого входа для приложений Microsoft Defender для облачных приложений Для мониторинга и ограничения сеансов используйте политики сеансов для брокера подключений приложений с помощью Defender для облачных приложений. - Defender для облачных приложений - Подключение приложений к Defender - Создание политики сеансов условного доступа Microsoft Entra Настройка политики для авторизации доступа к приложениям, интегрированным с идентификатором Microsoft Entra. Настройте управление приложениями условного доступа для требования использования брокеров безопасности облачного доступа (CASBs) в Defender для облачных приложений. - Управление условным доступом, управление приложениями - |
|
состояние расширенной зрелости Enterprise делает большую часть своих применимых критически важных приложений доступными через открытые общедоступные сетевые подключения к авторизованным пользователям по мере необходимости. |
Используйте руководство в начальный статус зрелостии включите наиболее важные приложения. |
|
оптимальное состояние зрелости Enterprise делает все применимые приложения доступными для открытых общедоступных сетей авторизованным пользователям и устройствам, где это необходимо. |
Используйте руководство в начального состояния зрелостии включите все приложения.
условного доступа настроить политику условного доступа, требующую совместимых устройств для приложений. Доступ к несоответствующим устройствам блокируется. Требовать совместимые устройства |
4.4 Функция: рабочий процесс разработки и развертывания безопасных приложений
| Описание этапа CISA ZTMM | Руководства и рекомендации Microsoft |
|---|---|
|
начальное состояние зрелости Enterprise предоставляет инфраструктуру для разработки, тестирования и эксплуатационных сред (включая автоматизацию) с механизмами развертывания промышленного кода через конвейеры CI/CD и необходимыми элементами управления доступом, поддерживающими принципы минимальных привилегий. |
посадочные зоны Azure Установить среды для разработки и применять политики конфигурации ресурсов с использованием Azure Policy. - посадочные зоны - Политики Azure Формализовать механизм развертывания кода с непрерывной интеграцией и доставкой (CI/CD), например, с использованием GitHub или Azure DevOps. GitHub Enterprise Средства GitHub Enterprise поддерживают совместную работу, безопасность и администрирование. Используйте такие функции, как неограниченные репозитории, возможности управления проектами, отслеживание проблем и оповещения системы безопасности. Управляйте репозиторием и информацией о проекте при повышении совместной работы между командами. Упрощайте политики безопасности и администрирование с помощью гибких вариантов развертывания. GitHub Enterprise Cloud Подключите GitHub к Microsoft Entra ID для единого входа и управления пользователями. Чтобы обеспечить минимальные привилегии, отключите личные маркеры доступа. - управляемых пользователей Enterprise - интеграцию единого входа для GitHub Enterprise - Принудительно применять политику личного маркера доступа Azure DevOps объединить людей, процессы и технологии для автоматизации доставки программного обеспечения. Она поддерживает совместную работу и процессы для создания и улучшения продуктов быстрее, чем традиционные подходы к разработке. Используйте такие функции, как Azure Boards, Repos, Pipelines, Test Plans и Artifacts. Оптимизируйте управление проектами, контроль версий, CI/CD, тестирование и управление пакетами. Azure DevOps Подключите организацию Azure DevOps к Microsoft Entra ID и обеспечьте минимальный доступ. Отключите личные токены доступа. - Подключение организации к идентификатору Microsoft Entra ID - Управление личными маркерами доступа с помощью политики |
|
Статус углублённой зрелости Enterprise использует отдельные и скоординированные команды для разработки, безопасности и операций, одновременно устраняя доступ разработчиков к производственной среде для развёртывания кода. |
управление идентификаторами Microsoft Entra Если ваши подписки разработки и рабочей среды используют тот же клиент Microsoft Entra, назначьте права на роль с помощью пакетов доступа в управлении правами. Включите проверки, чтобы пользователи не могли получать доступ к средам разработки и рабочей среды. Разделение обязанностей проверки доступа Чтобы удалить разработчиков с доступом к рабочей среде, создайте проверку доступа с помощью рабочих ролей Azure. Создание проверки доступа |
|
Оптимальное состояние зрелости Enterprise использует неизменяемые рабочие нагрузки, где это целесообразно, позволяя изменениям вступать в силу только через повторное развертывание, и удаляет администраторский доступ к средам развертывания в пользу автоматизированных процессов внедрения кода. |
контрольные точки выпусков Azure DevOps, утверждения используйте конвейеры выпусков для непрерывного развертывания приложений на разных этапах с меньшими рисками и более быстрыми темпами. Автоматизируйте этапы развертывания с помощью заданий и задач. Шлюзы выпуска, проверки и утверждения Блокировки ресурсов Azure Для защиты ресурсов Azure от случайных удалений и изменений примените CanNotDeleteи ReadOnly, блокировки ресурсов к подпискам, группам ресурсов и отдельным ресурсам.Защищайте инфраструктуру, применяя блокировки ресурсов С помощью GitHub Actions назначайте роли Azure управляемым удостоверениям для непрерывной интеграции и непрерывной доставки (CI/CD). Настройте задания, ссылающиеся на среду с необходимыми рецензентами. Убедитесь, что задания ожидают утверждения до начала работы. - Развертывание с использованием GitHub Actions - Просмотр развертываний Microsoft Entra Управление привилегированными идентификационными данными Используйте PIM Discovery и Insights, чтобы определить привилегированные роли и группы. Управляйте обнаруженными привилегиями и преобразуйте назначения пользователей из постоянных в допустимые. PIM Discovery и Insights проверки доступа Чтобы сократить количество приемлемых администраторов в рабочей среде, создайте проверку доступа с помощью ролей Azure. проверки доступа к ресурсам ролей Azure |
4.5 Функция: тестирование безопасности приложений
| Описание этапа CISA ZTMM | Руководства и рекомендации Майкрософт |
|---|---|
|
начальное состояние зрелости Enterprise начинает использовать статические и динамические методы тестирования (т. е. выполняется приложение) для выполнения тестирования безопасности, включая анализ экспертов вручную до развертывания приложения. |
средство моделирования угроз Майкрософт Средство моделирования угроз является частью жизненного цикла разработки безопасности Майкрософт (SDL). Архитектор программного обеспечения выявляет и устраняет проблемы с безопасностью раньше, что снижает затраты на разработку. Найдите рекомендации по созданию и анализу моделей угроз. Это средство упрощает взаимодействие с проектированием безопасности, анализирует потенциальные проблемы безопасности и предлагает способы устранения рисков. - средство моделирования угроз - начало работы средства разработчика Azure Marketplace Следуйте рекомендациям по разработке безопасных приложений. Используйте средства из Azure Marketplace, чтобы помочь в анализе кода. - Разработка безопасных приложений - Azure Marketplace GitHub Actions, Azure DevOps Actions использовать подсистему анализа CodeQL для автоматизации проверок безопасности в конвейере непрерывной интеграции и непрерывной доставки (CI/CD). GitHub Advanced Security для Azure DevOps — это служба тестирования безопасности приложений, встроенная для рабочих процессов разработчиков. - Сканирование CodeQL - GitHub Advanced Security для Azure DevOps |
|
Состояние расширенной зрелости Enterprise интегрирует тестирование безопасности приложений в процесс разработки и развертывания приложений, включая использование периодических методов динамического тестирования. |
GitHub Advanced Security Для повышения безопасности кода и процессов разработки используйте сканирование кода в Advanced Security и Azure DevOps. - Advanced Security - Advanced Security for Azure DevOps - Сканирование кода Microsoft Defender для облака включает защиту рабочих нагрузок для подписок с рабочими нагрузками приложений. - Defender для облака - Defender для контейнеров - Defender для службы приложений Defender для безопасности облачного DevOps использовать функции управления планами поддержки облака (CSPM) для защиты приложений и кода в многопоточных конвейерных средах. Подключите организации и оцените конфигурации безопасности среды DevOps. - Defender для безопасности Cloud DevOps - Подключите среды Azure DevOps к Defender для облака |
|
Оптимальное состояние зрелости Enterprise интегрирует тестирование безопасности приложений на протяжении жизненного цикла разработки программного обеспечения на предприятии с обычным автоматизированным тестированием развернутых приложений. |
Защитник для безопасности Cloud DevOps используйте функции управления безопасностью облачной конфигурации (CSPM) для защиты приложений и кода в многопоточных средах. Оцените конфигурации безопасности среды DevOps. - Defender для Cloud DevOps security - Сопоставление образов контейнеров - управление путями атак |
4.6 Функция: видимость и аналитика
| описание этапа CISA ZTMM | указания и рекомендации Microsoft |
|---|---|
|
состояние начальной зрелости Enterprise начинает автоматизировать профиль приложения (например, состояние, работоспособность и производительность) и мониторинг безопасности для улучшения сбора журналов, агрегирования и аналитики. |
Azure Monitor настроить политику Azure для включения диагностики и использования Azure Monitor для рабочих нагрузок приложений, развернутых в Azure. - определения политики Azure Monitor - Azure Monitor Azure Monitor Application Insights включить Application Insights для изучения работоспособности приложений, анализа журналов и просмотра шаблонов использования приложений Azure. Application Insights Microsoft Defender для облака Включите Defender для облака для Azure и многооблачных сред. Используйте оценку безопасности Майкрософт для выявления пробелов и улучшения состояния безопасности. - Defender для облака - Безопасный рейтинг |
|
Состояние стадии повышенной зрелости В компании автоматизируется мониторинг профилей и безопасности для большинства приложений, используя эвристический анализ для выявления как специфичных для приложений, так и общеорганизационных тенденций, с последующей корректировкой процессов во времени для устранения пробелов в видимости. |
Microsoft Defender для облака используйте Microsoft Secure Score для оценки и улучшения состояния вашей облачной безопасности. Используйте приоритет риска для устранения важных проблем безопасности. Разверните компоненты мониторинга для сбора данных из рабочих нагрузок Azure и мониторинга уязвимостей и угроз.сбор данных - Defender for Cloud - из рабочих нагрузок - оценка безопасности - приоритетность рисков Microsoft Sentinel Подключите Defender for Cloud к Sentinel. получение оповещений в Sentinel |
|
Оптимальное состояние зрелости Enterprise выполняет непрерывный и динамический мониторинг во всех приложениях для обеспечения полной видимости на уровне предприятия. |
Defender для облака интегрировать рабочие нагрузки инфраструктуры и платформы с Defender для облака, включая ресурсы в облаках, отличных от облака Microsoft, и локальные. Обеспечение комплексной видимости на уровне предприятия. - Подключение локальных серверов - Подключение учетных записей Amazon Web Services (AWS) - Connect Google Cloud Platform (GCP) Projects Defender для облачных рабочих нагрузок Включить защиту рабочих нагрузок для рабочих нагрузок приложений. - Defender для службы приложений - Defender для API - Defender для контейнеров - Defender для серверов |
4.7 Функция: автоматизация и оркестрация
| Описание этапа CISA ZTMM | Руководство и рекомендации Майкрософт |
|---|---|
|
состояние начальной зрелости Enterprise периодически изменяет конфигурации приложений, включая расположение и доступ, в соответствии с соответствующими целями безопасности и производительности. |
Azure Resource Manager ARM — это служба развертывания и управления для Azure. Автоматизация изменений конфигурации с помощью шаблонов ARM и Azure Bicep.Обзор - ARM - шаблонов ARM - Bicep |
|
статус расширенной зрелости Enterprise автоматизирует конфигурации приложений для реагирования на операционные и внешние изменения. |
Конфигурация приложений Azure централизованно управляйте параметрами приложений и флагами функций. Конфигурация приложений Azure Службы приложений Azure Для тестирования развернутых приложений в рабочей среде используйте слоты развертывания. Реагирование на операционные и экологические изменения. среды этапов Microsoft Defender для облака использовать оценку безопасности Майкрософт для оценки и улучшения состояния облачной безопасности. Используйте возможности исправления Defender для облака. рекомендации по исправлению |
|
оптимальное состояние зрелости Enterprise автоматизирует конфигурации приложений для непрерывной оптимизации безопасности и производительности. |
Azure Chaos Studio использовать эту службу для проектирования хаоса, чтобы помочь оценить, понять и улучшить устойчивость облачных приложений и служб. Интеграция Нагрузочного тестирования Azure и Azure Chaos Studio в циклы разработки рабочих нагрузок. - Azure Chaos Studio - непрерывная проверка |
4.8 Функция: управление
| Описание этапа для CISA ZTMM | рекомендации и руководства Майкрософт |
|---|---|
|
начальное состояние зрелости Enterprise начинает автоматизировать применение политик в процессе разработки приложений (включая доступ к инфраструктуре разработки), развертывание, управления активами программного обеспечения, ST&E при внедрении технологий, исправлении и отслеживании зависимостей программного обеспечения на основе потребностей миссии (например, со списком компонентов программного обеспечения). |
GitHub Actions Стандартизировать процессы DevSecOps для списка компонентов программного обеспечения (SBOM) с использованием конвейера непрерывной интеграции и непрерывной доставки (CI/CD). - GitHub Actions - Генерация SBOM использовать GitHub Dependabot и CodeQL для автоматизации проверок безопасности и поиска уязвимостей в зависимостях. - Сканирование кода - Безопасная цепочка поставок GitHub ActionsAzure DevOps Actions Используйте CodeQL для автоматизации проверок безопасности с помощью потока CI/CD. GitHub Advanced Security для Azure DevOps — это служба тестирования безопасности приложений, встроенная для рабочих процессов разработчиков. - сканирование кода - GitHub Advanced Security для Azure DevOps инструмент для генерации перечня программных материалов Используйте генератор СПОМ (SBOM) во время сборки, работающий в операционных системах: Windows, Linux и MacOS. В нем используется стандартный формат обмена данными пакета программного обеспечения (SPDX). - инструмент создания SBOM с открытым кодом - на GitHub средства SBOM |
|
состояние расширенной зрелости Компания внедряет многоуровневые, специализированные политики для приложений, охватывающие все аспекты жизненного цикла разработки и развертывания приложений, и применяет автоматизацию, где это возможно, для обеспечения соблюдения этих политик. |
Политика Azure помогает обеспечивать соблюдение стандартов и оценивать соответствие. См. панель мониторинга соответствия для агрегированного представления среды. политике Azure Microsoft Defender для облака защитить Azure и рабочие нагрузки, отличные от Azure, с помощью Defender для облака. Используйте соответствие нормативным требованиям и политику Azure для непрерывной оценки инфраструктуры с помощью стандартов конфигурации. Предотвращение смещения конфигурации.ru-RU: - Назначьте стандарты безопасности - мультиоблачных средах группы управления Используйте группы управления, чтобы гарантировать выполнение политик доступа и соответствия подпискам Azure. подписки и группы управления |
|
Оптимальное состояние зрелости Компания полностью автоматизирует политики управления разработкой и развертыванием приложений, с учетом динамических обновлений для приложений с помощью конвейера CI/CD. |
Defender для облака развернуть компоненты мониторинга для сбора данных из рабочих нагрузок Azure и мониторинга уязвимостей и угроз. - Defender для облака - сбор данных из рабочих нагрузок политика в Defender для Облака состоит из стандартов и рекомендаций для улучшения состояния облачной безопасности. Стандарты определяют правила, условия соответствия этим правилам и действия, если условия не выполнены. политика безопасности инфраструктуре в качестве кода использовать непрерывную интеграцию и непрерывную доставку (CI/CD) для развертывания IaC с помощью GitHub Actions. инфраструктуре Azure с помощью GitHub Actions политики Azure, чтобы развернуть политику Azure в виде кода, тестирования и развертывания ее определений. политика в качестве рабочих процессов кода |
Дальнейшие действия
Настройте облачные службы Майкрософт для модели зрелости нулевого доверия CISA.
- введение
- идентичность
- устройства
- сети
- Приложения и рабочие нагрузки
- Данные