Стратегия Министерства обороны США Zero Trust для направления приложений и рабочих нагрузок

Стратегия и Дорожная карта DoD Zero Trust описывает путь для компонентов Министерства обороны и партнеров Промышленной базы обороны (DIB), для принятия новой рамки кибербезопасности на основе принципов Zero Trust. Zero Trust устраняет традиционные предположения периметра и доверия, что обеспечивает более эффективную архитектуру, которая повышает безопасность, взаимодействие с пользователями и производительность миссий.

В этом руководстве приведены рекомендации по 152 действиям Zero Trust в дорожной карте выполнения возможностей DoD Zero Trust. Разделы соответствуют семи основным элементам модели DoD Zero Trust.

Чтобы перейти к разделам руководства, воспользуйтесь приведенными ниже ссылками.

3 Приложения и рабочие нагрузки

В этом разделе содержатся рекомендации Майкрософт по действиям Минобороны в рамках концепции Zero Trust в сфере приложений и рабочих нагрузок. Дополнительные сведения см. в статье Secure application with Zero Trust.

Примечание.

Рекомендации, приведенные в этом разделе, соответствуют черновику проекта doD Enterprise DevSecOps Reference Design.

3.1 Инвентаризация приложений

Microsoft Entra ID — это поставщик удостоверений (IdP) для приложений и облачных платформ, а не только Microsoft 365 и Azure. Microsoft Entra ID включает веб-порталы и API RESTful для получения списков интегрированных приложений. Microsoft Defender for Cloud Apps, компонент Microsoft Defender XDR, имеет функции для обнаружения, инвентаризации и блокировки неуправляемых приложений.

Описание и результат действия DoD Руководство и рекомендации Майкрософт
Target 3.1.1 Идентификация
приложения или кодаОрганизации DoD создают список утвержденных приложений и кода (например, исходный код, библиотеки и т. д.). Каждая организация будет отслеживать поддерживаемость (например, активная, устаревшая и т. д.) и место размещения (например, облачное, локальное, гибридное и т. д.) по крайней мере в учете.

Результат:
компонент определил приложения и они были классифицированы как устаревшие, виртуализированные на локальных серверах и размещенные в облаке.
Microsoft Entra ID
Использовать центр администрирования Microsoft Entra для скачивания списка зарегистрированных приложений Microsoft Entra. Выберите Download в верхней ленте.
- Тип ресурса приложения

Если ваша организация использует Active Directory Federation Services (AD FS), разверните Microsoft Entra Connect Health. Используйте отчет о действиях приложения для обнаружения приложений AD FS.
- Мониторинг AD FS с помощью Connect Health
- Отчет о действиях приложения

Microsoft Defender Vulnerability Management
Используйте инвентаризацию программного обеспечения в Microsoft Defender для просмотра программного обеспечения в вашей организации.
- Инвентаризация программного обеспечения

Microsoft Defender for Cloud Apps
Настройте Cloud Discovery в Microsoft Defender for Cloud Apps, чтобы получить моментальный снимок приложений, которые используют пользователи.
- Настройка Cloud Discovery
- Исследование приложений

Приложения, обнаруженные с помощью Microsoft Intune
Приложения обнаруживаются зарегистрированными устройствами Intune в клиенте. Это инвентаризация программного обеспечения клиента. На корпоративных устройствах приложения или управляемые приложения не собираются для этого отчета.
- Discovered apps

Azure DevOps
Использовать эту службу для безопасного управления пакетами. Разработчики совместно используют код и управляют пакетами в одном месте.
- Azure Artifacts
- репозитории GitHub Azure

3.2 Безопасная разработка и интеграция программного обеспечения

Функции GitHub, такие как GitHub Advanced Security (GHAS) и GitHub Actions, помогают вам создавать методики разработки и развертывания программного обеспечения на основе принципа "Zero Trust". GitHub Enterprise Cloud интегрируется с Microsoft Entra ID для управления правами с Microsoft Entra ID Governance и безопасным доступом с помощью политик условного доступа.

Разработчики могут использовать библиотеки проверки подлинности Майкрософт (MSAL) для интеграции приложений с Microsoft Entra ID. Дополнительные сведения см. в разделе Аутентификация пользователей для Zero Trust.

Описание и результат действия DoD Руководство и рекомендации Майкрософт
Target 3.2.1 Сборка DevSecOps Software Factory Часть 1
Предприятие Министерства обороны США создает базовые стандарты для современных процессов DevSecOps и конвейеров CI/CD. Основные понятия применяются в стандартизованном стеке технологий в организациях DoD, способных соответствовать будущим требованиям к безопасности приложений. Программа управления уязвимостями на уровне предприятия интегрирована с конвейерами CI/CD после действий программы управления уязвимостями.

Результаты:
- Стандарты данных и служб для DevSecOps разработаны
- Конвейер CI/CD полностью функционален и успешно протестирован
- Программа управления уязвимостями официально введена в действие и функционирует
GitHub ActionsGitHub Actions использует непрерывную интеграцию и непрерывную доставку (CI/CD) для автоматизации конвейеров развертывания.GitHub ActionsGitHub Advanced SecurityИспользуйте GitHub Улучшенную безопасность для GitHub и Azure DevOps для повышения безопасности вашего кода и процессов разработки.Advanced SecurityУлучшенная безопасность для Azure DevOpsMicrosoft Entra SSO и развертываниеНастройте единый вход (SSO) для инструментов Git с помощью Microsoft Entra ID.Интеграция SSO с организацией GitHub Enterprise CloudИнтеграция SSO с сервером GitHub EnterpriseПодключите организацию к Microsoft Entra IDЧтобы узнать больше о DevSecOps для Azure и других облаков, см. в библиотеке Главного информационного директора (CIO) Министерства обороны.
Target 3.2.2 Сборка программной фабрики DevSecOps, часть 2
Организации Министерства обороны США будут использовать утвержденные конвейеры CI/CD для разработки большинства новых приложений. Исключения будут проходить через стандартизованный процесс утверждения, чтобы разрешить разработку по старым стандартам. Процессы DevSecOps также используются для разработки всех новых приложений и обновления существующих приложений. Функции непрерывной проверки интегрируются в конвейеры CI/CD и процессы DevSecOps и интегрируются с существующими приложениями.

Результаты.
Разработка приложений переносится на конвейер
CI/CD. Процесс и технология непрерывной проверки реализованы и используются
. Разработка приложений переносится в процесс и технологию DevSecOps.
GitHub Advanced Security
Use GitHub Advanced Security для проверки зависимостей кода и уязвимостей. Настройте периодические сборки для оценки качества кода.
- Расширенная безопасность
- Сканирование кода CodeQL
- Безопасная цепочка поставок

Bicep в Azure
Настройте облачную инфраструктуру, используя подход инфраструктуры как кода (IaC) с Azure Resource Manager (ARM) и шаблонами Bicep.
- Bicep

Microsoft Defender для облака
Включите защиту облачных рабочих нагрузок в Defender для подписок с рабочими нагрузками приложений.
- Защита облачных рабочих нагрузок

Microsoft Defender для DevOps
Используйте Defender для DevOps для мониторинга безопасности и оповещений конвейеров в Azure DevOps (ADO) и GitHub.
- Defender для DevOps

Target 3.2.3 Автоматизация исправления кода и безопасности приложений Pt1
Стандартизованный подход к безопасности приложений, включая исправление кода, реализуется на предприятии DoD. Часть 1 этого действия включает интеграцию шлюза API Secure с приложениями, использующими API или аналогичные вызовы. Проверки кода проводятся в соответствии с методическим подходом и на основе стандартизованной защиты контейнеров и их инфраструктуры. Кроме того, любые бессерверные функции, в которых сторонние стороны управляют инфраструктурой, такой как платформа как услуга, используют надлежащие функции мониторинга и реагирования без сервера. Функции безопасности для проверки кода, контейнеров и бессерверных сред интегрируются в процесс CI/CD и/или DevSecOps соответствующим образом.

Результаты:
— Безопасный шлюз API работает, и большинство вызовов API проходят через шлюз
— функции безопасности приложений (например, проверка кода, безопасность контейнеров и бессерверной архитектуры) реализуются в рамках CI/CD и DevSecOps.
Azure Application Gateway
Размещайте общедоступные веб-приложения и API с помощью Azure Application Gateway и Web Application Firewall.
- Web Application Firewall

приложения Microsoft Entra ID
Microsoft Entra ID — это шлюз авторизации для доступа к веб-приложениям и API. Открытие API для зарегистрированных приложений при помощи Microsoft Entra. Используйте встроенную проверку подлинности и авторизацию (простую проверку подлинности) в Azure App Service и Azure Functions. Для API, не знающих Microsoft Entra ID, используйте авторизацию OAuth в управлении API Azure.
- Настройка приложения для предоставления веб-API
- Аутентификация и авторизация в Azure App Service и Azure Functions
- Аутентификация и авторизация для API

GitHub Advanced Security
Используйте GitHub Advanced Security для GitHub и Azure DevOps.

См. руководство Microsoft в 3.2.1.

Microsoft Defender для облака
Включите защиту Microsoft Defender для облачных рабочих нагрузок для подписок Azure с нагрузками API.

См. руководство майкрософт в версии 3.2.2.

Advanced 3.2.4 Автоматизация безопасности приложений и исправление кода Pt2
Организации DoD модернизируют подходы к предоставлению внутренних и управляемых служб, следуя передовым практикам, таким как микросервисы. Эти подходы позволят обеспечить более устойчивые и безопасные архитектуры, позволяя быстрее изменять код в каждой микрослужбе по мере обнаружения проблем безопасности. Дальнейшие улучшения действий по исправлению безопасности продолжаются в DoD Enterprise с включением функций безопасности среды выполнения для контейнеров в соответствии с соответствующими, автоматическими обновлениями уязвимой библиотеки и автоматическими утверждениями CI/CD во время процесса выпуска.

Результаты:
- Безопасный шлюз API работает, и большинство вызовов API проходят через шлюз
- Услуги предоставляются в соответствии с архитектурой, ориентированной на обслуживание (SOA)
- Действия по исправлению безопасности (например, безопасность среды выполнения, обновления библиотек, утверждение выпуска) полностью автоматизированы.

Выполните действия 3.2.2 и 3.2.3.

3.3 Управление рисками программного обеспечения

GitHub Actions помогают автоматизировать, настраивать и выполнять рабочие процессы разработки программного обеспечения для DevSecOps. С помощью GitHub Actions создайте список компонентов программного обеспечения (SBOM), проанализируйте код и сканируйте на наличие уязвимостей в цепочке поставок и в зависимостях. Дополнительные сведения о GitHub Actions см. в GitHub Actions.

Описание и результат действия DoD Руководство и рекомендации Майкрософт
Target 3.3.1 Утвержденные двоичные файлы или код
Организация DoD использует рекомендации по управлению утвержденными двоичными файлами и кодом в методическом подходе. Эти подходы включают управление рисками поиска поставщиков, использование утвержденного репозитория, управление рисками цепочки поставок спецификации и управление уязвимостями по отраслевым стандартам.

Результаты:
— оценка и идентификация риска при выборе поставщика для утвержденного источника
— репозиторий и канал обновлений созданы для использования командами разработки
— создается ведомость материалов для приложений, определяющая источник, возможность поддержки и уровень риска
— индустриальный стандарт (DIB) и утвержденные базы данных уязвимостей интегрированы для использования в DevSecOps.
GitHub Actions
Стандартизировать процессы DevSecOps для создания программной спецификации материалов (SBOM) с использованием конвейера непрерывной интеграции и непрерывной доставки (CI/CD). Создать списки материалов программного обеспеченияИспользуйте GitHub Dependabot и CodeQL для автоматизации проверок безопасности и поиска уязвимостей в зависимостях.Сканирование кода с помощью CodeQLОбеспечение безопасности цепочки поставокКонтроль приложений Windows DefenderИспользуйте Контроль приложений Windows Defender, чтобы предотвратить выполнение ненадежного кода на управляемых конечных точках.Контроль приложений и App LockerЦелостность кода платформы
Target 3.3.2 Программа управления уязвимостями Pt1
Компания DoD работает с организациями для создания программы управления уязвимостями и управления ими. Программа включает политику и стандарты, согласованные всеми организациями. Разработанная программа включает как минимум отслеживание и управление общедоступными уязвимостями на основе приложений и служб DoD. Организации создают группу по управлению уязвимостями с ключевыми заинтересованными сторонами, в которой обсуждают и управляют уязвимостями в соответствии с политикой и стандартами предприятия.

Результаты:
— сформирована команда по управлению уязвимостями, включающая соответствующих участников
— установлены и согласованы с заинтересованными сторонами политика и процесс управления уязвимостями
— общедоступные источники уязвимостей используются для отслеживания

Возможности виртуальной машины управления
угрозами и уязвимостями обеспечивают видимость активов и интеллектуальные оценки. TVM имеет встроенные средства исправления для конечных точек и серверов. Используйте TVM с программой управления уязвимостями.
- Microsoft Defender TVM

Microsoft cloud security benchmark
Ознакомьтесь, как сервисы Microsoft управляют уязвимостями.
- Обзор TVM
- Управление состоянием и уязвимостями
Target 3.3.3 Программа управления уязвимостями Pt2
Процессы устанавливаются на уровне DoD Enterprise для управления раскрытием уязвимостей в поддерживаемых и управляемых службах DoD как общедоступными, так и частными. DoD Organizations расширяет программу управление уязвимостями для отслеживания закрытых репозиториев уязвимостей, таких как DIB, CERT и другие.

Результаты.
Контролируемые (например, DIB, CERT) источники уязвимостей используются для отслеживания
— программа управления уязвимостями имеет процесс принятия внешних/общедоступных раскрытий для управляемых служб.
Управление угрозами и уязвимостями Используйте страницу слабых мест в Microsoft Defender TVM для выявления и приоритизации уязвимостей, обнаруженных на устройствах и серверах вашей организации.Уязвимости в организацииОтслеживайте действия по устранению уязвимостей с помощью отчета о уязвимых устройствах TVM.Отчет о уязвимых устройствах
Target 3.3.4 Непрерывная проверка
Организации DoD реализуют непрерывный подход к проверке для разработки приложений, где выполняется параллельное развертывание и интегрировано с утвержденным уровнем среды (например, тестирование принятия пользователем, производство). Приложения, которые не могут интегрировать постоянную валидацию в процесс CI/CD, определяются, и исключения предоставляются по мере необходимости с использованием систематического подхода.

Результаты.
Обновленные приложения развертываются в динамической и рабочей среде
. Приложения, помеченные для выхода на пенсию и переход, удаляются
. Средства непрерывной проверки реализуются и применяются к коду в конвейере
CI/CD. Код, требующий непрерывной проверки, определяется и устанавливаются критерии проверки.

Azure Chaos Studio
Используйте Azure Chaos Studio для проверки рабочих нагрузок.
- Постоянная проверка

GitHub Advanced Security
Используйте возможности и действия GitHub для управления уязвимостями в руководстве DoD Enterprise DevSecOps Reference Design.

Смотрите руководство Microsoft в 3.2.1.

3.4 Авторизация ресурсов и интеграция

Условный доступ — это подсистема политики Zero Trust в Microsoft Entra ID. Подключите рабочие нагрузки приложения с помощью Microsoft Entra ID. Используйте Microsoft Entra ID Governance для управления правами и безопасного входа с помощью политик условного доступа. Политики используют атрибуты безопасности, такие как работоспособность устройств, сведения о сеансе и риск, чтобы принимать адаптивные решения о доступе. Microsoft Entra ID, Azure Resource Manager и конвейеры CI/CD разрешают развертывание ресурсов в Azure.

Описание и результат действия DoD Руководство и рекомендации Майкрософт
Target 3.4.1 Авторизация ресурсов Pt1
Министерство обороны США стандартизирует подходы авторизации ресурсов (например, программно-определяемый периметр) с организациями. Как минимум, шлюзы авторизации ресурсов будут интегрированы с удостоверениями и устройствами. Организации развертывают утвержденные шлюзы авторизации ресурсов и позволяют использовать внешние приложения и службы. Другие приложения для миграции и приложений, которые не могут быть перенесены, определяются для исключения или вывода из эксплуатации.

Результаты:
- Внедрение шлюза авторизации ресурсов для внешних приложений -
- Политика авторизации ресурсов, интегрированная с удостоверениями и устройствами
- Рекомендации по стандартам преобразования корпоративного уровня передаются заинтересованным лицам.
Microsoft Entra ID
Microsoft Entra — это шлюз авторизации для ресурсов приложения. Интегрируйте современные и устаревшие приложения для единого входа с Microsoft Entra.

См. руководство Microsoft 1.2.4 в User.

Microsoft Entra ID Governance
Используйте роли приложения Microsoft Entra ID Governance для доступа к приложениям. Назначение пользователям ролей приложений с помощью статического членства, динамических групп безопасности Microsoft Entra или пакетов доступа для управления правами.
- Добавление ролей приложений в приложение и получение их в токене
- Контроль доступа на основе ролей

Условный доступ
Используйте политики условного доступа для динамической авторизации, управления или блокировки доступа к приложению.

См. руководство Microsoft 1.8.3 в User и 2.1.4 в Device.

Azure Application Gateway
Включите общедоступные веб-приложения и API с помощью шлюза приложений и Web Application Firewall.

См. руководство Microsoft 3.2.3.

Target 3.4.2 Авторизация ресурсов Pt2
Шлюзы авторизации ресурсов используются для всех возможных приложений и служб. Приложения, которые не используют шлюзы, либо аннулированы, либо исключены с использованием методического подхода, основанного на анализе рисков. Авторизация также интегрирована с конвейером CI/CD для автоматического принятия решений.

Результаты.
Шлюз авторизации ресурсов используется для всех приложений
. Авторизация ресурсов интегрирована с DevSecOps и CI/CD для автоматизированных функций.
Microsoft Entra Workload ID
Используйте федерацию удостоверений субъектов нагрузки для настройки назначаемой пользователем управляемой идентичности или регистрацию приложения для доверия токенов от внешнего поставщика идентичности (IdP). Используйте федеративное удостоверение рабочей нагрузки для рабочих процессов GitHub Actions.
- Федерация удостоверений рабочей нагрузки

Управление API Azure
Используйте управление API Azure для управления, авторизации и предоставления служб, размещенных на Azure и вне Azure в виде API.
- Управление API Azure

Target 3.4.3. Авторизация ресурсов SDC Pt1
Предприятие DoD предоставляет стандартный подход для управления вычислениями на основе программного обеспечения (т. е. Программно-определяемые вычисления) следуя отраслевым рекомендациям. Используя подходы, основанные на оценке риска, создаются базовые показатели на основе утвержденного набора библиотек и пакетов кода. Организации DoD работают с утвержденными действиями, связанными с кодом и двоичными файлами, чтобы определить приложения, которые могут поддерживать или не поддерживают подход. Приложения, поддерживающие современные программно-ориентированные подходы к настройке и управлению, определяются, и начинается переход. Приложения, которые не могут соответствовать подходам к конфигурации и управлению на основе программного обеспечения, определяются и допускаются с помощью исключения с помощью методического подхода.

Результаты:
Приложения, которые не могут быть обновлены для использования утвержденных бинарных файлов или кода, помечены для выхода из эксплуатации, и созданы планы перехода
. Идентифицированные приложения без утвержденных бинарных файлов и кода обновлены для использования утвержденных файлов и кода
. Руководство по стандартам преобразования на уровне предприятия передано заинтересованным сторонам.
Безопасная разработка
Проектирование, разработка и развертывание приложений Azure с учетом жизненного цикла безопасной разработки и опубликованных лучших практик.
- Безопасная разработка
- Инфраструктура как код
- Рабочие процессы Azure Policy как код

Идентификатор Microsoft Entra
Используйте платформу идентификации Microsoft для аутентификации и авторизации приложений.
- Миграция приложений и аутентификация

Azure Migrate
Миграция на современные платформы приложений, такие как служба Kubernetes Azure (AKS) и контейнеры службы приложений.
- Миграция рабочих нагрузок на современные платформы приложений
- Оценка приложений ASP.NET для миграции в AKS
- Оценка приложений ASP.NET для миграции в Azure App Service

Target 3.4.4 SDC Resource Authorization Pt2
Приложения, поддерживающие конфигурацию и управление на основе программного обеспечения, были перенесены в рабочую или динамическую среду и находятся в обычных операциях. Приложения, которые не поддерживают конфигурацию и управление на основе программного обеспечения, выводятся из эксплуатации, если это возможно.

Результаты:
Обновленные приложения развертываются в реальной и/или производственной среде
. Приложения, помеченные для вывода из эксплуатации и перехода, удаляются.
Azure Migrate
Контейнеризация и миграция приложений ASP.NET и веб-приложений Java с помощью средства контейнеризации приложений Azure Migrate. Выведенные из эксплуатации приложения, которые нельзя модернизировать.
- Контейнеризация приложений ASP.NET и их миграция в AKS
- Контейнеризация приложений ASP.NET и их миграция в Azure App Service
- Контейнеризация Java-веб-приложений и их миграция в AKS
- Контейнеризация Java-веб-приложений и их миграция в Azure App Service

Advanced 3.4.5. Обогащение атрибутов для авторизации ресурсов Pt1
Начальные атрибуты из таких источников, как мониторинг активности пользователей и сущностей, службы микросегации, защита от потери данных и управление правами на доступ к данным (DRM) интегрируются в стек технологий авторизации ресурсов и политики. Все остальные атрибуты для последующей интеграции определяются и планируются. Атрибуты используются для создания основного состояния риска пользователей, сущностей, не являющихся пользователями (NPEs) и устройств, позволяющих принимать решения о авторизации.

Результаты:
- Большинство вызовов API проходят через Безопасный API Шлюз
- Авторизация ресурсов получает данные от Аналитического Движка
- Политики авторизации включают в себя идентифицированные атрибуты при принятии решений об авторизации
- Атрибуты для начального обогащения определены
Приложения Microsoft Entra
Используйте Microsoft Entra ID для авторизации современных приложений и API. Разверните прокси приложения Microsoft Entra и серверы с поддержкой Azure Arc, чтобы расширить Microsoft Entra ID до устаревших протоколов проверки подлинности. Смотрите руководство Microsoft в 3.1.1 и в 3.2.3.Условный доступMicrosoft Entra — это безопасный шлюз для авторизации ресурсов. Условный доступ — это механизм авторизации. Настройте политики для подробной авторизации с учетом пользователя, приложения, условий среды, включая состояние соответствия устройств.
- Условный доступ
- Проектирование условного доступа
- Требование соответствия устройств

Динамические группы безопасности
Создавайте динамические группы безопасности на основе атрибутов пользователей. Используйте динамические группы для охвата политик условного доступа для авторизации статических атрибутов на основе атрибутов пользователя.
- Динамическое членство для групп
- Пользователи, группы и удостоверения рабочей нагрузки

типы конфиденциальной информации Microsoft Purview
Определите типы конфиденциальной информации с точным сопоставлением данных (EDM). Используйте типы конфиденциальной информации с политиками Microsoft Purview Information Protection и защиты от потери данных (DLP).
- Сопоставление данных на основе типов конфиденциальной информации
- Обнаружение и защита конфиденциальных сведений

Microsoft Entra ID Governance
Используйте Microsoft Entra ID Governance для доступа к приложениям с ролями приложения. Назначьте пользователям роли приложений со статическим членством, динамическими группами безопасности или пакетами доступа управления и правами.
- Добавьте роли приложения и получите их в токене
- Управление доступом на основе ролей

Advanced 3.4.6. Обогащение атрибутов для авторизации ресурса Pt2
Расширенные идентифицированные атрибуты интегрированы с технологией авторизации ресурсов и политикой. Оценка уровня доверия используется для атрибутов, чтобы создать более продвинутый метод автоматического принятия решений по авторизации.

Результаты:
- Политики авторизации включают уровни доверия при принятии решений об авторизации
- Уровни доверия для атрибутов определены
Microsoft Entra ID Protection
Используйте сигналы о рисках входа и пользовательские сигналы из Microsoft Entra ID Protection в наборе политик условного доступа. Настройте контекст проверки подлинности, включая учет риска для установления уровней доверия, на основе сведений об окружающей среде и уровне риска.
- Риски Microsoft Entra ID
- Шаблон политики: MFA на основе риска входа
- Пример контекста проверки подлинности

См. руководство Microsoft 1.3.3 в User.

Пользовательские атрибуты безопасности
Управляйте и назначайте пользовательские атрибуты безопасности для пользователей Microsoft Entra ID. Используйте условия назначения ролей для динамического управления доступом на основе атрибутов (ABAC).
- Настраиваемые атрибуты безопасности

Advanced 3.4.7. Микро-сегментированные REST API с использованием утвержденных шлюзов API DoD Enterprise
, вызовы приложений микросегментируются, позволяя доступ только по подлинной и авторизованной проверке к определенным ресурсам (например, микросервисам). По возможности консоли микросегментации API интегрируются и имеют информацию о других консолях микросегментации, таких как контроллеры программно определяемого периметра или консоли программно определяемых сетей.

Результат.
Утвержденные корпоративные API правильно сегментируются
Azure сети и подключения
Изолировать, фильтровать и управлять сетевым трафиком в потоке входящего и исходящего трафика. Применение принципов глубокой защиты с помощью локализованных сетевых элементов управления на доступных границах сети. Следуйте рекомендациям Azure Well-Architected Framework.
- Сетевые решения и подключения
- Рекомендации по стратегии сегментации

Проектирование API
Следуйте рекомендуемым практикам для проектирования API для микрослужб. Защита и авторизация API с помощью Microsoft Entra ID.
- Микросервисные API
- Защита API

3.5 Непрерывный мониторинг и текущие авторизации

Microsoft Defender for Cloud стандарты безопасности постоянно оценивают подписки Azure, учетные записи Amazon Web Services (AWS) и проекты Google Cloud Platform (GCP), где включен Defender for Cloud, в целях соответствия нормативным стандартам.

Описание и результат действия DoD Руководство и рекомендации Майкрософт
Advanced 3.5.1 Непрерывная авторизация для работы (cATO) Pt1
Организации DoD используют решения автоматизации в среде для стандартизации мониторинга элементов управления и предоставления возможности выявления отклонений. Если соответствующие процессы мониторинга и тестирования интегрированы с процессами DevSecOps.

Результаты:
— производные элементы управления стандартизированы и готовы к тестированию на автоматизацию
. Тестирование элементов управления интегрировано с процессами и технологиями DevSecOps.
Библиотека Главного информационного директора (CIO) Министерства обороны США
Интегрировать мониторинг и тестирование в процессы DevSecOps. Справочное руководство DoD Enterprise DevSecOps Reference Design
- DoD CIO Library

Microsoft Defender для облака
Защищайте рабочие нагрузки в Azure и вне Azure с помощью Defender для облака. Используйте регулятивные требования и инициативы Azure Policy для непрерывной оценки инфраструктуры с помощью стандартов конфигурации. Запретить дрейф конфигурации.
- Назначение стандартов безопасности
- Мультиоблачные среды

Microsoft Sentinel
Автоматизируйте операции интеграции и развертывания Sentinel с GitHub и Azure DevOps.
- Интеграция Sentinel и Azure DevOps
- Развертывание настраиваемого содержимого из репозитория

Advanced 3.5.2 Непрерывная авторизация для работы (cATO) Pt2
Министерство обороны США (DoD) полностью автоматизирует процессы выведения контрольных механизмов, тестирования и мониторинга. Отклонения автоматически проверяются и разрешаются с помощью существующей сквозной инфраструктуры автоматизации. Панели инструментов используются для отслеживания состояния авторизаций, а аналитика интегрируется с системами, управляемыми ответственными должностными лицами. /br Результаты: - Тестирование контроля полностью автоматизировано - Интеграция со стандартными операциями ИБ и SOC автоматизирована.
Microsoft Defender Управление угрозами и уязвимостями
Incorporate Threat and Vulnerability Management (TVM) в программе управления уязвимостями.

См. руководство Microsoft в 3.3.2.

Azure DevOps и Microsoft Sentinel
Автоматизируйте интеграцию и операции по развертыванию Sentinel с помощью Azure DevOps.
- Интеграция Sentinel с Azure DevOps

Microsoft Defender XDR и Sentinel
Интеграция Microsoft Defender XDR и Defender for Cloud с Sentinel.
- Sentinel и Defender XDR для Zero Trust

Следующие шаги

Настройте облачные службы Майкрософт для стратегии doD Zero Trust: