Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Стратегия и стратегия нулевого доверия DoD описывает путь для партнеров Министерства обороны и промышленной базы обороны (DIB) для внедрения новой платформы кибербезопасности на основе принципов нулевого доверия. Нулевое доверие устраняет традиционные предположения периметра и доверия, обеспечивая более эффективную архитектуру, которая повышает безопасность, взаимодействие с пользователями и производительность миссий.
В этом руководстве приведены рекомендации по 152 действиям по нулю доверия в схеме выполнения возможностей doD Zero Trusty. Разделы соответствуют семи основным элементам модели DoD Zero Trust.
Чтобы перейти к разделам руководства, воспользуйтесь приведенными ниже ссылками.
- Введение
- Пользователь
- Устройство
- Приложения и рабочие нагрузки
- Данные
- Сеть
- Автоматизация и оркестрация
- Видимость и аналитика
3 Приложения и рабочие нагрузки
В этом разделе содержатся рекомендации и рекомендации майкрософт по действиям DoD Zero Trust в приложениях и рабочих нагрузках. Дополнительные сведения см. в статье "Безопасные приложения с нулевым доверием".
Примечание.
Рекомендации, приведенные в этом разделе, соответствуют черновику проекта doD Enterprise DevSecOps Reference Design.
3.1 Инвентаризация приложений
Идентификатор Microsoft Entra — это поставщик удостоверений (IdP) для приложений и облачных платформ, а не только Microsoft 365 и Azure. Идентификатор Microsoft Entra включает веб-порталы и API RESTful для получения списков интегрированных приложений. Microsoft Defender для облака Приложения, компонент XDR в Microsoft Defender, имеет функции для обнаружения, инвентаризации и блокировки неуправляемых приложений.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target3.1.1 Идентификацияприложения или кодаОрганизации DoD создают список утвержденных приложений и кода (например, исходный код, библиотеки и т. д.). Каждая организация отслеживает возможность поддержки (например, активную, устаревшую версию и т. д.) и размещенное расположение (т. е. облачное, локальное, гибридное и т. д.) по крайней мере в инвентаризации. Результат: компонент определил приложения и классифицировался как устаревшие, виртуализированные локальные и облачные размещенные |
Идентификатор Microsoft Entra С помощью Центра администрирования Microsoft Entra скачать список зарегистрированных приложений Microsoft Entra. Выберите "Скачать" на верхней ленте. - Тип ресурса приложения, если ваша организация использует службы федерации Active Directory (AD FS) (AD FS), разверните Microsoft Entra Connect Health. Используйте отчет о действиях приложения для обнаружения приложений AD FS. - Мониторинг AD FS с отчетом об активности приложений connect health - Управление уязвимостями Microsoft Defender Use software inventory in Defender Vulnerability Management для просмотра программного обеспечения в организации. - Инвентаризация программного обеспечения Microsoft Defender для облака Приложения настраивают Cloud Discovery в Defender для облака Apps, чтобы получить моментальный снимок приложений, к которым обращаются пользователи. - Настройка Cloud Discovery - Investigate apps Microsoft Intune обнаруженных приложений Intune обнаружена приложениями Intune, обнаруженными устройствами Intune, зарегистрированными в клиенте. Это инвентаризация программного обеспечения клиента. На корпоративных устройствах приложения или управляемые приложения не собираются для этого отчета. - Обнаруженные приложения Azure DevOps используют эту службу для безопасного управления пакетами. Разработчики совместно используют код и управляют пакетами в одном месте. - Репозитории Azure Artifacts - Azure GitHub |
3.2 Безопасная разработка и интеграция программного обеспечения
Функции GitHub, такие как GitHub Advanced Security (GHAS) и GitHub Actions, помогут вам установить методики разработки и развертывания программного обеспечения нулевого доверия. GitHub Enterprise Cloud интегрируется с идентификатором Microsoft Entra для управления правами с Управление идентификацией Microsoft Entra и безопасным доступом с помощью политик условного доступа.
Разработчики могут использовать библиотеки проверки подлинности Майкрософт (MSAL) для интеграции приложений с идентификатором Microsoft Entra. Дополнительные сведения см. в разделе "Проверка подлинности пользователей для нулевого доверия".
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target3.2.1 Сборка DevSecOps Software Factory Pt1Предприятие DoD создает базовые стандарты для современных процессов DevSecOps и конвейеров CI/CD. Основные понятия применяются в стандартизованном стеке технологий в организациях DoD, способных соответствовать будущим требованиям к безопасности приложений. Программа управления уязвимостями на уровне предприятия интегрирована с конвейерами CI/CD после действий программы управления уязвимостями. Результаты: - Разработанные стандарты данных и служб для DevSecOps - КОНВЕЙЕР CI/CD полностью функциональны и протестированы успешно . Программа управления уязвимостями официально работает и работает |
GitHub Actions GitHub Actionsиспользует непрерывную интеграцию и непрерывную доставку (CI/CD) для автоматизации конвейеров развертывания. - GitHub Actions GitHub Advanced Security use GitHub Advanced Security for GitHub and Azure DevOps для повышения безопасности процессов разработки и кода. - Advanced Security Advanced Security - for Azure DevOps Microsoft Entra SSO and provisioning Configure single sign-on (SSO) for Git tools using Microsoft Entra ID. - Интеграция единого входа с интеграцией единого входа GitHub Enterprise Cloud - с GitHub Enterprise Server- Connect организации с идентификатором Microsoft Entra ID , чтобы узнать больше о DevSecOps для Azure и других облаках, ознакомьтесь с библиотекой DoD Cheif Information Officer (CIO). |
Target3.2.2 Сборка DevSecOps Software Factory Pt2Организации DoD будут использовать утвержденные конвейеры CI/CD для разработки большинства новых приложений. Любые исключения будут соответствовать стандартизованному процессу утверждения, который будет разрешен для разработки в устаревшей форме. Процессы DevSecOps также используются для разработки всех новых приложений и обновления существующих приложений. Функции непрерывной проверки интегрируются в конвейеры CI/CD и процессы DevSecOps и интегрируются с существующими приложениями. Результаты. Разработка приложений переносится на конвейер CI/CD. Процесс и технология непрерывной проверки реализованы и используются . Разработка приложений переносится в процесс и технологию DevSecOps. |
GitHub Advanced Security Use GitHub Advanced Security для проверки зависимостей кода и уязвимостей. Настройте периодические сборки для оценки качества кода. - Расширенный код CodeQL для- проверки - безопасной цепочки поставок Bicep в облачной инфраструктуре Azure Provision с помощью инфраструктуры как кода (IaC) с шаблонами Azure Resource Manager (ARM) и Bicep. - Bicep Microsoft Defender для облака Enable Defender для облака защиты рабочих нагрузок для подписок с рабочими нагрузками приложений. - Защита облачных рабочих нагрузок Microsoft Defender для DevOps с помощью Defender для DevOps для мониторинга безопасности и оповещений конвейеров в Azure DevOps (ADO) и GitHub. - Defender для DevOps |
Target3.2.3 Автоматизация исправления кода и безопасности приложений Pt1Стандартизованный подход к безопасности приложений, включая исправление кода, реализуется на предприятии DoD. Часть 1 этого действия включает интеграцию шлюза API Secure с приложениями, использующими API или аналогичные вызовы. Проверки кода выполняются в методическом подходе и стандартизованной защите контейнеров и их инфраструктуре. Кроме того, любые бессерверные функции, в которых сторонние стороны управляют инфраструктурой, такой как платформа как услуга, используют надлежащие функции мониторинга и реагирования без сервера. Функции безопасности проверки кода, контейнеры и бессерверные функции безопасности интегрируются в процесс CI/CD и/или DevSecOps соответствующим образом. Результаты. Безопасный шлюз API работает, и большинство вызовов API проходят через шлюз — функции безопасности приложений (например, проверка кода, контейнер и бессерверная безопасность) реализуются в рамках CI/CD и DevSecOps. |
Шлюз приложений Azure Put общедоступные веб-приложения и API с Шлюз приложений Azure и Брандмауэр веб-приложений. - Брандмауэр веб-приложений Приложения Microsoft Entra Id дляMicrosoft Entra ID — это шлюз авторизации для доступа к веб-приложению и API. Предоставление API для зарегистрированных приложений с помощью Microsoft Entra. Используйте встроенную проверку подлинности и авторизацию (простую проверку подлинности) в службе приложение Azure и Функции Azure. Для API-интерфейсов Microsoft Entra ID-несанкционированного доступа используйте авторизацию OAuth в управлении API Azure. - Настройте приложение для предоставления проверки подлинности и авторизации веб-API- в службе приложение Azure и Функции Azure - Authenticate и авторизации в API GitHub Advanced Security Use GitHub Advanced Security for GitHub и Azure DevOps. См. рекомендации Майкрософт в версии 3.2.1. Microsft Defender для облака Enable Defender для облака защиты рабочих нагрузок для подписок Azure с рабочими нагрузками API. См. руководство майкрософт в версии 3.2.2. |
Advanced3.2.4 Automate Application Security и Code Remediation Pt2Организации DoD модернизируют подходы к доставке внутренних и управляемых служб после рекомендаций, таких как микрослужбы. Эти подходы позволят обеспечить более устойчивые и безопасные архитектуры, позволяя быстрее изменять код в каждой микрослужбе по мере обнаружения проблем безопасности. Дальнейшие улучшения действий по исправлению безопасности продолжаются в DoD Enterprise с включением функций безопасности среды выполнения для контейнеров в соответствии с соответствующими, автоматическими обновлениями уязвимой библиотеки и автоматическими утверждениями CI/CD во время процесса выпуска. Результаты. Безопасный шлюз API работает, и большинство вызовов API проходят через шлюз . Службы предоставляются после выполнения действий по исправлению безопасности (SOA) - действия по исправлению безопасности (например, безопасность среды выполнения, обновления библиотеки, утверждения выпуска) полностью автоматизированы. |
Выполните действия 3.2.2 и 3.2.3. |
3.3 Управление рисками программного обеспечения
GitHub Actions помогает автоматизировать, настраивать и выполнять рабочие процессы разработки программного обеспечения для DevSecOps. С помощью GitHub Actions создайте счет за программное обеспечение материалов (SBOM), проанализируйте код и проверьте наличие уязвимостей в цепочке поставок и зависимостей. Дополнительные сведения о действиях GitHub см. в разделе GitHub Actions.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target3.3.1 Утвержденные двоичные файлы или кодОрганизация DoD использует рекомендации по управлению утвержденными двоичными файлами и кодом в методическом подходе. Эти подходы включают управление рисками поставщика, утвержденное использование репозитория, выставление счетов за управление рисками цепочки поставок материалов и стандартные отраслевые управление уязвимостями. Результаты: — оценка и определение риска поставщика для утвержденного исходного репозитория и канала обновления, установленного для использования командами разработчиков. Счет материалов создается для приложений, определяющих источник, поддержку и уровень риска— стандартный (DIB) и утвержденные базы данных уязвимостей, которые будут использоваться в DevSecOps. |
Процессы GitHub Actions standardize DevSecOps для создания счета за программное обеспечение материалов (SBOM) с непрерывной интеграцией и конвейером непрерывной доставки (CI/CD). - Создание счетов за программное обеспечение материалов с помощью GitHub Dependabot и CodeQL для автоматизации проверок безопасности и проверки уязвимостей зависимостей. - Код CodeQL, сканирующий- защищенный элемент управления цепочкой поставок Защитника Windows, использует управление приложениями Защитника Windows, чтобы предотвратить выполнение ненадежного кода на управляемых конечных точках. - Целостность кода платформы управления приложениями и платформы AppLocker - |
Target3.3.2 Программа управления уязвимостями Pt1Компания DoD работает с организациями для создания программы управления уязвимостями и управления ими. Программа включает политику и стандарты, согласованные всеми организациями. Разработанная программа включает как минимум отслеживание и управление общедоступными уязвимостями на основе приложений и служб DoD. Организации устанавливают управление уязвимостями группу с ключевыми заинтересованными лицами, в которых обсуждаются уязвимости и управляются в соответствии с политикой и стандартами предприятия. Результаты: — команда по управлению уязвимостями находится на месте, где используется соответствующая политика управления уязвимостями, политика управления уязвимостями и процесс, согласованный с заинтересованными лицами — общедоступный источник уязвимостей используется для отслеживания уязвимостей |
Возможности виртуальной машины управления угрозами и уязвимостями обеспечивают видимость активов и интеллектуальные оценки. TVM имеет встроенные средства исправления для конечных точек и серверов. Используйте TVM с программой управление уязвимостями. - Microsoft Defender TVM Microsoft Cloud Security benchmark Review, как Microsoft веб-службы проводить управление уязвимостями. - Обзор - TVM и управление уязвимостями |
Target3.3.3 Программа управления уязвимостями Pt2Процессы устанавливаются на уровне DoD Enterprise для управления раскрытием уязвимостей в поддерживаемых и управляемых службах DoD как общедоступными, так и частными. DoD Organizations расширяет программу управление уязвимостями для отслеживания закрытых репозиториев уязвимостей, таких как DIB, CERT и другие. Результаты. Контролируемые (например, DIB, CERT) источники уязвимостей используются для отслеживания — программа управления уязвимостями имеет процесс принятия внешних/общедоступных раскрытий для управляемых служб. |
Управлениеугрозами и уязвимостями используйте страницу слабых мест в TVM в Microsoft Defender для выявления и определения приоритетов уязвимостей, обнаруженных на устройствах и серверах вашей организации. - Уязвимости в действиях по исправлению в организации с помощью отчета о уязвимых устройствах TVM. - Отчет о уязвимом устройстве |
Target3.3.4 Непрерывная проверкаОрганизации DoD реализуют непрерывный подход к проверке для разработки приложений, где выполняется параллельное развертывание и интегрировано с утвержденным уровнем среды (например, тестирование принятия пользователем, производство). Приложения, которые не могут интегрировать непрерывную проверку в процесс CI/CD, определяются и исключения предоставляются по мере необходимости с помощью метода. Результаты. Обновленные приложения развертываются в динамической и рабочей среде . Приложения, помеченные для выхода на пенсию и переход, удаляются . Средства непрерывной проверки реализуются и применяются к коду в конвейере CI/CD. Код, требующий непрерывной проверки, определяется и устанавливаются критерии проверки. |
Azure Chaos Studio использует Azure Chaos Studioдля проверки рабочих нагрузок. - Функции и действия GitHub для непрерывной проверки расширенной безопасности используют функции и действия GitHub для управление уязвимостями в справочном проекте DoD Enterprise DevSecOps. См. рекомендации Майкрософт в версии 3.2.1. |
3.4 Авторизация ресурсов и интеграция
Условный доступ — это подсистема политики нулевого доверия в идентификаторе Microsoft Entra. Подключите рабочие нагрузки приложения с помощью идентификатора Microsoft Entra. Используйте Управление идентификацией Microsoft Entra для управления правами и безопасного входа с помощью политик условного доступа. Политики используют атрибуты безопасности, такие как работоспособности устройств, сведения о сеансе и риск принятия решений адаптивного доступа. Идентификатор Microsoft Entra, Azure Resource Manager и конвейеры CI/CD разрешают развертывание ресурсов в Azure.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target3.4.1 Авторизация ресурсов Pt1Компания DoD стандартизирует подходы авторизации ресурсов (например, software Defined Периметр) с организациями. Как минимум, шлюзы авторизации ресурсов будут интегрированы с удостоверениями и устройствами. Организации развертывают утвержденные шлюзы авторизации ресурсов и позволяют использовать внешние приложения и службы. Другие приложения для миграции и приложений, которые не могут быть перенесены, определяются для исключения или вывода из эксплуатации. Результаты. Шлюз авторизации ресурсов используется для внешних приложений — политика авторизации ресурсов, интегрированная с удостоверениями и устройствами . Рекомендации по стандартам преобразования корпоративного уровня передаются заинтересованным лицам. |
Microsoft Entra ID Microsoft Entra — это шлюз авторизации для ресурсов приложений. Интеграция современных и устаревших приложений для единого входа с Microsoft Entra. См. руководство Майкрософт 1.2.4 в user. Управление идентификацией Microsoft Entra Использовать роли приложений Управление идентификацией Microsoft Entra для доступа к приложениям. Назначение пользователям ролей приложений с помощью статических членства, динамических групп безопасности Microsoft Entra или пакетов доступа к управлению правами. - Добавление ролей приложения в приложение и их получение в маркере- управления условным доступом на основе ролей используют политики условного доступа для динамического авторизации, управления или блокировки доступа к приложению. См. рекомендации Майкрософт 1.8.3 в user and 2.1.4 на устройстве. Шлюз приложений Azure Enable общедоступные веб-приложения и API с Шлюз приложений и Брандмауэр веб-приложений. См. руководство Майкрософт 3.2.3. |
Target3.4.2 Авторизация ресурсов Pt2Шлюзы авторизации ресурсов используются для всех возможных приложений и служб. Приложения не могут использовать шлюзы либо были списаны, либо за исключением использования метода на основе рисков. Авторизация также интегрирована с конвейером CI/CD для автоматического принятия решений. Результаты. Шлюз авторизации ресурсов используется для всех приложений . Авторизация ресурсов интегрирована с DevSecOps и CI/CD для автоматизированных функций. |
Идентификация рабочей нагрузки Microsoft Entra Использовать федерацию удостоверений рабочей нагрузки для настройки управляемого удостоверения, назначаемого пользователем, или регистрации приложения для маркеров доверия от внешнего поставщика удостоверений (IdP). Используйте удостоверение федеративной рабочей нагрузки для рабочих процессов GitHub Actions. - Федерация удостоверений рабочей нагрузки Azure Управление API Использовать Azure Управление API для управления, авторизации и предоставления служб, размещенных в Azure и за пределами Azure в качестве API. - Azure Управление API |
Target3.4.3. Авторизация ресурсов SDC Pt1Предприятие DoD предоставляет стандартный подход для управления вычислительными ресурсами на основе кода (т. е. программно-определяемых вычислений) после отраслевых рекомендаций. С помощью базовых показателей на основе рисков создаются утвержденный набор библиотек и пакетов кода. Организации DoD работают с утвержденными действиями кода или двоичных файлов, чтобы обеспечить определение приложений, которые могут и не поддерживают подход. Приложения, которые могут поддерживать современные подходы к настройке и управлению на основе программного обеспечения, определяются и начинаются переходы. Приложения, которые не могут соответствовать подходам к конфигурации и управлению на основе программного обеспечения, определяются и допускаются с помощью исключения с помощью методического подхода. Результаты. Приложения, которые не могут быть обновлены для использования утвержденных двоичных файлов или кода, помечены для планов выхода на пенсию и переходов создаются . Идентифицированные приложения без утвержденных двоичных файлов и кода обновляются, чтобы использовать утвержденные двоичные файлы или код . Руководство по стандартам преобразования на уровне предприятия передается заинтересованным лицам. |
Безопасная разработка, разработка и развертывание приложений Azure после жизненного цикла разработки безопасности и опубликованных рекомендаций. - Безопасная инфраструктура разработки - в виде кода - Политика Azure как рабочий процесс кода, идентификатор Microsoft Entra ID использует платформа удостоверений Майкрософт для проверки подлинности и авторизации приложений. - Перенос приложений и проверки подлинности миграции Azure на современные платформы приложений, такие как Служба Azure Kubernetes (AKS) и контейнеры Служба приложений. - Перенос рабочих нагрузок на современные платформы - приложений Оценка ASP.NET приложений для миграции в приложения AKS - Оценка ASP.NET для миграции в службу приложение Azure |
Target3.4.4 SDC Resource Authorization Pt2Приложения, поддерживающие конфигурацию и управление на основе программного обеспечения, были перенесены в рабочую или динамическую среду и находятся в обычных операциях. Если возможные приложения, которые не могут поддерживать конфигурацию и управление на основе программного обеспечения, удаляются из эксплуатации. Результаты. Обновленные приложения развертываются в динамической среде и /или рабочей среде . Приложения, помеченные для выхода на пенсию и переход, удаляются |
Перенос контейнеров Azure и миграция ASP.NET приложений и веб-приложений Java с помощью средства "Миграция Azure: контейнеризация приложений". Отмена эксплуатации приложений, которые нельзя модернизировать. - ASP.NET контейнеризации приложений и миграции в AKS- ASP.NET контейнеризации приложений и миграции в контейнеризацию веб-приложений приложение Azure Service- Java и миграцию в контейнеризацию веб-приложений AKS - Java и миграцию в службу приложение Azure |
Advanced3.4.5. Обогащение атрибутов для авторизации ресурсов Pt1Начальные атрибуты из таких источников, как мониторинг активности пользователей и сущностей, службы микросегации, защита от потери данных и управление правами на доступ к данным (DRM) интегрируются в стек технологий авторизации ресурсов и политики. Все остальные атрибуты для последующей интеграции определяются и планируются. Атрибуты используются для создания основного состояния риска пользователей, сущностей, не являющихся пользователями (NPEs) и устройств, позволяющих принимать решения о авторизации. Результаты. Большинство вызовов API передаются через шлюз API Secure API. Авторизация ресурсов получает данные из политик авторизации аналитики . Политики авторизации включают определенные атрибуты при принятии решений о авторизации. Атрибуты, которые будут использоваться для начального обогащения, определяются |
Приложения Microsoft Entra используют идентификатор Microsoft Entra для авторизации современных приложений и API. Разверните прокси приложения Microsoft Entra и серверы с поддержкой Azure Arc, чтобы расширить идентификатор Microsoft Entra до устаревших протоколов проверки подлинности. См. рекомендации Майкрософт в версии 3.1.1 и 3.2.3. Microsoft Entra условного доступа — это безопасный шлюз для авторизации ресурсов. Условный доступ — это механизм авторизации. Настройте политики для подробной авторизации с помощью пользователя, приложения, пользователя, условий среды, включая состояние соответствия устройств. - Для проектирования- условного доступа условного доступа - требуются соответствующие устройствам динамические группы безопасности на основе атрибутов пользователей. Используйте динамические группы для области политик условного доступа для авторизации статических атрибутов на основе атрибутов пользователя. - Динамическое членство для групп пользователей, групп - и удостоверений рабочей нагрузки, типы конфиденциальной информации Microsoft Purview определяют типы конфиденциальной информации с точным соответствием данных (EDM). Используйте типы конфиденциальной информации с политиками защиты от потери данных (DLP) Защита информации Microsoft Purview и Purview. - Сопоставление данных на основе типов - конфиденциальной информации обнаружение и защита конфиденциальной информации Управление идентификацией Microsoft Entra Использовать Управление идентификацией Microsoft Entra для доступа к приложениям с ролями приложения. Назначение пользователям ролей приложений со статическим членством, динамическими группами безопасности или пакетами доступа к управлению правами. - Добавление ролей приложения и их получение в маркере управления доступом - на основе ролей |
Advanced3.4.6. Атрибуты обогащения атрибутов для расширенной идентификации ресурсов Pt2интегрированы с технологией авторизации ресурсов и политикой. Оценка достоверности представлена в атрибутах, чтобы создать более сложный метод принятия решений авторизации автоматически. Результаты. Политики авторизации включают уровни доверия при принятии решений о авторизации. Уровни доверия для атрибутов определены |
Защита идентификации Microsoft Entra Использовать риск входа и сигналы пользователей из Защита идентификации Microsoft Entra в наборе политик условного доступа. Настройте контекст проверки подлинности, включая риск для установления уровней достоверности на основе сведений об окружающей среде и уровня риска. - Шаблон политики рисков идентификатора Записи Майкрософт: пример контекста проверки подлинности MFA- для - входа см. в руководстве Майкрософт 1.3.3 в user. Пользовательские атрибуты безопасности управляют и назначают настраиваемые атрибуты безопасности для пользователей идентификатора Microsoft Entra. Используйте условия назначения ролей для динамического управления доступом на основе атрибутов (ABAC). - Настраиваемые атрибуты безопасности |
Advanced3.4.7. Микро-сегменты REST API с использованием утвержденных шлюзовAPI DoD Enterprise, вызовы приложений являются микросегреционными только для проверки подлинности и авторизованного доступа к определенным назначениям (например, микрослужбам). По возможности консоли микро-сегментации API интегрируются и знают о других консольх микро-сегментации, таких как контроллеры периметра программного обеспечения и (или) программные сетевые консоли. Результат. Утвержденные корпоративные API правильно сегментируются |
Сеть Azure и подключение Изоляция, фильтрация и управление сетевым трафиком через потоки входящего трафика и исходящего трафика. Применение принципов глубокой защиты с помощью локализованных сетевых элементов управления на доступных границах сети. Следуйте инструкциям в Azure Well-Architected Framework. - Рекомендации - по стратегиям сегментации сети и подключений, проектирование API следуйте рекомендациям по проектированию API для микрослужб. Защита и авторизация API с помощью идентификатора Microsoft Entra. - API микрослужбы защищают API - |
3.5 Непрерывный мониторинг и текущие авторизации
Microsoft Defender для облака стандарты безопасности постоянно оценивают подписки Azure, учетные записи Amazon Web Services (AWS) и проекты Google Cloud Platform (GCP) с поддержкой Defender для облака соответствия нормативным стандартам.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Advanced3.5.1 Непрерывная авторизация для работы (cATO) Pt1Организации DoD используют решения автоматизации в среде для стандартизации мониторинга элементов управления и предоставления возможности выявления отклонений. Если соответствующие процессы мониторинга и тестирования интегрированы с процессами DevSecOps. Результаты: — производные элементы управления стандартизированы и готовы к тестированию на автоматизацию . Тестирование элементов управления интегрировано с процессами и технологиями DevSecOps. |
Главный директор по информационным вопросам (CIO) DoD интегрирует мониторинг и тестирование в процессы DevSecOps. См. библиотеку DOD Enterprise DevSecOps Reference Design- DoD CIO Microsoft Defender для облака Protect Azure и рабочие нагрузки, отличные от Azure, с помощью Defender для облака. Используйте нормативные требования и Политика Azure инициативы для непрерывной оценки инфраструктуры с помощью стандартов конфигурации. Предотвращение смещения конфигурации. - Назначение многооблачных - сред Microsoft Sentinel Automate Sentinel integration and deployment operations with GitHub и Azure DevOps. - Интеграция Sentinel и Azure DevOps - Deploy custom content from a репозитория |
Advanced3.5.2 Непрерывная авторизация для работы (cATO) Pt2DoD Организации полностью автоматизируют производность, тестирование и мониторинг процессов. Отклонения автоматически проверяются и разрешаются с помощью существующей инфраструктуры автоматизации кросс-столп. Панель мониторинга используется для мониторинга состояния авторизации и аналитики, интегрированных с ответственными должностными лицами авторизации.< /br> Результаты: - Тестирование полностью автоматизировано . Интеграция со стандартными операциями IR и SOC автоматизирована. |
Управление угрозами и уязвимостями Microsoft Defender включает управление угрозами и уязвимостями (TVM) в управление уязвимостями программе. См. руководство майкрософт в версии 3.3.2. Azure DevOps и Microsoft Sentinel Automate Sentinel integration and deployment operations with Azure DevOps. - Интеграция Sentinel с Azure DevOps Microsoft Defender XDR и Sentinel интегрируют XDR в Microsoft Defender и Defender для облака с Sentinel. - Sentinel и Defender XDR для нулевого доверия |
Следующие шаги
Настройте облачные службы Майкрософт для стратегии нулевого доверия DoD:
- Введение
- Пользователь
- Устройство
- Приложения и рабочие нагрузки
- Данные
- Сеть
- Автоматизация и оркестрация
- Видимость и аналитика