Estrategia de confianza cero de DoD para las aplicaciones y las cargas de trabajo

2024-04-17

La estrategia y la hoja de ruta de confianza cero de DoD describen una ruta para los componentes del Departamento de Defensa y los asociados de base industrial de defensa (DIB) para adoptar un nuevo marco de ciberseguridad basado en principios de confianza cero. Confianza cero al elimina los perímetros tradicionales y las suposiciones de confianza, lo que permite una arquitectura más eficaz que mejora la seguridad, la experiencia del usuario y el rendimiento de la misión.

En esta guía se incluyen recomendaciones para las actividades de confianza cero de 152 en la hoja de ruta de ejecución de la funcionalidad de confianza cero de DoD. Las secciones corresponden a los siete pilares del modelo de confianza cero de DoD.

Use los vínculos siguientes para ir a las secciones de la guía.

3 Aplicaciones y cargas de trabajo

En esta sección se incluyen instrucciones y recomendaciones de Microsoft para las actividades de Confianza cero de DoD en el pilar Aplicaciones y Cargas de trabajo. Para obtener más información, consulte Protección de aplicaciones mediante la Confianza cero.

Nota:

Las recomendaciones de esta sección se alinean con el borrador de diseño de referencia de DoD Enterprise DevSecOps.

3.1 Inventario de aplicaciones

Microsoft Entra ID es un proveedor de identidades (IdP) para aplicaciones y plataformas en la nube, no solo Microsoft 365 y Azure. Microsoft Entra ID incluye portales web y API de RESTful para recuperar listas de aplicaciones integradas. Microsoft Defender for Cloud Apps, un componente de Microsoft Defender XDR, tiene características para detectar, inventariar y bloquear aplicaciones no autorizadas.

Descripción y resultado de la actividad de DoD Guía y recomendaciones de Microsoft

Target 3.1.1 Identificación de aplicación/código
Las organizaciones de DoD crean un inventario de aplicaciones y código aprobados (por ejemplo, código fuente, bibliotecas, etc.). Cada organización realizará un seguimiento de la compatibilidad (es decir, activa, heredada, etc.) y la ubicación hospedada (es decir, la nube, el entorno local, el híbrido, etc.) al menos en el inventario.

Resultado:
- El componente ha identificado aplicaciones y las ha clasificado como aplicaciones heredadas, virtualizadas locales y hospedadas en la nube Microsoft Entra ID
Use el Centro de administración de Microsoft Entra para descargar una lista de aplicaciones registradas de Microsoft Entra. Seleccione Descargar en la cinta de opciones superior.
- Tipo de recurso Aplicación

Si su organización usa Servicios de federación de Active Directory (AD FS), implemente Microsoft Entra Connect Health. Use el informe de actividad de la aplicación para detectar aplicaciones de AD FS.
- Supervisión de AD FS con Connect Health
- Informe de actividad de aplicación

Administración de vulnerabilidades de Microsoft Defender
Usar el inventario de software en Administración de vulnerabilidades de Defender para ver el software de su organización.
- Inventario de software

Microsoft Defender for Cloud Apps
Configurar Cloud Discovery en Defender for Cloud Apps para obtener una instantánea de las aplicaciones a las que acceden los usuarios.
- Configurar Cloud Discovery
- Investigar aplicaciones

Aplicaciones detectadas de Microsoft Intune
Los dispositivos inscritos en Intune detectan las aplicaciones detectadas por Intune en el inquilino. Es un inventario de software del inquilino. En los dispositivos corporativos, las aplicaciones o las aplicaciones administradas no se recopilan para este informe.
- Aplicaciones detectadas

Azure DevOps
Use este servicio para la administración segura de paquetes. Los desarrolladores comparten código y administran paquetes en un solo lugar.
- Azure Artifacts
- Repositorios de Azure GitHub

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 3.1.1 Identificación de aplicación/código Las organizaciones de DoD crean un inventario de aplicaciones y código aprobados (por ejemplo, código fuente, bibliotecas, etc.). Cada organización realizará un seguimiento de la compatibilidad (es decir, activa, heredada, etc.) y la ubicación hospedada (es decir, la nube, el entorno local, el híbrido, etc.) al menos en el inventario. Resultado: - El componente ha identificado aplicaciones y las ha clasificado como aplicaciones heredadas, virtualizadas locales y hospedadas en la nube	Microsoft Entra ID Use el Centro de administración de Microsoft Entra para descargar una lista de aplicaciones registradas de Microsoft Entra. Seleccione Descargar en la cinta de opciones superior. - Tipo de recurso Aplicación Si su organización usa Servicios de federación de Active Directory (AD FS), implemente Microsoft Entra Connect Health. Use el informe de actividad de la aplicación para detectar aplicaciones de AD FS. - Supervisión de AD FS con Connect Health - Informe de actividad de aplicación Administración de vulnerabilidades de Microsoft Defender Usar el inventario de software en Administración de vulnerabilidades de Defender para ver el software de su organización. - Inventario de software Microsoft Defender for Cloud Apps Configurar Cloud Discovery en Defender for Cloud Apps para obtener una instantánea de las aplicaciones a las que acceden los usuarios. - Configurar Cloud Discovery - Investigar aplicaciones Aplicaciones detectadas de Microsoft Intune Los dispositivos inscritos en Intune detectan las aplicaciones detectadas por Intune en el inquilino. Es un inventario de software del inquilino. En los dispositivos corporativos, las aplicaciones o las aplicaciones administradas no se recopilan para este informe. - Aplicaciones detectadas Azure DevOps Use este servicio para la administración segura de paquetes. Los desarrolladores comparten código y administran paquetes en un solo lugar. - Azure Artifacts - Repositorios de Azure GitHub

3.2 Protección del desarrollo e integración de software

Las características de GitHub como Seguridad avanzada de GitHub (GHAS) y Acciones de GitHub le ayudan a establecer prácticas de implementación y desarrollo de software de Confianza cero. GitHub Enterprise Cloud se integra con Microsoft Entra ID para administrar derechos con la gobernanza de identificadores de Microsoft Entra y el acceso seguro con directivas de acceso condicional.

Los desarrolladores pueden usar bibliotecas de autenticación de Microsoft (MSAL) para integrar aplicaciones con Microsoft Entra ID. Para obtener más información, consulte Autenticación de usuarios para Confianza cero.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 3.2.1 Creación de software factory de DevSecOps Parte 1 La empresa de DoD crea los estándares fundamentales para los procesos modernos de DevSecOps y las canalizaciones de CI/CD. Los conceptos se aplican en una pila de tecnología estandarizada en organizaciones de DoD capaces de cumplir los requisitos futuros de Seguridad de aplicaciones. Un programa de administración de vulnerabilidades de toda la empresa se integra con las canalizaciones de CI/CD siguiendo las actividades del Programa de administración de vulnerabilidades. Resultados: - Estándares de datos y servicios desarrollados para DevSecOps - La canalización de CI/CD es totalmente funcional y se ha probado correctamente - El programa de administración de vulnerabilidades está oficialmente implementado y funcionando	Acciones de GitHub Acciones de GitHub usa la integración continua y la entrega continua (CI/CD) para automatizar las canalizaciones de implementación. - Acciones de GitHub Seguridad avanzada de GitHub Use Seguridad avanzada de GitHub para GitHub y Azure DevOps para mejorar la seguridad de los procesos de código y desarrollo. - Advanced Security - Advanced Security para Azure DevOps Inicio de sesión único de Microsoft Entra y aprovisionamiento Configuración del inicio de sesión único (SSO) para herramientas de Git con Microsoft Entra ID. - Integración de SSO con la organización de GitHub Enterprise Cloud - Integración de SSO con GitHub Enterprise Server - Conexión de una organización a Microsoft Entra ID Para obtener más información sobre DevSecOps para Azure y otras nubes, consulte la biblioteca de DoD Chief Information Officer (CIO).
`Target` 3.2.2 Creación de software factory de DevSecOps Parte 2 Las organizaciones de DoD usarán sus canalizaciones de CI/CD aprobadas para desarrollar la mayoría de las aplicaciones nuevas. Cualquier excepción seguirá un proceso de aprobación normalizado para que se le permita desarrollarse de forma heredada. Los procesos de DevSecOps también se usan para desarrollar todas las aplicaciones nuevas y actualizar las aplicaciones existentes. Las funciones de validación continua se integran en las canalizaciones de CI/CD y los procesos de DevSecOps y se integran con las aplicaciones existentes. Resultados: - El desarrollo de aplicaciones se migra a la canalización de CI/CD - Se implementa un proceso o tecnología de validación continua y se usa - El desarrollo de aplicaciones se migra al proceso y la tecnología de DevSecOps	GitHub Advanced Security Use GitHub Advanced Security para buscar dependencias de código y vulnerabilidades. Configure compilaciones periódicas para evaluar la calidad del código. - Advanced Security - Análisis de código CodeQL - Cadena de suministro segura Bicep in Azure Aprovisione infraestructura en la nube utilizando infraestructura como código (IaC) con Azure Resource Manager (ARM) y plantillas de Bicep. - Bicep Microsoft Defender for Cloud Habilitar las protecciones de cargas de trabajo de Defender for Cloud para suscripciones con cargas de trabajo de aplicaciones. - Proteger las cargas de trabajo en la nube Microsoft Defender para DevOps Usar Defender para DevOps para supervisar la seguridad y las alertas de canalizaciones en Azure DevOps (ADO) y GitHub. - Defender para DevOps
`Target` 3.2.3 Seguridad automática de aplicaciones y corrección de código Parte 1 Un enfoque estandarizado para la seguridad de aplicaciones, incluida la corrección de código, se implementa en toda la empresa DoD. La parte uno (1) de esta actividad incluye la integración de una puerta de enlace de API segura con aplicaciones que usan api o llamadas similares. Las revisiones de código se realizan con un enfoque metódico y se aplican protecciones estandarizadas para contenedores y su infraestructura. Además, las funciones sin servidor en las que el tercero administra la infraestructura, como Plataforma como servicio, usan las funciones adecuadas de supervisión y respuesta de seguridad sin servidor. Las funciones de seguridad de revisiones de código, contenedor y sin servidor se integran en el proceso de CI/CD o DevSecOps según corresponda. Resultados: - La puerta de enlace de API segura está operativa y la mayoría de las llamadas API pasan a través de la puerta de enlace - Las funciones de seguridad de aplicaciones (por ejemplo, la revisión de código, el contenedor y la seguridad sin servidor) se implementan como parte de CI/CD y DevSecOps	Azure Application Gateway Colocar aplicaciones web y API accesibles públicamente con Azure Application Gateway y Web Application Firewall. - Web Application Firewall Aplicaciones de Microsoft Entra ID Microsoft Entra ID es una puerta de enlace de autorización para el acceso a aplicaciones web y API. Exponga las API para las aplicaciones registradas mediante Microsoft Entra. Use la autenticación y autorización integradas (Autenticación sencilla) en Azure App Service y Azure Functions. En el caso de las API no conscientes de Microsoft Entra ID, use la autorización de OAuth en Azure API Management. - Configuración de una aplicación para exponer la API web - Autenticar y autorizar en Azure App Service y Azure Functions - Autenticar y autorizar a las API GitHub Advanced Security Usar GitHub Advanced Security para GitHub y Azure DevOps. Consulte las instrucciones de Microsoft en 3.2.1. Microsft Defender for Cloud Habilitar las protecciones de cargas de trabajo de Defender for Cloud para suscripciones de Azure con cargas de trabajo de API. Consulte la guía de Microsoft en 3.2.2.
`Advanced` 3.2.4 Seguridad automática de aplicaciones y corrección de código Parte 2 Las organizaciones del DoD modernizan los enfoques de prestación de servicios desarrollados y administrados internamente siguiendo enfoques de mejores prácticas como los microservicios. Estos enfoques permitirán arquitecturas más resistentes y seguras al permitir cambios más rápidos en el código de cada microservicio a medida que se detectan problemas de seguridad. Las actividades de corrección de seguridad más avanzadas continúan en la empresa de DoD con la inclusión de funciones de seguridad en tiempo de ejecución para contenedores según corresponda, actualizaciones automatizadas de bibliotecas vulnerables y aprobaciones automatizadas de CI/CD durante el proceso de lanzamiento. Resultados: - La puerta de enlace de API segura está operativa y la mayoría de las llamadas API pasan a través de la puerta de enlace - Los servicios se proporcionan siguiendo una arquitectura orientada a servicios (SOA) - Las actividades de corrección de seguridad (por ejemplo, seguridad en tiempo de ejecución, actualizaciones de biblioteca, aprobaciones de versión) están totalmente automatizadas	Complete las actividades 3.2.2 y 3.2.3.

3.3 Administración de riesgos de software

Acciones de GitHub ayudan a automatizar, personalizar y ejecutar flujos de trabajo de desarrollo de software para DevSecOps. Con Acciones de GitHub, genere una lista de materiales de software (SBOM), analice el código y busque vulnerabilidades de dependencia y cadena de suministro. Para más información sobre Acciones de GitHub, consulte Acciones de GitHub.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 3.3.1 Archivos binarios/Código aprobados La empresa de DoD usa enfoques recomendados para administrar archivos binarios y código aprobados en un enfoque metódico. Estos enfoques incluirán la administración de riesgos de abastecimiento de proveedores, el uso aprobado del repositorio, la administración de riesgos de la cadena de suministro de materiales y la administración de vulnerabilidades estándar del sector. Resultados: - Riesgo de aprovisionamiento de proveedores evaluado e identificado para el origen aprobado - Repositorio y canal de actualización establecido para su uso por parte de los equipos de desarrollo - La lista de materiales se crea para que las aplicaciones identifiquen el origen, la compatibilidad y la posición de riesgo - Las bases de datos estándar del sector (DIB) y las bases de datos de vulnerabilidades aprobadas se extraen para su uso en DevSecOps	Acciones de GitHub Estandarizar procesos de DevSecOps para generar una lista de materiales de software (SBOM) con una canalización de integración continua y entrega continua (CI/CD). - Generar facturas de software de materiales Usar GitHub Dependabot y CodeQL para automatizar las comprobaciones de seguridad y buscar vulnerabilidades de dependencia. - Análisis de código de CodeQL - Cadena de suministro segura Control de aplicaciones de Windows Defender Usar control de aplicaciones de Windows Defender para evitar que el código que no sea de confianza se ejecute en puntos de conexión administrados. - Control de aplicaciones y Applocker - Integridad del código de la plataforma
`Target` 3.3.2 Programa de administración de vulnerabilidades Parte 1 La empresa de DoD trabaja con organizaciones para establecer y administrar un programa de administración de vulnerabilidades. El programa incluye una política y estándares acordados por todas las organizaciones. El programa desarrollado incluye como mínimo el seguimiento y la administración de vulnerabilidades públicas basadas en aplicaciones y servicios de DoD. Las organizaciones establecen un equipo de administración de vulnerabilidades con las partes interesadas clave en las que se analizan y administran las vulnerabilidades siguiendo las normas y la directiva empresarial. Resultados: - El equipo de administración de vulnerabilidades está en vigor con la pertenencia adecuada a las partes interesadas - La directiva y el proceso de administración de vulnerabilidades están en vigor y están acordados con las partes interesadas- Se está utilizando una fuente pública de vulnerabilidades para el seguimiento	Administración de amenazas y vulnerabilidades Las funcionalidades de VM permiten la visibilidad de los recursos y las evaluaciones inteligentes. TVM tiene herramientas de corrección integradas para puntos de conexión y servidores. Use TVM con un programa de administración de vulnerabilidades. - Microsoft Defender TVM Pruebas comparativas de seguridad en la nube de Microsoft Revisar cómo los servicios en línea de Microsoft llevan a cabo la administración de vulnerabilidades. - Información general de TVM - Administración de vulnerabilidades y postura
`Target` 3.3.3 Programa de administración de vulnerabilidades Parte 2 Los procesos se establecen en el nivel de empresa de DoD para administrar la divulgación de vulnerabilidades en los servicios mantenidos y operados por DoD tanto pública como privadamente accesibles. Las organizaciones de DoD amplían el programa de administración de vulnerabilidades para realizar un seguimiento y administrar repositorios de vulnerabilidades cerrados, como DIB, CERT y otros. Resultados: - Los orígenes controlados (por ejemplo, DIB, CERT) de vulnerabilidades se usan para el seguimiento - El programa de administración de vulnerabilidades tiene un proceso para aceptar divulgaciones externas o públicas para servicios administrados	Administración de amenazas y vulnerabilidades Usar la página de puntos débiles de TVM de Microsoft Defender para identificar y priorizar las vulnerabilidades detectadas en los dispositivos y servidores de la organización’. - Vulnerabilidades de la organización Seguimiento de las actividades de corrección mediante el informe de dispositivos vulnerables de TVM. - Informe de dispositivos vulnerables
`Target` 3.3.4Validación continua Las organizaciones de DoD implementarán un enfoque de validación continua para el desarrollo de aplicaciones en el que se lleva a cabo la implementación paralela e integrada con un nivel de entorno aprobado (por ejemplo, pruebas de aceptación de usuario, producción). Las aplicaciones que no pueden integrar la validación continua en su proceso de CI/CD se identifican y se proporcionan excepciones según sea necesario mediante un enfoque metódico. Resultados: - Las aplicaciones actualizadas se implementan en un entorno activo o de producción - Las aplicaciones marcadas para la retirada y la transición se retiran - Las herramientas de validación continua se implementan y se aplican al código en la canalización de CI/CD - El código que requiere validación continua se identifica y se establecen criterios de validación	Azure Chaos Studio Uso de Azure Chaos Studio para validar las cargas de trabajo. - validación continua GitHub Advanced Security Usar características y acciones de GitHub para la administración de vulnerabilidades en el diseño de referencia de DevSecOps de DoD Enterprise. Consulte las instrucciones de Microsoft en 3.2.1.

3.4 Autorización e integración de recursos

El acceso condicional es el motor de directivas de confianza cero en Microsoft Entra ID. Conecte las cargas de trabajo de la aplicación con Microsoft Entra ID. Use Gobierno de Microsoft Entra ID para administrar derechos e inicios de sesión seguros con directivas de acceso condicional. Las directivas usan atributos de seguridad, como el estado del dispositivo, los detalles de la sesión y el riesgo para tomar decisiones de acceso adaptable. Microsoft Entra ID, Azure Resource Manager y canalizaciones de CI/CD autorizan la implementación de recursos en Azure.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Target` 3.4.1 Autorización de recursos Parte 1 La empresa de DoD normaliza los enfoques de autorización de recursos (por ejemplo, perímetro definido por software) con las organizaciones. Como mínimo, las puertas de enlace de autorización de recursos se integrarán con identidades y dispositivos. Las organizaciones implementan puertas de enlace de autorización de recursos aprobadas y permiten aplicaciones o servicios orientados externamente. Otras aplicaciones para la migración y las aplicaciones que no se pueden migrar se identifican para la excepción o retirada. Resultados: - La puerta de enlace de autorización de recursos está en vigor para las aplicaciones orientadas externamente - La directiva de autorización de recursos está integrada con la identidad y el dispositivo - Las directrices para toda la empresa sobre los estándares de conversión se comunican a las partes interesadas	Microsoft Entra ID Microsoft Entra es una puerta de enlace de autorización para los recursos de la aplicación. Integre aplicaciones modernas y heredadas para el inicio de sesión único con Microsoft Entra. Consulte la guía de Microsoft 1.2.4 en Usuario. Gobierno de Microsoft Entra ID Use roles de aplicación de Gobierno de Microsoft Entra ID para acceder a las aplicaciones. Asigne usuarios a roles de aplicación mediante pertenencia estática, grupos de seguridad dinámicos de Microsoft Entra o paquetes de acceso de administración de derechos. - Agregar roles de aplicación a una aplicación y recibirlos en un token - Control de acceso basado en rol Acceso condicional Usar directivas de acceso condicional para autorizar dinámicamente, controlar o bloquear el acceso a la aplicación. Consulte la guía de Microsoft 1.8.3 en Usuario y 2.1.4 en Dispositivo. Azure Application Gateway Habilitación de aplicaciones web y API accesibles públicamente con Application Gateway y Firewall de aplicaciones web. Consulte la guía de Microsoft 3.2.3.
`Target` 3.4.2 Autorización de recursos Parte 2 Las puertas de enlace de autorización de recursos se usan para todas las aplicaciones o servicios posibles. Las aplicaciones que no pueden utilizar puertas de enlace se retiran o se exceptúan mediante un enfoque metódico basado en riesgos. Las autorizaciones se integran aún más con la canalización de CI/CD para la toma de decisiones automatizada. Resultados: - La puerta de enlace de autorización de recursos se usa para todas las aplicaciones - La autorización de recursos se integra con DevSecOps y CI/CD para funciones automatizadas	Id. de carga de trabajo de Microsoft Entra Use la federación de identidades de carga de trabajo para configurar una identidad administrada asignada por el usuario o el registro de aplicaciones para confiar en tokens de un proveedor de identidades externo (IdP). Use la identidad de carga de trabajo federada para los flujos de trabajo de Acciones de GitHub. - Federación de identidades de carga de trabajo Azure API Management Uso de Azure API Management para administrar, autorizar y exponer servicios hospedados en Azure como API y fuera de ella. - Azure API Management
`Target` 3.4.3. Autorización de recursos de SDC Parte 1 La empresa de DoD proporciona un enfoque estandarizado para la administración de procesos basada en código (es decir, proceso definido por software) siguiendo los procedimientos recomendados del sector. El uso de líneas base de enfoques basados en riesgos se crea mediante el conjunto aprobado de bibliotecas de código y paquetes. Las organizaciones de DoD trabajan con las actividades de código/binarias aprobadas para garantizar que se identifican las aplicaciones que pueden y no pueden admitir el enfoque. Las aplicaciones que pueden admitir enfoques modernos de administración y configuración basados en software se identifican y comienza la transición. Las aplicaciones que no pueden seguir los enfoques de configuración y administración basados en software se identifican y permiten a través de una excepción mediante un enfoque metódico. Resultados: - Las aplicaciones que no se pueden actualizar para usar archivos binarios o código aprobados se marcan para la retirada y los planes de transición se crean - Las aplicaciones identificadas sin archivos binarios y código aprobados se actualizan para usar archivos binarios o código aprobados - Las instrucciones para toda la empresa sobre los estándares de conversión se comunican a las partes interesadas	Desarrollo seguro Diseño, desarrollo e implementación de aplicaciones de Azure siguiendo el ciclo de vida de desarrollo de seguridad y los procedimientos recomendados publicados. - Desarrollo seguro - infraestructura como código - Azure Policy como flujos de trabajo de código Microsoft Entra ID Usar la plataforma de identidad de Microsoft para la autenticación y autorización de aplicaciones. - Migrar aplicaciones y autenticación Azure Migrate Migrar a plataformas de aplicaciones modernas, como Azure Kubernetes Service (AKS) y contenedores de App Service. - Migrar cargas de trabajo a plataformas de aplicaciones modernas - Evaluar aplicaciones de ASP.NET para la migración a AKS - Evaluar aplicaciones de ASP.NET para la migración a Azure App Service
`Target` 3.4.4 Autorización de recursos de SDC Parte 2 Las aplicaciones que admiten la configuración y administración basadas en software se han pasado a un entorno de producción/activo y funcionan con normalidad. Siempre que sea posible, las aplicaciones que no admiten la configuración y la administración basadas en software se retiran. Resultados: - Las aplicaciones actualizadas se implementan en un entorno activo o de producción - Las aplicaciones marcadas para la retirada y la transición se retiran	Azure Migrate Contenedorización y migración de aplicaciones ASP.NET y aplicaciones web Java mediante la herramienta Azure Migrate: Contenedorización de aplicaciones. Retirar las aplicaciones que no se pueden modernizar. - Contenedorización y migración de aplicaciones de ASP.NET a AKS - Contenedorización y migración de aplicaciones de ASP.NET a Azure App Service - Contenedorización y migración de aplicaciones web de Java a AKS - Contenedorización y migración de aplicaciones web de Java a Azure App Service
`Advanced` 3.4.5 Enriquecer atributos para la autorización de recursos Parte 1 Los atributos iniciales de orígenes como Supervisión de actividad de usuarios y entidades, servicios de microsegmentación, DLP y administración de derechos de datos (DRM) se integran en la directiva y la pila de tecnología de autorización de recursos. Cualquier otro atributo para la integración posterior se identifican y planean. Los atributos se usan para crear una posición de riesgo básica de los usuarios, las entidades que no son personas (NPE) y los dispositivos que permiten tomar decisiones de autorización. Resultados: - La mayoría de las llamadas API pasan a través de la puerta de enlace de API segura - La autorización de recursos recibe datos de Analytics Engine - Las directivas de autorización incorporan atributos identificados para tomar decisiones de autorización - Se identifican los atributos que se usarán para el enriquecimiento inicial	Aplicaciones de Microsoft Entra Use Microsoft Entra ID para autorizar aplicaciones y API modernas. Implemente el proxy de aplicación de Microsoft Entra y los servidores habilitados para Azure Arc para ampliar Microsoft Entra ID a protocolos de autenticación heredados. Consulte la guía de Microsoft en 3.1.1 y en 3.2.3. Acceso condicional Microsoft Entra es una puerta de enlace segura para la autorización de recursos. El acceso condicional es el motor de autorización. Configure directivas para la autorización detallada mediante el usuario, la aplicación, el usuario, las condiciones del entorno, incluido el estado de cumplimiento del dispositivo. - Acceso condicional - Diseño de acceso condicional - Requerir dispositivos compatibles Grupos de seguridad dinámicos Crear grupos de seguridad dinámicos basados en atributos de usuario. Use grupos dinámicos para definir el ámbito de las directivas de acceso condicional para la autorización de atributos estáticos, en función de los atributos de usuario. - Pertenencia dinámica a grupos - Usuarios, grupos e identidades de carga de trabajo Tipos de información confidencial de Microsoft Purview Definir tipos de información confidencial con coincidencia exacta de datos (EDM). Use tipos de información confidencial con directivas de prevención de pérdida de datos (DLP) de Microsoft Purview Information Protection y Purview. - Coincidencia de datos en función de los tipos de información confidencial - Detectar y proteger la información confidencial Gobierno de Microsoft Entra ID Usar Gobierno de Microsoft Entra ID para el acceso a las aplicaciones con roles de aplicación. Asigne usuarios a roles de aplicación con pertenencia estática, grupos de seguridad dinámicos o paquetes de acceso de administración de derechos. - Agregar roles de aplicación y recibirlos en un token - Control de acceso basado en rol
`Advanced` 3.4.6. Enriquecer atributos para la autorización de recursos Parte 2 Los atributos identificados extendidos se integran con la tecnología y la directiva de autorización de recursos. La puntuación de confianza se introduce en los atributos para crear un método más avanzado de toma de decisiones de autorización de forma automatizada. Resultados: - Las directivas de autorización incorporan niveles de confianza para tomar decisiones de autorización - Se definen los niveles de confianza de los atributos	Protección de Microsoft Entra ID Use la protección de riesgo de inicio de sesión y de las señales de usuario de Microsoft Entra ID en un conjunto de directivas de acceso condicional. Configure el contexto de autenticación, incluido el riesgo para establecer niveles de confianza, en función de los detalles del entorno y el nivel de riesgo. - Riesgo de Microsoft Entra ID - Plantilla de directiva: MFA de riesgo de inicio de sesión - Ejemplo de contexto de autenticación Consulte la guía de Microsoft 1.3.3 en Usuario. Atributos de seguridad personalizados Administrar y asignar atributos de seguridad personalizados a los usuarios de Microsoft Entra ID. Use las condiciones de asignación de roles para el control de acceso basado en atributos dinámicos (ABAC). - Atributos de seguridad personalizados
`Advanced` 3.4.7. Microsegmentos de la API de REST Al usar las puertas de enlace de API aprobadas por la empresa de DoD, las llamadas a las aplicaciones se microsegmentan permitiendo únicamente el acceso autenticado y autorizado a destinos específicos (por ejemplo, microservicios). Cuando sea posible, las consolas de microsegmentación de API se integran y son conscientes de otras consolas de microsegmentación, como controladores perimetrales definidos por software o consolas de red definidas por software. Resultado: : Las API empresariales aprobadas se segmentan adecuadamente	Redes y conectividad de Azure Aislar, filtrar y controlar el tráfico de red entre flujos de entrada y salida. Aplique principios de defensa en profundidad mediante controles de red localizados en los límites de red disponibles. Siga el marco de trabajo de buena arquitectura de Azure. - Recomendaciones de redes y conectividad - Recomendaciones de estrategia de segmentación Diseño de API Seguir procedimientos recomendados para diseñar API para microservicios. Proteja y autorice las API con Microsoft Entra ID. - Api de microservicios - proteger las API

3.5 Supervisión continua y autorizaciones en curso

Los estándares de seguridad de Microsoft Defender for Cloud evalúan continuamente las suscripciones de Azure en el ámbito, las cuentas de Amazon Web Services (AWS) y los proyectos de Google Cloud Platform (GCP) con Defender for Cloud habilitado para el cumplimiento de los estándares normativos.

Descripción y resultado de la actividad de DoD Guía y recomendaciones de Microsoft

Advanced 3.5.1 Autorización continua para operar (cATO) Parte 1
Las organizaciones de DoD usan soluciones de automatización dentro del entorno para estandarizar la supervisión de controles y ofrecer la capacidad de identificar desviaciones. Cuando corresponda, la supervisión y las pruebas se integran en los procesos DevSecOps.

Resultados:
- La derivación de controles está estandarizada y lista para la automatización
- Las pruebas de controles se integran con procesos y tecnología de DevSecOps Biblioteca del Director de información de DoD (CIO)
Integrar la supervisión y las pruebas en procesos de DevSecOps. Consulte el diseño de referencia de DevSecOps de la empresa de DoD
- Biblioteca de CIO de DoD

Microsoft Defender for Cloud
Proteger cargas de trabajo de Azure y que no son de Azure con Defender for Cloud. Use iniciativas de cumplimiento normativo y de Azure Policy para evaluar la infraestructura continuamente con los estándares de configuración. Evite el desfase de configuración.
- Asignar estándares de seguridad
- Entornos multinube

Microsoft Sentinel
Automatizar las operaciones de integración e implementación de Sentinel con GitHub y Azure DevOps.
- Sentinel y la integración de Azure DevOps
- Implementación de contenido personalizado desde un repositorio

Advanced 3.5.2 Autorización continua para operar (cATO) Parte 2
Las organizaciones de DoD automatizan completamente los procesos de derivación, prueba y supervisión del control. Las desviaciones se prueban y resuelven automáticamente mediante la infraestructura de automatización entre pilares existente. Los paneles se usan para supervisar el estado de las autorizaciones y el análisis se integran con los funcionarios responsables de la autorización.< /br>
Resultados:
- Las pruebas de controles están totalmente automatizadas
- La integración con las operaciones de IR y SOC estándar está automatizada Administración de amenazas y vulnerabilidades de Microsoft Defender
Incorporar administración de amenazas y vulnerabilidades (TVM) en el programa de administración de vulnerabilidades.

Consulte la guía de Microsoft en 3.3.2.

Azure DevOps y Microsoft Sentinel
Automatizar las operaciones de integración e implementación de Sentinel con Azure DevOps.
- integración de Sentinel con Azure DevOps

Microsoft Defender XDR y Sentinel
Integrar XDR de Microsoft Defender y Defender for Cloud con Sentinel.
- Sentinel y XDR de Defender para confianza cero

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
`Advanced` 3.5.1 Autorización continua para operar (cATO) Parte 1 Las organizaciones de DoD usan soluciones de automatización dentro del entorno para estandarizar la supervisión de controles y ofrecer la capacidad de identificar desviaciones. Cuando corresponda, la supervisión y las pruebas se integran en los procesos DevSecOps. Resultados: - La derivación de controles está estandarizada y lista para la automatización - Las pruebas de controles se integran con procesos y tecnología de DevSecOps	Biblioteca del Director de información de DoD (CIO) Integrar la supervisión y las pruebas en procesos de DevSecOps. Consulte el diseño de referencia de DevSecOps de la empresa de DoD - Biblioteca de CIO de DoD Microsoft Defender for Cloud Proteger cargas de trabajo de Azure y que no son de Azure con Defender for Cloud. Use iniciativas de cumplimiento normativo y de Azure Policy para evaluar la infraestructura continuamente con los estándares de configuración. Evite el desfase de configuración. - Asignar estándares de seguridad - Entornos multinube Microsoft Sentinel Automatizar las operaciones de integración e implementación de Sentinel con GitHub y Azure DevOps. - Sentinel y la integración de Azure DevOps - Implementación de contenido personalizado desde un repositorio
`Advanced` 3.5.2 Autorización continua para operar (cATO) Parte 2 Las organizaciones de DoD automatizan completamente los procesos de derivación, prueba y supervisión del control. Las desviaciones se prueban y resuelven automáticamente mediante la infraestructura de automatización entre pilares existente. Los paneles se usan para supervisar el estado de las autorizaciones y el análisis se integran con los funcionarios responsables de la autorización.< /br> Resultados: - Las pruebas de controles están totalmente automatizadas - La integración con las operaciones de IR y SOC estándar está automatizada	Administración de amenazas y vulnerabilidades de Microsoft Defender Incorporar administración de amenazas y vulnerabilidades (TVM) en el programa de administración de vulnerabilidades. Consulte la guía de Microsoft en 3.3.2. Azure DevOps y Microsoft Sentinel Automatizar las operaciones de integración e implementación de Sentinel con Azure DevOps. - integración de Sentinel con Azure DevOps Microsoft Defender XDR y Sentinel Integrar XDR de Microsoft Defender y Defender for Cloud con Sentinel. - Sentinel y XDR de Defender para confianza cero

Pasos siguientes

Configuración de servicios en la nube de Microsoft para la estrategia de confianza cero del DoD: