Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette section contient des orientations et des recommandations de Microsoft pour le modèle de maturité de la confiance zéro de la CISA dans le pilier des applications et des charges de travail.
4 Applications et charges de travail
Selon la définition CISA, les applications et les charges de travail incluent des systèmes d’entreprise, des programmes informatiques et des services qui s’exécutent localement, sur des appareils mobiles et dans des environnements cloud.
Utilisez les liens suivants pour accéder aux sections du guide.
- Introduction
- Identité
- Appareils
- Réseaux
- Applications et charges de travail
- Données
4.1 Fonction : Accès aux applications
| Description de l'étape ZTMM de la CISA | Orientations et recommandations de Microsoft |
|---|---|
| : Statut de maturité initial L’entreprise commence à implémenter des fonctionnalités d’autorisation d’accès aux applications qui incorporent des informations contextuelles (par exemple, l’identité, la conformité des appareils et/ou d’autres attributs) à l’expiration de la requête. |
Applications Microsoft Entra ID Adopter Microsoft Entra ID comme fournisseur d'identité d'entreprise (IdP). Établissez une stratégie pour utiliser l’ID Microsoft Entra pour les nouvelles applications. Autoriser l’accès aux applications avec l’attribution d’utilisateurs et de groupes aux applications. Microsoft Entra ID implémente des protocoles standard, lorsqu’ils sont combinés avec l’accès conditionnel Microsoft Entra. Incorporer des informations contextuelles par requête avec une expiration. - Intégrer l’ID Microsoft Entra et les applications - Jetons et revendications - Affecter des utilisateurs et des groupes à une application l’accès conditionnel Utiliser des signaux d’appareil tels que l’emplacement dans les stratégies d’accès conditionnel pour les décisions de sécurité. Utilisez des filtres basés sur des attributs d’appareil pour inclure et exclure des stratégies. - Conditions - Filtre pour les appareils |
| État avancé de maturité Enterprise automatise les décisions d’accès aux applications avec des informations contextuelles étendues et des conditions d’expiration appliquées qui respectent les principes de moindre privilège. |
l’accès conditionnel Automatiser les décisions d’accès aux applications avec des stratégies d’accès conditionnel répondant aux exigences de l’entreprise. L’accès conditionnel est le point de décision de stratégie (PDP) pour l’accès aux applications ou aux ressources. Développez des informations contextuelles pour les appareils dans les décisions d’accès. Exiger des appareils conformes ou des appareils hybrides Microsoft Entra joints. Accordez le contrôle pour garantir que l’accès soit accordé à des appareils connus ou conformes. - Accès conditionnel - Politique basée sur les appareils - Microsoft Entra hybrid join Augmenter les décisions automatisées d'accès aux applications avec des informations contextuelles étendues. Configurez des stratégies d’accès conditionnel pour les applications, les actions protégées et l’authentification. Personnalisez les conditions d'expiration avec le contrôle de session de la fréquence de connexion. - Actions protégées - Guide du développeur d’authentification - accès conditionnel : Session Microsoft Intune Inscrire des appareils auprès de Microsoft Entra ID et gérer la configuration avec Intune. Évaluer la conformité des appareils avec les stratégies Intune. - Appareils inscrits - Conformité aux stratégies d’appareil Microsoft Defender pour les applications Cloud Surveiller et contrôler les sessions sur les applications cloud avec Microsoft Defender pour les applications Cloud. - Protéger les applications - stratégie de session - Authentification des actions à risque Configurer la stratégie pour l’hygiène des applications : informations d’identification inutilisées, non utilisées et informations d’identification arrivant à expiration. fonctionnalités de gouvernance des applications rôles d’application Microsoft Entra Concevoir des modèles d’autorisation et d’autorisations d’application avec des rôles d’application. Pour déléguer la gestion des applications, attribuez des propriétaires pour gérer la configuration de l'application, enregistrez et attribuez des rôles d'application. rôles d'application |
| état de maturité optimale Enterprise autorise en permanence l’accès aux applications, en intégrant des facteurs et des analyses de risque en temps réel, comme le comportement ou les modèles d’utilisation. |
Microsoft Entra ID Protection ID Protection évalue le niveau de risque lié à l'utilisateur et à la connexion. Dans la suite Microsoft Defender XDR, les détections en temps réel et hors connexion déterminent le niveau de risque agrégé. Pour appliquer des stratégies d’accès adaptatif basées sur les risques, utilisez des conditions de risque dans les stratégies d’accès conditionnel. - Protection des ID - Risque dans la protection des ID évaluation continue de l’accès Le mécanisme d’évaluation continue de l’accès (CAE) permet aux applications de répondre aux violations de stratégie en quasi-temps réel sans attendre l’expiration du jeton. Les applications qui soutiennent le CAE répondent aux événements critiques, y compris lorsqu'un utilisateur est signalé pour un risque élevé dans la protection des identités. aperçu de CAE Global Secure Access Pour réduire le risque de vol de jetons et d'attaques par relecture, configurez une application conforme du réseau qui fonctionne avec les services prenant en charge le CAE. En quasi-temps réel, l'application rejette les jetons d'accès volés rejoués en dehors du réseau conforme au locataire. - Global Secure Access - Microsoft Entra Internet Access - Vérification de la conformité du réseau |
4.2 Fonction : Protections contre les menaces d’application
| Description de l'étape ZTMM de la CISA | Conseils et Recommandations Microsoft |
|---|---|
| # Statut de maturité initiale Enterprise intègre des protections contre les menaces dans les flux de travail d'application critiques, en appliquant des protections contre les menaces connues et certaines menaces spécifiques à l'application. |
Microsoft Entra ID intégrez Microsoft Entra ID dans le flux de chaque demande d’accès. Mettez en œuvre une stratégie qui impose que les applications critiques pour la mission soient intégrées à Microsoft Entra ID. Vérifiez que la protection contre les menaces fait partie des flux de travail d’application. - Gestion des applications - Ajouter des applications d’entreprise - Migrer des applications et une authentification Microsoft Defender pour Cloud Apps Configurer Defender pour Cloud Apps pour détecter et alerter les applications OAuth à risque. Examinez et surveillez les autorisations d’application accordées par les utilisateurs. applications OAuth risquées Azure Application Gateway déployer des applications et DES API Azure derrière Azure Application Gateway avec le pare-feu d’applications web Azure en mode de prévention. Enable Open Web Application Security Project (OWASP) Core Rule Set (CRS). Web Application Firewall Microsoft Defender XDR Defender XDR est une suite intégrée de défense pré- et post-fraude qui coordonne les actions de détection, de prévention, d'investigation et de réponse sur les points de terminaison, les identités, les e-mails et les applications. - Defender XDR - Configurer des outils XDR |
| 'état avancé de maturité Enterprise intègre des protections contre les menaces dans tous les flux de travail d’application, en protégeant contre certaines menaces spécifiques à l’application et ciblées. |
ID Microsoft Entra Mettez l’ID Microsoft Entra dans le chemin des demandes d’accès. Mettre en œuvre une politique dictant que les applications soient intégrées à Microsoft Entra ID. Vérifiez que la protection contre les menaces est appliquée à toutes les applications. - gestion des applications - Ajouter des applications d’entreprise - Migrer des applications et des authentifications Microsoft Entra Conditional Access, protection des jetons Activer la protection des jetons ou la liaison de jetons dans la stratégie d’accès conditionnel. La protection des jetons réduit les attaques en garantissant que les jetons sont utilisables dans les appareils prévus. Protection des jetons proxy d’application Microsoft Entra Utiliser le proxy d’application et l’ID Microsoft Entra pour les applications privées à l’aide de protocoles d’authentification hérités. Déployez le proxy d’application ou intégrez des solutions partenaires d’accès hybride sécurisé (SHA). Pour étendre les protections, configurez des stratégies de session dans Microsoft Defender pour Cloud Apps. - Protéger les applications héritées - considérations relatives à la sécurité du proxy d’application - Créer une stratégie de session Microsoft Defender Vulnerability Management scanneurs sans agent Defender Vulnerability Management surveillent et détectent en continu les risques. Les inventaires consolidés sont une vue en temps réel des vulnérabilités logicielles, des certificats numériques utilisant des algorithmes de chiffrement faibles, des faiblesses matérielles et des microprogrammes et des extensions de navigateur risquées sur les points de terminaison. Defender Vulnerability Management Defender pour Cloud Activer les protections de charge de travail pour les charges de travail d’application. Utilisez Defender pour serveurs P2 pour intégrer des serveurs à Microsoft Defender pour point de terminaison et à Defender Vulnerability Management pour les serveurs. - Defender pour App Service - Defender pour les API - Defender pour conteneurs - Defender pour serveurs Microsoft Entra Workload ID Premium Pour intégrer la protection contre les menaces dans les flux de travail d’application. Configurez la protection des identités pour les identités de charge de travail. Sécurisez les identités de charge de travail. |
| état de maturité optimal Enterprise intègre des protections avancées contre les menaces dans tous les flux de travail d’application, offrant une visibilité en temps réel et des protections prenant en charge le contenu contre les attaques sophistiquées adaptées aux applications. |
Microsoft Defender pour Cloud Apps configurer des stratégies de contrôle de session dans Defender pour Cloud Apps pour une visibilité et des contrôles en temps réel. Utilisez des stratégies de fichier pour analyser le contenu en temps réel, appliquer des étiquettes et restreindre les actions de fichier. - Visibilité et contrôle des applications cloud - Politique de fichiers Defender XDR, Microsoft Sentinel Intégrez Defender XDR et Sentinel. - Defender XDR - Sentinel et Defender XDR for Zero Trust Fusion dans Sentinel Fusion est une règle analytique de détection des attaques en plusieurs étapes dans Sentinel. Fusion dispose d’un moteur de corrélation Machine Learning qui détecte les attaques en plusieurs étapes ou les menaces persistantes avancées (APT). Il identifie les comportements anormales et les activités suspectes. Les incidents sont de faible volume, d'une grande fidélité et d'une grande sévérité. - détection d’attaques en plusieurs étapes - personnaliser les anomalies - règles d’analyse de détection d’anomalies Global Secure Access Garantir un accès sécurisé aux applications et aux ressources, tout en surveillant et en gérant en temps réel l’accès utilisateur. Intégrez Defender pour Cloud Apps à des fins de visibilité et de contrôle de l’utilisation et de la sécurité des logiciels. Prévenez les attaques sophistiquées telles que le vol de jetons rejoués grâce à la vérification de la conformité du réseau pour un locataire dans l'accès conditionnel. Soutenez la productivité et effectuez des contrôles de sécurité basés sur la localisation. Empêchez le contournement SSE (Security Service Edge) pour les applications SaaS (Software as a Service). - Vérification de la conformité du réseau pour l'accès sécurisé global - |
4.3 Fonction : Applications accessibles
| Description de l'étape ZTMM de la CISA | Les conseils et recommandations de Microsoft |
|---|---|
| État de maturité initiale L'entreprise met certaines de ses applications critiques applicables à la disposition des utilisateurs autorisés qui en ont besoin sur des réseaux publics ouverts, par le biais de connexions réparties. |
ID Microsoft Entra Placer l'ID Microsoft Entra dans le chemin des demandes d'accès. Implémenter une stratégie qui exige que les applications critiques pour la mission soient intégrées au sein de l’ID Microsoft Entra. - gestion des applications - Ajouter des applications d’entreprise - Migrer des applications et l’authentification Microsoft Azure Migrate et moderniser les applications en les intégrant à Azure. - migration d’applications - Moderniser les applications et l’infrastructure - Créer un plan de migration proxy d’application Microsoft Entra Configurer le proxy d’application pour publier des applications web critiques internes, accessibles via des connexions réseau publiques, par les utilisateurs autorisés par Microsoft Entra ID. - proxy d’application - Configurer l’authentification unique (SSO) pour les applications Microsoft Defender for Cloud Apps Pour surveiller et restreindre les sessions, utilisez des stratégies de session pour répartir les connexions d’applications avec Defender pour Cloud Apps. - Defender pour Cloud Apps - Connecter des applications à Defender - Créer une stratégie de session l’accès conditionnel Microsoft Entra Configurer la stratégie pour autoriser l’accès aux applications intégrées à l’ID Microsoft Entra. Configurez le contrôle d’application d’accès conditionnel pour exiger l’utilisation de répartiteurs de sécurité d’accès cloud dans Defender pour Cloud Apps. - accès conditionnel - contrôle d’application |
| 'état avancé de maturité Entreprise rend la plupart de leurs applications stratégiques applicables disponibles sur les connexions de réseau public ouvertes aux utilisateurs autorisés, selon les besoins. |
Utiliser les orientations de l'état de maturité initial et inclure les applications les plus critiques. |
| état de maturité optimal Enterprise rend toutes les applications applicables disponibles sur des réseaux publics ouverts aux utilisateurs et appareils autorisés, le cas échéant, selon les besoins. |
Utilisez les directives fournies dans l'état de maturité initialeet incluez toutes les applications. Accès Conditionnel Configuration de la stratégie d'Accès Conditionnel requérant des appareils conformes pour les applications. L’accès pour les appareils non conformes est bloqué. Exiger des appareils conformes |
4.4 Fonction : Sécuriser le flux de travail de développement et de déploiement d’applications
| Description de l'étape ZTMM de la CISA | Directives, conseils et recommandations de Microsoft |
|---|---|
| État de maturité initial L'entreprise fournit une infrastructure pour les environnements de développement, de test et de production (y compris l’automatisation) avec des mécanismes formels de déploiement de code via des pipelines CI/CD et les contrôles d’accès requis pour soutenir les principes de privilège minimum. |
zones d’atterrissage Azure Établir des environnements pour le développement et appliquer des stratégies de configuration des ressources avec Azure Policy. - zones d’atterrissage - Azure Policy Établir un mécanisme de déploiement de code formalisé avec des pipelines d’intégration et de livraison continue (CI/CD) tels que GitHub ou Azure DevOps. GitHub Enterprise les outils GitHub Enterprise prennent en charge la collaboration, la sécurité et l’administration. Utilisez des fonctionnalités telles que des référentiels illimités, des fonctionnalités de gestion de projet, un suivi des problèmes et des alertes de sécurité. Contrôler les informations du référentiel et du projet tout en améliorant la collaboration entre les équipes. Simplifiez les stratégies de sécurité et simplifiez l’administration avec des options de déploiement flexibles. GitHub Enterprise Cloud Connecter GitHub à Microsoft Entra ID pour l’authentification unique (SSO) et l’approvisionnement d’utilisateurs. Pour garantir les principes de privilège minimum, désactivez les jetons d’accès personnels. - utilisateurs gérés par Enterprise - intégration de l’authentification unique (SSO) pour GitHub Enterprise - Appliquer une stratégie de jeton d’accès personnel Azure DevOps Rassembler les personnes, les processus et la technologie pour automatiser la livraison de logiciels. Il prend en charge la collaboration et les processus pour créer et améliorer les produits plus rapidement que les approches de développement traditionnelles. Utilisez des fonctionnalités telles qu’Azure Boards, Repos, Pipelines, Plans de test et Artefacts. Simplifiez la gestion des projets, le contrôle de version, CI/CD, les tests et la gestion des packages. Azure DevOps connecter une organisation Azure DevOps à Microsoft Entra ID et garantir des principes de privilège minimum. Désactivez les jetons d’accès personnels. - Connecter une organisation à Microsoft Entra ID - Gérer les jetons d’accès personnels avec la stratégie |
| 'état de maturité avancée Enterprise utilise des équipes distinctes et coordonnées pour le développement, la sécurité et les opérations tout en supprimant l’accès des développeurs à l’environnement de production pour le déploiement de code. |
Microsoft Entra ID Governance Si vos abonnements de développement et de production utilisent le même locataire Microsoft Entra, attribuez l'éligibilité des rôles à l'aide des packages d'accès dans la gestion des droits d'utilisation. Activez les vérifications pour vous assurer que les utilisateurs ne peuvent pas accéder aux environnements de développement et de production. séparation des tâches révisions d’accès Pour supprimer les développeurs ayant accès à un environnement de production, créez une révision d’accès à l’aide de rôles de production Azure. Créer un de révision d’accès |
| état de maturité optimale Enterprise tire parti des charges de travail immuables, où cela est possible, ce qui permet uniquement aux modifications de prendre effet par le biais du redéploiement et supprime l’accès administrateur aux environnements de déploiement en faveur de processus automatisés pour le déploiement de code. |
Portes de sortie et approbations Azure DevOps Utilisez des pipelines de mise en production pour déployer en continu des applications à différents stades, avec moins de risques et à un rythme plus rapide. Automatiser les étapes du déploiement avec des travaux et des tâches. Barrières de validation, contrôles et approbations Verrous de ressources Azure Pour protéger les ressources Azure contre les suppressions et les modifications accidentelles, appliquez les mesures suivantes CanNotDelete, et ReadOnly, les verrous de ressources pour les abonnements, les groupes de ressources et les ressources individuelles.Protéger l'infrastructure avec des ressources verrouillées Actions GitHub Avec GitHub Actions, attribuez des rôles Azure aux identités gérées pour l'intégration et la livraison continues (CI/CD). Configurez les tâches qui font référence à un environnement avec des approbateurs requis. Assurez-vous que les travaux attendent l’approbation avant de commencer. - Déployer avec GitHub Actions - Passer en revue les déploiements Microsoft Entra Privileged Identity Management Utiliser PIM Discovery et Insights pour identifier les rôles et groupes privilégiés. Gérez les privilèges découverts et convertissez les affectations d’utilisateurs de permanentes à éligibles. découverte PIM et analyses révisions d’accès Pour réduire les administrateurs éligibles dans un environnement de production, créez une révision d’accès à l’aide de rôles Azure. révisions d’accès aux rôles de ressources Azure |
Fonction 4.5 : Test de sécurité des applications
| Description de l'étape ZTMM de la CISA | recommandations et directives de Microsoft |
|---|---|
| 'état de maturité initial Enterprise commence à utiliser des méthodes de test statiques et dynamiques (c’est-à-dire l’exécution d’applications) pour effectuer des tests de sécurité, y compris l’analyse manuelle des experts, avant le déploiement d’applications. |
Microsoft Threat Modeling Tool L’outil de modélisation des menaces fait partie du cycle de vie du développement de la sécurité Microsoft (SDL). L’architecte logiciel identifie et atténue les problèmes de sécurité au début, ce qui réduit les coûts de développement. Trouvez des conseils pour créer et analyser des modèles de menace. L’outil facilite la communication de conception de la sécurité, analyse les problèmes de sécurité potentiels et suggère des atténuations. - Outil de modélisation des menaces - Bien démarrer outils de développement de la Place de marché Azure suivre les pratiques de développement d’applications sécurisées. Utilisez des outils de la Place de marché Azure pour faciliter l’analyse du code. - Développer des applications sécurisées - Place de marché Azure GitHub Actions, Azure DevOps Actions Utiliser le moteur d’analyse CodeQL pour automatiser les vérifications de sécurité dans votre pipeline d’intégration continue et de livraison continue (CI/CD). GitHub Advanced Security pour Azure DevOps est un service de test de sécurité des applications natif aux flux de travail des développeurs. - Analyse du CodeQL - Sécurité avancée de GitHub pour Azure DevOps |
| 'état avancé de maturité Entreprise intègre les tests de sécurité des applications dans le processus de développement et de déploiement d’applications, y compris l’utilisation de méthodes de test dynamique périodiques. |
GitHub Advanced Security Pour améliorer la sécurité du code et les processus de développement, utilisez l’analyse du code dans Advanced Security et Azure DevOps. - Advanced Security - Advanced Security pour Azure DevOps - Analyse du code Microsoft Defender pour Cloud Activer les protections de charge de travail pour les abonnements avec des charges de travail d’application. - Defender pour Cloud - Defender pour conteneurs - Defender pour App Service Defender pour Cloud DevOps security Utiliser les fonctionnalités CSPM (Cloud Support Plan Management) pour protéger les applications et le code dans des environnements multi pipelines. Connectez les organisations et évaluez vos configurations de sécurité d’environnement DevOps. - Defender pour la sécurité du Cloud DevOps - Connexion des environnements Azure DevOps à Defender pour le Cloud |
| état de maturité optimale Entreprise intègre les tests de sécurité des applications tout au long du cycle de vie du développement logiciel dans l’entreprise avec des tests automatisés de routine des applications déployées. |
Defender for Cloud DevOps security Utiliser les fonctionnalités CSPM (Cloud Security Posture Management) pour protéger les applications et le code dans des environnements multi-pipelines. Évaluez vos configurations de sécurité d’environnement DevOps. - Defender pour la sécurité du Cloud DevOps - Mappage des images des conteneurs - Gérer les voies d'attaque |
4.6 Fonction : Visibilité et analytique
| Description de l'étape ZTMM de la CISA | Conseils et recommandations de Microsoft |
|---|---|
| État de maturité initial L'entreprise se met à automatiser le profil d’application (par exemple, l’état, l’intégrité et les performances) et la surveillance de la sécurité pour améliorer la collecte de journaux, l’agrégation et l’analyse. |
Azure Monitor configurer Azure Policy pour activer les diagnostics et utiliser Azure Monitor pour les charges de travail d’application déployées dans Azure. - Les définitions d'Azure Policy - Azure Monitor Azure Monitor Application Insights Activer Application Insights pour examiner l’intégrité des applications, analyser les journaux et afficher les modèles d’utilisation des applications Azure. Application Insights Microsoft Defender pour Cloud Activer Defender pour Cloud pour Azure et les environnements multicloud. Utilisez Microsoft Secure Score pour identifier les lacunes et améliorer la posture de sécurité. - Defender pour le cloud - Secure score |
| Statut de maturité avancée Enterprise automatise la surveillance des profils et de la sécurité pour la plupart des applications à l'aide d'outils heuristiques permettant d'identifier les tendances propres aux applications et à l'ensemble de l'entreprise, et affine les processus au fil du temps pour combler les lacunes en matière de visibilité. |
Defender pour cloud Utiliser le score de sécurisation Microsoft pour évaluer et améliorer votre posture de sécurité cloud. Utilisez la hiérarchisation des risques pour corriger les problèmes de sécurité importants. Déployez des composants de surveillance pour collecter des données à partir de charges de travail Azure et surveiller les vulnérabilités et les menaces. - Defender pour Cloud - collecte de données à partir des charges de travail - Score de sécurité - Hiérarchisation des risques Microsoft Sentinel Connecter Defender pour Cloud à Sentinel. Ingestion des alertes dans Sentinel |
| état de maturité optimale Entreprise effectue une surveillance continue et dynamique sur toutes les applications pour assurer une visibilité complète à l’échelle de l’entreprise. |
Defender pour le cloud Intégrer les charges de travail de l'infrastructure et de la plateforme avec Defender pour le Cloud, y compris les ressources dans un cloud non Microsoft et sur site. Maintenez une visibilité complète à l’échelle de l’entreprise. - Connecter des serveurs locaux - Connecter des comptes Amazon Web Services (AWS) - Connecter des projets Google Cloud Platform (GCP) Defender pour les protections de charge de travail cloud Activer les protections de charge de travail pour vos charges de travail d’application. - Defender pour App Service - Defender pour les API - Defender pour conteneurs - Defender pour serveurs |
4.7 Fonction : Automatisation et orchestration
| Description de l'étape ZTMM de la CISA | Les conseils et recommandations de Microsoft |
|---|---|
| 'état de maturité initial Enterprise modifie périodiquement les configurations d’application, y compris l’emplacement et l’accès, pour répondre aux objectifs de sécurité et de performances pertinents. |
Azure Resource Manager ARM est un service de déploiement et de gestion pour Azure. Automatisez les modifications de configuration à l’aide de modèles ARM et d’Azure Bicep.Vue d’ensemble - ARM - modèles ARM - Bicep |
| état avancé de maturité Enterprise automatise les configurations d’applications pour répondre aux changements opérationnels et environnementaux. |
Azure App Configuration Gérer les paramètres d’application et les indicateurs de fonctionnalité à partir d’un emplacement central. Azure App Configuration Azure App Service Pour tester les applications déployées en production, utilisez des emplacements de déploiement. Répondre aux changements opérationnels et environnementaux. environnements intermédiaires Microsoft Defender pour cloud Utiliser le score de sécurisation Microsoft pour évaluer et améliorer votre posture de sécurité cloud. Utiliser Defender pour les capacités de remédiation du cloud. Remédier aux recommandations |
| état de maturité optimal Enterprise automatise les configurations d’applications pour optimiser en permanence la sécurité et les performances. |
Azure Chaos Studio Utiliser ce service pour l’ingénierie du chaos pour aider à mesurer, comprendre et améliorer la résilience des applications et des services cloud. Intégrez Azure Load Testing et Azure Chaos Studio aux cycles de développement de charge de travail. - Azure Chaos Studio - Validation continue |
4.8 Fonction : Gouvernance
| Description de l'étape ZTMM de la CISA | Les conseils et recommandations de Microsoft |
|---|---|
| Statut de maturité initiale L'entreprise commence à automatiser l’application des stratégies pour le développement d’applications (y compris l’accès à l’infrastructure de développement), le déploiement, la gestion des ressources logicielles, ST&E lors de l’insertion de technologies, la mise à jour corrective et le suivi des dépendances logicielles en fonction des besoins de mission (par exemple, avec la liste de matériaux logiciels). |
Actions GitHub Normaliser les processus DevSecOps pour une nomenclature logicielle (SBOM) avec un pipeline d'intégration continue et de livraison continue (CI/CD). - GitHub Actions - Générer des SBOMs Utiliser GitHub Dependabot et CodeQL pour automatiser les vérifications de sécurité et analyser les vulnérabilités des dépendances. - Analyse du code - Chaîne d’approvisionnement sécurisée GitHub Actions, Azure DevOps Actions Utiliser CodeQL pour automatiser les vérifications de sécurité avec votre pipeline CI/CD. GitHub Advanced Security pour Azure DevOps est un service de test de sécurité des applications natif aux flux de travail des développeurs. - l’analyse du code - GitHub Advanced Security pour Azure DevOps l’outil de génération de la liste de matériaux logiciels Utilisez le générateur SBOM pendant la phase de construction qui fonctionne sur les systèmes d’exploitation : Windows, Linux et MacOS. Il utilise le format Standard Software Package Data Exchange (SPDX). - outil de génération SBOM open source - outil SBOM sur GitHub |
| État de maturité avancée L'entreprise met en œuvre des politiques hiérarchisées et adaptées à l'échelle de l'entreprise pour les applications et tous les aspects du cycle de vie du développement et du déploiement des applications, et utilise l'automatisation, lorsque cela est possible, pour garantir leur application. |
Azure Policy Aider à appliquer des normes et à évaluer la conformité. Consultez le tableau de bord de conformité pour obtenir une vue agrégée de l’environnement. Azure Policy Microsoft Defender pour Cloud protéger les charges de travail Azure et non-Azure avec Defender pour cloud. Utilisez la conformité réglementaire et Azure Policy pour évaluer l’infrastructure en continu avec les normes de configuration. Empêcher la dérive configurationnelle. - Attribuer des normes de sécurité - environnements multiclouds groupes d’administration Utiliser des groupes d’administration pour appliquer les stratégies d’accès et la conformité pour les abonnements Azure. abonnements et groupes d’administration |
| état de maturité optimal Enterprise automatise entièrement les stratégies régissant le développement et le déploiement des applications, notamment l’incorporation de mises à jour dynamiques pour les applications via le pipeline CI/CD. |
Defender pour Cloud Déployer des composants de surveillance pour collecter des données à partir de charges de travail Azure et surveiller les vulnérabilités et les menaces. - Defender for Cloud - Collection de données à partir des charges de travail La stratégie dans Defender pour le Cloud se compose de normes et de recommandations pour vous aider à améliorer votre posture de sécurité dans le cloud. Les normes définissent des règles, des conditions de conformité pour ces règles et des actions lorsque les conditions ne sont pas remplies. stratégie de sécurité Infrastructure en tant que code Utiliser l’intégration continue et la livraison continue (CI/CD) pour déployer IaC avec GitHub Actions. infrastructure Azure avec GitHub Actions Azure Policy Déployer Azure Policy en tant que définition de code, test et déploiement de ses définitions. stratégie en tant que flux de travail de code |
Étapes suivantes
Configurez Microsoft Cloud Services pour le modèle de maturité confiance zéro CISA.
- Introduction
- Identité
- Appareils
- Réseaux
- Applications et charges de travail
- Données