Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa sezione include indicazioni e consigli Microsoft per modello di maturità Zero Trust CISA nel pilastro delle applicazioni e dei carichi di lavoro.
4 Applicazioni e carichi di lavoro
In base alla definizione CISA, le applicazioni e i carichi di lavoro includono sistemi aziendali, programmi informatici e servizi che eseguono in locale, su dispositivi mobili e in ambienti cloud.
Usare i collegamenti seguenti per passare alle sezioni della guida.
- Introduzione
- Identità
- Dispositivi
- Networks
- Applicazioni e carichi di lavoro
- Data
4.1 Funzione: accesso alle applicazioni
| Descrizione fase CISA ZTMM | Linee guida e raccomandazioni di Microsoft |
|---|---|
|
stato di maturità iniziale Enterprise inizia a implementare le capacità di autorizzazione per l'accesso alle applicazioni che includono informazioni contestuali (ad esempio, identità, conformità del dispositivo e/o altri attributi) per ciascuna richiesta con scadenza. |
applicazioni Microsoft Entra ID Adotta Microsoft Entra ID come provider di identità aziendale (IdP). Stabilire i criteri per l'uso dell'ID Microsoft Entra per le nuove applicazioni. Autorizzare l'accesso dell'applicazione con l'assegnazione di utenti e gruppi alle applicazioni. Microsoft Entra ID implementa protocolli standard del settore, se combinati con l'accesso condizionale Microsoft Entra. Incorporare le informazioni contestuali per ogni richiesta con una scadenza. - Integrare Microsoft Entra ID e app - Token e Attestazioni - Assegnare utenti e gruppi a un'app Accesso Condizionale Usare segnali del dispositivo, ad esempio la posizione, nei criteri di Accesso Condizionale per decisioni di sicurezza. Usare i filtri in base agli attributi del dispositivo per includere o escludere i criteri. - Condizioni - Filtro per i dispositivi |
|
Advanced Maturity Status Enterprise automatizza le decisioni di accesso alle applicazioni utilizzando informazioni contestuali ampliate e applicando condizioni di scadenza che rispettano i principi del privilegio minimo. |
Accesso Condizionale Automatizza le decisioni di accesso alle applicazioni con i criteri di accesso condizionale che soddisfano i requisiti aziendali. L'accesso condizionale è il punto decisionale dei criteri (PDP) per l'accesso alle applicazioni o alle risorse. Ampliare le informazioni contestuali sui dispositivi nelle decisioni di accesso. Richiedere dispositivi conformi o dispositivi uniti in modo ibrido a Microsoft Entra. Consentire il controllo per garantire che l'accesso sia riservato a dispositivi conosciuti o conformi. - criteri di accesso condizionale - basato sul dispositivo - l'aggiunta ibrida a Microsoft Entra Aumentare le decisioni di accesso automatico alle applicazioni con informazioni contestuali espanse. Configurare i criteri di accesso condizionale per applicazioni, azioni protette e autenticazione. Personalizzare le condizioni di scadenza con il controllo della frequenza di accesso alla sessione. - Azioni protette - Guida per gli sviluppatori di autenticazione - Accesso Condizionale: Sessione Microsoft Intune Registrare i dispositivi con Microsoft Entra ID e gestire la configurazione con Intune. Valutare la conformità dei dispositivi con i criteri di Intune. - Dispositivi registrati - Conformità dei criteri dei dispositivi Microsoft Defender for Cloud Apps Monitora e controlla le sessioni delle applicazioni cloud con Defender for Cloud Apps. - Proteggere le app - Criteri di Sessione - autenticazione delle azioni rischiose Configurare i criteri per l'igiene delle app: credenziali non utilizzate e credenziali in scadenza. Funzionalità di governance delle app Ruoli dell'App Microsoft Entra Progettare modelli di autorizzazione e permessi delle app con ruoli dell'app. Per delegare la gestione delle app, assegnare i proprietari per gestire la configurazione delle app, registrare e assegnare i ruoli delle app. ruoli delle applicazioni |
|
stato di maturità ottimale Enterprise autorizza continuamente l'accesso alle applicazioni, incorporando analisi dei rischi in tempo reale e fattori come comportamenti o modelli di utilizzo. |
Microsoft Entra ID Protection ID Protection valuta il livello di rischio utente e di accesso. Nella suite Microsoft Defender XDR, i rilevamenti in tempo reale e offline determinano il livello di rischio aggregato. Per applicare criteri di accesso adattivo basati sul rischio, usare le condizioni di rischio nei criteri di accesso condizionale. - Protezione ID - Rischio nella Protezione ID valutazione continuo dell'accesso Il meccanismo di valutazione continuo dell'accesso consente alle applicazioni di rispondere alle violazioni della politica quasi in tempo reale senza attendere la scadenza del token. Le applicazioni che supportano CAE rispondono a eventi critici, incluso un utente contrassegnato per un rischio utente elevato in Protezione ID. panoramica di CAE Global Secure Access Per ridurre il rischio di furto di token e attacchi di riproduzione, configurare l'imposizione della rete conforme che funziona con i servizi che supportano CAE. In tempo quasi reale l'app rifiuta i token di accesso rubati riprodotti all'esterno della rete conforme al tenant. - Global Secure Access - Microsoft Entra Internet Access - controllo di rete conforme |
4.2 Funzione: protezioni dalle minacce delle applicazioni
| Descrizione fase CISA ZTMM | Guida e raccomandazioni di Microsoft |
|---|---|
|
stato di maturità iniziale Enterprise integra le protezioni dalle minacce nei flussi di lavoro cruciali delle applicazioni, applicando protezioni contro minacce note e alcune minacce specifiche dell'applicazione. |
Microsoft Entra ID Integra Microsoft Entra ID nel processo di ogni richiesta di accesso. Implementare criteri che impongano che le applicazioni cruciali siano integrate con Microsoft Entra ID. Assicurarsi che la protezione dalle minacce faccia parte dei flussi di lavoro dell'applicazione. - Gestione delle applicazioni - Aggiungere app aziendali - Eseguire la migrazione di app e autenticazione Microsoft Defender for Cloud Apps Configurare Defender for Cloud Apps per rilevare e avvisare le app OAuth rischiose. Analizzare e monitorare le autorizzazioni delle app concesse dagli utenti. app OAuth rischiose Gateway delle applicazioni di Azure Distribuire app e API di Azure dietro il Gateway delle applicazioni di Azure con il Firewall per applicazioni Web di Azure in modalità di prevenzione. Abilitare Open Web Application Security Project (OWASP) Core Rule Set (CRS). Web Application Firewall Microsoft Defender XDR Defender XDR è una suite integrata di difesa pre-violazione che coordina il rilevamento, la prevenzione, l'indagine e le azioni di risposta tra endpoint, identità, posta elettronica e applicazioni. - Defender XDR - Configurare gli strumenti XDR |
|
Advanced Maturity Status Enterprise integra le protezioni dalle minacce in tutti i flussi di lavoro dell'applicazione, proteggendo da alcune minacce specifiche dell'applicazione e mirate. |
Microsoft Entra ID Inserisci Microsoft Entra ID nel percorso delle richieste di accesso. Implementare la policy che prevede l'integrazione delle app con Microsoft Entra ID. Assicurarsi che la protezione dalle minacce venga applicata per tutte le app. - Gestione delle applicazioni - Aggiungere app aziendali - Eseguire la migrazione di app e autenticazione l'accesso condizionale di Microsoft Entra, la protezione dei token Abilitare la protezione dei token o l'associazione di token nei criteri di accesso condizionale. La protezione dei token riduce gli attacchi assicurando che i token siano utilizzabili nei dispositivi previsti. La protezione dei token proxy dell'applicazione di Microsoft Entra Usare il proxy dell'applicazione e l'ID di Microsoft Entra per le app private usando protocolli di autenticazione legacy. Distribuire il proxy dell'applicazione o integrare soluzioni partner SHA (Secure Hybrid Access). Per estendere le protezioni, configurare i criteri di sessione in Microsoft Defender for Cloud Apps. - Proteggere le app legacy - considerazioni sulla sicurezza del proxy di applicazione - Creare criteri di sessione Microsoft Defender Vulnerability Management Defender Vulnerability Management scanner senza agente monitorano e rilevano continuamente i rischi. Gli inventari consolidati sono una visualizzazione in tempo reale delle vulnerabilità software, dei certificati digitali che usano algoritmi di crittografia deboli, debolezze hardware e firmware e estensioni del browser rischiose negli endpoint. Defender Vulnerability Management Defender for Cloud Abilitare le protezioni dei carichi di lavoro per i carichi di lavoro delle applicazioni. Usare Defender per Server P2 per eseguire l'onboarding dei server in Microsoft Defender per endpoint e in Defender Vulnerability Management per server. - Defender per il servizio app - Defender per le API - Defender per i contenitori - Defender per i server Microsoft Entra Workload ID Premium Per integrare la protezione dalle minacce nei flussi di lavoro delle applicazioni. Configurare la protezione dell'identità per le identità lavorative. proteggere le identità lavorative |
|
stato di maturità ottimale Enterprise integra protezioni avanzate dalle minacce in tutti i flussi di lavoro delle applicazioni, offrendo visibilità in tempo reale e protezioni consapevoli del contenuto contro attacchi sofisticati adattate alle applicazioni. |
Microsoft Defender for Cloud Apps Configurare i criteri di controllo delle sessioni in Defender for Cloud Apps per la visibilità e i controlli in tempo reale. Usare le policy dei file per scansionare il contenuto in tempo reale, applicare etichette e limitare le azioni sui file. - Visibilità e controllo delle app cloud - Criteri dei file Defender XDR, Microsoft Sentinel Integrare Defender XDR e Sentinel. - Defender XDR - Sentinel e Defender XDR per Zero Trust Fusion in Sentinel Fusion è una regola di analisi del rilevamento degli attacchi a più fasi in Sentinel. Fusion ha un motore di correlazione di Machine Learning che rileva attacchi multistage o minacce persistenti avanzate. Identifica comportamenti anomali e attività sospette. Gli incidenti sono a basso volume, ad alta fedeltà e alta gravità. - rilevamento attacchi multistage - Personalizzazione delle anomalie - regole di analisi del rilevamento delle anomalie Accesso sicuro globale Garantire l'accesso sicuro ad applicazioni e risorse, monitorando e gestendo continuamente l'accesso degli utenti in tempo reale. Eseguire l'integrazione con Defender for Cloud Apps per visibilità e controllo dell'utilizzo e della sicurezza del software. Prevenire attacchi sofisticati, come token rubati e riutilizzati, con il controllo di rete conforme per un tenant nell'Accesso Condizionale. Supportare la produttività e ottenere controlli di sicurezza basati sulla posizione. Impedire il bypass di Security Service Edge (SSE) per le app SaaS (Software as a Service). - Accesso sicuro globale conforme - controllo della rete |
4.3 Funzione: applicazioni accessibili
| Descrizione fase CISA ZTMM | Guida e consigli Microsoft |
|---|---|
|
stato di maturità iniziale L'azienda rende alcune delle loro applicazioni mission critical disponibili su reti pubbliche aperte per gli utenti autorizzati con necessità di accesso tramite connessioni intermediarie. |
Microsoft Entra ID Inserisci Microsoft Entra ID nel flusso delle richieste di accesso. Implementare criteri che impongono l'integrazione di app cruciali con Microsoft Entra ID. - Gestione applicazioni - Aggiungere app aziendali - Eseguire la migrazione di app e autenticazione Microsoft Azure Eseguire la migrazione e modernizzare le applicazioni portandole in Azure. - Migrazione delle app - Modernizzare le app e il framework - Creare un piano di migrazione proxy dell'applicazione Microsoft Entra Configurare il proxy dell'applicazione per pubblicare applicazioni Web cruciali interne, accessibili tramite connessioni di rete pubbliche, dagli utenti autorizzati da Microsoft Entra ID. - Proxy applicazione - Configurare l'accesso Single Sign-On (SSO) per le app Microsoft Defender for Cloud Apps Per monitorare e limitare le sessioni, usare i criteri di sessione per brokerare le connessioni delle app con Defender for Cloud Apps. - Defender for Cloud Apps - Collegare le app a Defender - Creare criterio di sessione Accesso Condizionale di Microsoft Entra Configurare il criterio per autorizzare l'accesso alle app integrate con Microsoft Entra ID. Configurare il controllo delle app di Accesso Condizionale per richiedere l'uso dei broker di sicurezza per l'accesso al cloud in Defender per le app cloud. - di accesso condizionale - controllo dell'applicazione |
|
Advanced Maturity Status Enterprise rende disponibili la maggior parte delle applicazioni cruciali applicabili tramite connessioni di rete pubbliche aperte agli utenti autorizzati, in base alle esigenze. |
Usare le linee guida contenute nell'stato di maturità inizialee includere le applicazioni più cruciali |
|
stato di maturità ottimale Enterprise rende tutte le applicazioni applicabili disponibili su reti pubbliche aperte a utenti e dispositivi autorizzati, se necessario. |
Usare le indicazioni riportate nello stato di maturità inizialee includere tutte le applicazioni.
l'accesso condizionale Configurare una politica di accesso condizionale che richieda dispositivi conformi per le applicazioni. L'accesso per i dispositivi non conformi è bloccato. Richiedi dispositivi conformi |
4.4 Funzione: flusso di lavoro di sviluppo e distribuzione di applicazioni sicure
| Descrizione della fase CISA ZTMM | Indicazioni e consigli Microsoft |
|---|---|
|
stato di maturità iniziale Enterprise fornisce l'infrastruttura per ambienti di sviluppo, test e produzione (inclusa l'automazione) con meccanismi di distribuzione del codice formale tramite pipeline CI/CD e controlli di accesso necessari per supportare i principi dei privilegi minimi. |
zone di atterraggio di Azure Configurare gli ambienti per lo sviluppo e applicare le politiche di configurazione delle risorse con Azure Policy. - Zone di destinazione - Criteri di Azure Stabilire un meccanismo di distribuzione di codice formalizzato con pipeline di integrazione continua e recapito continuo (CI/CD), ad esempio GitHub o Azure DevOps. GitHub Enterprise gli strumenti GitHub Enterprise supportano la collaborazione, la sicurezza e l'amministrazione. Usare funzionalità come repository illimitati, funzionalità di gestione dei progetti, rilevamento dei problemi e avvisi di sicurezza. Controllare le informazioni sul repository e sul progetto migliorando la collaborazione tra i team. Ottimizza i criteri di sicurezza e rendi più semplice l'amministrazione con opzioni di distribuzione flessibili. GitHub Enterprise Cloud Connetti GitHub a Microsoft Entra ID per il Single Sign-On (SSO) e il provisioning degli utenti. Per garantire i principi dei privilegi minimi, disabilitare i token di accesso personale. - Gli utenti gestiti di Enterprise - integrazione Single Sign-On (SSO) per GitHub Enterprise - Imporre i criteri dei token di accesso personale Azure DevOps Unire persone, processi e tecnologia per automatizzare la distribuzione del software. Supporta la collaborazione e i processi per creare e migliorare i prodotti più velocemente rispetto agli approcci di sviluppo tradizionali. Usare funzionalità come Azure Boards, Repos, Pipeline, Piani di Test e Artefatti. Semplificare la gestione dei progetti, il controllo della versione, CI/CD, il test e la gestione dei pacchetti. Azure DevOps Connettere un'organizzazione di Azure DevOps all'ID Microsoft Entra e garantire i principi dei privilegi minimi. Disabilitare i token di accesso personale. - Connettere un'organizzazione a Microsoft Entra ID - Gestire i token di accesso personali con i criteri |
|
stato di maturità avanzata Enterprise usa team distinti e coordinati per lo sviluppo, la sicurezza e le operazioni, rimuovendo l'accesso degli sviluppatori all'ambiente di produzione per la distribuzione del codice. |
Microsoft Entra ID Governance Se le vostre sottoscrizioni di sviluppo e produzione usano lo stesso tenant di Microsoft Entra, assegnate l'idoneità al ruolo usando i pacchetti di accesso nella gestione delle autorizzazioni. Abilitare i controlli per assicurarsi che gli utenti non possano accedere agli ambienti di sviluppo e produzione. Separazione dei compiti Verifiche di accesso Per rimuovere gli sviluppatori con accesso a un ambiente di produzione, creare una verifica di accesso usando i ruoli di produzione di Azure. Creare una verifica di accesso |
|
stato di maturità ottimale Enterprise sfrutta i carichi di lavoro non modificabili dove possibile, consentendo solo l'applicazione delle modifiche tramite ridistribuzione e rimuove l'accesso amministratore agli ambienti di distribuzione a favore dei processi automatizzati per la distribuzione del codice. |
i gate di rilascio di Azure DevOps, approvazioni Usare le pipeline di rilascio per distribuire continuamente le applicazioni in diverse fasi, con un rischio più basso e a un ritmo più rapido. Automatizzare le fasi di distribuzione con processi e attività. controlli di versione, controlli e approvazioni blocchi delle risorse di Azure Per proteggere le risorse di Azure da eliminazioni e modifiche accidentali, applicare CanNotDeletee ReadOnly, blocchi delle risorse a sottoscrizioni, gruppi di risorse e singole risorse.Proteggere l'infrastruttura con risorse bloccate GitHub Actions con GitHub Actions, assegnare ruoli di Azure alle identità gestite per l'integrazione continua e il recapito continuo (CI/CD). Configurare i lavori che fanno riferimento a un ambiente con revisori obbligatori. Verificare che i lavori attendano l'approvazione prima di iniziare. - Distribuire con GitHub Actions - Rivedere le distribuzioni Microsoft Entra Privileged Identity Management Utilizzare PIM Discovery e Insights per identificare ruoli e gruppi con privilegi. Gestire i privilegi individuati e convertire le assegnazioni utente da permanenti a eleggibili. Scoperta di PIM e Approfondimenti Revisioni degli accessi Per ridurre il numero di amministratori eleggibili in un ambiente di produzione, creare una revisione degli accessi utilizzando i ruoli di Azure. Revisioni degli accessi ai ruoli delle risorse di Azure |
4.5 Funzione: test di sicurezza delle applicazioni
| Descrizione fase CISA ZTMM | Linee guida e raccomandazioni Microsoft |
|---|---|
|
stato di maturità iniziale Enterprise inizia a usare metodi di test statici e dinamici (ovvero l'esecuzione dell'applicazione) per eseguire test di sicurezza, tra cui l'analisi manuale degli esperti, prima della distribuzione dell'applicazione. |
Microsoft Threat Modeling Tool The Threat Modeling Tool fa parte di Microsoft Security Development Lifecycle (SDL). L'architetto software identifica e attenua i problemi di sicurezza in anticipo, riducendo i costi di sviluppo. Trovare indicazioni per creare e analizzare i modelli di minaccia. Lo strumento facilita la comunicazione di progettazione della sicurezza, analizza i potenziali problemi di sicurezza e suggerisce le mitigazioni. - Threat Modeling Tool - Introduzione strumenti di sviluppo di Azure Marketplace Seguire le procedure di sviluppo di applicazioni sicure. Usare gli strumenti di Azure Marketplace per facilitare l'analisi del codice. - Sviluppare app sicure - Azure Marketplace GitHub Actions, Azure DevOps Actions Usare il motore di analisi CodeQL per automatizzare i controlli di sicurezza nella pipeline di integrazione continua e recapito continuo (CI/CD). GitHub Advanced Security per Azure DevOps è un servizio di test della sicurezza delle applicazioni nativo per i flussi di lavoro per sviluppatori. - Scansione CodeQL - Sicurezza avanzata di GitHub per Azure DevOps |
|
Advanced Maturity Status Enterprise integra i test di sicurezza delle applicazioni nel processo di sviluppo e distribuzione delle applicazioni, incluso l'uso di metodi di test dinamici periodici. |
GitHub Advanced Security Per migliorare la sicurezza e i processi di sviluppo del codice, usare l'analisi del codice in Sicurezza avanzata e Azure DevOps. - Sicurezza avanzata - Sicurezza avanzata per Azure DevOps - analisi del codice Microsoft Defender for Cloud Abilitare le protezioni dei carichi di lavoro per le sottoscrizioni con carichi di lavoro dell'applicazione. - Defender for Cloud - Defender per contenitori - Defender per App Service Defender per Cloud DevOps security Usare le funzionalità di gestione dei piani di supporto cloud (CSPM) per proteggere le applicazioni e il codice in ambienti con più pipeline. Connettere le organizzazioni e valutare le configurazioni di sicurezza dell'ambiente DevOps. - Defender for Cloud DevOps security - Collegare gli ambienti Azure DevOps a Defender for Cloud |
|
stato di maturità ottimale Enterprise integra i test di sicurezza delle applicazioni durante il ciclo di vita di sviluppo software nell'intera azienda con test automatizzati di routine delle applicazioni distribuite. |
La sicurezza di Defender for Cloud DevOps Usare le funzionalità di gestione del comportamento di sicurezza cloud (CSPM) per proteggere le applicazioni e il codice in ambienti con più pipeline. Valutare le configurazioni di sicurezza dell'ambiente DevOps. - Defender for Cloud DevOps security - Mappatura delle immagini dei container - Gestire i percorsi di attacco |
4.6 Funzione: visibilità e analisi
| Descrizione fase CISA ZTMM | Linee guida e consigli Microsoft |
|---|---|
|
stato di maturità iniziale Enterprise inizia ad automatizzare il profilo dell'applicazione (ad esempio, stato, integrità e prestazioni) e il monitoraggio della sicurezza per migliorare la raccolta, l'aggregazione e l'analisi dei log. |
Monitoraggio di Azure Configurare Azure Policy per abilitare la diagnostica e usare Monitoraggio di Azure per i carichi di lavoro delle applicazioni implementati in Azure. - Monitoraggio di Azure - definizioni di Criteri di Azure Application Insights di Monitoraggio di Azure Abilitare Application Insights per analizzare l'integrità dell'applicazione, analizzare i log e visualizzare i modelli di utilizzo delle app di Azure. Application Insights Microsoft Defender for Cloud Abilitare Defender for Cloud per ambienti Azure e multicloud. Usare Microsoft Secure Score per identificare le lacune e migliorare il comportamento di sicurezza. - Defender for Cloud - Secure score |
|
Advanced Maturity Status Enterprise automatizza il monitoraggio del profilo e della sicurezza per la maggior parte delle applicazioni con euristiche per identificare tendenze sia specifiche per l'applicazione che a livello aziendale e affina i processi nel tempo per colmare i gap nella visibilità. |
Defender for Cloud Usare Microsoft Secure Score per valutare e migliorare il comportamento di sicurezza del cloud. Usare la definizione delle priorità dei rischi per correggere i problemi di sicurezza importanti. Distribuire i componenti di monitoraggio per raccogliere dati dai carichi di lavoro di Azure e monitorare vulnerabilità e minacce. - Raccolta di dati di Defender for Cloud - dai carichi di lavoro - Punteggio di sicurezza - Prioritizzazione del rischio Microsoft Sentinel Connetti Defender for Cloud al Sentinel. Ingerisci avvisi in Sentinel |
|
stato di maturità ottimale L'azienda esegue il monitoraggio continuo e dinamico di tutte le applicazioni per mantenere una visibilità completa dell’intera azienda. |
Defender for Cloud Integrare carichi di lavoro dell'infrastruttura e della piattaforma con Defender for Cloud, incluse le risorse nel cloud non Microsoft e in locale. Mantenere una visibilità completa a livello aziendale. - Connetti server locali - Connetti account Amazon Web Services (AWS) - Connetti progetti Google Cloud Platform (GCP) Protezioni per i carichi di lavoro di Defender per il cloud Abilita le protezioni per i carichi di lavoro delle applicazioni. - Defender per il servizio app - Defender per API - Defender per i contenitori - Defender per i server |
4.7 Funzione: Automazione e orchestrazione
| Descrizione fase CISA ZTMM | Linee guida e raccomandazioni Microsoft |
|---|---|
|
stato di maturità iniziale Enterprise modifica periodicamente le configurazioni delle applicazioni, inclusa la posizione e l'accesso, per soddisfare gli obiettivi di sicurezza e prestazioni pertinenti. |
Azure Resource Manager ARM è un servizio di distribuzione e gestione per Azure. Automatizzare le modifiche alla configurazione usando i modelli ARM e Azure Bicep.Panoramica - ARM - modelli ARM - Bicep |
|
Advanced Maturity Status Enterprise automatizza le configurazioni delle applicazioni per rispondere ai cambiamenti operativi e ambientali. |
Configurazione app di Azure Gestire da una posizione centrale le impostazioni dell'applicazione e i flag di funzionalità. Configurazione app di Azure Servizio App di Azure Per testare le app distribuite nell'ambiente di produzione, usare gli slot di distribuzione. Rispondere ai cambiamenti operativi e ambientali. Fasi degli ambienti Microsoft Defender for Cloud Usare Microsoft Secure Score per valutare e migliorare il comportamento di sicurezza del cloud. Usare le funzionalità di correzione di Defender for Cloud. correggere le raccomandazioni |
|
stato di maturità ottimale Enterprise automatizza le configurazioni delle applicazioni per ottimizzare continuamente la sicurezza e le prestazioni. |
Azure Chaos Studio Usare questo servizio per la progettazione chaos per aiutare a misurare, comprendere e migliorare la resilienza delle applicazioni cloud e dei servizi. Integrare Test di carico di Azure e Azure Chaos Studio nei cicli di sviluppo del carico di lavoro. |
4.8 Funzione: Governance
| Descrizione fase CISA ZTMM | linee guida e consigli Microsoft |
|---|---|
|
stato di maturità iniziale Enterprise inizia ad automatizzare l'applicazione dei criteri per lo sviluppo di applicazioni (incluso l'accesso all'infrastruttura di sviluppo), la distribuzione, la gestione degli asset software, il st&E all'inserimento, l'applicazione di patch e il rilevamento delle dipendenze software in base alle esigenze di missione (ad esempio, con la fatturazione software dei materiali). |
GitHub Actions standardizzare i processi DevSecOps per una fattura software (SBOM) con una pipeline di integrazione continua e recapito continuo (CI/CD). - GitHub Actions - Generare SBOMs Usare GitHub Dependabot e CodeQL per automatizzare i controlli di sicurezza e analizzare le vulnerabilità delle dipendenze. - Analisi del codice - catena di approvvigionamento sicura GitHub Actions, Azure DevOps Actions Usare CodeQL per automatizzare i controlli di sicurezza con la pipeline CI/CD. GitHub Advanced Security per Azure DevOps è un servizio di test della sicurezza delle applicazioni nativo per i flussi di lavoro per sviluppatori. - Analisi del codice - GitHub Advanced Security per Azure DevOps strumento di generazione dell'elenco dei materiali software Usare il generatore SBOM in fase di compilazione che funziona in tutti i sistemi operativi: Windows, Linux e MacOS. Usa il formato STANDARD SPDX (Software Package Data Exchange). - strumento di generazione SBOM open source - strumento SBOM in GitHub |
|
Advanced Maturity Status Enterprise implementa politiche stratificate e adattate a livello aziendale per le applicazioni e tutti gli aspetti del ciclo di vita di sviluppo e distribuzione delle applicazioni e sfrutta l'automazione, ove possibile, per supportare l'applicazione. |
Azure Policy Aiuta a far rispettare gli standard e valutare la conformità. Vedere il dashboard di conformità per una visualizzazione aggregata dell'ambiente. Criteri di Azure Microsoft Defender for Cloud Proteggere i carichi di lavoro di Azure e non Azure con Defender for Cloud. Usare la conformità alle normative e Criteri di Azure per valutare continuamente l'infrastruttura con gli standard di configurazione definiti. Impedire la deriva della configurazione. - Assegnare standard di sicurezza - ambienti multicloud gruppi di gestione Usare i gruppi di gestione per applicare i criteri di accesso e la conformità per le sottoscrizioni di Azure. sottoscrizioni e gruppi di gestione |
|
stato di maturità ottimale Enterprise automatizza completamente i criteri che regolano lo sviluppo e la distribuzione delle applicazioni, incluso l'incorporamento di aggiornamenti dinamici per le applicazioni tramite la pipeline CI/CD. |
Defender for Cloud Distribuire i componenti di monitoraggio per raccogliere dati dai carichi di lavoro di Azure e monitorare vulnerabilità e minacce. - Defender for Cloud - Raccolta di dati dai carichi di lavoro La politica in Defender for Cloud è costituita da standard e raccomandazioni per aiutare a migliorare la postura di sicurezza del cloud. Gli standard definiscono regole, condizioni di conformità per tali regole e azioni quando le condizioni non vengono soddisfatte. Criteri di sicurezza Infrastruttura come codice Usare l'integrazione continua e il recapito continuo (CI/CD) per distribuire IaC con GitHub Actions. Infrastruttura di Azure con GitHub Actions Criteri di Azure Per distribuire Criteri di Azure come codice definire, testare e distribuire le relative definizioni. Flussi di lavoro per i criteri come codice |
Passaggi successivi
Configurare i servizi cloud Microsoft per il modello di maturità di CISA Zero Trust.
- Introduzione
- identità
- Dispositivi
- Networks
- Applicazioni e carichi di lavoro
- Data