Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La strategia e la roadmap di DoD Zero Trust delineano un percorso per i componenti del Dipartimento della Difesa e i partner DIB (Defense Industrial Base) per adottare un nuovo framework di cybersecurity basato sui principi Zero Trust. Zero Trust elimina i tradizionali perimetri e presupposti di attendibilità, consentendo un'architettura più efficiente che migliora la sicurezza, le esperienze utente e le prestazioni di missione.
Questa guida contiene raccomandazioni per le attività 152 Zero Trust nella Roadmap per l'esecuzione delle funzionalità DoD Zero Trust. Le sezioni corrispondono ai sette pilastri del modello DoD Zero Trust.
Usare i collegamenti seguenti per passare alle sezioni della guida.
- Introduzione
- Utente
- Dispositivo
- Applicazioni e carichi di lavoro
- Dati
- Rete
- Automazione e orchestrazione
- Visibilità e analisi
3 Applicazioni e carichi di lavoro
Questa sezione include indicazioni e consigli Microsoft per le attività DoD Zero Trust nel pilastro delle applicazioni e dei carichi di lavoro. Per altre informazioni, vedere Proteggere le applicazioni con Zero Trust.
Nota
Le raccomandazioni contenute in questa sezione sono allineate alla bozza di progettazione di riferimento Di DoD Enterprise DevSecOps.
3.1 Inventario delle applicazioni
Microsoft Entra ID è un provider di identità (IdP) per applicazioni e piattaforme cloud, non solo Microsoft 365 e Azure. Microsoft Entra ID include portali Web e API RESTful per recuperare elenchi di applicazioni integrate. Microsoft Defender per il cloud Apps, un componente di Microsoft Defender XDR, include funzionalità per individuare, inventariare e bloccare le app non approvate.
| Descrizione e risultato dell'attività DoD | Indicazioni e consigli microsoft |
|---|---|
Target3.1.1 Application/Code IdentificationLe organizzazioni DoD creano un inventario di applicazioni e codice approvati (ad esempio, codice sorgente, librerie e così via). Ogni organizzazione tiene traccia del supporto (ad esempio, attivo, legacy e così via) e della posizione ospitata (ad esempio, cloud, locale, ibrido e così via) almeno nell'inventario. Risultato: il componente ha identificato applicazioni e classificate come legacy, virtualizzate in locale e ospitate nel cloud |
Microsoft Entra ID Usare l'interfaccia di amministrazione di Microsoft Entra per scaricare un elenco di applicazioni registrate di Microsoft Entra. Selezionare Scarica nella barra multifunzione superiore. - Tipo di risorsa dell'applicazione Se l'organizzazione usa Active Directory Federation Services (AD FS), distribuire Microsoft Entra Connect Health. Usare il report attività dell'applicazione per individuare le applicazioni AD FS. - Monitorare AD FS con il report attività dell'applicazione Connect Health - Gestione delle vulnerabilità di Microsoft Defender Usare l'inventario software in Gestione vulnerabilità di Defender per visualizzare il software nell'organizzazione. - Inventario software Microsoft Defender per il cloud Le app configurano Cloud Discovery in app Defender per il cloud per ottenere uno snapshot delle applicazioni a cui gli utenti accedono. - Configurare Cloud Discovery- Analizzare le app individuate da Microsoft Intune per le app individuate da Intune rilevate dai dispositivi registrati in Intune nel tenant. Si tratta di un inventario software del tenant. Nei dispositivi aziendali le app o le app gestite non vengono raccolte per questo report. - App individuate da Azure DevOps Usare questo servizio per la gestione sicura dei pacchetti. Gli sviluppatori condividono il codice e gestiscono i pacchetti in un'unica posizione. - Azure Artifacts - Azure GitHub repos |
3.2 Sviluppo e integrazione sicura di software
Le funzionalità di GitHub come GitHub Advanced Security (GHAS) e GitHub Actions consentono di stabilire procedure di sviluppo e distribuzione di software Zero Trust. GitHub Enterprise Cloud si integra con Microsoft Entra ID per gestire l'entitlement con Microsoft Entra ID Governance e proteggere l'accesso con i criteri di accesso condizionale.
Gli sviluppatori possono usare Microsoft Authentication Libraries (MSAL) per integrare applicazioni con Microsoft Entra ID. Per altre informazioni, vedere Autenticare gli utenti per Zero Trust.
| Descrizione e risultato dell'attività DoD | Indicazioni e consigli microsoft |
|---|---|
Target3.2.1 Build DevSecOps Software Factory Pt1L'azienda DoD crea gli standard fondamentali per i processi DevSecOps moderni e le pipeline CI/CD. I concetti vengono applicati in uno stack di tecnologie standardizzato nelle organizzazioni DoD in grado di soddisfare i futuri requisiti di sicurezza delle applicazioni. Un programma di gestione delle vulnerabilità a livello aziendale è integrato con le pipeline CI/CD che seguono le attività del Programma di gestione delle vulnerabilità. Risultati: - Sviluppo di standard di dati/servizi per DevSecOps - Pipeline CI/CD è completamente funzionante e testato correttamente - Il programma di gestione delle vulnerabilità è ufficialmente in vigore e operativo |
GitHub Actions GitHub Actionsusa l'integrazione continua e il recapito continuo (CI/CD) per automatizzare le pipeline di distribuzione. - GitHub Actions Advanced Security usare GitHub Advanced Security per GitHub e Azure DevOps per migliorare la sicurezza del codice e dei processi di sviluppo. - Advanced Security Advanced Security for Azure DevOps Microsoft Entra SSO and provisioning Configure Single Sign-On (SSO) for Git tools using Microsoft Entra ID (Configure Single Sign-On) for Git tools using Microsoft Entra ID (Advanced Security Advanced Security for Azure DevOps Microsoft Entra SSO and provisioning Configure Single Sign-On) for Git tools using Microsoft Entra ID (- Advanced Security - Advanced Security for Azure DevOps Microsoft Entra SSO and provisioning Configure Single Sign-On) for GitIntegrazione dell'accesso SSO con l'organizzazione- GitHub Enterprise Cloud SSO con GitHub Enterprise Server - Connect un'organizzazione a Microsoft Entra ID Per altre informazioni su DevSecOps per Azure e altri cloud, vedere la libreria DoD Cheif Information Officer (CIO). |
Target3.2.2 Build DevSecOps Software Factory Pt2Le organizzazioni DoD useranno le pipeline CI/CD approvate per sviluppare la maggior parte delle nuove applicazioni. Tutte le eccezioni seguiranno un processo di approvazione standardizzato per consentire lo sviluppo in modo legacy. I processi DevSecOps vengono usati anche per sviluppare tutte le nuove applicazioni e aggiornare le applicazioni esistenti. Le funzioni di convalida continue sono integrate nelle pipeline CI/CD e nei processi DevSecOps e integrate con le applicazioni esistenti. Risultati: - Viene eseguita la migrazione dello sviluppo di applicazioni alla pipeline CI/CD: viene implementato il processo/la tecnologia di convalida continua e in uso - Lo sviluppo di applicazioni viene migrato al processo e alla tecnologia DevSecOps |
GitHub Advanced Security Usare GitHub Advanced Security per analizzare le dipendenze e le vulnerabilità del codice. Configurare compilazioni periodiche per valutare la qualità del codice. - Advanced Security - CodeQL code scanning - Secure supply chain Bicep in Azure Provision cloud infrastructure using infrastructure-as-code (IaC) with Azure Resource Manager (ARM) and Bicep templates (Infrastruttura distribuita come codice) con Azure Resource Manager (ARM) e modelli Bicep. - Bicep Microsoft Defender per il cloud Enable Defender per il cloud protezioni dei carichi di lavoro per le sottoscrizioni con carichi di lavoro dell'applicazione. - Proteggere i carichi di lavoro cloud di Microsoft Defender per DevOps Usare Defender per DevOps per monitorare la sicurezza e gli avvisi delle pipeline in Azure DevOps (ADO) e GitHub. - Defender per DevOps |
Target3.2.3 Automatizzare la sicurezza delle applicazioni e la correzione del codice Pt1Un approccio standardizzato alla sicurezza delle applicazioni, inclusa la correzione del codice, viene implementato nell'azienda DoD. La prima parte (1) di questa attività include l'integrazione di un gateway API sicura con le applicazioni che usano l'API o chiamate simili. Le revisioni del codice vengono eseguite in un approccio metodico e le protezioni standardizzate per i contenitori e la relativa infrastruttura sono disponibili. Inoltre, tutte le funzioni serverless in cui la terza parte gestisce l'infrastruttura, ad esempio Platform as a Service, utilizzano funzioni adeguate di monitoraggio e risposta della sicurezza serverless. Le revisioni del codice, il contenitore e le funzioni di sicurezza serverless sono integrate nel processo CI/CD e/o DevSecOps in base alle esigenze. Risultati: il gateway API sicuro è operativo e la maggior parte delle chiamate API passa attraverso il gateway - Le funzioni di sicurezza delle applicazioni (ad esempio, la revisione del codice, il contenitore e la sicurezza serverless) vengono implementate come parte di CI/CD e DevSecOps |
gateway app Azure lication Inserire applicazioni Web e API accessibili pubblicamente con gateway di app Azure lication e Web application firewall. - Applicazioni Web Application Firewall Microsoft Entra ID Microsoft Entra ID è un gateway di autorizzazione per l'applicazione Web e l'accesso all'API. Esporre le API per le applicazioni registrate tramite Microsoft Entra. Usare l'autenticazione e l'autorizzazione predefinite (Autenticazione semplice) in app Azure Servizio e Funzioni di Azure. Per le API microsoft Entra ID-nonware, usare L'autorizzazione OAuth nella gestione API di Azure. - Configurare un'app per esporre l'autenticazione e l'autorizzazione dell'API- Web nel servizio app Azure e Funzioni di Azure - Authenticate e autorizzare le API gitHub Advanced Security Use GitHub Advanced Security for GitHub and Azure DevOps ( Usare GitHub Advanced Security per GitHub e Azure DevOps). Vedere Le linee guida di Microsoft nella versione 3.2.1. Microsft Defender per il cloud Enable Defender per il cloud protezioni dei carichi di lavoro per le sottoscrizioni di Azure con carichi di lavoro api. Vedere Le linee guida di Microsoft nella versione 3.2.2. |
Advanced3.2.4 Automatizzare la sicurezza delle applicazioni e la correzione del codice Pt2Le organizzazioni DoD modernizzare gli approcci per offrire servizi sviluppati e gestiti internamente seguendo approcci di procedure consigliate come i microservizi. Questi approcci consentiranno architetture più resilienti e sicure consentendo modifiche più rapide al codice in ogni microservizio man mano che vengono individuati problemi di sicurezza. Altre attività di correzione della sicurezza continuano in DoD Enterprise con l'inclusione di funzioni di sicurezza di runtime per contenitori in base alle esigenze, aggiornamenti automatizzati delle librerie vulnerabili e approvazioni CI/CD automatizzate durante il processo di rilascio. Risultati: il gateway API sicuro è operativo e la maggior parte delle chiamate API passano attraverso il gateway . I servizi sono forniti seguendo un'architettura orientata ai servizi (SOA) - Le attività di correzione della sicurezza (ad esempio, sicurezza di runtime, aggiornamenti delle librerie, approvazioni del rilascio) sono completamente automatizzate |
Completare le attività 3.2.2 e 3.2.3. |
3.3 Gestione dei rischi software
GitHub Actions consente di automatizzare, personalizzare ed eseguire flussi di lavoro di sviluppo software per DevSecOps. Con GitHub Actions, generare una fattura software di materiali (SBOM), analizzare il codice e analizzare le vulnerabilità della supply chain e delle dipendenze. Per altre informazioni su GitHub Actions, vedere GitHub Actions.
| Descrizione e risultato dell'attività DoD | Indicazioni e consigli microsoft |
|---|---|
Target3.3.1 File binari approvati/codiceL'azienda DoD usa approcci di procedure consigliate per gestire file binari e codice approvati in un approccio metodico. Questi approcci includono la gestione dei rischi per l'approvvigionamento dei fornitori, l'uso di repository approvati, la gestione dei rischi della supply chain dei materiali e gli standard del settore gestione delle vulnerabilità. Risultati: - Il rischio di approvvigionamento dei fornitori valutato e identificato per l'origine approvata- Repository e canale di aggiornamento stabilito per l'uso da parte dei team di sviluppo- La fatturazione dei materiali viene creata per le applicazioni che identificano origine, supporto e comportamento di rischio- I database di vulnerabilità approvati vengono estratti per essere usati in DevSecOps |
GitHub Actions Standardize DevSecOps processes to generate a software bill of materials (SBOM) with a continuous integration and continuous delivery (CI/CD) pipeline (CI/CD). - Generare fatture software di materiali Usare GitHub Dependabot e CodeQL per automatizzare i controlli di sicurezza e analizzare le vulnerabilità delle dipendenze. - Analisi del codice- CodeQL Secure supply chain Windows Defender Application Control Usa Controllo applicazioni di Windows Defender per impedire l'esecuzione di codice non attendibile su endpoint gestiti. - Controllo delle applicazioni e integrità del codice della piattaforma AppLocker - |
Target3.3.2 Programma di gestione delle vulnerabilità Pt1L'azienda DoD collabora con le organizzazioni per stabilire e gestire un programma di gestione delle vulnerabilità. Il programma include criteri e standard concordati da tutte le organizzazioni. Il programma sviluppato include almeno la traccia e la gestione delle vulnerabilità pubbliche basate su applicazioni/servizi DoD. Le organizzazioni stabiliscono un team di gestione delle vulnerabilità con le principali parti interessate in cui vengono discusse e gestite le vulnerabilità seguendo i criteri e gli standard aziendali. Risultati: - Il team di gestione delle vulnerabilità è attivo con l'appartenenza alle parti interessate appropriate- I criteri e il processo di gestione delle vulnerabilità sono in atto e accettati di w/stakeholder - L'origine pubblica delle vulnerabilità viene usata per tenere traccia |
Le funzionalità delle macchine virtuali di gestione delle minacce e della vulnerabilità consentono la visibilità degli asset e valutazioni intelligenti. TVM include strumenti di correzione predefiniti per endpoint e server. Usare TVM con un programma gestione delle vulnerabilità. - Microsoft Defender TVM Microsoft Cloud Security Benchmark Esaminare il modo in cui Microsoft Servizi online condurre gestione delle vulnerabilità. - Panoramica di - TVM Postura e gestione delle vulnerabilità |
Target3.3.3 Programma di gestione delle vulnerabilità Pt2I processi vengono stabiliti a livello di DoD Enterprise per la gestione della divulgazione delle vulnerabilità nei servizi gestiti/gestiti da DoD sia pubblicamente che privatamente accessibili. Le organizzazioni DoD espandono il programma gestione delle vulnerabilità per tenere traccia e gestire repository di vulnerabilità chiusi, ad esempio DIB, CERT e altri. Risultati: - Le fonti di vulnerabilità controllate (ad esempio, DIB, CERT) vengono usate per tenere traccia - Il programma di gestione delle vulnerabilità ha un processo per accettare divulgazioni esterne/pubbliche per i servizi gestiti |
Gestionedelle minacce e delle vulnerabilità Usare la pagina dei punti deboli in Microsoft Defender TVM per identificare e classificare in ordine di priorità le vulnerabilità individuate nei dispositivi e nei server dell'organizzazione. - Vulnerabilità nell'organizzazione Tenere traccia delle attività di correzione usando il report sui dispositivi vulnerabili TVM.- Report dispositivo vulnerabile |
Target3.3.4 ConvalidacontinuaLe organizzazioni DoD implementeranno un approccio di convalida continuo per lo sviluppo di applicazioni in cui viene eseguita la distribuzione parallela e integrata con un livello di ambiente approvato (ad esempio, test di accettazione utente, produzione). Le applicazioni che non riescono a integrare la convalida continua nel processo CI/CD vengono identificate e le eccezioni vengono fornite in base alle esigenze usando un approccio metodico. Risultati: - Le applicazioni aggiornate vengono distribuite in un ambiente di produzione e/o in tempo reale- Le applicazioni contrassegnate per il ritiro e la transizione vengono rimosse . Gli strumenti di convalida continui vengono implementati e applicati al codice nella pipeline CI/CD. Il codice che richiede la convalida continua viene identificato e vengono stabiliti criteri di convalida |
Azure Chaos Studio usare Azure Chaos Studioper convalidare i carichi di lavoro. - Convalida continua di GitHub Advanced Security Usare le funzionalità e le azioni di GitHub per gestione delle vulnerabilità nella progettazione di riferimento di DevSecOps di DoD Enterprise. Vedere Le linee guida di Microsoft nella versione 3.2.1. |
3.4 Autorizzazione e integrazione delle risorse
L'accesso condizionale è il motore dei criteri Zero Trust in Microsoft Entra ID. Connettere i carichi di lavoro dell'applicazione con Microsoft Entra ID. Usare Microsoft Entra ID Governance per gestire i diritti e proteggere gli accessi con i criteri di accesso condizionale. I criteri usano attributi di sicurezza, ad esempio integrità dei dispositivi, dettagli della sessione e rischi per prendere decisioni di accesso adattivo. Microsoft Entra ID, Azure Resource Manager e pipeline CI/CD autorizzano la distribuzione delle risorse in Azure.
| Descrizione e risultato dell'attività DoD | Indicazioni e consigli microsoft |
|---|---|
Target3.4.1 Autorizzazione risorsa Pt1L'organizzazione DoD standardizza gli approcci di autorizzazione delle risorse (ad esempio, Software Defined Perimeter) con le organizzazioni. Come minimo, i gateway di autorizzazione delle risorse verranno integrati con identità e dispositivi. Le organizzazioni distribuiscono gateway di autorizzazione delle risorse approvati e abilitano applicazioni/servizi esterni. Altre applicazioni per la migrazione e le applicazioni di cui non è possibile eseguire la migrazione vengono identificate per eccezioni o autorizzazioni. Risultati: - Il gateway di autorizzazione delle risorse è disponibile per le applicazioni esterne: i criteri di autorizzazione delle risorse integrati con identità e dispositivi - Le linee guida a livello aziendale sugli standard di conversione vengono comunicate agli stakeholder |
Microsoft Entra ID Microsoft Entra è un gateway di autorizzazione per le risorse dell'applicazione. Integrare applicazioni moderne e legacy per l'accesso SSO con Microsoft Entra. Vedere Le linee guida di Microsoft 1.2.4 in Utente. Microsoft Entra ID Governance Use Microsoft Entra ID Governance app roles for access to applications( Microsoft Entra ID Governance roles for access to applications). Assegnare utenti ai ruoli dell'app usando l'appartenenza statica, i gruppi di sicurezza dinamici di Microsoft Entra o i pacchetti di accesso alla gestione entitlement. - Aggiungere ruoli dell'app a un'app e riceverli in un token- Controllo degli accessi in base al ruolo Usare i criteri di accesso condizionale per autorizzare, controllare o bloccare in modo dinamico l'accesso alle applicazioni. Vedere Le linee guida microsoft 1.8.3 in Utente e 2.1.4 nel dispositivo. gateway app Azure lication Abilitare applicazioni Web e API accessibili pubblicamente con gateway applicazione e Web Application Firewall. Vedere Le linee guida di Microsoft 3.2.3. |
Target3.4.2 Resource Authorization Pt2I gateway di autorizzazione delle risorse vengono usati per tutte le applicazioni/servizi possibili. Le applicazioni non sono in grado di usare i gateway vengono rimosse o tranne l'uso di un approccio metodico basato sul rischio. Le autorizzazioni sono ulteriormente integrate con la pipeline CI/CD per il processo decisionale automatizzato. Risultati: - Il gateway di autorizzazione delle risorse viene usato per tutte le applicazioni - L'autorizzazione delle risorse è integrata con DevSecOps e CI/CD per le funzioni automatizzate |
ID dei carichi di lavoro di Microsoft Entra Usare la federazione dell'identità del carico di lavoro per configurare un'identità gestita assegnata dall'utente o la registrazione dell'app per considerare attendibili i token da un provider di identità esterno (IdP). Usare l'identità del carico di lavoro federato per i flussi di lavoro gitHub Actions. - Federazione dell'identità del carico di lavoro Azure Gestione API Usare azure Gestione API per gestire, autorizzare ed esporre i servizi ospitati in e all'esterno di Azure come API. - Azure Gestione API |
Target3.4.3. Autorizzazione risorse SDC Pt1L'azienda DoD offre un approccio standardizzato per la gestione di calcolo basata su codice (ad esempio, Software Defined Compute) seguendo le procedure consigliate del settore. L'uso di baseline degli approcci basati sui rischi viene creato usando il set approvato di librerie di codice e pacchetti. Le organizzazioni DoD collaborano con le attività di codice/file binari approvate per assicurarsi che le applicazioni siano identificate e che non possano supportare l'approccio. Le applicazioni che possono supportare approcci moderni di configurazione e gestione basati su software vengono identificate e iniziano la transizione. Le applicazioni che non possono seguire gli approcci di configurazione e gestione basati su software vengono identificate e consentite tramite eccezioni usando un approccio metodico. Risultati: le applicazioni che non possono essere aggiornate per l'uso di file binari/codice approvati vengono contrassegnate per il ritiro e i piani di transizione vengono creati - Le applicazioni identificate senza file binari approvati e il codice vengono aggiornati per l'uso di file binari/codice approvati- Le linee guida a livello aziendale sugli standard di conversione vengono comunicate agli stakeholder |
Progettazione di svilupposicuro, sviluppo e distribuzione di applicazioni Azure in base al ciclo di vita di sviluppo della sicurezza e alle procedure consigliate pubblicate. - Secure development Infrastructure as code Criteri di Azure as code workflow Microsoft Entra ID Use the Microsoft Identity Platform for application authentication and authorization (Infrastruttura di sviluppo - sicura come codice- Criteri di Azure come flussi di lavoro di Microsoft Entra ID Usare Microsoft Identity Platform per l'autenticazione e l'autorizzazione delle applicazioni. - Eseguire la migrazione di app e autenticazione di Azure Migrate a piattaforme di app moderne, ad esempio servizio Azure Kubernetes (AKS) e contenitori servizio app. - Eseguire la migrazione dei carichi di lavoro alle piattaforme - app moderne Valutare le app ASP.NET per la migrazione alle - app del servizio Azure Kubernetes per valutare le app ASP.NET per la migrazione al servizio app Azure |
Target3.4.4 SDC Resource Authorization Pt2Le applicazioni che supportano la configurazione e la gestione basate su software sono state trasferiti a un ambiente di produzione/in tempo reale e sono in operazioni normali. Se possibile, le applicazioni che non possono supportare la configurazione e la gestione basate su software vengono rimosse. Risultati: - Le applicazioni aggiornate vengono distribuite in un ambiente attivo e/o di produzione- Le applicazioni contrassegnate per il ritiro e la transizione vengono rimosse |
Azure Migrate Containerize and migrate ASP.NET apps and Java Web apps using the Azure Migrate: App Containerization tool (Azure Migrate : Containerization tool: App Containerization). Rimuovere le autorizzazioni delle applicazioni che non possono essere modernizzate. - ASP.NET la containerizzazione e la migrazione dell'app app Azure - al- servizio Azure Kubernetes ASP.NET containerizzazione e migrazione alla containerizzazione e alla migrazione - di app Web Java del servizio Azure Kubernetes a app Azure Servizio Azure Kubernetes |
Advanced3.4.5 Arricchire gli attributi per l'autorizzazione delle risorse Pt1Gli attributi iniziali di origini, ad esempio Monitoraggio attività utente ed entità, servizi di micro-segmentazione, DLP e DRM (Data Rights Management) sono integrati nello stack e nei criteri della tecnologia di autorizzazione delle risorse. Tutti gli altri attributi per l'integrazione successiva vengono identificati e pianificati. Gli attributi vengono usati per creare il comportamento di rischio di base degli utenti, delle entità nonpersone e dei dispositivi che consentono di prendere decisioni di autorizzazione. Risultati: - La maggior parte delle chiamate API passa attraverso il gateway API sicuro- L'autorizzazione delle risorse riceve i dati dal motore di analisi: i criteri di autorizzazione incorporano gli attributi identificati per prendere decisioni di autorizzazione- Gli attributi da usare per l'arricchimento iniziale vengono identificati |
Le applicazioni Microsoft Entra utilizzano Microsoft Entra ID per autorizzare applicazioni e API moderne. Distribuire il proxy dell'applicazione Microsoft Entra e i server abilitati per Azure Arc per estendere Microsoft Entra ID ai protocolli di autenticazione legacy. Vedere Le linee guida di Microsoft nella versione 3.1.1 e nella versione 3.2.3. L'accesso condizionale Microsoft Entra è un gateway sicuro per l'autorizzazione delle risorse. L'accesso condizionale è il motore di autorizzazione. Configurare i criteri per l'autorizzazione dettagliata usando l'utente, l'applicazione, l'utente, le condizioni di ambiente, incluso lo stato di conformità del dispositivo. - Progettazione- dell'accesso - condizionale Richiedi dispositivi conformi Gruppi di sicurezza dinamici Creare gruppi di sicurezza dinamici in base agli attributi utente. Usare i gruppi dinamici per definire l'ambito dei criteri di accesso condizionale per l'autorizzazione degli attributi statici, in base agli attributi utente. - Appartenenza dinamica per gruppi - Utenti, gruppi e identità del carico di lavoro Microsoft Purview tipi di informazioni riservate Definire tipi di informazioni riservate con Exact Data Match (EDM). Usare i tipi di informazioni sensibili con i criteri di prevenzione della perdita dei dati di Microsoft Purview e Purview Information Protection (DLP). - Corrispondenza dei dati in base ai tipi di- informazioni sensibili Individua e proteggi le informazioni sensibili Microsoft Entra ID Governance Use Microsoft Entra ID Governance per l'accesso alle applicazioni con ruoli dell'app. Assegnare utenti ai ruoli dell'app con appartenenza statica, gruppi di sicurezza dinamici o pacchetti di accesso alla gestione entitlement. - Aggiungere i ruoli dell'app e riceverli in un token - Controllo degli accessi in base al ruolo |
Advanced3.4.6. Gli attributi di arricchimento per gli attributi identificati estesi pt2di autorizzazione delle risorse sono integrati con la tecnologia e i criteri di autorizzazione delle risorse. L'assegnazione dei punteggi di attendibilità viene introdotta negli attributi per creare un metodo più avanzato per il processo decisionale di autorizzazione in modo automatizzato. Risultati: i criteri di autorizzazione incorporano i livelli di attendibilità per prendere decisioni di autorizzazione- Vengono definiti i livelli di confidenza per gli attributi |
Microsoft Entra ID Protection Usare il rischio di accesso e i segnali utente da Microsoft Entra ID Protection in un set di criteri di accesso condizionale. Configurare il contesto di autenticazione, incluso il rischio per stabilire i livelli di attendibilità, in base ai dettagli ambientali e al livello di rischio. - Modello di criteri per i rischi - per l'ID Di Microsoft Entra: esempio di contesto di autenticazione MFA- a rischio di accesso Vedere le linee guida Microsoft 1.3.3 nell'utente. Attributi di sicurezza personalizzati Consente di gestire e assegnare attributi di sicurezza personalizzati per gli utenti di Microsoft Entra ID. Usare le condizioni di assegnazione di ruolo per il controllo degli accessi in base all'attributo dinamico. - Attributi di sicurezza personalizzati |
Advanced3.4.7. I micro segmentidell'API REST che usano i gateway API approvati da DoD Enterprise, le chiamate alle applicazioni sono micro segmentate solo consentendo l'accesso autenticato e autorizzato a destinazioni specifiche (ad esempio, microservizi). Quando possibile, le console di micro-segmentazione API sono integrate e consapevoli di altre console di micro-segmentazione, ad esempio controller perimetrali definiti dal software e/o console di rete definite dal software. Risultato: - Le API aziendali approvate sono micro segmentate in modo appropriato |
Rete di Azure e connettività Isolare, filtrare e controllare il traffico di rete tra flussi in ingresso e in uscita. Applicare principi di difesa avanzata usando i controlli di rete localizzati nei limiti di rete disponibili. Seguire Azure Well-Architected Framework. - Raccomandazioni per la strategia di rete e connettività - Raccomandazioni per la strategia di segmentazione Progettazione API Seguire le procedure consigliate per progettare LE API per i microservizi. Proteggere e autorizzare le API con l'ID Microsoft Entra. - LE API - di microservizio proteggono le API |
3.5 Monitoraggio continuo e autorizzazioni in corso
Microsoft Defender per il cloud gli standard di sicurezza valutano continuamente le sottoscrizioni di Azure nell'ambito, gli account Amazon Web Services (AWS) e i progetti Google Cloud Platform (GCP) con Defender per il cloud abilitati per la conformità agli standard normativi.
| Descrizione e risultato dell'attività DoD | Indicazioni e consigli microsoft |
|---|---|
Advanced3.5.1 Autorizzazione continua per operare (cATO) Pt1Le organizzazioni DoD usano soluzioni di automazione all'interno dell'ambiente per standardizzare il monitoraggio dei controlli e offrono la possibilità di identificare le deviazioni. Se il monitoraggio e il test appropriati sono integrati con i processi DevSecOps. Risultati: la derivazione dei controlli è standardizzata e pronta per l'automazione : i test dei controlli sono integrati con i processi e la tecnologia DevSecOps |
DoD Chief Information Officer (CIO) Library Integrare il monitoraggio e il test nei processi DevSecOps. Vedere DoD Enterprise DevSecOps Reference Design - DoD CIO Library Microsoft Defender per il cloud Protect Azure and non-Azure workloads with Defender per il cloud (Proteggere i carichi di lavoro di Azure e non Azure con Defender per il cloud). Usare la conformità alle normative e le iniziative Criteri di Azure per valutare l'infrastruttura in modo continuo con gli standard di configurazione. Impedire la deriva della configurazione. - Assegnare gli standard di - sicurezza ambienti multicloud Microsoft Sentinel Automatizzare le operazioni di integrazione e distribuzione di Sentinel con GitHub e Azure DevOps. - Integrazione di Sentinel e Azure DevOps - Distribuire contenuto personalizzato da un repository |
Advanced3.5.2 Autorizzazione continua per operare (cATO) Pt2Le organizzazioni DoD automatizzano completamente i processi di derivazione, test e monitoraggio del controllo. Le deviazioni vengono testate e risolte automaticamente usando l'infrastruttura di automazione tra pilastri esistente. Il dashboarding viene usato per monitorare lo stato delle autorizzazioni e l'analisi sono integrati con i responsabili autorizzatori.< /br> Outcomes: - I test dei controlli sono completamente automatizzati - L'integrazione con il runtime di integrazione standard e le operazioni SOC sono automatizzate |
Microsoft Defender Threat and Vulnerability Management incorpora la gestione delle minacce e delle vulnerabilità (TVM) nel programma di gestione delle vulnerabilità. Vedere Le linee guida di Microsoft nella versione 3.3.2. Azure DevOps e Microsoft SentinelAutomatizzano le operazioni di integrazione e distribuzione di Sentinel con Azure DevOps. - Integrazione di Sentinel con Azure DevOps Microsoft Defender XDR e Sentinel Integrare Microsoft Defender XDR e Defender per il cloud con Sentinel. - Sentinel e Defender XDR per Zero Trust |
Passaggi successivi
Configurare i servizi cloud Microsoft per la strategia DoD Zero Trust:
- Introduzione
- Utente
- Dispositivo
- Applicazioni e carichi di lavoro
- Dati
- Rete
- Automazione e orchestrazione
- Visibilità e analisi