Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Deze sectie bevat richtlijnen en aanbevelingen van Microsoft voor CISA Zero Trust Maturity Model in de pijler toepassingen en workloads.
4 Toepassingen en workloads
Volgens de CISA-definitie omvatten toepassingen en workloads bedrijfssystemen, computerprogramma's en services die on-premises, op mobiele apparaten en in cloudomgevingen worden uitgevoerd.
Gebruik de volgende koppelingen om naar secties van de handleiding te gaan.
- Inleiding
- Identiteit
- Apparaten
- Networks
- Toepassingen en workloads
- Data
4.1 Functie: Toegang tot toepassingen
| CISA ZTMM-fasebeschrijving | richtlijnen en aanbevelingen van Microsoft |
|---|---|
|
eerste volwassenheidsstatus Enterprise begint met het implementeren van autorisatiemogelijkheden voor toepassingen die contextuele informatie bevatten (bijvoorbeeld identiteit, apparaatnaleving en/of andere kenmerken) per aanvraag met een vervaldatum. |
Microsoft Entra ID-toepassingen Adopteer Microsoft Entra ID als IdP (Enterprise Identity Provider). Beleid instellen voor het gebruik van Microsoft Entra-id voor nieuwe toepassingen. Toegang tot toepassingen autoriseren met gebruikers- en groepstoewijzingen. Microsoft Entra ID implementeert industriestandaard protocollen, in combinatie met voorwaardelijke toegang van Microsoft Entra. Neem contextuele informatie per aanvraag op met een vervaldatum. - Microsoft Entra-id en -apps integreren - Tokens en claims - Gebruikers en groepen toewijzen aan een app Voorwaardelijke toegang Apparaatsignalen zoals locatie in beleid voor voorwaardelijke toegang gebruiken voor beveiligingsbeslissingen. Gebruik filters op basis van apparaatkenmerken om beleidsregels op te nemen en uit te sluiten. - Voorwaarden - Filteren op apparaten |
|
Geavanceerde vervaldatumstatus Enterprise automatiseert beslissingen voor toegang tot toepassingen met uitgebreide contextuele informatie en afgedwongen verloopvoorwaarden die voldoen aan de principes van minimale bevoegdheden. |
voorwaardelijke toegang Beslissingen voor toepassingstoegang automatiseren met beleidsregels voor voorwaardelijke toegang die voldoen aan de bedrijfsvereisten. Toegang onder voorwaarden is het beleidsbeslissingspunt (PDP) voor toegang tot toepassingen of bronnen. Vouw contextuele informatie uit voor apparaten in toegangsbeslissingen. Compatibele apparaten of apparaten met een hybride verbinding met Microsoft Entra vereisen. Beheer verlenen om ervoor te zorgen dat toegang is voor bekende of compatibele apparaten. - Beleid voor Voorwaardelijke Toegang - apparaatgebaseerd beleid - Microsoft Entra-hybride verbinding Automatische beslissingen over toegang tot toepassingen verbeteren met uitgebreide contextuele informatie. Configureer beleid voor voorwaardelijke toegang voor toepassingen, beveiligde acties en verificatie. Pas vervalvoorwaarden aan met sessiebesturing voor aanmeldingsfrequentie. - beveiligde acties - ontwikkelaarshandleiding voor verificatie - voorwaardelijke toegang: Sessie Microsoft Intune Apparaten registreren bij Microsoft Entra-id en configuratie beheren met Intune. Apparaatcompatibiliteit beoordelen met Intune-beleid. - Geregistreerde apparaten - Naleving van apparaatbeleid Microsoft Defender voor Cloud Apps Sessies bewaken en beheren voor cloudtoepassingen met Defender for Cloud Apps. - Apps beveiligen - Sessiebeleid - Riskante actieverificatie Beleid configureren voor app-hygiëne: ongebruikte, ongebruikte referenties en verlopende referenties. App-governancefuncties Microsoft Entra-app-rollen App-autorisatie- en machtigingsmodellen ontwerpen met app-rollen. Als u app-beheer wilt delegeren, wijst u eigenaren toe om app-configuratie te beheren, registreert en wijst u app-rollen toe. toepassingsrollen |
|
Optimale vervaldatumstatus Enterprise continu toegang tot toepassingen autoriseert, waarbij realtime risicoanalyses en factoren zoals gedrag of gebruikspatronen worden opgenomen. |
Microsoft Entra ID Protection ID Protection beoordeelt het risiconiveau van gebruikers en aanmeldingen. In de Microsoft Defender XDR-suite bepalen realtime- en offlinedetecties het cumulatieve risiconiveau. Als u beleid voor adaptieve toegang op basis van risico's wilt afdwingen, gebruikt u risicovoorwaarden in beleid voor voorwaardelijke toegang. - ID Protection - Risico in ID Protection Continue toegangsevaluatie Met het MECHANISME voor continue toegangsevaluatie (CAE) kunnen toepassingen in bijna realtime reageren op beleidsschendingen zonder te wachten tot het token verloopt. Toepassingen die CAE ondersteunen, reageren op kritieke gebeurtenissen, waaronder een gebruiker die is gemarkeerd voor een hoog gebruikersrisico in ID Protection. CAE-overzicht Global Secure Access Om het risico van tokendiefstal en herhalingsaanvallen te verminderen, configureert u compatibele netwerkhandhaving die werkt met services die CAE ondersteunen. In bijna realtime weigert de app gestolen toegangstokens die buiten het tenantconforme netwerk worden afgespeeld. - Global Secure Access - Microsoft Entra Internet Access - Netwerkcontrole volgens norm |
4.2 Functie: Beveiliging tegen bedreigingen van toepassingen
| CISA ZTMM-fasebeschrijving | richtlijnen en aanbevelingen van Microsoft |
|---|---|
|
initiële vervaldatumstatus Enterprise bedreigingsbeveiliging integreert in bedrijfskritieke toepassingswerkstromen, waarbij beveiligingen worden toegepast tegen bekende bedreigingen en sommige toepassingsspecifieke bedreigingen. |
Microsoft Entra ID Plaats Microsoft Entra-id in het pad van elke toegangsaanvraag. Implementeer beleid dat missiekritieke toepassingen geïntegreerd moeten zijn met Microsoft Entra ID. Zorg ervoor dat bedreigingsbeveiliging deel uitmaakt van toepassingswerkstromen. - Toepassingsbeheer - Zakelijke apps toevoegen - Apps en verificatie migreren Microsoft Defender voor Cloud Apps Defender voor Cloud Apps configureren om riskante OAuth-apps te detecteren en te waarschuwen. App-machtigingen onderzoeken en bewaken die gebruikers hebben verleend. Riskante OAuth-apps Azure Application Gateway Azure-apps en API's implementeren achter Azure Application Gateway met Azure Web Application Firewall in de preventiemodus. Schakel Open Web Application Security Project (OWASP) Core Rule Set (CRS) in. Web Application Firewall Microsoft Defender XDR Defender XDR is een geïntegreerd beveiligingspakket voor en na inbreuk dat detectie, preventie, onderzoek en reactie coördineert voor eindpunten, identiteiten, e-mail en toepassingen. - Defender XDR- - XDR-hulpprogramma's instellen |
|
Advanced Maturity Status Enterprise integreert bedreigingsbeveiliging in alle toepassingswerkstromen, bescherming tegen bepaalde toepassingsspecifieke en gerichte bedreigingen. |
Microsoft Entra ID Plaats Microsoft Entra-id in het pad naar toegangsaanvragen. Implementeer een beleid dat voorschrijft dat apps worden geïntegreerd met Microsoft Entra ID. Zorg ervoor dat bedreigingsbeveiliging wordt toegepast voor alle apps. - Toepassingsbeheer - Zakelijke apps toevoegen - Apps en verificatie migreren voorwaardelijke toegang van Microsoft Entra, tokenbeveiliging Tokenbeveiliging of tokenbinding inschakelen in beleid voor voorwaardelijke toegang. Beveiliging tegen tokens vermindert aanvallen door ervoor te zorgen dat tokens bruikbaar zijn in beoogde apparaten. Tokenbeveiliging Microsoft Entra-toepassingsproxy Toepassingsproxy en Microsoft Entra-id gebruiken voor privé-apps met verouderde verificatieprotocollen. Implementeer een toepassingsproxy of integreer Secure Hybrid Access (SHA) partneroplossingen. Als u de beveiliging wilt uitbreiden, configureert u sessiebeleid in Microsoft Defender voor Cloud Apps. - Verouderde apps beveiligen - Beveiligingsoverwegingen voor toepassingsproxy's - Sessiebeleid maken Microsoft Defender Vulnerability Management Scanners zonder agent voor Defender Vulnerability Management bewaken en detecteren continu risico's. Geconsolideerde inventarissen zijn een realtime weergave van beveiligingsproblemen in software, digitale certificaten met behulp van zwakke cryptografische algoritmen, zwakke hardware- en firmwareproblemen en riskante browserextensies op eindpunten. Defender Vulnerability Management Defender for Cloud Workloadbeveiliging inschakelen voor toepassingsworkloads. Gebruik Defender voor Servers P2 om servers te onboarden naar Microsoft Defender voor Eindpunt en Defender Vulnerability Management voor servers. - Defender for App Service - Defender for API's - Defender for Containers - Defender for Servers Microsoft Entra Workload ID Premium Voor het integreren van bedreigingsbeveiliging in toepassingswerkstromen. Identiteitsbeveiliging configureren voor werkbelastingidentiteiten. Werkbelastingidentiteiten beveiligen |
|
Optimale volwassenheidsstatus Enterprise integreert geavanceerde bedreigingsbeveiliging in alle toepassingswerkstromen, met realtime zichtbaarheid en inhoudsbewuste beveiliging tegen geavanceerde aanvallen die zijn afgestemd op toepassingen. |
Microsoft Defender voor Cloud Apps Sessiebeheerbeleid configureren in Defender for Cloud Apps voor realtime zichtbaarheid en besturingselementen. Gebruik bestandsbeleid om inhoud in realtime te scannen, labels toe te passen en bestandsacties te beperken. - zichtbaarheid en beheer van cloud-apps - bestandsbeleid Defender XDR-, Microsoft Sentinel Defender XDR en Sentinel integreren. - Defender XDR - Sentinel en Defender XDR for Zero Trust Fusion in Sentinel Fusion is een analyseregel voor detectie van aanvallen in Sentinel met meerdere fasen. Fusion heeft een machine learning-correlatie-engine waarmee aanvallen met meerdere fasen of geavanceerde permanente bedreigingen (APT's) worden gedetecteerd. Het identificeert afwijkend gedrag en verdachte activiteiten. Incidenten zijn laag volume, hoge betrouwbaarheid en hoge ernst. - Multistage-aanvalsdetectie - Anomalieën - Analyseregels voor anomaliedetectie aanpassen Globale beveiligde toegang Veilige toegang tot toepassingen en resources garanderen, terwijl gebruikerstoegang continu in realtime wordt bewaakt en beheerd. Integreer met Defender voor Cloud Apps voor zichtbaarheid en controle van softwaregebruik en -beveiliging. Voorkom geavanceerde aanvallen, zoals gestolen herhaalde tokens met de netwerkcontrole die aan de eisen voldoet voor een tenant in voorwaardelijke toegang. Ondersteuning voor productiviteit en het bereiken van op locatie gebaseerde beveiligingscontroles. Voorkomen dat Security Service Edge (SSE) wordt overgeslagen voor SaaS-apps (Software as a Service). - globale beveiligde toegang - conforme netwerkcontrole |
4.3, functie: Toegankelijke toepassingen
| Beschrijving van de CISA ZTMM-fase | richtlijnen en aanbevelingen van Microsoft |
|---|---|
|
initiële vervaldatum Enterprise maakt een aantal van hun toepasselijke bedrijfskritieke toepassingen beschikbaar via open openbare netwerken voor geautoriseerde gebruikers met behoefte via brokered verbindingen. |
Microsoft Entra ID Plaats Microsoft Entra-id in het pad naar toegangsaanvragen. Implementeer beleid dat missiekritische apps verplicht om te worden geïntegreerd met Microsoft Entra ID. - Toepassingsbeheer toevoegen - Zakelijke apps toevoegen - Apps en verificatie migreren Microsoft Azure Migrate en toepassingen moderniseren door ze naar Azure te brengen. - app-migratie - apps en framework moderniseren - Een migratieplan maken Microsoft Entra-toepassingsproxy Toepassingsproxy configureren om interne bedrijfskritieke webtoepassingen te publiceren, toegankelijk via openbare netwerkverbindingen, door gebruikers die zijn geautoriseerd door Microsoft Entra ID. - Application Proxy - Eenmalige aanmelding (SSO) configureren voor apps Microsoft Defender voor Cloud Apps Om sessies te bewaken en te beperken, gebruikt u sessiebeleid om app-verbindingen met Defender for Cloud Apps te brokeren. - Defender for Cloud Apps - Apps verbinden met Defender - Sessiebeleid maken Voorwaardelijke toegang van Microsoft Entra Beleid configureren om toegang te verlenen tot apps die zijn geïntegreerd met Microsoft Entra ID. Configureer app-beheer voor voorwaardelijke toegang om het gebruik van beveiligingsbrokers (CAS's) voor cloudtoegang in Defender for Cloud Apps te vereisen. - voorwaardelijke toegang - toepassingsbeheer |
|
Advanced Maturity Status Enterprise maakt de meeste van hun toepasselijke bedrijfskritieke toepassingen beschikbaar via open openbare netwerkverbindingen met geautoriseerde gebruikers, indien nodig. |
Gebruik de richtlijnen in de initiële volwassenheidsstatusen neem de meest missie-kritieke toepassingen op. |
|
Optimale vervaldatumstatus Enterprise maakt alle toepasselijke toepassingen beschikbaar via open openbare netwerken voor geautoriseerde gebruikers en apparaten, indien nodig. |
Gebruik de richtlijnen in de Aanvankelijke Rijpheidsstatusen neem alle toepassingen op.
voorwaardelijke toegang beleid voor voorwaardelijke toegang configureren waarvoor compatibele apparaten voor toepassingen zijn vereist. De toegang voor niet-compatibele apparaten wordt geblokkeerd. Compatibele apparaten vereisen |
4.4 Functie: Werkstroom voor het ontwikkelen en implementeren van toepassingen beveiligen
| CISA ZTMM Fasebeschrijving | richtlijnen en aanbevelingen van Microsoft |
|---|---|
|
initiële volwassenheidsstatus Enterprise biedt infrastructuur voor ontwikkeling, testen en productieomgevingen (inclusief automatisering) met formele mechanismen voor code-implementatie via CI/CD-pijplijnen en vereiste toegangscontroles ter ondersteuning van beginselen voor minimale bevoegdheden. |
Azure-landingszones Omgevingen voor ontwikkeling tot stand brengen en resourceconfiguratiebeleid afdwingen met Azure Policy. - landingszones - Azure Policy een geformaliseerd implementatiemechanisme voor code tot stand brengen met CI/CD-pijplijnen (continue integratie en continue levering), zoals GitHub of Azure DevOps. GitHub Enterprise GitHub Enterprise-hulpprogramma's ondersteunen samenwerking, beveiliging en beheer. Gebruik functies zoals onbeperkte opslagplaatsen, mogelijkheden voor projectbeheer, tracering van problemen en beveiligingswaarschuwingen. Beheer opslagplaats- en projectgegevens terwijl de samenwerking tussen teams wordt verbeterd. Stroomlijn beveiligingsbeleid en vereenvoudig beheer met flexibele implementatieopties. GitHub Enterprise Cloud Verbind GitHub met Microsoft Entra ID voor single sign-on (SSO) en gebruikersvoorziening. Schakel persoonlijke toegangstokens uit om minimale bevoegdheden te garanderen. - Enterprise-beheerde gebruikers - Integratie van eenmalige aanmelding (SSO) voor GitHub Enterprise - Beleid voor persoonlijke toegangstokens afdwingen Azure DevOps Personen, processen en technologie samenbrengen om softwarelevering te automatiseren. Het ondersteunt samenwerking en processen om sneller producten te maken en te verbeteren dan traditionele ontwikkelingsmethoden. Gebruik functies zoals Azure Boards, Opslagplaatsen, Pijplijnen, Testplannen en Artefacten. Stroomlijn projectbeheer, versiebeheer, CI/CD, testen en pakketbeheer. Azure DevOps Verbind een Azure DevOps-organisatie met Microsoft Entra-id en zorg voor principes met minimale bevoegdheden. Persoonlijke toegangstokens uitschakelen. - een organisatie verbinden met Microsoft Entra ID - Persoonlijke toegangstokens beheren met beleid |
|
Advanced Maturity Status Enterprise maakt gebruik van afzonderlijke en gecoördineerde teams voor ontwikkeling, beveiliging en bewerkingen terwijl ontwikkelaarstoegang tot de productieomgeving worden verwijderd voor code-implementatie. |
Microsoft Entra ID Governance Als uw ontwikkelings- en productieabonnementen dezelfde Microsoft Entra-tenant gebruiken, wijst u geschiktheid voor rollen toe met behulp van toegangspakketten in rechtenbeheer. Schakel controles in om ervoor te zorgen dat gebruikers geen toegang hebben tot ontwikkel- en productieomgevingen. Scheiding van taken Toegangsbeoordelingen Om ontwikkelaars met toegang tot een productieomgeving te verwijderen, maakt u een toegangsbeoordeling met behulp van Azure-productierollen. Een toegangsbeoordeling maken |
|
Optimale volwassenheidsstatus Enterprise maakt gebruik van onveranderbare workloads, waardoor wijzigingen alleen van kracht kunnen worden door herimplementatie en beheerderstoegang tot implementatieomgevingen wordt verwijderd ten gunste van geautomatiseerde processen voor code-implementatie. |
releasepoorten van Azure DevOps, goedkeuringen Release-pijplijnen gebruiken om continu toepassingen in verschillende fasen te implementeren, met een lager risico en een sneller tempo. Automatiseer implementatiefasen met jobs en taken. Release-poorten, controles en goedkeuringen Azure-resourcevergrendelingen Om Azure-resources te beschermen tegen onbedoelde verwijderingen en wijzigingen, past u CanNotDeleteen ReadOnlytoe, resourcevergrendelingen op abonnementen, resourcegroepen en afzonderlijke resources.Beveilig infrastructuur met vergrendelde resources GitHub Actions Met GitHub Actions wijst u Azure-rollen toe aan beheerde identiteiten voor continue integratie en continue levering (CI/CD). Configureer taken die verwijzen naar een omgeving met de vereiste revisoren. Zorg ervoor dat taken wachten op goedkeuring voordat ze worden gestart. - Implementeren met GitHub Actions - Implementaties controleren Microsoft Entra Privileged Identity Management PIM Discovery en Insights gebruiken om bevoorrechte rollen en groepen te identificeren. Beheer gedetecteerde bevoegdheden en converteer gebruikerstoewijzingen van permanent naar in aanmerking komend. PIM Discovery and Insights Access reviews Om in aanmerking komende beheerders in een productieomgeving te verminderen, maakt u een toegangsbeoordeling met behulp van Azure-rollen. toegangsbeoordelingen voor Azure-resourcerollen |
4.5 Functie: Testen van toepassingsbeveiliging
| beschrijving van CISA ZTMM-fasebeschrijving | richtlijnen en aanbevelingen van Microsoft |
|---|---|
|
Begindatumstatus Enterprise begint statische en dynamische testmethoden (d.w. toepassing wordt uitgevoerd) te gebruiken om beveiligingstests uit te voeren, inclusief handmatige deskundige analyse, voorafgaand aan de implementatie van de toepassing. |
Microsoft Threat Modeling Tool The Threat Modeling Tool maakt deel uit van de Microsoft Security Development Lifecycle (SDL). Softwarearchitect identificeert en beperkt beveiligingsproblemen vroegtijdig, wat de ontwikkelingskosten verlaagt. Zoek richtlijnen voor het maken en analyseren van bedreigingsmodellen. Het hulpprogramma vereenvoudigt communicatie over beveiligingsontwerp, analyseert potentiële beveiligingsproblemen en stelt oplossingen voor. - Threat Modeling Tool - Aan de slag Ontwikkelhulpprogramma's van Azure Marketplace Volg de procedures voor het ontwikkelen van beveiligde toepassingen. Gebruik hulpprogramma's van Azure Marketplace om u te helpen bij het analyseren van code. - Ontwikkel beveiligde apps - Azure Marketplace GitHub Actions, Azure DevOps Actions Gebruik de CodeQL-analyse-engine om beveiligingscontroles in uw CI/CD-pijplijn (continue integratie en continue levering) te automatiseren. GitHub Advanced Security voor Azure DevOps is een toepassingsbeveiligingstestservice die systeemeigen is voor ontwikkelaarswerkstromen. - CodeQL-scanning - GitHub Geavanceerde Beveiliging voor Azure DevOps |
|
Advanced Maturity Status Enterprise integreert het testen van toepassingsbeveiliging in het proces voor het ontwikkelen en implementeren van toepassingen, inclusief het gebruik van periodieke dynamische testmethoden. |
GitHub Advanced Security Om codebeveiligings- en ontwikkelingsprocessen te verbeteren, gebruikt u codescans in Advanced Security en Azure DevOps. - Advanced Security - Advanced Security for Azure DevOps - Code scanning Microsoft Defender for Cloud Schakel werkbelastingbeveiligingen in voor abonnementen met toepassingswerkbelastingen. - Defender for Cloud - Defender for Containers - Defender for App Service Defender for Cloud DevOps-beveiligingsfuncties CsPM-functies (Cloud Support Plan Management) gebruiken om toepassingen en code in omgevingen met meerdere pijplijnen te beveiligen. Verbind organisaties en beoordeel uw DevOps-omgevingsbeveiligingsconfiguraties. - Defender voor Cloud DevOps-beveiliging - Azure DevOps-omgevingen verbinden met Defender voor Cloud |
|
Optimale volwassenheidsstatus Enterprise integreert toepassingsbeveiligingstests gedurende de levenscyclus van softwareontwikkeling in de hele onderneming met routine geautomatiseerde tests van geïmplementeerde toepassingen. |
Defender for Cloud DevOps-beveiliging CSPM-functies (Cloud Security Posture Management) gebruiken om toepassingen en code in omgevingen met meerdere pijplijnen te beveiligen. Uw DevOps-omgevingsbeveiligingsconfiguraties evalueren. - Defender for Cloud DevOps-beveiliging - Containerbeelden in kaart brengen - Aanvalspaden beheren |
4.6 Functie: Zichtbaarheid en analyse
| CISA ZTMM-fasebeschrijving | richtlijnen en aanbevelingen van Microsoft |
|---|---|
|
Initiële Volwassenheidsstatus Het bedrijf begint met het automatiseren van het applicatieprofiel (bijvoorbeeld status, gezondheid en prestaties) en beveiligingsbewaking voor verbeterde logboekverzameling, aggregatie en analyse. |
Azure Monitor Azure Policy configureren om diagnostische gegevens in te schakelen en Azure Monitor te gebruiken voor toepassingsworkloads die zijn geïmplementeerd in Azure. - Azure Monitor - Azure Policy-definities Azure Monitor Application Insights Application Insights inschakelen om de toepassingsstatus te onderzoeken, logboeken te analyseren en gebruikspatronen van Azure-apps weer te geven. Application Insights Microsoft Defender voor Cloud Defender for Cloud inschakelen voor Azure en omgevingen met meerdere clouds. Gebruik Microsoft Secure Score om hiaten te identificeren en het beveiligingspostuur te verbeteren. - Defender for Cloud - Secure score |
|
Advanced Maturity Status Enterprise automatiseert profiel- en beveiligingsbewaking voor de meeste toepassingen met heuristiek om toepassingsspecifieke en bedrijfsbrede trends te identificeren en processen in de loop van de tijd te verfijnen om hiaten in zichtbaarheid aan te pakken. |
Defender for Cloud Microsoft Secure Score gebruiken om uw cloudbeveiligingspostuur te beoordelen en te verbeteren. Gebruik risico prioritering om belangrijke beveiligingsproblemen op te lossen. Implementeer bewakingsonderdelen om gegevens van Azure-workloads te verzamelen en beveiligingsproblemen en bedreigingen te bewaken. - Defender for Cloud - Gegevensverzameling van werkbelastingen - Beveiligingsscore - Prioriteitstelling van risico's Microsoft Sentinel Defender for Cloud verbinden met Sentinel. waarschuwingen opnemen in Sentinel- |
|
Optimale vervaldatumstatus Enterprise continue en dynamische bewaking uitvoert voor alle toepassingen om uitgebreide zichtbaarheid voor de hele onderneming te behouden. |
Defender for Cloud Infrastructuur- en platformworkloads integreren met Defender for Cloud, inclusief resources in de niet-Microsoft-cloud en on-premises. Behoud uitgebreide zichtbaarheid voor de hele onderneming. - On-premises servers verbinden - Amazon Web Services-accounts (AWS) - Google Cloud Platform (GCP)-projecten verbinden Defender for Cloud-werklaadbeveiligingen Werklaadbeveiligingen inschakelen voor uw toepassingswerkbelastingen. - Defender for App Service - Defender for APIs - Defender for Containers - Defender for Servers |
4.7 Functie: Automatisering en orkestratie
| Beschrijving van CISA ZTMM-fase | richtlijnen en aanbevelingen van Microsoft |
|---|---|
|
initiële vervaldatumstatus Enterprise periodiek toepassingsconfiguraties, inclusief locatie en toegang, wijzigt om te voldoen aan relevante beveiligings- en prestatiedoelstellingen. |
Azure Resource Manager ARM is een implementatie- en beheerservice voor Azure. Automatiseer configuratiewijzigingen met behulp van ARM-sjablonen en Azure Bicep. - ARM-overzicht - ARM-sjablonen - Bicep- |
|
Geavanceerde vervaldatumstatus Enterprise automatiseert toepassingsconfiguraties om te reageren op operationele en omgevingswijzigingen. |
Azure App Configuration Toepassingsinstellingen en functievlagmen beheren vanaf een centrale locatie. Azure App Configuration Azure App Service- Gebruik implementatiesites om geïmplementeerde apps in productie te testen. Reageren op operationele en omgevingswijzigingen. Faseomgevingen Microsoft Defender voor Cloud Microsoft Secure Score gebruiken om uw cloudbeveiligingspostuur te beoordelen en te verbeteren. Gebruik defender voor cloudherstelmogelijkheden. aanbevelingen herstellen |
|
Optimale vervaldatumstatus Enterprise automatiseert toepassingsconfiguraties om continu te optimaliseren voor beveiliging en prestaties. |
Azure Chaos Studio Gebruik deze service voor chaos-engineering om de flexibiliteit van cloudtoepassingen en -services te meten, te begrijpen en te verbeteren. Integreer Azure Load Testing en Azure Chaos Studio in ontwikkelingscycli van workloads. - Azure Chaos Studio - continue validatie |
4.8 Functie: Bestuur
| Beschrijving van CISA ZTMM-fase | richtlijnen en aanbevelingen van Microsoft |
|---|---|
| nl-NL: Eerste volwassenheidsstatus Enterprise begint de automatische handhaving van het beleid voor applicatieontwikkeling (inclusief toegang tot de ontwikkelingsinfrastructuur), implementatie, software-assetbeheer, ST&E bij technologieintroductie, patching en het volgen van softwareafhankelijkheden op basis van missiebehoeften (bijvoorbeeld met Software Bill of Materials). |
GitHub Actions DevSecOps-processen standaardiseren voor een softwarefactuur van materialen (SBOM) met een CI/CD-pijplijn (continue integratie en continue levering). - GitHub Actions - SBOM's genereren GitHub Dependabot en CodeQL gebruiken om beveiligingscontroles te automatiseren en te scannen op beveiligingsproblemen met afhankelijkheden. - Code scannen - Veilige toeleveringsketen GitHub Actions, Azure DevOps Actions CodeQL gebruiken om beveiligingscontroles met uw CI/CD-pijplijn te automatiseren. GitHub Advanced Security voor Azure DevOps is een toepassingsbeveiligingstestservice die systeemeigen is voor ontwikkelaarswerkstromen. - Code scannen - GitHub Advanced Security for Azure DevOps Software bill of materials generation tool Gebruik de build-time SBOM-generator die werkt in verschillende besturingssystemen: Windows, Linux en MacOS. Het maakt gebruik van de standaard SPDX-indeling (Software Package Data Exchange). - open source SBOM-generatiehulpmiddel - SBOM-tool op GitHub |
|
Advanced Maturity Status Enterprise implementeert gelaagde, op maat gemaakte beleidsregels voor toepassingen en alle aspecten van de levenscyclus van de ontwikkeling en implementatie van toepassingen, bedrijf breed, en maakt waar mogelijk gebruik van automatisering om handhaving te ondersteunen. |
Azure Policy Helpen standaarden af te dwingen en naleving te beoordelen. Zie het nalevingsdashboard voor een geaggregeerde weergave van de omgeving. Azure Policy Microsoft Defender for Cloud Azure- en niet-Azure-workloads beveiligen met Defender for Cloud. Gebruik naleving van regelgeving en Azure Policy om de infrastructuur continu te evalueren met configuratiestandaarden. Voorkom configuratiedrift. - Beveiligingsstandaarden toewijzen - Multicloud-omgevingen Beheergroepen Beheergroepen gebruiken om toegangsbeleid en naleving voor Azure-abonnementen af te dwingen. abonnementen en beheergroepen |
|
Optimale volwassenheidsstatus Enterprise automatiseert het beleid voor het ontwikkelen en implementeren van toepassingen volledig, inclusief het opnemen van dynamische updates voor toepassingen via de CI/CD-pijplijn. |
Defender for Cloud Bewakingsonderdelen implementeren om gegevens van Azure-workloads te verzamelen en beveiligingsproblemen en bedreigingen te bewaken. - Defender for Cloud - Gegevensverzameling van workloads Beleid in Defender for Cloud bestaat uit standaarden en aanbevelingen om uw cloudbeveiligingspostuur te verbeteren. Standaarden definiëren regels, nalevingsvoorwaarden voor deze regels en acties wanneer niet aan voorwaarden wordt voldaan. Beveiligingsbeleid Infrastructure as Code Continue integratie en continue levering (CI/CD) gebruiken om IaC te implementeren met GitHub Actions. Azure-infrastructuur met GitHub Actions Azure Policy Azure Policy implementeren als code definiëren, testen en implementeren. Beleid als codewerkstromen |
Volgende stappen
Configureer Microsoft Cloud Services voor het CISA Zero Trust Maturity Model.
- Inleiding
- identiteit
- Apparaten
- Networks
- Toepassingen en workloads
- Data