Strategia doD Zero Trust dla aplikacji i obciążeń filaru

2024-04-13

Strategia doD Zero Trust i harmonogram działania przedstawia ścieżkę dla składników Departamentu Obrony i partnerów bazy przemysłowej obrony (DIB), aby przyjąć nową strukturę cyberbezpieczeństwa opartą na zasadach Zero Trust. Zero Trust eliminuje tradycyjne założenia dotyczące obwodów i zaufania, umożliwiając bardziej wydajną architekturę, która zwiększa bezpieczeństwo, środowiska użytkownika i wydajność misji.

Ten przewodnik zawiera zalecenia dotyczące działań 152 Zero Trust w harmonogramie wykonywania możliwości bez zaufania doD. Sekcje odpowiadają siedmiu filarom modelu DoD Zero Trust.

Skorzystaj z poniższych linków, aby przejść do sekcji przewodnika.

3 Aplikacje i obciążenia

Ta sekcja zawiera wskazówki i zalecenia firmy Microsoft dotyczące działań DoD Zero Trust w filarze aplikacji i obciążeń. Aby dowiedzieć się więcej, zobacz Zabezpieczanie aplikacji za pomocą usługi Zero Trust.

Uwaga

Zalecenia w tej sekcji są zgodne z wersją roboczą projektu referencyjnego metodyki DoD Enterprise DevSecOps.

3.1 Spis aplikacji

Microsoft Entra ID to dostawca tożsamości dla aplikacji i platform w chmurze, a nie tylko platformy Microsoft 365 i Azure. Identyfikator entra firmy Microsoft zawiera portale internetowe i interfejsy API RESTful do pobierania list zintegrowanych aplikacji. Microsoft Defender dla Chmury Apps, składnik usługi Microsoft Defender XDR, zawiera funkcje odnajdywania, spisu i blokowania niezatwierdzonych aplikacji.

Opis i wynik działania dod Wskazówki i zalecenia firmy Microsoft

Target3.1.1 Identyfikacja aplikacji/kodu
Organizacje doD tworzą spis zatwierdzonych aplikacji i kodu (np. kodu źródłowego, bibliotek itp.). Każda organizacja będzie śledzić możliwości obsługi (np. aktywne, starsze itp.) i hostowaną lokalizację (np. chmurę, środowisko lokalne, hybrydowe itp.) przynajmniej w spisie.

Wynik:
— składnik zidentyfikował aplikacje i sklasyfikował je jako starsze, zwirtualizowane lokalnie i hostowane w chmurze Microsoft Entra ID
Użyj centrum administracyjnego firmy Microsoft Entra, aby pobrać listę zarejestrowanych aplikacji firmy Microsoft. Wybierz pozycję Pobierz na górnej wstążce.
- Typ

zasobu aplikacji Jeśli organizacja korzysta z usług Active Directory Federation Services (AD FS), wdróż program Microsoft Entra Connect Health. Użyj raportu aktywności aplikacji, aby odnaleźć aplikacje usług AD FS.
- Monitorowanie usług AD FS za pomocą raportu

aktywności aplikacji Connect Health
- Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender
Użyj spisu oprogramowania w usłudze Defender Vulnerability Management, aby wyświetlić oprogramowanie w organizacji.
- Spis

oprogramowania Microsoft Defender dla Chmury Aplikacje
konfigurują usługę Cloud Discovery w usłudze Defender dla Chmury Apps, aby uzyskać migawkę aplikacji, do których użytkownicy uzyskują dostęp.
- Konfigurowanie rozwiązania Cloud Discovery-
Zbadaj aplikacje

odnalezione przez usługę Microsoft Intune odnalezione aplikacje
wykryte przez usługę Intune są wykrywane przez zarejestrowane w usłudze Intune urządzenia w dzierżawie. Jest to spis oprogramowania dzierżawy. Na urządzeniach firmowych aplikacje lub aplikacje zarządzane nie są zbierane dla tego raportu.
- Odnalezione aplikacje

Azure DevOps
Użyj tej usługi do bezpiecznego zarządzania pakietami. Deweloperzy udostępniają kod i zarządzają pakietami w jednym miejscu.
- Repozytoria Usługi Azure GitHub w usłudze Azure Artifacts
-

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target`3.1.1 Identyfikacja aplikacji/kodu Organizacje doD tworzą spis zatwierdzonych aplikacji i kodu (np. kodu źródłowego, bibliotek itp.). Każda organizacja będzie śledzić możliwości obsługi (np. aktywne, starsze itp.) i hostowaną lokalizację (np. chmurę, środowisko lokalne, hybrydowe itp.) przynajmniej w spisie. Wynik: — składnik zidentyfikował aplikacje i sklasyfikował je jako starsze, zwirtualizowane lokalnie i hostowane w chmurze	Microsoft Entra ID Użyj centrum administracyjnego firmy Microsoft Entra, aby pobrać listę zarejestrowanych aplikacji firmy Microsoft. Wybierz pozycję Pobierz na górnej wstążce. - Typ zasobu aplikacji Jeśli organizacja korzysta z usług Active Directory Federation Services (AD FS), wdróż program Microsoft Entra Connect Health. Użyj raportu aktywności aplikacji, aby odnaleźć aplikacje usług AD FS. - Monitorowanie usług AD FS za pomocą raportu aktywności aplikacji Connect Health - Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender Użyj spisu oprogramowania w usłudze Defender Vulnerability Management, aby wyświetlić oprogramowanie w organizacji. - Spis oprogramowania Microsoft Defender dla Chmury Aplikacje konfigurują usługę Cloud Discovery w usłudze Defender dla Chmury Apps, aby uzyskać migawkę aplikacji, do których użytkownicy uzyskują dostęp. - Konfigurowanie rozwiązania Cloud Discovery- Zbadaj aplikacje odnalezione przez usługę Microsoft Intune odnalezione aplikacje wykryte przez usługę Intune są wykrywane przez zarejestrowane w usłudze Intune urządzenia w dzierżawie. Jest to spis oprogramowania dzierżawy. Na urządzeniach firmowych aplikacje lub aplikacje zarządzane nie są zbierane dla tego raportu. - Odnalezione aplikacje Azure DevOps Użyj tej usługi do bezpiecznego zarządzania pakietami. Deweloperzy udostępniają kod i zarządzają pakietami w jednym miejscu. - Repozytoria Usługi Azure GitHub w usłudze Azure Artifacts -

3.2 Bezpieczne tworzenie i integracja oprogramowania

Funkcje usługi GitHub, takie jak GitHub Advanced Security (GHAS) i GitHub Actions, ułatwiają tworzenie i wdrażanie oprogramowania Zero Trust. Usługa GitHub Enterprise Cloud integruje się z usługą Microsoft Entra ID w celu zarządzania uprawnieniami za pomocą Zarządzanie tożsamością Microsoft Entra i bezpiecznego dostępu przy użyciu zasad dostępu warunkowego.

Deweloperzy mogą używać bibliotek uwierzytelniania firmy Microsoft (MSAL) do integrowania aplikacji z identyfikatorem Entra firmy Microsoft. Aby uzyskać więcej informacji, zobacz Uwierzytelnianie użytkowników pod kątem zerowego zaufania.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target`3.2.1 Tworzenie fabryki oprogramowania DevSecOps Pt1 Firma DoD tworzy podstawowe standardy dla nowoczesnych procesów DevSecOps i potoków ciągłej integracji/ciągłego wdrażania. Koncepcje są stosowane w ustandaryzowanym stosie technologii w organizacjach DoD, które spełniają przyszłe wymagania dotyczące zabezpieczeń aplikacji. Program zarządzania lukami w zabezpieczeniach dla całego przedsiębiorstwa jest zintegrowany z potokami ciągłej integracji/ciągłego wdrażania po działaniach programu do zarządzania lukami w zabezpieczeniach. Wyniki: — Opracowane standardy danych/usług dla devSecOps — potok ciągłej integracji/ciągłego wdrażania jest w pełni funkcjonalny i pomyślnie przetestowany — program do zarządzania lukami w zabezpieczeniach jest oficjalnie w miejscu i działa	Funkcja GitHub Actions funkcji GitHub Actionsużywa ciągłej integracji i ciągłego dostarczania (CI/CD) do automatyzowania potoków wdrażania. - Usługa GitHub Actions — zaawansowane zabezpieczenia w usłudze GitHub — korzystanie z usługi GitHub Advanced Security dla usług GitHub i Azure DevOps w celu zwiększenia bezpieczeństwa procesów programowania i kodu. - Advanced Security Advanced Security for Azure DevOps Microsoft Entra SSO and provisioning Configure single sign-on (SSO) for Git tools using Microsoft Entra ID (Advanced Security Advanced Security - for Azure DevOps Microsoft Entra SSO and provisioning Configure single sign-on( SSO) for Git tools using Microsoft Entra ID (Konfigurowanie logowania jednokrotnego) dla narzędzi Git. - Integracja logowania jednokrotnego z usługą GitHub Enterprise Cloud w organizacji - SSO z usługą GitHub Enterprise Server- Connect organizacji z identyfikatorem Entra firmy Microsoft Aby dowiedzieć się więcej na temat metodyki DevSecOps dla platformy Azure i innych chmur, zobacz bibliotekę DoD Cheif Information Officer (CIO).
`Target`3.2.2 Tworzenie fabryki oprogramowania DevSecOps Pt2 Organizacje doD będą używać zatwierdzonych potoków ciągłej integracji/ciągłego wdrażania do tworzenia większości nowych aplikacji. Wszelkie wyjątki będą zgodne ze standardowym procesem zatwierdzania, który będzie mógł opracowywać w starszej wersji. Procesy DevSecOps są również używane do tworzenia wszystkich nowych aplikacji i aktualizowania istniejących aplikacji. Ciągłe funkcje walidacji są zintegrowane z potokami ciągłej integracji/ciągłego wdrażania i procesami DevSecOps oraz zintegrowane z istniejącymi aplikacjami. Wyniki: — Tworzenie aplikacji jest migrowane do potoku ciągłej integracji/ciągłego wdrażania — implementowany jest ciągły proces weryfikacji/technologia, a ich użycie — tworzenie aplikacji jest migrowane do procesu i technologii DevSecOps	Usługa GitHub Advanced Security używa usługi GitHub Advanced Security do skanowania pod kątem zależności i luk w zabezpieczeniach kodu. Konfigurowanie okresowych kompilacji w celu oceny jakości kodu. - - Zaawansowane skanowanie - kodu CodeQL secure supply chain Bicep w infrastrukturze chmury Azure Provision przy użyciu infrastruktury jako kodu (IaC) z usługą Azure Resource Manager (ARM) i szablonami Bicep. - Bicep Microsoft Defender dla Chmury Enable Defender dla Chmury ochrony obciążeń dla subskrypcji z obciążeniami aplikacji. - Ochrona obciążeń w chmurze w usłudze Microsoft Defender for DevOps umożliwia monitorowanie zabezpieczeń i alertów potoków w usługach Azure DevOps (ADO) i GitHub. - Defender for DevOps
`Target`3.2.3 Automatyzowanie zabezpieczeń aplikacji i korygowania kodu pt1 Ustandaryzowane podejście do zabezpieczeń aplikacji, w tym korygowanie kodu, jest implementowane w przedsiębiorstwie DoD. Część pierwsza (1) tego działania obejmuje integrację bramy bezpiecznego interfejsu API z aplikacjami korzystającymi z interfejsu API lub podobnych wywołań. Przeglądy kodu są przeprowadzane w metodowym podejściu i ustandaryzowane zabezpieczenia kontenerów i ich infrastruktury. Ponadto wszystkie funkcje bezserwerowe, w których inna firma zarządza infrastrukturą, taką jak platforma jako usługa, wykorzystują odpowiednie funkcje monitorowania zabezpieczeń bezserwerowych i odpowiedzi. Przeglądy kodu, kontenery i funkcje zabezpieczeń bezserwerowe są zintegrowane z procesem ciągłej integracji/ciągłego wdrażania i/lub DevSecOps odpowiednio. Wyniki: — bezpieczna brama interfejsu API działa, a większość wywołań interfejsu API przechodzi przez bramę — funkcje zabezpieczeń aplikacji (np. przegląd kodu, kontener i zabezpieczenia bezserwerowe) są implementowane w ramach ciągłej integracji/ciągłego wdrażania i usługi DevSecOps	aplikacja systemu Azure Gateway Umieść publicznie dostępne aplikacje internetowe i interfejsy API za pomocą usługi aplikacja systemu Azure Gateway i zapory aplikacji internetowej. - Zapora aplikacji internetowej Microsoft Entra ID aplikacje Microsoft Entra ID to brama autoryzacji dla aplikacji internetowej i dostępu do interfejsu API. Uwidaczniaj interfejsy API dla zarejestrowanych aplikacji przy użyciu firmy Microsoft Entra. Użyj wbudowanego uwierzytelniania i autoryzacji (Easy Auth) w usłudze aplikacja systemu Azure i usłudze Azure Functions. W przypadku interfejsów API nieświadomych identyfikatorów firmy Microsoft użyj autoryzacji OAuth w usłudze Azure API Management. - Skonfiguruj aplikację, aby uwidaczniać uwierzytelnianie i autoryzację internetowego interfejsu API - w usłudze aplikacja systemu Azure i usłudze Azure Functions - , a także autoryzować interfejsy API w usłudze GitHub Advanced Security w usłudze GitHub i usłudze Azure DevOps. Zobacz Wskazówki firmy Microsoft w wersji 3.2.1. Microsft Defender dla Chmury Enable Defender dla Chmury ochrony obciążeń dla subskrypcji platformy Azure z obciążeniami interfejsu API. Zobacz Wskazówki firmy Microsoft w wersji 3.2.2.
`Advanced`3.2.4 Automatyzowanie zabezpieczeń aplikacji i korygowania kodu pt2 Organizacje DoD modernizują podejścia do dostarczania usług wewnętrznie opracowanych i zarządzanych zgodnie z najlepszymi rozwiązaniami, takimi jak mikrousługi. Te podejścia umożliwią bardziej odporne i bezpieczne architektury, umożliwiając szybsze zmiany kodu w każdej mikrousługach podczas odnajdowania problemów z zabezpieczeniami. Dalsze działania korygowania zabezpieczeń są kontynuowane w całej usłudze DoD Enterprise dzięki włączeniu funkcji zabezpieczeń środowiska uruchomieniowego dla kontenerów zgodnie z potrzebami, automatycznych aktualizacji bibliotek podatnych na zagrożenia i automatycznych zatwierdzeń ciągłej integracji/ciągłego wdrażania podczas procesu wydawania. Wyniki: — Bezpieczna brama interfejsu API działa, a większość wywołań interfejsu API przechodzi przez bramę — usługi są dostarczane zgodnie z architekturą SOA (Service Oriented Architecture) — działania korygowania zabezpieczeń zabezpieczeń (np. zabezpieczenia środowiska uruchomieniowego, aktualizacje biblioteki, zatwierdzenia wydania) są w pełni zautomatyzowane	Wykonaj działania 3.2.2 i 3.2.3.

3.3 Zarządzanie ryzykiem oprogramowania

Funkcja GitHub Actions pomaga automatyzować, dostosowywać i wykonywać przepływy pracy tworzenia oprogramowania dla metodyki DevSecOps. Za pomocą funkcji GitHub Actions wygeneruj rachunek za oprogramowanie materiałów (SBOM), przeanalizuj kod i przeskanuj pod kątem luk w zabezpieczeniach łańcucha dostaw i zależności. Aby dowiedzieć się więcej na temat funkcji GitHub Actions, zobacz GitHub Actions.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target`3.3.1 Zatwierdzone pliki binarne/kod Rozwiązanie DoD Enterprise używa najlepszych rozwiązań do zarządzania zatwierdzonymi plikami binarnymi i kodem w metodowym podejściu. Te podejścia obejmują zarządzanie ryzykiem dostawcy, zatwierdzone użycie repozytorium, zarządzanie ryzykiem łańcucha dostaw materiałów oraz standardy branżowe zarządzanie lukami w zabezpieczeniach. Wyniki: — Ocena ryzyka określania źródła przez dostawcę i zidentyfikowana dla zatwierdzonego źródła — repozytorium i kanał aktualizacji ustanowiony do użytku przez zespoły programistyczne — Bill of Materials jest tworzony dla aplikacji identyfikujące źródło, możliwość wsparcia i poziom ryzyka — standardowe bazy danych w branży (DIB) i zatwierdzone bazy danych luk w zabezpieczeniach są pobierane do użycia w usłudze DevSecOps	Funkcja GitHub Actions ustandaryzuje procesy DevSecOps w celu wygenerowania rachunku za materiały oprogramowania (SBOM) przy użyciu potoku ciągłej integracji i ciągłego dostarczania (CI/CD). - Generowanie rachunków za oprogramowanie materiałów Użyj narzędzia GitHub Dependabot i CodeQL w celu zautomatyzowania kontroli zabezpieczeń i skanowania pod kątem luk w zabezpieczeniach. - Skanowanie kodu - CodeQL Secure supply chain Windows Defender Application Control Użyj kontroli aplikacji usługi Windows Defender, aby zapobiec wykonywaniu niezaufanego kodu w zarządzanych punktach końcowych. - Kontrola aplikacji i integralność kodu platformy funkcji AppLocker -
`Target`3.3.2 Program do zarządzania lukami w zabezpieczeniach pt1 Firma DoD współpracuje z organizacjami w celu ustanowienia programu do zarządzania lukami w zabezpieczeniach i zarządzania nim. Program zawiera zasady i standardy uzgodnione przez wszystkie organizacje. Opracowany program obejmuje co najmniej śledzenie i zarządzanie publicznymi lukami w zabezpieczeniach na podstawie aplikacji/usług DoD. Organizacje ustanawiają zespół zarządzanie lukami w zabezpieczeniach z kluczowymi uczestnikami projektu, w którym omawia się luki w zabezpieczeniach i zarządza nimi zgodnie z zasadami i standardami przedsiębiorstwa. Wyniki: — Zespół ds. zarządzania lukami w zabezpieczeniach jest w/ odpowiedni członkostw w projekcie — zasady zarządzania lukami w zabezpieczeniach i proces są stosowane i uzgodnione z uczestnikami projektu — publiczne źródło luk w zabezpieczeniach jest wykorzystywane do śledzenia	Możliwości maszyn wirtualnych zarządzania zagrożeniami i lukami w zabezpieczeniach umożliwiają widoczność zasobów i inteligentne oceny. Program TVM ma wbudowane narzędzia korygowania dla punktów końcowych i serwerów. Użyj programu TVM z programem zarządzanie lukami w zabezpieczeniach. - Test porównawczy zabezpieczeń chmury w usłudze Microsoft Defender TVM firmy Microsoft — zobacz, jak firma Microsoft Usługi online przeprowadza zarządzanie lukami w zabezpieczeniach. - Przegląd - funkcji TVM Stan i zarządzanie lukami w zabezpieczeniach
`Target`3.3.3 Program do zarządzania lukami w zabezpieczeniach pt2 Procesy są ustanawiane na poziomie doD Enterprise w celu zarządzania ujawnieniem luk w zabezpieczeniach w usługach obsługiwanych/obsługiwanych zarówno publicznie, jak i prywatnie. Organizacje DoD rozszerzają program zarządzanie lukami w zabezpieczeniach w celu śledzenia zamkniętych repozytoriów luk w zabezpieczeniach, takich jak DIB, CERT i inne. Wyniki: — Kontrolowane (np. DIB, CERT) źródła luk w zabezpieczeniach są wykorzystywane do śledzenia — program do zarządzania lukami w zabezpieczeniach ma proces akceptowania zewnętrznych/publicznych ujawnień dla usług zarządzanych	Zarządzanie zagrożeniami i lukami w zabezpieczeniach Użyj strony słabych stron w programie Microsoft Defender TVM, aby zidentyfikować i określić priorytety luk w zabezpieczeniach wykrytych na urządzeniach i serwerach organizacji. - Luki w zabezpieczeniach w organizacji Śledzenie działań korygujących przy użyciu raportu urządzenia z lukami w zabezpieczeniach TVM. - Raport dotyczący urządzeń podatnych na zagrożenia
`Target`3.3.4 Ciągła walidacja Organizacje DoD zaimplementują ciągłe podejście do walidacji dla tworzenia aplikacji, w przypadku gdy wdrażanie równoległe jest przeprowadzane i zintegrowane z zatwierdzonym poziomem środowiska (np. testowanie akceptacji użytkowników, produkcja). Aplikacje nie mogą zintegrować ciągłej weryfikacji z procesem ciągłej integracji/ciągłego wdrażania są identyfikowane, a wyjątki są udostępniane zgodnie z potrzebami przy użyciu metodycznego podejścia. Wyniki: — Zaktualizowane aplikacje są wdrażane w środowisku produkcyjnym i/lub produkcyjnym — aplikacje oznaczone do wycofania i przejścia są likwidowane — narzędzia ciągłej walidacji są implementowane i stosowane do kodu w potoku ciągłej integracji/ciągłego wdrażania — kod wymagający ciągłej weryfikacji jest identyfikowany i ustanawiane są kryteria weryfikacji	Usługa Azure Chaos Studio umożliwia weryfikowanie obciążeń przy użyciu usługi Azure Chaos Studio. - Ciągła walidacja w usłudze GitHub Advanced Security korzystanie z funkcji i akcji usługi GitHub w celu zarządzanie lukami w zabezpieczeniach w projekcie referencyjnym doD Enterprise DevSecOps. Zobacz Wskazówki firmy Microsoft w wersji 3.2.1.

3.4 Autoryzacja i integracja zasobów

Dostęp warunkowy jest aparatem zasad Zero Trust w identyfikatorze Entra firmy Microsoft. Łączenie obciążeń aplikacji za pomocą identyfikatora Entra firmy Microsoft. Użyj Zarządzanie tożsamością Microsoft Entra, aby zarządzać uprawnieniami i zabezpieczać logowania przy użyciu zasad dostępu warunkowego. Zasady używają atrybutów zabezpieczeń, takich jak kondycja urządzenia, szczegóły sesji i ryzyko, aby podejmować adaptacyjne decyzje dotyczące dostępu. Identyfikator entra firmy Microsoft, usługa Azure Resource Manager i potoki ciągłej integracji/ciągłego wdrażania autoryzuje wdrażanie zasobów na platformie Azure.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target`3.4.1 Autoryzacja zasobów pt1 Rozwiązanie DoD enterprise ustandaryzuje metody autoryzacji zasobów (np. obwodu zdefiniowanego programowo) w organizacjach. Bramy autoryzacji zasobów zostaną co najmniej zintegrowane z tożsamościami i urządzeniami. Organizacje wdrażają zatwierdzone bramy autoryzacji zasobów i umożliwiają korzystanie z zewnętrznych aplikacji/usług. Inne aplikacje do migracji i aplikacji, których nie można migrować, są identyfikowane pod kątem wyjątku lub likwidacji. Wyniki: — Brama autoryzacji zasobów jest w miejscu dla aplikacji zewnętrznych — zasady autoryzacji zasobów zintegrowane z tożsamością i urządzeniem — wskazówki dotyczące standardów konwersji dla całego przedsiębiorstwa są przekazywane uczestnikom projektu	Microsoft Entra ID Microsoft Entra to brama autoryzacji dla zasobów aplikacji. Integrowanie nowoczesnych i starszych aplikacji na potrzeby logowania jednokrotnego z firmą Microsoft Entra. Zobacz Wskazówki firmy Microsoft 1.2.4 w temacie Użytkownik. Zarządzanie tożsamością Microsoft Entra Użyj role aplikacji Zarządzanie tożsamością Microsoft Entra w celu uzyskania dostępu do aplikacji. Przypisz użytkowników do ról aplikacji przy użyciu członkostwa statycznego, dynamicznych grup zabezpieczeń firmy Microsoft Entra lub pakietów dostępu do zarządzania upoważnieniami. - Dodaj role aplikacji do aplikacji i odbierz je w tokenie - Kontrola dostępu oparta na rolach Zasady dostępu warunkowego Użyj dostępu warunkowego , aby dynamicznie autoryzować, kontrolować lub blokować dostęp do aplikacji. Zobacz Microsoft guidance 1.8.3 in User and 2.1.4 in Device (Wskazówki firmy Microsoft 1.8.3 w temacie User and 2.1.4 in Device). aplikacja systemu Azure Gateway Włącz publicznie dostępne aplikacje internetowe i interfejsy API za pomocą usługi Application Gateway i zapory aplikacji internetowej. Zobacz Wskazówki dotyczące firmy Microsoft 3.2.3.
`Target`3.4.2 Autoryzacja zasobów pt2 Bramy autoryzacji zasobów są używane dla wszystkich możliwych aplikacji/usług. Aplikacje nie mogą korzystać z bram są likwidowane lub z wyjątkiem przy użyciu metodycznego podejścia opartego na ryzyku. Autoryzacje są dodatkowo zintegrowane z potokiem ciągłej integracji/ciągłego wdrażania na potrzeby zautomatyzowanego podejmowania decyzji. Wyniki: — brama autoryzacji zasobów jest używana dla wszystkich aplikacji — autoryzacja zasobów jest zintegrowana z usługą DevSecOps i ciągłą integracją/ciągłym wdrażaniem dla funkcji automatycznych	Tożsamość obciążeń Microsoft Entra Użyj federacji tożsamości obciążenia, aby skonfigurować tożsamość zarządzaną przypisaną przez użytkownika lub rejestrację aplikacji na potrzeby tokenów zaufania od zewnętrznego dostawcy tożsamości (IdP). Użyj tożsamości obciążenia federacyjnego dla przepływów pracy funkcji GitHub Actions. - Federacja tożsamości obciążeń Azure API Management użyj usługi Azure API Management , aby zarządzać, autoryzować i uwidaczniać usługi hostowane na platformie Azure i poza nią jako interfejsy API. - Azure API Management
`Target`3.4.3. Autoryzacja zasobów SDC Pt1 DoD Enterprise zapewnia ustandaryzowane podejście do zarządzania obliczeniami opartymi na kodzie (tj. obliczenia zdefiniowane programowo) zgodnie z najlepszymi rozwiązaniami branżowymi. Korzystanie z metod bazowych opartych na ryzyku jest tworzone przy użyciu zatwierdzonego zestawu bibliotek kodu i pakietów. Organizacje doD współpracują z zatwierdzonymi działaniami kodu/plików binarnych, aby upewnić się, że aplikacje są identyfikowane, które mogą i nie mogą obsługiwać tego podejścia. Aplikacje, które mogą obsługiwać nowoczesne metody konfiguracji i zarządzania oparte na oprogramowaniu, są identyfikowane i przenoszone. Aplikacje, które nie mogą być zgodne z metodami konfiguracji i zarządzania opartymi na oprogramowaniu, są identyfikowane i dozwolone za pomocą wyjątku przy użyciu metodycznego podejścia. Wyniki: — Aplikacje nie mogą być aktualizowane w celu korzystania z zatwierdzonych plików binarnych/kodu są oznaczone na potrzeby planów wycofania, a plany przejścia są tworzone — zidentyfikowane aplikacje bez zatwierdzonych plików binarnych i kod są aktualizowane w celu korzystania z zatwierdzonych plików binarnych/kodu — wskazówki dla całego przedsiębiorstwa dotyczące standardów konwersji są przekazywane uczestnikom projektu	Bezpieczne projektowanie, opracowywanie i wdrażanie aplikacji platformy Azure zgodnie z cyklem projektowania zabezpieczeń i opublikowanymi najlepszymi rozwiązaniami. - Bezpieczna infrastruktura programowa - jako kod - usługi Azure Policy jako przepływy pracy kodu— identyfikator Firmy Microsoft Entra — użyj Platforma tożsamości Microsoft na potrzeby uwierzytelniania i autoryzacji aplikacji. - Migrowanie aplikacji i uwierzytelniania usługi Azure Migrate do nowoczesnych platform aplikacji, takich jak Azure Kubernetes Service (AKS) i kontenery usługi App Service. - Migrowanie obciążeń na nowoczesne platformy - aplikacji Ocenianie aplikacji ASP.NET pod kątem migracji do usługi AKS - Ocena aplikacji ASP.NET na potrzeby migracji do usługi aplikacja systemu Azure Service
`Target`3.4.4 Autoryzacja zasobów SDC Pt2 Aplikacje, które obsługują konfigurację opartą na oprogramowaniu i zarządzanie, zostały przeniesione do środowiska produkcyjnego/na żywo i działają normalnie. Jeśli to możliwe, aplikacje, które nie obsługują konfiguracji opartej na oprogramowaniu i zarządzania, zostaną zlikwidowane. Wyniki: — zaktualizowane aplikacje są wdrażane w środowisku na żywo i/lub w środowisku produkcyjnym — aplikacje oznaczone na potrzeby wycofania i przejścia są likwidowane	Usługa Azure Migrate Containerize i migrowanie aplikacji ASP.NET i aplikacji internetowych Java przy użyciu narzędzia Azure Migrate: Konteneryzacja aplikacji. Likwiduj aplikacje, których nie można zmodernizować. - ASP.NET konteneryzacja i migracja aplikacji do konteneryzacji i migracji aplikacji usługi AKS - ASP.NET do konteneryzacji i migracji aplikacji internetowej Java usługi aplikacja systemu Azure Service - do konteneryzacji i migracji aplikacji internetowej W usłudze AKS - Java do usługi aplikacja systemu Azure Service
`Advanced`3.4.5 Wzbogacanie atrybutów autoryzacji zasobów pt1 Początkowe atrybuty ze źródeł, takich jak Monitorowanie aktywności użytkowników i jednostek, usługi mikrosegmentacji, DLP i zarządzanie prawami do danych (DRM) są zintegrowane ze stosem i zasadami technologii autoryzacji zasobów. Wszystkie inne atrybuty do późniejszej integracji są identyfikowane i planowane. Atrybuty służą do tworzenia podstawowego stanu ryzyka użytkowników, jednostek niebędących personifikacji (NPE) i urządzeń umożliwiających podejmowanie decyzji dotyczących autoryzacji. Wyniki: — większość wywołań interfejsu API przechodzi przez bramę bezpiecznego interfejsu API — autoryzacja zasobów odbiera dane z aparatu analizy — zasady autoryzacji zawierają zidentyfikowane atrybuty w podejmowaniu decyzji dotyczących autoryzacji — zidentyfikowane są atrybuty, które mają być używane do początkowego wzbogacania	Aplikacje Firmy Microsoft Entra używają identyfikatora Entra firmy Microsoft do autoryzowania nowoczesnych aplikacji i interfejsów API. Wdróż serwer proxy aplikacji Firmy Microsoft Entra i serwery z obsługą usługi Azure Arc, aby rozszerzyć identyfikator Entra firmy Microsoft na starsze protokoły uwierzytelniania. Zobacz Wskazówki firmy Microsoft w wersji 3.1.1 i 3.2.3. Dostęp warunkowy Microsoft Entra to bezpieczna brama do autoryzacji zasobów. Dostęp warunkowy to aparat autoryzacji. Skonfiguruj zasady szczegółowej autoryzacji przy użyciu użytkownika, aplikacji, użytkownika, warunków środowiskowych, w tym stanu zgodności urządzenia. - Projekt - dostępu - warunkowego Wymagaj zgodnych urządzeń Dynamiczne grupy zabezpieczeń Utwórz dynamiczne grupy zabezpieczeń na podstawie atrybutów użytkownika. Użyj grup dynamicznych, aby ograniczyć zakres zasad dostępu warunkowego na potrzeby autoryzacji atrybutów statycznych na podstawie atrybutów użytkownika. - Dynamiczne członkostwo w grupach - Użytkownicy, grupy i tożsamości obciążeń tożsamości poufnych usługi Microsoft Purview Definiują typy informacji poufnych z dokładnym dopasowaniem danych (EDM). Używaj typów informacji poufnych z zasadami ochrony informacji usługi Microsoft Purview Information Protection i ochrony przed utratą danych usługi Purview (DLP). - Dopasowanie danych na podstawie typów - informacji poufnych Odnajdywanie i ochrona poufnych informacji Zarządzanie tożsamością Microsoft Entra Użyj Zarządzanie tożsamością Microsoft Entra w celu uzyskania dostępu do aplikacji z rolami aplikacji. Przypisz użytkowników do ról aplikacji ze statycznym członkostwem, dynamicznymi grupami zabezpieczeń lub pakietami dostępu do zarządzania upoważnieniami. - Dodawanie ról aplikacji i odbieranie ich w tokenie - Kontrola dostępu oparta na rolach
`Advanced`3.4.6. Wzbogacanie atrybutów autoryzacji zasobów Pt2 Rozszerzone zidentyfikowane atrybuty są zintegrowane z technologią i zasadami autoryzacji zasobów. Ocena zaufania jest wprowadzana w atrybutach, aby utworzyć bardziej zaawansowaną metodę podejmowania decyzji o autoryzacji w zautomatyzowany sposób. Wyniki: — Zasady autoryzacji uwzględniają poziomy ufności w podejmowaniu decyzji dotyczących autoryzacji — definiowane są poziomy ufności atrybutów	Ochrona tożsamości Microsoft Entra Użyj sygnałów dotyczących ryzyka logowania i użytkowników z Ochrona tożsamości Microsoft Entra w zestawie zasad dostępu warunkowego. Skonfiguruj kontekst uwierzytelniania, w tym ryzyko, aby ustanowić poziomy ufności na podstawie szczegółów środowiska i poziomu ryzyka. - Szablon zasad ryzyka - identyfikatora entra firmy Microsoft: przykład kontekstu uwierzytelniania MFA - ryzyka logowania zobacz Wskazówki firmy Microsoft 1.3.3 w użytkowniku. Niestandardowe atrybuty zabezpieczeń Zarządzaj i przypisz niestandardowe atrybuty zabezpieczeń dla użytkowników identyfikatora Entra firmy Microsoft. Użyj warunków przypisywania ról dla dynamicznej kontroli dostępu opartej na atrybutach (ABAC). - Niestandardowe atrybuty zabezpieczeń
`Advanced`3.4.7. Mikrosegmenty interfejsu API REST przy użyciu zatwierdzonych bram interfejsu API doD Enterprise wywołania aplikacji są segmentowane tylko przez mikrosegmentowanie zezwalające na uwierzytelniony i autoryzowany dostęp do określonych miejsc docelowych (np. mikrousług). Jeśli to możliwe, konsole mikrosegmentacji interfejsu API są zintegrowane i obsługują inne konsole mikrosegmentacji, takie jak kontrolery obwodowe zdefiniowane programowo i/lub konsole sieci zdefiniowane programowo. Wynik: — zatwierdzone interfejsy API przedsiębiorstwa są odpowiednio segmentowane	Sieć i łączność platformy Azure izolowanie, filtrowanie i kontrolowanie ruchu sieciowego między przepływami przychodzącymi i wychodzącymi. Stosowanie zasad ochrony w głębi systemu przy użyciu zlokalizowanych mechanizmów kontroli sieci w dostępnych granicach sieci. Postępuj zgodnie z witryną Azure Well-Architected Framework. - Zalecenia dotyczące sieci i łączności Zalecenia dotyczące - strategii segmentacji projekt interfejsu API Postępuj zgodnie z zalecanymi rozwiązaniami dotyczącymi projektowania interfejsów API dla mikrousług. Chroń i autoryzuj interfejsy API za pomocą identyfikatora Entra firmy Microsoft. - Interfejsy API mikrousług chronią interfejsy- API

3.5 Ciągłe monitorowanie i trwające autoryzacje

Microsoft Defender dla Chmury standardy zabezpieczeń stale oceniają subskrypcje platformy Azure w zakresie, konta usług Amazon Web Services (AWS) i projekty Google Cloud Platform (GCP) z Defender dla Chmury włączone pod kątem zgodności ze standardami prawnymi.

Opis i wynik działania dod Wskazówki i zalecenia firmy Microsoft

Advanced3.5.1 Ciągła autoryzacja do działania (cATO) Pt1
Organizacje DoD wykorzystują rozwiązania automatyzacji w środowisku w celu standaryzacji monitorowania kontrolek i oferują możliwość identyfikowania odchyleń. W stosownych przypadkach monitorowanie i testowanie są zintegrowane z procesami DevSecOps.

Wyniki:
— wyprowadzanie kontrolek jest znormalizowane i gotowe do automatyzacji
— testowanie kontrolek jest zintegrowane z procesami i technologią DevSecOps Biblioteka
dyrektorów ds. systemów informatycznych (DoD) Integruje monitorowanie i testowanie z procesami DevSecOps. Zobacz bibliotekę doD Enterprise DevSecOps Reference Design
- DoD CIO Library

Microsoft Defender dla Chmury
Protect Azure and non-Azure workloads with Defender dla Chmury (Ochrona obciążeń platformy Azure i obciążeń spoza platformy Azure). Korzystaj ze zgodności z przepisami i inicjatyw usługi Azure Policy, aby stale oceniać infrastrukturę przy użyciu standardów konfiguracji. Zapobiegaj dryfowaniu konfiguracji.
- Przypisz standardy
- zabezpieczeń Środowiska wielochmurowe Microsoft Sentinel Automatyzowanie

operacji integracji i wdrażania usługi Sentinel
za pomocą usług GitHub i Azure DevOps.
- Integracja
- usług Sentinel i Azure DevOps Wdrażanie zawartości niestandardowej z repozytorium

Advanced3.5.2 Ciągła autoryzacja do działania (cATO) Pt2
Organizacje DoD w pełni automatyzują wyprowadzanie kontroli, testowanie i monitorowanie procesów. Odchylenia są automatycznie testowane i rozwiązywane przy użyciu istniejącej infrastruktury automatyzacji między filarami. Pulpit nawigacyjny służy do monitorowania stanu autoryzacji i analizy są zintegrowane z urzędnikami odpowiedzialnymi za autoryzowanie.< /br>
Wyniki:
- Testowanie kontrolek jest w pełni zautomatyzowane
— integracja ze standardowym środowiskiem IR i operacjami SOC jest zautomatyzowana Zarządzanie zagrożeniami i lukami w zabezpieczeniach w usłudze Microsoft Defender obejmują zarządzanie zagrożeniami
i lukami w zabezpieczeniach (TVM) w programie zarządzanie lukami w zabezpieczeniach.

Zobacz Wskazówki dotyczące firmy Microsoft w wersji 3.3.2.

Usługi Azure DevOps i Microsoft Sentinel automatyzują operacje integracji i wdrażania usługi Sentinel
za pomocą usługi Azure DevOps.
- Integracja usługi Sentinel z usługą Azure DevOps

Microsoft Defender XDR i Sentinel
integruje usługę Microsoft Defender XDR i Defender dla Chmury z usługą Sentinel.
- Sentinel i Defender XDR for Zero Trust

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Advanced`3.5.1 Ciągła autoryzacja do działania (cATO) Pt1 Organizacje DoD wykorzystują rozwiązania automatyzacji w środowisku w celu standaryzacji monitorowania kontrolek i oferują możliwość identyfikowania odchyleń. W stosownych przypadkach monitorowanie i testowanie są zintegrowane z procesami DevSecOps. Wyniki: — wyprowadzanie kontrolek jest znormalizowane i gotowe do automatyzacji — testowanie kontrolek jest zintegrowane z procesami i technologią DevSecOps	Biblioteka dyrektorów ds. systemów informatycznych (DoD) Integruje monitorowanie i testowanie z procesami DevSecOps. Zobacz bibliotekę doD Enterprise DevSecOps Reference Design - DoD CIO Library Microsoft Defender dla Chmury Protect Azure and non-Azure workloads with Defender dla Chmury (Ochrona obciążeń platformy Azure i obciążeń spoza platformy Azure). Korzystaj ze zgodności z przepisami i inicjatyw usługi Azure Policy, aby stale oceniać infrastrukturę przy użyciu standardów konfiguracji. Zapobiegaj dryfowaniu konfiguracji. - Przypisz standardy - zabezpieczeń Środowiska wielochmurowe Microsoft Sentinel Automatyzowanie operacji integracji i wdrażania usługi Sentinel za pomocą usług GitHub i Azure DevOps. - Integracja - usług Sentinel i Azure DevOps Wdrażanie zawartości niestandardowej z repozytorium
`Advanced`3.5.2 Ciągła autoryzacja do działania (cATO) Pt2 Organizacje DoD w pełni automatyzują wyprowadzanie kontroli, testowanie i monitorowanie procesów. Odchylenia są automatycznie testowane i rozwiązywane przy użyciu istniejącej infrastruktury automatyzacji między filarami. Pulpit nawigacyjny służy do monitorowania stanu autoryzacji i analizy są zintegrowane z urzędnikami odpowiedzialnymi za autoryzowanie.< /br> Wyniki: - Testowanie kontrolek jest w pełni zautomatyzowane — integracja ze standardowym środowiskiem IR i operacjami SOC jest zautomatyzowana	Zarządzanie zagrożeniami i lukami w zabezpieczeniach w usłudze Microsoft Defender obejmują zarządzanie zagrożeniami i lukami w zabezpieczeniach (TVM) w programie zarządzanie lukami w zabezpieczeniach. Zobacz Wskazówki dotyczące firmy Microsoft w wersji 3.3.2. Usługi Azure DevOps i Microsoft Sentinel automatyzują operacje integracji i wdrażania usługi Sentinel za pomocą usługi Azure DevOps. - Integracja usługi Sentinel z usługą Azure DevOps Microsoft Defender XDR i Sentinel integruje usługę Microsoft Defender XDR i Defender dla Chmury z usługą Sentinel. - Sentinel i Defender XDR for Zero Trust

Następne kroki

Skonfiguruj usługi w chmurze firmy Microsoft dla strategii DoD Zero Trust: