Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta seção tem diretrizes e recomendações da Microsoft para o Modelo de Maturidade de Confiança Zero da CISA no pilar de aplicativos e cargas de trabalho.
4 Aplicativos e cargas de trabalho
De acordo com a definição cisa, aplicativos e cargas de trabalho incluem sistemas empresariais, programas de computador e serviços que executam localmente, em dispositivos móveis e em ambientes de nuvem.
Use os links a seguir para acessar as seções do guia.
- Introdução
- Identidade
- Dispositivos
- Redes
- Aplicativos e cargas de trabalho
- Dados
4.1 Função: Acesso ao aplicativo
| Descrição do estágio CISA ZTMM | Orientações e recomendações da Microsoft |
|---|---|
| Status de Maturidade Inicial A empresa começa a implementar a autorização de recursos de acesso a aplicativos que incorporam informações contextuais (por exemplo, identidade, conformidade do dispositivo e/ou outros atributos) por solicitação com expiração. |
Aplicativos do Microsoft Entra ID Adote o Microsoft Entra ID como o provedor de identidade empresarial (IdP). Estabeleça uma política para usar a ID do Microsoft Entra para novos aplicativos. Autorize o acesso de aplicativos com atribuição de usuário e grupo a aplicativos. A ID do Microsoft Entra implementa protocolos padrão do setor, quando combinados com o Acesso Condicional do Microsoft Entra. Incorpore informações contextuais por solicitação com um prazo de validade. - Integrar o Microsoft Entra ID e os aplicativos - Tokens e declarações - Atribuir usuários e grupos a um aplicativo Acesso condicional Use sinais de dispositivo, como a localização em políticas de Acesso Condicional para decisões de segurança. Use filtros com base em atributos de dispositivo para incluir e excluir políticas. - Condições - Filtro para dispositivos |
| Status de Maturidade Avançada Enterprise automatiza as decisões de acesso ao aplicativo com informações contextuais expandidas e condições de expiração impostas que aderem a princípios de privilégios mínimos. |
Acesso Condicional Automatizar decisões de acesso de aplicativos com políticas de Acesso Condicional que atendam aos requisitos da empresa. O Acesso Condicional é o PDP (ponto de decisão de política) para acesso a aplicativos ou recursos. Expanda as informações contextuais dos dispositivos em decisões de acesso. Exija dispositivos em conformidade ou ingressados no Microsoft Entra híbrido. Conceda controle para garantir que o acesso seja para dispositivos conhecidos ou compatíveis. - Acesso Condicional - Política baseada em dispositivos - Ingresso no Microsoft Entra híbrido Aumente as decisões de acesso automatizado a aplicativos com informações contextuais expandidas. Configure políticas de Acesso Condicional para aplicativos, ações protegidas e autenticação. Personalize as condições de expiração com o controle de sessão de frequência de entrada. - As ações protegidas - guia do desenvolvedor de Autenticação - Acesso Condicional: Sessão Microsoft Intune Registrar dispositivos com a ID do Microsoft Entra e gerenciar a configuração com o Intune. Avaliar a conformidade do dispositivo com as políticas do Intune. - Dispositivos registrados - Política de conformidade do dispositivo Microsoft Defender para Aplicativos de nuvem Monitore e controle sessões para aplicativos de nuvem com o Defender para Aplicativos de nuvem. - Proteger aplicativos - Política de sessão - Autenticação para ações de risco Configurar a política de higiene do aplicativo: credenciais não utilizadas e credenciais que estão expirando. Recursos de governança de aplicativo Funções de aplicativo do Microsoft Entra Projetar modelos de autorização e permissões com funções de aplicativo. Para delegar o gerenciamento de aplicativos, atribua proprietários para gerenciar a configuração do aplicativo, assim como registrar e atribuir funções de aplicativo. Funções de aplicativo |
| Status de Maturidade Ideal Enterprise autoriza continuamente o acesso ao aplicativo, incorporando análises de risco em tempo real e fatores como comportamento ou padrões de uso. |
Microsoft Entra ID Protection O ID Protection avalia o nível de risco de entrada e de usuário. No pacote XDR do Microsoft Defender, as detecções em tempo real e offline determinam o nível de risco agregado. Para impor políticas de acesso adaptável baseadas em risco, use condições de risco em políticas de Acesso Condicional. - Proteção de ID - Risco na Proteção contra ID Avaliação contínua de acesso O mecanismo de CAE (avaliação de acesso contínuo) permite que os aplicativos respondam a violações de política quase em tempo real sem aguardar a expiração do token. Aplicativos que dão suporte à CAE respondem a eventos críticos, incluindo um usuário sinalizado para alto risco de usuário no ID Protection. Visão geral da CAE Acesso Seguro Global Para reduzir o risco de roubo de token e ataques de repetição, configure uma aplicação de rede em conformidade que funcione com serviços que dão suporte à CAE. O aplicativo rejeita tokens de acesso roubados retransmitidos fora da rede compatível com o locatário quase em tempo real. - Acesso Seguro Global - Acesso à Internet do Microsoft Entra - Verificação de rede em conformidade |
Função 4.2: Proteções contra ameaças de aplicativo
| Descrição do estágio CISA ZTMM | Diretrizes e recomendações da Microsoft |
|---|---|
| Status de Maturidade Inicial Enterprise integra proteções contra ameaças a fluxos de trabalho de aplicativos críticos, aplicando proteções contra ameaças conhecidas e algumas ameaças específicas do aplicativo. |
Microsoft Entra ID Coloque o Microsoft Entra ID no caminho de cada solicitação de acesso. Implemente a política que exige que aplicativos críticos de missão sejam integrados à ID do Microsoft Entra. Verifique se a proteção contra ameaças faz parte dos fluxos de trabalho do aplicativo. - Gerenciamento de aplicativos - Adicionar aplicativos empresariais - Migrar aplicativos e autenticação Microsoft Defender para Aplicativos de Nuvem configurar o Defender para Aplicativos de Nuvem para detectar e alertar para aplicativos OAuth arriscados. Investigue e monitore as permissões de aplicativos concedidas pelos usuários. Aplicativos OAuth Arriscados Gateway de Aplicativo do Azure Implante aplicativos e APIs do Azure por trás do Gateway de Aplicativo do Azure com o Firewall do Aplicativo Web do Azure no modo de prevenção. Habilite o CRS (Conjunto de Regras Principais) do OWASP (Open Web Application Security Project). Firewall do aplicativo Web Microsoft Defender XDR O Defender XDR é um pacote de defesa integrado para pré e pós-violação que coordena ações de detecção, prevenção, investigação e resposta em pontos de extremidade, identidades, endereços de email e aplicativos. - Defender XDR - configurar ferramentas XDR |
| Status de Maturidade Avançada Enterprise integra proteções contra ameaças em todos os fluxos de trabalho do aplicativo, protegendo contra algumas ameaças específicas do aplicativo e direcionadas. |
Microsoft Entra ID Coloque o Microsoft Entra ID no caminho das solicitações de acesso. Implementar política que exige que os aplicativos sejam integrados ao ID do Microsoft Entra. Verifique se a proteção contra ameaças é aplicada a todos os aplicativos. - Gerenciamento de aplicativos - Adicionar aplicativos empresariais - Migrar aplicativos e autenticação Acesso Condicional do Microsoft Entra, proteção de token Habilite a proteção ou a associação de token na política de Acesso Condicional. A proteção de token reduz os ataques, garantindo que os tokens sejam utilizáveis em dispositivos pretendidos. Proteção de Token Proxy de aplicativo do Microsoft Entra Use o proxy de aplicativo e o Microsoft Entra ID para aplicativos privados que utilizam protocolos de autenticação herdados. Implante o proxy de aplicativo ou integre soluções de parceiro SHA (Acesso Híbrido Seguro). Para estender as proteções, configure as políticas de sessão no Microsoft Defender para Aplicativos de Nuvem. - Proteger aplicativos herdados - Considerações de segurança do proxy de aplicativo - Criar política de sessão Gerenciamento de Vulnerabilidades do Microsoft Defender Os scanners sem agente do Gerenciamento de Vulnerabilidades do Defender monitoram e detectam riscos continuamente. Os inventários consolidados são uma exibição em tempo real de vulnerabilidades de software, certificados digitais usando algoritmos criptográficos fracos, fraquezas de hardware e firmware e extensões de navegador arriscadas em terminais. Defender Vulnerability Management Defender para Nuvem Habilitar proteções de carga de trabalho para aplicações. Use o Defender para servidores P2 para integrar servidores ao Microsoft Defender para Ponto de Extremidade e ao Gerenciamento de Vulnerabilidades do Defender para servidores. - Defender para Serviço de Aplicativo - Defender para APIs - Defender para Contêineres - Defender para Servidores Microsoft Entra Workload ID Premium Para integrar a proteção contra ameaças nos fluxos de trabalho do aplicativo. Configure a proteção de identidades de carga de trabalho. Proteger identidades de carga de trabalho |
| Status de Maturidade Ideal Enterprise integra proteções avançadas contra ameaças em todos os fluxos de trabalho do aplicativo, oferecendo visibilidade em tempo real e proteções com reconhecimento de conteúdo contra ataques sofisticados adaptados a aplicativos. |
Microsoft Defender para Aplicativos de Nuvem Configurar políticas de controle de sessão no Defender para Aplicativos de Nuvem para visibilidade e controles em tempo real. Use políticas de arquivo para verificar o conteúdo em tempo real, aplicar rótulos e restringir ações de arquivo. - visibilidade e controle de aplicativos em nuvem - Política de arquivo Defender XDR, Microsoft Sentinel Integrar o Defender XDR e o Microsoft Sentinel. - Defender XDR - Sentinel e Defender XDR para Confiança Zero Fusion no Sentinel Fusion é uma regra de análise para detecção de ataques em várias fases no Sentinel. O Fusion tem um mecanismo de correlação de aprendizado de máquina que detecta ataques de vários estágios ou APTs (ameaças persistentes avançadas). Identifica comportamentos anômalos e atividades suspeitas. Os incidentes são de baixo volume, alta fidelidade e alta gravidade. - detecção de ataque multiestágio - Personalizar anomalias - regras de análise de detecção de anomalias acesso seguro global garantir o acesso seguro a aplicativos e recursos, enquanto monitora e gerencia continuamente o acesso do usuário em tempo real. Integre-se ao Defender para Aplicativos de Nuvem para visibilidade e controle de uso e segurança de software. Evite ataques sofisticados, como tokens roubados retransmitidos, com a verificação de rede em conformidade para um locatário no Acesso Condicional. Dê suporte à produtividade e obtenha verificações de segurança baseadas em localização. Impedir o bypass do SSE (Security Service Edge) para aplicativos SaaS (software como serviço). - Acesso Seguro Global - verificação de rede compatível |
4.3 Função: Aplicativos acessíveis
| Descrição do estágio CISA ZTMM | Orientações e recomendações da Microsoft |
|---|---|
| Status de Maturidade Inicial Enterprise disponibiliza alguns de seus aplicativos críticos de missão aplicáveis em redes públicas abertas para usuários autorizados com necessidade por meio de conexões agenciadas. |
Microsoft Entra ID Coloque o Microsoft Entra ID no caminho das solicitações de acesso. Implemente uma política que exija que aplicativos críticos à missão sejam integrados ao Microsoft Entra ID. - Gerenciamento de aplicativos - Adicionar aplicativos empresariais - Migrar aplicativos e autenticação Microsoft Azure Migrar e modernizar aplicativos trazendo-os para o Azure. - migração de aplicativos - Modernizar aplicativos e estrutura - Criar um plano de migração proxy de aplicativo do Microsoft Entra Configurar o proxy de aplicativo para publicar aplicativos Web críticos internos, acessados por conexões de rede pública, por usuários autorizados pelo Microsoft Entra ID. - Proxy de aplicativo - Configurar o SSO (logon único) para aplicativos Microsoft Defender para Aplicativos de Nuvem Para monitorar e restringir sessões, use políticas de sessão para intermediar conexões de aplicativo com o Defender para Aplicativos de Nuvem. - Aplicativos do Defender para Nuvem - Conectar aplicativos ao Defender - Criar política de sessão Microsoft Entra Conditional Access Configure a política para autorizar o acesso a aplicativos integrados com o Microsoft Entra ID. Configure o controle de aplicativo de Acesso Condicional para exigir o uso de CASBs (agentes de segurança de acesso à nuvem) no Defender para Aplicativos de Nuvem. - Controle de aplicativo de - Acesso Condicional |
| Status de Maturidade Avançada Enterprise disponibiliza a maior parte de seus aplicativos críticos de missão aplicáveis por meio de conexões de rede pública abertas a usuários autorizados, conforme necessário. |
Use as diretrizes no Status de Maturidade Inicial e inclua os aplicativos mais críticos. |
| Status de Maturidade Ideal Enterprise disponibiliza todos os aplicativos aplicáveis em redes públicas abertas para usuários e dispositivos autorizados, quando apropriado, conforme necessário. |
Use as diretrizes no status inicial de maturidade e inclua todos os aplicativos. Acesso Condicional Configurar a política de Acesso Condicional que exige dispositivos compatíveis para aplicativos. O acesso a dispositivos não compatíveis é bloqueado. Exigir dispositivos compatíveis |
4.4 Função: Fluxo de trabalho de implantação e desenvolvimento de aplicativos seguros
| Descrição do estágio CISA ZTMM | Diretrizes e recomendações da Microsoft |
|---|---|
| Status de Maturidade Inicial Enterprise fornece infraestrutura para ambientes de desenvolvimento, teste e produção (incluindo automação) com mecanismos formais de implantação de código por meio de pipelines de CI/CD e controles de acesso necessários em suporte a princípios de privilégios mínimos. |
zonas de destino do Azure Estabelecer ambientes para desenvolvimento e impor políticas de configuração de recursos com o Azure Policy. - zonas de destino - Azure Policy estabelecer um mecanismo de implantação de código formalizado com pipelines de CI/CD (integração contínua e entrega contínua), como o GitHub ou o Azure DevOps. GitHub Enterprise as ferramentas do GitHub Enterprise dão suporte à colaboração, segurança e administração. Use recursos como repositórios ilimitados, recursos de gerenciamento de projetos, controle de problemas e alertas de segurança. Controle as informações do repositório e do projeto ao mesmo tempo em que aprimora a colaboração entre as equipes. Simplifique as políticas de segurança e simplifique a administração com opções de implantação flexíveis. GitHub Enterprise Cloud Conectar o GitHub à ID do Microsoft Entra para logon único (SSO) e provisionamento de usuário. Para garantir princípios de privilégios mínimos, desabilite os tokens de acesso pessoal. - Usuários gerenciados pela empresa - Integração do SSO (logon único) para o GitHub Enterprise - Aplicar política de token de acesso pessoal Azure DevOps Reúna pessoas, processos e tecnologia para automatizar a entrega de software. Ele dá suporte à colaboração e aos processos para criar e melhorar produtos mais rapidamente do que as abordagens de desenvolvimento tradicionais. Use recursos como Azure Boards, Repos, Pipelines, Planos de Teste e Artefatos. Simplifique o gerenciamento de projetos, controle de versão, CI/CD, teste e gerenciamento de pacotes. Azure DevOps Conectar uma organização do Azure DevOps à ID do Microsoft Entra e garantir princípios de privilégio mínimos. Desabilite tokens de acesso pessoal. - Conectar uma organização ao Microsoft Entra ID - Gerenciar tokens de acesso pessoal com política |
| Status de Maturidade Avançada Enterprise usa equipes distintas e coordenadas para desenvolvimento, segurança e operações, removendo o acesso do desenvolvedor ao ambiente de produção para implantação de código. |
Microsoft Entra ID Governance Se suas assinaturas de desenvolvimento e produção usarem o mesmo locatário do Microsoft Entra, atribua a qualificação de função usando pacotes de acesso no gerenciamento de direitos. Habilite verificações para garantir que os usuários não possam acessar ambientes de desenvolvimento e produção. Separação de tarefas revisões de acesso Para remover desenvolvedores com acesso a um ambiente de produção, crie uma revisão de acesso usando funções de produção do Azure. Crie uma revisão de acesso |
| Status de Maturidade Ideal Enterprise aproveita cargas de trabalho imutáveis sempre que possível, permitindo apenas que as alterações entrem em vigor por meio da reimplantação e remove o acesso do administrador a ambientes de implantação em favor de processos automatizados para implantação de código. |
Portões de versão do Azure DevOps, aprovações Use pipelines de versão para implantar continuamente aplicativos em diferentes estágios, com menor risco e ritmo mais rápido. Automatize os estágios de implantação com trabalhos e tarefas. Portas de lançamento, verificações e aprovações Bloqueios de recursos do Azure Para proteger os recursos do Azure contra exclusões e modificações acidentais, aplique CanNotDelete, e ReadOnly, bloqueios de recursos a assinaturas, grupos de recursos e recursos individuais.Proteja a infraestrutura com recursos bloqueados GitHub Actions Com o GitHub Actions, atribua funções do Azure a identidades gerenciadas para integração e entrega contínuas (CI/CD). Configure trabalhos que fazem referência a um ambiente com revisores necessários. Certifique-se de que os trabalhos aguardem pela aprovação antes de começarem. - Implantar com o GitHub Actions - Revisar implantações Microsoft Entra Privileged Identity Management Use a Descoberta e insights do PIM para identificar grupos e funções com privilégios. Gerencie privilégios descobertos e converta atribuições de usuários de permanentes em qualificadas. Descoberta e insights do PIM Revisões de acesso Para reduzir os administradores qualificados em um ambiente de produção, crie uma revisão de acesso usando funções do Azure. Revisões de acesso à função de recurso do Azure |
4.5 Função: Teste de segurança do aplicativo
| Descrição do estágio CISA ZTMM | Orientações e recomendações da Microsoft |
|---|---|
| Status de Maturidade Inicial Enterprise começa a usar métodos de teste estáticos e dinâmicos (ou seja, aplicativo está em execução) para executar testes de segurança, incluindo análise de especialista manual, antes da implantação do aplicativo. |
Ferramenta de Modelagem de Ameaças da Microsoft a Ferramenta de Modelagem de Ameaças faz parte do SDL (Ciclo de Vida de Desenvolvimento de Segurança da Microsoft). O arquiteto de software identifica e reduz problemas de segurança antecipadamente, o que reduz os custos de desenvolvimento. Encontre diretrizes para criar e analisar modelos de ameaças. A ferramenta facilita a comunicação de design de segurança, analisa possíveis problemas de segurança e sugere mitigações. - Ferramenta de Modelagem de Ameaças - Introdução ferramentas de desenvolvedor do Azure Marketplace Siga as práticas seguras de desenvolvimento de aplicativos. Use ferramentas do Azure Marketplace para ajudar na análise de código. - Desenvolver aplicativos seguros - Azure Marketplace GitHub Actions, ações do Azure DevOps usar o mecanismo de análise codeql para automatizar verificações de segurança em seu pipeline de CI/CD (integração contínua e entrega contínua). A Segurança Avançada do GitHub para Azure DevOps é um serviço de teste de segurança de aplicativo nativo para fluxos de trabalho do desenvolvedor. - verificação do CodeQL - Segurança Avançada do GitHub para o Azure DevOps |
| Status de Maturidade Avançada Enterprise integra o teste de segurança do aplicativo ao processo de desenvolvimento e implantação de aplicativos, incluindo o uso de métodos de teste dinâmico periódicos. |
Segurança Avançada do GitHub Para aprimorar a segurança do código e os processos de desenvolvimento, use a verificação de código na Segurança Avançada e no Azure DevOps. - Segurança Avançada - Segurança Avançada do Azure DevOps - Verificação de código Microsoft Defender para a Nuvem Habilitar proteções de carga de trabalho para assinaturas com cargas de trabalho de aplicativo. - Defender para Nuvem - Defender para Contêineres - Defender para Serviço de Aplicativo Segurança do Defender para Nuvem DevOps usar recursos do CSPM (Gerenciamento de Plano de Suporte à Nuvem) para proteger aplicativos e códigos em ambientes de vários pipelines. Conecte as organizações e avalie as configurações de segurança do ambiente do DevOps. - Segurança do Defender para Cloud DevOps - Conectar ambientes do Azure DevOps ao Defender para Nuvem |
| Status de Maturidade Ideal Enterprise integra o teste de segurança do aplicativo em todo o ciclo de vida de desenvolvimento de software em toda a empresa com testes automatizados de rotina de aplicativos implantados. |
Segurança do Defender para Cloud DevOps Use recursos de CSPM (gerenciamento da postura de segurança na nuvem) para proteger aplicativos e códigos em ambientes com vários pipelines. Avalie as configurações de segurança de ambiente do DevOps. - Segurança do Defender para Cloud DevOps - Mapear imagens de contêiner - Gerenciar caminhos de ataque |
4.6 Função: Visibilidade e análise
| Descrição do estágio CISA ZTMM | Diretrizes e recomendações da Microsoft |
|---|---|
| Status de Maturidade Inicial Enterprise começa a automatizar o perfil do aplicativo (por exemplo, estado, integridade e desempenho) e o monitoramento de segurança para coleta, agregação e análise de logs aprimoradas. |
Azure Monitor Configurar o Azure Policy para habilitar o diagnóstico e usar o Azure Monitor para cargas de trabalho de aplicativo implantadas no Azure. - Azure Monitor - Definições do Azure Policy Application Insights do Azure Monitor Habilite o Application Insights para investigar a integridade de aplicativos, analisar logs e visualizar padrões de uso de aplicativos do Azure. Application Insights Microsoft Defender para Nuvem Habilitar o Defender para Nuvem para ambientes do Azure e de várias nuvens. Use o Microsoft Secure Score para identificar lacunas e melhorar a postura de segurança. - Pontuação de segurança do - Defender para Nuvem |
| Status de Maturidade Avançada Enterprise automatiza o monitoramento de perfil e segurança para a maioria dos aplicativos com heurística para identificar tendências específicas do aplicativo e de toda a empresa e refina processos ao longo do tempo para resolver lacunas de visibilidade. |
Defender para Nuvem Use o Microsoft Secure Score para avaliar e melhorar sua postura de segurança da nuvem. Use a priorização de risco para corrigir problemas importantes de segurança. Implante componentes de monitoramento para coletar dados de cargas de trabalho do Azure e monitorar vulnerabilidades e ameaças. - Defender para Nuvem - Coleta de dados de cargas de trabalho - Pontuação segura - Priorização de riscos Microsoft Sentinel Conecte o Defender para Nuvem ao Sentinel. Ingerir alertas para o Sentinel |
| Status de Maturidade Ideal Enterprise executa monitoramento contínuo e dinâmico em todos os aplicativos para manter a visibilidade abrangente em toda a empresa. |
Defender para Nuvem Integrar cargas de trabalho de infraestrutura e plataforma com o Defender para Nuvem, incluindo recursos em nuvem não microsoft e local. Manter visibilidade abrangente em toda a empresa. - Conectar servidores locais - conectar contas do Amazon Web Services (AWS) - conectar projetos do GCP (Google Cloud Platform) Proteções de carga de trabalho do Defender para Nuvem Habilitar proteções de carga de trabalho para suas cargas de trabalho de aplicativo. - Defender para Serviço de Aplicativo - Defender para APIs - Defender para Contêineres - Defender para Servidores |
4.7 Função: Automação e orquestração
| Descrição do estágio CISA ZTMM | Diretrizes e Recomendações da Microsoft |
|---|---|
| Status de Maturidade Inicial Enterprise modifica periodicamente as configurações do aplicativo, incluindo localização e acesso, para atender às metas de desempenho e segurança relevantes. |
Azure Resource Manager ARM é um serviço de implantação e gerenciamento do Azure. Automatize as alterações de configuração usando modelos do ARM e o Azure Bicep.visão geral do ARM - - modelos do ARM - Bicep |
| Status de Maturidade Avançada Enterprise automatiza as configurações de aplicativos para responder a alterações operacionais e ambientais. |
Configuração de Aplicativos do Azure Gerenciar configurações de aplicativo e sinalizadores de recursos de um local central. Configuração de Aplicativo do Azure Serviço de Aplicativo do Azure Para testar aplicativos implantados em produção, use slots de implantação. Responda às alterações operacionais e ambientais. Ambientes de teste Microsoft Defender para Nuvem Use o Microsoft Secure Score para avaliar e melhorar sua postura de segurança na nuvem. Use as capacidades de remediação do Defender para Nuvem para corrigir recomendações. |
| Status de Maturidade Ideal Enterprise automatiza as configurações de aplicativo para otimizar continuamente para segurança e desempenho. |
Azure Chaos Studio Use este serviço de engenharia de caos para ajudar a medir, compreender e melhorar a resiliência de aplicativos e serviços na nuvem. Integre o Azure Load Testing e o Azure Chaos Studio em ciclos de desenvolvimento de carga de trabalho. - Azure Chaos Studio - validação contínua |
4.8 Função: Governança
| Descrição do estágio CISA ZTMM | Diretrizes e recomendações da Microsoft |
|---|---|
| Status de Maturidade Inicial A organização começa a automatizar a aplicação de políticas para o desenvolvimento de aplicativos (incluindo o acesso à infraestrutura de desenvolvimento), implantação, gerenciamento de ativos de software, ST&E na inserção de tecnologia, aplicação de patches e rastreamento de dependências de software com base nas necessidades da missão (por exemplo, com a Lista de Materiais de Software). |
GitHub Actions Padronize os processos de DevSecOps de uma lista de materiais de software (SBOM) com um pipeline de CI/CD (integração contínua e entrega contínua). - GitHub Actions - gerar SBOMs usar o GitHub Dependabot e o CodeQL para automatizar verificações de segurança e verificar se há vulnerabilidades de dependência. - Verificação de código - Cadeia de fornecimento segura GitHub Actions, Azure DevOps Actions Use o CodeQL para automatizar as verificações de segurança com seu pipeline de CI/CD. A Segurança Avançada do GitHub para Azure DevOps é um serviço de teste de segurança de aplicativo nativo para fluxos de trabalho do desenvolvedor. - Verificação de código - GitHub Advanced Security para Microsoft Azure DevOps Ferramenta de geração de lista de materiais de software Use o gerador SBOM de tempo de compilação que funciona em sistemas operacionais: Windows, Linux e MacOS. Ele usa o formato SPDX (Software Package Data Exchange) padrão. - ferramenta de geração SBOM de software livre - ferramenta SBOM no GitHub |
| Status de Maturidade Avançada A empresa implementa políticas personalizadas em camadas em toda a empresa para aplicativos e todos os aspectos dos ciclos de vida de desenvolvimento e implantação de aplicativos e aproveita a automação, sempre que possível, para dar suporte à aplicação. |
Azure Policy Ajuda a impor padrões e avaliar a conformidade. Consulte o painel de conformidade para obter uma exibição agregada do ambiente. Azure Policy Microsoft Defender para Cloud Proteger cargas de trabalho do Azure e não Azure com o Defender para Nuvem. Use a conformidade regulatória e o Azure Policy para avaliar a infraestrutura continuamente com os padrões de configuração. Evite desvios de configuração. - Atribuir padrões de segurança - ambientes multinuvem Grupos de Gerenciamento Usar grupos de gerenciamento para ajudar a impor políticas de acesso e conformidade para assinaturas do Azure. assinaturas e grupos de gerenciamento |
| Status de Maturidade Ideal Enterprise automatiza totalmente as políticas que regem o desenvolvimento e a implantação de aplicativos, incluindo a incorporação de atualizações dinâmicas para aplicativos por meio do pipeline de CI/CD. |
Defender para Nuvem Implantar componentes de monitoramento para coletar dados de cargas de trabalho do Azure e monitorar vulnerabilidades e ameaças. - Defender para Nuvem - Coleta de dados de cargas de trabalho A política no Defender para Nuvem consiste em padrões e recomendações para ajudar a melhorar sua postura de segurança para a nuvem. Os padrões definem regras, condições de conformidade para essas regras e ações quando as condições não são atendidas. Política de segurança Infraestrutura como Código Use CI/CD (integração contínua e entrega contínua) para implantar IaC com o GitHub Actions. Infraestrutura do Azure com o GitHub Actions Azure Policy Para implantar o Azure Policy como código, defina, teste e implante suas definições. Fluxos de trabalho de política como código |
Próximas etapas
Configure Microsoft Cloud Services para o Modelo de Maturidade Zero Trust da CISA.
- Introdução
- Identidade
- Dispositivos
- Redes
- Aplicativos e cargas de trabalho
- Dados