Средство автоматизации соответствия приложений для Microsoft 365
В этой статье вы узнаете, что такое средство автоматизации соответствия приложений для Microsoft 365 (ACAT), а также как оно упрощает соответствие требованиям и получение сертификата Microsoft 365.
Примечание.
В настоящее время ACAT находится в общедоступной предварительной версии и поддерживает только приложения, созданные на основе Azure. В будущем она также будет поддерживать приложения, созданные на основе других облаков или сочетания различных облаков.
Примечание.
Если вы хотите предоставить отзыв в общедоступной предварительной версии ACAT, заполните эту форму. Команда разработчиков ACAT будет следить за вами как можно скорее, как только мы получим ваши сообщения.
Что такое средство автоматизации соответствия приложений для Microsoft 365
Средство автоматизации соответствия приложений для Microsoft 365 (ACAT) — это служба в портал Azure, которая помогает упростить процесс соответствия для любого приложения, которое использует данные клиентов Microsoft 365 и публикуется в Центре партнеров. Это ориентированное на приложения средство автоматизации соответствия требованиям, которое помогает с большей легкостью и удобством пройти сертификацию Microsoft 365. В общедоступной предварительной версии ACAT доступен для приложений, работающих в Azure.
С помощью этого средства вы сможете быстро определить границу соответствия для приложений, автоматически отслеживать результаты соответствия требованиям и выполнять аудит соответствия. Граница соответствия — это облачная инфраструктура, которая поддерживает доставку приложения и любых серверных систем, с которыми приложение может взаимодействовать.
Помимо более быстрого продвижения к сертификации Microsoft 365, ACAT может помочь в различных сценариях соответствия для приложений Microsoft 365:
- Подробные инструкции по просмотру и исправлению обязанностей по сертификации Microsoft 365.
- Автоматические ежедневные отчеты для непрерывного получения результатов соответствия.
- Рекомендации по обеспечению безопасности и соответствия требованиям, которые можно использовать в качестве руководства на начальном этапе жизненного цикла приложения.
Преимущества ACAT
Процесс соответствия требованиям, ориентированный на приложения.
- ACAT сообщает об оценках соответствия для облачной среды ваших приложений, которые можно интегрировать с текущей стратегией соответствия облачной инфраструктуры.
- Разработчики могут вызывать ACAT даже на этапе разработки приложения.
Ускоряет процесс сертификации Microsoft 365.
- ACAT полностью автоматизирует некоторые элементы управления сертификацией Microsoft 365.
- Существует постоянно растущий список автоматизации, который активно разрабатывается корпорацией Майкрософт.
Встроенная интеграция с рабочим процессом сертификации Microsoft 365.
- ACAT полностью интегрирован с Центром партнеров для целей сертификации Microsoft 365.
Постоянно поддерживайте соответствие приложений или среды.
- ACAT обеспечивает ежедневное обновление оценок соответствия требованиям, адаптируя их к заданному времени триггера.
- ACAT позволяет легко интегрировать оценки соответствия требованиям в GitHub Actions или другие конвейеры CI/CD, обеспечивая непрерывный мониторинг.
Основные понятия ACAT
Отчет о соответствии нормативным требованиям
В ACAT можно провести аудит состояния соответствия приложения, создав для него отчет о соответствии. Вы можете определить границу соответствия для приложения, указав ресурсы Azure, которые создают приложение. Создание нескольких отчетов для одного приложения на основе разных сред и этапов разработки.
После создания отчета ACAT начинает собирать данные о соответствии за предопределенное время триггера, а затем создавать результаты соответствия в виде отчета. В то же время ACAT постоянно отслеживает изменения соответствия для отчета о соответствии, пока вы не решите удалить отчет.
Элемент управления сертификацией Microsoft 365
ACAT ускорения сертификации Microsoft 365 путем автоматизации элементов управления соответствием. В зависимости от состояния автоматизации в ACAT определены три типа элементов управления соответствием.
- Полностью автоматизированное управление. Элемент управления сертификацией Майкрософт полностью автоматизирован С помощью ACAT.
- Частичное автоматическое управление вручную. ACAT может автоматизировать частичные обязанности элемента управления сертификацией Microsoft 365. Для выполнения оставшихся обязанностей необходимо выполнить инструкции, предоставленные ACAT.
- Полностью ручное управление. Для выполнения всех обязанностей необходимо следовать инструкциям, предоставленным ACAT.
В долгосрочной перспективе ACAT постоянно улучшает уровень автоматизации элементов управления сертификацией Microsoft 365.
Обязанности клиента
С каждым элементом управления связан набор обязанностей клиента, которые должны быть удовлетворены. Вы несете ответственность в следующих областях: данные, конечные точки, учетная запись, управление доступом и т. д.
ACAT собирает данные для каждого клиента и возвращает результат оценки для них. Он также предоставляет действия по исправлению, которые являются нашими рекомендациями, которые помогут вам согласовать стандарты сертификации Microsoft 365.
Общие сведения о состоянии соответствия для элементов управления сертификацией Microsoft 365
В отчете о соответствии нормативным требованиям ACAT определяет обязанности клиента за каждый полностью автоматизированный контроль и частично автоматизированное ручное управление. Существует два состояния соответствия для ответственности клиента.
- Передано. Облачные ресурсы, применимые к этой ответственности клиента, являются работоспособными.
- Сбой. По крайней мере один облачный ресурс неработоспособен. Вы можете выполнить действия по исправлению, чтобы устранить проблемы с неработоспособными ресурсами.
- Н/Д. К ответственности клиента не применяются никакие облачные ресурсы, или эта ответственность клиента считается неприменимой на основе конфигурации приложения для этого отчета.
- Требуется проверка соответствия приложений. Вы вручную собираете доказательства и передаете их в соответствии с ответственностью клиента. Аналитик проведет тщательную проверку после отправки запроса на сертификацию Microsoft 365 в Microsoft Partner Network.
Состояния соответствия для элементов управления сертификацией Microsoft 365 зависят от состояния соответствия обязанностей клиентов.
- Передано: клиент не несет ответственности за состояние "Сбой" или "Требуется проверка соответствия приложений" для этого элемента сертификации Microsoft 365.
- Сбой. По крайней мере один клиент не справился с этим элементом сертификации Microsoft 365.
- Н/Д. Все обязанности клиента за этот контроль сертификации Microsoft 365 находятся в состоянии "Н/Д".
- Требуется проверка соответствия приложений. По крайней мере один клиент отвечает за состояние "Требуется проверка соответствия приложений". Аналитик проведет тщательную проверку после отправки запроса на сертификацию Microsoft 365 в Microsoft Partner Network.
Вопросы и ответы
Что такое ручные и частично автоматизированные элементы управления?
Каждый элемент управления соответствием связан с определенным набором обязанностей клиента, при этом ACAT собирает соответствующие данные о соответствии. Важно отметить, что сейчас ACAT не охватывает все элементы управления для сертификации Microsoft 365 (хотя предпринимаются усилия по расширению охвата). В случае частично автоматизированных элементов управления ACAT автоматизирует конкретные аспекты ответственности клиентов. Результаты оценки частично автоматизированного элемента управления способствуют аудиту сертификации Microsoft 365, и с вашей стороны требуются дальнейшие действия для выполнения оставшихся требований. Однако для ручного управления ACAT в настоящее время не автоматизирует какие-либо обязанности клиента.
Как узнать, полностью ли автоматизирован элемент управления?
ACAT постоянно улучшает автоматизацию управления. Ниже приведено текущее состояние автоматизации управления.
| Домен безопасности | Семейство элементов управления | Контрольный номер | Состояние автоматизации ACAT |
|---|---|---|---|
| Операционная безопасность | Обучение по повышению осведомленности | Элемент управления 1 | Вручную |
| Операционная безопасность | Защита от вредоносных программ — антивирусная программа | Элемент управления 2 | Полная автоматизация |
| Операционная безопасность | Защита от вредоносных программ — управление приложениями | Элемент управления 3 | Вручную |
| Операционная безопасность | Управление исправлениями — ранжирование рисков & исправлений | Элемент управления 4 | Вручную |
| Операционная безопасность | Управление исправлениями — ранжирование рисков & исправлений | Элемент управления 5 | Вручную |
| Операционная безопасность | Сканирование уязвимостей | Элемент управления 6 | Полная автоматизация |
| Операционная безопасность | Сканирование уязвимостей | Элемент управления 7 | Полная автоматизация |
| Операционная безопасность | Элементы управления безопасностью сети (NSC) | Элемент управления 8 | Частичная автоматизация |
| Операционная безопасность | Элементы управления безопасностью сети (NSC) | Элемент управления 9 | Частичная автоматизация |
| Операционная безопасность | Управление изменениями | Элемент управления 10 | Вручную |
| Операционная безопасность | Управление изменениями | Элемент управления 11 | Вручную |
| Операционная безопасность | Безопасная разработка и развертывание программного обеспечения | Элемент управления 12 | Вручную |
| Операционная безопасность | Безопасная разработка и развертывание программного обеспечения | Элемент управления 13 | Вручную |
| Операционная безопасность | Управление учетными записями | Элемент управления 14 | Частичная автоматизация |
| Операционная безопасность | Управление учетными записями | Элемент управления 15 | Вручную |
| Операционная безопасность | Управление учетными записями | Элемент управления 16 | Вручную |
| Операционная безопасность | Ведение журнала событий безопасности, проверка и оповещение | Элемент управления 17 | Частичная автоматизация |
| Операционная безопасность | Ведение журнала событий безопасности, проверка и оповещение | Элемент управления 18 | Полная автоматизация |
| Операционная безопасность | Ведение журнала событий безопасности, проверка и оповещение | Элемент управления 19 | Вручную |
| Операционная безопасность | Ведение журнала событий безопасности, проверка и оповещение | Элемент управления 20 | Вручную |
| Операционная безопасность | Управление рисками информационной безопасности | Элемент управления 21 | Вручную |
| Операционная безопасность | Управление рисками информационной безопасности | Элемент управления 22 | Вручную |
| Операционная безопасность | Управление рисками информационной безопасности | Элемент управления 23 | Вручную |
| Операционная безопасность | Управление рисками информационной безопасности | Элемент управления 24 | Вручную |
| Операционная безопасность | Реагирование на инциденты безопасности | Элемент управления 25 | Вручную |
| Операционная безопасность | Реагирование на инциденты безопасности | Элемент управления 26 | Вручную |
| Операционная безопасность | Реагирование на инциденты безопасности | Элемент управления 27 | Вручную |
| Операционная безопасность | План непрерывности бизнес-процессов (BCP) и план аварийного восстановления | Элемент управления 28 | Вручную |
| Операционная безопасность | План непрерывности бизнес-процессов (BCP) и план аварийного восстановления | Элемент управления 29 | Вручную |
| Операционная безопасность | План непрерывности бизнес-процессов (BCP) и план аварийного восстановления | Элемент управления 30 | Вручную |
| Конфиденциальность & защиты обработки данных | Передаваемые данные | Элемент управления 1 | Полная автоматизация |
| Конфиденциальность & защиты обработки данных | Передаваемые данные | Элемент управления 2 | Вручную |
| Конфиденциальность & защиты обработки данных | Неактивные данные | Элемент управления 3 | Полная автоматизация |
| Конфиденциальность & защиты обработки данных | Хранение, резервное копирование и удаление данных | Элемент управления 4 | Вручную |
| Конфиденциальность & защиты обработки данных | Хранение, резервное копирование и удаление данных | Элемент управления 5 | Вручную |
| Конфиденциальность & защиты обработки данных | Хранение, резервное копирование и удаление данных | Элемент управления 6 | Вручную |
| Конфиденциальность & защиты обработки данных | Хранение, резервное копирование и удаление данных | Элемент управления 7 | Вручную |
| Конфиденциальность & защиты обработки данных | Управление доступом к данным | Элемент управления 8 | Вручную |
| Конфиденциальность & защиты обработки данных | Управление доступом к данным | Элемент управления 9 | Вручную |
| Конфиденциальность & защиты обработки данных | Конфиденциальность | Элемент управления 10 | Вручную |
| Конфиденциальность & защиты обработки данных | Конфиденциальность | Элемент управления 11 | Вручную |
| Конфиденциальность & защиты обработки данных | GDPR | Элемент управления 12 | Вручную |
| Конфиденциальность & защиты обработки данных | GDPR | Элемент управления 13 | Вручную |
| Конфиденциальность & защиты обработки данных | HIPAA | Элемент управления 14 | Вручную |
| Конфиденциальность & защиты обработки данных | HIPAA | Элемент управления 15 | Вручную |
Предложенные изменения были сделаны на основе предложения по исправлению, но элемент управления по-прежнему завершается сбоем
После принятия корректирующих действий по устранению сбоя необходимо предоставить ACAT время для получения обновленных результатов оценки состояния элемента управления. Оценки проводятся каждые 24 часа в соответствии с предопределенным временем триггера.
Как отчет о соответствии используется в процессе сертификации?
ACAT легко интегрируется с Центром партнеров для прохождения сертификации Microsoft 365. Дополнительные сведения об использовании отчета о соответствии требованиям для ускорения сертификации Microsoft 365