Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
DoD-Nolltillit strategi och översikt beskriver en väg för Department of Defense-komponenter och DEFENSE Industrial Base-partner (DIB) att anta ett nytt cybersäkerhetsramverk baserat på Nolltillit principer. Nolltillit eliminerar traditionella perimeterr och förtroendeantaganden, vilket möjliggör en effektivare arkitektur som förbättrar säkerhet, användarupplevelser och uppdragsprestanda.
Den här guiden innehåller rekommendationer för de 152 Nolltillit aktiviteterna i översikten över körning av doD-Nolltillit kapacitet. Avsnitten motsvarar de sju pelarna i DoD-Nolltillit-modellen.
Använd följande länkar för att gå till avsnitt i guiden.
- Inledning
- Användare
- Enhet
- Program och arbetsbelastningar
- Data
- Nätverk
- Automatisering och orkestrering
- Synlighet och analys
3 Program och arbetsbelastningar
Det här avsnittet innehåller Microsofts vägledning och rekommendationer för DoD-Nolltillit aktiviteter i grundpelarna för program och arbetsbelastningar. Mer information finns i Skydda program med Nolltillit.
Kommentar
Rekommendationerna i det här avsnittet överensstämmer med utkastet till DoD Enterprise DevSecOps-referensdesign.
3.1 Programinventering
Microsoft Entra ID är en identitetsprovider (IdP) för program och molnplattformar, inte bara Microsoft 365 och Azure. Microsoft Entra-ID innehåller webbportaler och RESTful-API:er för att hämta listor över integrerade program. Microsoft Defender för molnet Apps, en komponent i Microsoft Defender XDR, har funktioner för att identifiera, inventera och blockera icke-sanktionerade appar.
| Beskrivning och resultat för DoD-aktivitet | Vägledning och rekommendationer från Microsoft |
|---|---|
Target3.1.1 Program-/kodidentifieringDoD-organisationer skapar en inventering av godkända program och kod (t.ex. källkod, bibliotek osv.). Varje organisation spårar supporten (dvs. aktiv, äldre osv.) och värdbaserad plats (t.ex. molnet, lokalt, hybrid osv.) åtminstone i inventeringen. Resultat: – Komponenten har identifierat program och klassificerats som antingen äldre, virtualiserade lokalt och molnhanterade |
Microsoft Entra-ID Använd administrationscentret för Microsoft Entra för att ladda ned en lista över Microsoft Entra-registrerade program. Välj Ladda ned i det övre menyfliksområdet. - Programresurstyp Om din organisation använder Active Directory Federation Services (AD FS) (AD FS) distribuerar du Microsoft Entra Connect Health. Använd programaktivitetsrapporten för att identifiera AD FS-program. - Övervaka AD FS med aktivitetsrapport för connect health-program - Microsoft Defender – hantering av säkerhetsrisker Använd programvaruinventering i Defender Vulnerability Management för att visa programvara i din organisation. - Programvaruinventering Microsoft Defender för molnet Appar Konfigurera Cloud Discovery i Defender för molnet Apps för att få en ögonblicksbild av program som användarna kan komma åt. - Konfigurera Cloud Discovery- Undersök appar Microsoft Intune-identifierade appar Intune-identifierade appar identifieras av Intune-registrerade enheter i klientorganisationen. Det är en programvaruinventering av klientorganisationen. På företagsenheter samlas inte appar eller hanterade appar in för den här rapporten. - Identifierade appar Azure DevOps Använd den här tjänsten för säker pakethantering. Utvecklare delar kod och hanterar paket på ett och samma ställe. - Azure Artifacts - Azure GitHub-lagringsplatser |
3.2 Säker programvaruutveckling och integrering
GitHub-funktioner som GitHub Advanced Security (GHAS) och GitHub Actions hjälper dig att upprätta Nolltillit metoder för utveckling och distribution av programvara. GitHub Enterprise Cloud integreras med Microsoft Entra-ID för att hantera rättigheter med Microsoft Entra ID-styrning och säker åtkomst med principer för villkorsstyrd åtkomst.
Utvecklare kan använda Microsoft Authentication Libraries (MSAL) för att integrera program med Microsoft Entra-ID. Mer information finns i Autentisera användare för Nolltillit.
| Beskrivning och resultat för DoD-aktivitet | Vägledning och rekommendationer från Microsoft |
|---|---|
Target3.2.1 Skapa DevSecOps Software Factory Pt1DoD-företaget skapar grundläggande standarder för moderna DevSecOps-processer och CI/CD-pipelines. Begreppen tillämpas i en standardiserad teknikstack i doD-organisationer som kan uppfylla framtida programsäkerhetskrav. Ett företagsomfattande program för sårbarhetshantering är integrerat med CI/CD-pipelines efter aktiviteterna i programmet för sårbarhetshantering. Resultat: – Utvecklade data-/tjänststandarder för DevSecOps – CI/CD-pipelinen är fullt funktionell och testad– Programmet för sårbarhetshantering är officiellt på plats och fungerar |
GitHub ActionsGitHub Actions använder kontinuerlig integrering och kontinuerlig leverans (CI/CD) för att automatisera distributionspipelines. - GitHub Actions GitHub Advanced Security Använd GitHub Advanced Security för GitHub och Azure DevOps för att förbättra säkerheten i dina kod- och utvecklingsprocesser. - Advanced Security - Advanced Security för Azure DevOps Microsoft Entra SSO och etablering Konfigurera enkel inloggning (SSO) för Git-verktyg med microsoft entra-ID. - SSO-integrering med GitHub Enterprise Cloud-organisationenSSO-integrering med GitHub Enterprise Server- Anslut en organisation till Microsoft Entra-ID Mer information om DevSecOps för Azure och andra moln finns i DoD Cheif Information Officer -biblioteket (CIO). - |
Target3.2.2 Skapa DevSecOps Software Factory Pt2DoD-organisationer använder sina godkända CI/CD-pipelines för att utveckla de flesta nya program. Eventuella undantag följer en standardiserad godkännandeprocess för att tillåtas att utvecklas på ett äldre sätt. DevSecOps-processer används också för att utveckla alla nya program och uppdatera befintliga program. Kontinuerliga valideringsfunktioner integreras i CI/CD-pipelines och DevSecOps-processer och integreras med befintliga program. Resultat: – Utveckling av program migreras till CI/CD-pipeline – Kontinuerlig valideringsprocess/teknik implementeras och används – Utveckling av program migreras till DevSecOps-process och teknik |
GitHub Advanced Security Använd GitHub Advanced Security för att söka efter kodberoenden och säkerhetsrisker. Konfigurera periodiska versioner för att utvärdera kodkvaliteten. - Advanced Security CodeQL code scanning Secure supply chain Bicep in Azure Provision cloud infrastructure using infrastructure-as-code (IaC) with Azure Resource Manager (ARM) and Bicep templates .Advanced Security - CodeQL code scanning- Secure supply chain Bicep in Azure Provision cloud infrastructure using infrastructure-as-code (IaC) with Azure Resource Manager (ARM) and Bicep templates. - Bicep Microsoft Defender för molnet Enable Defender för molnet arbetsbelastningsskydd för prenumerationer med programarbetsbelastningar. - Skydda molnarbetsbelastningar Microsoft Defender för DevOps Använd Defender för DevOps för att övervaka säkerhet och aviseringar för pipelines i Azure DevOps (ADO) och GitHub. - Defender för DevOps |
Target3.2.3 Automatisera programsäkerhet och kodreparation Pt1En standardiserad metod för programsäkerhet, inklusive kodreparation, implementeras i hela DoD-företaget. Del ett (1) av den här aktiviteten omfattar integrering av en säker API-gateway med program som använder API eller liknande anrop. Kodgranskningar utförs i en metodisk metod och standardiserade skydd för containrar och deras infrastruktur finns på plats. Dessutom använder alla serverlösa funktioner där tredje part hanterar infrastrukturen, till exempel Plattform som en tjänst, lämpliga serverlösa säkerhetsövervaknings- och svarsfunktioner. Kodgranskningar, container- och serverlösa säkerhetsfunktioner är integrerade i CI/CD- och/eller DevSecOps-processen efter behov. Resultat: – Säker API Gateway är i drift och de flesta API-anrop passerar via gateway – Programsäkerhetsfunktioner (t.ex. kodgranskning, container och serverlös säkerhet) implementeras som en del av CI/CD och DevSecOps |
Azure Application GatewayPlacera offentligt tillgängliga webbprogram och API:er med Azure Application Gateway och Brandvägg för webbprogram. - Web Application Firewall Microsoft Entra ID-program Microsoft Entra ID är en auktoriseringsgateway för webbprogram och API-åtkomst. Exponera API:er för registrerade program med Hjälp av Microsoft Entra. Använd inbyggd autentisering och auktorisering (Easy Auth) i Azure App Service och Azure Functions. För Api:er som inte känner till Microsoft Entra-ID använder du OAuth-auktorisering i Azure API-hantering. - Konfigurera en app för att exponera webb-API- :et autentisera och auktorisera i Azure App Service och Azure Functions - Autentisera och auktorisera till API:er GitHub Advanced Security Använd GitHub Advanced Security för GitHub och Azure DevOps. Se Microsofts vägledning i 3.2.1. Microsft Defender för molnet Enable Defender för molnet arbetsbelastningsskydd för Azure-prenumerationer med API-arbetsbelastningar. Se Microsofts vägledning i 3.2.2. |
Advanced3.2.4 Automatisera programsäkerhet och kodreparation Pt2DoD-organisationer moderniserar metoder för att leverera internt utvecklade och hanterade tjänster enligt metodtips som mikrotjänster. Dessa metoder möjliggör mer motståndskraftiga och säkra arkitekturer genom att möjliggöra snabbare ändringar av kod i varje mikrotjänst när säkerhetsproblem upptäcks. Ytterligare förbättringar av säkerhetsreparationsåtgärder fortsätter i DoD Enterprise med införandet av körningssäkerhetsfunktioner för containrar efter behov, automatiserade uppdateringar av sårbara bibliotek och automatiserade CI/CD-godkännanden under lanseringsprocessen. Resultat: – Säker API Gateway är i drift och de flesta API-anrop passerar via gateway – Tjänster tillhandahålls efter en tjänstorienterad arkitektur (SOA) – Aktiviteter för säkerhetsreparation (t.ex. körningssäkerhet, biblioteksuppdateringar, godkännanden av versioner) är helt automatiserade |
Slutför aktiviteterna 3.2.2 och 3.2.3. |
3.3 Riskhantering av programvara
GitHub Actions hjälper dig att automatisera, anpassa och köra arbetsflöden för programvaruutveckling för DevSecOps. Med GitHub Actions genererar du en programvarufaktura (SBOM), analyserar kod och söker efter sårbarheter i leveranskedjan och beroenden. Mer information om GitHub Actions finns i GitHub Actions.
| Beskrivning och resultat för DoD-aktivitet | Vägledning och rekommendationer från Microsoft |
|---|---|
Target3.3.1 Godkända binärfiler/kodDoD-företaget använder metodtips för att hantera godkända binärfiler och kod i en metodisk metod. Dessa metoder kommer att omfatta hantering av leverantörskällor, godkänd lagringsplatsanvändning, hantering av lagerfaktura för hantering av materialförsörjningskedjan och branschstandard hantering av säkerhetsrisker. Resultat: – Leverantörskällornas risk utvärderas och identifieras för godkänd källa – Lagringsplats och uppdateringskanal upprättad för användning av utvecklingsteam – Materialräkningen skapas för program som identifierar källa, support och riskstatus – Branschstandard (DIB) och godkända sårbarhetsdatabaser hämtas för att användas i DevSecOps |
GitHub Actions Standardisera DevSecOps-processer för att generera en programvarufaktura (SBOM) med en pipeline för kontinuerlig integrering och kontinuerlig leverans (CI/CD). - Generera programvaruräkningar med Hjälp av GitHub Dependabot och CodeQL för att automatisera säkerhetskontroller och söka efter sårbarheter i beroenden. - CodeQL-kodgenomsökning- Säker leveranskedja Windows Defender-programkontroll Använd Windows Defender-programkontroll för att förhindra att ej betrodd kod körs på hanterade slutpunkter. - Programkontroll och appskåp - Plattformskodintegritet |
Target3.3.2 Program för sårbarhetshantering Pt1DoD-företaget arbetar med organisationer för att upprätta och hantera ett program för sårbarhetshantering. Programmet innehåller en princip och standarder som överenskommits av alla organisationer. Det utvecklade programmet omfattar minst spårning och hantering av offentliga säkerhetsrisker baserat på DoD-program/-tjänster. Organisationer etablerar ett hantering av säkerhetsrisker team med viktiga intressenter där sårbarheter diskuteras och hanteras enligt företagets policy och standarder. Resultat: – Sårbarhetshanteringsteamet är på plats med lämpligt medlemskap för intressenter – Policy och process för sårbarhetshantering är på plats och överenskommits med intressenter – Offentlig källa till sårbarheter används för spårning |
Funktioner för hot- och sårbarhetshantering av virtuella datorer ger tillgångssynlighet och intelligenta utvärderingar. TVM har inbyggda reparationsverktyg för slutpunkter och servrar. Använd TVM med ett hantering av säkerhetsrisker program. - Microsoft Defender TVM Microsoft cloud security benchmark Granska hur Microsoft onlinetjänster utföra hantering av säkerhetsrisker. - TVM-översikt - Hållning och hantering av säkerhetsrisker |
Target3.3.3 Program för sårbarhetshantering Pt2Processer upprättas på DoD Enterprise-nivå för att hantera avslöjandet av sårbarheter i underhålls-/driftstjänster för DoD både offentligt och privat tillgängligt. DoD-organisationer expanderar hantering av säkerhetsrisker-programmet för att spåra och hantera stängda sårbarhetsdatabaser som DIB, CERT och andra. Resultat: – Kontrollerade (t.ex. DIB-, CERT)-källor för sårbarheter används för spårning – Programmet för sårbarhetshantering har en process för att acceptera externa/offentliga avslöjanden för hanterade tjänster |
Hot- och sårbarhetshantering Använd sidan svagheter i Microsoft Defender TVM för att identifiera och prioritera sårbarheter som upptäckts på organisationens enheter och servrar. - Sårbarheter i organisationen Spåra reparationsaktiviteter med hjälp av rapporten TVM-sårbara enheter. - Rapport om sårbara enheter |
Target3.3.4 Kontinuerlig valideringDoD-organisationer implementerar en kontinuerlig valideringsmetod för programutveckling där parallell distribution utförs och integreras med en godkänd miljönivå (t.ex. testning av användargodkännande, Produktion). Program som inte kan integrera kontinuerlig validering i sin CI/CD-process identifieras och undantag tillhandahålls efter behov med hjälp av en metodisk metod. Resultat: – Uppdaterade program distribueras i en live- och/eller produktionsmiljö – Program som har markerats för tillbakadragning och övergång inaktiveras – Kontinuerliga valideringsverktyg implementeras och tillämpas på kod i CI/CD-pipelinen – Kod som kräver kontinuerlig validering identifieras och valideringskriterier upprättas |
Azure Chaos StudioAnvänd Azure Chaos Studio för att verifiera arbetsbelastningar. - Kontinuerlig validering Av GitHub Avancerad säkerhet Använd GitHub-funktioner och åtgärder för hantering av säkerhetsrisker i Referensdesign för DoD Enterprise DevSecOps. Se Microsofts vägledning i 3.2.1. |
3.4 Resursauktorisering och integrering
Villkorlig åtkomst är den Nolltillit principmotorn i Microsoft Entra-ID. Anslut dina programarbetsbelastningar med Microsoft Entra-ID. Använd Microsoft Entra ID-styrning för att hantera rättigheter och säkra inloggningar med principer för villkorsstyrd åtkomst. Principerna använder säkerhetsattribut, till exempel enhetens hälsa, sessionsinformation och risk för att fatta beslut om anpassningsbar åtkomst. Microsoft Entra-ID, Azure Resource Manager och CI/CD-pipelines auktoriserar resursdistribution i Azure.
| Beskrivning och resultat för DoD-aktivitet | Vägledning och rekommendationer från Microsoft |
|---|---|
Target3.4.1 Resursauktorisering Pt1DoD-företaget standardiserar på metoder för resursauktorisering (t.ex. programvarudefinierad perimeter) med organisationerna. Resursauktoriseringsgatewayerna kommer som minst att integreras med identiteter och enheter. Organisationer distribuerar godkända resursauktoriseringsgatewayer och aktiverar externa program/tjänster. Andra program för migrering och program som inte kan migreras identifieras för undantag eller avaktivering. Resultat: – Resursauktoriseringsgatewayen är på plats för externa program – Resursauktoriseringsprincip som är integrerad med identitet och enhet – Vägledning om konverteringsstandarder för hela företaget förmedlas till intressenter |
Microsoft Entra ID Microsoft Entra är en auktoriseringsgateway för programresurser. Integrera moderna och äldre program för enkel inloggning med Microsoft Entra. Se Microsofts vägledning 1.2.4 i Användare. Styrning av Microsoft Entra-ID Använd Approller för Styrning av Microsoft Entra-ID för åtkomst till program. Tilldela användare till approller med statiskt medlemskap, dynamiska Microsoft Entra-säkerhetsgrupper eller åtkomstpaket för rättighetshantering. - Lägg till approller i en app och ta emot dem i en token- Rollbaserad åtkomstkontroll Villkorlig åtkomst Använd principer för villkorlig åtkomst för att dynamiskt auktorisera, kontrollera eller blockera programåtkomst. Se Microsofts vägledning 1.8.3 i Användare och 2.1.4 i Enhet. Azure Application Gateway Aktivera offentligt tillgängliga webbprogram och API:er med Application Gateway och Brandvägg för webbprogram. Se Microsofts vägledning 3.2.3. |
Target3.4.2 Resursauktorisering Pt2Resursauktoriseringsgatewayer används för alla möjliga program/tjänster. Program som inte kan använda gatewayer inaktiveras eller undantas med hjälp av en riskbaserad metodisk metod. Auktoriseringar integreras ytterligare med CI/CD-pipelinen för automatiserat beslutsfattande. Resultat: – Resursauktoriseringsgatewayen används för alla program – Resursauktorisering är integrerad med DevSecOps och CI/CD för automatiserade funktioner |
Microsoft Entra-arbetsbelastnings-ID Använd arbetsbelastningsidentitetsfederation för att konfigurera en användartilldelad hanterad identitet eller appregistrering för att lita på token från en extern identitetsprovider (IdP). Använd den federerade arbetsbelastningsidentiteten för GitHub Actions-arbetsflöden. - Arbetsbelastningsidentitetsfederation Azure API Management Använd Azure API Management för att hantera, auktorisera och exponera tjänster som finns på och utanför Azure som API:er. - Azure API Management |
Target3.4.3. SDC-resursauktorisering Pt1DoD-företaget tillhandahåller en standardiserad metod för kodbaserad beräkningshantering (t.ex. programvarudefinierad beräkning) enligt branschens metodtips. Med hjälp av riskbaserade metoder skapas baslinjer med hjälp av den godkända uppsättningen med kodbibliotek och paket. DoD-organisationer arbetar med godkända aktiviteter för kod/binärfiler för att säkerställa att program identifieras som kan och inte kan stödja metoden. Program som kan stödja en modern programvarubaserad konfigurations- och hanteringsmetoder identifieras och övergången börjar. Program som inte kan följa programvarubaserade konfigurations- och hanteringsmetoder identifieras och tillåts genom undantag med hjälp av en metodisk metod. Resultat: – Program som inte kan uppdateras för att använda godkända binärfiler/kod markeras för pensionering och övergångsplaner skapas – Identifierade program utan godkända binärfiler och kod uppdateras för att använda godkända binärfiler/kod – Vägledning om konverteringsstandarder för hela företaget förmedlas till intressenter |
Säker utveckling Utforma, utveckla och distribuera Azure-program efter livscykeln för säkerhetsutveckling och publicerade metodtips. - Säker utvecklingsinfrastruktur- som kodar - Azure Policy som kodarbetsflöden Microsoft Entra-ID Använd Microsofts identitetsplattform för programautentisering och auktorisering. - Migrera appar och autentisering Azure Migrate Migrate till moderna appplattformar som Azure Kubernetes Service (AKS) och App Service-containrar. - Migrera arbetsbelastningar till moderna appplattformar - Utvärdera ASP.NET appar för migrering till AKS - Utvärdera ASP.NET appar för migrering till Azure App Service |
Target3.4.4 SDC-resursauktorisering Pt2Program som stöder programvarubaserad konfiguration och hantering har övergått till en produktions-/livemiljö och är i normal drift. Om möjligt inaktiveras program som inte stöder programvarubaserad konfiguration och hantering. Resultat: – Uppdaterade program distribueras i en live- och/eller produktionsmiljö – Program som har markerats för tillbakadragning och övergång inaktiveras |
Azure Migrate Containerize and migrate ASP.NET apps and Java web apps using the Azure Migrate: App Containerization tool. Inaktivera program som inte kan moderniseras. - ASP.NET appcontainerisering och migrering till AKS - ASP.NET appcontainerisering och migrering till Azure App Service - Java-webbappcontainerisering och migrering till AKS - Java-webbappcontainerisering och migrering till Azure App Service |
Advanced3.4.5 Berika attribut för resursauktorisering Pt1Initiala attribut från källor som Övervakning av användar- och entitetsaktivitet, mikrosegmenteringstjänster, DLP och hantering av datarättigheter (DRM) är integrerade i stacken och principen för resursauktoriseringsteknik. Andra attribut för senare integrering identifieras och planeras. Attribut används för att skapa grundläggande riskstatus för användare, icke-personentiteter (NPE) och enheter som tillåter auktoriseringsbeslut. Resultat: – De flesta API-anrop passerar genom den säkra API-gatewayen – Resursauktorisering tar emot data från Analysmotor – Auktoriseringsprinciper innehåller identifierade attribut vid beslut om auktorisering – Attribut som ska användas för inledande berikning identifieras |
Microsoft Entra-program Använd Microsoft Entra-ID för att auktorisera moderna program och API:er. Distribuera Microsoft Entra-programproxy och Azure Arc-aktiverade servrar för att utöka Microsoft Entra-ID till äldre autentiseringsprotokoll. Se Microsofts vägledning i 3.1.1 och i 3.2.3. Villkorlig åtkomst Microsoft Entra är en säker gateway för resursauktorisering. Villkorlig åtkomst är auktoriseringsmotorn. Konfigurera principer för detaljerad auktorisering med hjälp av användare, program, användare, miljövillkor, inklusive enhetsefterlevnadsstatus. - Villkorsstyrd åtkomst- design- Kräv kompatibla enheter Dynamiska säkerhetsgrupper Skapa dynamiska säkerhetsgrupper baserat på användarattribut. Använd dynamiska grupper för att begränsa principer för villkorsstyrd åtkomst för auktorisering av statiska attribut baserat på användarattribut. - Dynamiskt medlemskap för grupper - Användare, grupper och arbetsbelastningsidentiteter Microsoft Purview-typer av känslig information Definiera typer av känslig information med Exact Data Match (EDM). Använd typer av känslig information med principer för Microsoft Purview Information Protection och Purview dataförlustskydd (DLP). - Datamatchning baserat på typer av- känslig information Identifiera och skydda känslig information Microsoft Entra ID-styrning Använd Microsoft Entra ID-styrning för åtkomst till program med approller. Tilldela användare till approller med statiskt medlemskap, dynamiska säkerhetsgrupper eller åtkomstpaket för berättigandehantering. - Lägga till approller och ta emot dem i en rollbaserad åtkomstkontroll för token - |
Advanced3.4.6. Berika attribut för Resursauktorisering Pt2Utökade identifierade attribut är integrerade med resursauktoriseringstekniken och principen. Konfidensbedömning introduceras i attributen för att skapa en mer avancerad metod för auktoriseringsbeslut på ett automatiserat sätt. Resultat: – Auktoriseringsprinciper innehåller förtroendenivåer för att fatta auktoriseringsbeslut – Konfidensnivåer för attribut definieras |
Microsoft Entra ID Protection Använd inloggningsrisk och användarsignaler från Microsoft Entra ID Protection i en principuppsättning för villkorsstyrd åtkomst. Konfigurera autentiseringskontext inklusive risk för att upprätta konfidensnivåer baserat på miljöinformation och risknivå. - Mall för Microsoft Entra-ID-risker Principmall: MFA-autentiseringskontext - för inloggningsrisk Se Microsofts vägledning 1.3.3 i Användare. - Anpassade säkerhetsattribut Hantera och tilldela anpassade säkerhetsattribut för Microsoft Entra-ID-användare. Använd rolltilldelningsvillkor för dynamisk attributbaserad åtkomstkontroll (ABAC). - Anpassade säkerhetsattribut |
Advanced3.4.7. REST API-mikrosegment Med doD Enterprise-godkända API-gatewayerär programanrop mikrosegmenterade och tillåter endast autentiserad och auktoriserad åtkomst till specifika mål (t.ex. mikrotjänster). När det är möjligt är API Micro-Segmenteringskonsoler integrerade och medvetna om andra mikrosegmenteringskonsoler, till exempel programvarudefinierade perimeterstyrenheter och/eller programvarudefinierade nätverkskonsoler. Resultat: – Godkända företags-API:er är mikrosegmenterade på rätt sätt |
Azure-nätverk och -anslutning Isolera, filtrera och kontrollera nätverkstrafik över inkommande och utgående flöden. Tillämpa principer för skydd på djupet med hjälp av lokaliserade nätverkskontroller vid tillgängliga nätverksgränser. Följ Azure Well-Architected Framework. - Nätverks- och anslutningsrekommendationer - Segmenteringsstrategirekommendationer API-design Följ rekommenderade metoder för att utforma API:er för mikrotjänster. Skydda och auktorisera API:er med Microsoft Entra-ID. - Api:er - för mikrotjänster Skyddar API:er |
3.5 Kontinuerlig övervakning och pågående auktoriseringar
Microsoft Defender för molnet säkerhetsstandarder utvärderar kontinuerligt Azure-prenumerationer, AWS-konton (Amazon Web Services) och Google Cloud Platform-projekt (GCP) med Defender för molnet aktiverat för efterlevnad av regelstandarder.
| Beskrivning och resultat för DoD-aktivitet | Vägledning och rekommendationer från Microsoft |
|---|---|
Advanced3.5.1 Kontinuerlig auktorisering för drift (cATO) Pt1DoD-organisationer använder automatiseringslösningar i miljön för att standardisera övervakningen av kontroller och erbjuda möjligheten att identifiera avvikelser. Vid behov integreras övervakning och testning med DevSecOps-processer. Resultat: – Styr härledning är standardiserad och redo för automatisering – Kontrolltestning är integrerad med DevSecOps-processer och -teknik |
DoD:s CIO-bibliotek (Chief Information Officer) Integrera övervakning och testning i DevSecOps-processer. Se DoD Enterprise DevSecOps Reference Design - DoD CIO Library Microsoft Defender för molnet Protect Azure och icke-Azure-arbetsbelastningar med Defender för molnet. Använd initiativ för regelefterlevnad och Azure Policy för att kontinuerligt utvärdera infrastrukturen med konfigurationsstandarder. Förhindra konfigurationsavvikelse. - Tilldela säkerhetsstandarder- Multicloud-miljöer Microsoft Sentinel Automatisera Sentinel-integrerings- och distributionsåtgärder med GitHub och Azure DevOps. - Sentinel och Azure DevOps-integrering- Distribuera anpassat innehåll från en lagringsplats |
Advanced3.5.2 Kontinuerlig auktorisering för drift (cATO) Pt2DoD-organisationer automatiserar fullständigt kontrollhärlednings-, testnings- och övervakningsprocesser. Avvikelser testas och löses automatiskt med hjälp av befintlig automatiseringsinfrastruktur mellan pelare. Instrumentpaneler används för att övervaka statusen för auktoriseringar och analyser är integrerade med ansvariga auktoriseringstjänstemän.< /br> Outcomes: - Kontrolltestningen är helt automatiserad – Integrering med standard-IR- och SOC-åtgärder automatiseras |
Microsoft Defender Threat and Vulnerability Management Införliva hot- och sårbarhetshantering (TVM) i ditt hantering av säkerhetsrisker program. Se Microsofts vägledning i 3.3.2. Azure DevOps och Microsoft SentinelAutomatisera Sentinel-integrerings- och distributionsåtgärder med Azure DevOps. - Sentinel-integrering med Azure DevOps Microsoft Defender XDR och Sentinel Integrera Microsoft Defender XDR och Defender för molnet med Sentinel. - Sentinel och Defender XDR för Nolltillit |
Nästa steg
Konfigurera Microsofts molntjänster för DoD-Nolltillit-strategin:
- Inledning
- Användare
- Enhet
- Program och arbetsbelastningar
- Data
- Nätverk
- Automatisering och orkestrering
- Synlighet och analys