DoD-Zero Trust strategi för grundpelarna för program och arbetsbelastningar

Den DoD Zero Trust-strategi och roadmap beskriver en väg för Department of Defense-komponenter och Försvars Industrial Base (DIB)-partner att anta ett nytt cybersäkerhetsramverk baserat på Zero Trust-principerna. Zero Trust eliminerar traditionella perimeterr och förtroendeantaganden, vilket möjliggör en effektivare arkitektur som förbättrar säkerhet, användarupplevelser och uppdragsprestanda.

Den här guiden innehåller rekommendationer för de 152 Zero Trust-aktiviteterna i DoD:s Zero Trust-förmågeutförande-översiktsplan. Avsnitten motsvarar de sju pelarna i DoD-Zero Trust modellen.

Använd följande länkar för att gå till avsnitt i guiden.

3 Program och arbetsbelastningar

** Det här avsnittet innehåller Microsofts vägledning och rekommendationer för DoD Zero Trust-aktiviteter inom applikationer och arbetslaster. Mer information finns i Secure-program med Zero Trust.

Anteckning

Rekommendationerna i det här avsnittet överensstämmer med utkastet till DoD Enterprise DevSecOps-referensdesign.

3.1 Programinventering

Microsoft Entra ID är en identitetsprovider (IdP) för program och molnplattformar, inte bara Microsoft 365 och Azure. Microsoft Entra ID innehåller webbportaler och RESTful-API:er för att hämta listor över integrerade program. Microsoft Defender for Cloud Apps, en komponent i Microsoft Defender XDR, har funktioner för att identifiera, inventera och blockera icke-sanktionerade appar.

Beskrivning och resultat för DoD-aktivitet Vägledning och rekommendationer från Microsoft

Target 3.1.1 Program-/kodidentifiering
DoD-organisationer skapar en inventering av godkända program och kod (t.ex. källkod, bibliotek osv.). Varje organisation spårar supportbarheten (det vill säga aktiv, äldre osv.) och värdplatsen (t.ex. molnet, på plats, hybrid osv.) minst i inventeringen.

Resultat:
– Komponenten har identifierat program och klassificerats som antingen äldre, virtualiserade lokalt och molnhanterade Microsoft Entra ID
Använd Microsoft Entra administrationscenter för att ladda ned en lista över Microsoft Entra registrerade program. Välj Download i det översta menyfliksområdet.
- Programresurstypen

Om din organisation använder Active Directory Federation Services (AD FS) distribuerar du Microsoft Entra Connect Health. Använd programaktivitetsrapporten för att identifiera AD FS-program.
- Övervaka AD FS med Connect Health
- Programaktivitetsrapport

Microsoft Defender Vulnerability Management
Använd programvaruinventering i Defender Vulnerability Management för att visa programvara i organisationen.
- Programinventering

Microsoft Defender for Cloud Apps
Konfigurera Cloud Discovery i Defender for Cloud Apps för att få en ögonblicksbild av program som används av användare.
- Konfigurera Cloud Discovery
- Undersök appar

Microsoft Intune-upptäckta appar
Intune-upptäckta appar identifieras av Intune-registrerade enheter i klientorganisationen. Det är en programvaruinventering av hyresgästen. På företagsenheter samlas inte appar eller hanterade appar in för den här rapporten.
- Discovered apps

Azure DevOps
Använd den här tjänsten för säker pakethantering. Utvecklare delar kod och hanterar paket på en plats.
- Azure Artifacts
- Azure GitHub lagringsplatser

Beskrivning och resultat för DoD-aktivitet	Vägledning och rekommendationer från Microsoft
`Target` 3.1.1 Program-/kodidentifiering DoD-organisationer skapar en inventering av godkända program och kod (t.ex. källkod, bibliotek osv.). Varje organisation spårar supportbarheten (det vill säga aktiv, äldre osv.) och värdplatsen (t.ex. molnet, på plats, hybrid osv.) minst i inventeringen. Resultat: – Komponenten har identifierat program och klassificerats som antingen äldre, virtualiserade lokalt och molnhanterade	Microsoft Entra ID Använd Microsoft Entra administrationscenter för att ladda ned en lista över Microsoft Entra registrerade program. Välj Download i det översta menyfliksområdet. - Programresurstypen Om din organisation använder Active Directory Federation Services (AD FS) distribuerar du Microsoft Entra Connect Health. Använd programaktivitetsrapporten för att identifiera AD FS-program. - Övervaka AD FS med Connect Health - Programaktivitetsrapport Microsoft Defender Vulnerability Management Använd programvaruinventering i Defender Vulnerability Management för att visa programvara i organisationen. - Programinventering Microsoft Defender for Cloud Apps Konfigurera Cloud Discovery i Defender for Cloud Apps för att få en ögonblicksbild av program som används av användare. - Konfigurera Cloud Discovery - Undersök appar Microsoft Intune-upptäckta appar Intune-upptäckta appar identifieras av Intune-registrerade enheter i klientorganisationen. Det är en programvaruinventering av hyresgästen. På företagsenheter samlas inte appar eller hanterade appar in för den här rapporten. - Discovered apps Azure DevOps Använd den här tjänsten för säker pakethantering. Utvecklare delar kod och hanterar paket på en plats. - Azure Artifacts - Azure GitHub lagringsplatser

3.2 Säker programvaruutveckling och integrering

GitHub funktioner som GitHub Advanced Security (GHAS) och GitHub Actions hjälper dig att upprätta Zero Trust metoder för utveckling och distribution av programvara. GitHub Enterprise Cloud integreras med Microsoft Entra ID för att hantera rättigheter med Microsoft Entra ID Governance och säker åtkomst med principer för villkorsstyrd åtkomst.

Utvecklare kan använda Microsoft Authentication Libraries (MSAL) för att integrera program med Microsoft Entra ID. Mer information finns i Autentisera användare för Zero Trust.

Beskrivning och resultat för DoD-aktivitet	Vägledning och rekommendationer från Microsoft
`Target` 3.2.1 Skapa DevSecOps Software Factory Pt1 DoD-företaget skapar grundläggande standarder för moderna DevSecOps-processer och CI/CD-pipelines. Begreppen tillämpas i en standardiserad teknikstack i doD-organisationer som kan uppfylla framtida programsäkerhetskrav. Ett företagsomfattande program för sårbarhetshantering är integrerat med CI/CD-pipelines i enlighet med aktiviteterna i programmet. Resultat: – Utvecklade data-/tjänststandarder för DevSecOps – CI/CD-pipelinen är fullt funktionell och testad– Programmet för sårbarhetshantering är officiellt på plats och fungerar	GitHub Actions GitHub Actions använder kontinuerlig integrering och kontinuerlig leverans (CI/CD) för att automatisera distributionspipelines. - GitHub Actions GitHub Advanced Security Använd GitHub Advanced Security för GitHub och Azure DevOps för att förbättra säkerheten för din kod och dina utvecklingsprocesser. - Advanced Security - Avancerad säkerhet för Azure DevOps Microsoft Entra Enkel inloggning och etablering Konfigurera enkel inloggning (SSO) för Git-verktyg med hjälp av Microsoft Entra ID. - SSO-integrering med GitHub Enterprise Cloud-organisation - SSO-integrering med GitHub Enterprise Server - Anslut en organisation till Microsoft Entra ID För mer information om DevSecOps för Azure och andra moln, se DoD Chief Information Officer (CIO) Library.
`Target` 3.2.2 Skapa DevSecOps Software Factory Pt2 DoD-organisationer använder sina godkända CI/CD-pipelines för att utveckla de flesta nya program. Eventuella undantag följer en standardiserad godkännandeprocess för att tillåtas utvecklas i enlighet med äldre metoder. DevSecOps-processer används också för att utveckla alla nya program och uppdatera befintliga program. Kontinuerliga valideringsfunktioner integreras i CI/CD-pipelines och DevSecOps-processer och integreras med befintliga program. Resultat: – Utveckling av program migreras till CI/CD-pipeline – Kontinuerlig valideringsprocess/teknik implementeras och används – Utveckling av program migreras till DevSecOps-process och teknik	GitHub Advanced Security Använd GitHub Advanced Security för att söka efter kodberoenden och säkerhetsrisker. Konfigurera periodiska versioner för att utvärdera kodkvalitet. - Avancerad säkerhet - CodeQL-kodgenomsökning - Säker leveranskedja Bicep i Azure Tillhandahålla molninfrastruktur med infrastruktur-som-kod (IaC) med Azure Resource Manager (ARM) och Bicep-mallar. - Bicep Microsoft Defender for Cloud Aktivera Defender for Cloud-arbetsbelastningsskydd för prenumerationer med programarbetsbelastningar. - Skydda molnarbetsbelastningar Microsoft Defender for DevOps Använda Defender för DevOps för att övervaka säkerhet och aviseringar för pipelines i Azure DevOps (ADO) och GitHub. - Defender för DevOps
`Target` 3.2.3 Automatisera programsäkerhet och kodreparation Pt1 En standardiserad metod för programsäkerhet, inklusive kodreparation, implementeras i hela DoD-företaget. Del ett (1) av den här aktiviteten omfattar integrering av en säker API-gateway med program som använder API eller liknande anrop. Kodgranskningar utförs i en metodisk metod och standardiserade skydd för containrar och deras infrastruktur finns på plats. Dessutom använder alla serverlösa funktioner där tredje part hanterar infrastrukturen, till exempel Plattform som en tjänst, lämpliga serverlösa säkerhetsövervaknings- och svarsfunktioner. Kodgranskningar, container- och serverlösa säkerhetsfunktioner är integrerade i CI/CD- och/eller DevSecOps-processen efter behov. Resultat: – Säker API Gateway är i drift och de flesta API-anrop passerar via gateway – Programsäkerhetsfunktioner (t.ex. kodgranskning, container och serverlös säkerhet) implementeras som en del av CI/CD och DevSecOps	Azure Application Gateway Put offentligt tillgängliga webbprogram och API:er med Azure Application Gateway och Web Application Firewall. - Web Application Firewall Microsoft Entra ID program Microsoft Entra ID är en auktoriseringsgateway för webbprogram och API-åtkomst. Exponera API:er för registrerade program med hjälp av Microsoft Entra. Använd inbyggd autentisering och auktorisering (Easy Auth) i Azure App Service och Azure Functions. För Microsoft Entra ID-omedvetna API:er, använd OAuth-auktorisering i Azure API Management. - Konfigurera en app för att exponera webb-API - Autentisera och auktorisera i Azure App Service och Azure Functions - Autentisera och auktorisera mot API:er GitHub Advanced Security Använd GitHub Advanced Security för GitHub och Azure DevOps. Se Microsofts vägledning i 3.2.1. Microsoft Defender for Cloud Aktivera Defender för Cloud-arbetsbelastningsskydd för Azure-prenumerationer med API-arbetsbelastningar. Se Microsofts vägledning i 3.2.2.
`Advanced` 3.2.4 Automatisera programsäkerhet och kodreparation Pt2 DoD-organisationer moderniserar metoder för att leverera internt utvecklade och hanterade tjänster enligt metodtips som mikrotjänster. Dessa metoder möjliggör mer motståndskraftiga och säkra arkitekturer genom att möjliggöra snabbare ändringar av kod i varje mikrotjänst när säkerhetsproblem upptäcks. Ytterligare förbättringar av säkerhetsreparationsåtgärder fortsätter i DoD Enterprise med införandet av körningssäkerhetsfunktioner för containrar efter behov, automatiserade uppdateringar av sårbara bibliotek och automatiserade CI/CD-godkännanden under lanseringsprocessen. Resultat: - Säker API-gateway är i drift och majoriteten av API-anrop passerar genom gatewayen - Tjänster tillhandahålls enligt en tjänstorienterad arkitektur (SOA) - Aktiviteter för säkerhetsåtgärder (t.ex. körningssäkerhet, biblioteksuppdateringar, godkännanden av versioner) är helt automatiserade	Slutför aktiviteterna 3.2.2 och 3.2.3.

3.3 Riskhantering av programvara

GitHub Actions hjälpa till att automatisera, anpassa och köra arbetsflöden för programvaruutveckling för DevSecOps. Med GitHub Actions genererar du en programvarufaktura (SBOM), analyserar kod och söker efter sårbarheter i leveranskedjan och beroenden. Mer information om GitHub Actions finns i GitHub Actions.

Beskrivning och resultat för DoD-aktivitet	Vägledning och rekommendationer från Microsoft
`Target` 3.3.1 Godkända binärfiler/kod DoD-företaget använder metodtips för att hantera godkända binärfiler och kod i en metodisk metod. Dessa metoder kommer att omfatta hantering av risker vid leverantörsanskaffning, användning av godkända lagringsplatser, riskhantering av försörjningskedjan för komponentlistor och hantering av säkerhetsrisker enligt branschstandard. Resultat: – Leverantörskällornas risk utvärderas och identifieras för godkänd källa – Lagringsplats och uppdateringskanal upprättad för användning av utvecklingsteam – Materialräkningen skapas för program som identifierar källa, support och riskstatus – Branschstandard (DIB) och godkända sårbarhetsdatabaser hämtas för att användas i DevSecOps	GitHub Actions Standardisera DevSecOps-processer för att generera en software bill of materials (SBOM) med en CI/CD-pipeline (kontinuerlig integration och kontinuerlig leverans). Generera programvarulistor över materialAnvänd GitHub Dependabot och CodeQL för att automatisera säkerhetskontroller och söka efter sårbarheter i beroenden.CodeQL-kodgenomsökningSäker leveranskedjaWindows Defender Application ControlAnvänd Windows Defender-programkontroll för att förhindra att kod som inte är betrodd körs på hanterade slutpunkter.Application Control och AppLockerPlattformskodintegritet
`Target` 3.3.2 Program för sårbarhetshantering Pt1 DoD-företaget arbetar med organisationer för att upprätta och hantera ett program för sårbarhetshantering. Programmet innehåller en princip och standarder som överenskommits av alla organisationer. Det utvecklade programmet omfattar minst spårning och hantering av offentliga säkerhetsrisker baserat på DoD-program/-tjänster. Organisationer etablerar ett hantering av säkerhetsrisker team med viktiga intressenter där sårbarheter diskuteras och hanteras enligt företagets policy och standarder. Resultat: – Sårbarhetshanteringsteamet är på plats med lämpligt medlemskap för intressenter – Policy och process för sårbarhetshantering är på plats och överenskommits med intressenter – Offentlig källa till sårbarheter används för spårning	Funktioner för hot- och sårbarhetshantering av virtuella datorer ger tillgångssynlighet och intelligenta utvärderingar. TVM har inbyggda reparationsverktyg för slutpunkter och servrar. Använd TVM med ett program för sårbarhetshantering. - Microsoft Defender TVM Microsoft cloud security benchmark Review how Microsoft online services conduct vulnerability management. - TVM overview - Hantering av hållning och sårbarheter
`Target` 3.3.3 Program för sårbarhetshantering Pt2 Processer upprättas på DoD Enterprise-nivå för att hantera avslöjandet av sårbarheter i underhålls-/driftstjänster för DoD både offentligt och privat tillgängligt. DoD-organisationer expanderar hantering av säkerhetsrisker-programmet för att spåra och hantera stängda sårbarhetsdatabaser som DIB, CERT och andra. Resultat: – Kontrollerade (t.ex. DIB-, CERT)-källor för sårbarheter används för spårning – Programmet för sårbarhetshantering har en process för att acceptera externa/offentliga avslöjanden för hanterade tjänster	Threat and Vulnerability Management Använd sidan svagheter i Microsoft Defender TVM för att identifiera och prioritera sårbarheter som upptäckts på organisationens enheter och servrar. - Vulnerabilities i organisationen Track remediation activities using the TVM vulnerable devices report. - Vulnerable device report
`Target` 3.3.4 Kontinuerlig validering DoD-organisationer implementerar en kontinuerlig valideringsmetod för programutveckling där parallell distribution utförs och integreras med en godkänd miljönivå (t.ex. testning av användargodkännande, Produktion). Program som inte kan integrera kontinuerlig validering i sin CI/CD-process identifieras och undantag tillhandahålls efter behov med hjälp av en metodisk metod. Resultat: – Uppdaterade program distribueras i en live- och/eller produktionsmiljö – Program som har markerats för tillbakadragning och övergång inaktiveras – Kontinuerliga valideringsverktyg implementeras och tillämpas på kod i CI/CD-pipelinen – Kod som kräver kontinuerlig validering identifieras och valideringskriterier upprättas	Azure Chaos Studio Använd Azure Chaos Studio för att verifiera arbetsbelastningar. - Kontinuerlig validering GitHub Advanced Security Använd GitHub-funktioner och åtgärder för sårbarhetshantering i Referensdesign för DoD Enterprise DevSecOps. Se Microsofts vägledning i 3.2.1.

3.4 Resursauktorisering och integrering

Villkorlig åtkomst är den Zero Trust principmotorn i Microsoft Entra ID. Anslut dina programarbetsbelastningar med Microsoft Entra ID. Använd Microsoft Entra ID Governance för att hantera rättigheter och säkra inloggningar med principer för villkorsstyrd åtkomst. Principerna använder säkerhetsattribut, till exempel enhetens hälsa, sessionsinformation och risk för att fatta beslut om anpassningsbar åtkomst. Microsoft Entra ID, Azure Resource Manager och CI/CD-pipelines auktoriserar resursdistribution i Azure.

Beskrivning och resultat för DoD-aktivitet	Vägledning och rekommendationer från Microsoft
`Target` 3.4.1 Resursauktorisering Pt1 DoD-företaget standardiserar på metoder för resursauktorisering (t.ex. programvarudefinierad perimeter) med organisationerna. Resursauktoriseringsgatewayerna kommer som minst att integreras med identiteter och enheter. Organisationer distribuerar godkända resursauktoriseringsgatewayer och aktiverar externa program/tjänster. Andra applikationer som ska migreras och applikationer som inte kan migreras identifieras för undantag eller avveckling. Resultat: – Resursauktoriseringsgatewayen är på plats för externa program – Resursauktoriseringsprincip som är integrerad med identitet och enhet – Vägledning om konverteringsstandarder för hela företaget förmedlas till intressenter	Microsoft Entra ID Microsoft Entra är en auktoriseringsgateway för programresurser. Integrera moderna och äldre applikationer för enkel inloggning med Microsoft Entra. Se Microsoft guidance 1.2.4 i User. Microsoft Entra ID Governance Använd Microsoft Entra ID Governance approller för åtkomst till applikationer. Tilldela användare till approller med statiskt medlemskap, dynamiska Microsoft Entra-säkerhetsgrupper, eller åtkomstpaket för berättigandehantering. - Lägg till approller i en app och ta emot dem i en token - Rollbaserad åtkomstkontroll Villkorlig åtkomst Använd villkorlig åtkomstprinciperna för att dynamiskt auktorisera, kontrollera eller blockera programåtkomst. Se Microsofts vägledning 1.8.3 i User och 2.1.4 i Enhet. Azure Application Gateway Aktivera offentligt tillgängliga webbprogram och API:er med Application Gateway och Web Application Firewall. Se Microsofts vägledning 3.2.3.
`Target` 3.4.2 Resursauktorisering Pt2 Resursauktoriseringsgatewayer används för alla möjliga program/tjänster. Program som inte kan använda gatewayer inaktiveras eller undantas med hjälp av en riskbaserad metodisk metod. Auktoriseringar integreras ytterligare med CI/CD-pipelinen för automatiserat beslutsfattande. Resultat: – Resursauktoriseringsgatewayen används för alla program – Resursauktorisering är integrerad med DevSecOps och CI/CD för automatiserade funktioner	Microsoft Entra Workload ID Använd arbetsbelastningsidentitetsfederation för att konfigurera en användartilldelad hanterad identitet eller appregistrering för att lita på token från en extern identitetsprovider (IdP). Använd den federerade arbetsbelastningsidentiteten för GitHub Actions workflows. - Workload identity federation Azure API Management Använd Azure API Management för att hantera, auktorisera och exponera tjänster som finns på och utanför Azure as API:er. - Azure API Management
`Target` 3.4.3. SDC-resursauktorisering Pt1 DoD-företaget tillhandahåller en standardiserad metod för kodbaserad beräkningshantering (t.ex. programvarudefinierad beräkning) enligt branschens metodtips. Med hjälp av riskbaserade metoder skapas baslinjer med hjälp av den godkända uppsättningen med kodbibliotek och paket. DoD-organisationer arbetar med godkända aktiviteter för kod/binärfiler för att säkerställa att program identifieras som kan och inte kan stödja metoden. Program som kan stödja en modern programvarubaserad konfigurations- och hanteringsmetoder identifieras och övergången börjar. Program som inte kan följa programvarubaserade konfigurations- och hanteringsmetoder identifieras och tillåts genom undantag med hjälp av en metodisk metod. Resultat: - Applikationer som inte kan uppdateras för att använda godkända binärfiler/kod märks för pensionering och övergångsplaner skapas – Identifierade program utan godkända binärfiler och kod uppdateras för att använda godkända binärfiler/kod – Vägledning om konverteringsstandarder för hela företaget förmedlas till intressenter	Säker utveckling Design, utveckla, och distribuera Azure program efter livscykeln för säkerhetsutveckling och publicerade bästa praxis. - Säker utveckling - Infrastruktur som kod - Azure Policy som kodarbetsflöden Microsoft Entra ID Använd Microsofts identitetsplattform för programautentisering och auktorisering. - Migrera appar och autentisering Azure Migrate Migrera till moderna appplattformar som Azure Kubernetes Service (AKS) och App Service-containrar. - Migrera arbetsbelastningar till moderna appplattformar - Utvärdera ASP.NET appar för migrering till AKS - Utvärdera ASP.NET appar för migrering till Azure App Service
`Target` 3.4.4 SDC-resursauktorisering Pt2 Program som stöder programvarubaserad konfiguration och hantering har övergått till en produktions-/livemiljö och är i normal drift. Om möjligt inaktiveras program som inte stöder programvarubaserad konfiguration och hantering. Resultat: – Uppdaterade program distribueras i en live- och/eller produktionsmiljö – Program som har markerats för tillbakadragning och övergång inaktiveras	Azure Migrate Containerize och migrera ASP.NET-applikationer och Java-webbapplikationer med hjälp av verktyget Azure Migrate: App Containerization. Inaktivera program som inte kan moderniseras. - ASP.NET appcontainerisering och migrering till AKS - ASP.NET appcontainerisering och migrering till Azure App Service - Java containerisering och migrering av webbappar till AKS - Java webbappcontainerisering och migrering till Azure App Service
`Advanced` 3.4.5 Berika attribut för resursauktorisering Pt1 Initiala attribut från källor som Övervakning av användar- och entitetsaktivitet, mikrosegmenteringstjänster, DLP och hantering av datarättigheter (DRM) är integrerade i stacken och principen för resursauktoriseringsteknik. Andra attribut för senare integrering identifieras och planeras. Attribut används för att skapa grundläggande riskstatus för användare, icke-personentiteter (NPE) och enheter som tillåter auktoriseringsbeslut. Resultat: – De flesta API-anrop passerar genom den säkra API-gatewayen – Resursauktorisering tar emot data från Analysmotor – Auktoriseringsprinciper innehåller identifierade attribut vid beslut om auktorisering – Attribut som ska användas för inledande berikning identifieras	Microsoft Entra program Använd Microsoft Entra ID för att auktorisera moderna program och API:er. Distribuera Microsoft Entra programproxy och Azure Arc-aktiverade servrar för att utöka Microsoft Entra ID till äldre autentiseringsprotokoll. Se Microsoft-vägledning i 3.1.1 och i 3.2.3. Conditional Access Microsoft Entra är en säker gateway för resursauktorisering. Villkorlig åtkomst är auktoriseringsmotorn. Konfigurera principer för detaljerad auktorisering med hjälp av användare, program, användare, miljövillkor, inklusive enhetsefterlevnadsstatus. - Villkorsstyrd åtkomst - design - Skapa dynamiska säkerhetsgrupper baserat på användarattribut. Använd dynamiska grupper för att begränsa principer för villkorsstyrd åtkomst för auktorisering av statiska attribut baserat på användarattribut. - Dynamiskt medlemskap för grupper - Användare, grupper och arbetsbelastningsidentiteter Microsoft Purview typer av känslig information Define känsliga informationstyper med Exact Data Match ( EDM). Använd känsliga informationstyper med Microsoft Purview Information Protection- och Purview-principer för dataförlustskydd (DLP). - Datamatchning baserat på typer av känslig information - Upptäck och skydda känslig information Microsoft Entra ID Governance Använd Microsoft Entra ID Governance för åtkomst till program med applikationsroller. Tilldela användare till approller med statiskt medlemskap, dynamiska säkerhetsgrupper eller åtkomstpaket för berättigandehantering. - Lägga till approller och ta emot dem i en rollbaserad åtkomstkontroll för token -
`Advanced` 3.4.6. Berika attribut för resursauktorisering Pt2 Utökade identifierade attribut integreras med resursauktoriseringstekniken och policyn. Konfidensbedömning introduceras i attributen för att skapa en mer avancerad metod för auktoriseringsbeslut på ett automatiserat sätt. Resultat: – Auktoriseringspolicyer införlivar konfidensnivåer för att fatta auktoriseringsbeslut – Konfidensnivåer för attribut definieras	Microsoft Entra ID Protection Använd inloggningsrisk och användarsignaler från Microsoft Entra ID Protection i en principuppsättning för villkorsstyrd åtkomst. Konfigurera autentiseringskontext inklusive risk för att upprätta konfidensnivåer, baserat på miljöinformation och risknivå. - Microsoft Entra ID risker - Policymall: MFA för inloggningsrisk - Autentiseringskontextexempel Se Microsofts vägledning 1.3.3 i Användare. Anpassade säkerhetsattribut Hantera och tilldela anpassade säkerhetsattribut för Microsoft Entra ID-användare. Använd rolltilldelningsvillkor för dynamisk attributbaserad åtkomstkontroll (ABAC). - Anpassade säkerhetsattribut
`Advanced` 3.4.7. REST API-mikrosegment Med doD Enterprise-godkända API-gatewayer är programanrop mikrosegmenterade och tillåter endast autentiserad och auktoriserad åtkomst till specifika mål (t.ex. mikrotjänster). När det är möjligt är API Micro-Segmenteringskonsoler integrerade och medvetna om andra mikrosegmenteringskonsoler, till exempel programvarudefinierade perimeterstyrenheter och/eller programvarudefinierade nätverkskonsoler. Resultat: – Godkända företags-API:er är mikrosegmenterade på rätt sätt	Azure nätverk och anslutning Isolera, filtrera och kontrollera nätverkstrafik för inkommande och utgående flöden. Tillämpa principer för skydd på djupet med hjälp av lokaliserade nätverkskontroller vid tillgängliga nätverksgränser. Följ Azure Well-Architected Framework. - Nätverks- och anslutningsrekommendationer - Rekommendationer för segmenteringsstrategi API-design Följ rekommenderade metoder för att utforma API:er för mikrotjänster. Skydda och auktorisera API:er med Microsoft Entra ID. - Mikrotjänst-API:er - Skydda API:er

3.5 Kontinuerlig övervakning och pågående auktoriseringar

Microsoft Defender for Cloud säkerhetsstandarder utvärderar kontinuerligt Azure prenumerationer, AWS-konton (Amazon Web Services) och Google Cloud Platform-projekt (GCP) med Defender for Cloud aktiverat för efterlevnad av regelstandarder.

Beskrivning och resultat för DoD-aktivitet Vägledning och rekommendationer från Microsoft

Advanced 3.5.1 Kontinuerlig auktorisering för drift (cATO) Pt1
DoD-organisationer använder automatiseringslösningar i miljön för att standardisera övervakningen av kontroller och erbjuda möjligheten att identifiera avvikelser. Vid behov integreras övervakning och testning med DevSecOps-processer.

Resultat:
– Styr härledning är standardiserad och redo för automatisering
– Kontrolltestning är integrerad med DevSecOps-processer och -teknik DoD:s CIO-bibliotek
(Chief Information Officer) Integrera övervakning och testning i DevSecOps-processer. Se Referensdesign för DoD Enterprise DevSecOps
- DoD CIO Library

Microsoft Defender for Cloud
Skydda Azure och icke-Azure arbetsbelastningar med Defender for Cloud. Använd regelefterlevnad och Azure Policy initiativ för att utvärdera infrastrukturen kontinuerligt med konfigurationsstandarder. Förhindra konfigurationsavvikelser.
- Tilldela säkerhetsstandarder
- Multicloud-miljöer

Microsoft Sentinel
Automatisera Sentinel-integrations- och distributionsåtgärder med GitHub och Azure DevOps.
- Sentinel- och Azure DevOps-integrering
- Distribuera anpassat innehåll från ett repository

Advanced 3.5.2 Kontinuerlig auktorisering för drift (cATO) Pt2
DoD-organisationer automatiserar fullständigt kontrollhärlednings-, testnings- och övervakningsprocesser. Avvikelser testas och löses automatiskt med hjälp av befintlig automatiseringsinfrastruktur mellan pelare. Instrumentpaneler används för att övervaka statusen för auktoriseringar och analyser är integrerade med ansvariga auktoriseringstjänstemän.< /br>
Outcomes:
- Kontrolltestningen är helt automatiserad
– Integrering med standard-IR- och SOC-åtgärder automatiseras Microsoft Defender Threat and Vulnerability Management
Incorporate Threat and Vulnerability Management (TVM) i ditt program för sårbarhetshantering.

Se Microsoft-vägledning i 3.3.2.

Azure DevOps och Microsoft Sentinel
Automatisera Sentinelintegrering och distributionsåtgärder med Azure DevOps.
- Sentinelintegrering med Azure DevOps

Microsoft Defender XDR och Sentinel
Integrera Microsoft Defender XDR och Defender for Cloud med Sentinel.
- Sentinel och Defender XDR för Zero Trust

Beskrivning och resultat för DoD-aktivitet	Vägledning och rekommendationer från Microsoft
`Advanced` 3.5.1 Kontinuerlig auktorisering för drift (cATO) Pt1 DoD-organisationer använder automatiseringslösningar i miljön för att standardisera övervakningen av kontroller och erbjuda möjligheten att identifiera avvikelser. Vid behov integreras övervakning och testning med DevSecOps-processer. Resultat: – Styr härledning är standardiserad och redo för automatisering – Kontrolltestning är integrerad med DevSecOps-processer och -teknik	DoD:s CIO-bibliotek (Chief Information Officer) Integrera övervakning och testning i DevSecOps-processer. Se Referensdesign för DoD Enterprise DevSecOps - DoD CIO Library Microsoft Defender for Cloud Skydda Azure och icke-Azure arbetsbelastningar med Defender for Cloud. Använd regelefterlevnad och Azure Policy initiativ för att utvärdera infrastrukturen kontinuerligt med konfigurationsstandarder. Förhindra konfigurationsavvikelser. - Tilldela säkerhetsstandarder - Multicloud-miljöer Microsoft Sentinel Automatisera Sentinel-integrations- och distributionsåtgärder med GitHub och Azure DevOps. - Sentinel- och Azure DevOps-integrering - Distribuera anpassat innehåll från ett repository
`Advanced` 3.5.2 Kontinuerlig auktorisering för drift (cATO) Pt2 DoD-organisationer automatiserar fullständigt kontrollhärlednings-, testnings- och övervakningsprocesser. Avvikelser testas och löses automatiskt med hjälp av befintlig automatiseringsinfrastruktur mellan pelare. Instrumentpaneler används för att övervaka statusen för auktoriseringar och analyser är integrerade med ansvariga auktoriseringstjänstemän.< /br> Outcomes: - Kontrolltestningen är helt automatiserad – Integrering med standard-IR- och SOC-åtgärder automatiseras	Microsoft Defender Threat and Vulnerability Management Incorporate Threat and Vulnerability Management (TVM) i ditt program för sårbarhetshantering. Se Microsoft-vägledning i 3.3.2. Azure DevOps och Microsoft Sentinel Automatisera Sentinelintegrering och distributionsåtgärder med Azure DevOps. - Sentinelintegrering med Azure DevOps Microsoft Defender XDR och Sentinel Integrera Microsoft Defender XDR och Defender for Cloud med Sentinel. - Sentinel och Defender XDR för Zero Trust

Nästa steg

Konfigurera Microsofts molntjänster för DoD Zero Trust-strategin:

Feedback

Var den här sidan till hjälp?

Last updated on 2026-03-06