针对应用程序和工作负荷支柱的 DoD Zero Trust 策略

DoD Zero Trust策略和路线图概述了国防部组件和国防工业基地（DIB）合作伙伴基于Zero Trust原则采用新的网络安全框架的路径。 Zero Trust消除了传统的外围和信任假设，从而实现了更高效的体系结构，增强了安全性、用户体验和任务性能。

本指南针对 DoD Zero Trust 功能执行路线图中的 152 个Zero Trust活动提供了建议。这些部分对应于 DoD Zero Trust 模型的七大支柱。

使用以下各链接，转到指导的各节。

3 应用程序和工作负载

本部分提供了针对应用程序和工作负荷支柱中的 DoD Zero Trust 活动的Microsoft指导和建议。若要了解详细信息，请参阅使用零信任保护应用程序。

注意

本部分的建议与 DoD 企业 DevSecOps 参考设计草案相一致。

3.1 应用程序盘点

Microsoft Entra ID是应用程序和云平台的标识提供者（IdP），而不仅仅是Microsoft 365和Azure。 Microsoft Entra ID包括 Web 门户和 RESTful API，用于检索集成应用程序的列表。 Microsoft Defender for Cloud Apps，Microsoft Defender XDR的一个组件，具有发现、清点和阻止未批准的应用的功能。

DoD 活动说明和结果 Microsoft 指导和建议

Target 3.1.1 应用程序/代码识别
DoD 组织创建已批准应用程序和代码（例如源代码、库等）的清单。每个组织至少在资源清单中跟踪可支持性（例如正常版本、过时版本等）和部署位置（例如云端、本地、混合等）。

结果：
- 组件已标识应用程序并分类为旧版、本地虚拟化和云托管 Microsoft Entra ID
使用Microsoft Entra管理中心下载已注册Microsoft Entra应用程序的列表。选择下载在顶部功能区。
- 应用程序资源类型

如果您的组织使用 Active Directory 联合身份验证服务 (AD FS)，请部署 Microsoft Entra Connect Health。使用应用程序活动报告发现 AD FS 应用程序。
- 使用 Connect Health 监控 AD FS
- 应用程序活动报告

Microsoft Defender 漏洞管理
使用 Defender 漏洞管理中的软件清单查看组织中的软件。
- 软件清单

Microsoft Defender for Cloud Apps
在 Defender for Cloud Apps 中设置 Cloud Discovery 以获取用户访问的应用程序快照。
- 设置 Cloud Discovery
- 调查应用程序

Microsoft Intune 发现的应用
Intune 发现的应用在租户中由 Intune 注册的设备检测到。这是租户的系统软件清单。在公司设备上，不会收集此报告。
- 发现的应用

Azure DevOps
可以使用 Azure DevOps 服务进行安全包管理。开发人员在一个位置共享代码和管理包。
- Azure Artifacts
- Azure GitHub存储库

DoD 活动说明和结果	Microsoft 指导和建议
`Target` 3.1.1 应用程序/代码识别 DoD 组织创建已批准应用程序和代码（例如源代码、库等）的清单。每个组织至少在资源清单中跟踪可支持性（例如正常版本、过时版本等）和部署位置（例如云端、本地、混合等）。结果： - 组件已标识应用程序并分类为旧版、本地虚拟化和云托管	Microsoft Entra ID 使用Microsoft Entra管理中心下载已注册Microsoft Entra应用程序的列表。选择下载在顶部功能区。 - 应用程序资源类型如果您的组织使用 Active Directory 联合身份验证服务 (AD FS)，请部署 Microsoft Entra Connect Health。使用应用程序活动报告发现 AD FS 应用程序。 - 使用 Connect Health 监控 AD FS - 应用程序活动报告 Microsoft Defender 漏洞管理使用 Defender 漏洞管理中的软件清单查看组织中的软件。 - 软件清单 Microsoft Defender for Cloud Apps 在 Defender for Cloud Apps 中设置 Cloud Discovery 以获取用户访问的应用程序快照。 - 设置 Cloud Discovery - 调查应用程序 Microsoft Intune 发现的应用 Intune 发现的应用在租户中由 Intune 注册的设备检测到。这是租户的系统软件清单。在公司设备上，不会收集此报告。 - 发现的应用 Azure DevOps 可以使用 Azure DevOps 服务进行安全包管理。开发人员在一个位置共享代码和管理包。 - Azure Artifacts - Azure GitHub存储库

3.2 安全软件开发和集成

GitHub GitHub高级安全性（GHAS）和GitHub Actions等功能可帮助你建立Zero Trust软件开发和部署实践。 GitHub Enterprise Cloud 与 Microsoft Entra ID 集成，通过 Microsoft Entra ID Governance 管理授权，并使用条件访问策略确保安全访问。

开发人员可以使用Microsoft身份验证库（MSAL）将应用程序与Microsoft Entra ID集成。有关详细信息，请参阅对用户进行 Zero Trust 认证。

DoD 活动说明和结果	Microsoft 指导和建议
`Target` 3.2.1 生成 DevSecOps 软件工厂第 1 部分 DoD 企业为新式 DevSecOps 流程和 CI/CD 管道创建基础标准。这些概念应用于 DoD 组织的标准化技术堆栈，能够满足将来的应用程序安全要求。企业范围的漏洞管理计划按照漏洞管理计划活动与 CI/CD 管道集成。结果： - 为 DevSecOps 制定数据/服务标准 - CI/CD 管道功能齐全且测试成功 - 漏洞管理计划正式实施到位且正常工作	GitHub Actions GitHub Actions 使用持续集成和持续交付（CI/CD）自动执行部署管道。 - GitHub Actions GitHub Advanced Security 使用 GitHub 高级安全性与 Azure DevOps 增强代码和开发过程的安全性。 - Advanced Security - Azure DevOps 的高级安全性 Microsoft Entra SSO 和供应配置配置 Git 工具的单一登录（SSO），使用 Microsoft Entra ID。 - SSO 与 GitHub Enterprise Cloud 组织的集成 - SSO 与 GitHub Enterprise Server 的集成 - 将组织连接到 Microsoft Entra ID 若要详细了解 Azure 和其他云的 DevSecOps，请参阅 DoD 首席信息官（CIO）图书馆。
`Target` 3.2.2 生成 DevSecOps 软件工厂第 2 部分 DoD 组织将使用批准的 CI/CD 管道来开发大多数新应用程序。任何例外情况都将遵循标准化审批流程，以便能够以传统方式进行开发。 DevSecOps 流程还用于开发所有新应用程序和更新现有应用程序。持续验证功能集成到 CI/CD 管道和 DevSecOps 流程中，并与现有应用程序集成。结果： - 将应用程序开发迁移到 CI/CD 管道 - 实现并使用持续验证流程/技术 - 将应用程序开发迁移到 DevSecOps 流程和技术	GitHub高级安全性使用GitHub高级安全扫描代码依赖项和漏洞。配置定期构建以评估代码质量.高级安全性CodeQL 代码扫描安全供应链Azure 中的 Bicep使用基础设施即代码（IaC）通过 Azure 资源管理器（ARM）和 Bicep 模板提供云基础设施.BicepMicrosoft Defender for Cloud为包含应用程序工作负载的订阅启用 Defender for Cloud 工作负荷保护.保护云工作负载Microsoft Defender for DevOps使用 Defender for DevOps 来监控 Azure DevOps (ADO) 和 GitHub 中管道的安全性和警报.Defender for DevOps
`Target` 3.2.3 自动化应用程序安全性和代码修正第 1 部分在整个 DoD 企业中实现标准化应用程序安全性方法（包括代码修正）。此活动的第一部分包括将安全 API 网关与利用 API 或类似调用的应用程序相集成。代码评审有条不紊地进行，对容器及其基础结构的标准化保护措施将实施到位。此外，由第三方管理基础结构（例如平台即服务）的任何无服务器功能都将利用足够优异的无服务器安全监视和响应功能。代码评审、容器和无服务器安全功能适当地集成到 CI/CD 和/或 DevSecOps 流程中。结果： - 安全 API 网关正常运行，大多数 API 调用都通过网关传递 - 应用程序安全功能（例如代码评审、容器和无服务器安全性）作为 CI/CD 和 DevSecOps 的一部分实现	Azure Application Gateway 将公开访问的 Web 应用程序和 API 与 Azure Application Gateway 和 Web Application Firewall 一起使用。 - Web Application Firewall Microsoft Entra ID 应用程序 Microsoft Entra ID 是 Web 应用程序和 API 访问的认证网关。使用 Microsoft Entra 公开已注册应用程序的 API。在Azure App Service和Azure Functions中使用内置身份验证和授权（简易身份验证）。对于不支持 Microsoft Entra ID 的 API，请使用 Azure API 管理。 - 配置应用以公开 Web API - 在 Azure App Service 和 Azure Functions 中进行身份验证和授权 - 对 API 进行身份验证和授权 GitHub 高级安全使用 GitHub 高级安全来保护 GitHub 和 Azure DevOps。参见 3.2.1 中的 Microsoft 指南。 Microsoft Defender for Cloud 为具有 API 工作负载的 Azure 订阅启用 Defender for Cloud 工作负载保护。请参阅 3.2.2 中的 Microsoft 指南。
`Advanced` 3.2.4 自动化应用程序安全性和代码修正第 2 部分 DoD 组织遵循最佳做法对内部开发和管理的服务（例如微服务）的交付方法进行现代化改造。使用这些方法可以在发现安全问题时更快地更改每个微服务中的代码，从而实现更具弹性和安全性的体系结构。在整个 DoD 企业中继续开展进一步的安全修正活动，包括适当的容器运行时安全功能、自动化的有漏洞库更新，以及发布过程中的自动化 CI/CD 审批。结果： - 安全 API 网关正常运行，并且大多数 API 调用都将通过网关传递 - 遵循面向服务的体系结构 (SOA) 提供服务 - 安全修正活动（例如运行时安全性、库更新、发布审批）完全自动化	完成活动 3.2.2 和 3.2.3。

3.3 软件风险管理

GitHub Actions 帮助自动化、定制化和执行用于 DevSecOps 的软件开发工作流。使用 GitHub Actions，生成软件材料清单（SBOM），分析代码，并扫描供应链和依赖项漏洞。若要了解有关GitHub Actions的详细信息，请参阅GitHub Actions。

DoD 活动说明和结果	Microsoft 指导和建议
`Target` 3.3.1 批准的二进制文件/代码 DoD 企业遵循最佳做法有条不紊地管理批准的二进制文件和代码。这些方法包括供应商寻源风险管理、批准的存储库用法、材料清单供应链风险管理和行业标准漏洞管理。结果： - 评估并识别已批准来源的供应商寻源风险 - 建立存储库和更新通道以供开发团队使用 - 创建应用程序材料清单并识别来源、可支持性和风险态势 - 引入行业标准 (DIB) 和批准的漏洞数据库以在 DevSecOps 中使用	GitHub Actions 标准化 DevSecOps 流程，通过持续集成和持续交付（CI/CD）管道生成软件材料清单（SBOM）。 &tl;c0 /><c1 /><c2>生成软件原料清单</c2><c3 /><c4 />使用 GitHub 的 Dependabot 和 CodeQL 自动执行安全检查和扫描依赖项漏洞。<c5 /><c6 /><c7>CodeQL 代码扫描</c7><c8 /><c9 /><c10>安全供应链</c10><c11 /><c12 /><c13>Windows Defender 应用程序控制</c13><c14 />使用 Windows Defender 应用程序控制，以防止在托管终结点上执行不受信任的代码。<c15 /><c16 /><c17>应用控制和 AppLocker</c17><c18 /><c19 /><c20>平台代码完整性</c20><c21 /><c22 />
`Target` 3.3.2 漏洞管理计划第 1 部分 DoD 企业与各组织合作来制定和管理漏洞管理计划。该计划包括所有组织议定的策略和标准。制定的计划至少包括基于 DoD 应用程序/服务的公共漏洞跟踪和管理。组织与主要利益干系人组建漏洞管理团队，根据企业策略和标准探讨和管理漏洞。结果： - 组建漏洞管理团队并分配适当的利益干系人成员资格 - 漏洞管理策略和流程已实施到位，并得到利益干系人的同意 - 利用公开漏洞源进行跟踪	威胁和漏洞管理 VM 功能可以实现资产可见性和智能评估。 TVM 为终结点和服务器提供内置的修正工具。将 TVM 与漏洞管理程序结合使用，查看 Microsoft Defender TVM，Microsoft 云安全基准，回顾 Microsoft 在线服务如何执行漏洞管理。查看 TVM 概述及其状况和漏洞管理。
`Target` 3.3.3 漏洞管理计划第 2 部分在 DoD 企业级别建立流程，用于管理 DoD 维护/操作的、可公开和私密访问的服务中漏洞的披露。 DoD 组织扩展了漏洞管理计划，以跟踪和管理 DIB、CERT 等封闭漏洞存储库。结果： - 利用受控（例如 DIB、CERT）的漏洞源进行跟踪 - 漏洞管理计划提供一个流程用于接受托管服务的外部/公开披露	Threat and Vulnerability Management 使用 Microsoft Defender TVM 中的漏洞页面来识别和优先处理您组织的设备和服务器上发现的漏洞。 - 组织中的漏洞使用 TVM 漏洞设备报告追踪修复活动。 - 漏洞设备报告
`Target` 3.3.4 持续验证 DoD 组织将针对应用程序开发实施持续验证方法，在验证过程中将执行并行部署并与批准的环境级别（例如用户验收测试、生产）集成。识别出无法将持续验证集成到 CI/CD 流程的应用程序，并根据需要有条不紊地提供例外情况。结果： - 更新的应用程序将部署在实时和/或生产环境中 - 标记为停用和有待过渡的应用程序将被去除 - 实施持续验证工具并将其应用于 CI/CD 管道中的代码 - 识别需要持续验证的代码并制定验证标准	Azure Chaos Studio 使用 Azure Chaos Studio 验证工作负载。 - 持续验证 GitHub Advanced Security 利用 GitHub 功能和操作进行漏洞管理于 DoD 企业 DevSecOps 参考设计中。请参阅 Microsoft 指南中的 3.2.1。

3.4 资源授权和集成

条件访问是Microsoft Entra ID中的Zero Trust策略引擎。将应用程序工作负荷与Microsoft Entra ID连接。使用Microsoft Entra ID Governance通过条件访问策略管理权利和安全登录。这些策略使用设备运行状况、会话详细信息和风险等安全属性来做出自适应访问决策。 Microsoft Entra ID、Azure Resource Manager 和 CI/CD 管道授权Azure中的资源部署。

DoD 活动说明和结果	Microsoft 指导和建议
`Target` 3.4.1 资源授权第 1 部分 DoD 企业与组织一起将资源授权方法（例如软件定义的外围）标准化。资源授权网关至少需要与标识和设备集成。组织部署批准的资源授权网关，并为面向外部的应用程序/服务启用这些网关。其他需要迁移的应用程序以及无法迁移的应用程序将被标识为例外或有待去除。结果： - 为面向外部的应用程序部署资源授权网关 - 与标识和设备集成的资源授权策略 - 向利益干系人传达企业范围的有关转换标准的指导	Microsoft Entra ID Microsoft Entra 是应用程序资源的授权网关。将现代和遗留应用程序与 Microsoft Entra 集成以实现单点登录（SSO）。请参阅 Microsoft 指南 1.2.4 。使用 Microsoft Entra ID Governance 应用角色来访问应用程序。使用静态成员身份、动态 Microsoft Entra 安全组或权限管理访问包将用户分配到应用角色。 - 向应用添加应用角色，并在令牌中接收这些角色 - 基于角色的访问控制条件访问使用条件访问策略动态授权、控制或阻止应用程序访问。 >请参阅 Microsoft 在 User 中的指南 1.8.3 和在 Device 中的指南 2.1.4。Azure 应用程序网关启用具有应用程序网关和 Web 应用程序防火墙的公共访问 Web 应用程序和 API。请参阅 Microsoft 指南 3.2.3。
`Target` 3.4.2 资源授权第 2 部分资源授权网关用于所有可能的应用程序/服务。无法利用网关的应用程序将通过基于风险的系统方法停用或作为例外处理。授权进一步与 CI/CD 管道集成，以实现自动化决策。结果： - 资源授权网关用于所有应用程序 - 资源授权与 DevSecOps 和 CI/CD 集成以实现功能自动化	Microsoft Entra Workload ID 利用工作负荷身份联合来配置用户分配的托管身份，或者通过应用注册配置以信任来自外部身份提供者（IdP）的令牌。将联合工作负荷标识用于 GitHub Actions 工作流。 - 工作负载身份联合 Azure API Management 使用 Azure API Management 管理、授权并将托管在 Azure 内外的服务公开为 API。 - Azure API Management
`Target` 3.4.3.SDC 资源授权第 1 部分 DoD 企业遵循行业最佳做法，为基于代码的计算管理（例如软件定义的计算）提供标准化方法。通过基于风险的方法，使用批准的代码库和包集创建基线。 DoD 组织使用批准的代码/二进制文件活动，以确保识别出能够或不能够支持该方法的应用程序。识别能够支持新式基于软件的配置和管理方法的应用程序并开始过渡。识别无法遵循基于软件的配置和管理方法的应用程序，并有条不紊地通过例外项来允许使用这些应用程序。结果： - 无法更新为使用批准的二进制文件/代码的应用程序将标记为停用，并为其创建过渡计划 - 已识别出的没有批准的二进制文件和代码的应用程序将更新为使用批准的二进制文件/代码 - 向利益干系人传达企业范围的有关转换标准的指导	安全开发设计、开发，并按照安全开发生命周期和已发布的最佳实践部署Azure应用程序。安全开发基础设施即代码Azure策略作为代码工作流Microsoft Entra ID使用Microsoft标识平台进行应用程序身份验证和授权。迁移应用和身份验证Azure迁移迁移到新式应用平台（如Azure Kubernetes服务（AKS）和应用服务容器）。将工作负载迁移到新式应用平台评估ASP.NET应用迁移到AKS评估ASP.NET应用迁移到Azure应用服务
`Target` 3.4.4 SDC 资源授权第 2 部分支持基于软件的配置和管理的应用程序已过渡到生产/实时环境并处于正常运行状态。如果可能，将去除无法支持基于软件的配置和管理的应用程序。结果： - 更新的应用程序部署在实时和/或生产环境中 - 去除标记为停用和有待过渡的应用程序	Azure Migrate 使用 Azure Migrate 应用容器化工具对 ASP.NET 应用和 Java Web 应用进行容器化和迁移。停用无法现代化的应用程序。 - ASP.NET 应用容器化和迁移到 AKS - ASP.NET 应用容器化和迁移到 Azure App Service - JavaWeb 应用容器化和迁移到 AKS - Java Web 应用容器化并迁移到 Azure App Service
`Advanced` 3.4.5 扩充资源授权属性第 1 部分来自用户和实体活动监视、微分段服务、DLP 和数据权限管理 (DRM) 等源的初始属性将集成到资源授权技术栈和策略。识别任何其他属性并为后续的集成做好规划。属性用于创建用户、非人员实体 (NPE) 和设备的基本风险态势，以做出授权决策。结果： - 大多数 API 调用都将通过安全 API 网关传递 - 资源授权从分析引擎接收数据 - 授权策略在授权决策中整合识别的属性 - 识别用于初始扩充的属性	Microsoft Entra应用程序使用Microsoft Entra ID来授权新式应用程序和 API。部署Microsoft Entra应用程序代理和启用Azure Arc的服务器，以将Microsoft Entra ID扩展到旧式身份验证协议。请参阅 Microsoft 指南的 3.1.1 和 3.2.3。条件访问 Microsoft Entra 是用于资源授权的安全网关。条件访问是授权引擎。使用用户、应用程序、用户、环境条件（包括设备合规状态）配置详细授权策略。 - 条件访问 - 条件访问设计 - 需要合规设备动态安全组基于用户属性创建动态安全组。使用动态组来设置条件访问策略的范围以进行静态属性授权，基于用户属性。 - 组的动态成员身份 - 用户、组和工作负荷标识 Microsoft Purview 敏感信息类型使用精确数据匹配（EDM）定义敏感信息类型。将敏感信息类型与 Microsoft Purview 信息保护和 Purview 数据丢失防护 (DLP) 策略结合使用。 - 基于敏感信息类型的数据匹配 - 发现和保护敏感信息 Microsoft Entra ID 治理使用 Microsoft Entra ID 治理，以应用角色访问应用程序。使用静态成员资格、动态安全组或权限管理访问包将用户分配到应用角色。 - 添加应用角色并在令牌中接收这些角色 - 基于角色的访问控制
`Advanced` 3.4.6.扩充资源授权属性第 2 部分扩展标识属性与资源授权技术和策略集成。在各种属性中引入置信度评分，以自动创建更高级的授权决策方法。结果： - 授权策略在授权决策中整合置信度 - 定义属性的置信度级别	Microsoft Entra ID Protection 在条件访问策略集中使用来自Microsoft Entra ID Protection的登录风险和用户信号。配置身份验证上下文，包括风险以建立置信度，基于环境详细信息和风险级别。 - Microsoft Entra ID 风险 - 策略模板：登录风险 MFA - 身份验证上下文示例请参阅 Microsoft 指南 1.3.3，见用户。管理并为 Microsoft Entra ID 用户分配自定义安全属性。使用角色分配条件进行基于属性的动态访问控制 (ABAC)。 - 自定义安全属性
`Advanced` 3.4.7.REST API 微分段使用 DoD 企业批准的 API 网关对应用程序调用进行微分段，以便仅在经过身份验证和授权的情况下访问特定目标（例如微服务）。如果可能，API 微分段控制台将会集成并感知其他微分段控制台，例如软件定义的外围控制器和/或软件定义的网络控制台。结果： - 批准的企业 API 已被适当地微分隔	Azure网络和连接性隔离、筛选和控制入口流量和出口流量的网络流量。在可用网络边界使用本地化网络控制来应用深层防御原则。遵循 Azure Well-Architected Framework. - 网络和连接建议 - 分段策略建议 API 设计遵循设计微服务 API 的推荐做法。使用 Microsoft Entra ID 保护和授权 API。 - Microservice APIs - 保护 API

3.5 持续监视和持续授权

Microsoft Defender for Cloud 的安全标准会持续评估范围内的Azure订阅、Amazon Web Services (AWS) 帐户和 Google Cloud Platform (GCP) 项目，以确保启用了 Defender for Cloud 的项目符合法规标准。

DoD 活动说明和结果 Microsoft 指导和建议

Advanced 3.5.1 持续操作授权 (cATO) 第 1 部分
DoD 组织在环境中利用自动化解决方案来标准化控制措施的监视，并提供用于识别偏差的功能。在适当的情况下，监视和测试将与 DevSecOps 流程集成。

结果：
- 控制派生已标准化并准备好实现自动化
- 控制测试与 DevSecOps 流程和技术集成 DoD 首席信息官 (CIO) 库
将监视和测试集成到 DevSecOps 流程中。请参阅 DoD Enterprise DevSecOps 参考设计
- DoD CIO Library

Microsoft Defender for Cloud
使用 Defender for Cloud 保护Azure和非Azure工作负荷。使用法规合规性和Azure Policy策略，通过配置标准持续评估基础设施。防止配置偏移。
- 分配安全标准
- 多云环境

Microsoft Sentinel
自动化 Sentinel 集成和部署操作与 GitHub 和 Azure DevOps。
- Sentinel 和 Azure DevOps 集成
- 从存储库部署自定义内容

Advanced 3.5.2 持续操作授权 (cATO) 第 2 部分
DoD 组织完全自动化控制派生、测试和监视流程。使用现有的跨支柱自动化基础结构自动测试和解决偏差。仪表板用于监视授权状态，分析结果将与负责的授权官员的结果集成。</br>
结果：
- 控制测试完全自动化
- 与标准 IR 和 SOC 操作的集成将自动化 Microsoft Defender 威胁和漏洞管理
将威胁和漏洞管理（TVM）整合到您的漏洞管理程序中。查看 Microsoft 指南中的 3.3.2。Azure DevOps 和 Microsoft Sentinel自动化 Azure DevOps 中的 Sentinel 集成和部署操作。Sentinel 与 Azure DevOps 集成Microsoft Defender XDR 和 Sentinel将 Microsoft Defender XDR 和 Defender for Cloud 与 Sentinel 集成。用于零信任的 Sentinel 和 Defender XDR

DoD 活动说明和结果	Microsoft 指导和建议
`Advanced` 3.5.1 持续操作授权 (cATO) 第 1 部分 DoD 组织在环境中利用自动化解决方案来标准化控制措施的监视，并提供用于识别偏差的功能。在适当的情况下，监视和测试将与 DevSecOps 流程集成。结果： - 控制派生已标准化并准备好实现自动化 - 控制测试与 DevSecOps 流程和技术集成	DoD 首席信息官 (CIO) 库将监视和测试集成到 DevSecOps 流程中。请参阅 DoD Enterprise DevSecOps 参考设计 - DoD CIO Library Microsoft Defender for Cloud 使用 Defender for Cloud 保护Azure和非Azure工作负荷。使用法规合规性和Azure Policy策略，通过配置标准持续评估基础设施。防止配置偏移。 - 分配安全标准 - 多云环境 Microsoft Sentinel 自动化 Sentinel 集成和部署操作与 GitHub 和 Azure DevOps。 - Sentinel 和 Azure DevOps 集成 - 从存储库部署自定义内容
`Advanced` 3.5.2 持续操作授权 (cATO) 第 2 部分 DoD 组织完全自动化控制派生、测试和监视流程。使用现有的跨支柱自动化基础结构自动测试和解决偏差。仪表板用于监视授权状态，分析结果将与负责的授权官员的结果集成。</br> 结果： - 控制测试完全自动化 - 与标准 IR 和 SOC 操作的集成将自动化	Microsoft Defender 威胁和漏洞管理将威胁和漏洞管理（TVM）整合到您的漏洞管理程序中。查看 Microsoft 指南中的 3.3.2。Azure DevOps 和 Microsoft Sentinel自动化 Azure DevOps 中的 Sentinel 集成和部署操作。Sentinel 与 Azure DevOps 集成Microsoft Defender XDR 和 Sentinel将 Microsoft Defender XDR 和 Defender for Cloud 与 Sentinel 集成。用于零信任的 Sentinel 和 Defender XDR

后续步骤

为 DoD Zero Trust 策略配置Microsoft云服务：

反馈

此页面是否有帮助？

Last updated on 2026-03-26

DoD 活动说明和结果	Microsoft 指导和建议
`Target` 3.3.1 批准的二进制文件/代码 DoD 企业遵循最佳做法有条不紊地管理批准的二进制文件和代码。这些方法包括供应商寻源风险管理、批准的存储库用法、材料清单供应链风险管理和行业标准漏洞管理。结果： - 评估并识别已批准来源的供应商寻源风险 - 建立存储库和更新通道以供开发团队使用 - 创建应用程序材料清单并识别来源、可支持性和风险态势 - 引入行业标准 (DIB) 和批准的漏洞数据库以在 DevSecOps 中使用	GitHub Actions 标准化 DevSecOps 流程，通过持续集成和持续交付（CI/CD）管道生成软件材料清单（SBOM）。 &tl;c0 /><c1 /><c2>生成软件原料清单</c2><c3 /><c4 />使用 GitHub 的 Dependabot 和 CodeQL 自动执行安全检查和扫描依赖项漏洞。<c5 /><c6 /><c7>CodeQL 代码扫描</c7><c8 /><c9 /><c10>安全供应链</c10><c11 /><c12 /><c13>Windows Defender 应用程序控制</c13><c14 />使用 Windows Defender 应用程序控制，以防止在托管终结点上执行不受信任的代码。<c15 /><c16 /><c17>应用控制和 AppLocker</c17><c18 /><c19 /><c20>平台代码完整性</c20><c21 /><c22 />
`Target` 3.3.2 漏洞管理计划第 1 部分 DoD 企业与各组织合作来制定和管理漏洞管理计划。该计划包括所有组织议定的策略和标准。制定的计划至少包括基于 DoD 应用程序/服务的公共漏洞跟踪和管理。组织与主要利益干系人组建漏洞管理团队，根据企业策略和标准探讨和管理漏洞。结果： - 组建漏洞管理团队并分配适当的利益干系人成员资格 - 漏洞管理策略和流程已实施到位，并得到利益干系人的同意 - 利用公开漏洞源进行跟踪	威胁和漏洞管理 VM 功能可以实现资产可见性和智能评估。 TVM 为终结点和服务器提供内置的修正工具。将 TVM 与漏洞管理程序结合使用，查看 Microsoft Defender TVM，Microsoft 云安全基准，回顾 Microsoft 在线服务如何执行漏洞管理。查看 TVM 概述及其状况和漏洞管理。
`Target` 3.3.3 漏洞管理计划第 2 部分在 DoD 企业级别建立流程，用于管理 DoD 维护/操作的、可公开和私密访问的服务中漏洞的披露。 DoD 组织扩展了漏洞管理计划，以跟踪和管理 DIB、CERT 等封闭漏洞存储库。结果： - 利用受控（例如 DIB、CERT）的漏洞源进行跟踪 - 漏洞管理计划提供一个流程用于接受托管服务的外部/公开披露	Threat and Vulnerability Management 使用 Microsoft Defender TVM 中的漏洞页面来识别和优先处理您组织的设备和服务器上发现的漏洞。 - 组织中的漏洞使用 TVM 漏洞设备报告追踪修复活动。 - 漏洞设备报告
`Target` 3.3.4 持续验证 DoD 组织将针对应用程序开发实施持续验证方法，在验证过程中将执行并行部署并与批准的环境级别（例如用户验收测试、生产）集成。识别出无法将持续验证集成到 CI/CD 流程的应用程序，并根据需要有条不紊地提供例外情况。结果： - 更新的应用程序将部署在实时和/或生产环境中 - 标记为停用和有待过渡的应用程序将被去除 - 实施持续验证工具并将其应用于 CI/CD 管道中的代码 - 识别需要持续验证的代码并制定验证标准	Azure Chaos Studio 使用 Azure Chaos Studio 验证工作负载。 - 持续验证 GitHub Advanced Security 利用 GitHub 功能和操作进行漏洞管理于 DoD 企业 DevSecOps 参考设计中。请参阅 Microsoft 指南中的 3.2.1。

DoD 活动说明和结果	Microsoft 指导和建议
`Target` 3.4.1 资源授权第 1 部分 DoD 企业与组织一起将资源授权方法（例如软件定义的外围）标准化。资源授权网关至少需要与标识和设备集成。组织部署批准的资源授权网关，并为面向外部的应用程序/服务启用这些网关。其他需要迁移的应用程序以及无法迁移的应用程序将被标识为例外或有待去除。结果： - 为面向外部的应用程序部署资源授权网关 - 与标识和设备集成的资源授权策略 - 向利益干系人传达企业范围的有关转换标准的指导	Microsoft Entra ID Microsoft Entra 是应用程序资源的授权网关。将现代和遗留应用程序与 Microsoft Entra 集成以实现单点登录（SSO）。请参阅 Microsoft 指南 1.2.4 。使用 Microsoft Entra ID Governance 应用角色来访问应用程序。使用静态成员身份、动态 Microsoft Entra 安全组或权限管理访问包将用户分配到应用角色。 - 向应用添加应用角色，并在令牌中接收这些角色 - 基于角色的访问控制条件访问使用条件访问策略动态授权、控制或阻止应用程序访问。 >请参阅 Microsoft 在 User 中的指南 1.8.3 和在 Device 中的指南 2.1.4。Azure 应用程序网关启用具有应用程序网关和 Web 应用程序防火墙的公共访问 Web 应用程序和 API。请参阅 Microsoft 指南 3.2.3。
`Target` 3.4.2 资源授权第 2 部分资源授权网关用于所有可能的应用程序/服务。无法利用网关的应用程序将通过基于风险的系统方法停用或作为例外处理。授权进一步与 CI/CD 管道集成，以实现自动化决策。结果： - 资源授权网关用于所有应用程序 - 资源授权与 DevSecOps 和 CI/CD 集成以实现功能自动化	Microsoft Entra Workload ID 利用工作负荷身份联合来配置用户分配的托管身份，或者通过应用注册配置以信任来自外部身份提供者（IdP）的令牌。将联合工作负荷标识用于 GitHub Actions 工作流。 - 工作负载身份联合 Azure API Management 使用 Azure API Management 管理、授权并将托管在 Azure 内外的服务公开为 API。 - Azure API Management
`Target` 3.4.3.SDC 资源授权第 1 部分 DoD 企业遵循行业最佳做法，为基于代码的计算管理（例如软件定义的计算）提供标准化方法。通过基于风险的方法，使用批准的代码库和包集创建基线。 DoD 组织使用批准的代码/二进制文件活动，以确保识别出能够或不能够支持该方法的应用程序。识别能够支持新式基于软件的配置和管理方法的应用程序并开始过渡。识别无法遵循基于软件的配置和管理方法的应用程序，并有条不紊地通过例外项来允许使用这些应用程序。结果： - 无法更新为使用批准的二进制文件/代码的应用程序将标记为停用，并为其创建过渡计划 - 已识别出的没有批准的二进制文件和代码的应用程序将更新为使用批准的二进制文件/代码 - 向利益干系人传达企业范围的有关转换标准的指导	安全开发设计、开发，并按照安全开发生命周期和已发布的最佳实践部署Azure应用程序。安全开发基础设施即代码Azure策略作为代码工作流Microsoft Entra ID使用Microsoft标识平台进行应用程序身份验证和授权。迁移应用和身份验证Azure迁移迁移到新式应用平台（如Azure Kubernetes服务（AKS）和应用服务容器）。将工作负载迁移到新式应用平台评估ASP.NET应用迁移到AKS评估ASP.NET应用迁移到Azure应用服务
`Target` 3.4.4 SDC 资源授权第 2 部分支持基于软件的配置和管理的应用程序已过渡到生产/实时环境并处于正常运行状态。如果可能，将去除无法支持基于软件的配置和管理的应用程序。结果： - 更新的应用程序部署在实时和/或生产环境中 - 去除标记为停用和有待过渡的应用程序	Azure Migrate 使用 Azure Migrate 应用容器化工具对 ASP.NET 应用和 Java Web 应用进行容器化和迁移。停用无法现代化的应用程序。 - ASP.NET 应用容器化和迁移到 AKS - ASP.NET 应用容器化和迁移到 Azure App Service - JavaWeb 应用容器化和迁移到 AKS - Java Web 应用容器化并迁移到 Azure App Service
`Advanced` 3.4.5 扩充资源授权属性第 1 部分来自用户和实体活动监视、微分段服务、DLP 和数据权限管理 (DRM) 等源的初始属性将集成到资源授权技术栈和策略。识别任何其他属性并为后续的集成做好规划。属性用于创建用户、非人员实体 (NPE) 和设备的基本风险态势，以做出授权决策。结果： - 大多数 API 调用都将通过安全 API 网关传递 - 资源授权从分析引擎接收数据 - 授权策略在授权决策中整合识别的属性 - 识别用于初始扩充的属性	Microsoft Entra应用程序使用Microsoft Entra ID来授权新式应用程序和 API。部署Microsoft Entra应用程序代理和启用Azure Arc的服务器，以将Microsoft Entra ID扩展到旧式身份验证协议。请参阅 Microsoft 指南的 3.1.1 和 3.2.3。条件访问 Microsoft Entra 是用于资源授权的安全网关。条件访问是授权引擎。使用用户、应用程序、用户、环境条件（包括设备合规状态）配置详细授权策略。 - 条件访问 - 条件访问设计 - 需要合规设备动态安全组基于用户属性创建动态安全组。使用动态组来设置条件访问策略的范围以进行静态属性授权，基于用户属性。 - 组的动态成员身份 - 用户、组和工作负荷标识 Microsoft Purview 敏感信息类型使用精确数据匹配（EDM）定义敏感信息类型。将敏感信息类型与 Microsoft Purview 信息保护和 Purview 数据丢失防护 (DLP) 策略结合使用。 - 基于敏感信息类型的数据匹配 - 发现和保护敏感信息 Microsoft Entra ID 治理使用 Microsoft Entra ID 治理，以应用角色访问应用程序。使用静态成员资格、动态安全组或权限管理访问包将用户分配到应用角色。 - 添加应用角色并在令牌中接收这些角色 - 基于角色的访问控制
`Advanced` 3.4.6.扩充资源授权属性第 2 部分扩展标识属性与资源授权技术和策略集成。在各种属性中引入置信度评分，以自动创建更高级的授权决策方法。结果： - 授权策略在授权决策中整合置信度 - 定义属性的置信度级别	Microsoft Entra ID Protection 在条件访问策略集中使用来自Microsoft Entra ID Protection的登录风险和用户信号。配置身份验证上下文，包括风险以建立置信度，基于环境详细信息和风险级别。 - Microsoft Entra ID 风险 - 策略模板：登录风险 MFA - 身份验证上下文示例请参阅 Microsoft 指南 1.3.3，见用户。管理并为 Microsoft Entra ID 用户分配自定义安全属性。使用角色分配条件进行基于属性的动态访问控制 (ABAC)。 - 自定义安全属性
`Advanced` 3.4.7.REST API 微分段使用 DoD 企业批准的 API 网关对应用程序调用进行微分段，以便仅在经过身份验证和授权的情况下访问特定目标（例如微服务）。如果可能，API 微分段控制台将会集成并感知其他微分段控制台，例如软件定义的外围控制器和/或软件定义的网络控制台。结果： - 批准的企业 API 已被适当地微分隔	Azure网络和连接性隔离、筛选和控制入口流量和出口流量的网络流量。在可用网络边界使用本地化网络控制来应用深层防御原则。遵循 Azure Well-Architected Framework. - 网络和连接建议 - 分段策略建议 API 设计遵循设计微服务 API 的推荐做法。使用 Microsoft Entra ID 保护和授权 API。 - Microservice APIs - 保护 API