初次提交文件屬於認證的預評估階段。 所提供的資訊將為認證分析師提供必要的背景,以辨識哪些控制與系統元件屬於您的評估範圍。 本文件僅作為您初次提交文件的範例。 你所提供的文件會依據解決方案的架構設計、實作與管理方式而有所不同。
合作夥伴中心的 複製功能 允許開發者在初次提交文件階段複製其他應用程式或代理人的證據。
你的應用程式/代理程式使用的主機環境或服務模式是什麼?
軟體即服務 (SaaS) 是一種基於雲端的軟體交付模式,使用者透過網際網路存取應用程式,而非在本地安裝與維護。 獨立軟體供應商(ISV)負責託管和管理應用程式/代理、基礎設施、安全性及更新,而客戶通常以訂閱制方式付費。
平台即服務(PaaS) (PaaS) 是一種雲端服務模式,其中基礎設施元件由雲端服務提供者管理。 ISV 僅負責部署自己的應用程式與服務。 例子包括 Azure App Services、Azure Functions 同 Azure CDN。
基礎設施即服務(Infrastructure as a Service) (IaaS) 是一種雲端服務模式,雲端服務提供商負責託管基礎設施元件,但獨立軟體供應商仍需負責個別部署與管理元件,如虛擬機器/作業系統、資料儲存庫及網路元件。 例如Azure虛擬機器與Azure磁碟儲存。
在此情境下,ISV Hosted 意指不使用雲端服務提供者。 ISV 在本地獨立管理自己的伺服器、磁碟和網路。
此處的混合指的是使用上述多種模式之一。 例如,有些獨立軟體供應商可能選擇混合使用IaaS服務與PaaS服務來支援其應用程式,或是擁有部分本地ISV託管元件,並將其他元件外包給雲端服務提供者。 如果你使用多種服務模式,請選擇混合模式。
滲透測試報告
附上完整的滲透測試報告,並註明完成日期,證明測試已在過去12個月內完成。
這份報告必須是透過人工滲透測試產生的,不能是自動掃描/測試工具的輸出。
此報告必須包含支援該應用程式/代理程式部署的環境,以及任何支援該應用程式/附加元件/代理運作的額外環境。
請點此查看,了解更多關於評估範圍的要求。
系統元件清單
提供支援基礎設施所使用的所有系統元件的最新清單。 這些資料將用於評估階段的抽樣。 如果你的環境包含 PaaS,能提供所有 PaaS 服務的詳細資料會很有幫助。
註: IaaS/PaaS 不會有任何硬體會由 ISV 控制。 在這種情況下,請提供所有視覺資源的清單或截圖。
範例:
| 資產名稱 | 資產類型 | 描述 | 製造商 | Model |
|---|---|---|---|---|
| D212 | Windows 機器 | 虛擬機器 | 不適用 | 不適用 |
| LT101 | 筆記型電腦 | 工作站 | Microsoft | 第三表面 |
| C2938 | 參數 | 參數 | 不適用 | 不適用 |
| LXM2 | Linux Machine | 測試機 | 不適用 | 不適用 |
軟體清查
包含所有軟體資產的最新清單,包括範圍內所有使用的軟體及其版本。
範例:
| 軟體 | Publisher | 版本 | 用途 |
|---|---|---|---|
| Windows 伺服器 | Microsoft 2016 | 建造 14393 | 用於生產環境的伺服器作業系統 |
| Linux Ubuntu | 不適用 | 16.04 (Xenial) | DMZ 內使用的伺服器作業系統。 |
| ESXi | VMware | 6.5.0 (建置 13004031) | 用來支援虛擬伺服器。 |
| Mysql (Windows) | 不適用 | 8.0.2.1 | 資料庫伺服器用來儲存聊天紀錄。 |
| 雄貓 | 阿帕奇 | 7.0.92 | 客戶入口網站。 |
| IIS | Microsoft | 10.0 | 支援 API。 |
第三方依賴
列出應用程式/外掛/代理使用的所有依賴,並列明目前執行版本的文件。
範例:
| 網路相依 | 目前使用的版本 |
|---|---|
| JQuery | 3.5.1 |
| 反應 | 16.13.1 |
| 自助式 | 4.5.2 |
| Express | 4.17.1 |
| Angular | 10.0.14 |
| AngularJS | 1.8.0 |
公共 IP 位址
詳細說明支援基礎設施所使用的所有公共 IP 位址與網址。 除非已實施足夠的分段來分割使用範圍 (否則必須包含分配給環境的完整可路由IP範圍,) 需充分證據分段。
範例:
| URL | IP 位址 |
|---|---|
| https://portal.contoso.com | 40.113.200.201 |
| https://filesapi.contoso.com | 40.113.200.201 |
| https://customerapi.contoso.com | 40.113.200.202 |
| https://bot.contoso.com | 40.113.200.202 |
| 不 (跳轉伺服器) | 40.113.200.200 |
資源端點
API Name Endpoint Address Contoso Customer API https://customerapi.contoso.com Contoso Bot Service https://bot.contoso.com Contoso Files APIhttps://filesapi.contoso.com
完整列出您的應用程式/代理使用的所有 API 端點,包括內部開發及外部資源端點。 為了幫助理解環境範圍,請在你的環境中提供 API 端點位置。
範例:
| API 名稱 | 終端位址 |
|---|---|
| Contoso Customer API | https://customerapi.contoso.com |
| Contoso Bot Service | https://bot.contoso.com |
| Contoso Files API | https://filesapi.contoso.com |
| Microsoft Graph | https://graph.microsoft.com/v1.0/| |
建築圖
一個邏輯架構圖,代表你應用程式/外掛/代理程式支援基礎設施的高階概覽。 這必須包含所有支援該應用程式/外掛/代理的主機環境及支援基礎設施。 此圖必須描繪環境中所有不同的支援系統元件,以協助認證分析師了解系統範圍並決定抽樣。 同時也說明所使用的主機環境類型;SaaS、ISV 託管、IaaS、PaaS 或混合型。 若使用PaaS,請標示用於提供環境中支援服務的各種PaaS服務。 確保所有 AI 整合都包含在內。
資料流程圖
以下流程圖說明:
資料會流向應用程式/附加元件/代理 (,包括客戶資料) 。
支援基礎設施內的資料流動 (適用)
圖表會強調資料儲存地點與內容、資料如何傳遞給外部第三方, (包括第三方) 的細節,以及資料如何在開放/公共網路傳輸與靜態時受到保護。
外部認證 (SOC2、PCI DSS、FedRamp、ISO27001) - 選配
如果您已取得 SOC2、PCI DSS、FedRamp 或 ISO27001 認證,且在過去 12 個月內已發布包含完整認證範圍及支持環境的報告,您可以在初次提交文件時提交。 我們將嘗試利用它來滿足部分控制條件,並加快您的評估。 然而,取得 Microsoft 365 認證並非必須。