Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Stratégie et feuille de route de Confiance Zéro du DoD décrit un parcours pour les composants DoD (Department of Defense) et des partenaires DIB (Defense Industrial Base) pour adopter un nouveau cadre de cybersécurité basé sur les principes de Confiance Zéro. Confiance Zéro élimine les hypothèses traditionnelles de périmètre et de confiance, ouvrant la voie à une architecture plus efficace qui améliore la sécurité, les expériences utilisateur et les performances des missions.
Ce guide contient des recommandations pour les 152 activités de Confiance Zéro de la feuille de route d’exécution des capacités Confiance Zéro du DoD. Les sections correspondent aux sept piliers du modèle Confiance Zéro du DoD.
Utiliser les liens suivants pour accéder aux sections du guide.
- Introduction
- Utilisateur
- Appareil
- Applications et charges de travail
- Données
- Réseau
- Automatisation et orchestration
- Visibilité et analyse
3 Applications et charges de travail
Cette section contient des conseils et des recommandations Microsoft pour les activités de Confiance Zéro du DoD dans le pilier Applications et charges de travail. Pour plus d’informations, consultez Sécuriser les applications avec Confiance Zéro.
Remarque
Les recommandations de cette section s'alignent sur le projet de conception de référence DevSecOps de l'entreprise DoD.
3.1 Inventaire des applications
Microsoft Entra ID est un fournisseur d’identité (IDP) pour les applications et les plateformes cloud, pas seulement Microsoft 365 et Azure. Microsoft Entra ID inclut des portails web et des API RESTful pour récupérer des listes d’applications intégrées. Microsoft Defender pour Cloud Apps, un composant de Microsoft Defender XDR, dispose de fonctionnalités permettant de découvrir, d’inventorier et de bloquer les applications non approuvées.
| Description et résultat de l’activité DoD | Conseils et recommandations de Microsoft |
|---|---|
Target 3.1.1 Application/Identification du codeLes organisations du DoD créent un inventaire des applications et du code approuvés (par exemple, code source, bibliothèques, etc.). Chaque organisation effectue le suivi de la prise en charge (par exemple, active, héritée, etc.) et de l’emplacement hébergé (par exemple, cloud, local, hybride, etc.) au moins dans l’inventaire. Résultat: - Le composant a identifié des applications et classés comme hérités, virtualisés localement et hébergés dans le cloud |
Microsoft Entra ID Utilisez le Centre d’administration Microsoft Entra pour télécharger la liste des applications inscrites Microsoft Entra. Sélectionnez Télécharger dans le ruban supérieur. - Type de ressource d’application Si votre organisation utilise les services de fédération Active Directory (AD FS), déployez Microsoft Entra Connect Health. Utilisez le rapport d’activité de l’application pour découvrir les applications AD FS. - Surveiller AD FS avec Connect Health - Rapport d'activité de l'application Microsoft Defender Vulnerability Management Utilisez l’inventaire logiciel dans Defender Vulnerability Management pour afficher les logiciels de votre organisation. - Inventaire logiciel Microsoft Defender pour Cloud Apps Configurer Cloud Discovery dans Defender pour Cloud Apps pour obtenir un instantané des applications accessibles par les utilisateurs. - Configurer Cloud Discovery - Examiner les applications Applications découvertes par Microsoft Intune Les applications découvertes Intune sont détectées par les appareils inscrits par Intune dans le locataire. Il s’agit d’un inventaire logiciel du locataire. Sur les appareils d’entreprise, les applications ou les applications gérées ne sont pas collectées pour ce rapport. - Applications découvertes Azure DevOps Utilisez ce service pour la gestion sécurisée des packages. Les développeurs partagent du code et gèrent des packages à un seul endroit. - Azure Artifacts - Azure GitHub repos |
3.2 Sécuriser le développement et l’intégration de logiciels
Les fonctionnalités GitHub telles que GitHub Advanced Security (GHAS) et GitHub Actions vous aident à établir des pratiques de développement et de déploiement de logiciels Confiance Zéro. GitHub Enterprise Cloud s’intègre à Microsoft Entra ID pour gérer les droits d’utilisation avec la gouvernance des Microsoft Entra ID et sécuriser l’accès avec les stratégies d’accès conditionnel.
Les développeurs peuvent utiliser les bibliothèques d’authentification Microsoft (MSAL) pour intégrer des applications à Microsoft Entra ID. Pour plus d’informations, consultez Authentifier les utilisateurs pour Confiance Zéro.
| Description et résultat de l’activité DoD | Conseils et recommandations de Microsoft |
|---|---|
Target 3.2.1 Générer la fabrique de logiciel DevSecOps Pt1L’entreprise DoD crée les normes fondamentales pour les processus DevSecOps modernes et les pipelines CI/CD. Les concepts sont appliqués dans une pile de technologies standardisée dans les organisations DoD capables de répondre aux futures exigences de sécurité des applications. Un programme de gestion des vulnérabilités à l’échelle de l’entreprise est intégré aux pipelines CI/CD en suivant les activités du programme de gestion des vulnérabilités. Résultats: - Normes de données/services élaborées pour DevSecOps - CI/CD Pipeline est entièrement fonctionnel et testé correctement - Le programme gestion des vulnérabilités est officiellement en place et en cours d’exploitation |
GitHub Actions GitHub Actions utilise l’intégration continue et la livraison continue (CI/CD) pour automatiser les pipelines de déploiement. - GitHub Actions GitHub Advanced Security Utilisez GitHub Advanced Security pour GitHub et Azure DevOps pour améliorer la sécurité de vos processus de code et de développement. - Advanced Security - Advanced Security pour Azure DevOps Microsoft Entra SSO et l’approvisionnement Configurer l’authentification unique (SSO) pour les outils Git à l’aide de Microsoft Entra ID. - Intégration de l’authentification unique à GitHub avec l’organisation Enterprise Cloud - Intégration de l’authentification unique à GitHub Enterprise Server - Connecter une organisation à Microsoft Entra ID Pour en savoir plus sur DevSecOps pour Azure et d’autres clouds, consultez La bibliothèque du Directeur des systèmes d'information (CIO). |
Target 3.2.2 Générer la fabrique de logiciel DevSecOps Pt2Les organisations du DoD utiliseront leurs pipelines CI/CD approuvés pour développer la plupart des nouvelles applications. Toutes les exceptions suivent un processus d’approbation standardisé pour être autorisé à se développer de manière héritée. Les processus DevSecOps sont également utilisés pour développer toutes les nouvelles applications et mettre à jour des applications existantes. Les fonctions de validation continue sont intégrées aux pipelines CI/CD et aux processus DevSecOps et intégrées aux applications existantes. Résultats: - Le développement d’applications est migré vers le pipeline CI/CD - Le processus/la technologie de validation continue est implémenté et en cours d’utilisation - Le développement d’applications est migré vers le processus et la technologie DevSecOps |
GitHub Advanced Security Utilisez GitHub Advanced Security pour rechercher les dépendances et les vulnérabilités du code. Configurez des builds périodiques pour évaluer la qualité du code. - Advanced Security - Analyse du code CodeQL - Chaîne d’approvisionnement sécurisée Bicep dans Azure Provisionner une infrastructure cloud à l’aide d’infrastructure en tant que code (IaC) avec Azure Resource Manager (ARM) et Bicep Modèles. - Bicep Microsoft Defender pour Cloud activer les protections de charge de travail Defender pour cloud pour les abonnements avec des charges de travail d’application. - Protéger les charges de travail cloud Microsoft Defender pour DevOps Utilisez Defender pour DevOps pour surveiller la sécurité et les alertes des pipelines dans Azure DevOps (ADO) et GitHub. - Defender pour DevOps |
Target 3.2.3 Automatiser la sécurité des applications et la correction du code Pt1Une approche standardisée de la sécurité des applications, y compris la correction du code, est implémentée dans l’entreprise DoD. La première partie (1) de cette activité inclut l’intégration d’une passerelle d’API sécurisée avec des applications utilisant l’API ou des appels similaires. Les révisions de code sont effectuées dans une approche méthode et des protections standardisées pour les conteneurs et leur infrastructure sont en place. En outre, toutes les fonctions serverless où le tiers gère l’infrastructure telle que PaaS (Platform as a Service) utilisent des fonctions de surveillance et de réponse de sécurité serverless adéquates. Les révisions de code, les fonctions de sécurité conteneur et serverless sont intégrées au processus CI/CD et/ou DevSecOps selon les besoins. Résultats: - La passerelle API sécurisée est opérationnelle et la majorité des appels d’API passent par le biais de la passerelle - Fonctions de sécurité des applications (par exemple, révision du code, conteneur et sécurité serverless) sont implémentées dans le cadre de CI/CD et DevSecOps |
Azure Application Gateway Placer des applications web et des API accessibles publiquement avec Azure Application Gateway et le pare-feu d’applications web. - Pare-feu d’applications web Applications Microsoft Entra ID Microsoft Entra ID est une passerelle d’autorisation pour l’accès aux applications web et aux API. Exposer des API pour les applications inscrites à l’aide de Microsoft Entra. Utilisez l’authentification et l’autorisation intégrées (authentification facile) dans Azure App Service et Azure Functions. Pour les API non compatibles avec Microsoft Entra ID, utilisez l’autorisation OAuth dans la gestion des API Azure. - Configurer une application pour exposer l’API web - Authentifier et autoriser dans Azure App Service et Azure Functions - Authentifier et autoriser les API GitHub Advanced Security Utilisez GitHub Advanced Security pour GitHub et Azure DevOps. Consultez les conseils de Microsoft dans la section 3.2.1. Microsoft Defender pour le cloud Activer les protections de charges de travail Defender pour le cloud pour les abonnements Azure avec des charges de travail d’API. Consultez les conseils de Microsoft dans la section 3.2.2. |
Advanced 3.2.4 Automatiser la sécurité des applications et la correction du code Pt2Les organisations du DoD modernisent les approches pour fournir des services développés et gérés en interne en suivant les approches recommandées telles que les microservices. Ces approches permettront des architectures plus résilientes et sécurisées en permettant des modifications plus rapides du code dans chaque microservice, car des problèmes de sécurité sont détectés. D’autres activités de correction de la sécurité continuent dans l’entreprise DoD avec l’inclusion de fonctions de sécurité d’exécution pour les conteneurs selon les mises à jour des bibliothèques vulnérables automatisées et les approbations CI/CD automatisées pendant le processus de mise en production. Résultats: - La passerelle d’API sécurisée est opérationnelle et la majorité des appels d’API passent par la passerelle - Les services sont fournis à la suite d’une architecture orientée service (SOA) - Les activités de correction de la sécurité (par exemple, la sécurité du runtime, les mises à jour de bibliothèque, les approbations de publication) sont entièrement automatisées |
Effectuer les activités 3.2.2 et 3.2.3. |
3.3 Gestion des risques logiciels
GitHub Actions permet d’automatiser, de personnaliser et d’exécuter des workflows de développement logiciel pour DevSecOps. Avec GitHub Actions, générez une facture logicielle de matériaux (SBOM), analysez le code et recherchez les vulnérabilités de la chaîne logistique et des dépendances. Pour en savoir plus sur GitHub Actions, consultez GitHub Actions.
| Description et résultat de l’activité DoD | Conseils et recommandations de Microsoft |
|---|---|
Target 3.3.1 Binaires/Code approuvésL’entreprise DoD utilise des approches recommandées pour gérer les fichiers binaires et le code approuvés dans une approche méthodique. Ces approches incluent la gestion des risques d’approvisionnement des fournisseurs, l’utilisation des référentiels approuvés, la gestion des risques de la chaîne d’approvisionnement des matériaux et la gestion des vulnérabilités standard du secteur. Résultats: - Le risque d’approvisionnement des fournisseurs est évalué et identifié pour les sources approuvées - Référentiel et canal de mise à jour établi pour une utilisation par les équipes de développement - La facture de matériaux est créée pour les applications identifient la source, la prise en charge et la posture des risques - Norme du secteur (DIB) et les bases de données de vulnérabilité approuvées sont extraites pour être utilisées dans DevSecOps |
GitHub Actions Normaliser les processus DevSecOps pour générer une facture logicielle de matériaux (SBOM) avec un pipeline d’intégration continue et de livraison continue (CI/CD). - Générer des factures logicielles de matériaux Utilisez GitHub Dependabot et CodeQL pour automatiser les vérifications de sécurité et analyser les vulnérabilités des dépendances. - Analyse du code CodeQL - Chaîne d’approvisionnement sécurisée Windows Defender Application Control Utilisez le contrôle d’application Windows Defender pour empêcher l’exécution de code non approuvé sur des points de terminaison managés. - Contrôle d’application et App locker - Intégrité du code de la plate-forme |
Target 3.3.2 Programme de gestion des vulnérabilités Pt1L’entreprise DoD collabore avec les organisations pour établir et gérer un programme de gestion des vulnérabilités. Le programme comprend une politique et des normes approuvées par toutes les organisations. Le programme développé inclut au minimum le suivi et la gestion des vulnérabilités publiques en fonction des applications/services DoD. Les organisations établissent une équipe de gestion des vulnérabilités avec les principales parties prenantes où les vulnérabilités sont abordées et gérées en suivant la stratégie et les normes d’entreprise. Résultats: - L’équipe de gestion des vulnérabilités est en place avec l’adhésion appropriée aux parties prenantes - La stratégie et le processus de gestion des vulnérabilités sont en place et convenus avec les parties prenantes - La source publique de vulnérabilités est utilisée pour le suivre |
Fonctionnalités de gestion des menaces et des vulnérabilités Les machines virtuelles permettent une visibilité des ressources et des évaluations intelligentes. TVM dispose d’outils de correction intégrés pour les points de terminaison et les serveurs. Utilisez TVM avec un programme de gestion des vulnérabilités. - Microsoft Defender TVM Benchmark de sécurité cloud Microsoft Vérifiez comment les services en ligne Microsoft effectuent la gestion des vulnérabilités. - Vue d’ensemble de TVM - Posture et gestion des vulnérabilités |
Target 3.3.3 Programme de gestion des vulnérabilités Pt2Des procédures sont établies au niveau de l'entreprise DoD pour gérer la divulgation des vulnérabilités des services maintenus/exploités par le DoD, qu'ils soient accessibles au public ou au privé. Les organisations DoD étendent le programme de gestion des vulnérabilités pour suivre et gérer les référentiels de vulnérabilités fermés tels que DIB, CERT et d’autres. Résultats: - Les sources de vulnérabilités contrôlées (par exemple, DIB, CERT) sont utilisées pour suivre - Le programme de gestion des vulnérabilités a un processus d’acceptation des divulgations externes/publiques pour les services managés |
Gestion des menaces et des vulnérabilités Utilisez la page des faiblesses de Microsoft Defender TVM pour identifier et hiérarchiser les vulnérabilités découvertes sur les appareils et serveurs de votre organisation. - Vulnérabilités dans l’organisation Suivez les activités de correction à l’aide du rapport des appareils vulnérables TVM. - Rapport sur les appareils vulnérables |
Target 3.3.4 Validation continueLes organisations du DoD implémentent une approche de validation continue pour le développement d’applications où le déploiement parallèle est effectué et intégré à un niveau d’environnement approuvé (par exemple, test d’acceptation des utilisateurs, production). Les applications incapables d’intégrer une validation continue dans leur processus CI/CD sont identifiées et les exceptions sont fournies selon les besoins à l’aide d’une approche méthode. Résultats: - Les applications mises à jour sont déployées dans un environnement en direct et/ou en production - Les applications marquées pour la mise hors service et la transition sont désactivées - Les outils de validation continue sont implémentés et appliqués au code dans le pipeline CI/CD - Le code nécessitant une validation continue est identifié et les critères de validation sont établis |
Azure Chaos Studio Utiliser Azure Chaos Studio pour valider les charges de travail. - Validation continue GitHub Advanced Security Utiliser les fonctionnalités et actions GitHub pour la gestion des vulnérabilités dans la conception de référence DoD Enterprise DevSecOps. Consultez les conseils de Microsoft dans la section 3.2.1. |
3.4 Autorisation et intégration des ressources
L’accès conditionnel est le moteur de stratégie Confiance Zéro dans Microsoft Entra ID. Connectez vos charges de travail d’application avec Microsoft Entra ID. Utilisez Microsoft Entra ID Governance pour gérer les droits d’utilisation et sécuriser les connexions avec des stratégies d’accès conditionnel. Les stratégies utilisent des attributs de sécurité, tels que l’intégrité de l’appareil, les détails de session et les risques pour prendre des décisions d’accès adaptatif. Les pipelines Microsoft Entra ID, Azure Resource Manager et CI/CD autorisent le déploiement de ressources dans Azure.
| Description et résultat de l’activité DoD | Conseils et recommandations de Microsoft |
|---|---|
Target 3.4.1 Autorisation des ressources Pt1L’entreprise DoD standardise les approches d’autorisation des ressources (par exemple, périmètre défini par logiciel) avec les organisations. Au minimum, les passerelles d’autorisation des ressources seront intégrées aux identités et aux appareils. Les organisations déploient des passerelles d’autorisation de ressources approuvées et activent pour les applications/services externes. D’autres applications pour la migration et les applications ne peuvent pas être migrées sont identifiées pour l’exception ou la désactivation. Résultats: - La passerelle d’autorisation des ressources est en place pour les applications externes - Stratégie d’autorisation des ressources intégrée à l’identité et aux appareils - Les conseils à l’échelle de l’entreprise sur les normes de conversion sont communiqués aux parties prenantes |
Microsoft Entra ID Microsoft Entra est une passerelle d’autorisation pour les ressources d’application. Intégrez des applications modernes et héritées pour l’authentification unique à Microsoft Entra. Consultez les conseils Microsoft 1.2.4 dans Utilisateur. Microsoft Entra ID Governance Utilisez des rôles d’application de gouvernance de Microsoft Entra ID pour l’accès aux applications. Attribuer des utilisateurs aux rôles d’application à l’aide de l’appartenance statique, des groupes de sécurité Microsoft Entra dynamiques ou des packages d’accès à la gestion des droits d’utilisation. - Ajouter des rôles d’application à une application et les recevoir dans un jeton - Contrôle d’accès en fonction du rôle Accès conditionnel Utilisez des stratégies d’accès conditionnel pour autoriser dynamiquement, contrôler ou bloquer l’accès aux applications. Consultez les conseils de Microsoft dans la section 1.8.3 dans Utilisateur et la section 2.1.4 dans Appareil. Azure Application Gateway Activer les applications et API web accessibles publiquement avec Application Gateway et Web Application Firewall. Consultez les conseils de Microsoft dans la section 3.2.3. |
Target 3.4.2 Autorisation de ressource Pt2Les passerelles d’autorisation des ressources sont utilisées pour toutes les applications/services possibles. Les applications incapables d’utiliser des passerelles sont désaffectées ou à l’exception d’une approche méthode basée sur les risques. Les autorisations sont intégrées au pipeline CI/CD pour la prise de décision automatisée. Résultats: - La passerelle d’autorisation des ressources est utilisée pour toutes les applications - L’autorisation de ressource est intégrée à DevSecOps et CI/CD pour les fonctions automatisées |
ID de charge de travail Microsoft Entra Utilisez la fédération des identités de charge de travail pour configurer une identité managée affectée par l’utilisateur ou l’inscription d’application pour approuver des jetons à partir d’un fournisseur d’identité externe (IdP). Utilisez l’identité de charge de travail fédérée pour les flux de travail GitHub Actions. - fédération des identités de charge de travail Gestion des API Azure Utilisez Gestion des API Azure pour gérer, autoriser et exposer des services hébergés sur et en dehors d’Azure en tant qu’API. - Gestion API Azure |
Target 3.4.3. SDC Resource Authorization Pt1L’entreprise DoD fournit une approche standardisée pour la gestion du calcul basée sur le code (c.-à-d., Software Defined Compute) en suivant les meilleures pratiques du secteur. Les bases de référence basées sur les risques sont créées à l’aide de l’ensemble approuvé de bibliothèques et de packages de code. Les organisations DoD travaillent avec les activités de code/binaire approuvées pour s’assurer que les applications sont identifiées et ne peuvent pas prendre en charge l’approche. Les applications qui peuvent prendre en charge une configuration et une gestion logicielle modernes sont identifiées et la transition commence. Les applications qui ne peuvent pas suivre les approches de configuration et de gestion basées sur les logiciels sont identifiées et autorisées par le biais d’une exception à l’aide d’une approche méthode. Résultats: - Les applications ne peuvent pas être mises à jour pour utiliser des fichiers binaires/code approuvés sont marquées pour la mise hors service et les plans de transition sont créés - Les applications identifiées sans binaires approuvés et le code sont mises à jour pour utiliser des fichiers binaires/code approuvés - Les conseils à l’échelle de l’entreprise sur les normes de conversion sont communiqués aux parties prenantes |
Développement sécurisé Conception, développement et déploiement d’applications Azure en suivant le cycle de vie de développement de la sécurité et les meilleures pratiques publiées. - Développement sécurisé - Infrastructure en tant que code - Azure Policy en tant que flux de travail de code Microsoft Entra ID Utilisez la plateforme d’identités Microsoft pour l’authentification et l’autorisation des applications. - Migrer des applications et l’authentification Azure Migrate Migrate vers des plateformes d’applications modernes telles qu’Azure Kubernetes Service (AKS) et des conteneurs App Service. - Migrer des charges de travail vers des plateformes d’applications modernes - Évaluer les applications ASP.NET pour la migration vers AKS - Évaluer les applications ASP.NET pour la migration vers Azure App Service |
Target 3.4.4 SDC Autorisation des ressources Pt2Les applications qui prennent en charge la configuration et la gestion basées sur les logiciels ont été transférées vers un environnement de production/en direct et sont dans des opérations normales. Si possible, les applications qui ne peuvent pas prendre en charge la configuration et la gestion basées sur les logiciels sont désactivées. Résultats: - Les applications mises à jour sont déployées dans un environnement de production et/ou en direct - Les applications marquées pour la mise hors service et la transition sont désactivées |
Azure Migrate Conteneuriser et migrer les applications ASP.NET et les applications Web Java à l'aide de l'outil Azure Migrate : App Containerization. Désaffecter les applications qui ne peuvent pas être modernisées. - ASP.NET conteneurisation et migration d’applications vers AKS - ASP.NET conteneurisation et migration d’applications vers Azure App Service - Conteneurisation et migration d’applications web Java vers AKS - Conteneurisation et migration d’applications web Java vers Azure App Service |
Advanced 3.4.5 Enrichir les attributs pour l'autorisation des ressources Pt1Les attributs initiaux provenant de sources telles que le monitoring de l’activité des utilisateurs et des entités, les services de micro-segmentation, la protection contre la perte de données (DLP) et la gestion des droits numériques (DRM) sont intégrés à la pile et à la stratégie de technologie d’autorisation des ressources. Tous les autres attributs pour l’intégration ultérieure sont identifiés et planifiés. Les attributs sont utilisés pour créer une posture de risque de base des utilisateurs, des entités non-identités (NPE) et des appareils autorisant les décisions d’autorisation. Résultats: - La plupart des appels d’API passent une passerelle d’API sécurisée - L’autorisation de ressource reçoit les données du moteur d’analyse - Les stratégies d’autorisation incorporent des attributs identifiés dans la prise de décisions d’autorisation - Les attributs à utiliser pour l’enrichissement initial sont identifiés |
Applications Microsoft Entra Utilisez Microsoft Entra ID pour autoriser les applications et les API modernes. Déployer le proxy d’application Microsoft Entra et les serveurs avec Azure Arc pour étendre Microsoft Entra ID aux protocoles d’authentification hérités. Consultez les conseils de Microsoft dans les sections 3.1.1 et 3.2.3. Accès conditionnel Microsoft Entra est une passerelle sécurisée pour l’autorisation des ressources. L’accès conditionnel est le moteur d’autorisation. Configurer des politiques d'autorisation détaillée à l'aide de conditions relatives à l'utilisateur, à l'application, à l'utilisateur et à l'environnement, y compris l'état de conformité des dispositifs. - Accès conditionnel - Conception de l'accès conditionnel - Périphériques conformes requis Groupes de sécurité dynamiques Créer des groupes de sécurité dynamiques en fonction des attributs de l'utilisateur. Utilisez des groupes dynamiques pour étendre les stratégies d’accès conditionnel pour l’autorisation d’attribut statique, en fonction des attributs utilisateur. - Appartenance dynamique aux groupes - Utilisateurs, groupes et identités de charge de travail Types d’informations sensibles Microsoft Purview Définir des types d’informations sensibles avec correspondance exacte des données (EDM). Utilisez des types d’informations sensibles avec Microsoft Purview Information Protection et des stratégies de protection contre la perte de données Purview (DLP). - Correspondance des données basée sur des types d’informations sensibles - Découvrir et protéger les informations sensibles Gouvernance des ID Microsoft Entra Utilisez la gouvernance Microsoft Entra ID pour accéder aux applications avec des rôles d’application. Attribuer des utilisateurs aux rôles d’application avec l’appartenance statique, les groupes de sécurité dynamiques ou les packages d’accès à la gestion des droits d’utilisation. - Ajouter des rôles d’application et les recevoir dans un jeton - Contrôle d’accès en fonction du rôle |
Advanced 3.4.6. Enrichir les attributs pour l'autorisation des ressources Pt2Les attributs identifiés étendus sont intégrés à la technologie et à la politique d'autorisation des ressources. Le scoring de confiance est introduit dans les attributs pour créer une méthode plus avancée de prise de décision d’autorisation de manière automatisée. Résultats: - Les stratégies d’autorisation incorporent des niveaux de confiance dans la prise de décisions d’autorisation - Les niveaux de confiance pour les attributs sont définis |
Microsoft Entra ID Protection Utilisez les risques de connexion et les signaux utilisateur de Microsoft Entra ID Protection dans un ensemble de stratégies d’accès conditionnel. Configurer le contexte d’authentification, y compris le risque pour établir des niveaux de confiance, en fonction des détails environnementaux et du niveau de risque. - Microsoft Entra ID risque - Modèle de stratégie : exemple de contexte d’authentification multifacteur - Risque de connexion Consultez les conseils Microsoft 1.3.3 dans Utilisateur. Attributs de sécurité personnalisés Gérer et affecter des attributs de sécurité personnalisés pour les utilisateurs Microsoft Entra ID. Utilisez des conditions d’attribution de rôle pour le contrôle d’accès en fonction des attributs dynamiques (ABAC). - Attributs de sécurité personnalisés |
Advanced 3.4.7. Les micro-segments de l’API RESTÀ l’aide des passerelles d’API approuvées par DoD Enterprise, les appels d’application sont micro-segmentés, ce qui autorise uniquement l’accès authentifié et autorisé à des destinations spécifiques (par exemple, les microservices). Dans la mesure du possible, les consoles de micro-segmentation d’API sont intégrées et conscientes d’autres consoles de micro-segmentation telles que les contrôleurs de périmètre définis par logiciel et/ou les consoles de mise en réseau à définition logicielle. Résultat: - Les API d’entreprise approuvées sont correctement segmentées |
Mise en réseau et connectivité Azure Isoler, filtrer et contrôler le trafic réseau entre les flux d’entrée et de sortie. Appliquez des principes de défense en profondeur à l’aide de contrôles réseau localisés aux limites de réseau disponibles. Suivre Azure Well-Architected Framework. - Recommandations en matière de réseau et de connectivité - Recommandations en matière de stratégie de segmentation Conception des API Suivez les pratiques recommandées pour concevoir des API pour les microservices. Protéger et autoriser les API avec Microsoft Entra ID. - API microservice - Protéger les API |
3.5 Surveillance continue et autorisations en cours
Les normes de sécurité Microsoft Defender pour cloud évaluent continuellement les abonnements Azure dans l’étendue, les comptes Amazon Web Services (AWS) et les projets Google Cloud Platform (GCP) avec Defender pour Cloud activé pour la conformité aux normes réglementaires.
| Description et résultat de l’activité DoD | Conseils et recommandations de Microsoft |
|---|---|
Advanced 3.5.1 Autorisation continue de fonctionner (cATO) Pt1Les organisations du DoD utilisent des solutions d’automatisation au sein de l’environnement pour normaliser le monitoring des contrôles et offrir la possibilité d’identifier les écarts. Lorsque la surveillance et les tests appropriés sont intégrés aux processus DevSecOps. Résultats: - La dérivation des contrôles est standardisée et prête pour l’automatisation - Les tests de contrôles sont intégrés aux processus et technologies DevSecOps |
Bibliothèque DoD Chief Information Officer (CIO) Intégrer la supervision et les tests dans les processus DevSecOps. Consultez la conception de référence DoD Enterprise DevSecOps - Bibliothèque DoD CIO Microsoft Defender pour Cloud Protéger les charges de travail Azure et non Azure avec Defender pour cloud. Utilisez la conformité réglementaire et les initiatives Azure Policy pour évaluer l’infrastructure en continu avec les normes de configuration. Empêcher la dérive de configuration. - Attribuer des normes de sécurité - Environnements multiclouds Microsoft Sentinel Automatiser les opérations d’intégration et de déploiement Sentinel avec GitHub et Azure DevOps. - Sentinel et l’intégration d’Azure DevOps - Déployer du contenu personnalisé à partir d’un référentiel |
Advanced 3.5.2 Autorisation continue d’exécuter (cATO) Pt2Les organisations du DoD automatisent entièrement les processus de dérivation, de test et de surveillance du contrôle. Les écarts sont automatiquement testés et résolus à l’aide de l’infrastructure d’automatisation multiplateforme existante. Le tableau de bord est utilisé pour surveiller l’état des autorisations et de l’analytique sont intégrés aux responsables de l’autorisation.< /br> Résultats: - Les tests de contrôles sont entièrement automatisés - L’intégration aux opérations IR standard et SOC est automatisée |
Microsoft Defender - Gestion des menaces et des vulnérabilités Incorporer la gestion des menaces et des vulnérabilités (TVM) dans votre programme de gestion des vulnérabilités. Consultez les conseils de Microsoft dans la section 3.3.2. Azure DevOps et Microsoft Sentinel Automatiser les opérations d’intégration et de déploiement Sentinel avec Azure DevOps. - Intégration de Sentinel à Azure DevOps Microsoft Defender XDR et Sentinel Intégrer Microsoft Defender XDR et Defender pour le cloud à Sentinel. - Sentinel et Defender XDR pour Confiance Zéro |
Étapes suivantes
Configurer les services cloud Microsoft pour la stratégie Confiance Zéro du DoD :
- Introduction
- Utilisateur
- Appareil
- Applications et charges de travail
- Données
- Réseau
- Automatisation et orchestration
- Visibilité et analyse