Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
De DoD Zero Trust-strategie en -roadmap schetst een pad voor Department of Defense Components and Defense Industrial Base -partners om een nieuw cyberbeveiligingsframework te implementeren op basis van Zero Trust-principes. Zero Trust elimineert traditionele perimeters en vertrouwensveronderstellingen, waardoor een efficiëntere architectuur mogelijk is die de beveiliging, gebruikerservaringen en missieprestaties verbetert.
Deze handleiding bevat aanbevelingen voor de 152 Zero Trust-activiteiten in de DoD Zero Trust Capability Execution Roadmap. De secties komen overeen met de zeven pijlers van het DoD Zero Trust-model.
Gebruik de volgende koppelingen om naar secties van de handleiding te gaan.
- Introductie
- Gebruiker
- Apparaat
- Toepassingen en workloads
- Data
- Netwerk
- Automatisering en indeling
- Zichtbaarheid en analyse
3 Toepassingen en workloads
In deze sectie vindt u richtlijnen en aanbevelingen van Microsoft voor DoD Zero Trust-activiteiten in de pijler toepassingen en workloads. Zie Veilige toepassingen met Zero Trust voor meer informatie.
Notitie
Aanbevelingen in deze sectie zijn afgestemd op het ontwerp van het DoD Enterprise DevSecOps-referentieontwerp.
3.1 Toepassingsinventaris
Microsoft Entra ID is een id-provider (IdP) voor toepassingen en cloudplatformen, niet alleen Microsoft 365 en Azure. Microsoft Entra ID bevat webportals en RESTful API's om lijsten met geïntegreerde toepassingen op te halen. Microsoft Defender voor Cloud Apps, een onderdeel van Microsoft Defender XDR, beschikt over functies voor het detecteren, inventariseren en blokkeren van niet-opgegeven apps.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target3.1.1 Toepassing/code-identificatieDoD-organisaties maken een inventaris van goedgekeurde toepassingen en code (bijvoorbeeld broncode, bibliotheken, enzovoort). Elke organisatie houdt de ondersteuningsmogelijkheden (d.w.z. actief, verouderd, enzovoort) en gehoste locatie (bijvoorbeeld cloud, on-premises, hybride, enzovoort) bij in ieder geval in de inventaris. Resultaat: - Onderdeel heeft toepassingen geïdentificeerd en geclassificeerd als verouderde, gevirtualiseerde on-premises en in de cloud gehost |
Microsoft Entra-id Gebruik het Microsoft Entra-beheercentrum om een lijst met geregistreerde Microsoft Entra-toepassingen te downloaden. Selecteer Downloaden op het bovenste lint. - Toepassingsresourcetype Als uw organisatie Gebruikmaakt van Active Directory Federation Services (AD FS), implementeert u Microsoft Entra Connect Health. Gebruik het activiteitenrapport van de toepassing om AD FS-toepassingen te detecteren. - Ad FS bewaken met Connect Health- Application-activiteitenrapport Microsoft Defender Vulnerability Management Software-inventarisatie in Defender Vulnerability Management gebruiken om software in uw organisatie weer te geven. - Software-inventaris Microsoft Defender voor Cloud Apps Cloud Discovery instellen in Defender voor Cloud Apps om een momentopname te krijgen van toepassingen die door gebruikers worden geopend. - Cloud Discovery Onderzoeken - apps instellen die door Microsoft Intune zijn gedetecteerde apps die door Intune zijn gedetecteerd, worden gedetecteerd door door Intune ingeschreven apparaten in de tenant. Het is een software-inventarisatie van de tenant. Op bedrijfsapparaten worden apps of beheerde apps niet verzameld voor dit rapport. - Gedetecteerde apps azure DevOps Gebruiken deze service voor veilig pakketbeheer. Ontwikkelaars delen code en beheren pakketten op één plek. - Azure Artifacts Azure GitHub-opslagplaatsen - |
3.2 Veilige softwareontwikkeling en -integratie
GitHub-functies zoals GitHub Advanced Security (GHAS) en GitHub Actions helpen u bij het opzetten van zero Trust-softwareontwikkelings- en implementatieprocedures. GitHub Enterprise Cloud kan worden geïntegreerd met Microsoft Entra ID om rechten te beheren met Microsoft Entra ID-governance en beveiligde toegang met beleid voor voorwaardelijke toegang.
Ontwikkelaars kunnen Microsoft Authentication Libraries (MSAL) gebruiken om toepassingen te integreren met Microsoft Entra-id. Zie Gebruikers verifiëren voor Zero Trust voor meer informatie.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target3.2.1 Build DevSecOps Software Factory Pt1De DoD-onderneming maakt de basisstandaarden voor moderne DevSecOps-processen en CI/CD-pijplijnen. De concepten worden toegepast in een gestandaardiseerde technologiestack in DoD-organisaties die aan toekomstige toepassingsbeveiligingsvereisten kunnen voldoen. Een bedrijfsbreed programma voor beveiligingsproblemenbeheer is geïntegreerd met de CI/CD-pijplijnen na de activiteiten van het Programma voor beveiligingsproblemen. Resultaten: - Ontwikkelde Data/Service Standards for DevSecOps - CI/CD Pipeline is volledig functioneel en getest - Het beheerprogramma voor beveiligingsproblemen is officieel aanwezig en werkt |
GitHub ActionsGitHub Actions maakt gebruik van continue integratie en continue levering (CI/CD) om implementatiepijplijnen te automatiseren. - GitHub Actions GitHub Advanced Security Use GitHub Advanced Security for GitHub en Azure DevOps om de beveiliging van uw code- en ontwikkelingsprocessen te verbeteren. - Advanced Security Advanced Security - for Azure DevOps Microsoft Entra SSO en provisioning Configure single sign-on (SSO) for Git tools using Microsoft Entra ID. - SSO-integratie met SSO-integratie van GitHub Enterprise Cloud-organisatie- met GitHub Enterprise Server- Connect an organization to Microsoft Entra ID Voor meer informatie over DevSecOps voor Azure en andere clouds raadpleegt u de DoD Cheif Information Officer -bibliotheek (CIO). |
Target3.2.2 DevSecOps Software Factory Pt2bouwenDoD-organisaties gebruiken hun goedgekeurde CI/CD-pijplijnen om de meeste nieuwe toepassingen te ontwikkelen. Eventuele uitzonderingen volgen een gestandaardiseerd goedkeuringsproces dat op oudere wijze kan worden ontwikkeld. DevSecOps-processen worden ook gebruikt om alle nieuwe toepassingen te ontwikkelen en bestaande toepassingen bij te werken. Continue validatiefuncties worden geïntegreerd in de CI/CD-pijplijnen en DevSecOps-processen en geïntegreerd met bestaande toepassingen. Resultaten: - Ontwikkeling van toepassingen wordt gemigreerd naar CI/CD-pijplijn - Continu validatieproces/technologie wordt geïmplementeerd en in gebruik - Ontwikkeling van toepassingen wordt gemigreerd naar DevSecOps-proces en -technologie |
GitHub Advanced Security Use GitHub Advanced Security om te scannen op codeafhankelijkheden en beveiligingsproblemen. Configureer periodieke builds om de codekwaliteit te beoordelen. - Advanced Security - CodeQL code scanning - Secure supply chain Bicep in Azure Provision cloud infrastructure using infrastructure-as-code (IaC) with Azure Resource Manager (ARM) and Bicep templates. - Bicep Microsoft Defender voor Cloud Enable Defender voor Cloud workloadbeveiligingen voor abonnementen met toepassingsworkloads. - Beveilig cloudworkloads van Microsoft Defender voor DevOps Defender voor DevOps om de beveiliging en waarschuwingen van pijplijnen in Azure DevOps (ADO) en GitHub te bewaken. - Defender voor DevOps |
Target3.2.3 Automate Application Security & Code Remediation Pt1Een gestandaardiseerde benadering van toepassingsbeveiliging, inclusief codeherstel, wordt geïmplementeerd in de DoD-onderneming. Deel één (1) van deze activiteit omvat de integratie van een Secure API-gateway met toepassingen die gebruikmaken van API of vergelijkbare aanroepen. Codebeoordelingen worden uitgevoerd in een methodische benadering en gestandaardiseerde beveiligingen voor containers en hun infrastructuur zijn aanwezig. Daarnaast maken serverloze functies waar de derde partij de infrastructuur beheert, zoals Platform as a Service, voldoende serverloze beveiligingsbewakings- en responsfuncties gebruiken. Codebeoordelingen, container- en serverloze beveiligingsfuncties zijn indien van toepassing geïntegreerd in het CI/CD- en/of DevSecOps-proces. Resultaten: - Secure API Gateway is operationeel en de meeste API-aanroepen worden doorgegeven via gateway - Application Security-functies (bijvoorbeeld codebeoordeling, container en serverloze beveiliging) worden geïmplementeerd als onderdeel van CI/CD en DevSecOps |
Azure-toepassing-gateway Openbaar toegankelijke webtoepassingen en API's plaatsen met Azure-toepassing Gateway en Web Application Firewall. - Web Application Firewall Microsoft Entra ID-toepassingen Microsoft Entra ID is een autorisatiegateway voor webtoepassing en API-toegang. Api's beschikbaar maken voor geregistreerde toepassingen met Behulp van Microsoft Entra. Gebruik ingebouwde verificatie en autorisatie (Easy Auth) in Azure-app Service en Azure Functions. Gebruik OAuth-autorisatie in Azure API Management voor Microsoft Entra ID-niet-bewust API's. - Configureer een app om Web-API - verifiëren en autoriseren beschikbaar te maken in Azure-app Service en Azure Functions - Verifiëren en autoriseren voor API's gitHub Advanced Security Use GitHub Advanced Security for GitHub en Azure DevOps. Zie microsoft-richtlijnen in 3.2.1. Microsft Defender voor Cloud Enable Defender voor Cloud workloadbeveiligingen voor Azure-abonnementen met API-workloads. Zie de richtlijnen van Microsoft in 3.2.2. |
Advanced3.2.4 Automate Application Security & Code Remediation Pt2DoD-organisaties moderniseren benaderingen voor het leveren van intern ontwikkelde en beheerde services op basis van best practice-benaderingen zoals Microservices. Deze benaderingen maken tolerantere en veilige architecturen mogelijk door snellere wijzigingen in code in elke microservice mogelijk te maken wanneer er beveiligingsproblemen worden gedetecteerd. Verdere vooruitgang op het gebied van beveiligingsherstel wordt voortgezet in de DoD Enterprise met de opname van runtimebeveiligingsfuncties voor containers indien van toepassing, geautomatiseerde kwetsbare bibliotheekupdates en geautomatiseerde CI/CD-goedkeuringen tijdens het releaseproces. Resultaten: - Secure API Gateway is operationeel en de meeste API-aanroepen worden doorgegeven via gateway - Services worden geleverd volgens een Service Oriented Architecture (SOA) - Beveiligingsherstelactiviteiten (bijvoorbeeld runtimebeveiliging, bibliotheekupdates, releasegoedkeuringen) zijn volledig geautomatiseerd |
Volledige activiteiten 3.2.2 en 3.2.3. |
3.3 Software risicobeheer
GitHub Actions helpt bij het automatiseren, aanpassen en uitvoeren van werkstromen voor softwareontwikkeling voor DevSecOps. Met GitHub Actions genereert u een softwarefactuur van materialen (SBOM), analyseert u code en scant u op beveiligingsproblemen in de toeleveringsketen en afhankelijkheid. Zie GitHub Actions voor meer informatie over GitHub Actions.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target3.3.1 Goedgekeurde binaire bestanden/codeDe DoD Enterprise maakt gebruik van best practice-benaderingen voor het beheren van goedgekeurde binaire bestanden en code in een methodische benadering. Deze benaderingen omvatten leveranciersresourcerisicobeheer, goedgekeurd gebruik van opslagplaatsen, kosten voor het beheer van risico's voor de toeleveringsketen van materialen en het standaardbeheer van beveiligingsproblemen. Resultaten: - Leveranciersbronnenrisico geëvalueerd en geïdentificeerd voor goedgekeurde bronopslagplaats en updatekanaal dat is ingesteld voor gebruik door ontwikkelteams - Bill of Materials wordt gemaakt voor toepassingen die bron, ondersteuning en risicopostuur identificeren- Industriestandaard (DIB) en goedgekeurde databases voor beveiligingsproblemen worden opgehaald om te worden gebruikt in DevSecOps |
GitHub Actions standardiseren DevSecOps-processen om een softwarefactuur van materialen (SBOM) te genereren met een CI/CD-pijplijn (continue integratie en continue levering). - Genereer softwarefactuur van materialen Gebruik GitHub Dependabot en CodeQL om beveiligingscontroles te automatiseren en te scannen op beveiligingsproblemen in afhankelijkheden. - CodeQL-codescans - veilige toeleveringsketen Windows Defender Application Control Gebruiken Windows Defender Application Control om te voorkomen dat niet-vertrouwde code wordt uitgevoerd op beheerde eindpunten. - Integriteit van platformcode voor toepassingsbeheer en app-locker - |
Target3.3.2 Programma voor beheer van beveiligingsproblemen Pt1De DoD Enterprise werkt met organisaties om een programma voor beveiligingsproblemenbeheer tot stand te brengen en te beheren. Het programma bevat een beleid en standaarden die door alle organisaties zijn overeengekomen. Het ontwikkelde programma omvat minimaal het bijhouden en beheren van openbare beveiligingsproblemen op basis van DoD-toepassingen/-services. Organisaties stellen een team voor beveiligingsbeheer in met belangrijke belanghebbenden waar beveiligingsproblemen worden besproken en beheerd volgens het ondernemingsbeleid en de standaarden. Resultaten: - Het managementteam voor beveiligingsproblemen is ingesteld met het juiste lidmaatschap van belanghebbenden- Beleid en proces voor beveiligingsproblemenbeheer is ingesteld en overeengekomen met belanghebbenden- Openbare bron van beveiligingsproblemen wordt gebruikt voor het bijhouden van beveiligingsproblemen |
Vm-mogelijkheden voor bedreigings- en beveiligingsproblemen maken zichtbaarheid van assets en intelligente evaluaties mogelijk. TVM heeft ingebouwde herstelhulpprogramma's voor eindpunten en servers. TVM gebruiken met een programma voor beveiligingsbeheer. - Microsoft Defender TVM Microsoft Cloud Security Benchmark Controleer hoe Microsoft onlineservices het beheer van beveiligingsproblemen uitvoert. - TVM-overzicht- houding en beheer van beveiligingsproblemen |
Target3.3.3 Programma voor beheer van beveiligingsproblemen Pt2Processen worden vastgesteld op doD Enterprise-niveau voor het beheren van de openbaarmaking van beveiligingsproblemen in doD onderhouden/beheerde services, zowel openbaar als privé toegankelijk. DoD-organisaties breiden het programma voor beveiligingsbeheer uit om gesloten opslagplaatsen voor beveiligingsproblemen, zoals DIB, CERT en andere, bij te houden en te beheren. Resultaten: - Gecontroleerde bronnen van beveiligingsproblemen (bijvoorbeeld DIB, CERT) worden gebruikt voor het bijhouden van beveiligingsproblemen - Het beheerprogramma voor beveiligingsproblemen heeft een proces voor het accepteren van externe/openbare openbaarmakingen voor beheerde services |
Bedreigings- en beveiligingsproblemenbeheer Gebruik de pagina zwakke punten in Microsoft Defender TVM om beveiligingsproblemen op de apparaten en servers van uw organisatie te identificeren en te prioriteren. - Beveiligingsproblemen in de organisatie Bijhouden van herstelactiviteiten met behulp van het rapport TVM-kwetsbare apparaten. - Rapport over kwetsbaar apparaat |
Target3.3.4 Continue validatieDoD-organisaties implementeren een continue validatiebenadering voor toepassingsontwikkeling waarbij parallelle implementatie wordt uitgevoerd en geïntegreerd met een goedgekeurd omgevingsniveau (bijvoorbeeld gebruikersacceptatietests, productie). Toepassingen die geen continue validatie in hun CI/CD-proces kunnen integreren, worden geïdentificeerd en uitzonderingen worden indien nodig geleverd met behulp van een methodische benadering. Resultaten: - Bijgewerkte toepassingen worden geïmplementeerd in een live- en/of productieomgeving - Toepassingen die zijn gemarkeerd voor buitengebruikstelling en overgang worden buiten gebruik gesteld - Doorlopende validatiehulpprogramma's worden geïmplementeerd en toegepast op code in de CI/CD-pijplijn - Code waarvoor continue validatie is vereist, wordt geïdentificeerd en validatiecriteria vastgesteld |
Azure Chaos StudioGebruik Azure Chaos Studio om workloads te valideren. - Continue validatie GitHub Advanced Security Use GitHub-functies en -acties voor beveiligingsproblemen in het DoD Enterprise DevSecOps-referentieontwerp. Zie microsoft-richtlijnen in 3.2.1. |
3.4 Resourceautorisatie en integratie
Voorwaardelijke toegang is de Zero Trust-beleidsengine in Microsoft Entra-id. Verbind uw toepassingsworkloads met de Microsoft Entra-id. Gebruik Microsoft Entra ID-governance om rechten te beheren en aanmeldingen te beveiligen met beleid voor voorwaardelijke toegang. Het beleid maakt gebruik van beveiligingskenmerken, zoals apparaatstatus, sessiedetails en risico's om adaptieve toegangsbeslissingen te nemen. Microsoft Entra ID, Azure Resource Manager en CI/CD-pijplijnen autoriseren resource-implementatie in Azure.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Target3.4.1 Resource authorization Pt1De DoD-onderneming standaardiseert resourceautorisatiemethoden (bijvoorbeeld Software Defined Perimeter) met de organisaties. De gateways voor resourceautorisatie worden minimaal geïntegreerd met identiteiten en apparaten. Organisaties implementeren goedgekeurde resourceautorisatiegateways en maken externe toepassingen/services mogelijk. Andere toepassingen voor migratie en toepassingen die niet kunnen worden gemigreerd, worden geïdentificeerd voor uitzonderingen of buiten gebruik stellen. Resultaten: - resourceautorisatiegateway is aanwezig voor externe toepassingen - Resourceautorisatiebeleid geïntegreerd met identiteit en apparaat - Richtlijnen voor de gehele onderneming over conversiestandaarden worden gecommuniceerd aan belanghebbenden |
Microsoft Entra ID Microsoft Entra is een autorisatiegateway voor toepassingsbronnen. Integreer moderne en verouderde toepassingen voor eenmalige aanmelding met Microsoft Entra. Zie Microsoft-richtlijnen 1.2.4 in gebruiker. Microsoft Entra ID-governance Gebruik Microsoft Entra ID-governance app-rollen voor toegang tot toepassingen. Gebruikers toewijzen aan app-rollen met behulp van statisch lidmaatschap, dynamische Microsoft Entra-beveiligingsgroepen of rechtenbeheertoegangspakketten. - Voeg app-rollen toe aan een app en ontvang deze in een tokentoegangsbeheer - op basis van rollen. Gebruik beleid voor voorwaardelijke toegang om toepassingstoegang dynamisch te autoriseren, beheren of blokkeren. Zie Microsoft-richtlijnen 1.8.3 in Gebruiker en 2.1.4 in Apparaat. Azure-toepassing-gateway Schakel openbaar toegankelijke webtoepassingen en API's in met Application Gateway en Web Application Firewall. Zie Microsoft-richtlijnen 3.2.3. |
Target3.4.2 Resource authorization Pt2Resourceautorisatiegateways worden gebruikt voor alle mogelijke toepassingen/services. Toepassingen die geen gebruik kunnen maken van gateways, worden buiten gebruik gesteld of met uitzondering van een methode op basis van risico's. Autorisaties worden verder geïntegreerd met de CI/CD-pijplijn voor geautomatiseerde besluitvorming. Resultaten: - ResourceAutorisatiegateway wordt gebruikt voor alle toepassingen - Resourceautorisatie is geïntegreerd met DevSecOps en CI/CD voor geautomatiseerde functies |
Microsoft Entra Workload-ID Een federatie van workloadidentiteit gebruiken om een door de gebruiker toegewezen beheerde identiteit te configureren of app-registratie om tokens van een externe id-provider (IdP) te vertrouwen. Gebruik de federatieve workloadidentiteit voor GitHub Actions-werkstromen. - Workloadidentiteitsfederatie Azure API Management gebruik Azure API Management voor het beheren, autoriseren en beschikbaar maken van services die worden gehost op en buiten Azure als API's. - Azure API Management |
Target3.4.3. SDC-resourceautorisatie Pt1De DoD-onderneming biedt een gestandaardiseerde benadering voor op code gebaseerd rekenbeheer (bijvoorbeeld Software Defined Compute) volgens aanbevolen procedures voor de branche. Met behulp van op risico's gebaseerde benaderingen worden basislijnen gemaakt met behulp van de goedgekeurde set codebibliotheken en -pakketten. DoD-organisaties werken met de goedgekeurde activiteiten voor code/binaire bestanden om ervoor te zorgen dat toepassingen worden geïdentificeerd die de aanpak wel en niet kunnen ondersteunen. Toepassingen die ondersteuning kunnen bieden voor een moderne configuratie- en beheerbenadering op basis van software, worden geïdentificeerd en de overgang begint. Toepassingen die geen op software gebaseerde configuratie- en beheermethoden kunnen volgen, worden geïdentificeerd en toegestaan via uitzonderingen met behulp van een methodische benadering. Resultaten: - Toepassingen die niet kunnen worden bijgewerkt om goedgekeurde binaire bestanden/code te gebruiken, worden gemarkeerd voor buitengebruikstelling en overgangsplannen worden gemaakt - Geïdentificeerde toepassingen zonder goedgekeurde binaire bestanden en code worden bijgewerkt voor het gebruik van goedgekeurde binaire bestanden/code - Richtlijnen voor conversiestandaarden voor de hele onderneming worden gecommuniceerd aan belanghebbenden |
Veilige ontwikkelingOntwerp, ontwikkeling en implementatie van Azure-toepassingen volgens de levenscyclus van beveiligingsontwikkeling en gepubliceerde best practices. - Secure development - Infrastructure as code - Azure Policy as code workflows Microsoft Entra ID Use the Microsoft identity platform for application authentication and authorization. - Migreer apps en verificatie van Azure Migrate naar moderne app-platforms, zoals Azure Kubernetes Service (AKS) en App Service-containers. - Workloads migreren naar moderne app-platforms - Evalueren ASP.NET apps voor migratie naar AKS - ASP.NET-apps voor migratie naar Azure-app Service |
Target3.4.4 SDC-resourceautorisatie pt2Toepassingen die ondersteuning bieden voor configuratie en beheer op basis van software, zijn overgezet naar een productie-/liveomgeving en zijn in normale bewerkingen. Waar mogelijk worden toepassingen die geen ondersteuning bieden voor configuratie en beheer op basis van software, buiten gebruik gesteld. Resultaten: - Bijgewerkte toepassingen worden geïmplementeerd in een live- en/of productieomgeving - Toepassingen die zijn gemarkeerd voor buitengebruikstelling en overgang worden buiten gebruik gesteld |
Azure Migrate containerize and migrate ASP.NET apps and Java web apps using the Azure Migrate: App Containerization tool. Toepassingen buiten bedrijf stellen die niet kunnen worden gemoderniseerd. - ASP.NET containerisatie en migratie van apps naar AKS- ASP.NET app-containerisatie en migratie naar containerisatie en migratie van Azure-app Service- Java-web-app en migratie naar containerisatie en migratie van AKS - Java-web-apps naar Azure-app Service |
Advanced3.4.5 Verrijken kenmerken voor resourceautorisatie Pt1Initiële kenmerken van bronnen zoals Bewaking van gebruikers- en entiteitsactiviteiten, microsegmentatieservices, DLP en DRM (Data Rights Management) zijn geïntegreerd in de technologiestack en het beleid voor resourceautorisatie. Alle andere kenmerken voor latere integratie worden geïdentificeerd en gepland. Kenmerken worden gebruikt om de basisrisicopostuur van gebruikers, niet-actieve entiteiten (NPE's) en apparaten te creëren die autorisatiebeslissingen mogelijk maken. Resultaten: - De meeste API-aanroepen worden doorgegeven via de Beveiligde API-gateway - Resourceautorisatie ontvangt gegevens van analytics-engine - Autorisatiebeleid bevat geïdentificeerde kenmerken bij het nemen van autorisatiebeslissingen - Kenmerken die moeten worden gebruikt voor initiële verrijking worden geïdentificeerd |
Microsoft Entra-toepassingen Gebruiken Microsoft Entra-id om moderne toepassingen en API's te autoriseren. Implementeer microsoft Entra-toepassingsproxy en servers met Azure Arc om Microsoft Entra ID uit te breiden naar verouderde verificatieprotocollen. Zie de Richtlijnen van Microsoft in 3.1.1 en 3.2.3. Microsoft Entra voor voorwaardelijke toegang is een beveiligde gateway voor resourceautorisatie. Voorwaardelijke toegang is de autorisatie-engine. Configureer beleidsregels voor gedetailleerde autorisatie met behulp van gebruikers, toepassingen, gebruikers, omgevingsvoorwaarden, inclusief apparaatnalevingsstatus. - Ontwerp voor voorwaardelijke toegang - - Vereisen dat compatibele apparaten dynamische beveiligingsgroepen maken op basis van gebruikerskenmerken. Gebruik dynamische groepen om beleid voor voorwaardelijke toegang te bepalen voor autorisatie van statische kenmerken, op basis van gebruikerskenmerken. - Dynamisch lidmaatschap voor groepen- Gebruikers, groepen en workloadidentiteiten Microsoft Purview gevoelige informatietypen Definiëren typen gevoelige informatie met Exact Data Match (EDM). Gebruik typen gevoelige informatie met Microsoft Purview Informatiebeveiliging- en Purview-beleid voor preventie van gegevensverlies (DLP). - Gegevensovereenkomst op basis van typen - gevoelige informatie detecteren en beveiligen Microsoft Entra ID-governance Gebruik Microsoft Entra ID-governance voor toegang tot toepassingen met app-rollen. Gebruikers toewijzen aan app-rollen met statisch lidmaatschap, dynamische beveiligingsgroepen of rechtenbeheertoegangspakketten. - App-rollen toevoegen en ontvangen in een op rollen gebaseerd tokentoegangsbeheer - |
Advanced3.4.6. Enrich Attributes for Resource Authorization Pt2Extended identified attributes are integrated with the resource authorization technology and policy. Betrouwbaarheidsscores worden geïntroduceerd in de kenmerken om op geautomatiseerde wijze een geavanceerdere methode voor autorisatiebeslissing te maken. Resultaten: - Autorisatiebeleid bevat betrouwbaarheidsniveaus bij het nemen van autorisatiebeslissingen - Betrouwbaarheidsniveaus voor kenmerken worden gedefinieerd |
Microsoft Entra ID Protection Gebruik aanmeldingsrisico's en gebruikerssignalen van Microsoft Entra ID Protection in een set met beleid voor voorwaardelijke toegang. Configureer verificatiecontext met inbegrip van risico's om betrouwbaarheidsniveaus vast te stellen, op basis van omgevingsdetails en risiconiveau. - Microsoft Entra ID risk - policy template: sign-in risk MFA- Authentication context example See Microsoft guidance 1.3.3 in User. Aangepaste beveiligingskenmerken Beheren en toewijzen van aangepaste beveiligingskenmerken voor Microsoft Entra ID-gebruikers. Voorwaarden voor roltoewijzing gebruiken voor dynamisch op kenmerken gebaseerd toegangsbeheer (ABAC). - Aangepaste beveiligingskenmerken |
Advanced3.4.7. REST API-microsegmentenmet behulp van de door DoD Enterprise goedgekeurde API-gateway(s) worden toepassingsoproepen alleen gesegmenteerd en alleen geverifieerde en geautoriseerde toegang tot specifieke bestemmingen toegestaan (bijvoorbeeld microservices). Indien mogelijk zijn API-consoles voor microsegmentatie geïntegreerd en op de hoogte van andere microsegmentatieconsoles, zoals Software Defined Perimeter Controllers en/of Software Defined Networking Consoles. Resultaat: - Goedgekeurde enterprise-API's zijn op de juiste wijze gesegmenteerd |
Azure-netwerken en -connectiviteit Isoleren, filteren en beheren van netwerkverkeer tussen inkomend en uitgaand verkeer. Pas diepgaande verdedigingsprincipes toe met behulp van gelokaliseerde netwerkbesturingselementen bij beschikbare netwerkgrenzen. Volg het Azure Well-Architected Framework. - Aanbevelingen voor segmentatiestrategie voor netwerken en connectiviteit- : API-ontwerp volg de aanbevolen procedures voor het ontwerpen van API's voor microservices. Api's beveiligen en autoriseren met Microsoft Entra-id. - Microservice-API's beveiligen API's - |
3.5 Continue bewaking en doorlopende autorisaties
Microsoft Defender voor Cloud beveiligingsstandaarden voortdurend azure-abonnementen binnen het bereik beoordelen, Amazon Web Services-accounts (AWS) en GCP-projecten (Google Cloud Platform) met Defender voor Cloud ingeschakeld voor naleving van regelgevingsstandaarden.
| Beschrijving en resultaat van DoD-activiteit | Richtlijnen en aanbevelingen van Microsoft |
|---|---|
Advanced3.5.1 Continue autorisatie voor gebruik (cATO) Pt1DoD-organisaties maken gebruik van automatiseringsoplossingen binnen de omgeving om de bewaking van besturingselementen te standaardiseren en de mogelijkheid te bieden om afwijkingen te identificeren. Waar de juiste bewaking en testen zijn geïntegreerd met DevSecOps-processen. Resultaten: - De afleiding van besturingselementen is gestandaardiseerd en gereed voor automatisering - Controles testen is geïntegreerd met DevSecOps-processen en -technologie |
DoD Chief Information Officer (CIO) Library Integreer bewaking en testen in DevSecOps-processen. Zie de DoD Enterprise DevSecOps Reference Design - DoD CIO Library Microsoft Defender voor Cloud Protect Azure and non-Azure workloads with Defender voor Cloud. Gebruik initiatieven voor naleving van regelgeving en Azure Policy om de infrastructuur continu te evalueren met configuratiestandaarden. Configuratiedrift voorkomen. - Wijs beveiligingsstandaarden - multicloudomgevingen toe aan Microsoft Sentinel Automate Sentinel-integratie - en implementatiebewerkingen met GitHub en Azure DevOps. - Sentinel- en Azure DevOps-integratie- Aangepaste inhoud implementeren vanuit een opslagplaats |
Advanced3.5.2 Continue autorisatie voor gebruik (cATO) Pt2DoD-organisaties automatiseren de controle derivatie, testen en bewakingsprocessen volledig. Afwijkingen worden automatisch getest en opgelost met behulp van bestaande automatiseringsinfrastructuur voor meerdere pijlers. Dashboarding wordt gebruikt om de status van autorisaties en analyses te bewaken, worden geïntegreerd met de verantwoordelijke autoriserende ambtenaren.< /br> Outcomes: - Controles testen is volledig geautomatiseerd - Integratie met standaard IR en SOC-bewerkingen worden geautomatiseerd |
Microsoft Defender Threat and Vulnerability Management Integreer Threat and Vulnerability Management (TVM) in uw programma voor beveiligingsproblemen. Zie de Richtlijnen van Microsoft in 3.3.2. Integratie- en implementatiebewerkingen van Azure DevOps en Microsoft Sentinel Automate Sentinel met Azure DevOps. - Sentinel-integratie met Azure DevOps Microsoft Defender XDR en Sentinel Integreer Microsoft Defender XDR en Defender voor Cloud met Sentinel. - Sentinel en Defender XDR voor Zero Trust |
Volgende stappen
Configureer Microsoft-cloudservices voor de DoD Zero Trust-strategie:
- Introductie
- Gebruiker
- Apparaat
- Toepassingen en workloads
- Data
- Netwerk
- Automatisering en indeling
- Zichtbaarheid en analyse