Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ta sekcja zawiera wskazówki i zalecenia firmy Microsoft dotyczące modelu dojrzałości zero trustu CISA w filarze aplikacji i obciążeń.
4 Aplikacje i obciążenia
Zgodnie z definicją CISA aplikacje i obciążenia obejmują systemy przedsiębiorstwa, programy komputerowe i usługi, które wykonują lokalnie, na urządzeniach przenośnych i w środowiskach w chmurze.
Skorzystaj z poniższych linków, aby przejść do sekcji przewodnika.
- Wprowadzenie
- Tożsamość
- Urządzenia
- Networks
- Aplikacje i obciążenia
- data
4.1 Funkcja: Dostęp do aplikacji
| Opis etapu CISA ZTMM | wskazówki i zalecenia firmy Microsoft |
|---|---|
|
stan początkowej dojrzałości Przedsiębiorstwo zaczyna implementować możliwości autoryzowania dostępu do aplikacji, które zawierają informacje kontekstowe (np. tożsamość, zgodność urządzenia i/lub inne atrybuty) na zasadzie żądania z określonym czasem wygaśnięcia. |
Aplikacje Microsoft Entra ID Przyjąć Entra firmy Microsoft jako dostawcę tożsamości przedsiębiorstwa. Ustanów zasady używania identyfikatora Entra firmy Microsoft dla nowych aplikacji. Autoryzowanie dostępu do aplikacji przy użyciu przypisywania użytkowników i grup. Microsoft Entra ID implementuje standardowe protokoły branżowe w połączeniu z dostępem warunkowym firmy Microsoft Entra. Uwzględnij informacje kontekstowe na żądanie z określonym terminem ważności. - Integracja Microsoft Entra ID i aplikacji - Tokeny i roszczenia - Przypisywanie użytkowników i grup do aplikacji Dostęp Warunkowy Używanie sygnałów urządzenia, takich jak lokalizacja, w zasadach dostępu warunkowego w celu podejmowania decyzji dotyczących zabezpieczeń. Użyj filtrów opartych na atrybutach urządzenia, aby uwzględnić i wykluczyć zasady. - warunki - filtr dla urządzeń |
|
zaawansowany status dojrzałości Enterprise automatyzuje decyzje dotyczące dostępu do aplikacji z rozszerzonymi informacjami kontekstowymi i narzuconymi warunkami wygaśnięcia, które są zgodne z zasadą najmniejszych uprawnień. |
dostęp warunkowy Automatyzowanie decyzji dotyczących dostępu do aplikacji przy użyciu zasad dostępu warunkowego spełniających wymagania przedsiębiorstwa. Dostęp warunkowy to punkt decyzyjny polityki (PDP) dla dostępu do aplikacji lub zasobów. Rozwiń kontekstowe informacje dotyczące urządzeń w decyzjach dotyczących dostępu. Wymagaj zgodnych urządzeń lub urządzeń hybrydowo połączonych z Microsoft Entra. Udziel kontroli w celu zapewnienia dostępu dla znanych lub zgodnych urządzeń. - warunkowego dostępu - polityk opartych na urządzeniach - hybrydowego dołączenia Microsoft Entra Zwiększ automatyczne decyzje dotyczące dostępu do aplikacji dzięki rozszerzonym informacjom kontekstowym. Skonfiguruj zasady dostępu warunkowego dla aplikacji, akcji chronionych i uwierzytelniania. Dostosuj warunki wygaśnięcia za pomocą kontroli sesji na podstawie częstotliwości logowania. - Chronione akcje - Przewodnik dewelopera uwierzytelniania - dostęp warunkowy: sesja Microsoft Intune Rejestrowanie urządzeń przy użyciu identyfikatora Entra firmy Microsoft i zarządzanie konfiguracją za pomocą usługi Intune. Ocena zgodności urządzeń z zasadami usługi Intune. - Zarejestrowane urządzenia - zgodność zasad urządzeń Microsoft Defender for Cloud Apps Monitorowanie i kontrolowanie sesji aplikacji w chmurze za pomocą usługi Defender for Cloud Apps. - Chroń aplikacje - Zasady sesji - Uwierzytelnianie akcji ryzykownych Konfigurowanie zasad higieny aplikacji: nieużywane aplikacje, nieużywane poświadczenia i wygasające poświadczenia. Funkcje nadzoru aplikacji Role aplikacji Microsoft Entra Projektowanie modeli autoryzacji i uprawnień z rolami aplikacji. Aby delegować zarządzanie aplikacjami, przypisz właścicieli do zarządzania konfiguracją aplikacji, rejestrowania aplikacji oraz przypisywania ról aplikacji. Role aplikacji |
|
Optymalny Status Dojrzałości Enterprise ciągle autoryzuje dostęp do aplikacji, uwzględniając analizę ryzyka w czasie rzeczywistym oraz takie czynniki jak zachowanie czy wzorce użytkowania. |
Microsoft Entra ID Protection ID Protection ocenia poziom ryzyka związanego z użytkownikiem i logowaniem. W pakiecie Microsoft Defender XDR zarówno wykrywanie w czasie rzeczywistym, jak i w trybie offline określa zagregowany poziom ryzyka. Aby wymusić zasady dostępu adaptacyjnego opartego na ryzyku, należy użyć warunków ryzyka w zasadach dostępu warunkowego. - ID Protection - Ryzyko w ID Protection ciągła ocena dostępu Mechanizm ciągłej oceny dostępu (CAE) umożliwia aplikacjom reagowanie na naruszenia zasad prawie w czasie rzeczywistym bez oczekiwania na wygaśnięcie tokena. Aplikacje obsługujące CAE reagują na zdarzenia krytyczne, w tym użytkownika oznaczonego jako obarczonego wysokim ryzykiem w Ochronie Identyfikatorów. Przegląd CAE Global Secure Access Aby zmniejszyć ryzyko kradzieży i powtarzania tokenów, skonfiguruj zgodne z CAE wymuszanie sieci, które współpracuje z usługami wspierającymi CAE. Aplikacja w czasie niemal rzeczywistym odrzuca skradzione tokeny dostępu używane poza siecią zgodną z wymogami dzierżawcy. - Globalny Bezpieczny Dostęp - Microsoft Entra Internet Access - Sprawdzanie zgodności sieci |
4.2 Funkcja: Ochrona aplikacji przed zagrożeniami
| CISA ZTMM Opis Etapu | wskazówki i zalecenia firmy Microsoft |
|---|---|
|
stan początkowej dojrzałości Enterprise integruje zabezpieczenia przed zagrożeniami w przepływach pracy aplikacji o znaczeniu krytycznym, stosując ochronę przed znanymi zagrożeniami i niektórymi zagrożeniami specyficznymi dla aplikacji. |
Microsoft Entra ID umieść Microsoft Entra ID na ścieżce każdego żądania dostępu. Wdrożenie polityki, która nakazuje, aby aplikacje misji krytyczne były zintegrowane z Microsoft Entra ID. Upewnij się, że ochrona przed zagrożeniami jest częścią przepływów pracy aplikacji. - zarządzanie aplikacjami - Dodawanie aplikacji dla przedsiębiorstw - Migrowanie aplikacji i uwierzytelniania Microsoft Defender for Cloud Apps Konfigurowanie usługi Defender for Cloud Apps w celu wykrywania i zgłaszania alertów dotyczących ryzykownych aplikacji OAuth. Badanie i monitorowanie uprawnień aplikacji przyznanych przez użytkowników. Ryzykowne aplikacje OAuth Azure Application Gateway Wdrażanie aplikacji i interfejsów API platformy Azure za pomocą usługi Azure Application Gateway i zapory aplikacji internetowej platformy Azure w trybie zapobiegania. Włącz OWASP Core Rule Set (CRS). Zapora aplikacji internetowej Microsoft Defender XDR Defender XDR to zintegrowany pakiet ochrony przed i po naruszeniu, który koordynuje wykrywanie, zapobieganie, badanie oraz akcje odpowiedzi między punktami końcowymi, tożsamościami, pocztą e-mail i aplikacjami. - Defender XDR - Konfigurowanie narzędzi XDR |
|
zaawansowany stan dojrzałości Enterprise integruje zabezpieczenia przed zagrożeniami we wszystkich procesach roboczych aplikacji, chroniąc przed niektórymi zagrożeniami specyficznymi dla aplikacji i docelowymi. |
Microsoft Entra ID umieść Microsoft Entra ID w ścieżce żądań dostępu. Wdrażanie polityki określającej, że aplikacje są zintegrowane z Microsoft Entra ID. Upewnij się, że ochrona przed zagrożeniami jest stosowana dla wszystkich aplikacji. - zarządzanie aplikacjami - Dodawanie aplikacji dla przedsiębiorstw - Migrate apps and authentication Microsoft Entra Conditional Access, ochrona tokenów Włączanie ochrony tokenów lub powiązanie tokenu w zasadach dostępu warunkowego. Ochrona tokenów zmniejsza ataki, zapewniając, że tokeny mogą być używane na zamierzonych urządzeniach. Ochrona tokenów serwer proxy aplikacji Firmy Microsoft Entra Użyj serwera proxy aplikacji i identyfikatora Entra firmy Microsoft dla aplikacji prywatnych przy użyciu starszych protokołów uwierzytelniania. Wdróż serwer proxy aplikacji lub zintegruj rozwiązania partnerskie bezpiecznego dostępu hybrydowego (SHA). Aby rozszerzyć ochronę, skonfiguruj zasady sesji w usłudze Microsoft Defender for Cloud Apps. - Ochrona aplikacji starszego typu - zastrzeżenia dotyczące zabezpieczeń serwera proxy aplikacji - Tworzenie zasad sesji Zarządzanie lukami w zabezpieczeniach w usłudze Microsoft Defender zarządzanie lukami w zabezpieczeniach w usłudze Defender za pomocą skanerów bezagentowych stale monitoruje i wykrywa ryzyko. Skonsolidowane spisy to widok luk w zabezpieczeniach oprogramowania w czasie rzeczywistym, certyfikaty cyfrowe używające słabych algorytmów kryptograficznych, słabości sprzętu i oprogramowania układowego oraz ryzykowne rozszerzenia przeglądarki w punktach końcowych. Defender Vulnerability Management Defender for Cloud Włączanie ochrony obciążeń dla obciążeń aplikacji. Użyj usługi Defender for Servers P2, aby dołączać serwery do Microsoft Defender for Endpoint i Defender Vulnerability Management dla serwerów. - Defender for App Service - Defender for APIs - Defender for Containers - Defender for Servers Microsoft Entra Workload ID Premium Aby zintegrować ochronę przed zagrożeniami w przepływach pracy aplikacji. Konfiguruj ochronę tożsamości dla tożsamości obciążeń. Zabezpiecz tożsamości obciążeń |
|
Optymalny Status Dojrzałości Przedsiębiorstwo integruje zaawansowane zabezpieczenia przed zagrożeniami we wszystkich przepływach pracy aplikacji, oferując widoczność w czasie rzeczywistym i ochronę świadomą zawartości przed zaawansowanymi atakami dostosowanymi do aplikacji. |
Microsoft Defender for Cloud Apps Konfigurowanie zasad kontroli sesji w usłudze Defender for Cloud Apps pod kątem widoczności i kontrolek w czasie rzeczywistym. Zasady dotyczące plików umożliwiają skanowanie zawartości w czasie rzeczywistym, stosowanie etykiet i ograniczanie akcji dotyczących plików. - Widoczność i kontrola aplikacji chmurowych - zasady plików Defender XDR, Microsoft Sentinel Integracja Defender XDR i Sentinel. - Defender XDR - Sentinel i Defender XDR for Zero Trust Fusion in Sentinel to wielostopniowa reguła analizy do wykrywania ataków w usłudze Sentinel. Fusion ma silnik korelacji uczenia maszynowego, który wykrywa ataki wielostopniowe lub zaawansowane trwałe zagrożenia (APTs). Identyfikuje nietypowe zachowania i podejrzane działania. Zdarzenia są niskiej liczby, o wysokiej dokładności i wysokiej powadze. - wykrywania ataków wielostopniowych - Dostosowywanie detekcji anomalii - reguły analizy wykrywania anomalii Global Secure Access Zapewnienie bezpiecznego dostępu do aplikacji i zasobów, a jednocześnie ciągłe monitorowanie i zarządzanie dostępem użytkowników w czasie rzeczywistym. Integracja z usługą Defender for Cloud Apps w celu zapewnienia widoczności i kontroli użycia i zabezpieczeń oprogramowania. Zapobiegaj zaawansowanym atakom, takim jak skradzione odtwarzane ponownie tokeny, za pomocą sprawdzania zgodności sieciowej dla dzierżawcy w Dostępie Warunkowym. Obsługa produktywności i uzyskiwanie kontroli zabezpieczeń opartych na lokalizacji. Zapobiegaj obejściu usługi Security Service Edge (SSE) dla aplikacji SaaS (software as a service). - Globalnego Bezpieczeństwa Dostępu - zgodności sieci |
Funkcja 4.3: Aplikacje dostępne
| CISA ZTMM Opis Etapu | wskazówki i zalecenia firmy Microsoft |
|---|---|
|
stan początkowej dojrzałości Firma udostępnia niektóre ze swoich krytycznie ważnych aplikacji w publicznych sieciach otwartych autoryzowanym użytkownikom, którzy ich potrzebują, za pośrednictwem połączeń brokerowanych. |
Microsoft Entra ID Umieść Microsoft Entra ID w ścieżce żądań dostępu. Wdrożenie zasad, które wymagają zintegrowania aplikacji o znaczeniu krytycznym z Microsoft Entra ID. - Zarządzanie aplikacjami - Dodawanie aplikacji dla przedsiębiorstw - Migrowanie aplikacji i uwierzytelniania Microsoft Azure Migrate i modernizacja aplikacji przez wprowadzenie ich na platformę Azure. - Migracja aplikacji - Modernizowanie aplikacji i platformy - Tworzenie planu migracji serwera proxy aplikacji Firmy Microsoft Entra Konfigurowanie serwera proxy aplikacji w celu publikowania wewnętrznych aplikacji internetowych o krytycznym znaczeniu, dostępu za pośrednictwem połączeń sieci publicznej przez użytkowników autoryzowanych przez firmę Microsoft Entra ID. - serwer proxy aplikacji - Konfigurowanie logowania jednokrotnego dla aplikacji Microsoft Defender for Cloud Apps Aby monitorować i ograniczać sesje, użyj zasad sesji do obsługi połączeń aplikacji brokera z usługą Defender for Cloud Apps. - Defender for Cloud Apps - Połącz aplikacje z Defender - Utwórz politykę sesji Microsoft Entra Conditional Access Konfiguruj politykę, aby autoryzować dostęp do aplikacji zintegrowanych z identyfikatorem Microsoft Entra ID. Skonfiguruj kontrolę aplikacji dostępu warunkowego, aby wymagać użycia brokerów zabezpieczeń dostępu do chmury (CASB) w usłudze Defender for Cloud Apps. - Warunkowa kontrola dostępu - Kontrola aplikacji |
|
zaawansowany status dojrzałości Przedsiębiorstwo udostępnia większość odpowiednich aplikacji krytycznych dla misji, które są dostępne autoryzowanym użytkownikom przez otwarte połączenia sieci publicznej, zgodnie z potrzebami. |
Skorzystaj ze wskazówek w Początkowy stan dojrzałości; uwzględnij najbardziej krytyczne aplikacje. |
|
Optymalny Stan Dojrzałości Przedsiębiorstwo udostępnia wszystkie odpowiednie aplikacje w otwartych sieciach publicznych autoryzowanym użytkownikom i urządzeniom, tam gdzie jest to stosowne i potrzebne. |
Użyj wytycznych podanych w Początkowy Status Dojrzałościi uwzględnij wszystkie wnioski.
dostęp warunkowy Konfigurowanie zasad dostępu warunkowego, które wymagają zgodnych urządzeń dla aplikacji. Dostęp do niezgodnych urządzeń jest blokowany. Wymagaj zgodnych urządzeń |
4.4 Funkcja: Bezpieczny przepływ pracy tworzenia i wdrażania aplikacji
| Opis Etapu CISA ZTMM | wskazówki i zalecenia firmy Microsoft |
|---|---|
|
Stan Początkowej Dojrzałości Enterprise zapewnia infrastrukturę dla środowisk programistycznych, testowych i produkcyjnych (w tym automatyzacji) z formalnymi mechanizmami wdrażania kodu za pośrednictwem ścieżek ciągłej integracji/ciągłego wdrażania oraz wymaganych mechanizmów kontroli dostępu w celu wspierania zasady najmniejszych uprawnień. |
strefy docelowe platformy Azure Ustanawianie środowisk na potrzeby programowania i wymuszania zasad konfiguracji zasobów za pomocą usługi Azure Policy. - strefy docelowe - Azure Policy Ustanów sformalizowany mechanizm wdrażania kodu z potokami ciągłej integracji i ciągłego dostarczania (CI/CD), takimi jak GitHub lub Azure DevOps. narzędzia GitHub Enterprise GitHub Enterprise obsługują współpracę, zabezpieczenia i administrację. Korzystanie z funkcji, takich jak nieograniczone repozytoria, możliwości zarządzania projektami, śledzenie problemów i alerty zabezpieczeń. Kontroluj repozytorium i informacje o projekcie podczas ulepszania współpracy między zespołami. Usprawnij zasady zabezpieczeń i uprość administrację dzięki elastycznym opcjom wdrażania. GitHub Enterprise Cloud Połącz GitHub z Microsoft Entra ID, aby umożliwić jednokrotne logowanie (SSO) i aprowizację użytkowników. Aby zapewnić zasady najniższych uprawnień, wyłącz osobiste tokeny dostępu. - Enterprise zarządzanych użytkowników - integracji logowania jednokrotnego (SSO) dla usługi GitHub Enterprise - Wymuszaj zasady osobistego tokenu dostępu Azure DevOps Przynieść ludzi, procesy i technologię w celu zautomatyzowania dostarczania oprogramowania. Obsługuje współpracę i procesy tworzenia i ulepszania produktów szybciej niż tradycyjne podejścia programistyczne. Używaj funkcji takich jak Azure Boards, Repos, Pipelines, Test Plans i Artifacts. Usprawnij zarządzanie projektami, kontrolę wersji, ciągłą integrację/ciągłe wdrażanie, testowanie i zarządzanie pakietami. Azure DevOps Połącz organizację w usłudze Azure DevOps z identyfikatorem Microsoft Entra ID i zapewnij zasady najniższych uprawnień. Wyłącz osobiste tokeny dostępu. - Łączenie organizacji z identyfikatorem Entra firmy Microsoft - Zarządzanie osobistymi tokenami dostępu przy użyciu zasad |
|
Zaawansowany Stan Dojrzałości Enterprise używa oddzielnych i skoordynowanych zespołów do rozwoju, zabezpieczeń i operacji, a także usuwa dostęp deweloperów do środowiska produkcyjnego w celu wdrażania kodu. |
Microsoft Entra ID Governance Jeśli subskrypcje deweloperskie i produkcyjne korzystają z tej samej dzierżawy Microsoft Entra, przypisz kwalifikacje do ról za pomocą pakietów dostępu w zarządzaniu uprawnieniami. Włącz kontrole, aby upewnić się, że użytkownicy nie mogą uzyskać dostępu do środowisk programistycznych i produkcyjnych. Rozdzielenie obowiązków Przeglądy dostępu Aby usunąć deweloperów z dostępem do środowiska produkcyjnego, utwórz przegląd dostępu przy użyciu ról produkcyjnych platformy Azure. Tworzenie przeglądu dostępu |
|
Optymalny Status Dojrzałości Enterprise wykorzystuje niezmienne obciążenia tam, gdzie jest to możliwe, co umożliwia wprowadzanie zmian poprzez ponowne wdrożenie, i usuwa dostęp administratora do środowisk wdrażania na rzecz zautomatyzowanych procesów wdrażania kodu. |
bramy wydania usługi Azure DevOps, zatwierdzenia Używanie potoków wydania do ciągłego wdrażania aplikacji na różnych etapach z niższym ryzykiem i szybszym tempem. Automatyzowanie etapów wdrażania za pomocą zadań i czynności. Bramy wydania, kontrole i zatwierdzenia blokady zasobów platformy Azure Aby chronić zasoby platformy Azure przed przypadkowymi usunięciami i modyfikacjami, zastosuj CanNotDeletei ReadOnly, blokady zasobów w subskrypcjach, grupach zasobów i poszczególnych zasobach.Chroń infrastrukturę za pomocą zablokowanych zasobów Akcje GitHub Dzięki Akcjom GitHub przypisuj role platformy Azure do tożsamości zarządzanych, co umożliwia ciągłą integrację i ciągłe dostarczanie (CI/CD). Konfigurowanie zadań odwołujących się do środowiska z wymaganymi recenzentami. Upewnij się, że zadania oczekują na zatwierdzenie przed rozpoczęciem. - Wdrażanie za pomocą funkcji GitHub Actions - Przegląd wdrożeń Microsoft Entra Privileged Identity Management Używanie PIM Discovery i Insights do identyfikowania ról i grup uprzywilejowanych. Zarządzanie odnalezionymi uprawnieniami i konwertowanie przypisań użytkowników z permanentnych na kwalifikujące się. Odkrywanie i Wgląd PIM Przeglądy dostępu Aby zmniejszyć liczbę uprawnionych administratorów w środowisku produkcyjnym, utwórz przegląd dostępu za pomocą ról Azure. przeglądy dostępu do ról zasobów Azure |
4.5 Funkcja: Testowanie zabezpieczeń aplikacji
| Opis etapu CISA ZTMM | wskazówki i zalecenia firmy Microsoft |
|---|---|
|
początkowy stan dojrzałości Enterprise rozpoczyna korzystanie ze statycznych i dynamicznych (tj. wykonywania aplikacji) metod testowania w celu przeprowadzania testów zabezpieczeń, w tym ręcznej analizy ekspertów przed wdrożeniem aplikacji. |
Microsoft Threat Modeling Tool Narzędzie modelowania zagrożeń jest częścią cyklu projektowania zabezpieczeń firmy Microsoft (SDL). Architekt oprogramowania identyfikuje i ogranicza problemy z zabezpieczeniami na wczesnym etapie, co zmniejsza koszty programowania. Znajdź wskazówki dotyczące tworzenia i analizowania modeli zagrożeń. Narzędzie ułatwia komunikację projektową zabezpieczeń, analizuje potencjalne problemy z zabezpieczeniami i sugeruje środki zaradcze. - Threat Modeling Tool - Wprowadzenie narzędzi deweloperskich witryny Azure Marketplace Postępuj zgodnie z bezpiecznymi praktykami tworzenia aplikacji. Skorzystaj z narzędzi z witryny Azure Marketplace, aby ułatwić analizę kodu. - Twórz bezpieczne aplikacje - na Azure Marketplace GitHub Actions, Azure DevOps Actions . Używaj silnika analizy CodeQL do automatyzowania kontroli zabezpieczeń w potoku ciągłej integracji i ciągłego dostarczania (CI/CD). Usługa GitHub Advanced Security dla usługi Azure DevOps to usługa testowania zabezpieczeń aplikacji natywna dla przepływów pracy deweloperów.skanowanie CodeQL - - Zaawansowane zabezpieczenia GitHub dla Azure DevOps |
|
Advanced Maturity Status Enterprise integruje testowanie zabezpieczeń aplikacji w procesie tworzenia i wdrażania aplikacji, w tym korzystanie z okresowych metod testowania dynamicznego. |
GitHub Advanced Security Aby zwiększyć bezpieczeństwo kodu i procesy programistyczne, użyj skanowania kodu w GitHub Advanced Security i Azure DevOps. - Advanced Security - Advanced Security for Azure DevOps - Skanowanie kodu Microsoft Defender for Cloud Włączanie ochrony obciążeń dla subskrypcji z obciążeniami aplikacji. - Defender for Cloud - Defender for Containers - Defender for App Service Defender for Cloud DevOps security Korzystaj z funkcji Zarządzania Planem Wsparcia w Chmurze (CSPM), aby chronić aplikacje i kod w środowiskach wielopotokowych. Połącz organizacje i oceń konfiguracje zabezpieczeń środowiska DevOps. - Bezpieczeństwo Defender for Cloud DevOps - Łączenie środowisk usługi Azure DevOps z usługą Defender for Cloud |
|
Optymalny Status Dojrzałości Enterprise integruje testowanie zabezpieczeń aplikacyjnych w całym cyklu życia tworzenia oprogramowania w przedsiębiorstwie, obejmując rutynowe, automatyczne testowanie wdrożonych aplikacji. |
Defender for Cloud DevOps security Wykorzystaj funkcje zarządzania stanem zabezpieczeń w chmurze (CSPM), aby chronić aplikacje i kod w środowiskach z wieloma potokami. Oceń konfiguracje zabezpieczeń środowiska DevOps. - Defender for Cloud DevOps security - Mapuj obrazy kontenerów - Zarządzanie ścieżkami ataków |
4.6 Funkcja: widoczność i analiza
| CISA ZTMM Opis Etapu | wskazówki i zalecenia firmy Microsoft |
|---|---|
|
początkowy stan dojrzałości Enterprise rozpoczyna automatyzowanie profilu aplikacji (np. stanu, kondycji i wydajności) oraz monitorowania zabezpieczeń w celu zwiększenia zbierania dzienników, agregacji i analizy. |
Azure Monitor Konfigurowanie usługi Azure Policy w celu włączenia diagnostyki i wykorzystania usługi Azure Monitor dla obciążeń aplikacji wdrożonych na platformie Azure. - Azure Monitor - definicje Azure Policy usługa Azure Monitor Application Insights Włącz usługę Application Insights w celu zbadania kondycji aplikacji, analizowania dzienników i wyświetlania wzorców użycia aplikacji platformy Azure. Application Insights microsoft Defender for Cloud Włączanie usługi Defender for Cloud dla platformy Azure i środowisk wielochmurowych. Użyj wskaźnika bezpieczeństwa firmy Microsoft, aby zidentyfikować luki i poprawić poziom zabezpieczeń. - Defender for Cloud - Wskaźnik bezpieczeństwa |
|
Zaawansowany status dojrzałości Enterprise automatyzuje monitorowanie profili i zabezpieczeń dla większości aplikacji przy użyciu heurystyk do identyfikacji trendów specyficznych dla poszczególnych aplikacji oraz w całym przedsiębiorstwie, a także udoskonala procesy w czasie, aby rozwiązywać luki w widoczności. |
Defender for Cloud Użyj Microsoft Secure Score do oceny i poprawy bezpieczeństwa w chmurze. Użyj priorytetyzacji ryzyka, aby skorygować ważne problemy z zabezpieczeniami. Wdrażanie składników monitorowania w celu zbierania danych z obciążeń platformy Azure i monitorowania luk w zabezpieczeniach i zagrożeń. - Defender for Cloud - Zbieranie danych z obciążeń - wskaźnik bezpieczeństwa - priorytetyzacja ryzyka Microsoft Sentinel Połącz Defender for Cloud z Sentinel. pozyskiwanie alertów do usługi Sentinel |
|
optymalnego stanu dojrzałości Enterprise wykonuje ciągłe i dynamiczne monitorowanie we wszystkich aplikacjach w celu zapewnienia kompleksowej widoczności całego przedsiębiorstwa. |
Defender for Cloud Integrowanie obciążeń infrastruktury i platformy z usługą Defender for Cloud, w tym zasobów w chmurze innej niż Microsoft i lokalnie. Zachowaj kompleksową widoczność w całym przedsiębiorstwie. - Połącz serwery lokalne - Połącz konta Amazon Web Services (AWS) - Połącz projekty Google Cloud Platform (GCP) Ochrona obciążeń w Defender for Cloud Włącz ochronę obciążeń dla swoich obciążeń aplikacji. - Defender for App Service - Defender for APIs - Defender for Containers - Defender for Servers |
4.7 Funkcja: automatyzacja i aranżacja
| Opis etapu CISA ZTMM | wskazówki i zalecenia firmy Microsoft |
|---|---|
|
stan początkowej dojrzałości Enterprise okresowo modyfikuje konfiguracje aplikacji, w tym lokalizację i dostęp, w celu spełnienia odpowiednich celów dotyczących zabezpieczeń i wydajności. |
"Azure Resource Manager" ARM jest usługą wdrażania i zarządzania dla platformy Azure. Automatyzuj zmiany konfiguracji przy użyciu szablonów ARM i Azure Bicep.Omówienie ARM - - szablonów ARM - Bicep |
|
zaawansowany stan dojrzałości Enterprise automatyzuje konfiguracje aplikacji, aby reagować na zmiany operacyjne i środowiskowe. |
Azure App Configuration Zarządzaj ustawieniami aplikacji i flagami funkcji z centralnej lokalizacji. Azure App Configuration Azure App Service Aby przetestować wdrożone aplikacje w środowisku produkcyjnym, użyj gniazd wdrożeniowych. Reagowanie na zmiany operacyjne i środowiskowe. Środowiska etapowe Microsoft Defender for Cloud Ocena bezpieczeństwa firmy Microsoft pozwala ocenić i poprawić stan zabezpieczeń chmury. Korzystanie z możliwości korygowania usługi Defender for Cloud. Korygowanie zaleceń |
|
Optymalny Stan Dojrzałości Enterprise automatyzuje konfiguracje aplikacji, aby stale optymalizować je pod kątem bezpieczeństwa i wydajności. |
Azure Chaos Studio Użyj tej usługi do inżynierii chaosu, aby pomóc mierzyć, zrozumieć i poprawić odporność aplikacji i usług w chmurze. Integrowanie usług Azure Load Testing i Azure Chaos Studio z cyklami programowania obciążeń. |
4.8 Funkcja: Zarządzanie
| CISA ZTMM - Opis Etapu | wskazówki i zalecenia firmy Microsoft |
|---|---|
|
stan początkowej dojrzałości Enterprise zaczyna automatyzować wymuszanie zasad na potrzeby tworzenia aplikacji (w tym dostępu do infrastruktury programistycznej), wdrażanie, zarządzanie zasobami oprogramowania, st&E w wstawianiu technologii, poprawianiu i śledzeniu zależności oprogramowania na podstawie potrzeb związanych z misją (na przykład przy użyciu rachunku oprogramowania za materiały). |
GitHub Actions standaryzować procesy DevSecOps dla zgłoszenia materiałów oprogramowania (SBOM) z potokiem ciągłej integracji i ciągłego dostarczania (CI/CD). - GitHub Actions - Generowanie SBOM użycie narzędzi GitHub Dependabot i CodeQL w celu zautomatyzowania kontroli zabezpieczeń i skanowania pod kątem luk w zabezpieczeniach. - Skanowanie kodu - Bezpieczny łańcuch dostaw GitHub Actions, Azure DevOps Actions Użyj CodeQL do automatyzacji kontroli zabezpieczeń w ramach potoku CI/CD. Usługa GitHub Advanced Security dla usługi Azure DevOps to usługa testowania zabezpieczeń aplikacji natywna dla przepływów pracy deweloperów. - skanowanie kodu - zaawansowane zabezpieczenia dla Azure DevOps narzędzie do generowania listy materiałowej oprogramowania Użyj generatora SBOM w czasie kompilacji, który działa w różnych systemach operacyjnych: Windows, Linux i MacOS. Używa standardowego formatu wymiany danych pakietu oprogramowania (SPDX). - narzędzie do generowania SBOM typu open source - narzędzia SBOM w usłudze GitHub |
|
Zaawansowany Stan Dojrzałości Enterprise implementuje warstwowe, dostosowane zasady dla całego przedsiębiorstwa w zakresie aplikacji oraz wszystkich aspektów cyklu życia tworzenia i wdrażania aplikacji oraz wykorzystuje automatyzację, jeśli to możliwe, do wsparcia egzekwowania. |
Azure Policy Pomoc w wymuszaniu standardów i ocenie zgodności. Zobacz pulpit nawigacyjny zgodności, aby uzyskać zagregowany widok środowiska. Azure Policy Microsoft Defender for Cloud Chroń obciążenia działające na platformie Azure i poza nią za pomocą usługi Defender for Cloud. Zgodność z przepisami i usługa Azure Policy umożliwiają ciągłą ocenę infrastruktury przy użyciu standardów konfiguracji. Zapobiegaj dryfowi konfiguracyjnemu. - Przypisz standardy zabezpieczeń - środowiska wielochmurowe grupy zarządzania Używanie grup zarządzania w celu wymuszania zasad dostępu i zgodności subskrypcji platformy Azure. subskrypcje i grupy zarządzania |
|
Optymalny Stan Dojrzałości Enterprise w pełni automatyzuje zasady regulujące rozwijanie i wdrażanie aplikacji, w tym włączanie dynamicznych aktualizacji dla aplikacji za pośrednictwem potoku ciągłej integracji/ciągłego wdrażania. |
Defender for Cloud Wdrażanie składników monitorowania w celu zbierania danych z obciążeń platformy Azure i monitorowania luk w zabezpieczeniach i zagrożeń. - Defender for Cloud - Zbieranie danych z obciążeń Polityka w usłudze Defender for Cloud składa się ze standardów i zaleceń, które pomagają poprawić pozycję bezpieczeństwa w chmurze. Standardy definiują reguły, warunki zgodności dla tych reguł i akcje, gdy warunki nie zostaną spełnione. zasady zabezpieczeń Infrastruktura jako kod Używanie ciągłej integracji i ciągłego dostarczania (CI/CD) w celu wdrożenia IaC za pomocą funkcji GitHub Actions. infrastruktury platformy Azure za pomocą funkcji GitHub Actions Azure Policy Aby wdrożyć usługę Azure Policy jako definicję kodu, przetestować i wdrożyć jej definicje. Zasady jako przepływy pracy kodu |
Następne kroki
Skonfiguruj usługi Microsoft Cloud Services dla modelu dojrzałości CISA Zero Trust.
- Wprowadzenie
- Tożsamość
- Urządzenia
- Networks
- Aplikacje i obciążenia
- Data