Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A Estratégia e roteiro de Confiança Zero do DoD delineia um caminho para os componentes do Departamento de Defesa e os parceiros da Base Industrial de Defesa (DIB) adotarem uma nova estrutura de segurança cibernética baseada nos princípios de Confiança Zero. A Confiança Zero elimina perímetros tradicionais e suposições de confiança, permitindo uma arquitetura mais eficiente que aprimora a segurança, as experiências do usuário e o desempenho da missão.
Este guia tem recomendações para as 152 atividades da Confiança Zero no Roteiro de execução da funcionalidade de Confiança Zero do DoD. As seções correspondem aos sete pilares do modelo de Confiança Zero do DoD.
Use os links a seguir para acessar as seções do guia.
- Introdução
- Usuário
- Dispositivo
- Aplicativos e cargas de trabalho
- Dados
- Rede
- Automação e orquestração
- Visibilidade e análise
3 Aplicativos e cargas de trabalho
Esta seção contém diretrizes e recomendações da Microsoft para atividades de Confiança Zero do DoD no pilar de aplicativos e cargas de trabalho. Para saber mais, veja Aplicativos seguros com Zero Trust.
Observação
As recomendações nesta seção estão alinhadas com o rascunho DoD Enterprise DevSecOps Reference Design.
3.1 Inventário de aplicativos
O Microsoft Entra ID é um IdP (provedor de identidade) para aplicativos e plataformas de nuvem, não apenas o Microsoft 365 e o Azure. A ID do Microsoft Entra inclui portais da Web e APIs RESTful para recuperar listas de aplicativos integrados. O Microsoft Defender para Aplicativos de Nuvem, um componente do Microsoft Defender XDR, tem recursos para descobrir, inventariar e bloquear aplicativos não sancionados.
| Descrição e resultado da atividade do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target 3.1.1 Identificação de aplicativo/códigoAs organizações DoD criam um inventário de aplicativos e códigos aprovados (por exemplo, código-fonte, bibliotecas etc.). Cada organização acompanhará a capacidade de suporte (ou seja, ativa, herdada etc.) e a localização hospedada (ou seja, nuvem, local, híbrida etc.) pelo menos no inventário. Resultado: - O componente identificou aplicativos e foi classificado como herdado, virtualizado local e hospedado na nuvem |
Microsoft Entra ID Use o centro de administração do Microsoft Entra para baixar uma lista de aplicativos registrados do Microsoft Entra. Selecione Download na faixa de opções superior. - Tipo de recurso de aplicativo Se sua organização usa os Serviços de Federação do Active Directory (AD FS), implante o Microsoft Entra Connect Health. Use o relatório de atividade do aplicativo para descobrir aplicativos do AD FS. - Monitorar o AD FS com o Connect Health - Relatório de atividades do aplicativo Gerenciamento de vulnerabilidades do Microsoft Defender Use o inventário de software no Gerenciamento de vulnerabilidades do Defender para exibir o software em sua organização. - Inventário de software Microsoft Defender for Cloud Apps Configure o Cloud Discovery no Defender for Cloud Apps para obter um instantâneo dos aplicativos acessados pelos usuários. - Configurar o Cloud Discovery - Investigar aplicativos Aplicativos descobertos do Microsoft Intune Os aplicativos descobertos do Intune são detectados por dispositivos registrados do Intune no locatário. É um inventário de software do locatário. Em dispositivos corporativos, aplicativos ou aplicativos gerenciados não são coletados para este relatório. - Aplicativos descobertos Azure DevOps Use este serviço para gerenciamento seguro de pacotes. Os desenvolvedores compartilham código e gerenciam pacotes em um só lugar. - Azure Artifacts - Repositório do Azure GitHub |
3.2 Desenvolvimento e integração de software seguro
Recursos do GitHub, como o GHAS (GitHub Advanced Security) e o GitHub Actions, ajudam você a estabelecer práticas de desenvolvimento e implantação de software de Confiança Zero. O GitHub Enterprise Cloud integra-se à ID do Microsoft Entra para gerenciar direitos com a Governança de ID do Microsoft Entra e proteger o acesso com políticas de Acesso Condicional.
Os desenvolvedores podem usar as MSAL (Bibliotecas de Autenticação da Microsoft) para integrar aplicativos à ID do Microsoft Entra. Para obter mais informações, consulte Autenticar usuários para Confiança Zero.
| Descrição e resultado da atividade do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target 3.2.1 Criar fábrica de software de DevSecOps – Parte 1A empresa DoD cria os padrões fundamentais para processos modernos de DevSecOps e pipelines de CI/CD. Os conceitos são aplicados em uma pilha de tecnologia padronizada em organizações do DoD capazes de atender a requisitos futuros de segurança de aplicativos. Um programa de Gerenciamento de Vulnerabilidades em toda a empresa é integrado aos pipelines de CI/CD após as atividades do Programa de Gerenciamento de Vulnerabilidades. Resultados: – Padrões de Dados/Serviço desenvolvidos para DevSecOps – O Pipeline de CI/CD é totalmente funcional e testado com êxito – o programa de Gerenciamento de Vulnerabilidades está oficialmente em vigor e operando |
GitHub Actions GitHub Actions usa integração contínua e entrega contínua (CI/CD) para automatizar pipelines de implantação. - Ações do GitHub Segurança avançada do GitHub Use o GitHub Advanced Security para GitHub e Azure DevOps para aprimorar a segurança de seu código e processos de desenvolvimento. - Segurança Avançada - Segurança Avançada para Azure DevOps Microsoft Entra SSO e provisionamento Configurar logon único (SSO) para ferramentas Git usando o Microsoft Entra ID. - Integração de SSO com a organização GitHub Enterprise Cloud - SSO integração com o GitHub Enterprise Server - Conectar uma organização ao Microsoft Entra ID Para saber mais sobre o DevSecOps para Azure e outras nuvens, consulte a Biblioteca DoD Cheif Information Officer (CIO). |
Target 3.2.2 Criar fábrica de software de DevSecOps – Parte 2As organizações DoD usarão os pipelines de CI/CD aprovados para desenvolver a maioria dos novos aplicativos. Quaisquer exceções seguirão um processo de aprovação padronizado para serem permitidas para serem desenvolvidas de forma legada. Os processos DevSecOps também são usados para desenvolver todos os novos aplicativos e atualizar aplicativos existentes. As funções de validação contínua são integradas aos pipelines de CI/CD e aos processos DevSecOps e integradas aos aplicativos existentes. Resultados: – O desenvolvimento de aplicativos é migrado para de pipeline de CI/CD – o processo/tecnologia de validação contínua é implementado e em uso – o desenvolvimento de aplicativos é migrado para o processo e a tecnologia de DevSecOps |
GitHub Advanced Security usar o GitHub Advanced Security para verificar se há dependências e vulnerabilidades de código. Configure compilações periódicas para avaliar a qualidade do código. - Segurança avançada - Verificação de código CodeQL - Cadeia de suprimentos segura Bicep no Azure Provisione infraestrutura de nuvem usando infraestrutura como código (IaC) com modelos do Azure Resource Manager (ARM) e Bicep. - Bicep Microsoft Defender for Cloud Habilite as proteções de carga de trabalho do Defender for Cloud para assinaturas com cargas de trabalho de aplicativos. - Proteja cargas de trabalho na nuvem Microsoft Defender for DevOps Use o Defender for DevOps para monitorar a segurança e os alertas de pipelines no Azure DevOps (ADO) e no GitHub. - Defender para DevOps |
Target 3.2.3 Automatizar a segurança do aplicativo e a correção de código – Parte 1Uma abordagem padronizada para a segurança do aplicativo, incluindo a correção de código, é implementada em toda a empresa DoD. A primeira parte (1) desta atividade inclui a integração de um gateway de API segura com aplicativos que utilizam API ou chamadas semelhantes. As revisões de código são conduzidas em uma abordagem metódica e proteções padronizadas para contêineres e sua infraestrutura estão em vigor. Além disso, quaisquer funções sem servidor em que o terceiro gerencia a infraestrutura, como a Plataforma como Serviço, utilizam funções adequadas de monitoramento e resposta de segurança sem servidor. As funções de segurança Code Reviews, Container e sem servidor são integradas ao processo de CI/CD e/ou DevSecOps, conforme apropriado. Resultados: – o Gateway de API Segura está operacional e a maioria das chamadas à API estão passando por de gateway – funções de Segurança do Aplicativo (por exemplo, revisão de código, contêiner e segurança sem servidor) são implementadas como parte do CI/CD e DevSecOps |
Gateway de Aplicativo do Azure Colocar aplicativos Web e APIs publicamente acessíveis com o Gateway de Aplicativo do Azure e o Firewall do Aplicativo Web. - Firewall do Aplicativo Web aplicativos da ID do Microsoft Entra a ID do Microsoft Entra é um gateway de autorização para acesso a aplicativos Web e À API. Exponha APIs para aplicativos registrados usando o Microsoft Entra. Use autenticação e autorização internas (Autenticação Fácil) no Serviço de Aplicativo do Azure e no Azure Functions. Para APIs sem reconhecimento de ID do Microsoft Entra, use a Autorização OAuth no gerenciamento de API do Azure. - Configurar um aplicativo para expor a API da Web - Autenticar e autorizar no Serviço de Aplicativo do Azure e no Azure Functions - Autenticar e autorizar em APIs GitHub Advanced Security Use o GitHub Advanced Security para GitHub e Azure DevOps. Consulte as diretrizes da Microsoft em 3.2.1. Microsft Defender para Nuvem Habilite as proteções de carga de trabalho do Defender para Nuvem para assinaturas do Azure com cargas de trabalho de API. Consulte as diretrizes da Microsoft em 3.2.2. |
Advanced 3.2.4 Automatizar a segurança do aplicativo e a correção de código – Parte 2As organizações DoD modernizam as abordagens para fornecer serviços gerenciados e desenvolvidos internamente seguindo abordagens de melhores práticas, como microsserviços. Essas abordagens permitirão arquiteturas mais resilientes e seguras, permitindo alterações mais rápidas no código em cada microsserviço à medida que os problemas de segurança são descobertos. As atividades de correção de segurança continuam em todo o DoD Enterprise com a inclusão de funções de segurança de tempo de execução para contêineres, conforme apropriado, atualizações automatizadas de bibliotecas vulneráveis e aprovações automatizadas de CI/CD durante o processo de lançamento. Resultados: – o Gateway de API Segura está operacional e a maioria das chamadas à API está passando por de gateway – os serviços são fornecidos seguindo um SOA (arquitetura orientada ao serviço) – atividades de correção de segurança (por exemplo, segurança de runtime, atualizações de biblioteca, aprovações de versão) são totalmente automatizadas |
Concluir as atividades 3.2.2 e 3.2.3. |
3.3 Gerenciamento de risco de software
O GitHub Actions ajuda a automatizar, personalizar e executar fluxos de trabalho de desenvolvimento de software para DevSecOps. Com o GitHub Actions, gere uma lista de materiais de software (SBOM), analise o código e verifique vulnerabilidades da cadeia de suprimentos e dependência. Para saber mais sobre o GitHub Actions, consulte GitHub Actions.
| Descrição e resultado da atividade do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target 3.3.1 Binários/código aprovadosAs organizações DoD usam abordagens de melhor prática para gerenciar binários e código aprovados em uma abordagem metódica. Essas abordagens incluirão gerenciamento de risco de fornecimento de fornecedores, uso de repositório aprovado, gerenciamento de risco da cadeia de suprimentos de lista de materiais e gerenciamento de vulnerabilidades padrão do setor. Resultados: – Risco de fornecimento de fornecedor avaliado e identificado para de origem aprovado – Repositório e canal de atualização estabelecido para uso pelas equipes de desenvolvimento – o Bill of Materials é criado para que os aplicativos identifiquem de origem, suporte e postura de risco – DIB (padrão do setor) e bancos de dados de vulnerabilidade aprovados são extraídos para serem usados no DevSecOps |
Processos do GitHub Actions Standardize DevSecOps para gerar uma conta de software de materiais (SBOM) com um pipeline de CI/CD (integração contínua e entrega contínua). - Gerar contas de software de materiais Usar o GitHub Dependabot e o CodeQL para automatizar verificações de segurança e verificar se há vulnerabilidades de dependência. - Verificação de código CodeQL - Cadeia de suprimentos segura Controle de Aplicativos do Windows Defender Usar o Controle de Aplicativos do Windows Defender para impedir a execução de código não confiável em pontos de extremidade gerenciados. - Controle de aplicativos e bloqueador de aplicativo - Integridade do código da plataforma |
Target 3.3.2 Programa de Gerenciamento de Vulnerabilidades – Parte 1As organizações DoD trabalham com organizações para estabelecer e gerenciar um programa de Gerenciamento de Vulnerabilidades. O programa inclui uma política e padrões acordados por todas as Organizações. O programa desenvolvido inclui, no mínimo, o rastreamento e o gerenciamento de vulnerabilidades públicas com base em aplicativos/serviços do DoD. As organizações estabelecem uma equipe de gerenciamento de vulnerabilidades com as principais partes interessadas, onde as vulnerabilidades são discutidas e gerenciadas seguindo a política e os padrões corporativos. Resultados: – a Equipe de Gerenciamento de Vulnerabilidades está em vigor e a associação apropriada de partes interessadas – a política e o processo de Gerenciamento de Vulnerabilidades estão em vigor e estão em vigor e acordados com os stakeholders – a fonte pública de vulnerabilidades está sendo utilizada para acompanhar |
Gerenciamento de ameaças e vulnerabilidades Funcionalidades de VM habilitam a visibilidade do ativo e avaliações inteligentes. O TVM tem ferramentas de correção integradas para endpoints e servidores. Use o TVM com um programa de Gerenciamento de Vulnerabilidades. - Microsoft Defender TVM Microsoft Cloud Security Benchmark Confira como os serviços online da Microsoft conduzem o Gerenciamento de Vulnerabilidades. - Visão geral do TVM - Postura e Gerenciamento de Vulnerabilidades |
Target 3.3.3 Processos do programa de Gerenciamento de Vulnerabilidades – Parte 2São estabelecidos processos na empresa DoD para gerenciar a divulgação de vulnerabilidades em serviços mantidos/operados pelo DoD, tanto pública quanto privadamente acessíveis. As organizações do DoD expandem o programa de gerenciamento de vulnerabilidades para rastrear e gerenciar repositórios de vulnerabilidades fechados, como DIB, CERT e outros. Resultados: – fontes de vulnerabilidades controladas (por exemplo, DIB, CERT) estão sendo utilizadas para rastrear – o programa de gerenciamento de vulnerabilidades tem um processo para aceitar divulgações externas/públicas para serviços gerenciados |
Gerenciamento de ameaças e vulnerabilidades Use a página de fraquezas no Microsoft Defender TVM para identificar e priorizar vulnerabilidades descobertas nos dispositivos e servidores da sua organização. - Vulnerabilidades na organização Rastreie atividades de correção usando o relatório de dispositivos vulneráveis do TVM. - Relatório de dispositivo vulnerável |
Target 3.3.4 Validação contínuaAs organizações DoD implementarão uma abordagem de validação contínua para o desenvolvimento de aplicativos em que a implantação paralela é realizada e integrada a um ambiente aprovado (por exemplo, teste de aceitação do usuário, Produção). Os aplicativos incapazes de integrar a validação contínua em seu processo de CI/CD são identificados e exceções são fornecidas conforme necessário usando uma abordagem metódica. Resultados: – Os aplicativos atualizados são implantados em um ambiente dinâmico e/ou de produção – Os aplicativos marcados para a aposentadoria e transição são desativados – as ferramentas de validação contínua são implementadas e aplicadas ao código no pipeline de CI/CD – o código que exige validação contínua é identificado e os critérios de validação são estabelecidos |
Azure Chaos Studio usar o Azure Chaos Studio para validar cargas de trabalho. - validação contínua o GitHub Advanced Security usar recursos e ações do GitHub para gerenciamento de vulnerabilidades no Design de Referência do DoD Enterprise DevSecOps. Consulte as diretrizes da Microsoft em 3.2.1. |
3.4 Autorização e integração de recursos
O Acesso Condicional é o mecanismo de política de Confiança Zero no Microsoft Entra ID. Conecte suas cargas de trabalho de aplicativo com o Microsoft Entra ID. Use a Governança de ID do Microsoft Entra para gerenciar direitos e proteger entradas com políticas de Acesso Condicional. As políticas usam atributos de segurança, como integridade do dispositivo, detalhes da sessão e risco para tomar decisões de acesso adaptável. A ID do Microsoft Entra, o Azure Resource Manager e os pipelines de CI/CD autorizam a implantação de recursos no Azure.
| Descrição e resultado da atividade do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Target 3.4.1 Autorização de recursos – Parte 1As organizações DoD padronizam as abordagens de autorização de recursos (por exemplo, perímetro definido pelo software) com as organizações. No mínimo, os gateways de autorização de recursos serão integrados a identidades e dispositivos. As organizações implantam gateways de autorização de recursos aprovados e habilitam aplicativos/serviços externos. Outros aplicativos para migração e aplicativos que não podem ser migrados são identificados para exceção ou descomissionamento. Resultados: - O Resource Authorization Gateway está em vigor para aplicativos externos - Política de autorização de recursos integrada com identidade e dispositivo - Orientações em toda a empresa sobre padrões de conversão são comunicadas às partes interessadas |
Microsoft Entra ID Microsoft Entra é um gateway de autorização para recursos do aplicativo. Integre aplicativos modernos e herdados para SSO com o Microsoft Entra. Consulte as diretrizes da Microsoft 1.2.4 no User. o Microsoft Entra ID Governance Usar funções de aplicativo de Governança de ID do Microsoft Entra para acesso a aplicativos. Atribua usuários a funções de aplicativo usando associação estática, grupos de segurança dinâmicos do Microsoft Entra ou pacotes de acesso de gerenciamento de direitos. - Adicionar funções de aplicativo a um aplicativo e recebê-las em um token - controle de acesso baseado em função acesso condicional usar políticas de acesso condicional para autorizar dinamicamente, controlar ou bloquear o acesso ao aplicativo. Consulte as diretrizes da Microsoft 1.8.3 em Usuário e 2.1.4 em Dispositivo. Gateway de Aplicativo do Azure Habilite aplicativos Web e APIs acessíveis publicamente com o Gateway de Aplicativo e o Firewall de Aplicativo Web. Consulte as diretrizes da Microsoft em 3.2.3. |
Target 3.4.2 Autorização de recursos – Parte 2Os gateways de autorização de recursos são usados para todos os aplicativos/serviços possíveis. Os aplicativos incapazes de utilizar gateways são desativados ou excluídos usando uma abordagem metódica baseada em risco. As autorizações são ainda integradas ao pipeline de CI/CD para tomada de decisão automatizada. Resultados: - O gateway de autorização de recursos é utilizado para todos os aplicativos - A autorização de recursos é integrada ao DevSecOps e ao CI/CD para funções automatizadas |
ID da Carga de Trabalho do Microsoft Entra Use a federação de identidades de Carga de Trabalho para configurar uma identidade gerenciada atribuída pelo usuário ou o registro de aplicativo para confiar em tokens de um provedor de identidade externo (IdP). Use a identidade de carga de trabalho federada para fluxos de trabalho do GitHub Actions. - Federação de identidades de carga de trabalho Gerenciamento de API do Azure Use o Gerenciamento de API do Azure para gerenciar, autorizar e expor serviços hospedados dentro e fora do Azure como APIs. - Gerenciamento de API do Azure |
Target 3.4.3. SDC Resource Authorization Pt1A organização do DoD fornece uma abordagem padronizada para gerenciamento de computação baseado em código (ou seja, computação definida por software) seguindo as práticas recomendadas do setor. Usando abordagens baseadas em risco, as linhas de base são criadas usando o conjunto aprovado de bibliotecas de código e pacotes. As organizações do DoD trabalham com as atividades de código/binários aprovadas para garantir que os aplicativos sejam identificados que podem ou não oferecer suporte à abordagem. Aplicativos que podem suportar uma configuração moderna baseada em software e abordagens de gerenciamento são identificados e a transição começa. Os aplicativos que não podem seguir as abordagens de configuração e gerenciamento baseadas em software são identificados e permitidos por meio de exceções usando uma abordagem metódica. Resultados: – aplicativos que não podem ser atualizados para usar binários/código aprovados são marcados para aposentadoria e planos de transição são criados - Aplicativos identificados sem binários aprovados e código são atualizados para usar binários/código aprovados - Diretrizes de toda a empresa sobre padrões de conversão são comunicadas aos stakeholders |
Desenvolvimento seguro Design, desenvolvimento e implantação de aplicativos do Azure seguindo o ciclo de vida de desenvolvimento de segurança e as práticas recomendadas publicadas. - Desenvolvimento seguro - Infraestrutura como código - Azure Policy como fluxos de trabalho de código Microsoft Entra ID Usar a plataforma de identidade da Microsoft para autenticação e autorização de aplicativo. - Migrar aplicativos e autenticação Migrações para Azure Migrar para plataformas de aplicativos modernas, como o AKS (Serviço de Kubernetes do Azure) e contêineres do Serviço de Aplicativo. - Migrar cargas de trabalho para plataformas de aplicativos modernas - Avaliar aplicativos ASP.NET para migração para o AKS - Avaliar aplicativos ASP.NET para migração para o Serviço de Aplicativo do Azure |
Target 3.4.4 Autorização de recurso de SDC – Parte 2Os aplicativos que dão suporte à configuração e ao gerenciamento baseados em software foram transferidos para um ambiente de produção/vida útil e estão em operações normais. Sempre que possível, as aplicações que não suportam a configuração e a gestão baseadas em software são desativadas. Resultados: – Os aplicativos atualizados são implantados em um ambiente dinâmico e/ou de produção – os aplicativos marcados para aposentadoria e transição são desativados |
Migrações para Azure Containerize e migre aplicativos ASP.NET e aplicativos Web Java usando a ferramenta Azure Migrate: App Containerization. Descomissionar aplicativos que não podem ser modernizados. - ASP.NET conteinerização e migração de aplicativos para AKS - ASP.NET conteinerização e migração de aplicativos para o Serviço de Aplicativo do Azure - Conteinerização de aplicativos Web Java e migração para contêinerização de aplicativos Web AKS - Java e migração para o Serviço de Aplicativo do Azure |
Advanced 3.4.5 Enriquecer atributos para autorização de recursos – Parte 1Os atributos iniciais de fontes como monitoramento de atividades de usuário e entidade, serviços de microssegmentação, DLP e DRM (gerenciamento de direitos de dados) são integrados à pilha e à política de tecnologia de autorização de recursos. Quaisquer outros atributos para integração posterior são identificados e planejados. Os atributos são usados para criar postura básica de risco de usuários, entidades não pessoais (NPEs) e dispositivos que permitem decisões de autorização. Resultados: - A maioria das chamadas de API está passando pelo Secure API Gateway - A autorização de recursos recebe dados do Analytics Engine - As políticas de autorização incorporam atributos identificados na tomada de decisões de autorização - Os atributos a serem usados para o enriquecimento inicial são identificados |
Aplicativos do Microsoft Entra Use a ID do Microsoft Entra para autorizar aplicativos e APIs modernos. Implante o proxy de aplicativo do Microsoft Entra e os servidores habilitados para o Azure Arc para estender a ID do Microsoft Entra para protocolos de autenticação herdados. Consulte as diretrizes da Microsoft em 3.1.1 e 3.2.3. Acesso condicional O Microsoft Entra é um gateway seguro para a autorização de recursos. O Acesso Condicional é o mecanismo de autorização. Configure políticas para autorização detalhada usando condições de usuário, aplicativo, usuário, ambiente, incluindo status de conformidade de dispositivo. - Design de Acesso Condicional - Acesso Condicional - Exigir dispositivos compatíveis Grupos de segurança dinâmicos Criar grupos de segurança dinâmicos com base em atributos de usuário. Use grupos dinâmicos para definir o escopo das políticas de Acesso Condicional para autorização de atributo estático, com base nos atributos do usuário. - Associação dinâmica para grupos - Usuários, grupos e identidades de carga de trabalho tipos de informações confidenciais do Microsoft Purview Definir tipos de informações confidenciais com EDM (Correspondência Exata de Dados). Use tipos de informações confidenciais com políticas de DLP (Proteção de Informações do Microsoft Purview e Prevenção contra perda de dados) do Purview. - Correspondência de dados com base em tipos de informações confidenciais - Descobrir e proteger informações confidenciais o Microsoft Entra ID Governance Usar a Governança de ID do Microsoft Entra para acesso a aplicativos com funções de aplicativo. Atribua usuários a funções de aplicativo com associação estática, grupos de segurança dinâmica ou pacotes de acesso de gerenciamento de direitos. - Adicionar funções de aplicativo e recebê-las em um token - controle de acesso baseado em função |
Advanced 3.4.6. Os Atributos de Enriquecimento para Autorização de Recurso Pt2Atributos de identificação estendida são integrados à tecnologia e à política de autorização de recursos. A pontuação de confiança é introduzida em todos os atributos para criar um método mais avançado de tomada de decisão de autorização de forma automatizada. Resultados: – As políticas de autorização incorporam níveis de confiança na tomada de decisões de autorização – Os níveis de confiança para atributos são definidos |
Proteção de ID do Microsoft Entra Use o risco de entrada e os sinais de usuário da Proteção de ID do Microsoft Entra em um conjunto de políticas de Acesso Condicional. Configure o contexto de autenticação, incluindo o risco, para estabelecer níveis de confiança, com base nos detalhes ambientais e no nível de risco. - Riscos de ID do Microsoft Entra - Modelo de política: risco de entrada MFA - Exemplo de contexto de autenticação Consulte as diretrizes da Microsoft 1.3.3 em Usuário. Atributos de segurança personalizados Gerencie e atribua atributos de segurança personalizados para usuários do Microsoft Entra ID. Use condições de atribuição de função para controle de acesso dinâmico baseado em atributos (ABAC). - Atributos de segurança personalizados |
Advanced 3.4.7. Microsegmentos da API RESTUsando o(s) gateway(s) de API aprovado pelo DoD Enterprise, as chamadas de aplicativos são microssegmentadas apenas permitindo acesso autenticado e autorizado a destinos específicos (por exemplo, microsserviços). Quando possível, os consoles de Microssegmentação de API são integrados e reconhecem outros consoles de Microssegmentação, como Controladores de Perímetro Definidos por Software e/ou Consoles de Rede Definidos por Software. Resultado: - APIs corporativas aprovadas são microssegmentadas adequadamente |
Rede e conectividade do Azure Isole, filtre e controle o tráfego de rede nos fluxos de entrada e saída. Aplique princípios de defesa profunda usando controles de rede localizados nos limites de rede disponíveis. Siga a estrutura bem arquitetada do Azure. - Recomendações de rede e conectividade - Recomendações de estratégia de segmentação Design de API Siga as práticas recomendadas para projetar APIs para microsserviços. Proteja e autorize APIs com o Microsoft Entra ID. - Microservice APIs - Protect APIs |
3.5 Monitoramento contínuo e autorizações contínuas
Os padrões de segurança do Microsoft Defender para Nuvem avaliam continuamente assinaturas do Azure no escopo, contas da Amazon Web Services (AWS) e projetos do Google Cloud Platform (GCP) com o Defender for Cloud habilitado para conformidade com os padrões regulamentares.
| Descrição e resultado da atividade do DoD | Diretrizes e recomendações da Microsoft |
|---|---|
Advanced 3.5.1 cATO (Autorização Contínua para Operar) – Parte 1As organizações DoD utilizam soluções de automação no ambiente para padronizar o monitoramento dos controles e oferecer a capacidade de identificar desvios. Quando apropriado, o monitoramento e os testes são integrados aos processos DevSecOps. Resultados: - A derivação de controles é padronizada e pronta para automação - O teste de controles é integrado com processos e tecnologia DevSecOps |
Biblioteca do Chief Information Officer (CIO) do DoD Integre o monitoramento e os testes nos processos de DevSecOps. Consulte o DoD Enterprise DevSecOps Reference Design - DoD CIO Library Microsoft Defender para Nuvem Proteja cargas de trabalho do Azure e não-Azure com o Defender para Nuvem. Use a conformidade normativa e as iniciativas do Azure Policy para avaliar a infraestrutura continuamente com os padrões de configuração. Evitar descompasso de configuração. - Atribuir padrões de segurança - ambientes multinuvem operações de integração e implantação do Microsoft Sentinel Automatizar o Sentinel com o GitHub e o Azure DevOps. - Integração do Sentinel e do Azure DevOps - Implantar conteúdo personalizado de um repositório |
Advanced 3.5.2 cATO (Autorização Contínua para Operar) – Parte 2As organizações DoD automatizam totalmente os processos de derivação, teste e monitoramento de controle. Os desvios são automaticamente testados e resolvidos usando a infraestrutura de automação existente entre pilares. O painel é usado para monitorar o status das autorizações e as análises são integradas com os funcionários autorizadores responsáveis. < /br> Outcomes: - O teste de controles é totalmente automatizado - A integração com as operações padrão de IR e SOC é automatizada |
Gerenciamento de ameaças e vulnerabilidades do Microsoft Defender Incorpore o Gerenciamento de Ameaças e Vulnerabilidades (TVM) ao seu programa de gerenciamento de vulnerabilidades. Consulte as diretrizes da Microsoft em 3.3.2. Azure DevOps e Microsoft Sentinel Automatizar operações de integração e implantação do Sentinel com o Azure DevOps. - Integração do Sentinel ao Azure DevOps Microsoft Defender XDR e Sentinel Integrar o Microsoft Defender XDR e o Defender para Nuvem com o Sentinel. - Sentinel e Defender XDR para Confiança Zero |
Próximas etapas
Configure os serviços de nuvem da Microsoft para a Estratégia de Confiança Zero do DoD:
- Introdução
- Usuário
- Dispositivo
- Aplicativos e cargas de trabalho
- Dados
- Rede
- Automação e orquestração
- Visibilidade e análise