Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
A Estratégia e o Roteiro do DoD Zero Trust traçam um caminho para os componentes do Departamento de Defesa e os parceiros da Base Industrial de Defesa (DIB) adotarem uma nova estrutura de segurança cibernética baseada nos princípios do Zero Trust. O Zero Trust elimina os perímetros tradicionais e as suposições de confiança, permitindo uma arquitetura mais eficiente que melhora a segurança, as experiências do usuário e o desempenho da missão.
Este guia contém recomendações para as 152 atividades do Zero Trust no Roteiro de Execução de Capacidade do DoD Zero Trust. As seções correspondem aos sete pilares do modelo DoD Zero Trust.
Use os links a seguir para ir para as seções do guia.
- Introdução
- Utilizador
- Dispositivo
- Aplicativos e cargas de trabalho
- Dados
- Rede
- Automação e orquestração
- Visibilidade e análise
3 Aplicações e cargas de trabalho
Esta seção contém orientações e recomendações da Microsoft para atividades do DoD Zero Trust no pilar de aplicativos e cargas de trabalho. Para saber mais, consulte Proteger aplicativos com Zero Trust.
Nota
As recomendações nesta seção estão alinhadas com o projeto de Design de Referência do DoD Enterprise DevSecOps.
3.1 Inventário de aplicações
O Microsoft Entra ID é um provedor de identidade (IdP) para aplicativos e plataformas de nuvem, não apenas o Microsoft 365 e o Azure. O Microsoft Entra ID inclui portais da Web e APIs RESTful para recuperar listas de aplicativos integrados. O Microsoft Defender for Cloud Apps, um componente do Microsoft Defender XDR, tem recursos para descobrir, inventariar e bloquear aplicativos não autorizados.
| Descrição da atividade e resultado do DoD | Orientações e recomendações da Microsoft |
|---|---|
Target3.1.1 Identificação do Pedido/CódigoAs organizações do DoD criam um inventário de aplicativos e códigos aprovados (por exemplo, código-fonte, bibliotecas, etc.). Cada organização rastreará a capacidade de suporte (ou seja, ativa, legada, etc.) e o local hospedado (ou seja, nuvem, local, híbrido, etc.) pelo menos no inventário. Resultado: - O componente identificou aplicativos e classificou como legados, virtualizados no local e hospedados na nuvem |
ID do Microsoft Entra Use o centro de administração do Microsoft Entra para baixar uma lista de aplicativos registrados no Microsoft Entra. Selecione Download na faixa de opções superior. - Tipo de recurso de aplicativo Se sua organização usa os Serviços de Federação do Ative Directory (AD FS), implante o Microsoft Entra Connect Health. Use o relatório de atividade do aplicativo para descobrir aplicativos do AD FS. - Monitorar o AD FS com o Connect Health- Relatório de atividades do aplicativo Gerenciamento de vulnerabilidades do Microsoft Defender Use o inventário de software no Defender Vulnerability Management para exibir o software em sua organização. - Inventário de software Microsoft Defender for Cloud Apps Configure o Cloud Discovery no Defender for Cloud Apps para obter um instantâneo dos aplicativos acessados pelos usuários. - Configurar a Deteção na Nuvem- Investigar aplicações Aplicações descobertas pelo Microsoft Intune As aplicações descobertas pelo Intune são detetadas por dispositivos inscritos no Intune no inquilino. É um inventário de software do inquilino. Em dispositivos corporativos, aplicativos ou aplicativos gerenciados não são coletados para este relatório. - Aplicativos descobertos Azure DevOps Use este serviço para gerenciamento seguro de pacotes. Os desenvolvedores compartilham código e gerenciam pacotes em um só lugar. - Azure Artifacts - Azure GitHub repos |
3.2 Desenvolvimento e integração segura de software
Recursos do GitHub, como o GitHub Advanced Security (GHAS) e o GitHub Actions, ajudam a estabelecer práticas de desenvolvimento e implantação de software Zero Trust. O GitHub Enterprise Cloud integra-se com o Microsoft Entra ID para gerenciar direitos com a Governança do Microsoft Entra ID e proteger o acesso com políticas de Acesso Condicional.
Os desenvolvedores podem usar as Bibliotecas de Autenticação da Microsoft (MSAL) para integrar aplicativos com o Microsoft Entra ID. Para obter mais informações, consulte Autenticar usuários para Zero Trust.
| Descrição da atividade e resultado do DoD | Orientações e recomendações da Microsoft |
|---|---|
Target3.2.1 Construir DevSecOps Software Factory Pt1A empresa DoD cria os padrões fundamentais para processos modernos de DevSecOps e pipelines de CI/CD. Os conceitos são aplicados em uma pilha de tecnologia padronizada em organizações do DoD capazes de atender aos requisitos futuros de segurança de aplicativos. Um programa de Gerenciamento de Vulnerabilidades em toda a empresa é integrado aos pipelines de CI/CD após as atividades do Programa de Gerenciamento de Vulnerabilidades. Resultados: - Padrões de dados/serviços desenvolvidos para DevSecOps - CI/CD Pipeline é totalmente funcional e testado com sucesso - O programa de gerenciamento de vulnerabilidades está oficialmente em vigor e operando |
Açõesdo GitHub O GitHub Actions usa integração contínua e entrega contínua (CI/CD) para automatizar pipelines de implantação. - Ações do GitHub Segurança Avançada do GitHub Use a Segurança Avançada do GitHub para GitHub e Azure DevOps para melhorar a segurança de seu código e processos de desenvolvimento. - Segurança - Avançada Segurança Avançada para Azure DevOps Microsoft Entra SSO e provisionamento Configure o logon único (SSO) para ferramentas Git usando o Microsoft Entra ID. - Integração SSO com a organização GitHub Enterprise Cloud Integração - SSO com o GitHub Enterprise Server - Conectar uma organização ao Microsoft Entra ID Para saber mais sobre o DevSecOps para Azure e outras nuvens, consulte a Biblioteca do CIO (DoD Cheif Information Officer). |
Target3.2.2 Construir DevSecOps Software Factory Pt2As organizações do DoD usarão seus pipelines de CI/CD aprovados para desenvolver a maioria dos novos aplicativos. Quaisquer exceções seguirão um processo de aprovação padronizado para poder ser desenvolvido de forma legada. Os processos DevSecOps também são usados para desenvolver todos os novos aplicativos e atualizar os aplicativos existentes. As funções de validação contínua são integradas nos pipelines de CI/CD e processos DevSecOps e integradas com aplicativos existentes. Resultados: - O desenvolvimento de aplicações é migrado para o pipeline de CI/CD- Processo de validação contínua/tecnologia é implementado e em uso - O desenvolvimento de aplicações é migrado para o processo e tecnologia DevSecOps |
Segurança avançada do GitHub Use o GitHub Advanced Security para verificar dependências e vulnerabilidades de código. Configure compilações periódicas para avaliar a qualidade do código. - Verificação avançada de - código CodeQL Cadeia - de suprimentos segura Bicep no Azure Provisione a infraestrutura de nuvem usando infraestrutura como código (IaC) com modelos do Azure Resource Manager (ARM) e Bicep. - Bicep Microsoft Defender for Cloud Habilite as proteções de carga de trabalho do Defender for Cloud para assinaturas com cargas de trabalho de aplicativos. - Proteja cargas de trabalho na nuvem Microsoft Defender for DevOps Use o Defender for DevOps para monitorar a segurança e alertas de pipelines no Azure DevOps (ADO) e no GitHub. - Defender para DevOps |
Target3.2.3 Automatize a segurança do aplicativo e a correção de código Pt1Uma abordagem padronizada para a segurança do aplicativo, incluindo a correção de código, é implementada em toda a empresa do DoD. A primeira parte (1) desta atividade inclui a integração de um gateway de API segura com aplicativos que utilizam API ou chamadas semelhantes. As revisões de código são conduzidas em uma abordagem metódica e proteções padronizadas para contêineres e sua infraestrutura estão em vigor. Além disso, todas as funções sem servidor em que o terceiro gerencia a infraestrutura, como a Plataforma como Serviço, utilizam funções adequadas de monitoramento e resposta de segurança sem servidor. As funções de segurança Code Reviews, Container e Serverless são integradas ao processo CI/CD e/ou DevSecOps, conforme apropriado. Resultados: - O Secure API Gateway está operacional e a maioria das chamadas de API está passando pelo gateway - As funções de segurança de aplicativos (por exemplo, revisão de código, contêiner e segurança sem servidor) são implementadas como parte do CI/CD e DevSecOps |
Gatewayde Aplicativo do Azure Coloque aplicativos Web e APIs acessíveis publicamente com o Gateway de Aplicativo do Azure e o Firewall de Aplicativo Web. - Web Application Firewall Aplicativos Microsoft Entra ID O Microsoft Entra ID é um gateway de autorização para acesso a aplicativos Web e API. Exponha APIs para aplicativos registrados usando o Microsoft Entra. Use autenticação e autorização internas (Autenticação Fácil) no Serviço de Aplicativo do Azure e no Azure Functions. Para APIs sem reconhecimento de ID do Microsoft Entra, use a Autorização OAuth no gerenciamento de API do Azure. - Configurar um aplicativo para expor API- Web Autenticar e autorizar no Serviço de Aplicativo do Azure e no Azure Functions - Autenticar e autorizar para APIs Segurança Avançada do GitHub Use o GitHub Segurança Avançada para GitHub e Azure DevOps. Consulte as orientações da Microsoft na versão 3.2.1. Microsft Defender for Cloud Habilite as proteções de carga de trabalho do Defender for Cloud para assinaturas do Azure com cargas de trabalho de API. Consulte as orientações da Microsoft na versão 3.2.2. |
Advanced3.2.4 Automatize a segurança do aplicativo e a correção de código Pt2As organizações do DoD modernizam as abordagens para fornecer serviços desenvolvidos e gerenciados internamente seguindo abordagens de práticas recomendadas, como microsserviços. Essas abordagens permitirão arquiteturas mais resilientes e seguras, permitindo alterações mais rápidas no código em cada microsserviço à medida que problemas de segurança são descobertos. As atividades de remediação de segurança continuam em todo o DoD Enterprise com a inclusão de funções de segurança de tempo de execução para contêineres, conforme apropriado, atualizações automatizadas de bibliotecas vulneráveis e aprovações automatizadas de CI/CD durante o processo de lançamento. Resultados: - O Secure API Gateway está operacional e a maioria das chamadas de API está passando pelo gateway - Os serviços são fornecidos seguindo uma arquitetura orientada a serviços (SOA) - As atividades de correção de segurança (por exemplo, segurança em tempo de execução, atualizações de biblioteca, aprovações de versão) são totalmente automatizadas |
Atividades completas 3.2.2 e 3.2.3. |
3.3 Gestão de riscos de software
As ações do GitHub ajudam a automatizar, personalizar e executar fluxos de trabalho de desenvolvimento de software para DevSecOps. Com o GitHub Actions, gere uma lista de materiais de software (SBOM), analise o código e verifique vulnerabilidades da cadeia de suprimentos e dependência. Para saber mais sobre as Ações do GitHub, consulte Ações do GitHub.
| Descrição da atividade e resultado do DoD | Orientações e recomendações da Microsoft |
|---|---|
Target3.3.1 Binários/CódigoAprovadosA empresa DoD usa abordagens de práticas recomendadas para gerenciar binários aprovados e código em uma abordagem metódica. Essas abordagens incluirão o gerenciamento de risco de fornecimento de fornecedores, o uso aprovado do repositório, o gerenciamento de riscos da cadeia de suprimentos da lista de materiais e o gerenciamento de vulnerabilidades padrão do setor. Resultados: - Risco de fornecimento de fornecedores avaliado e identificado para fonte aprovada- Repositório e canal de atualização estabelecido para uso pelas equipes de desenvolvimento- Lista de materiais é criada para aplicativos identificar origem, capacidade de suporte e postura de risco- Padrão do setor (DIB) e bancos de dados de vulnerabilidade aprovados são puxados para serem usados em DevSecOps |
Ações do GitHub Padronize os processos DevSecOps para gerar uma lista de materiais de software (SBOM) com um pipeline de integração contínua e entrega contínua (CI/CD). - Gerar listas de materiais de software Use o GitHub Dependabot e o CodeQL para automatizar verificações de segurança e verificar vulnerabilidades de dependência. - Verificação de código CodeQL Cadeia - de suprimentos segura Controle de Aplicativo do Windows Defender Use o Controle de Aplicativo do Windows Defender para impedir que códigos não confiáveis sejam executados em pontos de extremidade gerenciados. - Controlo de Aplicações e App locker - Integridade do código da plataforma |
Target3.3.2 Programa de Gestão de Vulnerabilidades Pt1A empresa DoD trabalha com organizações para estabelecer e gerenciar um programa de gerenciamento de vulnerabilidades. O programa inclui uma política e padrões acordados por todas as Organizações. O programa desenvolvido inclui, no mínimo, o rastreamento e o gerenciamento de vulnerabilidades públicas com base em aplicativos/serviços do DoD. As organizações estabelecem uma equipe de gerenciamento de vulnerabilidades com as principais partes interessadas, onde as vulnerabilidades são discutidas e gerenciadas seguindo a política e os padrões corporativos. Resultados: - A Equipe de Gerenciamento de Vulnerabilidades está em vigor com a participação apropriada das partes interessadas- A política e o processo de Gerenciamento de Vulnerabilidades estão em vigor e acordados com as partes interessadas - A fonte pública de vulnerabilidades está sendo utilizada para rastreamento |
Os recursos de VM de Gerenciamento de Ameaças e Vulnerabilidades permitem visibilidade de ativos e avaliações inteligentes. O TVM tem ferramentas de remediação integradas para endpoints e servidores. Use o TVM com um programa de gerenciamento de vulnerabilidades. - Microsoft Defender TVM Benchmark de segurança na nuvem da Microsoft Analise como os serviços online da Microsoft conduzem o gerenciamento de vulnerabilidades. - Visão geral - do TVM Gestão de postura e vulnerabilidade |
Target3.3.3 Programa de Gestão de Vulnerabilidades Pt2Os processos são estabelecidos no nível do DoD Enterprise para gerenciar a divulgação de vulnerabilidades em serviços mantidos/operados pelo DoD, tanto públicos quanto privados. As organizações do DoD expandem o programa de gerenciamento de vulnerabilidades para rastrear e gerenciar repositórios de vulnerabilidades fechados, como DIB, CERT e outros. Resultados: - Fontes controladas (por exemplo, DIB, CERT) de vulnerabilidades estão sendo utilizadas para rastreamento - O programa de gerenciamento de vulnerabilidades tem um processo para aceitar divulgações externas/públicas para serviços gerenciados |
Gerenciamento deameaças e vulnerabilidades Use a página de fraquezas no Microsoft Defender TVM para identificar e priorizar vulnerabilidades descobertas nos dispositivos e servidores da sua organização. - Vulnerabilidades na organização Rastreie atividades de correção usando o relatório de dispositivos vulneráveis TVM. - Relatório de dispositivo vulnerável |
Target3.3.4 ValidaçãocontínuaAs organizações do DoD implementarão uma abordagem de validação contínua para o desenvolvimento de aplicativos, onde a implantação paralela é conduzida e integrada com um nível de ambiente aprovado (por exemplo, testes de aceitação do usuário, produção). Os aplicativos incapazes de integrar a validação contínua em seu processo de CI/CD são identificados e exceções são fornecidas conforme necessário, usando uma abordagem metódica. Resultados: - Aplicativos atualizados são implantados em um ambiente ao vivo e/ou de produção- Aplicativos que foram marcados para aposentadoria e transição são desativados - Ferramentas de validação contínua são implementadas e aplicadas ao código no pipeline de CI/CD- Código que requer validação contínua é identificado e critérios de validação são estabelecidos |
Azure Chaos StudioUse o Azure Chaos Studio para validar cargas de trabalho. - Validação contínua Segurança Avançada do GitHub Use os recursos e ações do GitHub para gerenciamento de vulnerabilidades no Design de Referência do DoD Enterprise DevSecOps. Consulte as orientações da Microsoft na versão 3.2.1. |
3.4 Autorização e integração de recursos
O Acesso Condicional é o mecanismo de política Zero Trust no Microsoft Entra ID. Conecte suas cargas de trabalho de aplicativo com o Microsoft Entra ID. Use a Governança de ID do Microsoft Entra para gerenciar direitos e entradas seguras com políticas de Acesso Condicional. As políticas usam atributos de segurança, como integridade do dispositivo, detalhes da sessão e risco para tomar decisões de acesso adaptável. O Microsoft Entra ID, o Azure Resource Manager e os pipelines de CI/CD autorizam a implantação de recursos no Azure.
| Descrição da atividade e resultado do DoD | Orientações e recomendações da Microsoft |
|---|---|
Target3.4.1 Autorização de Recursos Pt1A empresa DoD padroniza as abordagens de autorização de recursos (por exemplo, Perímetro Definido por Software) com as organizações. No mínimo, os gateways de autorização de recursos serão integrados com identidades e dispositivos. As organizações implantam gateways de autorização de recursos aprovados e habilitam aplicativos/serviços externos. Outros aplicativos para migração e aplicativos que não podem ser migrados são identificados para exceção ou descomissionamento. Resultados: - O Gateway de Autorização de Recursos está em vigor para aplicativos externos- Política de Autorização de Recursos integrada com identidade e dispositivo - Orientação em toda a empresa sobre padrões de conversão são comunicadas às partes interessadas |
Microsoft Entra ID O Microsoft Entra é um gateway de autorização para recursos de aplicativos. Integre aplicativos modernos e legados para SSO com o Microsoft Entra. Consulte as orientações da Microsoft 1.2.4 em Utilizador. Governança do Microsoft Entra ID Use as funções do aplicativo Governança do Microsoft Entra ID para acessar aplicativos. Atribua usuários a funções de aplicativo usando associação estática, grupos de segurança dinâmicos do Microsoft Entra ou pacotes de acesso de gerenciamento de direitos. - Adicionar funções de aplicativo a um aplicativo e recebê-las em um token - Controle de acesso baseado em função Acesso condicional Use políticas de Acesso Condicional para autorizar, controlar ou bloquear dinamicamente o acesso ao aplicativo. Consulte as orientações da Microsoft 1.8.3 em Usuário e 2.1.4 em Dispositivo. Gateway de Aplicativo do Azure Habilite aplicativos Web e APIs acessíveis publicamente com o Gateway de Aplicativo e o Firewall de Aplicativo Web. Consulte as orientações da Microsoft 3.2.3. |
Target3.4.2 Autorização de Recursos Pt2Os gateways de autorização de recursos são usados para todos os aplicativos/serviços possíveis. Os aplicativos incapazes de utilizar gateways são desativados ou excluídos usando uma abordagem metódica baseada em risco. As autorizações são ainda mais integradas com o pipeline de CI/CD para tomada de decisão automatizada. Resultados: - O gateway de Autorização de Recursos é utilizado para todos os aplicativos - A Autorização de Recursos é integrada com DevSecOps e CI/CD para funções automatizadas |
ID da Carga de Trabalho do Microsoft Entra Use a federação de identidades de carga de trabalho para configurar uma identidade gerenciada atribuída pelo usuário ou o registro do aplicativo para confiar em tokens de um provedor de identidade externo (IdP). Use a identidade de carga de trabalho federada para fluxos de trabalho do GitHub Actions. - Federação de identidade de carga de trabalho Gerenciamento de API do Azure Use o Gerenciamento de API do Azure para gerenciar, autorizar e expor serviços hospedados dentro e fora do Azure como APIs. - Gerenciamento de API do Azure |
Target3.4.3. SDC Resource Authorization Pt1A empresa DoD fornece uma abordagem padronizada para gerenciamento de computação baseado em código (ou seja, computação definida por software) seguindo as práticas recomendadas do setor. Usando abordagens baseadas em risco, as linhas de base são criadas usando o conjunto aprovado de bibliotecas de código e pacotes. As organizações do DoD trabalham com as atividades de código/binários aprovadas para garantir que os aplicativos sejam identificados e que não podem suportar a abordagem. Os aplicativos que podem suportar uma configuração moderna baseada em software e abordagens de gerenciamento são identificados e a transição começa. Os aplicativos que não podem seguir abordagens de configuração e gerenciamento baseadas em software são identificados e permitidos por meio de exceções usando uma abordagem metódica. Resultados: - Aplicativos que não podem ser atualizados para usar binários/códigos aprovados são marcados para aposentadoria e planos de transição são criados - Aplicativos identificados sem binários e códigos aprovados são atualizados para usar binários/códigos aprovados- Orientações em toda a empresa sobre padrões de conversão são comunicadas às partes interessadas |
Desenvolvimentoseguro Projete, desenvolva e implante aplicativos do Azure seguindo o ciclo de vida de desenvolvimento de segurança e as práticas recomendadas publicadas. - Desenvolvimento - seguro Infraestrutura como código - Política do Azure como fluxos de trabalho de código ID do Microsoft Entra Use a plataforma de identidade da Microsoft para autenticação e autorização de aplicativos. - Migrar aplicativos e autenticação Azure Migrate Migre para plataformas de aplicativos modernas, como o Serviço Kubernetes do Azure (AKS) e contêineres do Serviço de Aplicativo. - Migrar cargas de trabalho para plataformas - de aplicativos modernas Avaliar ASP.NET aplicativos para migração para o AKS - Avaliar ASP.NET aplicativos para migração para o Serviço de Aplicativo do Azure |
Target3.4.4 Autorização de Recursos SDC Pt2Os aplicativos que suportam configuração e gerenciamento baseados em software foram transferidos para um ambiente de produção/ao vivo e estão em operações normais. Sempre que possível, as aplicações que não podem suportar a configuração e a gestão baseadas em software são desativadas. Resultados: - Aplicativos atualizados são implantados em um ambiente ao vivo e/ou de produção- Aplicativos que foram marcados para aposentadoria e transição são desativados |
Azure Migrate Containerize e migre aplicativos ASP.NET e aplicativos Web Java usando a ferramenta Azure Migrate: App Containerization. Descomissione aplicativos que não podem ser modernizados. - ASP.NET conteinerização e migração de aplicativos para o AKS- ASP.NET conteinerização e migração de aplicativos para o Serviço de- Aplicativo do Azure Conteinerização e migração de aplicativos Web Java para o AKS - Conteinerização e migração de aplicativos Web Java para o Serviço de Aplicativo do Azure |
Advanced3.4.5 Enriquecer atributos para autorização de recursos pt1Os atributos iniciais de fontes como Monitoramento de Atividades de Usuário e Entidade, serviços de microssegmentação, DLP e gerenciamento de direitos de dados (DRM) são integrados à pilha e à política de tecnologia de Autorização de Recursos. Quaisquer outros atributos para integração posterior são identificados e planejados. Os atributos são usados para criar postura de risco básica de usuários, entidades não pessoais (NPEs) e dispositivos que permitem decisões de autorização. Resultados: - A maioria das chamadas de API está passando pelo Secure API Gateway - Autorização de recursos recebe dados do Analytics Engine - Políticas de autorização incorporam atributos identificados na tomada de decisões de autorização- Atributos a serem usados para enriquecimento inicial são identificados |
Aplicativos do Microsoft Entra Use o Microsoft Entra ID para autorizar aplicativos e APIs modernos. Implante o proxy de aplicativo Microsoft Entra e os servidores habilitados para Azure Arc para estender a ID do Microsoft Entra para protocolos de autenticação herdados. Consulte as orientações da Microsoft na versão 3.1.1 e na 3.2.3. Acesso condicional O Microsoft Entra é um gateway seguro para autorização de recursos. O Acesso Condicional é o mecanismo de autorização. Configure políticas para autorização detalhada usando condições de usuário, aplicativo, usuário e ambiente, incluindo status de conformidade do dispositivo. - Acesso - condicional Design de - acesso condicional Exigir dispositivos compatíveis Grupos de segurança dinâmicos Crie grupos de segurança dinâmicos com base em atributos de usuário. Use grupos dinâmicos para definir o escopo de políticas de Acesso Condicional para autorização de atributos estáticos, com base em atributos de usuário. - Associação dinâmica para grupos - Usuários, grupos e identidades de carga de trabalho Tipos de informações confidenciais do Microsoft Purview Defina tipos de informações confidenciais com EDM (Exact Data Match). Use tipos de informações confidenciais com as políticas - Microsoft Purview Information Protection e Purview data loss prevention (DLP).Correspondência de dados com base em tipos- de informações confidenciais Descubra e proteja informações confidenciais Governança de ID do Microsoft Entra Use a Governança de ID do Microsoft Entra para acessar aplicativos com funções de aplicativo. Atribua usuários a funções de aplicativo com associação estática, grupos de segurança dinâmicos ou pacotes de acesso de gerenciamento de direitos. - Adicionar funções de aplicativo e recebê-las em um token - Controle de acesso baseado em função |
Advanced3.4.6. Enrich Attributes for Resource Authorization Pt2Os atributos identificados estendidos são integrados com a tecnologia e a política de autorização de recursos. A pontuação de confiança é introduzida em todos os atributos para criar um método mais avançado de tomada de decisão de autorização de forma automatizada. Resultados: - As políticas de autorização incorporam níveis de confiança na tomada de decisões de autorização- Os níveis de confiança para atributos são definidos |
Proteção de ID do Microsoft Entra Use o risco de entrada e os sinais do usuário da Proteção de ID do Microsoft Entra em um conjunto de políticas de Acesso Condicional. Configure o contexto de autenticação, incluindo o risco, para estabelecer níveis de confiança, com base em detalhes ambientais e nível de risco. - Riscos- do Microsoft Entra ID Modelo de política: risco de entrada Exemplo de contexto de autenticação MFA- Consulte a orientação da Microsoft 1.3.3 em Usuário. Atributos de segurança personalizados Gerencie e atribua atributos de segurança personalizados para usuários do Microsoft Entra ID. Use condições de atribuição de função para controle de acesso dinâmico baseado em atributos (ABAC). - Atributos de segurança personalizados |
Advanced3.4.7. Microsegmentosda API REST Usando o(s) gateway(s) de API aprovado pelo DoD Enterprise, as chamadas de aplicativos são microsegmentadas, permitindo apenas acesso autenticado e autorizado a destinos específicos (por exemplo, microsserviços). Sempre que possível, os consoles de microssegmentação de API são integrados e conhecem outros consoles de microssegmentação, como controladores de perímetro definidos por software e/ou consoles de rede definidos por software. Resultado: - As APIs empresariais aprovadas são micro-segmentadas adequadamente |
Rede e conectividade do Azure Isole, filtre e controle o tráfego de rede nos fluxos de entrada e saída. Aplique princípios de defesa profunda usando controles de rede localizados nos limites de rede disponíveis. Siga o Azure Well-Architected Framework. - Recomendações - de rede e conectividade Recomendações de estratégia de segmentação Design de API Siga as práticas recomendadas para projetar APIs para microsserviços. Proteja e autorize APIs com o Microsoft Entra ID. - APIs - de microsserviço Proteger APIs |
3.5 Monitorização contínua e autorizações contínuas
Os padrões de segurança do Microsoft Defender for Cloud avaliam continuamente as assinaturas do Azure no escopo, as contas da Amazon Web Services (AWS) e os projetos do Google Cloud Platform (GCP) com o Defender for Cloud habilitado para conformidade com os padrões regulatórios.
| Descrição da atividade e resultado do DoD | Orientações e recomendações da Microsoft |
|---|---|
Advanced3.5.1 Autorização Contínua de Funcionamento (cATO) Pt1As organizações do DoD utilizam soluções de automação dentro do ambiente para padronizar o monitoramento de controles e oferecer a capacidade de identificar desvios. Quando apropriado, o monitoramento e os testes são integrados aos processos DevSecOps. Resultados: - A derivação de controles é padronizada e está pronta para automação - Os testes de controles são integrados com processos e tecnologia DevSecOps |
Biblioteca do Chief Information Officer (CIO) do DoD Integre o monitoramento e os testes nos processos DevSecOps. Consulte o Design - de referência do DoD Enterprise DevSecOps Biblioteca do CIO do DoD Microsoft Defender for Cloud Proteja cargas de trabalho do Azure e não do Azure com o Defender for Cloud. Use a conformidade regulatória e as iniciativas da Política do Azure para avaliar a infraestrutura continuamente com os padrões de configuração. Evite desvios de configuração. - Atribuir padrões - de segurança Ambientes multicloud Microsoft Sentinel Automatize as operações de integração e implantação do Sentinel com o GitHub e o Azure DevOps. - Integração - do Sentinel e do Azure DevOps Implantar conteúdo personalizado a partir de um repositório |
Advanced3.5.2 Autorização Contínua de Funcionamento (cATO) Pt2As organizações do DoD automatizam totalmente os processos de derivação de controle, teste e monitoramento. Os desvios são automaticamente testados e resolvidos usando a infraestrutura de automação entre pilares existente. O painel é usado para monitorar o status das autorizações e as análises são integradas com os funcionários responsáveis pela autorização.< /br> Resultados: - Os testes de controles são totalmente automatizados - A integração com operações padrão de IR e SOC é automatizada |
Gerenciamento de ameaças e vulnerabilidades do Microsoft Defender Incorpore o Gerenciamento de Ameaças e Vulnerabilidades (TVM) em seu programa de gerenciamento de vulnerabilidades. Consulte as orientações da Microsoft na versão 3.3.2. Azure DevOps e Microsoft Sentinel Automatize as operações de integração e implantação do Sentinel com o Azure DevOps. - Integração do Sentinel com o Azure DevOps, Microsoft Defender XDR e Sentinel Integre o Microsoft Defender XDR e o Defender for Cloud com o Sentinel. - Sentinel e Defender XDR para Zero Trust |
Próximos passos
Configure os serviços de nuvem da Microsoft para a estratégia DoD Zero Trust:
- Introdução
- Utilizador
- Dispositivo
- Aplicativos e cargas de trabalho
- Dados
- Rede
- Automação e orquestração
- Visibilidade e análise