初始文档提交是认证的预评估阶段的一部分。 提供的信息将为认证分析师提供必要的背景,以确定哪些控件和系统组件属于评估范围。 此文档仅用作初始文档提交预期内容的示例。 你提供的文档因解决方案的架构、实现和管理方式而异。
合作伙伴中心的 克隆功能 允许开发人员在初始文档提交阶段从其他应用/代理复制证据。
用于运行应用/代理的托管环境或服务模型是什么?
SaaS) (软件即服务是一种基于云的软件交付模型,用户可以通过 Internet 访问应用程序,而不是在本地安装和维护应用程序。 ISV 托管和管理应用/代理、基础结构、安全性和更新,而客户通常通过订阅模型付款。
平台即服务 (PaaS) 是一种云服务模型,其中基础结构组件由云服务提供商管理。 ISV 只负责部署自己的应用程序和服务。 例如,Azure 应用服务、Azure Functions和 Azure CDN。
基础结构即服务 (IaaS) 是一种云服务模型,其中云服务提供商托管基础结构组件,但 ISV 仍负责单独部署和管理组件,例如虚拟机/作系统、数据存储和网络组件。 例如 Azure 虚拟机和 Azure 磁盘存储。
在此上下文中托管的 ISV 意味着不使用任何云服务提供商。 ISV 在本地独立地以物理方式管理自己的服务器、磁盘和网络。
在此上下文中,混合意味着使用上述多个模型之一。 例如,某些 ISV 可能选择混合使用 IaaS 服务和 PaaS 服务来支持其应用,或者它们可能具有一些本地 ISV 托管的组件,并将其他组件外包给云服务提供商。 如果使用其他服务模型之一,请选择“混合”。
渗透测试报告
包括完整的渗透测试报告,其中包含证明它在过去 12 个月内完成的日期。
- 此报告必须通过手动渗透测试生成,它不能是自动扫描/测试工具的输出。
- 此报表必须包括支持应用/代理部署的环境,以及支持应用/外接程序/代理作的任何其他环境。
系统组件清单
支持基础结构使用的所有系统组件的最新清单。 这将用于在执行评估阶段时帮助采样。 如果环境包含 PaaS,则如果可以提供已使用的所有 PaaS 服务的详细信息,它将非常有用。
注意: IaaS/PaaS 不会有任何受 ISV 控制的硬件。 在这种情况下,请提供所有视觉资源的列表或屏幕截图。
示例:
| 资产名称 | 资产类型 | 说明 | 制造商 | 模型 |
|---|---|---|---|---|
| D212 | Windows 计算机 | 虚拟机 | 不适用 | 不适用 |
| LT101 | 便携式计算机 | 工作站 | Microsoft | Surface 3 |
| C2938 | 开关 | 开关 | 不适用 | 不适用 |
| LXM2 | Linux 计算机 | 测试计算机 | 不适用 | 不适用 |
软件清单
所有软件资产的最新清单,包括范围内环境中使用的所有软件以及版本。
示例:
| 软件 | 发布者 | 版本 | 用途 |
|---|---|---|---|
| Windows Server | 2016 Microsoft | 内部版本 14393 | 生产环境的服务器作系统 |
| Linux Ubuntu | 不适用 | 16.04 (Xenial) | 外围网络内正在使用的服务器作系统。 |
| ESXi | VMware | 6.5.0 (生成13004031) | 用于支持虚拟服务器。 |
| Mysql (Windows) | 不适用 | 8.0.2.1 | 用于存储聊天历史记录的数据库服务器。 |
| Tomcat | Apache | 7.0.92 | 客户门户。 |
| IIS | Microsoft | 10.0 | 支持 API。 |
第三方依赖项
文档列出了应用/加载项/代理使用当前正在运行的版本的所有依赖项。
示例:
| Web 依赖项 | 当前版本正在使用中 |
|---|---|
| JQuery | 3.5.1 |
| React | 16.13.1 |
| 启动 | 4.5.2 |
| Express | 4.17.1 |
| Angular | 10.0.14 |
| AngularJS | 1.8.0 |
公共 IP 地址
详细说明支持基础结构使用的所有公共 IP 地址和 URL。 这必须包括分配给环境的完整可路由 IP 范围,除非已实现足够的分段来拆分正在使用的范围, () 将需要足够的分段证据。
示例:
| URL | IP 地址 |
|---|---|
| https://portal.contoso.com | 40.113.200.201 |
| https://filesapi.contoso.com | 40.113.200.201 |
| https://customerapi.contoso.com | 40.113.200.202 |
| https://bot.contoso.com | 40.113.200.202 |
| 不适用 (Jump Server) | 40.113.200.200 |
资源终结点
API 名称终结点地址 Contoso 客户 API https://customerapi.contoso.com Contoso 机器人服务 https://bot.contoso.com Contoso 文件 APIhttps://filesapi.contoso.com
应用/代理使用的所有 API 终结点的完整列表,包括内部开发的 API 终结点和外部资源终结点。 若要帮助了解环境范围,请在环境中提供 API 终结点位置。
示例:
| API 名称 | 终结点地址 |
|---|---|
| Contoso 客户 API | https://customerapi.contoso.com |
| Contoso 机器人服务 | https://bot.contoso.com |
| Contoso 文件 API | https://filesapi.contoso.com |
| Microsoft Graph | https://graph.microsoft.com/v1.0/| |
体系结构图
一个逻辑体系结构关系图,表示应用/外接程序/代理支持基础结构的高级概述。 这必须包括所有托管环境和支持应用/外接程序/代理的支持基础结构。 此图必须描述环境中所有不同的支持系统组件,以帮助认证分析师了解范围内的系统,并帮助确定采样。 还指示使用的托管环境类型;SaaS、ISV 托管、IaaS、PaaS 或混合。 如果使用 PaaS,请指出用于在环境中提供支持服务的各种 PaaS 服务。 确保包含任何 AI 集成。
数据流关系图
详细描述以下内容的流程图:
数据流向和流出应用/外接程序/代理 (包括客户数据) 。
支持基础结构中的数据流 ((如果适用))
突出显示存储数据的位置和存储内容、如何将数据传递给外部第三方的关系图 (包括哪些第三方) 的详细信息,以及如何通过开放/公共网络和静态网络保护传输中的数据。
外部认证 (SOC2、PCI DSS、FedRamp ISO27001) - 可选
如果已获得 SOC2、PCI DSS、FedRamp 或ISO27001认证,并且在过去 12 个月内发布了一份报告,其中包括所认证应用程序的全部范围以及支持环境,则可以在初始文档提交期间提交此证书。 我们将尝试使用它来满足一部分控制并加快评估速度。 但是,获取 Microsoft 365 认证不需要这样做。