初始文件提交是認證預評估階段的一部分。 提供的資訊將為認證分析師提供必要的背景知識,以確定哪些控制和系統元件將在您的評估範圍內。 本文件僅作為您初始文件提交的預期範例。 您提供的檔會因解決方案的架構、實作和管理方式而有所不同。
合作夥伴中心的 複製功能 可讓開發人員在初始檔提交階段從另一個應用程式/代理程式複製辨識項。
用來執行應用程式/代理程式的裝載環境或服務模型為何?
軟體即服務 (SaaS) 是一種基於雲端的軟體交付模型,使用者透過網際網路存取應用程式,而不是在本機安裝和維護它們。 ISV 裝載和管理應用程式/代理程式、基礎結構、安全性和更新,而客戶通常透過訂閱模式付款。
平台即服務 (PaaS) 是一種雲端服務模型,其中基礎結構元件由雲端服務提供者管理。 ISV 只負責部署自己的應用程式和服務。 這方面的範例包括 Azure App Services、Azure Functions 和 Azure CDN。
基礎結構即服務 (IaaS) 是一種雲端服務模型,其中雲端服務提供者託管您的基礎結構元件,但 ISV 仍負責個別部署和管理元件,例如虛擬機器/作業系統、資料存放區和網路元件。 這方面的範例是 Azure 虛擬機器和 Azure 磁碟儲存體。
在此內容中裝載的 ISV 表示不會使用雲端服務提供者。 ISV 會在內部部署獨立地實際管理自己的伺服器、磁碟、網路。
在這種情況下,混合意味著使用上述模型之一。 例如,某些 ISV 可能會選擇混合使用 IaaS 服務和 PaaS 服務來支援其應用程式,或者他們可能擁有一些內部部署 ISV 裝載元件,並將其他元件外包給雲端服務提供者。 如果您使用其中一個服務模型,請選取混合式。
滲透測試報告
包括完整的滲透測試報告,並證明該報告已在過去 12 個月內完成。
- 此報告必須由手動滲透測試產生,不能是自動掃描/測試工具的輸出。
- 此報告必須包含支援部署應用程式/代理程式的環境,以及支援應用程式/增益集/代理程式作業的任何其他環境。
系統元件清單
支援基礎架構所使用之所有系統元件的最新清單。 這將用於在執行評估階段時幫助抽樣。 如果您的環境包含 PaaS,如果您可以提供所有取用 PaaS 服務的詳細數據,將會很有用。
便條: IaaS/PaaS 不會有任何受 ISV 控制的硬體。 在這種情況下,請提供所有視覺資源的清單或螢幕截圖。
範例:
| 資產名稱 | 資產類型 | 描述 | 製造商 | Model |
|---|---|---|---|---|
| D212 | Windows 機器 | 虛擬機器 | 不適用 | 不適用 |
| LT101型 | 筆記型電腦 | 工作站 | Microsoft | Surface 3 |
| C2938 | 參數 | 參數 | 不適用 | 不適用 |
| LXM2 | Linux 機器 | 試驗機 | 不適用 | 不適用 |
軟體清查
所有軟體資產的最新清單,包括範圍內環境內使用的所有軟體以及版本。
範例:
| 軟體 | Publisher | 版本 | 用途 |
|---|---|---|---|
| Windows 伺服器 | Microsoft 2016 年 | 組建 14393 | 生產環境的伺服器作業系統 |
| Linux Ubuntu | 不適用 | 16.04 (異種) | DMZ 內使用的伺服器作業系統。 |
| ESXi | VM虛擬機器 | 6.5.0 (建置 13004031) | 用來支援虛擬伺服器。 |
| Mysql (Windows) | 不適用 | 8.0.2.1 | 用於存儲聊天記錄的數據庫服務器。 |
| 公貓 | 阿帕奇 | 7.0.92 | 客戶入口網站。 |
| IIS | Microsoft | 10.0 | 支援 API。 |
第三方依賴關係
說明文件列出應用程式/增益集/代理程式所使用的所有相依性,以及目前執行中的版本。
範例:
| Web 相依性 | 目前使用中的版本 |
|---|---|
| J庫里 | 3.5.1 |
| 反應 | 16.13.1 |
| 引導 | 4.5.2 |
| Express | 4.17.1 |
| Angular | 10.0.14 |
| AngularJS | 1.8.0 |
公用 IP 位址
詳細說明支援基礎結構所使用的所有公用 IP 位址和 URL。 這必須包括分配給環境的完整可路由 IP 範圍,除非已實施足夠的分段來分割使用中的範圍 () 需要足夠的分段證據。
範例:
| URL | IP 位址 |
|---|---|
| https://portal.contoso.com | 40.113.200.201 |
| https://filesapi.contoso.com | 40.113.200.201 |
| https://customerapi.contoso.com | 40.113.200.202 |
| https://bot.contoso.com | 40.113.200.202 |
| 不適用 (跳轉伺服器) | 40.113.200.200 |
資源端點
API 名稱 端點位址 Contoso 客戶 API https://customerapi.contoso.com Contoso Bot Service https://bot.contoso.com Contoso 檔案 APIhttps://filesapi.contoso.com
應用程式/代理程式使用的所有 API 端點的完整清單,包括內部開發的和外部資源端點。 若要協助瞭解環境範圍,請提供環境中的 API 端點位置。
範例:
| API名稱 | 端點位址 |
|---|---|
| Contoso 客戶 API | https://customerapi.contoso.com |
| Contoso Bot Service | https://bot.contoso.com |
| Contoso 檔案 API | https://filesapi.contoso.com |
| Microsoft Graph | https://graph.microsoft.com/v1.0/| |
架構圖
邏輯架構圖,代表支援基礎結構之應用程式/增益集/代理程式的高階概觀。 這必須包含所有裝載環境和支援應用程式/增益集/代理程式的基礎結構。 此圖表必須描述環境中所有不同的支援系統元件,以協助認證分析師瞭解範圍內的系統,並協助判斷取樣。 也指出使用的託管環境類型;SaaS、ISV 託管、IaaS、PaaS 或混合式。 在使用 PaaS 的情況下,請註明用於在環境中提供支援服務的各種 PaaS 服務。 確保包含任何 AI 整合。
資料流程圖
詳細說明下列內容的流程圖:
資料流入和流出應用程式/增益集/代理程式 (包括客戶資料) 。
支援基礎結構內的資料流 ((如果適用))
圖表突出顯示資料的儲存位置和內容、資料如何傳遞給外部第三方 (包括第三方) 的詳細資訊,以及如何在透過開放/公共網路傳輸和靜態資料時受到保護。
外部認證 (SOC2、PCI DSS、FedRamp ISO27001) - 可選
如果您已取得 SOC2、PCI DSS、FedRamp 或 ISO27001 認證,並在過去 12 個月內發出報告,其中包含所認證應用程式的完整範圍以及支援環境,您可以在初始文件提交期間提交此報告。 我們將嘗試使用它來滿足控制項的子集並加快您的評估。 不過,取得 Microsoft 365 認證不需要這樣做。