本節針對應用程式和工作負載要素中的 CISA 零信任成熟度模型 提供Microsoft指引和建議。
4 應用程式和工作負載
根據 CISA 定義,應用程式和工作負載包括企業系統、計算機程式和服務,這些系統會在內部部署、行動裝置和雲端環境中執行。
使用下列連結來移至指南的章節。
4.1 函式:應用程式存取
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
企業初始成熟度狀態 企業開始實作授權應用程式存取功能,這些應用程式根據每個要求包含內容資訊(例如,身分識別、裝置合規性及其他屬性),且每個要求都有到期時間。 |
Microsoft Entra ID 應用程式 採用Microsoft Entra ID作為企業身份驗證提供者(IdP)。 建立原則以針對新應用程式使用Microsoft Entra ID。 使用使用者和群組指派來授權應用程式存取權。 Microsoft Entra ID 結合 Microsoft Entra 條件式存取,實施業界標準的通訊協議。 應依要求納入具有到期日的背景信息。 - 整合 Microsoft Entra 識別與應用程式 - 令牌和宣告, - 將使用者和群組指派給應用程式 條件式存取 在條件式存取原則中使用如同位置等裝置訊號來進行安全決策。 根據裝置屬性使用篩選來包含和排除原則。 - 條件 - 設備篩選器 |
|
進階成熟度狀態 Enterprise 會使用擴充的內容資訊,並強制執行遵循最低許可權原則的到期條件,將應用程式存取決策自動化。 |
條件式存取 使用符合企業需求的條件式存取原則自動化應用程式存取決策。 條件式存取是應用程式或資源存取的原則決策點 (PDP)。 擴充用於存取決策的裝置相關上下文資訊。 需要符合要求的裝置或已加入 Microsoft Entra 混合式環境的裝置。 授與控制權,以確保存取權適用於已知或相容的裝置。 - 條件式存取 - 裝置型原則 - Microsoft Entra 混合式聯結 使用擴充的情境資訊增強自動化應用程式存取決策的效果。 為應用程式、受保護的動作和驗證設定條件式存取原則。 使用登入頻率會話控件自定義到期條件。 - 受保護的動作 - 驗證開發人員指南 - 條件式存取:會話 Microsoft Intune 使用 Microsoft Entra ID 註冊裝置,並使用 Intune 管理設定。 使用 Intune 原則評估裝置合規性。 - 已註冊的裝置 - 裝置原則合規性 Microsoft Cloud Apps Defender 使用 Cloud Apps Defender 監視和控制雲端應用程式的會話。 - 保護應用程式 - 工作階段原則 - 風險動作驗證 設定應用程式衛生原則:未使用、未使用的認證和過期認證。 應用程式控管功能 Microsoft Entra 應用程式角色, 使用應用程式角色設計應用程式授權和許可權模型。 若要委派應用程式管理,請指派擁有者來管理應用程式設定、註冊及指派應用程式角色。 應用程式角色 |
|
最佳成熟度狀態 企業會持續授權應用程式存取,併入實時風險分析和行為或使用模式等因素。 |
Microsoft Entra ID Protection ID Protection 評估使用者和登入風險層級。 在 Microsoft Defender XDR 套件中,即時和離線偵測會決定匯總風險層級。 若要強制執行以風險為基礎的自適性存取原則,請在條件式存取原則中使用風險條件。 - 標識符保護 - 標識符保護中的風險 持續存取評估 持續存取評估 (CAE) 機制可讓應用程式近乎即時地回應原則違規,而不需要等候令牌到期。 支援 CAE 的應用程式用以回應關鍵事件,包括在識別碼保護中被標示為高風險用戶的使用者。 CAE 概觀 全域安全存取 若要降低令牌竊取和重播攻擊的風險,請設定與支援 CAE 的服務相容的網路強制執行策略。 應用程式會在近乎即時地拒絕在租戶相容網路外部重播的被竊存取令牌。 - 全域安全存取 - Microsoft Entra Internet Access - 相容網路檢查 |
4.2 函式:應用程式威脅防護
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
初始成熟度狀態 Enterprise 會將威脅防護整合到任務關鍵性應用程式工作流程中,套用對已知威脅和某些應用程式特定威脅的保護。 |
Microsoft Entra ID 在每個存取要求的路徑中放置Microsoft Entra ID。 執行強制性政策,要求任務關鍵性應用程式與 Microsoft Entra ID 整合。 確定威脅防護是應用程式工作流程的一部分。 - 應用程式管理 - 新增企業應用程式 - 移轉應用程式和驗證 Microsoft Defender for Cloud Apps 設定適用於 Cloud Apps 的 Defender 來偵測和警示有風險的 OAuth 應用程式。 調查並監視使用者授與的應用程式許可權。 具風險的 OAuth 應用程式 Azure 應用程式閘道 在 Azure 應用程式閘道後部署 Azure 應用程式和 API,並在預防模式中使用 Azure Web 應用程式防火牆。 啟用開放式 Web 應用程式安全性專案 (OWASP) 核心規則集 (CRS)。 Web 應用程式防火牆 Microsoft Defender XDR Defender XDR 是整合的入侵前和後入侵防禦套件,可協調端點、身分識別、電子郵件和應用程式的偵測、預防、調查和回應動作。 - Defender XDR - 設定 XDR 工具 |
|
進階成熟度狀態 Enterprise 會將威脅防護整合到所有應用程式工作流程中,並防範某些應用程式特定和目標威脅。 |
Microsoft Entra ID 將 Microsoft Entra ID 整合到存取要求的流程中。 制定政策以確保應用程式與 Microsoft Entra ID 整合。 確定已對所有應用程式套用威脅防護。 - 應用程式管理 - 新增企業應用程式 - 移轉應用程式和驗證 Microsoft Entra 條件式存取、令牌保護 啟用令牌保護,或條件式存取原則中的令牌系結。 令牌保護可藉由確保令牌可在預定的裝置中使用,以減少攻擊。 令牌保護 Microsoft Entra 應用程式代理 使用應用程式代理和 Microsoft Entra 識別,讓使用舊版身份驗證協定的私人應用程式運作。 部署應用程式代理或整合安全的混合式存取(SHA)合作夥伴解決方案。 若要擴充保護,請在 Microsoft Defender for Cloud Apps 中設定會話原則。 - 保護傳統應用程式 - 應用程式 Proxy 安全性考量 - 建立會話政策 Microsoft Defender 弱點管理 Defender 弱點管理無代理掃描器持續監控和偵測風險。 合併庫存是對軟體弱點、使用弱式加密演算法的數位證書、硬體和韌體弱點,以及終端上有風險的瀏覽器擴充功能的實時檢視。 Defender 弱點管理 適用於雲端的 Defender 啟用應用程式工作負載的保護。 使用 Defender for Servers P2 將伺服器佈署至 Microsoft Defender 端點防護和 Defender 弱點管理。適用於 App Service 的 Defender 保護工作負載身分識別 |
|
最佳成熟度狀態 Enterprise 會將進階威脅防護整合到所有應用程式工作流程中,提供即時可見度,以及針對針對應用程式量身打造的複雜攻擊提供內容感知保護。 |
Microsoft Defender for Cloud Apps 在 Microsoft Defender for Cloud Apps 中設定工作階段控制策略,以取得即時的可見性和控制。 使用檔案原則來即時掃描內容、套用標籤,以及限制檔案動作。 - 雲端應用程式可見度和控制 - 檔案原則 Defender XDR,Microsoft Sentinel 整合 Defender XDR 和 Sentinel。 - Defender XDR - Sentinel 和 Defender XDR for Zero Trust Fusion in Sentinel Fusion 是 Sentinel 中的多階段攻擊偵測分析規則。 Fusion 具有機器學習相互關聯引擎,可偵測多階段攻擊或進階持續性威脅 (APT)。 它會識別異常行為和可疑活動。 事件是低量、精確度高且嚴重性高。 - 多階段攻擊偵測 - 自定義異常 - 異常偵測分析規則, 全域安全存取 確保應用程式和資源的安全存取,同時即時監視和管理使用者存取。 與適用於 Cloud Apps 的 Defender 整合,以取得軟體使用和安全性的可見度和控制。 使用條件式存取中租使用者的相容網路檢查,防止複雜的攻擊,例如遭竊的重新執行令牌。 支援生產力並達成以位置為基礎的安全性檢查。 防止軟體即服務(SaaS)應用程式繞過安全服務邊界(SSE)。 - 全域安全存取 - 兼容網路檢查 |
4.3 功能:無障礙應用程式
| CISA ZTMM 階段的描述 | Microsoft指導方針和建議 |
|---|---|
|
初始成熟度狀態 Enterprise 會透過開放式公用網路提供一些適用的任務關鍵性應用程式,並透過代理連線提供給需要授權的使用者。 |
Microsoft Entra ID 將 Microsoft Entra ID 放在存取要求的路徑中。 要求將任務關鍵應用程式與 Microsoft Entra ID 整合並實施相關政策。 - 應用程式管理 - 將應用程式新增至 Azure - 移轉應用程式和驗證 Microsoft Azure 移轉應用程式並將其現代化。 - 應用程式移轉 - 現代化應用程式和架構 - 建置移轉計畫, Microsoft Entra 應用程式 Proxy 設定應用程式 Proxy 來發佈內部任務關鍵性 Web 應用程式,並透過公用網路連線存取,由Microsoft Entra ID 授權的使用者存取。 - 應用程式代理 - 為應用程式設定單一登錄(SSO) Microsoft Defender for Cloud Apps 若要監視和限制會話,請使用會話原則來代理應用程式連線與 Microsoft Defender for Cloud Apps。 - 適用於 Cloud Apps 的 Defender - 將應用程式連線至 Defender - 建立會話原則 Microsoft Entra 條件式存取 設定原則以授權存取與 Microsoft Entra ID 整合的應用程式。 設定條件式存取應用程控,以要求在適用於 Cloud Apps 的 Defender 中使用雲端存取安全性代理程式 (CASB)。 - 條件式存取 - 應用程控 |
|
進階成熟度狀態 企業會在需要時,透過開放式公用網路連接,向授權使用者提供大部分具有任務關鍵性的應用程式。 |
使用 初始成熟度狀態中的指引,並包含最具任務關鍵性的應用程式 |
|
最佳成熟度狀態 Enterprise 會視需要,透過開放公用網路向授權的使用者和裝置提供所有適用的應用程式。 |
使用 初始成熟度狀態中的指引,並包含所有應用程式。
條件式存取 設定需要應用程式相容裝置的條件式存取原則。 封鎖不相容裝置的存取。 需要符合規範的裝置 |
4.4 函式:保護應用程式開發和部署工作流程
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
初始成熟度狀態 Enterprise 提供基礎結構,以透過 CI/CD 管線以及支援最低許可權原則的必要存取控制,提供開發、測試和生產環境(包括自動化)的正式程式碼部署機制。 |
Azure 登陸區域 使用 Azure 原則建立開發和強制執行資源設定原則的環境。 - 登陸區域 - Azure 原則 建立具有持續整合和持續傳遞(CI/CD)管線的正規化程序代碼部署機制,例如 GitHub 或 Azure DevOps。 GitHub Enterprise GitHub Enterprise 工具支援共同作業、安全性和系統管理。 使用無限制的存放庫、專案管理功能、問題追蹤和安全性警示等功能。 在加強小組共同作業的同時,控制存放庫和項目資訊。 簡化安全策略,並使用彈性的部署選項簡化系統管理。 GitHub Enterprise Cloud 將 GitHub 連線至 Microsoft Entra ID 以進行單一登錄 (SSO) 和使用者佈建。 若要確保最低許可權原則,請停用個人存取令牌。 - Enterprise 受控使用者 - GitHub Enterprise 單一登錄 (SSO) 整合 - Azure DevOps 強制執行個人存取令牌原則 將人員、流程和技術整合在一起,以自動化軟體傳遞。 它支援共同作業和程式,以比傳統開發方法更快建立和改善產品。 使用 Azure Boards、Repos、Pipelines、Test Plans 和 Artifacts 等功能。 簡化專案管理、版本控制、CI/CD、測試和套件管理。 Azure DevOps 將 Azure DevOps 組織連線到 Microsoft Entra 標識符,並確保最低許可權原則。 停用個人存取令牌。 - 將組織連線到 Microsoft Entra ID - 使用原則管理個人存取令牌 |
|
進階成熟度狀態 Enterprise 會使用不同且協調的小組進行開發、安全性和作業,同時移除開發人員對生產環境進行程式碼部署的存取權。 |
Microsoft Entra ID Governance 如果您的開發和生產訂用帳戶使用相同的 Microsoft Entra 租使用者,請在權利管理中使用存取套件來指派角色資格。 啟用檢查以確保使用者無法存取開發和生產環境。 存取權檢閱 區隔職責:若要移除具有生產環境存取權的開發人員,請使用 Azure 生產角色建立存取權檢閱。 建立存取權檢閱 |
|
最佳成熟度狀態 企業會運用可行不可變的工作負載,只允許變更透過重新部署生效,並移除系統管理員對部署環境的存取權,以利於程式代碼部署的自動化程式。 |
Azure DevOps 發行閘道,核准 使用發行管線,在不同階段持續部署應用程式,風險較低且速度較快。 使用作業和工作將部署階段自動化。 發行閘道、檢查和核准 Azure 資源鎖定 以保護 Azure 資源免於意外刪除和修改、套用 CanNotDelete和 ReadOnly、資源鎖定至訂用帳戶、資源群組和個別資源。使用 GitHub Actions GitHub Actions 保護基礎結構,將 Azure 角色指派給受控識別,以進行持續整合和持續傳遞 (CI/CD)。 設定具有必要檢閱者環境的相關作業。 請確定作業在開始之前等候核准。 - 使用 GitHub Actions 部署 - 檢閱部署 Microsoft Entra Privileged Identity Management 使用 PIM 探索和深入解析來識別特殊許可權角色和群組。 管理探索到的許可權,並將使用者指派從永久轉換為合格。 PIM 探索和深入解析 存取權檢閱 若要減少生產環境中的合格系統管理員,請使用 Azure 角色建立存取權檢閱。 Azure 資源角色存取權檢閱 |
4.5 函式:應用程式安全性測試
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
企業 初始成熟度狀態開始使用靜態和動態(亦即應用程式正在執行)測試方法,以在應用程式部署之前執行安全性測試,包括手動專家分析。 |
Microsoft威脅模型化工具 威脅模型化工具是Microsoft安全性開發生命週期 (SDL) 的一部分。 軟體架構師會儘早找出並減輕安全性問題,進而降低開發成本。 尋找建立和分析威脅模型的指引。 此工具可協助安全性設計通訊、分析潛在的安全性問題,以及建議風險降低措施。 - 威脅模型化工具 - 開始使用 azure Marketplace 開發人員工具, 遵循安全的應用程式開發做法。 使用 Azure Marketplace 中的工具來協助進行程式代碼分析。 - - Azure Marketplace GitHub Actions開發安全應用程式,Azure DevOps Actions 使用 CodeQL 分析引擎,將持續整合和持續傳遞中的安全性檢查自動化。 適用於 Azure DevOps 的 GitHub 進階安全性是開發人員工作流程原生的應用程式安全性測試服務。 - CodeQL 掃描 - 適用於 Azure DevOps 的 GitHub 進階安全性 |
|
進階成熟度狀態 Enterprise 會將應用程式安全性測試整合到應用程式開發和部署程式中,包括使用定期動態測試方法。 |
GitHub 進階安全性 若要增強程式代碼安全性和開發程式,請使用進階安全性與 Azure DevOps 中的程式碼掃描。 - 適用於 Azure DevOps 的進階安全性 - 進階安全性 - 程式代碼掃描 Microsoft Defender for Cloud 啟用應用程式工作負載訂用帳戶的工作負載保護。 - 雲端防護者 - 容器防護者 - App Service 防護者 雲端 DevOps 安全防護者 使用雲端支援方案管理(CSPM)功能來保護多管線環境中的應用程式和程式碼。 連接組織並評估您的 DevOps 環境的安全性設定。 - 適用於 Cloud DevOps 安全性的 Defender - 將 Azure DevOps 環境連線至適用於雲端的 Defender |
|
最佳成熟度狀態 Enterprise 會將整個企業軟體開發生命週期中的應用程式安全性測試與已部署應用程式的例行自動化測試整合。 |
適用於 Cloud DevOps 安全性的 Defender 使用雲端安全性狀態管理 (CSPM) 功能來保護多管線環境中的應用程式和程式代碼。 評估您的DevOps環境安全性設定。適用於 Cloud DevOps 安全性的 - Defender - 對應容器映射, - 管理攻擊路徑 |
4.6 功能:可見度和分析
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
企業 初始成熟度狀態開始自動化應用程式配置檔(例如狀態、健康情況和效能)和安全性監視,以改善記錄收集、匯總和分析。 |
Azure 監視器 設定 Azure 原則,以針對部署在 Azure 中的應用程式工作負載啟用診斷和使用 Azure 監視器。 - Azure 監視器 - Azure 原則定義 Azure 監視器 Application Insights 讓 Application Insights 調查應用程式健康情況、分析記錄,以及檢視 Azure 應用程式使用模式。 Application Insights Microsoft Defender for Cloud 啟用 Defender for Cloud 以支援 Azure 與多雲端環境。 使用 Microsoft 安全評分來識別安全缺口並提升安全狀態。 - Cloud Defender - 安全評分 |
|
高級成熟度狀態 Enterprise 通過自動化大多數應用程式的配置檔和安全性監控,使用啟發式方法識別應用程式特定和全企業趨勢,並隨著時間推進來改進流程,以解決可見度上的差距。 |
雲端防護者 使用 Microsoft 安全分數來評估並提升您的雲端安全性體系。 使用風險優先順序來補救重要的安全性問題。 部署監視元件以從 Azure 工作負載收集數據,並監視弱點和威脅。 - Microsoft Defender for Cloud - 從工作負載收集資料 - 安全分數 - 風險優先順序 Microsoft Sentinel 將 Microsoft Defender for Cloud 連線至 Sentinel。 將警示匯入至 Sentinel |
|
最佳成熟度狀態 企業在所有應用程式中執行持續且動態的監視,以維持整個企業的完整可見度。 |
Microsoft Defender for Cloud 將基礎結構與平台工作負載整合至 Microsoft Defender for Cloud,包含非 Microsoft 雲端和內部部署中的資源。 維護完整的全企業可見度。 - 連線內部部署伺服器 - 連線 Amazon Web Services (AWS)帳戶 - 連線 Google Cloud Platform (GCP)專案 適用於雲端的 Defender 工作負載保護, 啟用應用程式工作負載的工作負載保護。專用於 App Service 的 Defender - - 專用於 API 的 Defender - 專用於容器的 Defender - 專用於伺服器的 Defender |
4.7 功能:自動化和協調
| CISA ZTMM 階段說明 | Microsoft指導方針和建議 |
|---|---|
|
初始成熟度狀態 企業會定期修改應用程式設定,包括位置和存取,以符合相關的安全性和效能目標。 |
Azure Resource Manager ARM 是 Azure 的部署和管理服務。 使用ARM範本和 Azure Bicep 將設定變更自動化。 - ARM 概觀 - ARM 範本 - Bicep |
|
進階成熟度狀態 Enterprise 會將應用程式組態自動化,以回應操作和環境變更。 |
Azure 應用程式組態 從中央位置管理應用程式設定和功能旗標。 Azure 應用程式組態 Azure App Service 若要測試生產環境中已部署的應用程式,請使用部署位置。 回應操作和環境變更。 測試環境 Microsoft Defender for Cloud 使用 Microsoft Secure Score 來評估和改善您的雲端安全狀態。 使用 Microsoft Defender for Cloud 的修復能力。 修復建議 |
|
最佳成熟度狀態 Enterprise 會將應用程式組態自動化,以持續優化安全性和效能。 |
Azure Chaos Studio 使用此服務進行混亂工程,以協助測量、瞭解及改善雲端應用程式和服務復原能力。 將 Azure Load Testing 和 Azure Chaos Studio 整合至工作負載開發週期。 - Azure Chaos Studio - 持續驗證 |
4.8 函式:治理
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
初始成熟度狀態 Enterprise 開始將應用程式開發的原則強制執行自動化(包括開發基礎結構的存取權)、部署、軟體資產管理、ST&E 技術插入、修補和追蹤軟體相依性(例如,軟體材料帳單)。 |
GitHub Actions 使用持續整合和持續傳遞 (CI/CD) 管線來標準化軟體材料帳單 (SBOM) 的 DevSecOps 程式。 - GitHub Actions - 產生 SBOM 使用 GitHub Dependabot 和 CodeQL 將安全性檢查和掃描相依性弱點自動化。 - 程式代碼掃描 - 安全供應鏈 GitHub Actions,Azure DevOps Actions 使用 CodeQL 將 CI/CD 管線的安全性檢查自動化。 適用於 Azure DevOps 的 GitHub 進階安全性是開發人員工作流程原生的應用程式安全性測試服務。 - 程式代碼掃描 - 適用於 Azure DevOps 的 GitHub 進階安全性 軟體材料清單產生工具 使用適用於 Windows、Linux 和 MacOS 的建置時跨操作系統 SBOM 產生器。 它會使用標準軟體套件數據交換 (SPDX) 格式。 - GitHub 上的開放原始碼 SBOM 產生工具 - SBOM 工具 |
|
進階成熟度狀態 企業會針對應用程式和部署生命週期的所有層面實作分層、量身打造的原則,並盡可能利用自動化來支援強制執行。 |
Azure 原則 協助強制執行標準和評估合規性。 如需環境的匯總檢視,請參閱合規性儀錶板。 Azure 原則 Microsoft Defender for Cloud 使用 Microsoft Defender for Cloud 保護 Azure 和非 Azure 工作負載。 使用法規遵循性和 Azure 原則策略,利用配置標準持續性地評估基礎結構。 防止設定漂移。 - - 多重雲端環境 管理群組指派安全性標準, 使用管理群組來協助強制執行 Azure 訂用帳戶的存取原則和合規性。 訂用帳戶和管理群組 |
|
最佳成熟度狀態 Enterprise 完全自動化管理應用程式開發和部署的原則,包括透過 CI/CD 管線為應用程式納入動態更新。 |
雲端防護者 部署監視元件,以從 Azure 工作負載中收集數據,並監視漏洞和威脅。 - 雲端防護者 - 從工作負載收集數據 雲端防護者中的原則包含標準和建議,以協助改善您的雲端安全狀況。 標準會定義規則、這些規則的合規性條件,以及不符合條件時的動作。 安全策略 基礎結構即程式代碼 使用持續整合和持續傳遞 (CI/CD) 部署 IaC 與 GitHub Actions。使用 GitHub Actions Azure 基礎結構 Azure 原則 將 Azure 原則部署為程式碼定義、測試及部署其定義。 原則作為程序代碼工作流程 |
後續步驟
為 CISA 零信任成熟度模型設定Microsoft雲端服務。