Model vyspělosti nulové důvěryhodnosti CISA pro aplikace a pilíře úloh
Tato část obsahuje pokyny a doporučení Microsoftu pro model vyspělosti Zero Trust CISA v pilíři aplikací a úloh.
4 Aplikace a úlohy
Podle definice CISA zahrnují aplikace a úlohy podnikové systémy, počítačové programy a služby, které se spouštějí místně, na mobilních zařízeních a v cloudových prostředích.
Pomocí následujících odkazů přejděte na části příručky.
4.1 Funkce: Přístup k aplikacím
| popis fáze CISA ZTMM | pokyny a doporučení Microsoftu |
|---|---|
|
počáteční stav splatnosti Enterprise začne implementovat autorizaci možností přístupu do aplikací, které zahrnují kontextové informace (např. identitu, dodržování předpisů zařízením a/nebo jiné atributy) na požadavek s vypršením platnosti. |
aplikace Microsoft Entra ID Přijměte Microsoft Entra ID jako zprostředkovatele podnikové identity (IdP). Vytvořte zásadu pro použití Microsoft Entra ID pro nové aplikace. Autorizace přístupu k aplikacím s přiřazením uživatelů a skupin k aplikacím Microsoft Entra ID implementuje standardní protokoly v kombinaci s podmíněným přístupem Microsoft Entra. Začlení kontextové informace podle požadavku s uvedenou dobou platnosti. - Integrovat Microsoft Entra ID a aplikace - Tokeny a nároky - Přiřazovat uživatele a skupiny k aplikaci Podmíněný přístup Používat signály zařízení, jako je umístění, v zásadách podmíněného přístupu pro rozhodování o zabezpečení. K zahrnutí a vyloučení zásad použijte filtry založené na atributech zařízení. - Podmínky - Filtr pro zařízení |
|
Pokročilý stav vyspělosti Enterprise automatizuje rozhodnutí o přístupu k aplikacím s rozšířenými kontextovými informacemi a vynucenými podmínkami vypršení platnosti, které splňují zásady nejnižších oprávnění. |
Podmíněný přístup Automatizujte rozhodování o přístupu k aplikacím pomocí zásad Podmíněného přístupu splňujících podnikové požadavky. Podmíněný přístup je systém rozhodování o zásadách (PDP) pro přístup k aplikacím nebo prostředkům. Rozšiřte kontextové informace o zařízení při rozhodování o přístupu. Vyžadujte kompatibilní zařízení nebo hybridně připojená zařízení Microsoft Entra. Povolte kontrolu, aby byl zajištěn přístup pro známá nebo vyhovující zařízení. - zásady podmíněného přístupu - zásady založené na zařízení - hybridní připojení Microsoft Entra Zvýšení automatizovaných rozhodnutí o přístupu k aplikacím s rozšířenými kontextovými informacemi. Nakonfigurujte zásady podmíněného přístupu pro aplikace, chráněné akce a ověřování. Přizpůsobte si podmínky vypršení platnosti pomocí nastavení frekvence přihlašování. - Chráněné akce - Průvodce vývojářem pro ověřování - Podmíněný přístup: Relace Microsoft Intune Zaregistrujte zařízení pomocí služby Microsoft Entra ID a spravujte konfiguraci pomocí Intune. Zkontrolujte shodu zařízení s zásadami Intune. - Registrovaná zařízení - Dodržování zásad zařízení Microsoft Defender pro Cloud Apps Monitorujte a řiďte relace cloudových aplikací pomocí Defenderu pro Cloud Apps. - Chránit aplikace - zásady relace - ověřování rizikových akcí Konfigurovat zásady pro hygienu aplikací: nepoužívané, nepoužité přihlašovací údaje a přihlašovací údaje s vypršenou platností. funkce zásad správného řízení aplikací role aplikací Microsoft Entra modely autorizace a oprávnění aplikací s rolemi aplikací. Pokud chcete delegovat správu aplikací, přiřaďte vlastníky ke správě konfigurace aplikací, také registraci a přiřazování rolí aplikací. |
|
Optimální stav vyspělosti Enterprise nepřetržitě autorizuje přístup k aplikacím, včetně analýz rizik v reálném čase a faktorů, jako je chování nebo vzory využití. |
Microsoft Entra ID Protection ID Protection posuzuje úroveň rizika uživatele a přihlášení. V sadě XDR v programu Microsoft Defender určují detekce v reálném čase a offline agregovanou úroveň rizika. Pokud chcete vynutit zásady adaptivního přístupu na základě rizik, použijte v zásadách podmíněného přístupu rizikové podmínky. - rizika v ochraně ID - v průběžné vyhodnocování přístupu Mechanismus průběžného vyhodnocování přístupu (CAE) umožňuje aplikacím reagovat na porušení zásad téměř v reálném čase bez čekání na vypršení platnosti tokenu. Aplikace, které podporují CAE, reagují na kritické události, včetně uživatele vyznačeného jako vysoce rizikového v rámci ochrany ID. Přehled CAE Globální zabezpečený přístup Pro snížení rizika krádeže tokenů a útoků přehráním nakonfigurujte vynucování souladu sítě, které funguje se službami podporujícími CAE. V reálném čase aplikace odmítne přehrávání ukradených přístupových tokenů mimo síť splňující požadavky nájemce. - globálního zabezpečeného přístupu - Microsoft Entra Internet Access - kontrola souladu sítě |
4.2 Funkce: Ochrana před internetovými útoky aplikací
| Popis Fáze CISA ZTMM | pokyny a doporučení Microsoftu |
|---|---|
|
Počáteční stav zralosti Enterprise integruje ochranu před hrozbami do kritických pracovních procesů aplikace a použitím ochrany proti známým hrozbám a některým aplikacím specifickým hrozbám. |
Microsoft Entra ID Umístit Microsoft Entra ID do cesty každé žádosti o přístup. Implementujte zásady, které vyžadují, aby zásadní aplikace byly integrovány ve spolupráci s Microsoft Entra ID. Zajistěte, aby ochrana před hrozbami byla součástí pracovních postupů aplikace. - Správa aplikací - Přidat podnikové aplikace - Migrovat aplikace a ověřování Microsoft Defender for Cloud Apps Konfigurovat Defender for Cloud Apps k detekci a upozorňování na rizikové aplikace OAuth. Prozkoumejte a monitorujte oprávnění aplikací, která uživatelé udělili. Rizikové aplikace OAuth Azure Application Gateway Nasazujte aplikace a rozhraní API Azure za Azure Application Gateway s Azure Web Application Firewall v režimu prevence. Povolte základní sadu pravidel (CRS) projektu Open Web Application Security Project (OWASP). Web Application Firewall Microsoft Defender XDR Defender XDR je integrovaná sada ochrany před porušením zabezpečení, která koordinuje detekci, prevenci, šetření a reakce napříč koncovými body, identitami, e-maily a aplikacemi. - XDR v programu Defender - Nastavení nástrojů XDR |
|
Advanced Maturity Status Enterprise integruje ochranu před hrozbami do všech pracovních postupů aplikace, chrání před některými konkrétními a cílenými hrozbami. |
Microsoft Entra ID Umístit Microsoft Entra ID do cesty žádostí o přístup. Implementujte politiku, která určuje, že aplikace jsou integrovány s Microsoft Entra ID. Zajistěte, aby se ochrana před hrozbami použila pro všechny aplikace. - správa aplikací - Přidání podnikových aplikací - Migrace aplikací a ověřování podmíněného přístupu Microsoft Entra, ochrany tokenů Povolení ochrany tokenů nebo vazby tokenů v zásadách podmíněného přístupu. Ochrana tokenů snižuje útoky tím, že zajišťuje použití tokenů v zamýšlených zařízeních. ochrana tokenů proxy aplikací Microsoft Entra Použít proxy aplikace a Microsoft Entra ID pro soukromé aplikace používající starší ověřovací protokoly. Nasaďte proxy aplikace nebo integrujte partnerští řešení zabezpečeného hybridního přístupu (SHA). Pokud chcete rozšířit ochranu, nakonfigurujte zásady relací v programu Microsoft Defender for Cloud Apps. - Ochrana starších aplikací - zabezpečení aplikační proxy - Vytváření zásad relace Microsoft Defender Správa zranitelností Agentless skenery v nástroji Správa zranitelností Microsoft Defender nepřetržitě monitorují a detekují rizika. Konsolidované inventáře představují zobrazení ohrožení zabezpečení softwaru v reálném čase, digitální certifikáty využívající slabé kryptografické algoritmy, slabá místa hardwaru a firmwaru a riziková rozšíření prohlížeče v koncových bodech. Správa ohrožení zabezpečení v programu Defender Defender for Cloud Povolit ochranu úloh pro úlohy aplikací. Pomocí Defender for Servers P2 připojte servery do služeb Microsoft Defender for Endpoint a Správa zranitelností serverů Defender. - Defender for App Service - Defender for API - Defender for Containers - Defender for Servers ID úlohy Microsoft Entra Premium Integrace ochrany před hrozbami do pracovních postupů aplikací. Nakonfigurujte ochranu identit pro identity úloh Zabezpečte identity úloh |
|
Optimální stav vyspělosti Enterprise integruje pokročilou ochranu před hrozbami do všech pracovních postupů aplikací, nabízí viditelnost v reálném čase a ochranu proti sofistikovaným útokům přizpůsobeným aplikacím. |
Microsoft Defender for Cloud Apps Konfigurovat zásady řízení relací v Defenderu pro Cloud Apps pro viditelnost a ovládací prvky v reálném čase. Pomocí zásad souborů můžete kontrolovat obsah v reálném čase, používat popisky a omezit akce souborů. - viditelnost a kontrola cloudových aplikací - Defender XDR , Microsoft Sentinel Integrace Defenderu XDR a Microsoft Sentinelu. - Defender XDR - Sentinel a Defender XDR pro Zero Trust Fusion ve službě Sentinel Fusion je analytické pravidlo pro detekci vícefázových útoků ve službě Sentinel. Fusion má korelační modul strojového učení, který detekuje útoky s více fázemi nebo pokročilé trvalé hrozby (APT). Identifikuje neobvyklé chování a podezřelé aktivity. Incidenty jsou nízkofrekvenční, vysoce věrné a mají vysokou závažnost. - detekce vícefázových útoků - přizpůsobit anomálie - pravidel analytiky detekce anomálií Globální zabezpečený přístup zajištění bezpečného přístupu k aplikacím a prostředkům, nepřetržité monitorování a správa uživatelského přístupu v reálném čase. Integrace s Programem Defender for Cloud Apps za účelem viditelnosti a řízení využití a zabezpečení softwaru Zabraňte sofistikovaným útokům, jako jsou odcizené přehrání tokenů, pomocí kontroly kompatibilní sítě pro tenanta v podmíněném přístupu. Podpora produktivity a dosažení kontrol zabezpečení založených na poloze Zabraňte obejití Security Service Edge (SSE) u aplikací typu software jako služba (SaaS). - globální zabezpečený přístup - soulad s kontrolou sítě |
4.3 Funkce: Přístupné aplikace
| popis fáze CISA ZTMM | pokyny a doporučení Microsoftu |
|---|---|
|
Počáteční stav zralosti Enterprise zpřístupňuje některé ze svých kriticky důležitých aplikací prostřednictvím otevřených veřejných sítí autorizovaným uživatelům potřebujícím přístup prostřednictvím zprostředkovaných připojení. |
Microsoft Entra ID Umístit Microsoft Entra ID do cesty žádostí o přístup. Implementujte zásady, které vyžadují, aby kritické mise aplikace byly integrovány s Microsoft Entra ID. - správa aplikací - Přidání podnikových aplikací - Migrace aplikací a ověřování Microsoft Azure Migrate a modernizace aplikací jejich přenesením do Azure. - migrace aplikací - Modernizace aplikací a rozhraní - Sestavení plánu migrace proxy aplikací Microsoft Entra Konfigurace proxy aplikací pro publikování interních důležitých webových aplikací, přístupných přes veřejná síťová připojení, uživateli autorizovaným microsoft Entra ID. - proxy aplikací - Konfigurace jednotného přihlašování (SSO) pro aplikace Microsoft Defender for Cloud Apps Monitorování a omezení relací pomocí zásad relací pro zprostředkování připojení aplikací použitím programu Defender for Cloud Apps. - Defender for Cloud Apps - Připojit aplikace k programu Defender - Vytvořit zásady relace Podmíněný přístup Microsoft Entra Konfigurovat zásady pro autorizaci přístupu k aplikacím integrovaným s ID Microsoft Entra. Nakonfigurujte řízení podmíněného přístupu aplikací tak, aby vyžadovalo použití zprostředkovatelů zabezpečení přístupu ke cloudu (CASBs) v programu Defender for Cloud Apps. - podmíněného přístupu - řízení aplikací |
|
stav pokročilé vyspělosti Enterprise podle potřeby zpřístupňuje většinu příslušných důležitých aplikací prostřednictvím otevřených veřejných síťových připojení autorizovaným uživatelům. |
Využijte pokyny v počátečním stavu vyspělostia zahrňte nejdůležitější aplikace. |
|
Optimální stav zralosti Podnik zpřístupňuje, podle potřeby, všechny příslušné aplikace přes otevřené veřejné sítě oprávněným uživatelům a zařízením. |
Použijte pokyny v stavu počáteční zralostia zahrňte všechny aplikace.
podmíněného přístupu Konfigurujte zásady podmíněného přístupu, které vyžadují u aplikací kompatibilní zařízení. Přístup k zařízením nedodržující předpisy je zablokovaný. Vyžadovat kompatibilní zařízení |
4.4 Funkce: Zabezpečený pracovní postup vývoje a nasazení aplikací
| Popis etapy CISA ZTMM | pokyny a doporučení Microsoftu |
|---|---|
|
stavu počáteční vyspělosti Enterprise poskytuje infrastrukturu pro vývoj, testování a produkční prostředí (včetně automatizace) s formálními mechanismy nasazení kódu prostřednictvím kanálů CI/CD a požadovaných řízení přístupu na podporu principů nejnižších oprávnění. |
Přistávací zóny Azure Vytvářejte prostředí pro vývoj a vynucujte zásady konfigurace prostředků pomocí Azure Policy. - cílové zóny - Azure Policy Vytvoření formalizovaného mechanismu nasazení kódu s kanály kontinuální integrace a průběžného doručování (CI/CD), jako je GitHub nebo Azure DevOps. nástroje GitHub Enterprise GitHub Enterprise podporují spolupráci, zabezpečení a správu. Používejte funkce, jako jsou neomezená úložiště, možnosti řízení projektů, sledování problémů a výstrahy zabezpečení. Řízení informací o úložišti a projektu při zlepšování spolupráce mezi týmy Zjednodušte zásady zabezpečení a zjednodušte správu s flexibilními možnostmi nasazení. GitHub Enterprise Cloud Připojit GitHub k Microsoft Entra ID pro jednotné přihlašování a zřizování uživatelů. Pokud chcete zajistit principy nejnižších oprávnění, zakažte osobní přístupové tokeny. - podnikoví spravovaní uživatelé - integraci jednotného přihlašování (SSO) pro GitHub Enterprise - Vynutit zásady osobních přístupových tokenů Azure DevOps Spojit lidi, procesy a technologie pro automatizaci doručování softwaru. Podporuje spolupráci a procesy pro vytváření a zlepšování produktů rychleji než tradiční přístupy k vývoji. Používejte funkce, jako jsou Azure Boards, Repos, Pipelines, Test Plans a Artifacts. Zjednodušení řízení projektů, správy verzí, CI/CD, testování a správy balíčků Azure DevOps Připojení organizace Azure DevOps k ID Microsoft Entra a zajištění principů nejnižších oprávnění. Zakažte osobní přístupové tokeny. - Připojte organizaci k Microsoft Entra ID - Správa osobních přístupových tokenů pomocí zásad |
|
pokročilého stavu vyspělosti Enterprise používá odlišné a koordinované týmy pro vývoj, zabezpečení a provoz a zároveň odebírá přístup vývojářů k produkčnímu prostředí pro nasazení kódu. |
zásady správného řízení Microsoft Entra ID Pokud vaše vývojová a produkční předplatná používají stejného tenanta Microsoft Entra, přiřaďte oprávněnost rolí pomocí přístupových balíčků ve správě nároků. Povolte kontroly, abyste zajistili, že uživatelé nebudou mít přístup k vývojovým a produkčním prostředím. Oddělení povinností Kontroly přístupu Pokud chcete odebrat vývojáře s přístupem k produkčnímu prostředí, vytvořte kontrolu přístupu pomocí produkčních rolí Azure. Vytvoření kontroly přístupu |
|
Optimální stav vyspělosti Enterprise využívá neměnné úlohy, pokud je to možné, umožňuje provádět změny pouze prostřednictvím opětovného nasazení a odebere přístup správce k prostředím nasazení ve prospěch automatizovaných procesů pro nasazení kódu. |
brány vydaných verzí Azure DevOps, schválení Používat kanály verzí k průběžnému nasazování aplikací v různých fázích s nižším rizikem a rychlejším tempem. Automatizace fází nasazení pomocí úloh a úkolů brány verzí, kontroly a schválení zámky prostředků Azure k ochraně prostředků Azure před náhodným odstraněním a úpravami, použijte CanNotDeletea ReadOnly, zámky prostředků na předplatná, skupiny prostředků a jednotlivé prostředky.Chránit infrastrukturu pomocí uzamčených prostředků GitHub Actions Pomocí GitHub Actions přiřaďte role Azure spravovaným identitám pro kontinuální integraci a průběžné doručování (CI/CD). Nakonfigurujte úlohy, které se odkazují na prostředí s vyžadovanými recenzenty. Ujistěte se, že úlohy čekají na schválení před zahájením. - Nasazení pomocí GitHub Actions - Kontrola nasazení Microsoft Entra Privileged Identity Management Použijte PIM Zjišťování a Přehledy k identifikaci privilegovaných rolí a skupin. Spravujte zjištěná oprávnění a převádějte přiřazení uživatelů z trvalého na způsobilé. PIM zjišťování a přehledů Kontroly přístupu Pro omezení způsobilých správců v produkčním prostředí vytvořte kontrolu přístupu pomocí rolí Azure. Kontroly přístupu k rolím prostředků Azure |
4.5 Funkce: Testování zabezpečení aplikací
| Popis úrovně CISA ZTMM | pokyny a doporučení Microsoftu |
|---|---|
|
počáteční stav vyspělosti Podnik začne používat statické a dynamické metody testování (tj. běh aplikace) pro testování zabezpečení, včetně ruční analýzy odborníků, před nasazením aplikace. |
nástroj Microsoft Threat Modeling Tool Nástroj pro modelování hrozeb je součástí životního cyklu vývoje zabezpečení (SDL). Softwaroví architekti identifikují a zmírňují problémy se zabezpečením v rané fázi, což snižuje náklady na vývoj. Projděte si pokyny k vytváření a analýze modelů hrozeb. Nástroj usnadňuje komunikaci návrhu zabezpečení, analyzuje potenciální problémy se zabezpečením a navrhuje zmírnění rizik. - Nástroj pro modelování hrozeb - Začínáme vývojářskými nástroji Azure Marketplace Postupujte podle postupů zabezpečeného vývoje aplikací. S analýzou kódu vám pomůžou nástroje z Azure Marketplace. - Vývoj zabezpečených aplikací - Azure Marketplace GitHub Actions Azure DevOps Actions Použití analytického modulu CodeQL k automatizaci kontrol zabezpečení v kanálu kontinuální integrace a průběžného doručování (CI/CD). GitHub Advanced Security pro Azure DevOps je služba testování zabezpečení aplikací nativní pro vývojářské pracovní postupy. - prohledávání CodeQL - Pokročilé zabezpečení GitHubu pro Azure DevOps |
|
Advanced Maturity Status Enterprise integruje testování zabezpečení aplikací do procesu vývoje a nasazení aplikace, včetně použití pravidelných metod dynamického testování. |
GitHub Advanced Security K vylepšení procesů zabezpečení a vývoje kódu použijte kontrolu kódu v Advanced Security a Azure DevOps. - Rozšířené zabezpečení - Pokročilé zabezpečení pro Azure DevOps - Code scan Microsoft Defender for Cloud Povolení ochrany úloh pro předplatná s aplikačními úlohami. - Defender for Cloud - Defender for Containers - Defender for App Service Defender for Cloud DevOps security Používejte funkce správy plánů podpory cloudu (CSPM) k ochraně aplikací a kódu v prostředích s více pipeline. Připojte organizace a vyhodnoťte konfigurace zabezpečení prostředí DevOps. - Defender pro zabezpečení DevOps v Cloudu - Připojení prostředí Azure DevOps k Defenderu pro Cloud |
|
Optimální stav vyspělosti Enterprise integruje testování zabezpečení aplikací v průběhu životního cyklu vývoje softwaru v rámci celého podniku pomocí rutinního automatizovaného testování nasazených aplikací. |
Defender for Cloud DevOps security Použití funkcí správy stavu zabezpečení cloudu (CSPM) k ochraně aplikací a kódu v prostředích s více kanály. Vyhodnoťte konfigurace zabezpečení prostředí DevOps. - Defender pro Cloud DevOps zabezpečení - Mapovat obrazy kontejnerů - Správa cest útoku |
4.6 Funkce: Viditelnost a analýzy
| Popis fáze CISA ZTMM | pokyny a doporučení Microsoftu |
|---|---|
|
počáteční stav zralosti Podnik začne automatizovat profil aplikace (např. stav, zdraví a výkon) a monitorování zabezpečení pro vylepšené shromažďování logů, agregaci a analýzu. |
Azure Monitor Konfigurace služby Azure Policy pro povolení diagnostiky a použití služby Azure Monitor pro úlohy aplikací nasazené v Azure. - Azure Monitor - definice služby Azure Policy Azure Monitor Application Insights Povolení služby Application Insights umožní zkoumání stavu aplikace, analýzu protokolů a zobrazování vzorů využití aplikací Azure. Application Insights Microsoft Defender for Cloud Povolit Defender for Cloud pro Azure a multicloudová prostředí. Pomocí služby Microsoft Secure Score identifikujte mezery a vylepšete stav zabezpečení. - Defender for Cloud - Zabezpečené skóre |
|
Status pokročilé vyspělosti Enterprise automatizuje monitorování profilů a zabezpečení pro většinu aplikací pomocí heuristiky k identifikaci trendů specifických pro jednotlivé aplikace a podnikové trendy a v průběhu času vylepšuje procesy, aby se odstranily mezery ve viditelnosti. |
Defender for Cloud Pomocí skóre zabezpečení Microsoftu můžete vyhodnotit a zlepšit stav zabezpečení cloudu. K nápravě důležitých problémů se zabezpečením použijte stanovení priority rizik. Nasaďte monitorovací komponenty ke shromažďování dat z úloh Azure a monitorování ohrožení zabezpečení a hrozeb. - Defender for Cloud - Shromažďování dat z úloh - skóre zabezpečení - stanovení priorit rizik Microsoft Sentinel Připojte Defender for Cloud k Sentinel. Přenos výstrah do služby Sentinel |
|
Optimální stav vyspělosti Enterprise zajišťuje nepřetržité a dynamické monitorování ve všech aplikacích, aby bylo možné udržovat komplexní přehled na podnikové úrovni. |
Defender for Cloud Integrace úloh infrastruktury a platforem s programem Defender for Cloud, včetně prostředků v cloudu mimo Microsoft a v místním prostředí. Udržujte komplexní přehled na podnikové úrovni. - Připojení místních serverů - Připojení účtů Amazon Web Services (AWS) - Připojení projektů Google Cloud Platform (GCP) Ochrana úloh Defender for Cloud Povolte ochranu pro úlohy vaší aplikace. - Defender pro App Service - Defender pro API - Defender pro kontejnery - Defender pro servery |
4.7 Funkce: Automatizace a orchestrace
| Popis Fáze CISA ZTMM | pokyny a doporučení Microsoftu |
|---|---|
|
Počáteční stav vyspělosti Enterprise pravidelně upravuje konfigurace aplikací, včetně umístění a přístupu, aby splňovaly příslušné cíle zabezpečení a výkonu. |
Azure Resource Manager ARM je služba pro nasazování a správu pro Azure. Automatizace změn konfigurace pomocí šablon ARM a Azure BicepPřehled ARM - - šablon ARM - Bicep |
|
pokročilý stav zralosti Enterprise automatizuje konfigurace aplikací, aby reagovaly na provozní a environmentální změny. |
Azure App Configuration Správa nastavení aplikací a příznaků funkcí z centrálního umístění. Azure App Configuration Azure App Service K otestování nasazených aplikací v produkčním prostředí použijte sloty nasazení. Reagujte na provozní a environmentální změny. Stage environment Microsoft Defender for Cloud Pomocí skóre zabezpečení Microsoftu můžete vyhodnotit a zlepšit stav zabezpečení cloudu. Použijte Defender pro nápravu v cloudu. Náprava doporučení |
|
Optimální stav vyspělosti Enterprise automatizuje konfigurace aplikací, aby se nepřetržitě optimalizovaly zabezpečení a výkon. |
Azure Chaos Studio Použijte tuto službu chaosového inženýrství, která pomáhá měřit, pochopit a zlepšit odolnost cloudových aplikací a služeb. Integrujte zátěžové testování Azure a Azure Chaos Studio do cyklů vývoje úloh. - Azure Chaos Studio - nepřetržitého ověřování |
4.8 Funkce: Zásady správného řízení
| Popis fáze CISA ZTMM | pokyny a doporučení Microsoftu |
|---|---|
|
Počáteční stav rozvoje Enterprise začne automatizovat vynucování zásad vývoje aplikací (včetně přístupu k vývojové infrastruktuře), nasazení, správy softwarových prostředků, ST&E při implementaci technologií, opravách a sledování softwarových závislostí podle potřeb mise (například pomocí softwarového seznamu materiálů). |
GitHub Actions standardizovat procesy DevSecOps pro softwarové vyúčtování materiálů (SBOM) s kanálem kontinuální integrace a průběžného doručování (CI/CD). - GitHub Actions - generování SBOMů pomocí nástroje GitHub Dependabot a CodeQL automatizujte kontroly zabezpečení a vyhledávejte zranitelnosti závislostí. - prohledávání kódu - zabezpečeného dodavatelského řetězce GitHub Actions , Azure DevOps Actions Použití CodeQL k automatizaci kontrol zabezpečení pomocí kanálu CI/CD. GitHub Advanced Security pro Azure DevOps je služba testování zabezpečení aplikací nativní pro vývojářské pracovní postupy. - Skenování kódu - GitHub Advanced Security pro Azure DevOps Nástroj pro generování softwarového seznamu materiálů Použijte generátor SBOM při sestavování, který funguje v různých operačních systémech: Windows, Linux a MacOS. Používá standardní formát SPDX (Software Package Data Exchange). - opensourcový nástroj pro generování SBOM - SBOM na GitHubu |
|
pokročilého stavu vyspělosti Enterprise implementuje vrstvené, přizpůsobené zásady na podnikové úrovni pro aplikace a všechny aspekty životního cyklu vývoje a nasazení aplikací a pokud je to možné, využívá automatizaci k podpoře vynucování. |
Azure Policy Pomoc s vynucením standardů a posouzením dodržování předpisů Podívejte se na řídicí panel dodržování předpisů pro agregované zobrazení prostředí. Azure Policy Microsoft Defender for Cloud Chránit úlohy Azure a úlohy mimo Azure pomocí defenderu pro cloud. Dodržování právních předpisů a Azure Policy slouží k vyhodnocení infrastruktury nepřetržitě pomocí standardů konfigurace. Zabránit konfiguračnímu driftu. - Přiřaďte standardy zabezpečení - vícecloudová prostředí skupiny pro správu Použití skupin pro správu k vynucování zásad přístupu a dodržování předpisů pro předplatná Azure. předplatná a skupiny pro správu |
|
Optimální stav vyspělosti Enterprise plně automatizuje zásady řízení vývoje a nasazení aplikací, včetně začlenění dynamických aktualizací pro aplikace prostřednictvím kanálu CI/CD. |
Defender for Cloud Nasazení komponent monitorování ke shromažďování dat z úloh Azure a monitorování ohrožení zabezpečení a hrozeb. - Sběr dat z úloh - Defenderu pro Cloud Zásady v Defenderu pro Cloud se skládají ze standardů a doporučení, které vám pomůžou zlepšit stav zabezpečení cloudu. Standardy definují pravidla, podmínky dodržování předpisů pro tato pravidla a akce, pokud nejsou splněny podmínky. zásady zabezpečení Infrastruktura jako kód Použití kontinuální integrace a průběžného doručování (CI/CD) k nasazení IaC s GitHub Actions. infrastrukturu Azure pomocí GitHub Actions Azure Policy Nasazení služby Azure Policy jako definice, testování a nasazení jejích definic. Zásady jako pracovní postupy kódu |
Další kroky
Nakonfigurujte služby Microsoft Cloud Services pro model vyspělosti nulové důvěryhodnosti CISA.