CISA Zero Trust Maturity Model für die Säule Anwendungen und Workloads
Dieser Abschnitt enthält Anleitungen und Empfehlungen von Microsoft für das CISA Zero Trust Maturity Model in der Säule Anwendungen und Workloads.
4 Anwendungen und Workloads
Gemäß der CISA-Definition umfassen Anwendungen und Workloads Unternehmenssysteme, Computerprogramme und Dienste, die lokal, auf mobilen Geräten und in Cloudumgebungen ausgeführt werden.
Verwenden Sie die folgenden Links, um zu Abschnitten des Leitfadens zu wechseln.
- Einführung
- Identität
- Geräte
- Netzwerke
- Anwendungen und Workloads
- Daten
4.1 Funktion: Anwendungszugriff
| CISA ZTMM-Stufenbeschreibung | Microsoft-Anleitungen und Empfehlungen |
|---|---|
| Anfänglicher Reifegrad Unternehmen beginnt mit der Implementierung von Funktionalitäten zur Autorisierung des Zugriffs auf Anwendungen, die kontextbezogene Informationen (z. B. Identität, Compliance des Geräts und/oder andere Attribute) pro Anfrage mit Ablaufdatum einbeziehen. |
Microsoft Entra ID-Anwendungen Microsoft Entra ID als Unternehmensidentitätsanbieter (IdP) einführen. Richten Sie eine Richtlinie für die Verwendung der Microsoft Entra-ID für neue Anwendungen ein. Autorisieren Sie den Zugriff auf Anwendungen durch die Zuweisung von Benutzern und Gruppen. Die Microsoft Entra-ID implementiert Branchenstandardprotokolle, wenn sie mit dem bedingten Zugriff von Microsoft Entra kombiniert werden. Einbindung von Kontextinformationen pro Anfrage mit Ablaufdatum. - Integration von Microsoft Entra ID und Apps - Token und Ansprüche - Benutzer und Gruppen einer App zuweisen Bedingter Zugriff Gerätesignale wie z. B. den Speicherort in Richtlinien für bedingten Zugriff für Sicherheitsentscheidungen verwenden. Verwenden Sie Filter basierend auf Geräteattributen, um Richtlinien einzuschließen und auszuschließen. - Bedingungen - Filter für Geräte |
| Fortgeschrittener Reifegrad Enterprise automatisiert Entscheidungen über den Zugriff auf Anwendungen mit erweiterten Kontextinformationen und erzwungenen Ablaufbedingungen, die den Prinzipien der geringsten Privilegien entsprechen. |
Bedingter Zugriff Automatisieren Sie Anwendungszugriffsentscheidungen mit Richtlinien für bedingten Zugriff, die den Unternehmensanforderungen entsprechen. Der bedingte Zugriff ist der Richtlinien-Entscheidungspunkt (PDP) für den Anwendungs- oder Ressourcenzugriff. Erweitern Sie die Kontextinformationen für Geräte bei Zugriffsentscheidungen. Erzwingen Sie konforme Geräte oder mit Microsoft Entra hybrid verbundene Geräte. Gewähren Sie die Kontrolle, um sicherzustellen, dass der Zugriff auf bekannte oder kompatible Geräte erfolgt. - Bedingter Zugriff - Gerätebasierte Richtlinie - Microsoft Entra Hybrid-Join Steigern Sie automatische Entscheidungen über den Zugriff auf Anwendungen mit erweiterten Kontextinformationen. Konfigurieren von Richtlinien für bedingten Zugriff für Anwendungen, geschützte Aktionen und Authentifizierung. Passen Sie die Ablaufbedingungen mit der Sitzungssteuerung für die Anmeldefrequenz an. - Geschützte Aktionen - Entwicklerhandbuch für die Authentifizierung - Bedingter Zugriff: Sitzung Microsoft Intune Registrieren von Geräten mit Microsoft Entra ID und Verwalten der Konfiguration mit Intune. Bewerten Sie die Compliance von Geräten mit Intune Richtlinien. - Registrierte Geräte - Geräterichtlinienkonformität Microsoft Defender für Cloud-Apps Überwachen und Steuern von Sitzungen für Cloudanwendungen mit Defender für Cloud-Apps. - Schützen Sie Apps - Sitzungsrichtlinien - Authentifizierung bei riskanten Aktionen Konfigurieren Sie Richtlinien für die App-Hygiene: ungenutzte, nicht verwendete Anmeldeinformationen und ablaufende Anmeldeinformationen. App Governance-Funktionen Microsoft Entra App-Rollen Gestalten Sie App-Autorisierungs- und Berechtigungsmodelle mit App-Rollen. Um die App-Verwaltung zu delegieren, weisen Sie Besitzern die Verantwortung für die App-Konfiguration zu, registrieren Sie die Anwendungen und weisen Sie App-Rollen zu. Anwendungsrollen |
| Optimaler Reifegradstatus Unternehmen autorisiert kontinuierlich den Anwendungszugriff und bezieht dabei Echtzeitanalysen von Risiken sowie Faktoren wie Verhaltens- oder Nutzungsmuster ein. |
Microsoft Entra ID Protection ID Protection bewertet das Risikoniveau von Benutzern und Anmeldungen. In der Microsoft Defender XDR-Suite bestimmen Echtzeit- und Offlineerkennungen die aggregierte Risikostufe. Um risikobasierte adaptive Zugriffsrichtlinien zu erzwingen, verwenden Sie Risikobedingungen in Richtlinien für bedingten Zugriff. - ID-Schutz - Risiko im ID-Schutz Kontinuierliche Zugriffsauswertung Der CAE-Mechanismus (Continuous Access Evaluation) ermöglicht es Anwendungen, auf Richtlinienverstöße in nahezu Echtzeit zu reagieren, ohne auf den Ablauf des Tokens zu warten. Anwendungen, die CAE unterstützen, reagieren auf kritische Ereignisse, z. B. wenn ein Benutzer im ID-Schutz als hohes Benutzerrisiko gekennzeichnet wird. CAE-Übersicht Globalen sicheren Zugriff Um das Risiko von Tokendiebstahl und Wiederholungsangriffen zu verringern, konfigurieren Sie die konforme Netzwerkdurchsetzung, die mit Diensten funktioniert, die CAE unterstützen. Nahezu in Echtzeit weist die App gestohlene Token für den Zugriff zurück, die außerhalb des Mandant-konformen Netzwerks wiedergegeben werden. - Globaler sicherer Zugriff - Microsoft Entra Internetzugriff - Konformitätsprüfung des Netzwerks |
4.2 Funktion: Schutz vor Anwendungsrisiken
| CISA ZTMM-Stufenbeschreibung | Microsoft-Anleitungen und Empfehlungen |
|---|---|
| Anfänglicher Reifegradstatus Enterprise integriert Bedrohungsschutz in unternehmenskritische Anwendungsworkflows, wendet Schutz vor bekannten Bedrohungen und einigen anwendungsspezifischen Bedrohungen an. |
Microsoft Entra ID Platzieren Sie Microsoft Entra ID im Pfad jeder Zugriffsanforderung. Setzen Sie eine Richtlinie um, die vorschreibt, dass unternehmenskritische Anwendungen mit Microsoft Entra ID integriert werden. Stellen Sie sicher, dass der Bedrohungsschutz Teil von Anwendungsworkflows ist. - Anwendungsverwaltung - Unternehmens-Apps hinzufügen - Apps und Authentifizierung migrieren Microsoft Defender für Cloud-Apps Konfigurieren Sie Defender für Cloud-Apps, um riskante OAuth-Apps zu erkennen und zu warnen. Untersuchen und Überwachen von App-Berechtigungen, die von Benutzern gewährt wurden. riskante OAuth-Apps Azure-Anwendungsgateway Stellen Sie Azure-Apps und -APIs hinter dem Azure-Anwendungsgateway mit der Azure Web Application Firewall im Verhinderungsmodus bereit. Aktivieren Sie das Open Web Application Security Project (OWASP) Core Rule Set (CRS). Webanwendungs-Firewall Microsoft Defender XDR Defender XDR ist eine integrierte Suite für Präventions- und Schutzmaßnahmen vor und nach Sicherheitsverletzungen, die Erkennungs-, Präventions-, Untersuchungs- und Reaktionsmaßnahmen über Endpunkte, Identitäten, E-Mails und Anwendungen hinweg koordiniert. - Defender XDR - XDR-Tools einrichten |
| Fortgeschrittener Reifegrad Unternehmen integriert den Schutz vor Bedrohungen in alle Anwendungs-Workflows und schützt so vor einigen anwendungsspezifischen und gezielten Bedrohungen. |
Microsoft Entra ID Setzen Sie Microsoft Entra ID in den Pfad von Zugriffsanfragen. Implementieren Sie Richtlinien, die vorschreiben, dass Apps mit Microsoft Entra ID integriert werden müssen. Stellen Sie sicher, dass der Bedrohungsschutz für alle Apps angewendet wird. - Anwendungsverwaltung - Hinzufügen von Unternehmens-Apps - Migrieren von Apps und Authentifizierung Microsoft Entra Conditional Access, Tokenschutz Aktivieren des Tokenschutzes oder Tokenbindung in der Richtlinie für bedingten Zugriff. Der Tokenschutz reduziert Angriffe, indem sichergestellt wird, dass Token auf beabsichtigten Geräten verwendet werden können. Tokenschutz Microsoft Entra-Anwendungsproxy Verwenden Sie den Anwendungsproxy und Microsoft Entra ID für private Apps, die ältere Authentifizierungsprotokolle nutzen. Stellen Sie Anwendungsproxys bereit, oder integrieren Sie Partnerlösungen für den sicheren Hybridzugriff (SHA). Um Schutzmaßnahmen zu erweitern, konfigurieren Sie Sitzungsrichtlinien in Microsoft Defender für Cloud-Apps. - Schützen von Legacy-Apps - Überlegungen zur Anwendungsproxysicherheit - Erstellen einer Sitzungsrichtlinie Microsoft Defender Vulnerability Management Defender Vulnerability Management agentenlose Scanner überwachen kontinuierlich und erkennen Risiken. Konsolidierte Bestände sind eine Echtzeitansicht von Softwarerisiken, digitalen Zertifikaten mit schwachen kryptografischen Algorithmen, Hardware- und Firmwareschwächen und riskanten Browsererweiterungen auf Endpunkten. Defender-Sicherheitsrisikoverwaltung Defender für Cloud Workloadschutz für Anwendungsworkloads aktivieren. Verwenden Sie Defender for Servers P2, um Server in Microsoft Defender for Endpoint und Defender Vulnerability Management für Server einzubinden. - Defender für App Service - Defender für APIs - Defender für Container - Defender für Server Microsoft Entra Workload ID Premium Zur Integration des Bedrohungsschutzes in Anwendungs-Workflows. Konfigurieren Sie den Identitätsschutz für Workload-Identitäten. Sichere Workload-Identitäten |
| Optimaler Reifegradstatus Enterprise integriert erweiterten Bedrohungsschutz in alle Anwendungsworkflows, bietet Echtzeitüberwachung und inhaltsbewussten Schutz vor fortschrittlichen Angriffen, die auf Anwendungen abgestimmt sind. |
Microsoft Defender für Cloud Apps Konfigurieren Sie Sitzungssteuerungsrichtlinien in Defender für Cloud Apps für Echtzeit-Sichtbarkeit und -Steuerelemente. Verwenden Sie Dateirichtlinien, um Inhalte in Echtzeit zu scannen, Bezeichnungen anzuwenden und Dateiaktionen einzuschränken. - Sichtbarkeit und Kontrolle von Apps in der Cloud - Dateirichtlinien Defender XDR, Microsoft Sentinel Integrieren Sie Defender XDR und Sentinel. - Defender XDR - Sentinel und Defender XDR für Zero Trust Fusion in Sentinel Fusion ist eine mehrstufige Analytics-Regel zur Angriffserkennung in Sentinel. Fusion verfügt über ein Machine-Learning-Korrelationsmodul, das mehrstufige Angriffe oder erweiterte persistente Bedrohungen (APTs) erkennt. Es identifiziert anomaliele Verhaltensweisen und verdächtige Aktivitäten. Die Vorfälle haben ein geringes Volumen, eine hohe Zuverlässigkeit und einen hohen Schweregrad. - Erkennung von mehrstufigen Angriffen - Anomalien anpassen - Anomalieerkennungsanalyseregeln Globaler sicherer Zugriff Sicherer Zugriff auf Anwendungen und Ressourcen gewährleisten, während der Benutzerzugriff kontinuierlich in Echtzeit überwacht und verwaltet wird. Integrieren Sie sich in Defender for Cloud Apps für Sichtbarkeit und Kontrolle der Softwarenutzung und -sicherheit. Verhindern Sie ausgeklügelte Angriffe wie z. B. gestohlene Token mit der konformen Netzwerkprüfung für einen Mandanten im bedingten Zugriff. Unterstützen Sie die Produktivität und erreichen Sie Speicherort-basierte Sicherheitsprüfungen. Verhindern Sie die Umgehung von Security Service Edge (SSE) für SaaS-Anwendungen (Software as a Service). - Globaler sicherer Zugriff - Konforme Netzwerkprüfung |
4.3 Funktion: Barrierefreie Anwendungen
| CISA ZTMM-Stufenbeschreibung | Microsoft-Anleitungen und Empfehlungen |
|---|---|
| Anfänglicher Reifegradstatus Enterprise stellt einige ihrer anwendbaren unternehmenskritischen Anwendungen über offene öffentliche Netzwerke für autorisierte Benutzer mit Bedarf verfügbar, und zwar über vermittelte Verbindungen. |
Microsoft Entra ID Setzen Sie Microsoft Entra ID in den Pfad von Zugriffsanfragen. Implementieren Sie eine Richtlinie, die festlegt, dass unternehmenskritische Apps mit Microsoft Entra ID integriert werden. - Anwendungsverwaltung - Hinzufügen von Unternehmens-Apps - Migrieren von Apps und Authentifizierung Microsoft Azure Migrieren und Modernisieren von Anwendungen, indem Sie sie in Azure integrieren. - App-Migration - Modernisierung von Apps und Frameworks - Erstellung eines Migrationsplans Microsoft Entra-Anwendungsproxy Konfiguration des Anwendungsproxys zur Veröffentlichung interner, unternehmenskritischer Webanwendungen, auf die Benutzer, die von Microsoft Entra ID autorisiert sind, über öffentliche Netzwerkverbindungen zugreifen. - Anwendungsproxy - Konfigurieren Sie Single Sign-on (SSO) für Apps Microsoft Defender for Cloud Apps Um Sitzungen zu überwachen und einzuschränken, verwenden Sie Sitzungsrichtlinien für den Broker von App-Verbindungen mit Defender for Cloud Apps. - Defender für Cloud Apps - Verbinden von Apps mit Defender - Erstellen einer Sitzungsrichtlinie Microsoft Entra Conditional Access Konfigurieren der Richtlinie zum Autorisieren des Zugriffs auf Apps, die mit Microsoft Entra ID integriert sind. Konfigurieren Sie die App-Kontrolle für bedingten Zugriff, um die Verwendung von Cloud Access Security Brokers (CASBs) in Defender for Cloud Apps zu verlangen. - Bedingter Zugriff - Anwendungssteuerung |
| Fortgeschrittener Reifegrad Unternehmen stellen die meisten ihrer anwendbaren unternehmenskritischen Anwendungen über offene öffentliche Netzwerkverbindungen für autorisierte Benutzer zur Verfügung, je nach Anforderung. |
Verwenden Sie die Anleitung im Anfänglicher Reifegrad, und schließen Sie die unternehmenskritischsten Anwendungen ein. |
| Optimaler Reifegrad Das Unternehmen stellt autorisierten Benutzern und Geräten bei Bedarf alle anwendbaren Anwendungen über offene öffentliche Netzwerke zur Verfügung. |
Verwenden Sie die Anleitung in Anfänglicher Reifegrad und beziehen Sie alle Anwendungen ein. Conditional Access Eine Richtlinie für bedingten Zugriff konfigurieren, die konforme Geräte für Anwendungen erfordert. Der Zugriff auf nicht kompatible Geräte wird blockiert. Es sind kompatible Geräte erforderlich |
4.4 Funktion: Sicherer Anwendungsentwicklungs- und Bereitstellungsworkflow
| CISA ZTMM-Stufenbeschreibung | Microsoft-Anleitungen und Empfehlungen |
|---|---|
| Anfänglicher Reifegrad Unternehmen stellt eine Infrastruktur für Entwicklungs-, Test- und Produktionsumgebungen (einschließlich Automatisierung) mit formalen Mechanismen zur Bereitstellung von Code über CI/CD Pipelines und die erforderlichen Zugriffssteuerungen zur Unterstützung der Grundsätze der geringsten Privilegien bereit. |
Azure-Zielzonen Richten Sie Entwicklungsumgebungen ein und erzwingen Sie Ressourcenkonfigurationsrichtlinien mit Azure Policy. - Landing-Zones - Azure Policy Ein formalisierter Mechanismus zur Bereitstellung von Code mit Continuous Integration und Continuous Delivery (CI/CD) Pipelines wie GitHub oder Azure DevOps. GitHub Enterprise Die Tools von GitHub Enterprise unterstützen Zusammenarbeit, Sicherheit und Verwaltung. Verwenden Sie Features wie unbegrenzte Repositorys, Projektmanagementfunktionen, Problemverfolgung und Sicherheitswarnungen. Kontrollieren Sie Repository- und Projektinformationen und verbessern Sie gleichzeitig die Zusammenarbeit zwischen Teams. Optimieren Sie Sicherheitsrichtlinien und vereinfachen Sie die Verwaltung mit flexiblen Bereitstellungsoptionen. GitHub Enterprise Cloud Verbinden Sie GitHub mit Microsoft Entra ID für einmaliges Anmelden (Single Sign-On, SSO) und Benutzerprovisionierung. Um die Prinzipien des minimalen Zugriffsrechts zu gewährleisten, deaktivieren Sie persönliche Zugriffstoken. - Unternehmensverwaltete Benutzer - Single Sign-on (SSO)-Integration für GitHub Enterprise - Durchsetzung der Richtlinie für persönliche Zugriffstoken Azure DevOps Zusammenführen von Personen, Prozessen und Technologien zur Automatisierung der Softwarebereitstellung. Es unterstützt Zusammenarbeit und Prozesse, um Produkte schneller zu erstellen und zu verbessern als herkömmliche Entwicklungsansätze. Verwenden Sie Features wie Azure Boards, Repos, Pipelines, Testpläne und Artefakte. Optimieren Sie Projektmanagement, Versionsverwaltung, CI/CD, Tests und Paketverwaltung. Azure DevOps Verbinden Sie eine Azure DevOps-Organisation mit Microsoft Entra ID und gewährleisten Sie die Grundsätze der minimalen Rechte. Deaktivieren Sie persönliche Zugriffstoken. - Verbinden Sie eine Organisation mit Microsoft Entra ID - Verwalten Sie personenbezogene Zugriffstoken mit Richtlinien |
| Fortgeschrittener Reifegrad Unternehmen verwendet getrennte und koordinierte Teams für Entwicklung, Sicherheit und Vorgänge, während der Zugriff der Entwickler auf die Produktionsumgebung für die Bereitstellung des Codes aufgehoben wird. |
Microsoft Entra ID Governance Wenn Ihre Entwicklungs- und Produktionsabonnements denselben Microsoft Entra-Mandanten verwenden, weisen Sie die Rollenberechtigung mithilfe von Zugriffspaketen in der Berechtigungsverwaltung zu. Aktivieren Sie Überprüfungen, um sicherzustellen, dass Benutzer nicht auf Entwicklungs- und Produktionsumgebungen zugreifen können. Trennung von Aufgaben Access-Überprüfungen Um Entwickler mit Zugriff auf eine Produktionsumgebung zu entfernen, erstellen Sie eine Zugriffsüberprüfung mithilfe von Azure-Produktionsrollen. Erstellen einer Zugriffsüberprüfung |
| Optimaler Reifegrad Unternehmen nutzt unveränderliche Workloads, wo dies möglich ist, lässt Änderungen nur durch eine erneute Bereitstellung zu und entfernt den Zugriff des Administrators auf die Umgebungen für die Bereitstellung zugunsten automatisierter Prozesse für die Code-Bereitstellung. |
Azure DevOps Release Gates, Genehmigungen Nutzen Sie Release Pipelines, um Anwendungen kontinuierlich über verschiedene Stufen hinweg bereitzustellen, mit geringerem Risiko und schnellerem Tempo. Automatisieren Sie die Phasen der Bereitstellung mit Jobs und Aufgaben. Release Gates, Prüfungen und Genehmigungen Azure Ressourcensperren Um Azure-Ressourcen vor versehentlichen Löschungen und Änderungen zu schützen, wenden Sie CanNotDelete und ReadOnlyRessourcensperren auf Abonnements, Ressourcengruppen und einzelne Ressourcen an. Schützen Sie die Infrastruktur mit gesperrten Ressourcen GitHub Actions Mit GitHub Actions weisen Sie Azure-Rollen verwalteten Identitäten für kontinuierliche Integration und kontinuierliche Bereitstellung (CI/CD) zu. Konfigurieren Sie Aufträge, die auf eine Umgebung mit erforderlichen Prüfern verweisen. Stellen Sie sicher, dass Aufträge auf Genehmigung warten, bevor sie beginnen. - Bereitstellen mit GitHub-Aktionen - Überprüfen von Bereitstellungen Microsoft Entra Privileged Identity Management Verwenden von PIM Discovery und Insights zum Identifizieren privilegierter Rollen und Gruppen. Verwalten Sie entdeckte Privilegien und wandeln Sie Benutzerzuweisungen von dauerhaft in berechtigt um. PIM Discovery und Insights Zugriffsüberprüfungen Um die Anzahl der berechtigten Benutzer in einer Produktionsumgebung zu reduzieren, erstellen Sie eine Zugriffsüberprüfung mit Azure-Rollen. Azure-Ressourcen-Rollen-Zugriffsüberprüfungen |
4.5 Funktion: Anwendungssicherheitstests
| CISA ZTMM-Stufenbeschreibung | Microsoft-Anleitungen und Empfehlungen |
|---|---|
| Anfänglicher Reifegradstatus Enterprise beginnt, statische und dynamische Testmethoden (d. h. Anwendung wird ausgeführt) zu verwenden, um Sicherheitstests durchzuführen, einschließlich manueller Expertenanalyse vor der Anwendungsbereitstellung. |
Microsoft Threat Modeling Tool Das Bedrohungsmodellierungstool ist Teil des Microsoft Security Development Lifecycle (SDL). Softwarearchitekt identifizieren und mindern Sicherheitsprobleme frühzeitig, wodurch die Entwicklungskosten reduziert werden. Hier finden Sie Anleitungen zum Erstellen und Analysieren von Bedrohungsmodellen. Das Tool erleichtert die Kommunikation des Sicherheitsdesigns, analysiert potenzielle Sicherheitsprobleme und schlägt Gegenmaßnahmen vor. - Threat Modeling Tool - Erste Schritte Azure Marketplace-Entwicklertools Befolgen Sie sichere Methoden der Anwendungsentwicklung. Verwenden Sie Tools aus dem Azure Marketplace, um die Codeanalyse zu unterstützen. - Entwickeln sicherer Apps - Azure Marketplace GitHub Actions, Azure DevOps Actions Verwenden Sie das CodeQL-Analysemodul, um Sicherheitsprüfungen in Ihrer kontinuierlichen Integrations- und Kontinuierlichen Übermittlungspipeline (CI/CD) zu automatisieren. GitHub Advanced Security für Azure DevOps ist ein systemeigener Dienst für Anwendungssicherheitstests für Entwicklerworkflows. - CodeQL-Überprüfung - GitHub Advanced Security für Azure DevOps |
| Fortgeschrittener Reifegrad Unternehmen integriert das Testen der Anwendungssicherheit in den Prozess der Entwicklung und Bereitstellung von Anwendungen, einschließlich des Einsatzes von periodischen dynamischen Testmethoden. |
GitHub Advanced Security Um die Codesicherheit und die Entwicklungsprozesse zu verbessern, verwenden Sie Code-Scanning in Advanced Security und Azure DevOps. - Erweiterte Sicherheit - Erweiterte Sicherheit für Azure DevOps - Code-Scanning Microsoft Defender for Cloud Aktivieren Sie Workload-Schutz für Abonnements mit Anwendungs-Workloads. - Defender for Cloud - Defender for Containers - Defender for App Service Defender for Cloud DevOps security Nutzen Sie die Funktionen von Cloud Support Plan Management (CSPM) zum Schutz von Anwendungen und Code in Umgebungen mit mehreren Pipelines. Bewerten Sie die Sicherheitskonfigurationen Ihrer Entwicklungs- und Betriebsumgebung, und verbinden Sie Organisationen. - Defender für Cloud DevOps-Sicherheit - Verbinden von Azure DevOps-Umgebungen mit Defender for Cloud |
| Optimaler Reifegrad Unternehmen integriert das Testen der Anwendungssicherheit in den gesamten Lebenszyklus der Softwareentwicklung im Unternehmen mit automatisierten Funktionen zum Testen der bereitgestellten Anwendungen. |
Defender for Cloud DevOps-Sicherheit Nutzen Sie Funktionen für Cloud Security Posture Management (CSPM), um Anwendungen und Code in Umgebungen mit mehreren Pipelines zu schützen. Bewerten Sie Die Sicherheitskonfigurationen ihrer DevOps-Umgebung. - Defender for Cloud DevOps-Sicherheit - Container-Images zuordnen - Angriffspfade verwalten |
4.6 Funktion: Sichtbarkeit und Analyse
| CISA ZTMM-Stufenbeschreibung | Microsoft-Anleitungen und Empfehlungen |
|---|---|
| Anfänglicher Reifegradstatus Unternehmen beginnt mit der Automatisierung des Anwendungsprofils (z. B. Status, Gesundheit und Leistung) und der Sicherheitsüberwachung, um eine verbesserte Protokollsammlung, Aggregation und Analyse zu erreichen. |
Azure Monitor Konfigurieren Sie die Azure-Richtlinien, um die Diagnose zu aktivieren und Azure Monitor für Anwendungsworkloads zu nutzen, die in Azure bereitgestellt worden sind. - Azure Monitor - Azure-Richtliniendefinitionen Azure Monitor Application Insights Application Insights aktivieren, um die Anwendungsintegrität zu überwachen, Protokolle zu analysieren und Nutzungsmuster von Azure-Apps anzuzeigen. Application Insights Microsoft Defender for Cloud Aktivieren Sie Defender for Cloud für Azure- und Multi-Cloud-Umgebungen. Verwenden Sie die Microsoft-Sicherheitsbewertung, um Lücken zu identifizieren und den Sicherheitsstatus zu verbessern. - Defender for Cloud - Secure Score |
| Fortgeschrittener Reifegrad Unternehmen automatisieren die Profil- und Sicherheitsüberwachung für die meisten Anwendungen mit Heuristiken, um anwendungsspezifische und unternehmensweite Trends zu erkennen und Prozesse im Laufe der Zeit zu verfeinern, um Lücken in der Transparenz zu schließen. |
Defender for Cloud Nutzen Sie Microsoft Secure Score, um Ihre Cloud-Sicherheit zu bewerten und zu verbessern. Verwenden Sie die Risikopriorisierung, um wichtige Sicherheitsprobleme zu beheben. Stellen Sie Überwachungskomponenten bereit, um Daten aus Azure-Workloads zu sammeln und Sicherheitsrisiken und Bedrohungen zu überwachen. - Defender for Cloud - Datenerfassung von Workloads - Secure Score - Risikopriorisierung Microsoft Sentinel Verbinden Sie Defender for Cloud mit Sentinel. Warnhinweise in Sentinel einbinden |
| Optimaler Reifegradstatus Das Unternehmen führt kontinuierliche und dynamische Überwachung über alle Anwendungen hinweg durch, um unternehmensweite umfassende Sichtbarkeit sicherzustellen. |
Defender for Cloud Integrieren Sie Infrastruktur- und Plattform-Workloads mit Defender for Cloud, einschließlich Ressourcen in Nicht-Microsoft-Clouds und on-premises. Sorgen Sie für eine umfassende unternehmensweite Sichtbarkeit. - Verbinden Sie lokale Server - Verbinden Sie Amazon Web Services (AWS)-Konten - Verbinden Sie Google Cloud Platform (GCP)-Projekte Defender for Cloud Workload-Protections Aktivieren Sie Workload-Protections für Ihre Anwendungs-Workloads. - Defender für App Service - Defender für APIs - Defender für Container - Defender für Server |
4.7 Funktion: Automatisierung und Orchestrierung
| CISA ZTMM-Stufenbeschreibung | Microsoft-Anleitungen und Empfehlungen |
|---|---|
| Anfangsfälligkeitsstatus Enterprise ändert in regelmäßigen Abständen Anwendungskonfigurationen, einschließlich Standort und Zugriff, um relevante Sicherheits- und Leistungsziele zu erfüllen. |
Azure Resource Manager ARM ist ein Bereitstellungs- und Verwaltungsdienst für Azure. Automatisieren Sie Konfigurationsänderungen mithilfe von ARM-Vorlagen und Azure Bicep. - ARM-Übersicht - ARM-Vorlagen - Bicep- |
| Fortgeschrittener Reifegrad Unternehmen automatisiert Anwendungskonfigurationen, um auf betriebliche und umgebungsbedingte Änderungen zu reagieren. |
Azure App-Konfiguration Verwalten von Anwendungseinstellungen und Feature-Flags von einem zentralen Ort aus. Azure App-Konfiguration Azure App Service Verwenden Sie Bereitstellungs-Slots, um bereitgestellte Apps in der Produktion zu testen. Reagieren Sie auf Betriebs- und Umgebungsänderungen. Stufen Sie Umgebungen Microsoft Defender for Cloud Nutzen Sie Microsoft Secure Score, um Ihre Cloud-Sicherheit zu bewerten und zu verbessern. Nutzen Sie die Funktionalitäten von Defender for Cloud zur Korrektur. Empfehlungen zur Abhilfe |
| Optimaler Reifegradstatus Enterprise automatisiert Anwendungskonfigurationen, um Sicherheit und Leistung kontinuierlich zu optimieren. |
Azure Chaos Studio Verwenden Sie diesen Dienst für Chaos engineering, um cloudbasierte Anwendungen und Dienstresilienz zu messen, zu verstehen und zu verbessern. Integrieren Sie Azure Load Testing und Azure Chaos Studio in die Entwicklungszyklen für Workloads. - Azure Chaos Studio - Kontinuierliche Validierung |
4.8 Funktion: Governance
| CISA ZTMM-Stufenbeschreibung | Microsoft-Anleitungen und Empfehlungen |
|---|---|
| Initial Maturity Status Das Unternehmen beginnt mit der Automatisierung der Durchsetzung von Richtlinien für die Entwicklung von Anwendungen (einschließlich des Zugriffs auf die Entwicklungsinfrastruktur), die Bereitstellung, das Software Asset Management, ST&E bei der Einführung von Technologien, das Patching und die Verfolgung von Software-Abhängigkeiten auf der Grundlage der Anforderungen des Unternehmens (z.B. mit Software-Stücklisten). |
GitHub Actions Standardisieren Sie DevSecOps-Prozesse für eine Software Stückliste (SBOM) mit einer Continuous Integration und Continuous Delivery (CI/CD) Pipeline. - GitHub Actions - Generieren Sie SBOMs Nutzen Sie GitHub Dependabot und CodeQL, um Sicherheitsprüfungen zu automatisieren und nach Schwachstellen in Abhängigkeiten zu scannen. - Code scannen - Sichere Lieferkette GitHub Actions, Azure DevOps Actions Nutzen Sie CodeQL, um Sicherheitsprüfungen mit Ihrer CI/CD Pipeline zu automatisieren. GitHub Advanced Security für Azure DevOps ist ein systemeigener Dienst für Anwendungssicherheitstests für Entwicklerworkflows. - Code-Scanning - GitHub Advanced Security for Azure DevOps Tool zur Generierung von Software-Stücklisten Verwenden Sie den SBOM-Generator zur Build-Zeit, der betriebssystemübergreifend funktioniert: Windows, Linux und MacOS. Es verwendet das standardmäßige SpdX-Format (Software Package Data Exchange). - Open-Source SBOM-Generierungs-Tool - SBOM-Tool auf GitHub |
| Fortgeschrittener Reifegrad Unternehmen implementiert unternehmensweit abgestufte, maßgeschneiderte Richtlinien für Anwendungen und alle Aspekte der Lebenszyklen der Anwendungsentwicklung und -bereitstellung und unterstützt die Durchsetzung nach Möglichkeit durch Automatisierung. |
Azure Policy Helfen Sie dabei, Standards zu erzwingen und Compliance zu bewerten. Eine aggregierte Ansicht der Umgebung finden Sie im Compliance-Dashboard. Azure-Richtlinie Microsoft Defender für Cloud Schützen von Azure- und Nicht-Azure-Workloads mit Defender for Cloud. Verwenden Sie regulatorische Compliance und Azure Policy, um die Infrastruktur kontinuierlich anhand von Konfigurationsstandards zu bewerten. Verhindern Sie Konfigurationsabweichungen. - Zuweisen von Sicherheitsstandards - Multicloud-Umgebungen Verwaltungsgruppen Verwenden von Verwaltungsgruppen, um Zugriffsrichtlinien und Compliance für Azure-Abonnements zu erzwingen. Abonnements und Verwaltungsgruppen |
| Optimaler Reifegrad Unternehmen automatisiert vollständig die Richtlinien, die die Entwicklung und Bereitstellung von Anwendungen kontrollieren, einschließlich der Einbindung dynamischer Updates für Anwendungen über die CI/CD Pipeline. |
Defender für Cloud Bereitstellen von Überwachungskomponenten zum Sammeln von Daten aus Azure-Workloads und Überwachen von Sicherheitsrisiken und Bedrohungen. - Defender for Cloud - Datenerfassung von Workloads Die Richtlinien in Defender for Cloud bestehen aus Standards und Empfehlungen zur Verbesserung Ihrer Cloud-Sicherheit. Standards definieren Regeln, Compliance-Bedingungen für diese Regeln und Aktionen, wenn die Bedingungen nicht erfüllt sind. Sicherheitsrichtlinien Infrastructure-as-Code Nutzen Sie kontinuierliche Integration und kontinuierliche Bereitstellung (CI/CD), um IaC mit GitHub Actions bereitzustellen. Azure Infrastruktur mit GitHub Actions Azure Policy Um Azure Policy als Code bereitzustellen, definieren, testen und stellen Sie ihre Definitionen bereit. Policy as Code Workflows |
Nächste Schritte
Konfigurieren Sie Microsoft Cloud Services für das CISA Zero Trust Maturity-Modell.
- Einführung
- Identität
- Geräte
- Netzwerke
- Anwendungen und Arbeitslasten
- Daten