Zero Trust-Strategie des DoD für die Säule „Anwendungen und Workloads“

Artikel
04/15/2024

Die DoD Zero Trust Strategy and Roadmap skizziert einen Weg für die Komponenten des Department of Defense und die Partner der Defense Industrial Base (DIB) zur Einführung eines neuen Cybersicherheitsframeworks, das auf Zero-Trust-Prinzipien basiert. Zero Trust eliminiert herkömmliche Perimeter und Vertrauensannahmen, was eine effizientere Architektur ermöglicht, die die Sicherheit, Benutzerfreundlichkeit und Einsatzleistung verbessert.

Dieser Leitfaden enthält Empfehlungen für die 152 Zero Trust-Aktivitäten in der DoD Zero Trust Capability Execution Roadmap. Die Abschnitte entsprechen den sieben Säulen des DoD Zero Trust-Modells.

Über die folgenden Links gelangen Sie zu den entsprechenden Abschnitten des Leitfadens.

3 Anwendungen und Workloads

Dieser Abschnitt enthält Leitfäden und Empfehlungen von Microsoft für DoD Zero Trust-Aktivitäten in der Säule „Anwendungen und Workloads“. Weitere Informationen finden Sie unter Absichern von Anwendungen mit Zero Trust.

Hinweis

Die Empfehlungen in diesem Abschnitt richten sich nach dem DoD Enterprise DevSecOps Reference Design.

3.1 Anwendungsbestand

Microsoft Entra ID ist ein Identitätsanbieter (IdP) für Anwendungen und Cloudplattformen (nicht nur Microsoft 365 und Azure). Der Dienst umfasst Webportale und RESTful-APIs zum Abrufen von Listen integrierter Anwendungen. Microsoft Defender for Cloud Apps ist eine Komponente von Microsoft Defender XDR und enthält Features zum Ermitteln, Inventarisieren und Blockieren nicht genehmigter Apps.

Beschreibung und Ergebnis der DoD-Aktivität Informationen und Empfehlungen von Microsoft

Target 3.1.1 Anwendungs-/Codeidentifikation
DoD-Organisationen erstellen eine Bestandsliste für genehmigte Anwendungen und genehmigten Code (z. B. Quellcode und Bibliotheken). Jede Organisation überprüft dabei zumindest die Unterstützungsfähigkeit (z. B. aktiv oder Legacykomponente) und den Hoststandort (z. B. Cloud, lokal oder hybrid) des Bestands.

Ergebnis:
– Komponente hat Anwendungen identifiziert und als Legacyanwendung, virtualisierte lokale Anwendung oder in der Cloud gehostete Anwendung klassifiziert Microsoft Entra ID
Verwenden Sie das Microsoft Entra Admin Center, um eine Liste der registrierten Microsoft Entra-Anwendungen herunterzuladen. Wählen Sie auf dem oberen Menüband Herunterladen aus.
- Anwendungsressourcentyp

Wenn Ihre Organisation Active Directory-Verbunddienste (AD FS) verwendet, stellen Sie Microsoft Entra Connect Health bereit. Verwenden Sie den Anwendungsaktivitätsbericht, um AD FS-Anwendungen zu ermitteln.
- Überwachen von AD FS mit Connect Health
- Anwendungsaktivitätsbericht

Microsoft Defender-Sicherheitsrisikoverwaltung
Nutzen Sie den Softwarebestand in der Microsoft Defender-Sicherheitsrisikoverwaltung, um die in Ihrer Organisation verwendete Software anzuzeigen.
- Softwarebestand

Microsoft Defender for Cloud Apps
Richten Sie Cloud Discovery in Defender for Cloud Apps ein, um eine Momentaufnahme der Anwendungen zu erhalten, auf die Benutzer zugreifen.
- Einrichten von Cloud Discovery
- Untersuchen von Apps

Von Microsoft Intune ermittelte Apps
Von Intune ermittelte Apps werden von den bei Intune registrierten Geräten im Mandanten gefunden. Es handelt sich um den Softwarebestand des Mandanten. Bei Unternehmensgeräten werden Apps oder verwaltete Apps für diesen Bericht nicht erfasst.
- Ermittelte Apps

Azure DevOps
Verwenden Sie diesen Dienst für die sichere Paketverwaltung. Entwickler teilen Code und verwalten Pakete an einer zentralen Stelle.
- Azure Artifacts
- Azure GitHub-Repositorys

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Target` 3.1.1 Anwendungs-/Codeidentifikation DoD-Organisationen erstellen eine Bestandsliste für genehmigte Anwendungen und genehmigten Code (z. B. Quellcode und Bibliotheken). Jede Organisation überprüft dabei zumindest die Unterstützungsfähigkeit (z. B. aktiv oder Legacykomponente) und den Hoststandort (z. B. Cloud, lokal oder hybrid) des Bestands. Ergebnis: – Komponente hat Anwendungen identifiziert und als Legacyanwendung, virtualisierte lokale Anwendung oder in der Cloud gehostete Anwendung klassifiziert	Microsoft Entra ID Verwenden Sie das Microsoft Entra Admin Center, um eine Liste der registrierten Microsoft Entra-Anwendungen herunterzuladen. Wählen Sie auf dem oberen Menüband Herunterladen aus. - Anwendungsressourcentyp Wenn Ihre Organisation Active Directory-Verbunddienste (AD FS) verwendet, stellen Sie Microsoft Entra Connect Health bereit. Verwenden Sie den Anwendungsaktivitätsbericht, um AD FS-Anwendungen zu ermitteln. - Überwachen von AD FS mit Connect Health - Anwendungsaktivitätsbericht Microsoft Defender-Sicherheitsrisikoverwaltung Nutzen Sie den Softwarebestand in der Microsoft Defender-Sicherheitsrisikoverwaltung, um die in Ihrer Organisation verwendete Software anzuzeigen. - Softwarebestand Microsoft Defender for Cloud Apps Richten Sie Cloud Discovery in Defender for Cloud Apps ein, um eine Momentaufnahme der Anwendungen zu erhalten, auf die Benutzer zugreifen. - Einrichten von Cloud Discovery - Untersuchen von Apps Von Microsoft Intune ermittelte Apps Von Intune ermittelte Apps werden von den bei Intune registrierten Geräten im Mandanten gefunden. Es handelt sich um den Softwarebestand des Mandanten. Bei Unternehmensgeräten werden Apps oder verwaltete Apps für diesen Bericht nicht erfasst. - Ermittelte Apps Azure DevOps Verwenden Sie diesen Dienst für die sichere Paketverwaltung. Entwickler teilen Code und verwalten Pakete an einer zentralen Stelle. - Azure Artifacts - Azure GitHub-Repositorys

3.2 Sichere Softwareentwicklung und -integration

GitHub-Features wie GitHub Advanced Security (GHAS) und GitHub Actions helfen Ihnen bei der Einrichtung von Softwareentwicklungs- und Bereitstellungsmethoden für Zero Trust. GitHub Enterprise Cloud ist in Microsoft Entra ID integriert, um Berechtigungen mit Microsoft Entra ID Governance zu verwalten und den sicheren Zugriff mit Richtlinien für bedingten Zugriff zu gewährleisten.

Entwickler können Microsoft-Authentifizierungsbibliotheken (Microsoft Authentication Libraries, MSAL) verwenden, um Anwendungen in Microsoft Entra ID zu integrieren. Weitere Informationen finden Sie unter Authentifizieren von Benutzern für Zero Trust.

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Target` 3.2.1 Erstellen von DevSecOps-Software-Factorys Teil 1 Das DoD-Unternehmen erstellt die grundlegenden Standards für moderne DevSecOps-Prozesse und CI/CD-Pipelines. Die Konzepte werden in einem standardisierten Technologiestack in DoD-Organisationen angewendet, die zukünftige Anwendungssicherheitsanforderungen erfüllen können. Ein unternehmensweites Programm zur Verwaltung von Sicherheitsrisiken ist in die CI/CD-Pipelines integriert, das die Aktivitäten des Sicherheitsrisiko-Verwaltungsprogramms berücksichtigt. Folgen: – Entwickelte Daten- bzw. Dienststandards für DevSecOps – CI/CD-Pipeline ist voll funktionsfähig und wurde erfolgreich getestet – Programm zur Verwaltung von Sicherheitsrisiken ist offiziell eingerichtet und funktioniert	GitHub Actions GitHub Actions verwendet Continuous Integration und Continuous Delivery (CI/CD), um Bereitstellungspipelines zu automatisieren. - GitHub Actions GitHub Advanced Security Verwenden Sie GitHub Advanced Security für GitHub und Azure DevOps, um die Sicherheit Ihres Codes und Ihrer Entwicklungsprozesse zu verbessern. - Advanced Security - Advanced Security für Azure DevOps SSO und Bereitstellung mit Microsoft Entra ID Konfigurieren Sie das einmalige Anmelden (Single Sign-on, SSO) für Git-Tools mithilfe von Microsoft Entra ID. - SSO-Integration in GitHub Enterprise Cloud-Organisationen - SSO-Integration in GitHub Enterprise Server - Verknüpfen einer Organisation mit Microsoft Entra ID Weitere Informationen zu DevSecOps für Azure und andere Clouds finden Sie in der CIO-Bibliothek (Chief Information Officer) des DoD.
`Target` 3.2.2 Erstellen von DevSecOps-Software-Factorys Teil 2 DoD-Organisationen verwenden ihre genehmigten CI/CD-Pipelines, um die meisten neuen Anwendungen zu entwickeln. Alle Ausnahmen folgen einem standardisierten Genehmigungsprozess, um eine Legacyentwicklung zuzulassen. DevSecOps-Prozesse werden auch verwendet, um alle neuen Anwendungen zu entwickeln und vorhandene Anwendungen zu aktualisieren. Funktionen zur kontinuierlichen Validierung sind in die CI/CD-Pipelines und DevSecOps-Prozesse sowie bestehenden Anwendungen integriert. Folgen: – Entwicklung von Anwendungen wird zur CI/CD-Pipeline migriert – Prozess und Technologie für kontinuierliche Validierung wird implementiert und verwendet – Entwicklung von Anwendungen wird zu DevSecOps-Prozessen und -Technologien migriert	GitHub Advanced Security Verwenden Sie GitHub Advanced Security, um nach Codeabhängigkeiten und Sicherheitsrisiken zu suchen. Konfigurieren Sie regelmäßige Builds, um die Codequalität zu bewerten. - Advanced Security - CodeQL-Codescanning - Sichere Lieferkette Bicep in Azure Stellen Sie Cloudinfrastrukturen mithilfe des IaC-Ansatzes (Infrastructure-as-Code) mit Azure Resource Manager(ARM)- und Bicep-Vorlagen bereit. - Bicep Microsoft Defender for Cloud Aktivieren Sie den Defender for Cloud-Workloadschutz für Abonnements mit Anwendungsworkloads. - Schützen von Cloudworkloads Microsoft Defender for DevOps Verwenden Sie Defender for DevOps, um die Sicherheit und Warnungen im Zusammenhang mit Pipelines in Azure DevOps (ADO) und GitHub zu überwachen. - Defender for DevOps
`Target` 3.2.3 Automatisieren der Anwendungssicherheit und Codekorrektur Teil 1 Ein standardisierter Ansatz zur Anwendungssicherheit (einschließlich Codekorrektur) wird im gesamten DoD-Unternehmen implementiert. Teil 1 (1) dieser Aktivität umfasst die Integration eines sicheren API-Gateways mit Anwendungen, die APIs oder ähnliche Aufrufe verwenden. Code Reviews werden in einem methodischen Ansatz durchgeführt, und standardisierte Schutzmaßnahmen für Container und ihre Infrastruktur sind vorhanden. Darüber hinaus nutzen serverlose Funktionen, bei denen Drittanbieter die Infrastruktur verwalten (z. B. Platform-as-a-Service), angemessene serverlose Sicherheitsüberwachungs- und Reaktionsfunktionen. Code Reviews sowie Sicherheitsfunktionen für Container und serverlose Sicherheitsfunktionen werden je nach Bedarf in den CI/CD- und/oder DevSecOps-Prozess integriert. Folgen: – Sicheres API-Gateway ist betriebsbereit; Großteil der API-Aufrufe durchläuft Gateway – Anwendungssicherheitsfunktionen (z. B. Code Review, Sicherheit für Container und serverlose Komponenten) werden als Teil von CI/CD und DevSecOps implementiert	Azure Application Gateway Machen Sie Webanwendungen und APIs mit Azure Application Gateway und Web Application Firewall öffentlich zugänglich. - Web Application Firewall Microsoft Entra ID-Anwendungen Microsoft Entra ID ist ein Autorisierungsgateway für den Zugriff auf Webanwendungen und APIs. Mithilfe von Microsoft Entra können Sie APIs für registrierte Anwendungen bereitstellen. Verwenden Sie die integrierte Authentifizierung und Autorisierung (Easy Auth) in Azure App Service und Azure Functions. Verwenden Sie für APIs, die nicht mit Microsoft Entra ID kompatibel sind, die OAuth-Funktion (Open Authorization) in Azure API Management. - Konfigurieren einer App zum Bereitstellen einer Web-API - Authentifizieren und Autorisieren in Azure App Service und Azure Functions - Authentifizieren und Autorisieren von APIs GitHub Advanced Security Verwenden Sie GitHub Advanced Security für GitHub und Azure DevOps. Weitere Informationen finden Sie im Microsoft-Leitfaden unter Punkt 3.2.1. Microsoft Defender for Cloud Aktivieren Sie den Defender for Cloud-Workloadschutz für Azure-Abonnements mit API-Workloads. Siehe Microsoft-Leitfaden unter Punkt 3.2.2.
`Advanced` 3.2.4 Automatisieren der Anwendungssicherheit und Codekorrektur Teil 2 DoD-Organisationen modernisieren die Ansätze für die Bereitstellung intern entwickelter und verwalteter Dienste nach bewährten Methoden (z. B. Microservices). Diese Ansätze ermöglichen resilientere und sicherere Architekturen, indem schnellere Änderungen am Code in den Microservices vorgenommen werden können, wenn Sicherheitsprobleme erkannt werden. Die Sicherheitsaktivitäten zur weiteren Optimierung beziehen sich auf die bedarfsbasierte Einbeziehung von Laufzeitsicherheitsfunktionen für Container in den DoD-Unternehmen sowie automatisierte Updates für gefährdete Bibliotheken und die automatisierte CI/CD-Genehmigung im Rahmen des Veröffentlichungsprozesses. Folgen: – Sicheres API-Gateway ist betriebsbereit; Großteil der API-Aufrufe durchläuft Gateway – Dienste werden gemäß einer dienstorientierten Architektur (Service Oriented Architecture, SOA) bereitgestellt – Sicherheitsaktivitäten (z. B. Laufzeitsicherheit, Bibliotheksupdates und Veröffentlichungsgenehmigung) sind vollständig automatisiert	Vollständige Aktivitäten 3.2.2 und 3.2.3.

3.3 Softwarerisikomanagement

GitHub Actions hilft Ihnen beim Automatisieren, Anpassen und Ausführen von Softwareentwicklungsworkflows für DevSecOps. Mit GitHub Actions können Sie eine Softwarestückliste (Software Bill of Materials, SBOM) generieren, Code analysieren sowie Lieferketten und Abhängigkeiten auf Sicherheitsrisiken überprüfen. Weitere Informationen zu GitHub Actions finden Sie im Abschnitt zu GitHub Actions.

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Target` 3.3.1 Genehmigte Binärdateien/genehmigter Code Das DoD-Unternehmen verwendet bewährte Methoden zum Verwalten von genehmigten Binärdateien und genehmigtem Code in einem methodischen Ansatz. Zu diesen Ansätzen gehören das Lieferanten-Beschaffungsrisikomanagement, die genehmigte Repositorynutzung, das Risikomanagement im Zusammenhang mit der Materialversorgungskette und das branchenübliche Sicherheitsrisikomanagement. Folgen: – Lieferanten-Beschaffungsrisiko wurde für genehmigte Quelle ausgewertet und identifiziert – Repository- und Updatekanal wurde für die Verwendung durch die Entwicklungsteams eingerichtet – Stückliste wird für Anwendungsidentifizierungsquelle, Unterstützung und Risikostatus erstellt – Branchenstandards (DIB) und genehmigte Sicherheitsrisikodatenbanken werden für die Verwendung in DevSecOps abgerufen	GitHub Actions Sie können DevSecOps-Prozesse standardisieren, um eine Softwarestückliste (SBOM) mit einer CI/CD-Pipeline zu erstellen. - Erstellen von Softwarestücklisten Verwenden Sie GitHub Dependabot und CodeQL, um Sicherheitsprüfungen zu automatisieren und Abhängigkeitsrisiken zu ermitteln. - CodeQL-Codescans - Sichere Lieferkette Windows Defender-Anwendungssteuerung Nutzen Sie die Windows Defender-Anwendungssteuerung, um zu vermeiden, dass nicht vertrauenswürdiger Code auf verwalteten Endpunkten ausgeführt wird. - Anwendungssteuerung und AppLocker - Plattformcodeintegrität
`Target` 3.3.2 Programm zur Verwaltung von Sicherheitsrisiken Teil 1 Das DoD-Unternehmen arbeitet mit Organisationen zusammen, um ein Programm zur Verwaltung von Sicherheitsrisiken zu entwickeln und zu verwalten. Das Programm umfasst Richtlinien und Standards, auf die sich alle Organisationen geeinigt haben. Das entwickelte Programm umfasst mindestens das Nachverfolgen und Verwalten von öffentlichen Sicherheitsrisiken basierend auf DoD-Anwendungen bzw. -Diensten. Für die Verwaltung von Sicherheitsrisiken richten Organisationen ein Team mit Hauptansprechpartnern ein, in denen Sicherheitsrisiken gemäß den Unternehmensrichtlinien und -standards diskutiert und verwaltet werden. Folgen: – Team für Verwaltung von Sicherheitsrisiken mit klar benannten Ansprechpartnern ist vorhanden – Richtlinie und Prozess für Sicherheitsrisikoverwaltung ist vorhanden und wurde von Projektbeteiligten genehmigt – Öffentliche Sicherheitsrisikoquellen werden für Nachverfolgung genutzt	Bedrohungs- und Sicherheitsrisikomanagement (TVM) Die Funktionen für das Bedrohungs- und Sicherheitsrisikomanagement (Threat and Vulnerability Management, TVM) ermöglichen einen Überblick über die Ressourcen sowie intelligente Bewertungen. Es umfasst integrierte Korrekturtools für Endpunkte und Server. Verwenden Sie das Bedrohungs- und Sicherheitsrisikomanagement mit einem Programm zur Verwaltung von Sicherheitsrisiken. - Microsoft Defender Vulnerability Management Microsoft-Cloudsicherheitsbenchmark Überprüfen Sie, wie Microsoft-Onlinedienste Sicherheitsrisiken verwalten. - Übersicht über das Bedrohungs- und Sicherheitsrisikomanagement - Status und Sicherheitsrisikomanagement
`Target` 3.3.3 Programm für Sicherheitsrisikomanagement Teil 2 Prozesse werden auf der DoD-Unternehmensebene eingerichtet, um die Offenlegung von Sicherheitsrisiken in den vom DoD verwalteten öffentlich zugänglichen und privaten Diensten zu verwalten. DoD-Organisationen erweitern das Programm zur Verwaltung von Sicherheitsrisiken, um geschlossene Sicherheitsrisikorepositorys (z. B. DIB und CERT) nachzuverfolgen und zu verwalten. Folgen: – Verwendung von kontrollierten Quellen (z. B. DIB und CERT) von Sicherheitsrisiken für die Nachverfolgung – Programm zur Verwaltung von Sicherheitsrisiken umfasst Prozess zur Genehmigung der externen bzw. öffentlichen Offenlegung für verwaltete Dienste	Bedrohungs- und Sicherheitsrisikomanagement Nutzen Sie die Seite zu den Schwachstellen im Rahmen des Microsoft Defender TVM, um Sicherheitsrisiken zu identifizieren und zu priorisieren, die auf den Geräten und Servern Ihrer Organisation gefunden wurden. - Sicherheitsrisiken in der Organisation Sie können Korrekturaktivitäten mithilfe des TVM-Berichts zu gefährdeten Geräten nachverfolgen. - Bericht zu gefährdeten Geräten
`Target` 3.3.4 Kontinuierliche Validierung DoD-Organisationen implementieren einen Ansatz für kontinuierliche Validierung für die Anwendungsentwicklung, bei dem die parallele Bereitstellung durchgeführt und in eine genehmigte Umgebungsebene integriert wird (z. B. Benutzerakzeptanztests, Produktion). Anwendungen, die die kontinuierliche Validierung nicht in ihren CI/CD-Prozess integrieren können, werden identifiziert, und Ausnahmen werden bei Bedarf mithilfe eines methodischen Ansatzes ermöglicht. Folgen: – Bereitstellung von aktualisierten Anwendungen in einer Liveumgebung und/oder Produktionsumgebung – Außerbetriebnahme von Anwendungen, die für die Außerbetriebnahme und Umstellung markiert wurden – Implementierung von Tools für die kontinuierliche Validierung sowie Anwendung dieser Tools auf Code in der CI/CD-Pipeline – Identifizierung von Code, der eine kontinuierliche Validierung erfordert, sowie Festlegen von Validierungskriterien	Azure Chaos Studio Verwenden Sie Azure Chaos Studio zum Validieren von Workloads. - Kontinuierliche Validierung GitHub Advanced Security Nutzen Sie GitHub-Features und -Aktionen für die Sicherheitsrisikoverwaltung im DevSecOps-Referenzentwurf für DoD-Unternehmen. Weitere Informationen finden Sie im Microsoft-Leitfaden unter Punkt 3.2.1.

3.4 Ressourcenautorisierung und -integration

Der bedingte Zugriff ist die Zero Trust-Richtlinien-Engine in Microsoft Entra ID. Verbinden Sie Ihre Anwendungsworkloads mit Microsoft Entra ID. Nutzen Sie Microsoft Entra ID Governance, um Berechtigungen und sichere Anmeldungen mit Richtlinien für bedingten Zugriff zu verwalten. Die Richtlinien verwenden Sicherheitsattribute wie Geräteintegrität, Sitzungsdetails und Risiken, um adaptive Zugriffsentscheidungen zu treffen. Microsoft Entra ID, der Azure Resource Manager und CI/CD-Pipelines autorisieren die Ressourcenbereitstellung in Azure.

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Target` 3.4.1 Ressourcenautorisierung Teil 1 Das DoD-Unternehmen standardisiert die Ressourcenautorisierungsansätze (z. B. Software Defined Perimeter) mit den Organisationen. Zumindest die Ressourcenautorisierungsgateways werden in Identitäten und Geräte integriert. Organisationen stellen genehmigte Ressourcenautorisierungsgateways bereit und aktivieren sie für externe Anwendungen bzw. Dienste. Andere Anwendungen für die Migration sowie Anwendungen, die nicht migriert werden können, werden als Ausnahme oder für die Außerbetriebnahme identifiziert. Folgen: – Ressourcenautorisierungsgateway ist für externe Anwendungen verfügbar – Ressourcenautorisierungsrichtlinie ist in Identität und Gerät integriert – Bereitstellen von unternehmensweit gültigen Leitfäden zu Konvertierungsstandards für alle Projektbeteiligten	Microsoft Entra ID Microsoft Entra ist ein Autorisierungsgateway für Anwendungsressourcen. Integrieren Sie moderne Anwendungen und Legacyanwendungen für SSO in Microsoft Entra. Weitere Informationen finden Sie im Microsoft-Leitfaden unter Punkt 1.2.4 im Abschnitt Benutzer. Microsoft Entra ID Governance Nutzen Sie Microsoft Entra ID Governance-App-Rollen für den Zugriff auf Anwendungen. Weisen Sie Benutzern App-Rollen mit statischer Mitgliedschaft, dynamischen Microsoft Entra-Sicherheitsgruppen oder Zugriffspaketen für die Berechtigungsverwaltung zu. - Hinzufügen von App-Rollen zu einer App und Empfangen dieser Rollen in einem Token - Rollenbasierte Zugriffssteuerung Bedingter Zugriff Verwenden Sie Richtlinien für bedingten Zugriff, um den Anwendungszugriff dynamisch zu autorisieren, zu steuern oder zu blockieren. Weitere Informationen finden Sie im Microsoft-Leitfaden unter Punkt 1.8.3 im Abschnitt Benutzer und unter Punkt 2.1.4 im Abschnitt Gerät. Azure Application Gateway Stellen Sie öffentlich zugängliche Webanwendungen und APIs mit Application Gateway und Web Application Firewall bereit. Weitere Informationen finden Sie im Microsoft-Leitfaden unter Punkt 3.2.3.
`Target` 3.4.2 Ressourcenautorisierung Teil 2 Ressourcenautorisierungsgateways werden für alle möglichen Anwendungen/Dienste verwendet. Anwendungen, die Gateways nicht verwenden können, werden entweder außer Betrieb genommen oder mithilfe eines risikobasierten methodischen Ansatzes als Ausnahme eingestuft. Autorisierungen werden weiter in die CI/CD-Pipeline für die automatisierte Entscheidungsfindung integriert. Folgen: – Ressourcenautorisierungsgateway wird für alle Anwendungen verwendet – Ressourcenautorisierung ist in DevSecOps und CI/CD für automatisierte Funktionen integriert	Microsoft Entra Workload ID Verwenden Sie den Workloadidentitätsverbund, um eine benutzerseitig zugewiesene verwaltete Identität zu konfigurieren. Mit der App-Registrierung können Sie Tokens von einem externen Identitätsanbieter (IdP) als vertrauenswürdig einstufen. Verwenden Sie den Workloadidentitätsverbund für GitHub Actions-Workflows. - Workloadidentitätsverbund Azure API Management Verwenden Sie Azure API Management zum Verwalten, Autorisieren und Bereitstellen von Diensten, die innerhalb oder außerhalb von Azure als APIs gehostet werden. - Azure API Management
`Target` 3.4.3. SDC-Ressourcenautorisierung Teil 1 Das DoD-Unternehmen stellt einen standardisierten Ansatz für die codebasierte Computeverwaltung (z. B. Software Definition Compute) gemäß den bewährten Methoden in der Branche bereit. Mithilfe von risikobasierten Ansätzen werden Baselines unter Verwendung der genehmigten Codebibliotheken und -pakete erstellt. DoD-Organisationen stellen mit den genehmigten Code- bzw. Binärdateiaktivitäten sicher, dass die Anwendungen identifiziert werden, die den Ansatz unterstützen bzw. nicht unterstützen können. Anwendungen, die eine moderne softwarebasierte Konfiguration und Verwaltungsansätze unterstützen können, werden identifiziert. Infolgedessen wird der Übergang eingeleitet. Anwendungen, die keine softwarebasierten Konfigurations- und Verwaltungsansätze berücksichtigen können, werden identifiziert und mithilfe eines methodischen Ansatzes als Ausnahme zugelassen. Folgen: – Markieren von Anwendungen für die Außerbetriebnahme, die nicht so aktualisiert werden können, dass sie genehmigte Binärdateien oder genehmigten Code verwenden; Erstellen von Übergangsplänen – Aktualisieren von identifizierten Anwendungen ohne genehmigte Binärdateien und ohne genehmigten Code für die Verwendung von genehmigten Binärdateien bzw. genehmigtem Code – Bereitstellen von unternehmensweit gültigen Leitfäden zu Konvertierungsstandards für alle Projektbeteiligten	Sichere Entwicklung Sie können Azure-Anwendungen entwerfen, entwickeln und bereitstellen, die dem Lebenszyklus der Sicherheitsentwicklung und den veröffentlichten bewährten Methoden entsprechen. - Sichere Entwicklung - Infrastructure-as-Code - Azure Policy-as-Code-Workflows Microsoft Entra ID Verwenden Sie die Microsoft Identity Platform für die Anwendungsauthentifizierung und -autorisierung. - Migrieren von Apps und Authentifizierung Azure Migrate Migrieren Sie zu modernen App-Plattformen wie Azure Kubernetes Service (AKS) und App Service-Containern. - Migrieren von Workloads zu modernen App-Plattformen - Bewerten von ASP.NET-Apps für die Migration zu AKS - Bewerten von ASP.NET-Apps für die Migration zu Azure App Service
`Target` 3.4.4 SDC-Ressourcenautorisierung Teil 2 Anwendungen, die eine softwarebasierte Konfiguration und Verwaltung unterstützen, wurden in eine Produktions- bzw. Liveumgebung verschoben und werden in normalen Vorgängen genutzt. Anwendungen, die keine softwarebasierte Konfiguration und Verwaltung unterstützen können, werden nach Möglichkeit außer Betrieb genommen. Folgen: – Bereitstellung von aktualisierten Anwendungen in einer Live- und/oder Produktionsumgebung – Außerbetriebnahme von Anwendungen, die für die Außerbetriebnahme und einen Übergang markiert wurden	Azure Migrate Sie können ASP.NET-Apps und Java-Web-Apps mithilfe des App-Containerisierungstools von Azure Migrate containerisieren und migrieren. Anwendungen, die nicht modernisiert werden können, müssen außer Betrieb genommen werden. - Containerisierung und Migration von ASP.NET-Apps zu AKS - Containerisierung und Migration von ASP.NET-Apps zu Azure App Service - Containerisierung und Migration von Java-Web-Apps zu AKS - Containerisierung und Migration von Java-Web-Apps zu Azure App Service
`Advanced` 3.4.5 Anreichern von Attributen für die Ressourcenautorisierung Teil 1 Anfängliche Attribute aus Quellen wie der Aktivitätsüberwachung für Benutzer und Entitäten, Mikrosegmentierungsdiensten, DLPs und Datenrechteverwaltung (Data Rights Management, DRM) werden in den Technologiestack und die Richtlinie für die Ressourcenautorisierung integriert. Alle anderen Attribute für die spätere Integration werden identifiziert und geplant. Attribute werden verwendet, um grundlegende Risikostatus von Benutzern, nicht persönlichen Entitäten (Non-person Entities, NPEs) und Geräten zu erstellen, die bei Autorisierungsentscheidungen verwendet werden. Folgen: – Großteil der API-Aufrufe durchläuft sicheres API-Gateway – Ressourcenautorisierung empfängt Daten von Analyse-Engine – Autorisierungsrichtlinien enthalten identifizierte Attribute beim Treffen von Autorisierungsentscheidungen – Identifizierung von Attributen, die für die anfängliche Anreicherung verwendet werden	Microsoft Entra-Anwendungen Verwenden Sie Microsoft Entra ID zum Autorisieren moderner Anwendungen und APIs. Stellen Sie den Microsoft Entra-Anwendungsproxy und Azure Arc-fähige Server bereit, um Microsoft Entra ID auf Legacyauthentifizierungsprotokolle zu erweitern. Weitere Informationen finden Sie im Microsoft-Leitfaden unter Punkt 3.1.1 und 3.2.3. Bedingter Zugriff Microsoft Entra ist ein sicheres Gateway für die Ressourcenautorisierung. Der bedingte Zugriff ist die Autorisierungs-Engine. Konfigurieren Sie Richtlinien für die detaillierte Autorisierung mithilfe von Benutzer-, Anwendungs- und Umgebungsbedingungen (einschließlich Gerätekonformitätsstatus). - Bedingter Zugriff - Entwurf für bedingten Zugriff - Notwendigkeit von konformen Geräten Dynamische Sicherheitsgruppen Erstellen Sie dynamische Sicherheitsgruppen basierend auf Benutzerattributen. Verwenden Sie dynamische Gruppen, um den Bereich von Richtlinien für bedingten Zugriff für die statische Attributautorisierung basierend auf Benutzerattributen festzulegen. - Dynamische Mitgliedschaft für Gruppen - Benutzer, Gruppen und Workloadidentitäten Vertrauliche Microsoft Purview-Informationstypen Definieren Sie vertrauliche Informationstypen mit EDM (Exact Data Match). Verwenden Sie vertrauliche Informationstypen mit Microsoft Purview Information Protection- und Microsoft Purview Data Loss Prevention-Richtlinien (DLP). - Datenübereinstimmung basierend auf vertraulichen Informationstypen - Ermitteln und Schützen vertraulicher Informationen Microsoft Entra ID Governance Verwenden Sie Microsoft Entra ID Governance für den Zugriff auf Anwendungen mit App-Rollen. Weisen Sie den App-Rollen mithilfe von statischen Mitgliedschaften, dynamischen Sicherheitsgruppen oder Zugriffspaketen für die Berechtigungsverwaltung Benutzer zu. - Hinzufügen von App-Rollen und Empfangen dieser Rollen in einem Token - Rollenbasierte Zugriffssteuerung
`Advanced` 3.4.6. Anreicherung von Attributen für die Ressourcenautorisierung Teil 2 Erweiterte identifizierte Attribute werden in die Ressourcenautorisierungstechnologie und -richtlinie integriert. Konfidenzbewertungen werden attributübergreifend eingeführt, um eine komplexere Methode der Autorisierungsentscheidungsfindung in automatisierter Weise zu erstellen. Folgen: – Autorisierungsrichtlinien enthalten Konfidenzstufen beim Treffen von Autorisierungsentscheidungen – Definition von Konfidenzstufen für Attribute	Microsoft Entra ID Protection Verwenden Sie Anmelderisiken und Benutzersignale von Microsoft Entra ID Protection in einem Richtliniensatz für bedingten Zugriff. Konfigurieren Sie den Authentifizierungskontext (einschließlich des Risikos), um Vertrauensstufen basierend auf Umgebungsdetails und Risikostufen einzurichten. - Microsoft Entra ID-Risiken - Richtlinienvorlage: Anmelderisiken bei der Multi-Faktor-Authentifizierung - Beispiel für Authentifizierungskontext Weitere Informationen finden Sie im Microsoft-Leitfaden unter Punkt 1.3.3 im Abschnitt Benutzer. Benutzerdefinierte Sicherheitsattribute Sie können benutzerdefinierte Sicherheitsattribute für Microsoft Entra ID-Benutzer verwalten und zuweisen. Verwenden Sie Rollenzuweisungsbedingungen für die dynamische attributbasierte Zugriffssteuerung (ABAC). - Benutzerdefinierte Sicherheitsattribute
`Advanced` 3.4.7. REST-API-Mikrosegmente Mithilfe des/der genehmigten API-Gateways von DoD-Unternehmen werden Anwendungsaufrufe mikrosegmentiert, sodass nur authentifizierter und autorisierter Zugriff auf bestimmte Ziele (z. B. Microservices) erlaubt wird. Wenn möglich, sind API-Mikrosegmentierungskonsolen in andere Mikrosegmentierungskonsolen wie softwaredefinierte Perimetersteuerungen und/oder softwaredefinierte Netzwerkkonsolen integriert und mit diesen kompatibel. Folge: – Genehmigte Unternehmens-APIs sind entsprechend mikrosegmentiert	Azure-Netzwerke und -Konnektivität Isolieren, filtern und steuern Sie den Netzwerkdatenverkehr für eingehende und ausgehende Flows. Wenden Sie Defense-in-Depth-Prinzipien mithilfe lokalisierter Netzwerksteuerelemente an verfügbaren Netzwerkgrenzen an. Befolgen Sie das Azure Well-Architected Framework. - Empfehlungen für Netzwerke und Konnektivität - Empfehlungen zur Segmentierungsstrategie API-Design Befolgen Sie die empfohlenen Methoden zum Entwerfen von APIs für Microservices. Verwenden Sie Microsoft Entra ID zum Schützen und Autorisieren von APIs. - Microservice-APIs - Schützen von APIs

3.5 Kontinuierliche Überwachung und Genehmigung

Microsoft Defender for Cloud-Sicherheitsstandards bewerten kontinuierlich relevante Azure-Abonnements, Amazon Web Services-Konten (AWS) und Google Cloud Platform-Projekte (GCP), wobei Microsoft Defender for Cloud für die Einhaltung gesetzlicher Standards aktiviert ist.

Beschreibung und Ergebnis der DoD-Aktivität Informationen und Empfehlungen von Microsoft

Advanced 3.5.1 Continuous Authorization To Operate (cATO) Teil 1
DoD-Unternehmen verwenden Automatisierungslösungen in der Umgebung, um die Überwachung von Steuerelementen zu standardisieren und Abweichungen identifizieren zu können. Nach Möglichkeit werden Überwachung und Tests in DevSecOps-Prozesse integriert.

Folgen:
– Ableitung von Steuerelementen ist standardisiert und bereit für die Automatisierung
– Testen von Steuerelementen ist in DevSecOps-Prozesse und -Technologie integriert Chief Information Officer-Bibliothek (CIO) des DoD
Integrieren Sie die Überwachung und Tests in DevSecOps-Prozesse. Weitere Informationen finden Sie im DevSecOps-Referenzentwurf für DoD-Unternehmen
- CIO-Bibliothek des DoD

Microsoft Defender for Cloud
Schützen Sie Azure- und Nicht-Azure-Workloads mit Defender for Cloud. Verwenden Sie Initiativen zur Einhaltung von Vorschriften und Azure Policy-Initiativen, um die Infrastruktur kontinuierlich anhand von Konfigurationsstandards zu bewerten. Verhindern Sie Konfigurationsabweichungen.
- Zuweisen von Sicherheitsstandards
- Multi-Cloud-Umgebungen

Microsoft Sentinel
Automatisieren Sie die Integrations- und Bereitstellungsvorgänge für Sentinel mit GitHub und Azure DevOps.
- Sentinel- und Azure DevOps-Integration
- Bereitstellen von benutzerdefinierten Inhalten über ein Repository

Advanced 3.5.2 Continuous Authorization To Operate (cATO) Teil 2
DoD-Organisationen können die Ableitung von Steuerelementen, das Testen sowie Überwachungsprozesse vollständig automatisieren. Abweichungen werden automatisch mit bestehender säulenübergreifender Automatisierungsinfrastruktur getestet und aufgelöst. Dashboarding wird verwendet, um den Status der Autorisierungen zu überwachen, und die Analysen werden für die zuständigen Genehmigungsbehörden integriert.< /br>
Folgen:
– Vollständige Automatisierung von Steuerelementtests
– Automatisierung der Integration in IR- und SOC-Standardvorgänge Bedrohungs- und Sicherheitsrisikomanagement von Microsoft Defender
Integrieren Sie das Bedrohungs- und Sicherheitsrisikomanagement (TVM) in Ihr Programm zur Verwaltung von Sicherheitsrisiken.

Weitere Informationen finden Sie im Microsoft-Leitfaden unter Punkt 3.3.2.

Azure DevOps und Microsoft Sentinel
Automatisieren Sie die Integrations- und Bereitstellungsvorgänge für Sentinel mit Azure DevOps.
- Sentinel-Integration mit Azure DevOps

Microsoft Defender XDR und Sentinel
Integrieren Sie Microsoft Defender XDR und Defender for Cloud mit Sentinel.
- Sentinel und Defender XDR für Zero Trust

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Advanced` 3.5.1 Continuous Authorization To Operate (cATO) Teil 1 DoD-Unternehmen verwenden Automatisierungslösungen in der Umgebung, um die Überwachung von Steuerelementen zu standardisieren und Abweichungen identifizieren zu können. Nach Möglichkeit werden Überwachung und Tests in DevSecOps-Prozesse integriert. Folgen: – Ableitung von Steuerelementen ist standardisiert und bereit für die Automatisierung – Testen von Steuerelementen ist in DevSecOps-Prozesse und -Technologie integriert	Chief Information Officer-Bibliothek (CIO) des DoD Integrieren Sie die Überwachung und Tests in DevSecOps-Prozesse. Weitere Informationen finden Sie im DevSecOps-Referenzentwurf für DoD-Unternehmen - CIO-Bibliothek des DoD Microsoft Defender for Cloud Schützen Sie Azure- und Nicht-Azure-Workloads mit Defender for Cloud. Verwenden Sie Initiativen zur Einhaltung von Vorschriften und Azure Policy-Initiativen, um die Infrastruktur kontinuierlich anhand von Konfigurationsstandards zu bewerten. Verhindern Sie Konfigurationsabweichungen. - Zuweisen von Sicherheitsstandards - Multi-Cloud-Umgebungen Microsoft Sentinel Automatisieren Sie die Integrations- und Bereitstellungsvorgänge für Sentinel mit GitHub und Azure DevOps. - Sentinel- und Azure DevOps-Integration - Bereitstellen von benutzerdefinierten Inhalten über ein Repository
`Advanced` 3.5.2 Continuous Authorization To Operate (cATO) Teil 2 DoD-Organisationen können die Ableitung von Steuerelementen, das Testen sowie Überwachungsprozesse vollständig automatisieren. Abweichungen werden automatisch mit bestehender säulenübergreifender Automatisierungsinfrastruktur getestet und aufgelöst. Dashboarding wird verwendet, um den Status der Autorisierungen zu überwachen, und die Analysen werden für die zuständigen Genehmigungsbehörden integriert.< /br> Folgen: – Vollständige Automatisierung von Steuerelementtests – Automatisierung der Integration in IR- und SOC-Standardvorgänge	Bedrohungs- und Sicherheitsrisikomanagement von Microsoft Defender Integrieren Sie das Bedrohungs- und Sicherheitsrisikomanagement (TVM) in Ihr Programm zur Verwaltung von Sicherheitsrisiken. Weitere Informationen finden Sie im Microsoft-Leitfaden unter Punkt 3.3.2. Azure DevOps und Microsoft Sentinel Automatisieren Sie die Integrations- und Bereitstellungsvorgänge für Sentinel mit Azure DevOps. - Sentinel-Integration mit Azure DevOps Microsoft Defender XDR und Sentinel Integrieren Sie Microsoft Defender XDR und Defender for Cloud mit Sentinel. - Sentinel und Defender XDR für Zero Trust

Nächste Schritte

Konfigurieren von Microsoft-Clouddiensten für die DoD Zero Trust-Strategie:

Freigeben über