Modelo de madurez Confianza Cero CISA para el pilar de aplicaciones y cargas de trabajo
Esta sección contiene orientación y recomendaciones de Microsoft para el Modelo de Madurez de Confianza Cero CISA en el pilar de aplicaciones y cargas de trabajo.
4 Aplicaciones y cargas de trabajo
Según la definición de CISA, las aplicaciones y las cargas de trabajo incluyen sistemas empresariales, programas informáticos y servicios que se ejecutan de forma local, en dispositivos móviles y en entornos en la nube.
Use los vínculos siguientes para ir a las secciones de la guía.
- Introducción
- Identidad
- Dispositivos
- Redes
- Aplicaciones y cargas de trabajo
- Datos
4.1 Función: Acceso a la aplicación
| Descripción de etapa CISA ZTMM | guía y recomendaciones de Microsoft |
|---|---|
| Estado de madurez inicial La empresa comienza a implementar capacidades para autorizar el acceso a aplicaciones que incorporan información contextual (por ejemplo, identidad, cumplimiento de dispositivos y/o otros atributos) por solicitud con un tiempo de expiración. |
Aplicaciones Microsoft Entra ID Adopte Microsoft Entra ID como proveedor de identidad empresarial (IdP). Establezca la directiva para usar el identificador de Entra de Microsoft para las nuevas aplicaciones. Autorice el acceso a la aplicación con la asignación de usuarios y grupos a las aplicaciones. Microsoft Entra ID implementa protocolos estándar del sector, cuando se combina con el acceso condicional de Microsoft Entra. Incorpore la información contextual solicitada con fecha de expiración. - Integrar Microsoft Entra ID y aplicaciones - Tokens y Declaraciones - Asignar usuarios y grupos a una aplicación Acceso Condicional Usar señales de dispositivo como la ubicación en las Directivas de Acceso Condicional para tomar decisiones de seguridad. Use filtros basados en atributos de dispositivo para incluir y excluir directivas. - Condiciones - Filtro para dispositivos |
| Estado de madurez avanzado Enterprise automatiza las decisiones de acceso a las aplicaciones con información contextual ampliada y condiciones de expiración aplicadas que cumplen los principios de privilegios mínimos. |
Acceso Condicional Automatizar decisiones de acceso a aplicaciones con Directivas de Acceso Condicional que cumplan los requisitos empresariales. El acceso condicional es el punto de decisión de directiva (PDP) para el acceso a aplicaciones o recursos. Amplíe la información contextual de los dispositivos en las decisiones de acceso. Requerir dispositivos compatibles o dispositivos unidos híbridos Microsoft Entra. Conceda control para asegurarse de que el acceso es para dispositivos conocidos o compatibles. - Acceso Condicional - Directiva basada en dispositivos - Unión híbrida de Microsoft Entra Aumentar las decisiones de acceso a aplicaciones automatizadas con información contextual ampliada. Configure directivas de acceso condicional para aplicaciones, acciones protegidas y autenticación. Personalice las condiciones de caducidad con el control de sesiones de frecuencia de inicio de sesión. - Acciones protegidas - Guía para desarrolladores de autenticación - Acceso Condicional: Sesión Microsoft Intune Registrar dispositivos con Microsoft Entra ID y administrar la configuración con Intune. Evalúe la conformidad del dispositivo con las políticas de Intune. - Dispositivos registrados - Cumplimiento de directivas de dispositivos Microsoft Defender for Cloud Apps Supervisar y controlar sesiones en aplicaciones en la nube con Defender for Cloud Apps. - Proteger las aplicaciones - Directiva de sesión - autenticación para acciones de riesgo Configurar directiva para la higiene de aplicaciones: credenciales sin usar, credenciales en desuso y credenciales de expiración. funcionalidades de gobernanza de aplicaciones Roles de aplicación de Microsoft Entra Diseñar modelos de permisos y autorización de aplicaciones con roles de aplicación. Para delegar la administración de aplicaciones, asigne propietarios para administrar la configuración de aplicaciones, regístrese también y asigne roles de aplicación. Roles de aplicación |
| Estado de madurez óptimo Enterprise autoriza continuamente el acceso a las aplicaciones, incorporando análisis de riesgos en tiempo real y factores como el comportamiento o los patrones de uso. |
Microsoft Entra ID Protection ID Protection evalúa el nivel de riesgo del usuario y del inicio de sesión. En el conjunto XDR de Microsoft Defender, las detecciones en tiempo real y sin conexión determinan el nivel de riesgo agregado. Para aplicar directivas de acceso adaptable basadas en riesgos, use condiciones de riesgo en las directivas de acceso condicional. - ID Protection - Riesgo en ID Protection Evaluación continua del acceso El mecanismo de evaluación continua del acceso (CAE) permite a las aplicaciones responder a infracciones de directivas casi en tiempo real sin esperar a la expiración del token. Las aplicaciones que admiten CAE responden a eventos críticos, incluido un usuario señalado para un alto riesgo de usuario en la Protección de Identidad. introducción a CAE Global Secure Access Para reducir el riesgo de robo y ataques de reproducción de tokens, configure la aplicación de las medidas de red compatibles que funcionan con servicios compatibles con CAE. En tiempo casi real, la aplicación rechaza los tokens de acceso robados y reproducidos fuera de la red compatible del inquilino. - Acceso seguro global - Microsoft Entra Internet Access - Comprobación de red compatible |
4.2 Función: Protecciones contra amenazas de aplicaciones
| Descripción de etapa CISA ZTMM | guía y recomendaciones de Microsoft |
|---|---|
| Estado de madurez inicial Enterprise integra protecciones contra amenazas en flujos de trabajo de aplicaciones críticos, aplicando protecciones contra amenazas conocidas y algunas amenazas específicas de la aplicación. |
Microsoft Entra ID Poner Microsoft Entra ID en el camino de cada solicitud de acceso. Implemente la directiva que exige que las aplicaciones críticas se integren con el identificador de Entra de Microsoft. Asegúrese de que la protección contra amenazas forma parte de los flujos de trabajo de la aplicación. - Administración de aplicaciones - Agregar aplicaciones empresariales - Migrar aplicaciones y autenticación Microsoft Defender for Cloud Apps Configurar Defender for Cloud Apps para detectar y alertar sobre aplicaciones OAuth de riesgo. Investigue y supervise los permisos de aplicación concedidos a los usuarios. aplicaciones de OAuth de riesgo Azure Application Gateway Implementación de aplicaciones y API de Azure detrás de Azure Application Gateway con Azure Web Application Firewall en modo de prevención. Habilite el Conjunto de Reglas Centrales (CRS) del Open Web Application Security Project (OWASP). Firewall de aplicaciones web XDR de Microsoft Defender Defender XDR es un conjunto de defensa integrado antes y después de una brecha de seguridad que coordina las acciones de detección, prevención, investigación y respuesta en puntos de conexión, identidades, correo electrónico y aplicaciones. - Defender XDR - Configuración de herramientas XDR |
| Estado de madurez avanzado Enterprise integra protecciones contra amenazas en todos los flujos de trabajo de la aplicación, protegiendo contra algunas amenazas específicas de la aplicación y dirigidas. |
Microsoft Entra ID Poner Microsoft Entra ID en el camino de solicitudes de acceso. Implementar una política que estipule que las aplicaciones se integren con el ID de Microsoft Entra. Asegúrese de que la protección contra amenazas se aplica a todas las aplicaciones. - Administración de aplicaciones - Agregar aplicaciones empresariales - Migrar aplicaciones y autenticación microsoft Entra Conditional Access, protección de tokens Habilitar protección de tokens o enlace de tokens en la directiva de acceso condicional. La protección de tokens reduce los ataques asegurándose de que los tokens se pueden usar en los dispositivos previstos. Protección de token Proxy de aplicación Microsoft Entra Utilice proxy de aplicación y Microsoft Entra ID para aplicaciones privadas que utilicen protocolos de autenticación heredados. Implemente el proxy de la aplicación o integre soluciones de socios para acceso híbrido seguro (SHA). Para ampliar las protecciones, configure las directivas de sesión en Microsoft Defender for Cloud Apps. - Proteger las aplicaciones heredadas - Consideraciones de seguridad del proxy de aplicación - Crear directiva de sesión Administración de vulnerabilidades de Microsoft Defender Analizadores sin agente de Administración de vulnerabilidades de Defender supervisan y detectan continuamente el riesgo. Los inventarios consolidados son una vista en tiempo real de vulnerabilidades de software, certificados digitales que usan algoritmos criptográficos débiles, puntos débiles de hardware y firmware, y extensiones de explorador de riesgo en los puntos de conexión. Administración de vulnerabilidades de Defender Defender for Cloud Habilitación de protecciones de cargas de trabajo para cargas de trabajo de aplicaciones. Utilice Defender para servidores P2 para incorporar servidores a Microsoft Defender for Endpoint y Defender Vulnerability Management para servidores. - Defender para App Service - Defender para API - Defender para contenedores - Defender para servidores Microsoft Entra Workload ID Premium Para integrar la protección contra amenazas en los flujos de trabajo de la aplicación. Configure la protección de identidad para las identidades de carga de trabajo. Asegure las identidades de carga de trabajo. |
| Estado de madurez óptimo Enterprise integra protecciones de amenazas avanzadas en todos los flujos de trabajo de la aplicación, ofreciendo visibilidad en tiempo real y protecciones compatibles con el contenido frente a ataques sofisticados adaptados a las aplicaciones. |
Microsoft Defender for Cloud Apps Configurar directivas de control de sesión en Defender for Cloud Apps para obtener visibilidad y controles en tiempo real. Use directivas de archivo para examinar el contenido en tiempo real, aplicar etiquetas y restringir acciones de archivo. - Visibilidad y control de aplicaciones en la nube - Política de archivos Defender XDR, Microsoft Sentinel Integrar Defender XDR y Sentinel. - Defender XDR - Sentinel y Defender XDR para Confianza Cero Fusion en Sentinel Fusion es una regla de análisis de detección de ataques de varias fases en Sentinel. Fusion tiene un motor de correlación de aprendizaje automático que detecta ataques de varias fases o amenazas persistentes avanzadas (APT). Identifica comportamientos anómalos y actividades sospechosas. Los incidentes son de bajo volumen, alta fidelidad y alta gravedad. - detección de ataques de varias fases - Personalizar anomalías - reglas de análisis de detección de anomalías Global Secure Access Garantizar el acceso seguro a las aplicaciones y los recursos, al tiempo que supervisa y administra continuamente el acceso de los usuarios en tiempo real. Integración con Defender for Cloud Apps para la visibilidad y el control del uso y la seguridad de software. Evite ataques sofisticados como tokens robados reproducidos con la comprobación de red conforme para un inquilino en Acceso condicional. Fomentar la productividad y lograr comprobaciones de seguridad basadas en la ubicación. Evite la omisión de Security Service Edge (SSE) para las aplicaciones de software como servicio (SaaS). - acceso seguro global - comprobación de red compatible |
4.3 Función: Aplicaciones accesibles
| Descripción de etapa CISA ZTMM | guía y recomendaciones de Microsoft |
|---|---|
| Estado de madurez inicial La empresa pone a disposición algunas de sus aplicaciones críticas aplicables a través de redes públicas abiertas para los usuarios autorizados que lo necesitan mediante conexiones intermedias. |
Microsoft Entra ID Poner Microsoft Entra ID en la ruta de las solicitudes de acceso. Implemente la directiva que exige que las aplicaciones críticas se integren con el identificador de Entra de Microsoft. - Administración de aplicaciones - Agregar aplicaciones empresariales - Migrar aplicaciones y autenticación Microsoft Azure Migrar y modernizar aplicaciones mediante su incorporación a Azure. - Migración de aplicaciones - Modernizar aplicaciones y marcos - Crear un plan de migración proxy de aplicación de Microsoft Entra Configurar proxy de aplicación para publicar aplicaciones web críticas internas, a las que se accede a través de conexiones de red pública, por los usuarios autorizados por el identificador de Microsoft Entra. - Proxy de aplicación - Configurar el inicio de sesión único (SSO) para aplicaciones Microsoft Defender for Cloud Apps Para supervisar y restringir las sesiones, use directivas de sesión para realizar conexiones de aplicaciones con Defender for Cloud Apps. - Defender for Cloud Apps - Conectar aplicaciones a Defender - Crear directiva de sesión Acceso condicional de Microsoft Entra Configurar directiva para autorizar el acceso a las aplicaciones integradas con el identificador de Microsoft Entra. Configure el control de aplicaciones de acceso condicional para requerir el uso de agentes de seguridad de acceso a la nube (CASB) en Defender for Cloud Apps. - Acceso condicional - Control de aplicaciones |
| Estado de madurez avanzado Enterprise hace que la mayor parte de sus aplicaciones críticas aplicables estén disponibles a través de conexiones de red pública abiertas a los usuarios autorizados, según sea necesario. |
Utilice la orientación en el Estado de madurez inicial, e incluya las aplicaciones de misión más crítica |
| estado de madurez óptimo Enterprise hace que todas las aplicaciones aplicables estén disponibles a través de redes públicas abiertas a usuarios y dispositivos autorizados, según sea necesario. |
Utilice las instrucciones del Estado de Madurez Iniciale incluya todas las aplicaciones. acceso condicional Configurar la directiva de acceso condicional que requiere dispositivos compatibles para las aplicaciones. El acceso a dispositivos no compatibles está bloqueado. Requerir dispositivos compatibles |
4.4 Función: Flujo de trabajo seguro de desarrollo e implementación de aplicaciones
| Descripción de etapa CISA ZTMM | guía y recomendaciones de Microsoft |
|---|---|
| Estado de madurez inicial Enterprise proporciona infraestructura para entornos de desarrollo, pruebas y producción (incluida la automatización) con mecanismos de implementación de código formal a través de canalizaciones de CI/CD y controles de acceso necesarios para admitir principios de privilegios mínimos. |
zonas de aterrizaje de Azure Establecer entornos para el desarrollo y aplicar directivas de configuración de recursos con Azure Policy. - zonas de aterrizaje - Azure Policy Establecer un mecanismo de implementación de código formalizado con canalizaciones de integración continua y entrega continua (CI/CD), como GitHub o Azure DevOps. herramientas de GitHub Enterprise GitHub Enterprise admiten la colaboración, la seguridad y la administración. Use características como repositorios ilimitados, funcionalidades de administración de proyectos, seguimiento de problemas y alertas de seguridad. Controle la información del repositorio y del proyecto al tiempo que mejora la colaboración entre los equipos. Optimice las directivas de seguridad y simplifique la administración con opciones de implementación flexibles. GitHub Enterprise Cloud Conectar GitHub a Microsoft Entra ID para el inicio de sesión único (SSO) y el aprovisionamiento de usuarios. Para garantizar los principios de privilegios mínimos, deshabilite los tokens de acceso personal. - usuarios gestionados por la empresa - integración de inicio de sesión único (SSO) para GitHub Enterprise - Imponer la política de tokens de acceso personal Azure DevOps Reunir a personas, procesos y tecnología para automatizar la entrega de software. Admite la colaboración y los procesos para crear y mejorar productos más rápido que los enfoques de desarrollo tradicionales. Use características como Azure Boards, Repos, Pipelines, Test Plans y Artifacts. Optimice la administración de proyectos, el control de versiones, CI/CD, las pruebas y la administración de paquetes. Azure DevOps Conectar una organización de Azure DevOps al identificador de Microsoft Entra y garantizar principios de privilegios mínimos. Deshabilita los tokens de acceso personal. - Conectar una organización a Microsoft Entra ID - Administrar tokens de acceso personal con directiva |
| Estado de madurez avanzado Enterprise usa equipos distintos y coordinados para el desarrollo, la seguridad y las operaciones, a la vez que quita el acceso de desarrollador al entorno de producción para la implementación de código. |
Microsoft Entra ID Governance Si sus suscripciones de desarrollo y producción utilizan el mismo tenant de Microsoft Entra, asigne elegibilidad de roles utilizando paquetes de acceso en la administración de derechos. Habilite las comprobaciones para asegurarse de que los usuarios no pueden acceder a entornos de desarrollo y producción. Separación de tareas Revisiones de acceso Para quitar el acceso a un entorno de producción, cree una revisión de acceso mediante roles de producción de Azure. Crear un de revisión de acceso |
| Estado de madurez óptimo Enterprise aprovecha cargas de trabajo inmutables cuando sea factible, solo permitiendo que los cambios surtan efecto a través de la reimplementación y quita el acceso de administrador a los entornos de implementación en favor de los procesos automatizados para la implementación de código. |
Puertas de lanzamiento de Azure DevOps, aprobaciones Utilice los pipelines de lanzamiento para implementar aplicaciones de forma continua a través de diferentes etapas, con menor riesgo y un ritmo más rápido. Automatice las fases de implementación con tareas y trabajos. Gates de lanzamiento, comprobaciones y aprobaciones bloqueos de recursos de Azure Para proteger los recursos de Azure frente a eliminaciones y modificaciones accidentales, aplique bloqueos de recursos CanNotDeletey ReadOnlya suscripciones, grupos de recursos y recursos individuales.Proteja la infraestructura con recursos bloqueados GitHub Actions Con GitHub Actions, asigne roles de Azure a identidades administradas para la integración continua y la entrega continua (CI/CD). Configure trabajos que hagan referencia a un entorno con revisores necesarios. Asegúrese de que los trabajos esperen la aprobación antes de que se inicien. - Implementar con Acciones de GitHub - Revisar implementaciones Microsoft Entra Privileged Identity Management Usar la detección e información de PIM para identificar roles y grupos con privilegios. Administre los privilegios descubiertos y convierta las asignaciones de usuario de permanente a elegible. Descubrimiento e información de PIM Revisiones de acceso Para reducir los administradores elegibles en un entorno de producción, cree una revisión de acceso utilizando roles de Azure. Revisiones de acceso de roles de recursos de Azure |
4.5 Función: Pruebas de seguridad de aplicaciones
| Descripción de etapa CISA ZTMM | guía y recomendaciones de Microsoft |
|---|---|
| Estado de madurez inicial Enterprise comienza a usar métodos de prueba estáticos y dinámicos (es decir, la ejecución de la aplicación) para realizar pruebas de seguridad, incluido el análisis manual experto, antes de la implementación de la aplicación. |
Microsoft Threat Modeling Tool The Threat Modeling Tool forma parte del ciclo de vida de desarrollo de seguridad (SDL) de Microsoft. El arquitecto de software identifica y mitiga los problemas de seguridad al principio, lo que reduce los costos de desarrollo. Busque instrucciones para crear y analizar modelos de amenazas. La herramienta facilita la comunicación de diseño de seguridad, analiza posibles problemas de seguridad y sugiere mitigaciones. - Threat Modeling Tool - Introducción herramientas de desarrollo de Azure Marketplace Seguir prácticas de desarrollo de aplicaciones seguras. Use herramientas de Azure Marketplace para ayudar con el análisis de código. - Desarrollo de aplicaciones seguras - Azure Marketplace Acciones de GitHub, Acciones de Azure DevOps Uso del motor de análisis de CodeQL para automatizar las comprobaciones de seguridad en la canalización de integración continua y entrega continua (CI/CD). GitHub Advanced Security para Azure DevOps es un servicio de prueba de seguridad de aplicaciones nativo de los flujos de trabajo para desarrolladores. - Escaneo de CodeQL - GitHub Advanced Security para Azure DevOps |
| Advanced Maturity Status Enterprise integra las pruebas de seguridad de las aplicaciones en el proceso de desarrollo e implementación de aplicaciones, incluido el uso de métodos de prueba dinámicos periódicos. |
GitHub Advanced Security Para mejorar la seguridad del código y los procesos de desarrollo, use el examen de código en Advanced Security y Azure DevOps. - Advanced Security - Advanced Security for Azure DevOps - Análisis de código Microsoft Defender for Cloud Habilitación de protecciones de cargas de trabajo para suscripciones con cargas de trabajo de aplicaciones. - Defender for Cloud - Defender for Containers - Defender for App Service Defender for Cloud DevOps security Use las funciones de administración del soporte de plan en la nube (CSPM) para proteger aplicaciones y código en entornos de múltiples pipelines. Conecte las organizaciones y evalúe las configuraciones de seguridad del entorno de DevOps. - Seguridad de Defender for Cloud DevOps - Conectar entornos de Azure DevOps a Defender for Cloud |
| Estado de madurez óptimo Enterprise integra las pruebas de seguridad de las aplicaciones a lo largo del ciclo de vida de desarrollo de software en toda la empresa con pruebas automatizadas rutinarias de aplicaciones implementadas. |
Seguridad de Defender for Cloud DevOps Use características de administración de la posición de seguridad en la nube (CSPM) para proteger las aplicaciones y el código en entornos de varias canalizaciones. Evalúe las configuraciones de seguridad del entorno de DevOps. - Defender for Cloud DevOps seguridad - Mapear imágenes de contenedor - Administrar rutas de acceso de ataque |
4.6 Función: Visibilidad y análisis
| Descripción de etapa CISA ZTMM | guía y recomendaciones de Microsoft |
|---|---|
| Estado de madurez inicial La empresa comienza a automatizar el perfil de la aplicación (por ejemplo, estado, salud y rendimiento) y la supervisión de la seguridad para mejorar la recopilación, agregación y análisis de registros. |
Azure Monitor Configuración de Azure Policy para habilitar diagnósticos y usar Azure Monitor para cargas de trabajo de aplicaciones implementadas en Azure. - Azure Monitor - Definiciones de Azure Policy Application Insights de Azure Monitor Habilitar Application Insights para investigar el estado de salud de las aplicaciones, analizar registros y observar patrones de uso en aplicaciones de Azure. Application Insights Microsoft Defender for Cloud Habilitar Defender for Cloud para Azure y entornos multinube. Use la puntuación de seguridad de Microsoft para identificar brechas y mejorar la posición de seguridad. - Defender for Cloud - Puntuación de seguridad |
| Estado de madurez avanzado Enterprise automatiza la supervisión de perfiles y seguridad para la mayoría de las aplicaciones con heurística para identificar tendencias específicas de la aplicación y para toda la empresa y refina los procesos a lo largo del tiempo para abordar las brechas en la visibilidad. |
Defender for Cloud Usar la puntuación de seguridad de Microsoft para evaluar y mejorar la posición de seguridad de la nube. Use la priorización de riesgos para corregir problemas de seguridad importantes. Implemente componentes de supervisión para recopilar datos de cargas de trabajo de Azure y supervisar vulnerabilidades y amenazas. - Defender for Cloud recopilación de datos de cargas de trabajo - - puntaje de seguridad - priorización de riesgos Microsoft Sentinel Conectar Defender for Cloud a Sentinel. Ingesta de alertas en Sentinel |
| estado de madurez óptimo Enterprise realiza una supervisión continua y dinámica en todas las aplicaciones para mantener la visibilidad completa de toda la empresa. |
Defender for Cloud Integrar cargas de trabajo de infraestructura y plataforma con Defender for Cloud, incluidos los recursos de la nube que no son de Microsoft y locales. Mantener una visibilidad completa de toda la empresa. - Conectar servidores locales - Cuentas de Amazon Web Services (AWS) - Conectar proyectos de Google Cloud Platform (GCP) Protección de cargas de trabajo de Defender for Cloud Habilitar protecciones de cargas de trabajo para las cargas de trabajo de la aplicación. - Defender para App Service - Defender para API - Defender para contenedores - Defender para Servidores |
4.7 Función: Automatización y orquestación
| Descripción de etapa CISA ZTMM | guía y recomendaciones de Microsoft |
|---|---|
| Estado de madurez inicial Enterprise modifica periódicamente las configuraciones de aplicación, incluida la ubicación y el acceso, para cumplir los objetivos de seguridad y rendimiento pertinentes. |
Azure Resource Manager ARM es un servicio de implementación y administración para Azure. Automatice los cambios de configuración mediante plantillas de ARM y Azure Bicep. - Resumen de ARM - Plantillas de ARM - Bicep |
| Estado de madurez avanzado Enterprise automatiza las configuraciones de aplicación para responder a los cambios operativos y ambientales. |
Azure App Configuration Administrar la configuración de la aplicación y las marcas de características desde una ubicación central. Azure App Configuration Azure App Service Para probar las aplicaciones implementadas en producción, use ranuras de implementación. Responder a los cambios operativos y ambientales. entornos de fase Microsoft Defender for Cloud Usar la puntuación de seguridad de Microsoft para evaluar y mejorar la posición de seguridad de la nube. Use las funcionalidades de corrección de Defender for Cloud. corregir recomendaciones |
| Estado de madurez óptimo Enterprise automatiza las configuraciones de aplicación para optimizar continuamente la seguridad y el rendimiento. |
Azure Chaos Studio Use este servicio para la ingeniería de caos para ayudar a medir, comprender y mejorar la resistencia de aplicaciones y servicios en la nube. Integre Azure Load Testing y Azure Chaos Studio en ciclos de desarrollo de cargas de trabajo. - - validación continua de Azure Chaos Studio |
4.8 Función: Gobernanza
| Descripción de etapa CISA ZTMM | guía y recomendaciones de Microsoft |
|---|---|
| Estado de Madurez Inicial La empresa comienza a automatizar la aplicación de políticas para el desarrollo de aplicaciones (incluyendo el acceso a la infraestructura de desarrollo), la implementación, la gestión de activos de software, ST&E en la introducción de tecnología, la aplicación de parches y el seguimiento de las dependencias de software según las necesidades de la misión (por ejemplo, con Software Bill of Materials). |
Acciones de GitHub Estandaricelos procesos de DevSecOps para una lista de materiales de software (SBOM) con un pipeline de integración continua y entrega continua (CI/CD). - Acciones de GitHub - Generar SBOMs Usar GitHub Dependabot y CodeQL para automatizar las comprobaciones de seguridad y buscar vulnerabilidades de dependencia. - Análisis de código - Cadena de suministro segura Acciones de GitHub, Acciones de Azure DevOps Usar CodeQL para automatizar las comprobaciones de seguridad con la canalización de CI/CD. GitHub Advanced Security para Azure DevOps es un servicio de prueba de seguridad de aplicaciones nativo de los flujos de trabajo para desarrolladores. - Análisis de código - GitHub Advanced Security para Azure DevOps Herramienta de generación de lista de materiales de software Utilice el generador SBOM durante el tiempo de compilación que funciona en todos los sistemas operativos: Windows, Linux y MacOS. Usa el formato estándar de Intercambio de datos de paquetes de software (SPDX). - herramienta de generación SBOM de código abierto - herramienta SBOM en GitHub |
| Estado de madurez avanzada La empresa implementa políticas escalonadas y personalizadas en toda la empresa para aplicaciones y todos los aspectos de los ciclos de vida de desarrollo e implementación de aplicaciones, y aprovecha la automatización, cuando es posible, para respaldar la aplicación. |
Azure Policy Ayuda para aplicar estándares y evaluar el cumplimiento. Consulte el panel de cumplimiento para obtener una vista agregada del entorno. Azure Policy Microsoft Defender for Cloud Proteger cargas de trabajo de Azure y que no son de Azure con Defender for Cloud. Use el cumplimiento normativo y Azure Policy para evaluar la infraestructura continuamente con los estándares de configuración. Evite el desfase de configuración. - Asignar estándares de seguridad - entornos multinube grupos de administración Use grupos de administración para ayudar a aplicar directivas de acceso y cumplimiento para las suscripciones de Azure. suscripciones y grupos de administración |
| Estado de Madurez Óptimo Enterprise automatiza completamente las políticas que rigen el desarrollo y la implementación de aplicaciones, incluida la incorporación de actualizaciones dinámicas para las aplicaciones a través de la canalización de CI/CD. |
Defender for Cloud Implementación de componentes de supervisión para recopilar datos de cargas de trabajo de Azure y supervisar vulnerabilidades y amenazas. - Defender for Cloud - Recopilación de datos de cargas de trabajo La política en Defender for Cloud consta de estándares y recomendaciones para ayudar a mejorar la postura de seguridad en la nube. Los estándares definen reglas, condiciones de cumplimiento para esas reglas y acciones cuando no se cumplen las condiciones. Directiva de seguridad Infraestructura como código Usar la integración continua y la entrega continua (CI/CD) para implementar IaC con Acciones de GitHub. infraestructura de Azure con Acciones de GitHub Azure Policy Para implementar Azure Policy como código define, prueba e implementa sus definiciones. directiva de como flujos de trabajo de código |
Pasos siguientes
Configure los servicios en la nube de Microsoft para el Modelo de Madurez de Confianza Cero de la CISA.
- Introducción
- Identidad
- Dispositivos
- Redes
- Aplicaciones y cargas de trabajo
- Datos