Certificação do Microsoft 365 – Guia inicial de Submissão de Documentos
A submissão inicial do documento faz parte da fase de pré-avaliação da certificação. As informações fornecidas fornecerão aos analistas de certificação o fundo necessário para identificar quais os controlos e componentes do sistema que estarão no âmbito da sua avaliação. Este documento destina-se a servir apenas como um exemplo do que se espera da submissão inicial do documento. A documentação que fornecer irá variar consoante a forma como a sua solução é arquitetizada, implementada e gerida.
A funcionalidade de clonagem do Centro de Parceiros permite que os programadores copiem provas de outra aplicação durante a fase inicial de submissão do documento.
Qual é o ambiente de alojamento ou o modelo de serviço utilizado para executar a sua aplicação?
- A Infraestrutura como Um Serviço (IaaS) é um modelo de serviço cloud onde o seu fornecedor de serviços cloud aloja os seus componentes de infraestrutura, mas os ISVs continuam a ser responsáveis pela implementação e gestão dos componentes individualmente, como sistemas Máquinas Virtuais/operativos, arquivos de dados e componentes de rede. Exemplos disso são a Máquina Virtual do Azure e o Armazenamento de Discos do Azure.
- A Plataforma como Serviço (PaaS) é um modelo de serviço cloud em que os componentes de infraestrutura são geridos pelo fornecedor de serviços cloud. Os ISVs só são responsáveis pela implementação das suas próprias aplicações e serviços. Alguns exemplos são Azure App Services, Azure Functions e CDN do Azure.
- ISV Alojado neste contexto significa que não é utilizado nenhum fornecedor de serviços cloud. O ISV gere fisicamente os seus próprios Servidores, Discos, Redes independentemente no local.
- Neste contexto, híbrido significa que um dos modelos acima é utilizado. Por exemplo, alguns ISVs podem optar por utilizar uma mistura de Serviços IaaS e serviços PaaS para suportar a respetiva aplicação ou podem ter alguns componentes alojados isv no local e subcontratar outros a um fornecedor de serviços cloud. Se utilizar um de mais modelos de serviço, selecione híbrido.
Relatório de Teste de Penetração
Inclua o relatório completo de testes de penetração com datas em que foi concluído nos últimos 12 meses.
- Este relatório tem de ser produzido a partir de testes de penetração manuais, não pode ser a saída de uma ferramenta de análise/teste automatizada.
- Este relatório tem de incluir o ambiente que suporta a implementação da aplicação/adicionar juntamente com qualquer ambiente adicional que suporte o funcionamento da aplicação/suplementos.
Inventário de Componentes do Sistema
Um inventário atualizado de todos os componentes do sistema utilizados pela infraestrutura de suporte. Isto será utilizado para ajudar na amostragem ao realizar a fase de avaliação. Se o seu ambiente incluir PaaS, será útil se puder fornecer detalhes sobre todos os serviços PaaS consumidos.
Nota: IaaS/PaaS não teria qualquer hardware que estivesse sob o controlo ISVs. Neste caso, forneça uma lista ou captura de ecrã de todos os recursos visuais.
Exemplo:
| Nome do Recurso | Tipo de Ativo | Descrição | Fabricante | Modelo |
|---|---|---|---|---|
| D212 | Computador Windows | Máquina Virtual | N/D | N/D |
| LT101 | Laptop | Estação de trabalho | Microsoft | Surface 3 |
| C2938 | Alternar | Alternar | N/D | N/D |
| LXM2 | Computador Linux | Máquina de Teste | N/D | N/D |
Inventário de software
Um inventário atualizado de todos os recursos de software, incluindo todo o software utilizado no ambiente no âmbito, juntamente com as versões.
Exemplo:
| Software | Publisher | Versão | Objetivo |
|---|---|---|---|
| Windows Server | Microsoft 2016 | Build 14393 | Sistema operativo do servidor para o ambiente de produção |
| Linux Ubuntu | N/D | 16.04 (Xenial) | Sistema operativo do servidor em utilização no DMZ. |
| ESXi | VMware | 6.5.0 (Compilação 13004031) | Utilizado para suportar os servidores virtuais. |
| Mysql (Windows) | N/D | 8.0.2.1 | Servidor de bases de dados para armazenar o histórico de conversas. |
| Tomcat | Apache | 7.0.92 | Portal do cliente. |
| IIS | Microsoft | 10.0 | Suporta as APIs. |
Dependências de Terceiros
Documentação que lista todas as dependências utilizadas pela aplicação/suplemento com as versões em execução atuais.
Exemplo:
| Dependências Web | Versão Atual em Utilização |
|---|---|
| JQuery | 3.5.1 |
| Reagir | 16.13.1 |
| Bootstrap | 4.5.2 |
| Express | 4.17.1 |
| Angular | 10.0.14 |
| AngularJS | 1.8.0 |
Endereços IP Públicos
Detalhar todos os ENDEREÇOS IP públicos e URLs utilizados pela infraestrutura de suporte. Isto tem de incluir o intervalo de IP encaminhável completo alocado ao ambiente, a menos que tenha sido implementada uma segmentação adequada para dividir o intervalo em utilização (serão necessárias provas adequadas de segmentação).
Exemplo:
| URLs | Endereço IP |
|---|---|
| https://portal.contoso.com | 40.113.200.201 |
| https://filesapi.contoso.com | 40.113.200.201 |
| https://customerapi.contoso.com | 40.113.200.202 |
| https://bot.contoso.com | 40.113.200.202 |
| N/D (Jump Server) | 40.113.200.200 |
Pontos Finais de Recursos
Endereço de Ponto Final de Nome da API API Contoso Customer API https://customerapi.contoso.com Contoso Serviço de Bot https://bot.contoso.com API de Ficheiros Contosohttps://filesapi.contoso.com
Uma lista completa de todos os Pontos Finais da API utilizados pela sua aplicação, incluindo pontos finais de recursos externos e desenvolvidos internamente. Para ajudar a compreender o âmbito do ambiente, forneça localizações do ponto final da API no seu ambiente.
Exemplo:
| Nome da API | Endpoint Address |
|---|---|
| API de Cliente da Contoso | https://customerapi.contoso.com |
| Serviço de Bot da Contoso | https://bot.contoso.com |
| API de Ficheiros da Contoso | https://filesapi.contoso.com |
| Microsoft Graph | https://graph.microsoft.com/v1.0/| |
Diagrama de Arquitetura
Um diagrama de arquitetura lógica que representa uma descrição geral de alto nível da infraestrutura de suporte da aplicação/suplemento. Isto tem de incluir todos os ambientes de alojamento e a infraestrutura de suporte que suporta a aplicação/suplemento. Este diagrama TEM de ilustrar todos os diferentes componentes do sistema de suporte no ambiente para ajudar os analistas de certificação a compreender os sistemas no âmbito e a ajudar a determinar a amostragem. Indique também que tipo de ambiente de alojamento é utilizado; ISV Alojado, IaaS, PaaS ou Híbrido. Quando a PaaS for utilizada, indique os vários serviços PaaS que são utilizados para fornecer os serviços de suporte no ambiente.
Diagrama de Fluxo de Dados
Diagramas de fluxo que detalham o seguinte:
- Os dados fluem de e para a Aplicação/Suplemento (incluindo dados do cliente).
- Fluxos de dados na infraestrutura de suporte (quando aplicável)
- Diagramas que realçam onde e que dados são armazenados, como os dados são transmitidos a terceiros externos (incluindo detalhes sobre que terceiros) e como os dados são protegidos em trânsito através de redes abertas/públicas e inativos.
Certificações Externas (SOC2, PCI DSS, FedRamp, ISO27001) – OPCIONAL
Se já tiver obtido uma certificação SOC2, PCI DSS, FedRamp ou ISO27001 e tiver um relatório emitido nos últimos 12 meses que inclua o âmbito completo da certificação da aplicação, bem como o ambiente de suporte, pode submetê-lo durante a submissão inicial do documento. Tentaremos utilizá-lo para satisfazer um subconjunto de controlos e agilizar a sua avaliação. No entanto, isto não é necessário para obter uma Certificação do Microsoft 365.