Сертификация Microsoft 365 — руководство по первоначальной отправке документов
Первоначальная отправка документа является частью этапа предварительной оценки сертификации. Предоставленная информация предоставит аналитикам сертификации необходимую информацию, чтобы определить, какие элементы управления и системные компоненты будут область для вашей оценки. Этот документ предназначен только для того, чтобы служить примером того, что ожидается от первоначальной отправки документа. Предоставляемая вами документация зависит от того, как проектируется, реализуется и управляется решением.
Функция клонирования Центра партнеров позволяет разработчикам копировать доказательства из другого приложения на начальном этапе отправки документов.
Какая среда размещения или модель службы используется для запуска приложения?
- Инфраструктура как услуга (IaaS) — это модель облачной службы, в которой поставщик облачных служб размещает компоненты инфраструктуры, но поставщики программного обеспечения по-прежнему отвечают за развертывание компонентов и управление ими по отдельности, таких как Виртуальные машины/операционные системы, хранилища данных и сетевые компоненты. Примерами этого являются виртуальная машина Azure и хранилище дисков Azure.
- Платформа как услуга (PaaS) — это модель облачной службы, в которой компоненты инфраструктуры управляются поставщиком облачных служб. Поставщики программного обеспечения отвечают только за развертывание собственных приложений и служб. Примерами этого являются службы приложение Azure, Функции Azure и Azure CDN.
- Размещенное в этом контексте isV означает, что поставщик облачных служб не используется. Независимые поставщики программного обеспечения физически управляют своими собственными серверами, дисками и сетями независимо от локальной среды.
- Гибридное использование в этом контексте означает, что используется одна из указанных выше моделей. Например, некоторые поставщики программного обеспечения могут использовать сочетание служб IaaS и PaaS для поддержки своих приложений или могут иметь некоторые локальные компоненты, размещенные в isV, а другие — поставщику облачных служб. Если вы используете одну из нескольких моделей служб, выберите гибридная.
Отчет о тестировании на проникновение
Включите полный отчет о тестировании на проникновение с датами, указывающими на то, что он был завершен за последние 12 месяцев.
- Этот отчет должен быть создан на основе ручного тестирования на проникновение. Он не может быть выходными данными средства автоматического сканирования и тестирования.
- Этот отчет должен включать среду, поддерживающую развертывание приложения или добавления, а также любую дополнительную среду, которая поддерживает работу приложения или надстройки.
Инвентаризация системных компонентов
Актуальный перечень всех системных компонентов, используемых вспомогательной инфраструктурой. Это будет использоваться для упрощения выборки при выполнении этапа оценки. Если ваша среда включает PaaS, было бы полезно предоставить подробные сведения обо всех используемых службах PaaS.
Заметка: У IaaS/PaaS не будет оборудования, которое будет находиться под контролем поставщиков программного обеспечения. В этом случае укажите список или снимок экрана всех визуальных ресурсов.
Пример:
| Имя ресурса | Тип актива | Описание | Производитель | Модель |
|---|---|---|---|---|
| D212 | Компьютер с Windows | Виртуальная машина | Н/Д | Н/Д |
| LT101 | Laptop (Ноутбук) | Рабочая станция | Корпорация Майкрософт | Surface 3 |
| C2938 | Switch | Switch | Н/Д | Н/Д |
| LXM2 | Компьютер Linux | Тестовый компьютер | Н/Д | Н/Д |
Инвентаризация программного обеспечения
Актуальный перечень всех ресурсов программного обеспечения, включая все программное обеспечение, используемое в среде область, а также версии.
Пример:
| Программное обеспечение | Publisher | Версия | Назначение |
|---|---|---|---|
| Windows Server | Microsoft 2016 | Сборка 14393 | Операционная система сервера для рабочей среды |
| Linux Ubuntu | Н/Д | 16.04 (Xenial) | Операционная система сервера, используемая в периметре периметра. |
| ESXi | VMware | 6.5.0 (сборка 13004031) | Используется для поддержки виртуальных серверов. |
| Mysql (Windows) | Н/Д | 8.0.2.1 | Сервер базы данных для хранения журнала чата. |
| Кот | Апачи | 7.0.92 | Клиентский портал. |
| Службы IIS | Корпорация Майкрософт | 10.0 | Поддерживает API- интерфейсы. |
Сторонние зависимости
Документация содержит список всех зависимостей, используемых приложением или надстройкой с текущими запущенными версиями.
Пример:
| Веб-зависимости | Текущая используемая версия |
|---|---|
| JQuery | 3.5.1 |
| React | 16.13.1 |
| Начальная загрузка | 4.5.2 |
| Express | 4.17.1 |
| Angular | 10.0.14 |
| AngularJS | 1.8.0 |
Общедоступные IP-адреса
Подробные сведения обо всех общедоступных IP-адресах и URL-адресах, используемых вспомогательной инфраструктурой. Это должно включать полный диапазон IP-адресов, выделенный среде, если не реализована достаточная сегментация для разделения используемого диапазона (потребуется адекватное свидетельство сегментации).
Пример:
| URL-адреса | IP-адрес |
|---|---|
| https://portal.contoso.com | 40.113.200.201 |
| https://filesapi.contoso.com | 40.113.200.201 |
| https://customerapi.contoso.com | 40.113.200.202 |
| https://bot.contoso.com | 40.113.200.202 |
| N/A (сервер перехода) | 40.113.200.200 |
Конечные точки ресурсов
Api Name Endpoint Address Contoso Customer API https://customerapi.contoso.com Contoso Служба Bot https://bot.contoso.com API файлов Contosohttps://filesapi.contoso.com
Полный список всех конечных точек API, используемых приложением, включая внутренние и внешние конечные точки ресурсов. Чтобы понять область среды, укажите расположения конечных точек API в среде.
Пример:
| Имя API | Адрес конечной точки |
|---|---|
| API клиента Contoso | https://customerapi.contoso.com |
| Contoso Служба Bot | https://bot.contoso.com |
| API файлов Contoso | https://filesapi.contoso.com |
| Microsoft Graph | https://graph.microsoft.com/v1.0/| |
Схема архитектуры
Схема логической архитектуры, представляющая общий обзор вспомогательной инфраструктуры приложения или надстройки. Сюда должны входить все среды размещения и вспомогательная инфраструктура, поддерживающая приложение или надстройку. На этой схеме должны быть показаны все различные вспомогательные системные компоненты в среде, чтобы помочь аналитикам сертификации понять системы в область и определить выборку. Также укажите, какой тип среды размещения используется; IsV Hosted, IaaS, PaaS или Hybrid. Где используется PaaS, укажите различные службы PaaS, которые используются для предоставления вспомогательных служб в среде.
Схема Поток данных
Схемы потоков, подробно описанные ниже.
- Данные передаются в приложение или надстройку и из нее (включая данные клиента).
- Потоки данных в вспомогательной инфраструктуре (если применимо)
- Диаграммы, на которых показано, где и какие данные хранятся, как данные передаются внешним третьим лицам (включая сведения о третьих сторонах), а также как данные защищаются при передаче через открытые или общедоступные сети и неактивные.
Внешние сертификаты (SOC2, PCI DSS, FedRamp, ISO27001) — НЕОБЯЗАТЕЛЬНО
Если вы уже получили сертификацию SOC2, PCI DSS, FedRamp или ISO27001 и за последние 12 месяцев выдали отчет, содержащий полный область сертифицированного приложения, а также вспомогательную среду, вы можете отправить его во время первоначальной отправки документа. Мы попытаемся использовать его для удовлетворения подмножества элементов управления и ускорения оценки. Однако это не требуется для получения сертификации Microsoft 365.