Microsoft 365 认证 - 初始文档提交指南
初始文档提交是认证的预评估阶段的一部分。 提供的信息将为认证分析师提供确定哪些控件和系统组件属于评估范围所需的背景。 本文档仅用作初始文档提交预期内容的示例。 你提供的文档因解决方案的架构、实现和管理方式而异。
用于运行应用的托管环境或服务模型是什么?
- 基础结构即服务 (IaaS) 是一种云服务模型,其中云服务提供商托管基础结构组件,但 ISV 仍负责单独部署和管理组件,例如虚拟机/操作系统、数据存储和网络组件。 例如 Azure 虚拟机和 Azure 磁盘存储。
- 平台即服务 (PaaS) 是一种云服务模型,其中基础结构组件由云服务提供商管理。 ISV 只负责部署自己的应用程序和服务。 例如,Azure 应用服务、Azure Functions和 Azure CDN。
- 在此上下文中托管的 ISV 意味着不使用任何云服务提供商。 ISV 在本地独立地以物理方式管理自己的服务器、磁盘和网络。
- 在此上下文中,混合意味着使用上述多个模型之一。 例如,某些 ISV 可能会选择混合使用 IaaS 服务和 PaaS 服务来支持其应用,或者它们可能具有一些本地 ISV 托管的组件,并将其他组件外包给云服务提供商。 如果使用其他服务模型之一,请选择“混合”。
渗透测试报告
包括完整的渗透测试报告,其中包含证明它在过去 12 个月内完成的日期。
- 此报告必须通过手动渗透测试生成,它不能是自动扫描/测试工具的输出。
- 此报表必须包含支持应用/添加部署的环境,以及支持应用/外接程序操作的任何其他环境。
系统组件清单
支持基础结构使用的所有系统组件的最新清单。 这将用于在执行评估阶段时帮助采样。 如果环境包含 PaaS,则如果可以提供已使用的所有 PaaS 服务的详细信息,它将非常有用。
注意: IaaS/PaaS 不会有任何受 ISV 控制的硬件。 在这种情况下,请提供所有视觉资源的列表或屏幕截图。
示例:
| 资产名称 | 资产类型 | 说明 | 制造商 | 模型 |
|---|---|---|---|---|
| D212 | Windows 计算机 | 虚拟机 | 不适用 | 不适用 |
| LT101 | 便携式计算机 | 工作站 | Microsoft | Surface 3 |
| C2938 | 开关 | 开关 | 不适用 | 不适用 |
| LXM2 | Linux 计算机 | 测试计算机 | 不适用 | 不适用 |
软件清单
所有软件资产的最新清单,包括范围内环境中使用的所有软件以及版本。
示例:
| 软件 | 发布者 | 版本 | 用途 |
|---|---|---|---|
| Windows Server | Microsoft 2016 | 内部版本 14393 | 生产环境的服务器操作系统 |
| Linux Ubuntu | 不适用 | 16.04 (Xenial) | 外围网络内正在使用的服务器操作系统。 |
| ESXi | Vmware | 6.5.0 (生成13004031) | 用于支持虚拟服务器。 |
| Mysql (Windows) | 不适用 | 8.0.2.1 | 用于存储聊天历史记录的数据库服务器。 |
| Tomcat | Apache | 7.0.92 | 客户门户。 |
| IIS | Microsoft | 10.0 | 支持 API。 |
第三方依赖项
文档列出了应用/外接程序与当前正在运行的版本使用的所有依赖项。
示例:
| Web 依赖项 | 当前版本正在使用中 |
|---|---|
| Jquery | 3.5.1 |
| React | 16.13.1 |
| 引导 | 4.5.2 |
| Express | 4.17.1 |
| Angular | 10.0.14 |
| AngularJS | 1.8.0 |
公共 IP 地址
详细说明支持基础结构使用的所有公共 IP 地址和 URL。 这必须包括分配给环境的完整可路由 IP 范围,除非已实现足够的分段来拆分正在使用的范围, () 将需要足够的分段证据。
示例:
| URL | IP 地址 |
|---|---|
| https://portal.contoso.com | 40.113.200.201 |
| https://filesapi.contoso.com | 40.113.200.201 |
| https://customerapi.contoso.com | 40.113.200.202 |
| https://bot.contoso.com | 40.113.200.202 |
| 不适用 (Jump Server) | 40.113.200.200 |
资源终结点
API 名称终结点地址 Contoso 客户 API https://customerapi.contoso.com Contoso 机器人服务 https://bot.contoso.com Contoso 文件 APIhttps://filesapi.contoso.com
应用使用的所有 API 终结点的完整列表,包括内部开发的 API 终结点和外部资源终结点。 若要帮助了解环境范围,请在环境中提供 API 终结点位置。
示例:
| API 名称 | 终结点地址 |
|---|---|
| Contoso 客户 API | https://customerapi.contoso.com |
| Contoso 机器人服务 | https://bot.contoso.com |
| Contoso 文件 API | https://filesapi.contoso.com |
| Microsoft Graph | https://graph.microsoft.com/v1.0/| |
体系结构图
表示应用/外接程序支持基础结构的高级概述的逻辑体系结构关系图。 这必须包括支持应用/外接程序的所有托管环境和支持基础结构。 此图必须描述环境中所有不同的支持系统组件,以帮助认证分析师了解范围内的系统,并帮助确定采样。 还指示使用的托管环境类型;ISV 托管、IaaS、PaaS 或混合。 如果使用 PaaS,请指出用于在环境中提供支持服务的各种 PaaS 服务。
数据流关系图
详细描述以下内容的流程图:
- 数据流向和流出应用/外接程序 (包括客户数据) 。
- 支持基础结构中的数据流 ((如果适用))
- 突出显示数据存储位置和存储内容、如何将数据传递给外部第三方的关系图 (包括哪些第三方) 的详细信息,以及如何通过开放/公共网络和静态网络保护传输中的数据。
外部认证 (SOC2、PCI DSS、ISO27001) - 可选
如果已获得 SOC2、PCI DSS 或 ISO27001 认证,并且在过去 12 个月内发布了一份报告,其中包括所认证应用程序的全部范围以及支持环境,则可以在初始文档提交期间提交此证书。 我们将尝试使用它来满足一部分控件并加快评估速度。 但是,获取 Microsoft 365 认证不需要这样做。