Strategia DoD Zero Trust per le applicazioni e i carichi di lavoro

La strategia e la roadmap di DoD Zero Trust delineano un percorso per i componenti del Dipartimento della Difesa e i partner DIB (Defense Industrial Base) per adottare un nuovo framework di cybersecurity basato sui principi Zero Trust. Zero Trust elimina i tradizionali perimetri e presupposti di attendibilità, consentendo un'architettura più efficiente che migliora la sicurezza, le esperienze utente e le prestazioni di missione.

Questa guida contiene raccomandazioni per le 152 attività Zero Trust nella Roadmap per l'esecuzione delle capacità DoD Zero Trust. Le sezioni corrispondono ai sette pilastri del modello DoD Zero Trust.

Usare i collegamenti seguenti per passare alle sezioni della guida.

3 Applicazioni e carichi di lavoro

Questa sezione include indicazioni e consigli Microsoft per le attività DoD Zero Trust nel pilastro delle applicazioni e dei carichi di lavoro. Per altre informazioni, vedere Proteggere le applicazioni con Zero Trust.

Nota

Le raccomandazioni contenute in questa sezione sono allineate alla bozza di progettazione di riferimento Di DoD Enterprise DevSecOps.

3.1 Inventario delle applicazioni

Microsoft Entra ID è un provider di identità (IdP) per applicazioni e piattaforme cloud, non solo Microsoft 365 e Azure. Microsoft Entra ID include portali Web e API RESTful per recuperare elenchi di applicazioni integrate. Microsoft Defender per il cloud Apps, un componente di Microsoft Defender XDR, include funzionalità per individuare, inventariare e bloccare le app non approvate.

Descrizione e risultato dell'attività DoD Indicazioni e consigli microsoft

Target 3.1.1 Application/Code Identification
Le organizzazioni DoD creano un inventario di applicazioni e codice approvati (ad esempio, codice sorgente, librerie e così via). Ogni organizzazione tiene traccia del supporto (ad esempio, attivo, legacy e così via) e della posizione ospitata (ad esempio, cloud, locale, ibrido e così via) almeno nell'inventario.

Risultato: il
componente ha identificato applicazioni e classificate come legacy, virtualizzate in locale e ospitate nel cloud Microsoft Entra ID
Usare l'interfaccia di amministrazione di Microsoft Entra per scaricare un elenco di applicazioni registrate di Microsoft Entra. Selezionare Scarica nella barra multifunzione superiore.
- Tipo di risorsa dell'applicazione

Se l'organizzazione usa Active Directory Federation Services (AD FS), distribuire Microsoft Entra Connect Health. Usare il report attività dell'applicazione per individuare le applicazioni AD FS.
- Monitorare AD FS con Connect Health
- Report attività dell'applicazione

Microsoft Defender Vulnerability Management
Usare l'inventario software in Microsoft Defender Vulnerability Management per visualizzare il software nell'organizzazione.
- Inventario software

Microsoft Defender for Cloud Apps
Configurare Cloud Discovery in Microsoft Defender for Cloud Apps per ottenere uno snapshot delle applicazioni a cui gli utenti accedono.
- Configurare Cloud Discovery
- Analizzare le app

App individuate da Microsoft Intune
Le app individuate da Intune sono rilevate dai dispositivi registrati in Intune nel tenant. Si tratta di un inventario software del tenant. Nei dispositivi aziendali le app o le app gestite non vengono raccolte per questo report.
- App individuate

da Azure DevOps
Usare questo servizio per la gestione sicura dei pacchetti. Gli sviluppatori condividono il codice e gestiscono i pacchetti in un'unica posizione.
- Azure Artifacts
- Azure GitHub repos

Descrizione e risultato dell'attività DoD	Indicazioni e consigli microsoft
`Target` 3.1.1 Application/Code Identification Le organizzazioni DoD creano un inventario di applicazioni e codice approvati (ad esempio, codice sorgente, librerie e così via). Ogni organizzazione tiene traccia del supporto (ad esempio, attivo, legacy e così via) e della posizione ospitata (ad esempio, cloud, locale, ibrido e così via) almeno nell'inventario. Risultato: il componente ha identificato applicazioni e classificate come legacy, virtualizzate in locale e ospitate nel cloud	Microsoft Entra ID Usare l'interfaccia di amministrazione di Microsoft Entra per scaricare un elenco di applicazioni registrate di Microsoft Entra. Selezionare Scarica nella barra multifunzione superiore. - Tipo di risorsa dell'applicazione Se l'organizzazione usa Active Directory Federation Services (AD FS), distribuire Microsoft Entra Connect Health. Usare il report attività dell'applicazione per individuare le applicazioni AD FS. - Monitorare AD FS con Connect Health - Report attività dell'applicazione Microsoft Defender Vulnerability Management Usare l'inventario software in Microsoft Defender Vulnerability Management per visualizzare il software nell'organizzazione. - Inventario software Microsoft Defender for Cloud Apps Configurare Cloud Discovery in Microsoft Defender for Cloud Apps per ottenere uno snapshot delle applicazioni a cui gli utenti accedono. - Configurare Cloud Discovery - Analizzare le app App individuate da Microsoft Intune Le app individuate da Intune sono rilevate dai dispositivi registrati in Intune nel tenant. Si tratta di un inventario software del tenant. Nei dispositivi aziendali le app o le app gestite non vengono raccolte per questo report. - App individuate da Azure DevOps Usare questo servizio per la gestione sicura dei pacchetti. Gli sviluppatori condividono il codice e gestiscono i pacchetti in un'unica posizione. - Azure Artifacts - Azure GitHub repos

3.2 Sviluppo e integrazione sicura di software

Le funzionalità di GitHub come GitHub Advanced Security (GHAS) e GitHub Actions consentono di stabilire procedure di sviluppo e distribuzione di software Zero Trust. GitHub Enterprise Cloud si integra con Microsoft Entra ID per gestire l'entitlement con Microsoft Entra ID Governance e proteggere l'accesso con i criteri di accesso condizionale.

Gli sviluppatori possono usare Microsoft Authentication Libraries (MSAL) per integrare applicazioni con Microsoft Entra ID. Per altre informazioni, vedere Autenticare gli utenti per Zero Trust.

Descrizione e risultato dell'attività DoD	Indicazioni e consigli microsoft
`Target` 3.2.1 Build DevSecOps Software Factory Pt1 L'azienda DoD crea gli standard fondamentali per i processi DevSecOps moderni e le pipeline CI/CD. I concetti vengono applicati in uno stack di tecnologie standardizzato nelle organizzazioni DoD in grado di soddisfare i futuri requisiti di sicurezza delle applicazioni. Un programma di gestione delle vulnerabilità a livello aziendale è integrato con le pipeline CI/CD che seguono le attività del Programma di gestione delle vulnerabilità. Risultati: - Sviluppo di standard di dati/servizi per DevSecOps - Pipeline CI/CD è completamente funzionante e testato correttamente - Il programma di gestione delle vulnerabilità è ufficialmente in vigore e operativo	GitHub Actions GitHub Actions utilizza l'integrazione continua e la consegna continua (CI/CD) per automatizzare le pipeline di distribuzione. - GitHub Actions GitHub Advanced Security Utilizza GitHub Advanced Security per GitHub e Azure DevOps per migliorare la sicurezza del tuo codice e dei processi di sviluppo. - Advanced Security - Advanced Security per Azure DevOps Microsoft Entra SSO e provisioning Configura il single sign-on (SSO) per gli strumenti Git utilizzando Microsoft Entra ID. - Integrazione SSO con l'organizzazione GitHub Enterprise Cloud - Integrazione SSO con GitHub Enterprise Server - Collega un'organizzazione al Microsoft Entra ID Per saperne di più su DevSecOps per Azure e altri cloud, consulta la Biblioteca del Direttore dell'Informazione del DoD (CIO).
`Target` 3.2.2 Build DevSecOps Software Factory Pt2 Le organizzazioni DoD useranno le pipeline CI/CD approvate per sviluppare la maggior parte delle nuove applicazioni. Tutte le eccezioni seguiranno un processo di approvazione standardizzato per consentire lo sviluppo in modo tradizionale. I processi DevSecOps vengono usati anche per sviluppare tutte le nuove applicazioni e aggiornare le applicazioni esistenti. Le funzioni di convalida continue sono integrate nelle pipeline CI/CD e nei processi DevSecOps e integrate con le applicazioni esistenti. Risultati: - Viene eseguita la migrazione dello sviluppo di applicazioni alla pipeline CI/CD: viene implementato il processo/la tecnologia di convalida continua e in uso - Lo sviluppo di applicazioni viene migrato al processo e alla tecnologia DevSecOps	GitHub Advanced Security Usare GitHub Advanced Security per analizzare le dipendenze e le vulnerabilità del codice. Configurare compilazioni periodiche per valutare la qualità del codice. - Advanced Security - CodeQL code scanning - Secure supply chain Bicep in Azure Fornire infrastruttura cloud utilizzando infrastruttura come codice (IaC) con Azure Resource Manager (ARM) e modelli Bicep. - Bicep Microsoft Defender for Cloud Abilitare Defender per Cloud per proteggere i carichi di lavoro delle sottoscrizioni con applicazioni. - Proteggere i carichi di lavoro cloud Microsoft Defender per DevOps Usare Defender per DevOps per monitorare la sicurezza e gli avvisi delle pipeline in Azure DevOps (ADO) e GitHub. - Defender per DevOps
`Target` 3.2.3 Automatizzare la sicurezza delle applicazioni e la correzione del codice Pt1 Un approccio standardizzato alla sicurezza delle applicazioni, inclusa la correzione del codice, viene implementato nell'azienda DoD. La prima parte (1) di questa attività include l'integrazione di un gateway API sicura con le applicazioni che usano l'API o chiamate simili. Le revisioni del codice vengono eseguite in un approccio metodico e le protezioni standardizzate per i contenitori e la relativa infrastruttura sono disponibili. Inoltre, tutte le funzioni serverless in cui la terza parte gestisce l'infrastruttura, ad esempio Platform as a Service, utilizzano funzioni adeguate di monitoraggio e risposta della sicurezza serverless. Le revisioni del codice, i container e le funzioni di sicurezza serverless sono integrate nel processo CI/CD e/o DevSecOps in base alle esigenze. Risultati: il gateway API sicuro è operativo e la maggior parte delle chiamate API passa attraverso il gateway - Le funzioni di sicurezza delle applicazioni (ad esempio, la revisione del codice, il contenitore e la sicurezza serverless) vengono implementate come parte di CI/CD e DevSecOps	Gateway Applicazione Azure Inserire applicazioni Web e API accessibili pubblicamente con Gateway Applicazione Azure e Firewall per Applicazioni Web. - Firewall per Applicazioni Web Microsoft Entra ID è un gateway di autorizzazione per le applicazioni Web e l'accesso alle API. Esporre le API per le applicazioni registrate tramite Microsoft Entra. Usare l'autenticazione e l'autorizzazione integrate (Easy Auth) in Azure App Service e Azure Functions. Per le API non compatibili con Microsoft Entra ID, usare l'autorizzazione OAuth nella gestione API di Azure. - Configurare un'app per esporre un'API Web - Autenticare e autorizzare nel Servizio app di Azure e nelle Funzioni di Azure - Autenticare e autorizzare alle API GitHub Advanced Security. Usare GitHub Advanced Security per GitHub e Azure DevOps. Vedere le linee guida di Microsoft nella sezione 3.2.1. Microsoft Defender per il Cloud Abilita le protezioni dei carichi di lavoro di Defender per il Cloud per le sottoscrizioni di Azure con carichi di lavoro API. Vedere Le linee guida di Microsoft nella versione 3.2.2.
`Advanced` 3.2.4 Automatizzare la sicurezza delle applicazioni e la correzione del codice Pt2 Le organizzazioni DoD modernizzare gli approcci per offrire servizi sviluppati e gestiti internamente seguendo approcci di procedure consigliate come i microservizi. Questi approcci consentiranno architetture più resilienti e sicure consentendo modifiche più rapide al codice in ogni microservizio man mano che vengono individuati problemi di sicurezza. Altre attività di correzione della sicurezza continuano in DoD Enterprise con l'inclusione di funzioni di sicurezza di runtime per contenitori in base alle esigenze, aggiornamenti automatizzati delle librerie vulnerabili e approvazioni CI/CD automatizzate durante il processo di rilascio. Risultati: il gateway API sicuro è operativo e la maggior parte delle chiamate API passano attraverso il gateway . I servizi sono forniti seguendo un'architettura orientata ai servizi (SOA) - Le attività di correzione della sicurezza (ad esempio, sicurezza di runtime, aggiornamenti delle librerie, approvazioni del rilascio) sono completamente automatizzate	Completare le attività 3.2.2 e 3.2.3.

3.3 Gestione dei rischi software

GitHub Actions consente di automatizzare, personalizzare ed eseguire flussi di lavoro di sviluppo software per DevSecOps. Con GitHub Actions, generare una fattura software di materiali (SBOM), analizzare il codice e analizzare le vulnerabilità della supply chain e delle dipendenze. Per altre informazioni su GitHub Actions, vedere GitHub Actions.

Descrizione e risultato dell'attività DoD	Indicazioni e consigli microsoft
`Target` 3.3.1 File binari approvati/codice L'azienda DoD usa approcci di procedure consigliate per gestire file binari e codice approvati in un approccio metodico. Questi approcci includono la gestione dei rischi per l'approvvigionamento dei fornitori, l'uso di repository approvati, la gestione dei rischi della catena di fornitura dei materiali e la gestione delle vulnerabilità secondo gli standard di settore. Risultati: - Il rischio di approvvigionamento dei fornitori valutato e identificato per la fonte approvata - Repository e canale di aggiornamento stabiliti per l'uso da parte dei team di sviluppo - Il Bill of Materials viene creato per le applicazioni per identificare la fonte, il supporto e il profilo di rischio - Gli standard del settore (DIB) e i database di vulnerabilità approvati vengono estratti per essere usati in DevSecOps	GitHub Actions Standardizza i processi DevSecOps per generare una distinta base software (SBOM) con una pipeline di integrazione continua e distribuzione continua (CI/CD). - Generare distinte base del software Usare GitHub Dependabot e CodeQL per automatizzare i controlli di sicurezza e analizzare le vulnerabilità delle dipendenze. - Scansione del codice con CodeQL - Protezione della catena di approvvigionamento Controllo delle applicazioni di Windows Defender Usa Controllo delle applicazioni di Windows Defender per impedire l'esecuzione di codice non attendibile su endpoint gestiti. - Controllo delle applicazioni e AppLocker - Integrità del codice della piattaforma
`Target` 3.3.2 Programma di gestione delle vulnerabilità Pt1 L'azienda DoD collabora con le organizzazioni per stabilire e gestire un programma di gestione delle vulnerabilità. Il programma include criteri e standard concordati da tutte le organizzazioni. Il programma sviluppato include almeno la traccia e la gestione delle vulnerabilità pubbliche basate su applicazioni/servizi DoD. Le organizzazioni stabiliscono un team di gestione delle vulnerabilità con le principali parti interessate in cui vengono discusse e gestite le vulnerabilità seguendo i criteri e gli standard aziendali. Risultati: - Il team di gestione delle vulnerabilità è attivo e comprende i membri appropriati delle parti interessate - Il criterio e il processo di gestione delle vulnerabilità sono in atto e concordati con le parti interessate - Le fonti pubbliche delle vulnerabilità vengono utilizzate per il monitoraggio	Le funzionalità delle macchine virtuali di gestione delle minacce e della vulnerabilità consentono la visibilità degli asset e valutazioni intelligenti. TVM include strumenti di correzione predefiniti per endpoint e server. Usare TVM con un programma di gestione delle vulnerabilità.Microsoft Defender TVMMicrosoft Cloud Security BenchmarkEsaminare il modo in cui i servizi online di Microsoft conducono la gestione delle vulnerabilità.Panoramica di TVM, gestione della postura e delle vulnerabilità
`Target` 3.3.3 Programma di gestione delle vulnerabilità Pt2 I processi vengono stabiliti a livello di DoD Enterprise per la gestione della divulgazione delle vulnerabilità nei servizi gestiti/gestiti da DoD sia pubblicamente che privatamente accessibili. Le organizzazioni DoD espandono il programma gestione delle vulnerabilità per tenere traccia e gestire repository di vulnerabilità chiusi, ad esempio DIB, CERT e altri. Risultati: - Le fonti di vulnerabilità controllate (ad esempio, DIB, CERT) vengono usate per tenere traccia - Il programma di gestione delle vulnerabilità ha un processo per accettare divulgazioni esterne/pubbliche per i servizi gestiti	Gestionedelle minacce e delle vulnerabilità Usare la pagina dei punti deboli in Microsoft Defender TVM per identificare e classificare in ordine di priorità le vulnerabilità individuate nei dispositivi e nei server dell'organizzazione. -
`Target` 3.3.4 Convalida Continua Le organizzazioni DoD implementeranno un approccio di convalida continua per lo sviluppo di applicazioni in cui viene eseguita la distribuzione parallela e integrata con un livello di ambiente approvato (ad esempio, test di accettazione utente, ambiente di produzione). Le applicazioni che non riescono a integrare la convalida continua nel processo CI/CD vengono identificate e le eccezioni vengono fornite in base alle esigenze usando un approccio metodico. Risultati: - Le applicazioni aggiornate vengono distribuite in un ambiente di produzione e/o in tempo reale- Le applicazioni contrassegnate per il ritiro e la transizione vengono rimosse . Gli strumenti di convalida continui vengono implementati e applicati al codice nella pipeline CI/CD. Il codice che richiede la convalida continua viene identificato e vengono stabiliti criteri di convalida	Usa Azure Chaos Studioper convalidare i carichi di lavoro. - Convalida continua Usare le funzionalità e le azioni di GitHub per la gestione delle vulnerabilità nella progettazione di riferimento di DevSecOps di DoD Enterprise. Vedere le linee guida di Microsoft nella .

3.4 Autorizzazione e integrazione delle risorse

L'accesso condizionale è il motore delle politiche Zero Trust in Microsoft Entra ID. Collega i carichi di lavoro dell'applicazione con Microsoft Entra ID. Usare Microsoft Entra ID Governance per gestire i diritti e proteggere gli accessi con i criteri di accesso condizionale. I criteri usano attributi di sicurezza, ad esempio integrità dei dispositivi, dettagli della sessione e rischi per prendere decisioni di accesso adattivo. Microsoft Entra ID, Azure Resource Manager e pipeline CI/CD autorizzano la distribuzione delle risorse in Azure.

Descrizione e risultato dell'attività DoD	Indicazioni e consigli microsoft
`Target` 3.4.1 Autorizzazione risorsa Pt1 L'organizzazione DoD standardizza gli approcci di autorizzazione delle risorse (ad esempio, Software Defined Perimeter) con le organizzazioni. Come minimo, i gateway di autorizzazione delle risorse verranno integrati con identità e dispositivi. Le organizzazioni distribuiscono gateway di autorizzazione delle risorse approvati e abilitano applicazioni/servizi esterni. Altre applicazioni da migrare e applicazioni che non possono essere migrate vengono identificate per eccezioni o disattivazione. Risultati: - Il gateway di autorizzazione delle risorse è disponibile per le applicazioni esterne: i criteri di autorizzazione delle risorse integrati con identità e dispositivi - Le linee guida a livello aziendale sugli standard di conversione vengono comunicate agli stakeholder	Microsoft Entra ID Microsoft Entra è un gateway di autorizzazione per le risorse dell'applicazione. Integrare applicazioni moderne e legacy per l'accesso SSO con Microsoft Entra. Consultare le linee guida Microsoft 1.2.4 in Utente. Usa ruoli delle app di Microsoft Entra ID Governance per l'accesso alle applicazioni. Assegnare utenti ai ruoli dell'app usando l'appartenenza statica, i gruppi di sicurezza dinamici di Microsoft Entra o i pacchetti di accesso per la gestione dei diritti. - Aggiungere ruoli dell'app a un'app e includerli in un token - Controllo degli accessi in base al ruolo Usare i criteri di accesso condizionali per autorizzare, controllare o bloccare in modo dinamico l'accesso alle applicazioni. Vedi le linee guida Microsoft 1.8.3 in Utente e 2.1.4 in Dispositivo. Abilita applicazioni web e API accessibili pubblicamente con Gateway Applicazione e Web Application Firewall. Vedi le linee guida di Microsoft 3.2.3.
`Target` 3.4.2 Resource Authorization Pt2 I gateway di autorizzazione delle risorse vengono usati per tutte le applicazioni/servizi possibili. Le applicazioni che non sono in grado di utilizzare i gateway vengono dismesse o eccettuate adottando un approccio metodico basato sul rischio. Le autorizzazioni sono ulteriormente integrate con la pipeline CI/CD per il processo decisionale automatizzato. Risultati: - Il gateway di autorizzazione delle risorse viene usato per tutte le applicazioni - L'autorizzazione delle risorse è integrata con DevSecOps e CI/CD per le funzioni automatizzate	ID dei carichi di lavoro di Microsoft Entra Usare la federazione dell'identità del carico di lavoro per configurare un'identità gestita assegnata dall'utente o la registrazione dell'app per considerare attendibili i token da un provider di identità esterno (IdP). Usare l'identità del carico di lavoro federato per i flussi di lavoro GitHub Actions. - Federazione dell'identità del carico di lavoro Usare Gestione API di Azure per gestire, autorizzare ed esporre i servizi ospitati in e all'esterno di Azure come API. -
`Target` 3.4.3. Autorizzazione risorse SDC Pt1 L'azienda DoD offre un approccio standardizzato per la gestione di calcolo basata su codice (ad esempio, Software Defined Compute) seguendo le procedure consigliate del settore. Le baseline basate su approcci al rischio vengono create usando il set approvato di librerie di codice e pacchetti. Le organizzazioni DoD collaborano con le attività approvate di codice/file binario per garantire che le applicazioni siano identificate correttamente riguardo alla loro capacità di supportare o meno l'approccio. Le applicazioni che possono supportare approcci moderni di configurazione e gestione basati su software vengono identificate e iniziano la transizione. Le applicazioni che non possono seguire gli approcci di configurazione e gestione basati su software vengono identificate e consentite tramite eccezioni usando un approccio metodico. Risultati: le applicazioni che non possono essere aggiornate per l'uso di file binari/codice approvati vengono contrassegnate per il ritiro e i piani di transizione vengono creati - Le applicazioni identificate senza file binari approvati e il codice vengono aggiornati per l'uso di file binari/codice approvati- Le linee guida a livello aziendale sugli standard di conversione vengono comunicate agli stakeholder	Sviluppo sicuro Progettare, sviluppare e distribuire applicazioni Azure secondo il ciclo di vita dello sviluppo della sicurezza e le migliori pratiche pubblicate. - Sviluppo sicuro, infrastruttura come codice - Criteri di Azure come flussi di lavoro - Microsoft Entra ID Utilizzare il Microsoft Identity Platform per l'autenticazione e l'autorizzazione delle applicazioni. verso piattaforme applicative moderne come Azure Kubernetes Service (AKS) e i contenitori di servizio App.- app moderne. - Valutare le app ASP.NET per la migrazione ad AKS - Valutare le app ASP.NET per la migrazione al servizio app Azure -
`Target` 3.4.4 SDC Resource Authorization Pt2 Le applicazioni che supportano la configurazione e la gestione basate su software sono state trasferiti a un ambiente di produzione/in tempo reale e sono in operazioni normali. Se possibile, le applicazioni che non possono supportare la configurazione e la gestione basate su software vengono rimosse. Risultati: - Le applicazioni aggiornate vengono distribuite in un ambiente attivo e/o di produzione- Le applicazioni contrassegnate per il ritiro e la transizione vengono rimosse	Azure Migrate Contenerizza e migra app ASP.NET e app web Java utilizzando lo strumento di containerizzazione delle app di Azure Migrate. Disattivare le applicazioni che non possono essere modernizzate. - Containerizzazione e migrazione di app ASP.NET verso AKS - Containerizzazione e migrazione di app ASP.NET verso Azure App Service - Containerizzazione e migrazione di app web Java verso AKS - Containerizzazione e migrazione di app web Java verso Azure App Service
`Advanced` 3.4.5 Arricchire gli attributi per l'autorizzazione delle risorse Pt1 Gli attributi iniziali di origini, ad esempio Monitoraggio attività utente ed entità, servizi di micro-segmentazione, DLP e DRM (Data Rights Management) sono integrati nello stack e nei criteri della tecnologia di autorizzazione delle risorse. Tutti gli altri attributi per l'integrazione successiva vengono identificati e pianificati. Gli attributi vengono usati per creare il comportamento di rischio di base degli utenti, delle entità nonpersone e dei dispositivi che consentono di prendere decisioni di autorizzazione. Risultati: - La maggior parte delle chiamate API passa attraverso il gateway API sicuro- L'autorizzazione delle risorse riceve i dati dal motore di analisi: i criteri di autorizzazione incorporano gli attributi identificati per prendere decisioni di autorizzazione- Gli attributi da usare per l'arricchimento iniziale vengono identificati	Le applicazioni Microsoft Entra utilizzano Microsoft Entra ID per autorizzare applicazioni e API moderne. Distribuire il proxy dell'applicazione Microsoft Entra e i server abilitati per Azure Arc per estendere Microsoft Entra ID ai protocolli di autenticazione legacy. Vedere le linee guida di Microsoft in 3.1.1 e in 3.2.3. Accesso Condizionale Microsoft Entra è un gateway sicuro per l'autorizzazione delle risorse. L'accesso condizionale è il motore di autorizzazione. Configurare i criteri per un'autorizzazione dettagliata utilizzando l'utente, l'applicazione, le condizioni ambientali, incluso lo stato di conformità del dispositivo. - Accesso condizionale - Progettazione dell'Accesso Condizionale - Richiedi dispositivi conformi Gruppi di sicurezza dinamici Creare gruppi di sicurezza dinamici in base agli attributi utente. Usare i gruppi dinamici per definire l'ambito dei criteri di accesso condizionale per l'autorizzazione degli attributi statici, in base agli attributi utente. - Appartenenza dinamica per gruppi - Utenti, gruppi e identità del carico di lavoro Microsoft Purview tipi di informazioni riservate Definire tipi di informazioni riservate con Exact Data Match (EDM). Usare i tipi di informazioni sensibili con Microsoft Purview Information Protection e i criteri di prevenzione della perdita dei dati (DLP). - Corrispondenza dei dati basata sui tipi di informazioni sensibili - Individua e proteggi le informazioni sensibili Microsoft Entra ID Governance. Usa Microsoft Entra ID Governance per l'accesso alle applicazioni con ruoli delle applicazioni. Assegnare utenti ai ruoli dell'app con appartenenza statica, gruppi di sicurezza dinamici o pacchetti di accesso alla gestione delle autorizzazioni. - Aggiungere i ruoli dell'app e ottenere un token - Controllo degli accessi in base al ruolo
`Advanced` 3.4.6. Arricchisci gli attributi per l'autorizzazione delle risorse Pt2 Gli attributi identificati estesi sono integrati con la tecnologia e le politiche di autorizzazione delle risorse. L'assegnazione dei punteggi di attendibilità viene introdotta negli attributi per creare un metodo più avanzato per il processo decisionale di autorizzazione in modo automatizzato. Risultati: i criteri di autorizzazione incorporano i livelli di attendibilità per prendere decisioni di autorizzazione- Vengono definiti i livelli di confidenza per gli attributi	Microsoft Entra ID Protection Utilizza il rischio di accesso e i segnali utente provenienti da Microsoft Entra ID Protection in un insieme di criteri per l'accesso condizionale. Configurare il contesto di autenticazione, compreso il rischio, per stabilire i livelli di attendibilità, in base ai dettagli ambientali e al livello di rischio. - Rischi di Microsoft Entra ID - Modello di criteri: rischi di accesso MFA - Esempio di contesto di autenticazione Vedere la guida Microsoft 1.3.3 in Utente. Attributi di sicurezza personalizzati Gestire e assegnare attributi di sicurezza personalizzati per gli utenti di Microsoft Entra ID. Usare le condizioni di assegnazione di ruolo per il controllo degli accessi in base all'attributo dinamico. - Attributi di sicurezza personalizzati
`Advanced` 3.4.7. Micro-segmenti API REST Usando i gateway API approvati da DoD Enterprise, le chiamate alle applicazioni vengono segmentate in modo tale da permettere solo accessi autenticati e autorizzati a destinazioni specifiche (ad esempio, microservizi). Quando possibile, le console di micro-segmentazione API sono integrate e consapevoli di altre console di micro-segmentazione, ad esempio controller perimetrali definiti dal software e/o console di rete definite dal software. Risultato: - Le API aziendali approvate sono micro segmentate in modo appropriato	Rete di Azure e connettività Isolare, filtrare e controllare il traffico di rete tra flussi in ingresso e in uscita. Applicare principi di difesa avanzata usando i controlli di rete localizzati nei limiti di rete disponibili. Seguire Azure Well-Architected Framework. - Raccomandazioni per la strategia di rete e connettività - Raccomandazioni per la strategia di segmentazione Progettazione API Seguire le procedure consigliate per progettare le API per i microservizi. Proteggere e autorizzare le API con Microsoft Entra ID. - Le API microservizi - Proteggere le API

3.5 Monitoraggio continuo e autorizzazioni in corso

Microsoft Defender per il Cloud valuta gli standard di sicurezza delle sottoscrizioni di Azure in esame, degli account Amazon Web Services (AWS) e dei progetti Google Cloud Platform (GCP), con Defender per il Cloud abilitato per garantire conformità agli standard normativi.

Descrizione e risultato dell'attività DoD Indicazioni e consigli microsoft

Advanced 3.5.1 Autorizzazione continua per operare (cATO) Pt1
Le organizzazioni DoD usano soluzioni di automazione all'interno dell'ambiente per standardizzare il monitoraggio dei controlli e offrono la possibilità di identificare le deviazioni. Se il monitoraggio e il test appropriati sono integrati con i processi DevSecOps.

Risultati: la
derivazione dei controlli è standardizzata e pronta per l'automazione
: i test dei controlli sono integrati con i processi e la tecnologia DevSecOps DoD Chief Information Officer (CIO) Library
Integrare il monitoraggio e il test nei processi DevSecOps. Vedere DoD Enterprise DevSecOps Reference Design
- DoD CIO Library

Microsoft Defender per il cloud
Protect Azure and non-Azure workloads with Defender per il cloud (Proteggere i carichi di lavoro di Azure e non Azure con Defender per il cloud). Usare le iniziative dei Criteri di Azure e la conformità alle normative per valutare continuamente l'infrastruttura secondo gli standard di configurazione. Impedire la deriva della configurazione.
- Assegnare gli standard di sicurezza
- ambienti multicloud

Automatizzare le operazioni di integrazione e distribuzione di Microsoft Sentinel con GitHub e Azure DevOps.

- Integrazione di Microsoft Sentinel e Azure DevOps
- Distribuire contenuti personalizzati da un repository

Advanced 3.5.2 Autorizzazione continua per operare (cATO) Pt2
Le organizzazioni DoD automatizzano completamente i processi di derivazione, test e monitoraggio del controllo. Le deviazioni vengono testate e risolte automaticamente usando l'infrastruttura di automazione tra pilastri esistente. Il dashboarding viene usato per monitorare lo stato delle autorizzazioni e le analisi sono integrate con i responsabili autorizzatori.< /br>
Outcomes:
- I test dei controlli sono completamente automatizzati
- L'integrazione con le operazioni standard di IR e SOC è automatizzata Microsoft Defender Threat and Vulnerability Management
incorpora la gestione delle minacce e delle vulnerabilità (TVM) nel programma di gestione delle vulnerabilità.

Vedere Le linee guida di Microsoft nella versione 3.3.2.

Azure DevOps e Microsoft SentinelAutomatizzano le operazioni di integrazione e distribuzione di Sentinel con Azure DevOps.

- Integrazione di Sentinel con Azure DevOps

Integrare Microsoft Defender XDR e Defender per il cloud con Sentinel.

-

Descrizione e risultato dell'attività DoD	Indicazioni e consigli microsoft
`Advanced` 3.5.1 Autorizzazione continua per operare (cATO) Pt1 Le organizzazioni DoD usano soluzioni di automazione all'interno dell'ambiente per standardizzare il monitoraggio dei controlli e offrono la possibilità di identificare le deviazioni. Se il monitoraggio e il test appropriati sono integrati con i processi DevSecOps. Risultati: la derivazione dei controlli è standardizzata e pronta per l'automazione : i test dei controlli sono integrati con i processi e la tecnologia DevSecOps	DoD Chief Information Officer (CIO) Library Integrare il monitoraggio e il test nei processi DevSecOps. Vedere DoD Enterprise DevSecOps Reference Design - DoD CIO Library Microsoft Defender per il cloud Protect Azure and non-Azure workloads with Defender per il cloud (Proteggere i carichi di lavoro di Azure e non Azure con Defender per il cloud). Usare le iniziative dei Criteri di Azure e la conformità alle normative per valutare continuamente l'infrastruttura secondo gli standard di configurazione. Impedire la deriva della configurazione. - Assegnare gli standard di sicurezza - ambienti multicloud Automatizzare le operazioni di integrazione e distribuzione di Microsoft Sentinel con GitHub e Azure DevOps. - Integrazione di Microsoft Sentinel e Azure DevOps - Distribuire contenuti personalizzati da un repository
`Advanced` 3.5.2 Autorizzazione continua per operare (cATO) Pt2 Le organizzazioni DoD automatizzano completamente i processi di derivazione, test e monitoraggio del controllo. Le deviazioni vengono testate e risolte automaticamente usando l'infrastruttura di automazione tra pilastri esistente. Il dashboarding viene usato per monitorare lo stato delle autorizzazioni e le analisi sono integrate con i responsabili autorizzatori.< /br> Outcomes: - I test dei controlli sono completamente automatizzati - L'integrazione con le operazioni standard di IR e SOC è automatizzata	Microsoft Defender Threat and Vulnerability Management incorpora la gestione delle minacce e delle vulnerabilità (TVM) nel programma di gestione delle vulnerabilità. Vedere Le linee guida di Microsoft nella versione 3.3.2. Azure DevOps e Microsoft SentinelAutomatizzano le operazioni di integrazione e distribuzione di Sentinel con Azure DevOps. - Integrazione di Sentinel con Azure DevOps Integrare Microsoft Defender XDR e Defender per il cloud con Sentinel. -

Passaggi successivi

Configurare i servizi cloud Microsoft per la strategia DoD Zero Trust:

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-02-13