Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El DoD Confianza cero Strategy and Roadmap describe una ruta para que los componentes del Departamento de Defensa y socios de la Base Industrial de Defensa (DIB) adopten un nuevo marco de ciberseguridad basado en principios de Confianza cero. Confianza cero elimina los perímetros tradicionales y las suposiciones de confianza, lo que permite una arquitectura más eficaz que mejora la seguridad, las experiencias del usuario y el rendimiento de la misión.
En esta guía se incluyen recomendaciones para las 152 actividades de Confianza cero en el DoD Confianza cero Hoja de Ruta de Ejecución de Capacidades. Las secciones corresponden a los siete pilares del modelo de Confianza cero doD.
Use los vínculos siguientes para ir a las secciones de la guía.
- Introducción
- User
- Dispositivo
- Aplicaciones y cargas de trabajo
- Data
- Network
- Automatización y orquestación
- Visibilidad y análisis
3 Aplicaciones y cargas de trabajo
Esta sección proporciona orientación y recomendaciones de Microsoft para las actividades de Confianza cero del DoD en el pilar de aplicaciones y cargas de trabajo. es-ES: Para obtener más información, consulte aplicaciones seguras con Confianza cero.
Nota:
Las recomendaciones de esta sección se alinean con el borrador de diseño de referencia de DoD Enterprise DevSecOps.
3.1 Inventario de aplicaciones
Microsoft Entra ID es un proveedor de identidades (IdP) para aplicaciones y plataformas en la nube, no solo Microsoft 365 y Azure. Microsoft Entra ID incluye portales web y APIs RESTful para recuperar listas de aplicaciones integradas. Microsoft Defender for Cloud Apps, un componente de Microsoft Defender XDR, tiene características para detectar, inventariar y bloquear aplicaciones no autorizadas.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
| 3.1.1 Identificación de aplicación/códigoLas organizaciones de DoD crean un inventario de aplicaciones y código aprobados (por ejemplo, código fuente, bibliotecas, etc.). Cada organización realizará un seguimiento de la compatibilidad (es decir, activa, heredada, etc.) y la ubicación hospedada (es decir, la nube, el entorno local, el híbrido, etc.) al menos en el inventario. Resultado: - El componente ha identificado aplicaciones y las ha clasificado como aplicaciones heredadas, virtualizadas locales y hospedadas en la nube |
Microsoft Entra ID Use el Centro de administración de Microsoft Entra para descargar una lista de aplicaciones registradas de Microsoft Entra. Seleccione Download en la cinta de opciones superior. - Tipo de recursoApplication Si su organización usa Servicios de federación de Active Directory (AD FS) (AD FS), implemente Microsoft Entra Connect Health. Utilice el informe de actividad de aplicaciones para detectar aplicaciones de AD FS. - Aplicaciones detectadas Azure DevOps Use este servicio para la administración segura de paquetes. Los desarrolladores comparten código y administran paquetes en un solo lugar. - Azure Artifacts - Azure GitHub repositorios |
3.2 Protección del desarrollo e integración de software
Funciones de GitHub como GitHub Advanced Security (GHAS) y Acciones de GitHub te ayudan a establecer prácticas de desarrollo e implementación de software de Confianza cero. GitHub Enterprise Cloud se integra con Microsoft Entra ID para administrar derechos con Gobierno de Microsoft Entra ID y acceso seguro con directivas de acceso condicional.
Los desarrolladores pueden usar bibliotecas de autenticación de Microsoft (MSAL) para integrar aplicaciones con Microsoft Entra ID. Para obtener más información, consulte Authenticate users for Confianza cero.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
| 3.2.1 Creación de software factory de DevSecOps Parte 1La empresa de DoD crea los estándares fundamentales para los procesos modernos de DevSecOps y las canalizaciones de CI/CD. Los conceptos se aplican en una pila de tecnología estandarizada en organizaciones del Departamento de Defensa (DoD) capaces de cumplir con los requisitos futuros de Seguridad de Aplicaciones. Un programa de gestión de vulnerabilidades a nivel empresarial se integra con las canalizaciones de CI/CD de acuerdo con las actividades establecidas por el programa de gestión de vulnerabilidades. Resultados: - Estándares de datos y servicios desarrollados para DevSecOps- La canalización de CI/CD es totalmente funcional y se ha probado correctamente- El programa de administración de vulnerabilidades está oficialmente implementado y funcionando |
Acciones de GitHub Acciones de GitHub usa la integración continua y la entrega continua (CI/CD) para automatizar las canalizaciones de implementación. - Acciones de GitHub GitHub Advanced Security Usa GitHub Advanced Security para GitHub y Azure DevOps para mejorar la seguridad de tu código y procesos de desarrollo. - Advanced Security - Advanced Security para Azure DevOps Microsoft Entra Inicio de sesión único y aprovisionamiento Configura el inicio de sesión único (SSO) para herramientas de Git mediante Microsoft Entra ID. - Integración SSO con la organización GitHub Enterprise Cloud - Integración SSO con GitHub Enterprise Server - Conectar una organización a Microsoft Entra ID Para obtener más información sobre DevSecOps para Azure y otras nubes, consulte la biblioteca del Jefe de Información (CIO) del DoD. |
| 3.2.2 Fábrica de Software DevSecOps Parte 2Las organizaciones del DoD usarán sus canalizaciones aprobadas de CI/CD para desarrollar la mayoría de las aplicaciones nuevas. Cualquier excepción seguirá un proceso de aprobación normalizado para que se le permita desarrollarse de forma heredada. Los procesos de DevSecOps también se usan para desarrollar todas las aplicaciones nuevas y actualizar las aplicaciones existentes. Las funciones de validación continua se integran en las canalizaciones de CI/CD y los procesos de DevSecOps y se integran con las aplicaciones existentes. Resultados: - El desarrollo de aplicaciones se migra a la canalización de CI/CD- Se implementa un proceso o tecnología de validación continua y se usa- El desarrollo de aplicaciones se migra al proceso y la tecnología de DevSecOps |
GitHub Advanced Security Use GitHub Advanced Security para buscar dependencias de código y vulnerabilidades. Configure compilaciones periódicas para evaluar la calidad del código. - Seguridad avanzada - Escaneo de código de CodeQL - Cadena de suministro segura Bicep en Azure Provisión de infraestructura en la nube usando infraestructura como código (IaC) con Azure Resource Manager (ARM) y plantillas de Bicep. - Bicep Microsoft Defender para la Nube Habilitar protecciones de carga de trabajo de Defender para la Nube para suscripciones con cargas de trabajo de aplicaciones. - Proteger cargas de trabajo en la nube Microsoft Defender para DevOps Usar Defender para DevOps para supervisar la seguridad y las alertas de canalizaciones en Azure DevOps (ADO) y GitHub. - Defender para DevOps |
| 3.2.3 Seguridad automática de aplicaciones y corrección de código Parte 1Un enfoque estandarizado para la seguridad de aplicaciones, incluida la corrección de código, se implementa en toda la empresa DoD. La parte uno (1) de esta actividad incluye la integración de una puerta de enlace de API segura con aplicaciones que usan api o llamadas similares. Las revisiones de código se realizan con un enfoque metódico y se aplican protecciones estandarizadas para contenedores y su infraestructura. Además, las funciones sin servidor en las que el tercero administra la infraestructura, como Plataforma como servicio, usan las funciones adecuadas de supervisión y respuesta de seguridad sin servidor. Las funciones de seguridad de revisiones de código, contenedor y sin servidor se integran en el proceso de CI/CD o DevSecOps según corresponda. Resultados: - La puerta de enlace de API segura está operativa y la mayoría de las llamadas API pasan a través de la puerta de enlace- Las funciones de seguridad de aplicaciones (por ejemplo, la revisión de código, el contenedor y la seguridad sin servidor) se implementan como parte de CI/CD y DevSecOps |
Azure Application Gateway Coloca aplicaciones web y API accesibles públicamente con Azure Application Gateway y Web Application Firewall. - Web Application Firewall aplicaciones de Microsoft Entra ID Microsoft Entra ID es una puerta de enlace de autorización para el acceso a aplicaciones web y API. Exponga las API para las aplicaciones registradas mediante Microsoft Entra. Use la autenticación y autorización integradas (Easy Auth) en Azure App Service y Azure Functions. Para las APIs no compatibles con Microsoft Entra ID, use la autorización de OAuth en Azure API Management. - Configure una aplicación para exponer APIs web - Autentique y autorice en Azure App Service y Azure Functions - Autentique y autorice en las APIs GitHub Advanced Security Use GitHub Advanced Security para GitHub y Azure DevOps. Vea la orientación de Microsoft en 3.2.1. Microsoft Defender for Cloud Habilite las protecciones de carga de trabajo para Defender for Cloud en suscripciones de Azure con cargas de trabajo API. Consulte la guía de Microsoft en 3.2.2. |
| 3.2.4 Seguridad automática de aplicaciones y corrección de código Parte 2Las organizaciones del DoD modernizan los enfoques de prestación de servicios desarrollados y administrados internamente siguiendo enfoques de mejores prácticas como los microservicios. Estos enfoques permitirán arquitecturas más resistentes y seguras al permitir cambios más rápidos en el código de cada microservicio a medida que se detectan problemas de seguridad. Las actividades de corrección de seguridad más avanzadas continúan en la empresa de DoD con la inclusión de funciones de seguridad en tiempo de ejecución para contenedores según corresponda, actualizaciones automatizadas de bibliotecas vulnerables y aprobaciones automatizadas de CI/CD durante el proceso de lanzamiento. Resultados: - La puerta de enlace de API segura está operativa y la mayoría de las llamadas API pasan a través de la puerta de enlace- Los servicios se proporcionan siguiendo una arquitectura orientada a servicios (SOA)- Las actividades de corrección de seguridad (por ejemplo, seguridad en tiempo de ejecución, actualizaciones de biblioteca, aprobaciones de versión) están totalmente automatizadas | Complete las actividades 3.2.2 y 3.2.3. |
3.3 Administración de riesgos de software
Acciones de GitHub ayudar a automatizar, personalizar y ejecutar flujos de trabajo de desarrollo de software para DevSecOps. Con Acciones de GitHub, genere una lista de materiales de software (SBOM), analice el código y busque vulnerabilidades de dependencia y cadena de suministro. Para obtener más información sobre Acciones de GitHub, consulte Acciones de GitHub.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
| 3.3.1 Archivos binarios/Código aprobadosLa empresa de DoD usa enfoques recomendados para administrar archivos binarios y código aprobados en un enfoque metódico. Estos enfoques incluirán la administración de riesgos de abastecimiento de proveedores, el uso aprobado del repositorio, la administración de riesgos de la cadena de suministro de materiales y la administración de vulnerabilidades estándar del sector. Resultados: - Riesgo de aprovisionamiento de proveedores evaluado e identificado para el origen aprobado- Repositorio y canal de actualización establecido para su uso por parte de los equipos de desarrollo- La lista de materiales se crea para que las aplicaciones identifiquen el origen, la compatibilidad y la posición de riesgo- Las bases de datos estándar del sector (DIB) y las bases de datos de vulnerabilidades aprobadas se extraen para su uso en DevSecOps |
Acciones de GitHub Estandarice los procesos de DevSecOps para generar una lista de materiales de software (SBOM) con una canalización de integración continua y entrega continua (CI/CD). - Generar listas de materiales de software Use GitHub Dependabot y CodeQL para automatizar las comprobaciones de seguridad y buscar vulnerabilidades de dependencia. - Escaneo de código CodeQL - Cadena de suministro segura Control de aplicaciones de Windows Defender Use Control de aplicaciones de Windows Defender para evitar que el código que no es de confianza se ejecute en puntos de conexión administrados. - Control de aplicaciones y App locker - Integridad del código de la plataforma |
| 3.3.2 Programa de administración de vulnerabilidades Parte 1La empresa de DoD trabaja con organizaciones para establecer y administrar un programa de administración de vulnerabilidades. El programa incluye una política y estándares acordados por todas las organizaciones. El programa desarrollado incluye como mínimo el seguimiento y la administración de vulnerabilidades públicas basadas en aplicaciones y servicios de DoD. Las organizaciones establecen un equipo de administración de vulnerabilidades con las partes interesadas clave en las que se analizan y administran las vulnerabilidades siguiendo las normas y la directiva empresarial. Resultados:- El equipo de administración de vulnerabilidades está en vigor con la pertenencia adecuada a las partes interesadas- La directiva y el proceso de administración de vulnerabilidades están en vigor y están acordados con las partes interesadas- Se está utilizando una fuente pública de vulnerabilidades para el seguimiento | Administración de amenazas y vulnerabilidadesLas funcionalidades de VM permiten la visibilidad de los recursos y las evaluaciones inteligentes. TVM tiene herramientas de corrección integradas para puntos de conexión y servidores. Use TVM con un programa de administración de vulnerabilidades. - Microsoft Defender TVM Benchmark de seguridad en la nube de Microsoft Revise cómo los servicios en línea de Microsoft gestionan la administración de vulnerabilidades. - Descripción general de TVM - Administración de posturas y vulnerabilidades |
| 3.3.3 Programa de administración de vulnerabilidades Parte 2Los procesos se establecen en el nivel de empresa de DoD para administrar la divulgación de vulnerabilidades en los servicios mantenidos y operados por DoD tanto pública como privadamente accesibles. Las organizaciones de DoD amplían el programa de administración de vulnerabilidades para realizar un seguimiento y administrar repositorios de vulnerabilidades cerrados, como DIB, CERT y otros. Resultados: - Los orígenes controlados (por ejemplo, DIB, CERT) de vulnerabilidades se usan para el seguimiento- El programa de administración de vulnerabilidades tiene un proceso para aceptar divulgaciones externas o públicas para servicios administrados |
Gestión de Amenazas y Vulnerabilidades Use la página de vulnerabilidades de Microsoft Defender TVM para identificar y priorizar las vulnerabilidades detectadas en los dispositivos y servidores de la organización. - Vulnerabilidades en la organización Realice un seguimiento de las actividades de remediación utilizando el informe de dispositivos vulnerables de TVM. - Informe de dispositivos vulnerables |
| 3.3.4Validación continuaLas organizaciones de DoD implementarán un enfoque de validación continua para el desarrollo de aplicaciones en el que se lleva a cabo la implementación paralela e integrada con un nivel de entorno aprobado (por ejemplo, pruebas de aceptación de usuario, producción). Las aplicaciones que no pueden integrar la validación continua en su proceso de CI/CD se identifican y se proporcionan excepciones según sea necesario mediante un enfoque metódico. Resultados: - Las aplicaciones actualizadas se implementan en un entorno activo o de producción- Las aplicaciones marcadas para la retirada y la transición se retiran- Las herramientas de validación continua se implementan y se aplican al código en la canalización de CI/CD- El código que requiere validación continua se identifica y se establecen criterios de validación |
Azure Chaos Studio Use Azure Chaos Studio para validar cargas de trabajo. - Validación continua GitHub Advanced Security Utilice las funcionalidades y acciones de GitHub para la gestión de vulnerabilidades en el diseño de referencia DoD Enterprise DevSecOps. Consulte la guía de Microsoft en 3.2.1. |
3.4 Autorización e integración de recursos
El acceso condicional es el motor de directivas de Confianza cero en Microsoft Entra ID. Conecte las cargas de trabajo de las aplicaciones con Microsoft Entra ID. Use Gobierno de Microsoft Entra ID para administrar derechos e inicios de sesión seguros con directivas de acceso condicional. Las directivas usan atributos de seguridad, como el estado del dispositivo, los detalles de la sesión y el riesgo para tomar decisiones de acceso adaptable. Microsoft Entra ID, Azure Resource Manager y canalizaciones de CI/CD autorizan la implementación de recursos en Azure.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
| 3.4.1 Autorización de recursos Parte 1La empresa de DoD normaliza los enfoques de autorización de recursos (por ejemplo, perímetro definido por software) con las organizaciones. Como mínimo, los gateways de autorización de recursos se integrarán con identidades y dispositivos. Las organizaciones implementan puertas de enlace de autorización de recursos aprobadas y permiten aplicaciones o servicios orientados externamente. Otras aplicaciones para la migración y las aplicaciones que no se pueden migrar se identifican para la excepción o retirada. Resultados: - La puerta de enlace de autorización de recursos está en vigor para las aplicaciones orientadas externamente- La directiva de autorización de recursos está integrada con la identidad y el dispositivo- Las directrices para toda la empresa sobre los estándares de conversión se comunican a las partes interesadas |
Microsoft Entra ID Microsoft Entra es una puerta de enlace de autorización para los recursos de la aplicación. Integración de aplicaciones modernas y heredadas para SSO con Microsoft Entra. Consulte la guía de Microsoft 1.2.4 en User. Gobierno de Microsoft Entra ID Use los roles de la aplicación de Gobierno de Microsoft Entra ID para el acceso a las aplicaciones. Asignar usuarios a roles de aplicación mediante pertenencia estática, grupos de seguridad de Microsoft Entra dinámicos, o los paquetes de acceso de administración de derechos (entitlement management access packages). - Agregar roles de aplicación a una aplicación y recibirlos en un token - Control de acceso basado en roles Acceso condicional Usar directivas de acceso condicional para autorizar, controlar o bloquear dinámicamente el acceso a aplicaciones. Consulte las guías de Microsoft 1.8.3 en User y 2.1.4 en Device. Azure Application Gateway Habilite aplicaciones web y API accesibles públicamente con Application Gateway y Web Application Firewall. Consulte la guía de Microsoft 3.2.3. |
| 3.4.2 Autorización de recursos Parte 2Las puertas de enlace de autorización de recursos se usan para todas las aplicaciones o servicios posibles. Las aplicaciones que no pueden utilizar puertas de enlace se retiran o se exceptúan mediante un enfoque metódico basado en riesgos. Las autorizaciones están más integradas con el flujo de trabajo de CI/CD para la toma de decisiones automatizada. Resultados: - La puerta de enlace de autorización de recursos se usa para todas las aplicaciones- La autorización de recursos se integra con DevSecOps y CI/CD para funciones automatizadas |
Id. de carga de trabajo de Microsoft Entra Utilice la federación de identidades de carga de trabajo para configurar una identidad administrada asignada al usuario, o el registro de aplicaciones para confiar en tokens de un proveedor de identidades externo (IdP). Use la identidad de carga de trabajo federada para los flujos de trabajo de Acciones de GitHub. - Federación de identidades de carga de trabajo Azure API Management Utiliza Azure API Management para administrar, autorizar y exponer servicios hospedados dentro y fuera de Azure como API. - Azure API Management |
| 3.4.3. Autorización de recursos de SDC Parte 1La empresa de DoD proporciona un enfoque estandarizado para la administración de procesos basada en código (es decir, proceso definido por software) siguiendo los procedimientos recomendados del sector. Usando enfoques basados en riesgos, se crean líneas base a partir del conjunto aprobado de bibliotecas de código y paquetes. Las organizaciones del DoD trabajan con las actividades aprobadas de código fuente/binarios para garantizar la identificación de aplicaciones que pueden y no pueden admitir el enfoque. Las aplicaciones que pueden admitir enfoques modernos de administración y configuración basados en software se identifican y comienza la transición. Las aplicaciones que no pueden seguir los enfoques de configuración y administración basados en software se identifican y permiten a través de una excepción mediante un enfoque metódico. Resultados: - Las aplicaciones que no se pueden actualizar para usar archivos binarios o código aprobados se marcan para la retirada y los planes de transición se crean- Las aplicaciones identificadas sin archivos binarios y código aprobados se actualizan para usar archivos binarios o código aprobados- Las instrucciones para toda la empresa sobre los estándares de conversión se comunican a las partes interesadas |
Desarrollo seguro Diseñe, desarrolle e implemente aplicaciones de Azure siguiendo el ciclo de vida de desarrollo seguro y los procedimientos recomendados publicados. - Desarrollo seguro - Infraestructura como código - Azure Policy como código Microsoft Entra ID Utilice la plataforma de identidad de Microsoft para la autenticación y autorización de aplicaciones. - Migrar aplicaciones y autenticación Azure Migrate Migrar a plataformas de aplicaciones modernas como Azure Kubernetes Service (AKS) y contenedores de App Service. - Migrar cargas de trabajo a plataformas de aplicaciones modernas - Evaluar aplicaciones ASP.NET para la migración a AKS - Evaluar aplicaciones ASP.NET para la migración a Azure App Service |
| 3.4.4 Autorización de recursos de SDC Parte 2Las aplicaciones que admiten la configuración y administración basadas en software se han pasado a un entorno de producción/activo y funcionan con normalidad. Siempre que sea posible, las aplicaciones que no admiten la configuración y la administración basadas en software se retiran. Resultados: - Las aplicaciones actualizadas se implementan en un entorno activo o de producción- Las aplicaciones marcadas para la retirada y la transición se retiran |
Azure Migrate Contenerice y migre aplicaciones web de ASP.NET y Java mediante la herramienta Azure Migrate: Contenedorización de aplicaciones. Retirar aplicaciones que no se pueden modernizar. - Contenerización y migración de aplicaciones ASP.NET a AKS - Contenerización y migración de aplicaciones ASP.NET a Azure App Service - Contenerización y migración de aplicaciones web Java a AKS - Contenerización y migración de aplicaciones web Java a Azure App Service |
| 3.4.5 Enriquecer atributos para la autorización de recursos Parte 1Atributos iniciales de fuentes como la Supervisión de Actividad de Usuarios y Entidades, servicios de microsegmentación, DLP y administración de derechos de datos (DRM) se integran inicialmente en la pila tecnológica y directiva de autorización de recursos. Cualquier otro atributo para la integración posterior se identifica y planifica. Los atributos se usan para crear una posición de riesgo básica de los usuarios, las entidades que no son personas (NPE) y los dispositivos que permiten tomar decisiones de autorización. Resultados: - La mayoría de las llamadas API pasan a través de la puerta de enlace de API segura- La autorización de recursos recibe datos de Analytics Engine- Las directivas de autorización incorporan atributos identificados para tomar decisiones de autorización- Se identifican los atributos que se usarán para el enriquecimiento inicial |
Microsoft Entra aplicaciones Use Microsoft Entra ID para autorizar aplicaciones y API modernas. Implemente el proxy de aplicaciones de Microsoft Entra y los servidores habilitados con Azure Arc, para extender Microsoft Entra ID hacia los protocolos de autenticación heredados. - Membresía dinámica para grupos - Usuarios, grupos e identidades de carga de trabajo Tipos de información confidencial de Microsoft Purview Defina tipos de información confidencial con coincidencia exacta de datos (EDM). Use tipos de información confidencial con Microsoft Purview Information Protection y las directivas de prevención de pérdida de datos (DLP) de Purview. - Coincidencia de datos basada en tipos de información confidencial - Descubra y proteja la información confidencial Gobierno de Microsoft Entra ID Use Gobierno de Microsoft Entra ID para acceder a las aplicaciones con roles de aplicación. Asigne usuarios a roles de aplicación con pertenencia estática, grupos de seguridad dinámicos o paquetes de acceso de administración de derechos.Agregar roles de aplicación y recibirlos en un tokenControl de acceso basado en rol |
| 3.4.6. Enriquecer atributos para la autorización de recursos Parte 2Los atributos identificados extendidos se integran con la tecnología y la directiva de autorización de recursos. La puntuación de confianza se introduce en los atributos para crear un método más avanzado de toma de decisiones de autorización de forma automatizada. Resultados: - Las directivas de autorización incorporan niveles de confianza para tomar decisiones de autorización- Se definen los niveles de confianza de los atributos |
Protección de Microsoft Entra ID Use el riesgo de inicio de sesión y las señales de usuario de Protección de Microsoft Entra ID en un conjunto de directivas de acceso condicional. Configurar el contexto de autenticación, incluido el riesgo para establecer niveles de confianza, en función de los detalles del entorno y el nivel de riesgo. - Riesgos de Microsoft Entra ID - Plantilla de política: riesgo de inicio de sesión MFA - Ejemplo de contexto de autenticación Consulte la guía de Microsoft 1.3.3 en Usuario. Atributos de seguridad personalizados Administrar y asignar atributos de seguridad personalizados para usuarios de Microsoft Entra ID. Use las condiciones de asignación de roles para el control de acceso basado en atributos dinámicos (ABAC).Atributos de seguridad personalizados |
| 3.4.7. Microsegmentos de la API de RESTAl usar las puertas de enlace de API aprobadas por la empresa de DoD, las llamadas a las aplicaciones se microsegmentan permitiendo únicamente el acceso autenticado y autorizado a destinos específicos (por ejemplo, microservicios). Cuando sea posible, las consolas de microsegmentación de API se integran y son conscientes de otras consolas de microsegmentación, como controladores perimetrales definidos por software o consolas de red definidas por software. Resultado: : Las API empresariales aprobadas se segmentan adecuadamente |
Redes y conectividad de Azure Isolar, filtrar y controlar el tráfico de red en los flujos de entrada y salida. Aplique principios de defensa en profundidad mediante controles de red localizados en los límites de red disponibles. Siga el marco de mejores prácticas de Azure Well-Architected. - Redes y recomendaciones de conectividad - Recomendaciones de estrategia de segmentación Diseño de API Siga los procedimientos recomendados para diseñar API para microservicios. Proteja y autorice las API con Microsoft Entra ID. - Microservicios de API - Proteja las API |
3.5 Supervisión continua y autorizaciones en curso
Los estándares de seguridad de Microsoft Defender for Cloud evalúan continuamente las suscripciones de Azure que están dentro del ámbito de aplicación, las cuentas de Amazon Web Services (AWS) y los proyectos de Google Cloud Platform (GCP) con Defender for Cloud habilitado para cumplir con las normativas regulatorias.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
| 3.5.1 Autorización continua para operar (cATO) Parte 1Las organizaciones de DoD usan soluciones de automatización dentro del entorno para estandarizar la supervisión de controles y ofrecer la capacidad de identificar desviaciones. Cuando corresponda, la supervisión y las pruebas se integran en los procesos DevSecOps. Resultados: - La derivación de controles está estandarizada y lista para la automatización- Las pruebas de controles se integran con procesos y tecnología de DevSecOps | Biblioteca del Director de información de DoD (CIO)Integrar la supervisión y las pruebas en procesos de DevSecOps. Consulte el diseño de referencia de DoD Enterprise DevSecOps - Biblioteca del CIO de DoD Microsoft Defender for Cloud Proteja las cargas de trabajo en Azure y fuera de Azure con Defender for Cloud. Use el cumplimiento normativo y las iniciativas de Azure Policy para evaluar la infraestructura continuamente con los estándares de configuración. Prevenir la desviación de la configuración. - Asignar estándares de seguridad - Entornos multicloud Microsoft Sentinel Automatizar las operaciones de integración y despliegue de Sentinel con GitHub y Azure DevOps. - Integración de Sentinel y Azure DevOps - Desplegar contenido personalizado desde un repositorio |
| 3.5.2 Autorización continua para operar (cATO) Parte 2Las organizaciones de DoD automatizan completamente los procesos de derivación, prueba y supervisión del control. Las desviaciones se prueban y resuelven automáticamente mediante la infraestructura de automatización entre pilares existente. Los tableros de control se utilizan para supervisar el estado de las autorizaciones y el análisis se integra con los funcionarios responsables de la autorización. /brResultados:- Las pruebas de controles están totalmente automatizadas- La integración con las operaciones estándar de IR y SOC está automatizada |
Microsoft Defender Administración de amenazas y vulnerabilidades Incorporate Threat and Vulnerability Management (TVM) en el programa de administración de vulnerabilidades. Consulte la guía de Microsoft en 3.3.2. Azure DevOps y Microsoft Sentinel Automatice la integración de Sentinel y las operaciones de implementación con Azure DevOps. - Integración de Sentinel con Azure DevOps Microsoft Defender XDR y Sentinel Integre Microsoft Defender XDR e Defender for Cloud con Sentinel. - Sentinel y XDR de Defender para Confianza cero |
Pasos siguientes
Configura los servicios en la nube de Microsoft para la estrategia de Confianza cero del DoD.
- Introducción
- User
- Dispositivo
- Aplicaciones y cargas de trabajo
- Data
- Network
- Automatización y orquestación
- Visibilidad y análisis