DoD-Zero Trust Strategie für die Anwendungs- und Arbeitslastensäule

Die DoD Zero Trust Strategie und Roadmap beschreibt einen Weg für Komponenten des Department of Defense und Partner der Verteidigungsindustrie-Basis (DIB), um ein neues Cybersicherheitsframework basierend auf den Zero Trust Prinzipien zu übernehmen. Zero Trust beseitigt herkömmliche Umkreise und Vertrauensannahmen, wodurch eine effizientere Architektur ermöglicht wird, die Sicherheit, Benutzererfahrung und Unternehmensleistung verbessert.

Dieser Leitfaden enthält Empfehlungen für die 152 Zero Trust Aktivitäten im DoD Zero Trust Fähigkeitsausführungsfahrplan. Die Abschnitte entsprechen den sieben Säulen des DoD-Zero Trust-Modells.

Über die folgenden Links gelangen Sie zu den entsprechenden Abschnitten des Leitfadens.

3 Anwendungen und Workloads

Dieser Abschnitt enthält Microsoft-Anleitungen und Empfehlungen für DoD-Zero Trust-Aktivitäten in der Säule "Anwendungen und Workloads". Weitere Informationen finden Sie unter Secure-Anwendungen mit Zero Trust.

Hinweis

Die Empfehlungen in diesem Abschnitt richten sich nach dem DoD Enterprise DevSecOps Reference Design.

3.1 Anwendungsbestand

Microsoft Entra ID ist ein Identitätsanbieter (IdP) für Anwendungen und Cloudplattformen, nicht nur Microsoft 365 und Azure. Microsoft Entra ID umfasst Webportale und RESTful-APIs zum Abrufen von Listen integrierter Anwendungen. Microsoft Defender for Cloud Apps, eine Komponente von Microsoft Defender XDR, verfügt über Funktionen zum Erkennen, Inventarisieren und Blockieren nicht genehmigter Apps.

Beschreibung und Ergebnis der DoD-Aktivität Informationen und Empfehlungen von Microsoft

Target 3.1.1 Anwendungs-/Codeidentifikation
DoD-Organisationen erstellen eine Bestandsliste für genehmigte Anwendungen und genehmigten Code (z. B. Quellcode und Bibliotheken). Jede Organisation wird zumindest im Inventar den Support-Status (z. B. aktiv, legacy, etc.) und den Hoststandort (z. B. Cloud, lokal, hybrid, etc.) nachverfolgen.

Ergebnis:
– Komponente hat Anwendungen identifiziert und als Legacyanwendung, virtualisierte lokale Anwendung oder in der Cloud gehostete Anwendung klassifiziert Microsoft Entra ID
Verwenden Sie das Microsoft Entra Admin Center, um eine Liste der registrierten Anwendungen von Microsoft Entra herunterzuladen. Wählen Sie Download im oberen Menüband.
- Application-Ressourcentyp

Wenn Ihre Organisation Active Directory Federation Services (AD FS) verwendet), stellen Sie Microsoft Entra Connect Health bereit. Verwenden Sie den Anwendungsaktivitätsbericht, um AD FS-Anwendungen zu entdecken.
- Überwachen Sie AD FS mit Connect Health
- Anwendungsaktivitätsbericht

Microsoft Defender Vulnerability Management
Verwenden Sie den Softwarebestand in Defender Vulnerability Management, um Software in Ihrer Organisation anzuzeigen.
- Softwarebestand

Microsoft Defender for Cloud Apps
Richten Sie Cloud-Erkennung in Defender for Cloud Apps ein, um eine Momentaufnahme der Anwendungen zu erhalten, auf die Benutzer zugreifen.
- Cloud-Erkennung einrichten
- Apps untersuchen

Microsoft Intune ermittelte Apps
Intune ermittelte Apps werden von Intune-registrierten Geräten im Mandanten erkannt. Es handelt sich um den Softwarebestand des Mandanten. Auf Unternehmensgeräten werden Apps oder verwaltete Apps für diesen Bericht nicht erfasst.
- Discovered apps

Azure DevOps
Nutzung dieses Diensts für die sichere Paketverwaltung. Entwickler geben Code frei und verwalten Pakete an einer zentralen Stelle.
- Azure Artifacts
- Azure GitHub repos

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Target` 3.1.1 Anwendungs-/Codeidentifikation DoD-Organisationen erstellen eine Bestandsliste für genehmigte Anwendungen und genehmigten Code (z. B. Quellcode und Bibliotheken). Jede Organisation wird zumindest im Inventar den Support-Status (z. B. aktiv, legacy, etc.) und den Hoststandort (z. B. Cloud, lokal, hybrid, etc.) nachverfolgen. Ergebnis: – Komponente hat Anwendungen identifiziert und als Legacyanwendung, virtualisierte lokale Anwendung oder in der Cloud gehostete Anwendung klassifiziert	Microsoft Entra ID Verwenden Sie das Microsoft Entra Admin Center, um eine Liste der registrierten Anwendungen von Microsoft Entra herunterzuladen. Wählen Sie Download im oberen Menüband. - Application-Ressourcentyp Wenn Ihre Organisation Active Directory Federation Services (AD FS) verwendet), stellen Sie Microsoft Entra Connect Health bereit. Verwenden Sie den Anwendungsaktivitätsbericht, um AD FS-Anwendungen zu entdecken. - Überwachen Sie AD FS mit Connect Health - Anwendungsaktivitätsbericht Microsoft Defender Vulnerability Management Verwenden Sie den Softwarebestand in Defender Vulnerability Management, um Software in Ihrer Organisation anzuzeigen. - Softwarebestand Microsoft Defender for Cloud Apps Richten Sie Cloud-Erkennung in Defender for Cloud Apps ein, um eine Momentaufnahme der Anwendungen zu erhalten, auf die Benutzer zugreifen. - Cloud-Erkennung einrichten - Apps untersuchen Microsoft Intune ermittelte Apps Intune ermittelte Apps werden von Intune-registrierten Geräten im Mandanten erkannt. Es handelt sich um den Softwarebestand des Mandanten. Auf Unternehmensgeräten werden Apps oder verwaltete Apps für diesen Bericht nicht erfasst. - Discovered apps Azure DevOps Nutzung dieses Diensts für die sichere Paketverwaltung. Entwickler geben Code frei und verwalten Pakete an einer zentralen Stelle. - Azure Artifacts - Azure GitHub repos

3.2 Sichere Softwareentwicklung und -integration

GitHub-Funktionen wie GitHub Advanced Security (GHAS) und GitHub Actions helfen Ihnen bei der Einrichtung von Zero Trust Softwareentwicklungs- und Bereitstellungsmethoden. GitHub Enterprise Cloud ist in Microsoft Entra ID integriert, um die Berechtigung mit Microsoft Entra ID Governance und sicheren Zugriff mit Richtlinien für bedingten Zugriff zu verwalten.

Entwickler können Microsoft-Authentifizierungsbibliotheken (MSAL) verwenden, um Anwendungen in Microsoft Entra ID zu integrieren. Weitere Informationen finden Sie unter Authenticate users for Zero Trust.

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Target` 3.2.1 Erstellen von DevSecOps-Software-Factorys Teil 1 Das DoD-Unternehmen erstellt die grundlegenden Standards für moderne DevSecOps-Prozesse und CI/CD-Pipelines. Die Konzepte werden in einem standardisierten Technologiestack in DoD-Organisationen angewendet, die zukünftige Anwendungssicherheitsanforderungen erfüllen können. Ein unternehmensweites Programm zur Verwaltung von Sicherheitsrisiken ist in die CI/CD-Pipelines integriert, das die Aktivitäten des Sicherheitsrisiko-Verwaltungsprogramms berücksichtigt. Folgen: – Entwickelte Daten- bzw. Dienststandards für DevSecOps – CI/CD-Pipeline ist voll funktionsfähig und wurde erfolgreich getestet – Programm zur Verwaltung von Sicherheitsrisiken ist offiziell eingerichtet und funktioniert	GitHub ActionsGitHub Actions verwendet kontinuierliche Integration und kontinuierliche Zustellung (CI/CD), um Bereitstellungspipelines zu automatisieren.GitHub ActionsGitHub Advanced SecurityVerwenden Sie GitHub Advanced Security für GitHub und Azure DevOps, um die Sicherheit Ihrer Code- und Entwicklungsprozesse zu verbessern.Erweiterte SicherheitErweiterte Sicherheit für Azure DevOpsMicrosoft Entra SSO und BereitstellungKonfigurieren Sie Single Sign-On (SSO) für Git-Tools mithilfe von Microsoft Entra ID.SSO-Integration mit GitHub Enterprise Cloud-OrganisationSSO-Integration mit GitHub Enterprise ServerEine Organisation mit Microsoft Entra ID verbindenUm mehr über DevSecOps für Azure und andere Clouds zu erfahren, besuchen Sie die DoD Chief Information Officer (CIO) Library.
`Target` 3.2.2 Erstellen von DevSecOps-Software-Factorys Teil 2 DoD-Organisationen verwenden ihre genehmigten CI/CD-Pipelines, um die meisten neuen Anwendungen zu entwickeln. Alle Ausnahmen unterliegen einem standardisierten Genehmigungsprozess, der die Entwicklung im Legacy-Stil gestattet. DevSecOps-Prozesse werden auch verwendet, um alle neuen Anwendungen zu entwickeln und vorhandene Anwendungen zu aktualisieren. Funktionen zur kontinuierlichen Validierung sind in die CI/CD-Pipelines und DevSecOps-Prozesse sowie bestehenden Anwendungen integriert. Folgen: – Entwicklung von Anwendungen wird zur CI/CD-Pipeline migriert – Prozess und Technologie für kontinuierliche Validierung wird implementiert und verwendet – Entwicklung von Anwendungen wird zu DevSecOps-Prozessen und -Technologien migriert	GitHub Advanced Security Verwenden Sie GitHub Advanced Security, um Code-Abhängigkeiten und Schwachstellen zu scannen. Konfigurieren Sie regelmäßige Builds zur Bewertung der Codequalität. - Erweiterte Sicherheit - CodeQL-Codeüberprüfung - Sichere Lieferkette Bicep in Azure Bereitstellen von Cloud-Infrastruktur mit Infrastruktur-als-Code (IaC) mit Azure Resource Manager (ARM) und Bicep-Vorlagen. - Bicep Microsoft Defender für Cloud Aktivieren Sie den Schutz von Workloads mit Defender für Cloud für Abonnements mit Anwendungsworkloads. - Cloud-Workloads schützen Microsoft Defender für DevOps Verwenden Sie Defender für DevOps zur Überwachung der Sicherheit und der Warnungen von Pipelines in Azure DevOps (ADO) und GitHub. - Defender für DevOps
`Target` 3.2.3 Automatisieren der Anwendungssicherheit und Codekorrektur Teil 1 Ein standardisierter Ansatz zur Anwendungssicherheit (einschließlich Codekorrektur) wird im gesamten DoD-Unternehmen implementiert. Teil 1 (1) dieser Aktivität umfasst die Integration eines sicheren API-Gateways mit Anwendungen, die APIs oder ähnliche Aufrufe verwenden. Code Reviews werden in einem methodischen Ansatz durchgeführt, und standardisierte Schutzmaßnahmen für Container und ihre Infrastruktur sind vorhanden. Darüber hinaus nutzen serverlose Funktionen, bei denen Drittanbieter die Infrastruktur verwalten (z. B. Platform-as-a-Service), angemessene serverlose Sicherheitsüberwachungs- und Reaktionsfunktionen. Code Reviews, Container- und serverlose Sicherheitsfunktionen werden je nach Bedarf in den CI/CD- und/oder DevSecOps-Prozess integriert. Folgen: – Sicheres API-Gateway ist betriebsbereit; Großteil der API-Aufrufe durchläuft Gateway – Anwendungssicherheitsfunktionen (z. B. Code Review, Sicherheit für Container und serverlose Komponenten) werden als Teil von CI/CD und DevSecOps implementiert	Azure Application Gateway Stellen Sie öffentlich zugängliche Webanwendungen und APIs mit Azure Application Gateway und der Web Application Firewall bereit. - Web Application Firewall Microsoft Entra ID-Anwendungen Microsoft Entra ID ist ein Autorisierungsgateway für den Zugriff auf Webanwendungen und APIs. Machen Sie APIs für registrierte Anwendungen mit Microsoft Entra verfügbar. Verwenden Sie integrierte Authentifizierung und Autorisierung (Easy Auth) in Azure App Service und Azure Functions. Verwenden Sie für Microsoft Entra ID-unabhängige APIs die OAuth-Autorisierung in Azure API Management. - Konfigurieren Sie eine App zur Bereitstellung von Web-APIs - Authentifizierung und Autorisierung in Azure App Service und Azure Functions - Authentifizierung und Autorisierung von APIs GitHub Advanced Security Verwenden Sie GitHub Advanced Security für GitHub und Azure DevOps. Siehe Microsoft-Leitfaden in 3.2.1. Microsoft Defender for Cloud Aktivieren Sie Defender for Cloud-Werklastschutz für Azure-Abonnements mit API-Workloads. Siehe Microsoft-Leitfaden unter Punkt 3.2.2.
`Advanced` 3.2.4 Automatisieren der Anwendungssicherheit und Codekorrektur Teil 2 DoD-Organisationen modernisieren die Ansätze für die Bereitstellung intern entwickelter und verwalteter Dienste nach bewährten Methoden (z. B. Microservices). Diese Ansätze ermöglichen resilientere und sicherere Architekturen, indem schnellere Änderungen am Code in den Microservices vorgenommen werden können, wenn Sicherheitsprobleme erkannt werden. Die Sicherheitsaktivitäten zur weiteren Weiterentwicklung werden im gesamten DoD-Gesamtsystem fortgesetzt, einschließlich der angemessenen Einbeziehung von Laufzeitsicherheitsfunktionen für Container, automatisierter Updates für gefährdete Bibliotheken und automatisierter CI/CD-Genehmigungen während des Veröffentlichungsprozesses. Folgen: – Sicheres API-Gateway ist betriebsbereit; Großteil der API-Aufrufe durchläuft Gateway – Dienste werden gemäß einer dienstorientierten Architektur (Service Oriented Architecture, SOA) bereitgestellt – Sicherheitsaktivitäten (z. B. Laufzeitsicherheit, Bibliotheksupdates und Veröffentlichungsgenehmigung) sind vollständig automatisiert	Vollständige Aktivitäten 3.2.2 und 3.2.3.

3.3 Softwarerisikomanagement

GitHub Actions helfen, Softwareentwicklungsworkflows für DevSecOps zu automatisieren, anzupassen und auszuführen. Generieren Sie mit GitHub Actions eine Softwareabrechnung von Materialien (SBOM), analysieren Sie Code, und suchen Sie nach Lieferketten- und Abhängigkeitsrisiken. Weitere Informationen zu GitHub Actions finden Sie unter GitHub Actions.

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Target` 3.3.1 Genehmigte Binärdateien/genehmigter Code Das DoD-Unternehmen verwendet bewährte Methoden zum Verwalten von genehmigten Binärdateien und genehmigtem Code in einem methodischen Ansatz. Zu diesen Ansätzen gehören das Lieferanten-Beschaffungsrisikomanagement, die genehmigte Repositorynutzung, das Risikomanagement im Zusammenhang mit der Materialversorgungskette und das branchenübliche Sicherheitsrisikomanagement. Folgen: – Lieferanten-Beschaffungsrisiko wurde für genehmigte Quelle ausgewertet und identifiziert – Repository- und Updatekanal wurde für die Verwendung durch die Entwicklungsteams eingerichtet – Stückliste wird für Anwendungsidentifizierungsquelle, Unterstützung und Risikostatus erstellt – Branchenstandards (DIB) und genehmigte Sicherheitsrisikodatenbanken werden für die Verwendung in DevSecOps abgerufen	GitHub Actions Standardisieren Sie DevSecOps-Prozesse, um eine Software-Stückliste (SBOM) mit einer kontinuierlichen Integrations- und Bereitstellungspipeline (CI/CD) zu erstellen. - Generieren Sie Software-Stücklisten Verwenden Sie GitHub Dependabot und CodeQL, um Sicherheitsüberprüfungen zu automatisieren und nach Abhängigkeitsrisiken zu suchen. - CodeQL-Code-Scannen - Sichere Lieferkette Windows Defender-Anwendungskontrolle Verwenden Sie Windows Defender-Anwendungskontrolle, um zu verhindern, dass nicht vertrauenswürdiger Code auf verwalteten Endpunkten ausgeführt wird. - Anwendungskontrolle und AppLocker - Plattform-Codeintegrität
`Target` 3.3.2 Programm zur Verwaltung von Sicherheitsrisiken Teil 1 Das DoD-Unternehmen arbeitet mit Organisationen zusammen, um ein Programm zur Verwaltung von Sicherheitsrisiken zu entwickeln und zu verwalten. Das Programm umfasst Richtlinien und Standards, auf die sich alle Organisationen geeinigt haben. Das entwickelte Programm umfasst mindestens das Nachverfolgen und Verwalten von öffentlichen Sicherheitsrisiken basierend auf DoD-Anwendungen bzw. -Diensten. Für die Verwaltung von Sicherheitsrisiken richten Organisationen ein Team mit Hauptansprechpartnern ein, in denen Sicherheitsrisiken gemäß den Unternehmensrichtlinien und -standards diskutiert und verwaltet werden. Ergebnisse: - Ein Schwachstellenmanagement-Team mit den entsprechenden Stakeholdern ist eingerichtet - Schwachstellenmanagementrichtlinien und -prozesse sind vorhanden und mit den Stakeholdern abgestimmt - Öffentliche Quellen für Schwachstellen werden zur Nachverfolgung genutzt	Bedrohungs- und Sicherheitsrisikomanagement (TVM) Die Funktionen für das Bedrohungs- und Sicherheitsrisikomanagement (Threat and Vulnerability Management, TVM) ermöglichen einen Überblick über die Ressourcen sowie intelligente Bewertungen. TVM verfügt über integrierte Remediations-Tools für Endpunkte und Server. Verwenden Sie TVM mit einem Schwachstellenmanagementprogramm. - Microsoft Defender TVM Microsoft-Cloud-Sicherheitsbenchmark Überprüfen Sie, wie Microsoft Online-Dienste Schwachstellenmanagement durchführen. - TVM-Übersicht - Haltung und Schwachstellenmanagement
`Target` 3.3.3 Programm für Sicherheitsrisikomanagement Teil 2 Prozesse werden auf der DoD-Unternehmensebene eingerichtet, um die Offenlegung von Sicherheitsrisiken in den vom DoD verwalteten öffentlich zugänglichen und privaten Diensten zu verwalten. DoD-Organisationen erweitern das Programm zur Verwaltung von Sicherheitsrisiken, um geschlossene Sicherheitsrisikorepositorys (z. B. DIB und CERT) nachzuverfolgen und zu verwalten. Folgen: – Verwendung von kontrollierten Quellen (z. B. DIB und CERT) von Sicherheitsrisiken für die Nachverfolgung – Programm zur Verwaltung von Sicherheitsrisiken umfasst Prozess zur Genehmigung der externen bzw. öffentlichen Offenlegung für verwaltete Dienste	Threat and Vulnerability Management Verwenden Sie die Schwachstellenseite in Microsoft Defender TVM, um entdeckte Schwachstellen auf den Geräten und Servern Ihrer Organisation zu identifizieren und priorisieren. - Schwachstellen in der Organisation Verfolgen Sie Abhilfemaßnahmen mit dem TVM-Bericht über gefährdete Geräte. - Bericht über gefährdete Geräte
`Target` 3.3.4 Kontinuierliche Validierung DoD-Organisationen implementieren einen Ansatz für kontinuierliche Validierung für die Anwendungsentwicklung, bei dem die parallele Bereitstellung durchgeführt und in eine genehmigte Umgebungsebene integriert wird (z. B. Benutzerakzeptanztests, Produktion). Anwendungen, die die kontinuierliche Validierung nicht in ihren CI/CD-Prozess integrieren können, werden identifiziert, und Ausnahmen werden bei Bedarf mithilfe eines methodischen Ansatzes ermöglicht. Folgen: – Bereitstellung von aktualisierten Anwendungen in einer Liveumgebung und/oder Produktionsumgebung – Außerbetriebnahme von Anwendungen, die für die Außerbetriebnahme und Umstellung markiert wurden – Implementierung von Tools für die kontinuierliche Validierung sowie Anwendung dieser Tools auf Code in der CI/CD-Pipeline – Identifizierung von Code, der eine kontinuierliche Validierung erfordert, sowie Festlegen von Validierungskriterien	Azure Chaos Studio Verwenden Sie Azure Chaos Studio, um Workloads zu validieren. - Kontinuierliche Validierung GitHub Advanced Security Verwenden Sie GitHub features und Aktionen für das Sicherheitsrisikomanagement im DoD Enterprise DevSecOps Reference Design. Siehe Microsoft-Leitlinien in 3.2.1.

3.4 Ressourcenautorisierung und -integration

Bedingter Zugriff ist das Zero Trust Richtlinienmodul in Microsoft Entra ID. Verbinden Sie Ihre Anwendungsworkloads mit Microsoft Entra ID. Verwenden Sie Microsoft Entra ID Governance, um Berechtigungen und sichere Anmeldungen mit Richtlinien für bedingten Zugriff zu verwalten. Die Richtlinien verwenden Sicherheitsattribute wie Geräteintegrität, Sitzungsdetails und Risiken, um adaptive Zugriffsentscheidungen zu treffen. Microsoft Entra ID-, Azure Resource Manager- und CI/CD-Pipelines autorisieren die Ressourcenbereitstellung in Azure.

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Target` 3.4.1 Ressourcenautorisierung Teil 1 Das DoD-Unternehmen standardisiert die Ressourcenautorisierungsansätze (z. B. Software Defined Perimeter) mit den Organisationen. Zumindest die Ressourcenautorisierungsgateways werden in Identitäten und Geräte integriert. Organisationen stellen genehmigte Ressourcenautorisierungsgateways bereit und aktivieren sie für externe Anwendungen bzw. Dienste. Andere Anwendungen für die Migration sowie Anwendungen, die nicht migriert werden können, werden als Ausnahme oder für die Außerbetriebnahme identifiziert. Folgen: – Ressourcenautorisierungsgateway ist für externe Anwendungen verfügbar – Ressourcenautorisierungsrichtlinie ist in Identität und Gerät integriert – Bereitstellen von unternehmensweit gültigen Leitfäden zu Konvertierungsstandards für alle Projektbeteiligten	Microsoft Entra ID Microsoft Entra ist ein Autorisierungsgateway für Anwendungsressourcen. Integrieren Sie moderne und überholte Anwendungen für SSO mit Microsoft Entra. Siehe Microsoft-Anleitung 1.2.4 in User. Microsoft Entra ID Governance Verwenden Sie Microsoft Entra ID Governance App-Rollen für den Zugriff auf die Anwendungen. Zuweisen von Benutzern zu App-Rollen mithilfe statischer Mitgliedschaft, dynamischer Microsoft Entra Sicherheitsgruppen oder Zugriffspaketen für die Berechtigungsverwaltung. - App-Rollen zu einer App hinzufügen und sie in einem Token empfangen - Rollenbasierte Zugriffskontrolle Bedingter Zugriff Verwenden Sie Richtlinien für bedingten Zugriff zum dynamischen Autorisieren, Steuern oder Blockieren des Anwendungszugriffs. Siehe Microsoft-Leitfaden 1.8.3 unter Benutzer und 2.1.4 unter Gerät. Azure Application Gateway Öffentlich zugängliche Webanwendungen und APIs mit dem Anwendungsgateway und der Webanwendungs-Firewall aktivieren. Siehe Microsoft-Leitfaden 3.2.3.
`Target` 3.4.2 Ressourcenautorisierung Teil 2 Ressourcenautorisierungsgateways werden für alle möglichen Anwendungen/Dienste verwendet. Anwendungen, die Gateways nicht verwenden können, werden entweder außer Betrieb genommen oder mithilfe eines risikobasierten methodischen Ansatzes als Ausnahme eingestuft. Autorisierungen werden weiter in die CI/CD-Pipeline für die automatisierte Entscheidungsfindung integriert. Folgen: – Ressourcenautorisierungsgateway wird für alle Anwendungen verwendet – Ressourcenautorisierung ist in DevSecOps und CI/CD für automatisierte Funktionen integriert	Microsoft Entra Workload ID Verwenden Sie die Workload-Identitäts Föderation, um eine benutzerzugewiesene verwaltete Identität zu konfigurieren oder eine App-Registrierung, um Token von einem externen Identitätsanbieter (IdP) zu vertrauen. Verwenden Sie die Verbundarbeitsauslastungsidentität für GitHub Actions Workflows. - Workload Identity Federation Azure API Management Verwenden Sie Azure API Management, um Dienste, die auf Azure und außerhalb davon gehostet werden, als APIs zu verwalten, zu autorisieren und bereitzustellen. - Azure API Management
`Target` 3.4.3. SDC-Ressourcenautorisierung Teil 1 Das DoD-Unternehmen stellt einen standardisierten Ansatz für die codebasierte Computeverwaltung (z. B. Software Definition Compute) gemäß den bewährten Methoden in der Branche bereit. Mithilfe von risikobasierten Ansätzen werden Baselines unter Verwendung der genehmigten Codebibliotheken und -pakete erstellt. DoD-Organisationen stellen mit den genehmigten Code- bzw. Binärdateiaktivitäten sicher, dass die Anwendungen identifiziert werden, die den Ansatz unterstützen bzw. nicht unterstützen können. Anwendungen, die eine moderne softwarebasierte Konfiguration und Verwaltungsansätze unterstützen können, werden identifiziert. Infolgedessen wird der Übergang eingeleitet. Anwendungen, die keine softwarebasierten Konfigurations- und Verwaltungsansätze berücksichtigen können, werden identifiziert und mithilfe eines methodischen Ansatzes als Ausnahme zugelassen. Folgen: – Markieren von Anwendungen für die Außerbetriebnahme, die nicht so aktualisiert werden können, dass sie genehmigte Binärdateien oder genehmigten Code verwenden; Erstellen von Übergangsplänen – Aktualisieren von identifizierten Anwendungen ohne genehmigte Binärdateien und ohne genehmigten Code für die Verwendung von genehmigten Binärdateien bzw. genehmigtem Code – Bereitstellen von unternehmensweit gültigen Leitfäden zu Konvertierungsstandards für alle Projektbeteiligten	Sichere Entwicklung Entwerfen, entwickeln und implementieren Sie Azure-Anwendungen nach dem Sicherheitsentwicklungslebenszyklus und den veröffentlichten bewährten Praktiken. - Sichere Entwicklung - Azure-Infrastruktur als Code - Azure Policy als Code-Workflows Microsoft Entra ID Verwenden Sie die Microsoft Identity Platform für die Authentifizierung und Autorisierung von Anwendungen. - Migrieren von Apps und Authentifizierung Azure Migrate Migrieren Sie zu modernen Anwendungsplattformen wie dem Azure Kubernetes Service (AKS) und App Service-Containern. - Migrieren von Workloads zu modernen Anwendungsplattformen - Bewerten Sie ASP.NET-Apps für die Migration zu AKS - Bewerten Sie ASP.NET-Apps für die Migration zu Azure App Service
`Target` 3.4.4 SDC-Ressourcenautorisierung Teil 2 Anwendungen, die eine softwarebasierte Konfiguration und Verwaltung unterstützen, wurden in eine Produktions- bzw. Liveumgebung verschoben und werden in normalen Vorgängen genutzt. Anwendungen, die keine softwarebasierte Konfiguration und Verwaltung unterstützen können, werden nach Möglichkeit außer Betrieb genommen. Folgen: – Bereitstellung von aktualisierten Anwendungen in einer Live- und/oder Produktionsumgebung – Außerbetriebnahme von Anwendungen, die für die Außerbetriebnahme und einen Übergang markiert wurden	Azure Migrate Containerisieren und migrieren Sie ASP.NET-Anwendungen und Java-Webanwendungen mit dem Azure Migrate: App-Containerisierungs-Tool. Außerbetriebnahme von Anwendungen, die nicht modernisiert werden können. - ASP.NET App-Containerisierung und Migration zu AKS - ASP.NET App-Containerisierung und Migration zu Azure App Service - Java Web-App-Containerisierung und Migration zu AKS - Java Web App-Containerisierung und Migration zu Azure App Service
`Advanced` 3.4.5 Anreichern von Attributen für die Ressourcenautorisierung Teil 1 Anfängliche Attribute aus Quellen wie der Aktivitätsüberwachung für Benutzer und Entitäten, Mikrosegmentierungsdiensten, DLPs und Datenrechteverwaltung (Data Rights Management, DRM) werden in den Technologiestack und die Richtlinie für die Ressourcenautorisierung integriert. Alle anderen Attribute für die spätere Integration werden identifiziert und geplant. Attribute werden verwendet, um das grundlegende Risikoprofil von Benutzern, nicht-personalen Entitäten (Non-person Entities, NPEs) und Geräten zu formen, wodurch Autorisierungsentscheidungen ermöglicht werden. Folgen: – Großteil der API-Aufrufe durchläuft sicheres API-Gateway – Ressourcenautorisierung empfängt Daten von Analyse-Engine – Autorisierungsrichtlinien enthalten identifizierte Attribute beim Treffen von Autorisierungsentscheidungen – Identifizierung von Attributen, die für die anfängliche Anreicherung verwendet werden	Microsoft Entra Anwendungen Verwenden Sie Microsoft Entra ID, um moderne Anwendungen und APIs zu autorisieren. Stellen Sie Microsoft Entra Anwendungsproxy und Azure Arc aktivierte Server bereit, um Microsoft Entra ID auf ältere Authentifizierungsprotokolle zu erweitern. Siehe die Microsoft-Richtlinien in 3.1.1 und in 3.2.3. Bedingter Zugriff Microsoft Entra ist ein sicheres Gateway für die Ressourcenautorisierung. Conditional Access ist das Autorisierungssystem. Konfigurieren Sie Richtlinien für die detaillierte Autorisierung mithilfe von Benutzer-, Anwendungs- und Umgebungsbedingungen (einschließlich Gerätekonformitätsstatus). - Bedingter Zugriff - Entwurf für bedingten Zugriff - Notwendigkeit von konformen Geräten Dynamische Sicherheitsgruppen Erstellen Sie dynamische Sicherheitsgruppen basierend auf Benutzerattributen. Verwenden Sie dynamische Gruppen, um Richtlinien für bedingten Zugriff für die Autorisierung von statischen Attributen basierend auf Benutzerattributen. - Dynamische Mitgliedschaft für Gruppen - Benutzer, Gruppen und Workloadidentitäten Microsoft Purview Typen vertraulicher Informationen Definieren Sie vertrauliche Informationstypen mit exakter Dateneinstimmung (EDM). Verwenden Sie Typen vertraulicher Informationen mit Microsoft Purview Information Protection und Purview-Datenverlustverhinderungsrichtlinien (Data Loss Prevention, DLP). - Datenabgleich anhand von Typen vertraulicher Informationen - Ermitteln und Schutz vertraulicher Informationen Microsoft Entra ID Governance Verwenden Sie Microsoft Entra ID Governance, um Zugriff auf Anwendungen mit Anwendungsrollen zu erhalten. Weisen Sie Benutzern App-Rollen zu, indem Sie statische Mitgliedschaften, dynamische Sicherheitsgruppen oder Zugriffspakete für Entitlement-Management verwenden. - App-Rollen hinzufügen und in einem Token empfangen - Rollenbasierte Zugriffskontrolle
`Advanced` 3.4.6. Anreicherung von Attributen für die Ressourcenautorisierung Teil 2 Erweiterte identifizierte Attribute werden in die Ressourcenautorisierungstechnologie und -richtlinie integriert. Konfidenzbewertungen werden attributübergreifend eingeführt, um eine komplexere Methode der Autorisierungsentscheidungsfindung in automatisierter Weise zu erstellen. Folgen: – Autorisierungsrichtlinien enthalten Konfidenzstufen beim Treffen von Autorisierungsentscheidungen – Definition von Konfidenzstufen für Attribute	Microsoft Entra ID Protection Verwenden Sie Anmelderisiken und Benutzersignale von Microsoft Entra ID Protection in einem Richtliniensatz für bedingten Zugriff. Konfigurieren des Authentifizierungskontexts, einschließlich des Risikos zum Einrichten von Konfidenzniveaus, basierend auf Umweltdetails und Risikostufe. - Microsoft Entra ID Risiken - Policy-Vorlage: Anmelderisiko MFA - Beispiel für Authentifizierungskontext Siehe Microsoft-Leitfaden 1.3.3 in User. Benutzerdefinierte Sicherheitsattribute Verwalten und zuweisen benutzerdefinierter Sicherheitsattribute für Microsoft Entra ID Benutzer. Verwenden Sie Rollenzuweisungsbedingungen für die dynamische attributbasierte Zugriffssteuerung (ABAC). - Benutzerdefinierte Sicherheitsattribute
`Advanced` 3.4.7. REST-API-Mikrosegmente Mithilfe des/der genehmigten API-Gateways von DoD-Unternehmen werden Anwendungsaufrufe mikrosegmentiert, sodass nur authentifizierter und autorisierter Zugriff auf bestimmte Ziele (z. B. Microservices) erlaubt wird. Wenn möglich, sind API-Mikrosegmentierungskonsolen in andere Mikrosegmentierungskonsolen integriert und erkennen diese, wie zum Beispiel softwaredefinierte Perimetersteuerungen und/oder softwaredefinierte Netzwerkkonsolen. Folge: – Genehmigte Unternehmens-APIs sind entsprechend mikrosegmentiert	Azure Netzwerk- und Konnektivität Isolieren, Filtern und Steuern des Netzwerkdatenverkehrs über Eingangs- und Ausgangsflüsse hinweg. Wenden Sie Defense-in-Depth-Prinzipien mithilfe lokalisierter Netzwerksteuerelemente an verfügbaren Netzwerkgrenzen an. Befolgen Sie das Azure Well-Architected Framework. - Empfehlungen zu Networking und Konnektivität - Empfehlungen zur Segmentierungsstrategie API-Design Befolgen Sie die empfohlenen Praktiken, um APIs für Microservices zu entwerfen. Schützen und Autorisieren von APIs mit Microsoft Entra ID. - Microservice-APIs - Protect APIs

3.5 Kontinuierliche Überwachung und fortlaufende Genehmigungen

Microsoft Defender for Cloud Sicherheitsstandards bewerten kontinuierlich Azure-Abonnements im Geltungsbereich, Amazon Web Services (AWS)-Konten und Google Cloud Platform (GCP)-Projekte mit aktiviertem Defender for Cloud zur Einhaltung gesetzlicher Standards.

Beschreibung und Ergebnis der DoD-Aktivität Informationen und Empfehlungen von Microsoft

Advanced 3.5.1 Continuous Authorization To Operate (cATO) Teil 1
DoD-Organisationen verwenden Automatisierungslösungen innerhalb der Umgebung, um die Überwachung von Kontrollen zu standardisieren und um Abweichungen zu identifizieren. Nach Möglichkeit werden Überwachung und Tests in DevSecOps-Prozesse integriert.

Folgen:
– Ableitung von Steuerelementen ist standardisiert und bereit für die Automatisierung
– Testen von Steuerelementen ist in DevSecOps-Prozesse und -Technologie integriert Chief Information Officer-Bibliothek (CIO) des DoD
Integrieren Sie die Überwachung und Tests in DevSecOps-Prozesse. Weitere Informationen finden Sie im DoD Enterprise DevSecOps Reference Design
- DoD CIO Library

Microsoft Defender for Cloud
Schützen Sie Azure- und Nicht-Azure-Arbeitslasten mit Defender for Cloud. Verwenden Sie die Einhaltung gesetzlicher Vorschriften und Azure Policy Initiativen, um die Infrastruktur kontinuierlich mit Konfigurationsstandards zu bewerten. Verhindern Sie Konfigurationsabweichung.Sicherheitsstandards zuweisenMulticloud-UmgebungenMicrosoft SentinelAutomatisieren Sie Sentinel-Integrations- und Bereitstellungsvorgänge mit GitHub und Azure DevOps.Sentinel und Azure DevOps IntegrationBenutzerdefinierte Inhalte aus einem Repository bereitstellen

Advanced 3.5.2 Continuous Authorization to Operate (cATO) Pt2
DoD-Organisationen automatisieren die Ableitung von Kontrollen, das Testen sowie die Überwachungsprozesse vollständig. Abweichungen werden automatisch mit bestehender säulenübergreifender Automatisierungsinfrastruktur getestet und aufgelöst. Dashboarding wird verwendet, um den Status der Autorisierungen zu überwachen, und die Analysen werden für die zuständigen Genehmigungsbehörden integriert.< /br>
Folgen:
– Vollständige Automatisierung von Steuerelementtests
– Automatisierung der Integration in IR- und SOC-Standardvorgänge Microsoft Defender Threat and Vulnerability Management
Incorporate Threat and Vulnerability Management (TVM) in Ihrem Programm zur Sicherheitsrisikoverwaltung.

Siehe Microsoft-Anleitung in 3.3.2.

Azure DevOps und Microsoft Sentinel
Automatisieren Sie die Sentinel-Integrations- und Bereitstellungsvorgänge mit Azure DevOps.
- Sentinel-Integration mit Azure DevOps

Microsoft Defender XDR und Sentinel
Integrieren Sie Microsoft Defender XDR und Defender for Cloud mit Sentinel.
- Sentinel und Defender XDR für Zero Trust

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Advanced` 3.5.1 Continuous Authorization To Operate (cATO) Teil 1 DoD-Organisationen verwenden Automatisierungslösungen innerhalb der Umgebung, um die Überwachung von Kontrollen zu standardisieren und um Abweichungen zu identifizieren. Nach Möglichkeit werden Überwachung und Tests in DevSecOps-Prozesse integriert. Folgen: – Ableitung von Steuerelementen ist standardisiert und bereit für die Automatisierung – Testen von Steuerelementen ist in DevSecOps-Prozesse und -Technologie integriert	Chief Information Officer-Bibliothek (CIO) des DoD Integrieren Sie die Überwachung und Tests in DevSecOps-Prozesse. Weitere Informationen finden Sie im DoD Enterprise DevSecOps Reference Design - DoD CIO Library Microsoft Defender for Cloud Schützen Sie Azure- und Nicht-Azure-Arbeitslasten mit Defender for Cloud. Verwenden Sie die Einhaltung gesetzlicher Vorschriften und Azure Policy Initiativen, um die Infrastruktur kontinuierlich mit Konfigurationsstandards zu bewerten. Verhindern Sie Konfigurationsabweichung.Sicherheitsstandards zuweisenMulticloud-UmgebungenMicrosoft SentinelAutomatisieren Sie Sentinel-Integrations- und Bereitstellungsvorgänge mit GitHub und Azure DevOps.Sentinel und Azure DevOps IntegrationBenutzerdefinierte Inhalte aus einem Repository bereitstellen
`Advanced` 3.5.2 Continuous Authorization to Operate (cATO) Pt2 DoD-Organisationen automatisieren die Ableitung von Kontrollen, das Testen sowie die Überwachungsprozesse vollständig. Abweichungen werden automatisch mit bestehender säulenübergreifender Automatisierungsinfrastruktur getestet und aufgelöst. Dashboarding wird verwendet, um den Status der Autorisierungen zu überwachen, und die Analysen werden für die zuständigen Genehmigungsbehörden integriert.< /br> Folgen: – Vollständige Automatisierung von Steuerelementtests – Automatisierung der Integration in IR- und SOC-Standardvorgänge	Microsoft Defender Threat and Vulnerability Management Incorporate Threat and Vulnerability Management (TVM) in Ihrem Programm zur Sicherheitsrisikoverwaltung. Siehe Microsoft-Anleitung in 3.3.2. Azure DevOps und Microsoft Sentinel Automatisieren Sie die Sentinel-Integrations- und Bereitstellungsvorgänge mit Azure DevOps. - Sentinel-Integration mit Azure DevOps Microsoft Defender XDR und Sentinel Integrieren Sie Microsoft Defender XDR und Defender for Cloud mit Sentinel. - Sentinel und Defender XDR für Zero Trust

Nächste Schritte

Konfigurieren von Microsoft-Clouddiensten für die DoD-Zero Trust-Strategie:

Feedback

War diese Seite hilfreich?

Last updated on 2026-03-06