Estratégia de Zero Trust do DoD para o pilar de aplicativos e cargas de trabalho

O DoD Zero Trust Strategy and Roadmap descreve um caminho para os parceiros do Departamento de Defesa e da Base Industrial de Defesa (DIB) adotarem uma nova estrutura de segurança cibernética com base em princípios Zero Trust. Zero Trust elimina perímetros tradicionais e suposições de confiança, permitindo uma arquitetura mais eficiente que aprimora a segurança, as experiências do usuário e o desempenho da missão.

Este guia tem recomendações para as 152 atividades de Zero Trust no DoD Zero Trust Capability Execution Roadmap. As seções correspondem aos sete pilares do modelo de Zero Trust do DoD.

Use os links a seguir para acessar as seções do guia.

3 Aplicativos e cargas de trabalho

Esta seção tem diretrizes e recomendações da Microsoft para atividades de Zero Trust do DoD no pilar de aplicativos e cargas de trabalho. Para saber mais, consulte Proteja as aplicações com Zero Trust.

Observação

As recomendações nesta seção estão alinhadas com o rascunho DoD Enterprise DevSecOps Reference Design.

3.1 Inventário de aplicativos

Microsoft Entra ID é um IdP (provedor de identidade) para aplicativos e plataformas de nuvem, não apenas Microsoft 365 e Azure. Microsoft Entra ID inclui portais da Web e APIs RESTful para recuperar listas de aplicativos integrados. Microsoft Defender for Cloud Apps, um componente do Microsoft Defender XDR, tem recursos para descobrir, inventariar e bloquear aplicativos não sancionados.

Descrição e resultado da atividade do DoD Diretrizes e recomendações da Microsoft

Target 3.1.1 Identificação de aplicativo/código
As organizações DoD criam um inventário de aplicativos e códigos aprovados (por exemplo, código-fonte, bibliotecas etc.). Cada organização acompanhará a capacidade de suporte (ou seja, ativa, herdada etc.) e a localização hospedada (ou seja, nuvem, local, híbrida etc.) pelo menos no inventário.

Resultado:
- O componente identificou aplicativos e foi classificado como herdado, virtualizado local e hospedado na nuvem Microsoft Entra ID
Use o centro de administração do Microsoft Entra para baixar uma lista de Microsoft Entra aplicativos registrados. Selecione Download na faixa de opções superior.
- tipo de recurso do aplicativo

Se sua organização usar Active Directory Federation Services (AD FS), implante Microsoft Entra Connect Health. Use o relatório de atividade do aplicativo para descobrir aplicativos do AD FS.Monitorar o AD FS com o Connect HealthRelatório de atividade do aplicativoGerenciamento de Vulnerabilidades do Microsoft DefenderUse o inventário de software no Gerenciamento de Vulnerabilidades do Defender para exibir o software em sua organização.Inventário de SoftwareMicrosoft Defender for Cloud AppsConfigurar Descoberta na Nuvem no Defender for Cloud Apps para obter um instantâneo de aplicativos acessados por usuários.Configurar Descoberta na NuvemInvestigar aplicativosAplicativos descobertos pelo Microsoft IntuneAplicativos descobertos pelo Intune são detectados por dispositivos registrados no Intune no locatário. É um inventário de software do locatário. Em dispositivos corporativos, aplicativos ou aplicativos gerenciados não são coletados para este relatório.
- Discovered apps

Azure DevOps
Use esse serviço para gerenciamento seguro de pacotes. Os desenvolvedores compartilham código e gerenciam pacotes em um local.
- Azure Artifacts
- Azure GitHub repositórios

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 3.1.1 Identificação de aplicativo/código As organizações DoD criam um inventário de aplicativos e códigos aprovados (por exemplo, código-fonte, bibliotecas etc.). Cada organização acompanhará a capacidade de suporte (ou seja, ativa, herdada etc.) e a localização hospedada (ou seja, nuvem, local, híbrida etc.) pelo menos no inventário. Resultado: - O componente identificou aplicativos e foi classificado como herdado, virtualizado local e hospedado na nuvem	Microsoft Entra ID Use o centro de administração do Microsoft Entra para baixar uma lista de Microsoft Entra aplicativos registrados. Selecione Download na faixa de opções superior. - tipo de recurso do aplicativo Se sua organização usar Active Directory Federation Services (AD FS), implante Microsoft Entra Connect Health. Use o relatório de atividade do aplicativo para descobrir aplicativos do AD FS.Monitorar o AD FS com o Connect HealthRelatório de atividade do aplicativoGerenciamento de Vulnerabilidades do Microsoft DefenderUse o inventário de software no Gerenciamento de Vulnerabilidades do Defender para exibir o software em sua organização.Inventário de SoftwareMicrosoft Defender for Cloud AppsConfigurar Descoberta na Nuvem no Defender for Cloud Apps para obter um instantâneo de aplicativos acessados por usuários.Configurar Descoberta na NuvemInvestigar aplicativosAplicativos descobertos pelo Microsoft IntuneAplicativos descobertos pelo Intune são detectados por dispositivos registrados no Intune no locatário. É um inventário de software do locatário. Em dispositivos corporativos, aplicativos ou aplicativos gerenciados não são coletados para este relatório. - Discovered apps Azure DevOps Use esse serviço para gerenciamento seguro de pacotes. Os desenvolvedores compartilham código e gerenciam pacotes em um local. - Azure Artifacts - Azure GitHub repositórios

3.2 Desenvolvimento e integração de software seguro

Recursos do GitHub, como o GitHub Advanced Security (GHAS) e o GitHub Actions, ajudam você a estabelecer práticas de desenvolvimento e implantação de software de Zero Trust. GitHub Enterprise Cloud integra-se com Microsoft Entra ID para gerenciar direitos com Microsoft Entra ID Governance e acesso seguro com políticas de Acesso Condicional.

Os desenvolvedores podem usar as MSAL (Bibliotecas de Autenticação da Microsoft) para integrar aplicativos a Microsoft Entra ID. Para obter mais informações, consulte Autenticar usuários para Zero Trust.

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 3.2.1 Criar fábrica de software de DevSecOps – Parte 1 A empresa DoD cria os padrões fundamentais para processos modernos de DevSecOps e pipelines de CI/CD. Os conceitos são aplicados em uma pilha de tecnologia padronizada em organizações do DoD capazes de atender a requisitos futuros de segurança de aplicativos. Um programa de Gerenciamento de Vulnerabilidades em toda a organização é integrado aos pipelines de CI/CD em alinhamento com as atividades do Programa de Gerenciamento de Vulnerabilidades. Resultados: – Padrões de Dados/Serviço desenvolvidos para DevSecOps – O Pipeline de CI/CD é totalmente funcional e testado com êxito – o programa de Gerenciamento de Vulnerabilidades está oficialmente em vigor e operando	GitHub ActionsO GitHub Actions usa integração contínua e entrega contínua (CI/CD) para automatizar pipelines de implantação.GitHub ActionsGitHub Advanced SecurityUse o GitHub Advanced Security para GitHub e Azure DevOps para aprimorar a segurança de seus códigos e processos de desenvolvimento.Segurança AvançadaSegurança Avançada para Azure DevOpsMicrosoft Entra SSO e provisionamentoConfigure o logon único (SSO) para ferramentas Git usando o Microsoft Entra ID.Integração de SSO com a organização GitHub Enterprise CloudIntegração de SSO com o GitHub Enterprise ServerConecte uma organização ao Microsoft Entra IDPara saber mais sobre DevSecOps para Azure e outras nuvens, consulte a biblioteca do Chefe de Informação da DoD (CIO).
`Target` 3.2.2 Criar fábrica de software de DevSecOps – Parte 2 As organizações DoD usarão os pipelines de CI/CD aprovados para desenvolver a maioria dos novos aplicativos. Quaisquer exceções seguirão um processo de aprovação padronizado para ser permitido o desenvolvimento em um formato legado. Os processos DevSecOps também são usados para desenvolver todos os novos aplicativos e atualizar aplicativos existentes. As funções de validação contínua são integradas aos pipelines de CI/CD e aos processos DevSecOps e integradas aos aplicativos existentes. Resultados: – O desenvolvimento de aplicações é migrado para o pipeline de CI/CD – o processo e a tecnologia de validação contínua são implementados e estão em uso – o desenvolvimento de aplicações é migrado para o processo e a tecnologia de DevSecOps	GitHub Advanced Security Use GitHub Advanced Security para verificar se há dependências e vulnerabilidades de código. Configure compilações periódicas para avaliar a qualidade do código. - Advanced Security - Varredura de código CodeQL - Cadeia de suprimentos segura Bicep no Azure Provisionar infraestrutura em nuvem usando infraestrutura como código (IaC) com Azure Resource Manager (ARM) e templates Bicep. - Bicep Microsoft Defender for Cloud Habilitar proteções de workload do Defender for Cloud para assinaturas com cargas de trabalho de aplicativos. - Proteger workloads na nuvem Microsoft Defender for DevOps Usar o Defender for DevOps para monitorar a segurança e alertas de pipelines no Azure DevOps (ADO) e GitHub. - Defender for DevOps
`Target` 3.2.3 Automatizar a segurança do aplicativo e a correção de código – Parte 1 Uma abordagem padronizada para a segurança do aplicativo, incluindo a correção de código, é implementada em toda a empresa DoD. A primeira parte (1) desta atividade inclui a integração de um gateway de API segura com aplicativos que utilizam API ou chamadas semelhantes. As revisões de código são conduzidas em uma abordagem metódica e proteções padronizadas para contêineres e sua infraestrutura estão em vigor. Além disso, quaisquer funções sem servidor em que o terceiro gerencia a infraestrutura, como a Plataforma como Serviço, utilizam funções adequadas de monitoramento e resposta de segurança sem servidor. As funções de segurança de Code Reviews, Container e Serverless são integradas ao processo de CI/CD e/ou DevSecOps conforme apropriado. Resultados: – o Gateway de API Segura está operacional e a maioria das chamadas à API estão passando por de gateway – funções de Segurança do Aplicativo (por exemplo, revisão de código, contêiner e segurança sem servidor) são implementadas como parte do CI/CD e DevSecOps	Azure Application Gateway Coloque aplicativos web e APIs publicamente acessíveis com o Azure Application Gateway e o Firewall de Aplicação Web. - Firewall de Aplicação Web Aplicativos do Microsoft Entra ID O Microsoft Entra ID é um gateway de autorização para acesso a aplicativos web e API. Expor APIs para aplicativos registrados usando Microsoft Entra. Use autenticação interna e autorização (Autenticação Fácil) em Azure App Service e Azure Functions. Para APIs sem reconhecimento do Microsoft Entra ID, use a autorização OAuth no Gerenciamento de API do Azure. - Configure um aplicativo para expor a API da Web - Autentique e autorize no Azure App Service e no Azure Functions - Autentique e autorize as APIs Segurança Avançada do GitHub Use a Segurança Avançada do GitHub para GitHub e Azure DevOps. Consulte a orientação da Microsoft em 3.2.1. Microsoft Defender para Nuvem Habilite as proteções de carga de trabalho do Defender para Nuvem para assinaturas do Azure com cargas de trabalho de API. Consulte as diretrizes da Microsoft em 3.2.2.
`Advanced` 3.2.4 Automatizar a segurança do aplicativo e a correção de código – Parte 2 As organizações DoD modernizam as abordagens para fornecer serviços gerenciados e desenvolvidos internamente seguindo abordagens de melhores práticas, como microsserviços. Essas abordagens permitirão arquiteturas mais resilientes e seguras, permitindo alterações mais rápidas no código em cada microsserviço à medida que os problemas de segurança são descobertos. As atividades de avanço na correção de segurança continuam em todo o DoD Enterprise com a inclusão de funções de segurança em tempo de execução para contêineres, como apropriado, atualizações automatizadas de bibliotecas vulneráveis e aprovações automatizadas de CI/CD ao longo do processo de lançamento. Resultados: – o Gateway de API Segura está operacional e a maioria das chamadas à API está passando por de gateway – os serviços são fornecidos seguindo um SOA (arquitetura orientada ao serviço) – atividades de correção de segurança (por exemplo, segurança de runtime, atualizações de biblioteca, aprovações de versão) são totalmente automatizadas	Concluir as atividades 3.2.2 e 3.2.3.

3.3 Gerenciamento de risco de software

GitHub Actions ajudar a automatizar, personalizar e executar fluxos de trabalho de desenvolvimento de software para DevSecOps. Com o GitHub Actions, gere uma lista de materiais de software (SBOM), analise o código e faça a varredura em busca de vulnerabilidades na cadeia de suprimentos e nas dependências. Para saber mais sobre GitHub Actions, consulte GitHub Actions.

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 3.3.1 Binários/código aprovados As organizações DoD usam abordagens de melhor prática para gerenciar binários e código aprovados em uma abordagem metódica. Essas abordagens incluirão gerenciamento de risco de fornecimento, uso de repositório aprovado, gerenciamento de risco na cadeia de suprimentos da lista de materiais e gerenciamento de vulnerabilidades conforme os padrões do setor. Resultados: – Risco de fornecimento do fornecedor avaliado e identificado para fonte aprovada – Repositório e canal de atualização estabelecidos para uso pelas equipes de desenvolvimento – A Lista de Materiais é criada para que os aplicativos identifiquem a origem, a capacidade de suporte e a postura de risco – DIB (Padrão do Setor de Defesa) e bancos de dados de vulnerabilidade aprovados são integrados para serem usados no DevSecOps	GitHub Actions Padronizar processos de DevSecOps para gerar uma lista de materiais de software (SBOM) com um pipeline de CI/CD (integração contínua e entrega contínua). Gerar listas de materiais de softwareUse GitHub Dependabot e CodeQL para automatizar verificações de segurança e verificar se há vulnerabilidades de dependência.Varredura de código do CodeQLCadeia de suprimentos seguraControle de Aplicativos do Windows DefenderUse Windows Defender Application Control para impedir a execução de código não confiável em pontos de extremidade gerenciados.Controle de Aplicativos e App LockerIntegridade do código da plataforma
`Target` 3.3.2 Programa de Gerenciamento de Vulnerabilidades – Parte 1 As organizações DoD trabalham com organizações para estabelecer e gerenciar um programa de Gerenciamento de Vulnerabilidades. O programa inclui uma política e padrões acordados por todas as Organizações. O programa desenvolvido inclui, no mínimo, o rastreamento e o gerenciamento de vulnerabilidades públicas com base em aplicativos/serviços do DoD. As organizações estabelecem uma equipe de gerenciamento de vulnerabilidades com as principais partes interessadas, onde as vulnerabilidades são discutidas e gerenciadas seguindo a política e os padrões corporativos. Resultados: – A equipe de Gerenciamento de Vulnerabilidades está estabelecida com participação apropriada das partes interessadas – A política e o processo de Gerenciamento de Vulnerabilidades estão estabelecidos e acordados com as partes interessadas – A fonte pública de vulnerabilidades está sendo utilizada para rastreamento	Gerenciamento de ameaças e vulnerabilidades Funcionalidades de VM habilitam a visibilidade do ativo e avaliações inteligentes. O TVM tem ferramentas de correção integradas para endpoints e servidores. Use o TVM com um programa de gerenciamento de vulnerabilidades. - Microsoft Defender TVM Microsoft cloud security benchmark Revise como os serviços online da Microsoft conduzem o gerenciamento de vulnerabilidades. - Visão geral do TVM - Gerenciamento de postura e vulnerabilidade
`Target` 3.3.3 Processos do programa de Gerenciamento de Vulnerabilidades – Parte 2 São estabelecidos processos na empresa DoD para gerenciar a divulgação de vulnerabilidades em serviços mantidos/operados pelo DoD, tanto pública quanto privadamente acessíveis. As organizações do DoD expandem o programa de gerenciamento de vulnerabilidades para rastrear e gerenciar repositórios de vulnerabilidades fechados, como DIB, CERT e outros. Resultados: – fontes de vulnerabilidades controladas (por exemplo, DIB, CERT) estão sendo utilizadas para rastrear – o programa de gerenciamento de vulnerabilidades tem um processo para aceitar divulgações externas/públicas para serviços gerenciados	Gerenciamento de Ameaças e Vulnerabilidades Use a página de vulnerabilidades no Microsoft Defender TVM para identificar e priorizar vulnerabilidades descobertas nos dispositivos e servidores da sua organização. - Vulnerabilidades na organização Acompanhe as atividades de correção usando o relatório de dispositivos vulneráveis da TVM. - Relatório de dispositivos vulneráveis
`Target` 3.3.4 Validação contínua As organizações DoD implementarão uma abordagem de validação contínua para o desenvolvimento de aplicativos em que a implantação paralela é realizada e integrada a um ambiente aprovado (por exemplo, teste de aceitação do usuário, Produção). Os aplicativos incapazes de integrar a validação contínua em seu processo de CI/CD são identificados e exceções são fornecidas conforme necessário usando uma abordagem metódica. Resultados: – Os aplicativos atualizados são implantados em um ambiente dinâmico e/ou de produção – Os aplicativos marcados para a aposentadoria e transição são desativados – as ferramentas de validação contínua são implementadas e aplicadas ao código no pipeline de CI/CD – o código que exige validação contínua é identificado e os critérios de validação são estabelecidos	Azure Chaos Studio Use o Azure Chaos Studio para validar cargas de trabalho. - Validação contínua GitHub Advanced Security Use os recursos e ações do GitHub para gerenciamento de vulnerabilidades no Design de Referência do DoD Enterprise DevSecOps. Consulte a orientação da Microsoft em 3.2.1.

3.4 Autorização e integração de recursos

O Acesso Condicional é o mecanismo de política Zero Trust no Microsoft Entra ID. Conecte as cargas de trabalho do aplicativo com Microsoft Entra ID. Use Microsoft Entra ID Governance para gerenciar permissões e proteger logins com políticas de Acesso Condicional. As políticas usam atributos de segurança, como integridade do dispositivo, detalhes da sessão e risco para tomar decisões de acesso adaptável. Microsoft Entra ID, Azure Resource Manager e os pipelines de CI/CD autorizam a implantação de recursos no Azure.

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 3.4.1 Autorização de recursos – Parte 1 As organizações DoD padronizam as abordagens de autorização de recursos (por exemplo, perímetro definido pelo software) com as organizações. No mínimo, os gateways de autorização de recursos serão integrados a identidades e dispositivos. As organizações implantam gateways de autorização de recursos aprovados e habilitam aplicativos/serviços externos. Outros aplicativos para migração e aplicativos que não podem ser migrados são identificados para exceção ou descomissionamento. Resultados: - O Resource Authorization Gateway está em vigor para aplicativos externos - Política de autorização de recursos integrada com identidade e dispositivo - Orientações em toda a empresa sobre padrões de conversão são comunicadas às partes interessadas	Microsoft Entra ID Microsoft Entra é um gateway de autorização para recursos de aplicativo. Integrar aplicativos modernos e herdados para SSO com Microsoft Entra. Consulte a orientação da Microsoft 1.2.4 em User. Governança do Microsoft Entra ID Use funções de aplicativos do Microsoft Entra ID Governance para acesso a aplicativos. Atribuir usuários a funções de aplicativo usando associação estática, grupos de segurança dinâmicos do Microsoft Entra ou pacotes de acesso de gerenciamento de direitos. - Adicione funções de aplicativo a um aplicativo e receba-as em um token - Controle de Acesso Baseado em Funções Acesso Condicional Use políticas de Acesso Condicional para autorizar, controlar ou bloquear dinamicamente o acesso ao aplicativo. Consulte a orientação da Microsoft 1.8.3 em Usuário e 2.1.4 em Dispositivo. Azure Application Gateway Habilite aplicativos web e APIs publicamente acessíveis com o Gateway de Aplicação e o Firewall de Aplicação Web. Consulte a orientação da Microsoft 3.2.3.
`Target` 3.4.2 Autorização de recursos – Parte 2 Os gateways de autorização de recursos são usados para todos os aplicativos/serviços possíveis. Os aplicativos incapazes de utilizar gateways são desativados ou excluídos usando uma abordagem metódica baseada em risco. As autorizações são ainda integradas no pipeline de CI/CD para tomada de decisão automatizada. Resultados: - O gateway de autorização de recursos é utilizado para todos os aplicativos - A autorização de recursos é integrada ao DevSecOps e ao CI/CD para funções automatizadas	Microsoft Entra Workload ID Use a federação de identidade de carga de trabalho para configurar uma identidade gerenciada atribuída pelo usuário ou um registro de aplicativo para confiar em tokens de um provedor de identidade externo (IdP). Use a identidade de carga de trabalho federada para fluxos de trabalho do GitHub Actions. - Federação de identidade de carga de trabalho Azure API Management Use Azure API Management para gerenciar, autorizar e expor serviços hospedados dentro e fora do Azure como APIs. - Azure API Management
`Target` 3.4.3. SDC Resource Authorization Pt1 A organização do DoD fornece uma abordagem padronizada para gerenciamento de computação baseado em código (ou seja, computação definida por software) seguindo as práticas recomendadas do setor. Usando abordagens baseadas em risco, as linhas de base são criadas usando o conjunto aprovado de bibliotecas de código e pacotes. As organizações do DoD trabalham com as atividades de código/binários aprovadas para garantir que os aplicativos sejam identificados que podem ou não oferecer suporte à abordagem. Aplicativos que podem suportar uma configuração moderna baseada em software e abordagens de gerenciamento são identificados e a transição começa. Os aplicativos que não podem seguir as abordagens de configuração e gerenciamento baseadas em software são identificados e permitidos por meio de exceções usando uma abordagem metódica. Resultados: – aplicativos que não podem ser atualizados para usar binários/código aprovados são marcados para aposentadoria e planos de transição são criados - Aplicativos identificados sem binários aprovados e código são atualizados para usar binários/código aprovados - Diretrizes de toda a empresa sobre padrões de conversão são comunicadas aos stakeholders	Secure development Design, develop, e implantar aplicativos Azure seguindo o ciclo de vida de desenvolvimento de segurança e as melhores práticas publicadas. - Secure development - Infraestrutura como código - Azure Policy como código de fluxos de trabalho Microsoft Entra ID Use a plataforma de identidade da Microsoft para autenticação e autorização de aplicativo. - Migrate aplicativos e autenticação Azure Migrate Migrar para plataformas de aplicativos modernas como Azure Kubernetes Service (AKS) e contêineres do App Service. - Migrate cargas de trabalho para plataformas de aplicativos modernas - Avaliar aplicativos ASP.NET para migração para o AKS - Avaliar aplicativos ASP.NET para migração para Azure App Service
`Target` 3.4.4 Autorização de recurso de SDC – Parte 2 Os aplicativos que dão suporte à configuração e ao gerenciamento baseados em software foram transferidos para um ambiente de produção/vida útil e estão em operações normais. Sempre que possível, as aplicações que não suportam a configuração e a gestão baseadas em software são desativadas. Resultados: – Os aplicativos atualizados são implantados em um ambiente dinâmico e/ou de produção – os aplicativos marcados para aposentadoria e transição são desativados	Azure Migrate Containerize e migre aplicativos ASP.NET e aplicativos Web Java usando a ferramenta Azure Migrate: Contêiner de Aplicativo. Descomissionar aplicativos que não podem ser modernizados. - Containerização e migração de aplicativo ASP.NET para AKS - Containerização e migração de aplicativo ASP.NET para o Azure App Service - Containerização de aplicativo web Java e migração para AKS - Containerização de aplicativo web Java e migração para o Azure App Service
`Advanced` 3.4.5 Enriquecer atributos para autorização de recursos – Parte 1 Os atributos iniciais de fontes como monitoramento de atividades de usuário e entidade, serviços de microssegmentação, DLP e DRM (gerenciamento de direitos de dados) são integrados à pilha e à política de tecnologia de autorização de recursos. Quaisquer outros atributos para integração posterior são identificados e planejados. Os atributos são usados para criar postura básica de risco de usuários, entidades não pessoais (NPEs) e dispositivos que permitem decisões de autorização. Resultados: - A maioria das chamadas de API está passando pelo Secure API Gateway - A autorização de recursos recebe dados do Analytics Engine - As políticas de autorização incorporam atributos identificados na tomada de decisões de autorização - Os atributos a serem usados para o enriquecimento inicial são identificados	Microsoft Entra aplicativos Use Microsoft Entra ID para autorizar aplicativos e APIs modernos. Implante o proxy de aplicativo do Microsoft Entra e servidores habilitados pelo Azure Arc para estender o Microsoft Entra ID a protocolos de autenticação herdados. Veja as diretrizes da Microsoft em 3.1.1 e em 3.2.3.Acesso CondicionalMicrosoft Entra é um gateway seguro para autorização de recursos. O Acesso Condicional é o mecanismo de autorização. Configure políticas para autorização detalhada usando condições de usuário, aplicativo, usuário, ambiente, incluindo status de conformidade de dispositivo. - Design de Acesso Condicional - Acesso Condicional - Exigir dispositivos compatíveis Grupos de segurança dinâmicos Criar grupos de segurança dinâmicos com base em atributos de usuário. Use grupos dinâmicos para definir o escopo de políticas de Acesso Condicional para autorização de atributo estático, com base em atributos. - Associação dinâmica para grupos - Usuários, grupos e identidades de carga de trabalho Tipos de informações confidenciais do Microsoft Purview Defina tipos de informações confidenciais com correspondência exata de dados (EDM). Use tipos de informações confidenciais com políticas de proteção de informações do Microsoft Purview e prevenção contra perda de dados (DLP) do Purview. - Correspondência de dados com base em tipos de informações confidenciais - Descobrir e proteger informações confidenciais Microsoft Entra ID Governance Use Microsoft Entra ID Governance para acesso a aplicativos com funções de aplicativo. Atribua usuários a funções de aplicativo com associação estática, grupos de segurança dinâmica ou pacotes de acesso de gerenciamento de direitos. - Adicionar funções de aplicativo e recebê-las como um token - Controle de acesso baseado em função
`Advanced` 3.4.6. Os Atributos de Enriquecimento para Autorização de Recurso Pt2 Atributos de identificação estendida são integrados à tecnologia e à política de autorização de recursos. A pontuação de confiança é introduzida em todos os atributos para criar um método mais avançado de tomada de decisão de autorização de forma automatizada. Resultados: – As políticas de autorização incorporam níveis de confiança na tomada de decisões de autorização – Os níveis de confiança para atributos são definidos	Microsoft Entra ID Protection Utilize o risco de entrada e os sinais de usuário do Microsoft Entra ID Protection em um conjunto de políticas de Acesso Condicional. Configurar o contexto de autenticação, incluindo o risco para estabelecer níveis de confiança, com base em detalhes ambientais e nível de risco. - Riscos do Microsoft Entra ID - Modelo de política: risco de entrada de MFA - Exemplo de contexto de autenticação Veja a orientação da Microsoft 1.3.3 em Usuário. Atributos de segurança personalizados Gerencie e atribua atributos de segurança personalizados para usuários do Microsoft Entra ID. Use condições de atribuição de função para controle de acesso dinâmico baseado em atributos (ABAC). - Atributos de segurança personalizados
`Advanced` 3.4.7. Microsegmentos da API REST Usando o(s) gateway(s) de API aprovado pelo DoD Enterprise, as chamadas de aplicativos são microssegmentadas apenas permitindo acesso autenticado e autorizado a destinos específicos (por exemplo, microsserviços). Quando possível, os consoles de Microssegmentação de API são integrados e reconhecem outros consoles de Microssegmentação, como Controladores de Perímetro Definidos por Software e/ou Consoles de Rede Definidos por Software. Resultado: - APIs corporativas aprovadas são microssegmentadas adequadamente	Azure rede e conectividade Esolar, filtrar e controlar o tráfego de rede entre fluxos de entrada e saída. Aplique princípios de defesa profunda usando controles de rede localizados nos limites de rede disponíveis. Siga o Azure Well-Architected Framework. - Rede e conectividade - Recomendações de estratégia de segmentação Design de API Siga as práticas recomendadas para criar APIs para microsserviços. pt-BR: Proteger e autorizar APIs com Microsoft Entra ID. - Microsserviço - Proteger APIs

3.5 Monitoramento contínuo e autorizações contínuas

Microsoft Defender para Cloud avalia continuamente, quanto à conformidade com os padrões regulatórios, as assinaturas de Azure no escopo, contas da Amazon Web Services (AWS) e projetos do Google Cloud Platform (GCP) com o Defender para Cloud habilitado.

Descrição e resultado da atividade do DoD Diretrizes e recomendações da Microsoft

Advanced 3.5.1 cATO (Autorização Contínua para Operar) – Parte 1
As organizações DoD utilizam soluções de automação no ambiente para padronizar o monitoramento dos controles e oferecer a capacidade de identificar desvios. Quando apropriado, o monitoramento e os testes são integrados aos processos DevSecOps.

Resultados:
- A derivação de controles é padronizada e pronta para automação
- O teste de controles é integrado com processos e tecnologia DevSecOps Biblioteca do Chief Information Officer (CIO) do DoD
Integre o monitoramento e os testes nos processos de DevSecOps. Consulte o Design de Referência do DoD Enterprise DevSecOps
- DoD CIO Library

Microsoft Defender for Cloud
Proteja as cargas de trabalho do Azure e as que não são do Azure com o Microsoft Defender for Cloud. Use a conformidade regulatória e as iniciativas do Azure Policy para avaliar a infraestrutura continuamente com padrões de configuração. Impedir o desvio de configuração.
- Atribuir padrões de segurança
- Ambientes multicloud

Microsoft Sentinel
Automatizar as operações de integração e implantação do Sentinel com GitHub e Azure DevOps.
- Integração do Sentinel com o Azure DevOps
- Implantar conteúdo personalizado de um repositório

Advanced 3.5.2 cATO (Autorização Contínua para Operar) – Parte 2
As organizações DoD automatizam totalmente os processos de derivação, teste e monitoramento de controle. Os desvios são automaticamente testados e resolvidos usando a infraestrutura de automação existente entre pilares. O painel é usado para monitorar o status das autorizações e as análises são integradas com os funcionários autorizadores responsáveis. < /br>
Outcomes:
- O teste de controles é totalmente automatizado
- A integração com as operações padrão de IR e SOC é automatizada Microsoft Defender Gerenciamento de Ameaças e Vulnerabilidades
Incorporate TVM (Gerenciamento de Ameaças e Vulnerabilidades) em seu programa de gerenciamento de vulnerabilidades.

Consulte as Diretrizes da Microsoft em 3.3.2.

Azure DevOps e Microsoft Sentinel
Automatizar a integração e implantação do Sentinel com o Azure DevOps.
- Integração do Sentinel com Azure DevOps

Microsoft Defender XDR e Sentinel
Integrar o Microsoft Defender XDR e o Defender para a Nuvem com o Sentinel.
- Sentinel e Defender XDR para Zero Trust

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Advanced` 3.5.1 cATO (Autorização Contínua para Operar) – Parte 1 As organizações DoD utilizam soluções de automação no ambiente para padronizar o monitoramento dos controles e oferecer a capacidade de identificar desvios. Quando apropriado, o monitoramento e os testes são integrados aos processos DevSecOps. Resultados: - A derivação de controles é padronizada e pronta para automação - O teste de controles é integrado com processos e tecnologia DevSecOps	Biblioteca do Chief Information Officer (CIO) do DoD Integre o monitoramento e os testes nos processos de DevSecOps. Consulte o Design de Referência do DoD Enterprise DevSecOps - DoD CIO Library Microsoft Defender for Cloud Proteja as cargas de trabalho do Azure e as que não são do Azure com o Microsoft Defender for Cloud. Use a conformidade regulatória e as iniciativas do Azure Policy para avaliar a infraestrutura continuamente com padrões de configuração. Impedir o desvio de configuração. - Atribuir padrões de segurança - Ambientes multicloud Microsoft Sentinel Automatizar as operações de integração e implantação do Sentinel com GitHub e Azure DevOps. - Integração do Sentinel com o Azure DevOps - Implantar conteúdo personalizado de um repositório
`Advanced` 3.5.2 cATO (Autorização Contínua para Operar) – Parte 2 As organizações DoD automatizam totalmente os processos de derivação, teste e monitoramento de controle. Os desvios são automaticamente testados e resolvidos usando a infraestrutura de automação existente entre pilares. O painel é usado para monitorar o status das autorizações e as análises são integradas com os funcionários autorizadores responsáveis. < /br> Outcomes: - O teste de controles é totalmente automatizado - A integração com as operações padrão de IR e SOC é automatizada	Microsoft Defender Gerenciamento de Ameaças e Vulnerabilidades Incorporate TVM (Gerenciamento de Ameaças e Vulnerabilidades) em seu programa de gerenciamento de vulnerabilidades. Consulte as Diretrizes da Microsoft em 3.3.2. Azure DevOps e Microsoft Sentinel Automatizar a integração e implantação do Sentinel com o Azure DevOps. - Integração do Sentinel com Azure DevOps Microsoft Defender XDR e Sentinel Integrar o Microsoft Defender XDR e o Defender para a Nuvem com o Sentinel. - Sentinel e Defender XDR para Zero Trust

Próximas etapas

Configurar os serviços de nuvem da Microsoft para a Estratégia de Zero Trust do DoD:

Comentários

Esta página foi útil?

Last updated on 2026-03-26