Сертификация Microsoft 365 — руководство по первоначальной отправке документов
Первоначальная отправка документа является частью этапа предварительной оценки сертификации. Предоставленная информация предоставит аналитикам сертификации необходимую информацию, чтобы определить, какие элементы управления и системные компоненты будут находиться в области вашей оценки. Этот документ предназначен только для того, чтобы служить примером того, что ожидается от первоначальной отправки документа. Предоставляемая вами документация зависит от того, как проектируется, реализуется и управляется решением.
Какая среда размещения или модель службы используется для запуска приложения?
- Инфраструктура как услуга (IaaS) — это модель облачной службы, в которой поставщик облачных служб размещает компоненты инфраструктуры, но поставщики программного обеспечения по-прежнему отвечают за развертывание компонентов и управление ими по отдельности, таких как Виртуальные машины/операционные системы, хранилища данных и сетевые компоненты. Примерами этого являются виртуальная машина Azure и хранилище дисков Azure.
- Платформа как услуга (PaaS) — это модель облачной службы, в которой компоненты инфраструктуры управляются поставщиком облачных служб. Поставщики программного обеспечения отвечают только за развертывание собственных приложений и служб. Примерами этого являются службы приложение Azure, Функции Azure и Azure CDN.
- Размещенное в этом контексте isV означает, что поставщик облачных служб не используется. Независимые поставщики программного обеспечения физически управляют своими серверами, дисками и сетями независимо от локальной среды.
- Гибридное использование в этом контексте означает, что используется одна из указанных выше моделей. Например, некоторые поставщики программного обеспечения могут использовать сочетание служб IaaS и PaaS для поддержки своих приложений или могут иметь некоторые локальные компоненты, размещенные в isV, а другие — поставщику облачных служб. Если вы используете одну из нескольких моделей служб, выберите гибридная.
Отчет о тестировании на проникновение
Включите полный отчет о тестировании на проникновение с датами, указывающими на то, что он был завершен за последние 12 месяцев.
- Этот отчет должен быть создан на основе ручного тестирования на проникновение. Он не может быть выходными данными средства автоматического сканирования и тестирования.
- Этот отчет должен включать среду, поддерживающую развертывание приложения или добавления, а также любую дополнительную среду, которая поддерживает работу приложения или надстройки.
Инвентаризация системных компонентов
Актуальный перечень всех системных компонентов, используемых вспомогательной инфраструктурой. Это будет использоваться для упрощения выборки при выполнении этапа оценки. Если ваша среда включает PaaS, было бы полезно предоставить подробные сведения обо всех используемых службах PaaS.
Примечание: IaaS/PaaS не будет иметь никакого оборудования, которое будет находиться под управлением поставщиков программного обеспечения. В этом случае укажите список или снимок экрана всех визуальных ресурсов.
Пример:
| Имя ресурса | Тип актива | Описание | Производитель | Модель |
|---|---|---|---|---|
| D212 | Компьютер с Windows | Виртуальная машина | Недоступно | Недоступно |
| LT101 | Laptop (Ноутбук) | Рабочая станция | Корпорация Майкрософт | Surface 3 |
| C2938 | Параметр | Параметр | Недоступно | Недоступно |
| LXM2 | Компьютер Linux | Тестовый компьютер | Недоступно | Недоступно |
Инвентаризация программного обеспечения
Актуальный перечень всех программных ресурсов, включая все программное обеспечение, используемое в среде в области, а также версии.
Пример:
| Программное обеспечение | Publisher | Версия | Назначение |
|---|---|---|---|
| Windows Server | Microsoft 2016 | Сборка 14393 | Операционная система сервера для рабочей среды |
| Linux Ubuntu | Недоступно | 16.04 (Xenial) | Операционная система сервера, используемая в периметре периметра. |
| Esxi | Vmware | 6.5.0 (сборка 13004031) | Используется для поддержки виртуальных серверов. |
| Mysql (Windows) | Недоступно | 8.0.2.1 | Сервер базы данных для хранения журнала чата. |
| Tomcat | Apache | 7.0.92 | Клиентский портал. |
| Службы IIS | Корпорация Майкрософт | 10.0 | Поддерживает API- интерфейсы. |
Сторонние зависимости
Документация содержит список всех зависимостей, используемых приложением или надстройкой с текущими запущенными версиями.
Пример:
| Веб-зависимости | Текущая используемая версия |
|---|---|
| Jquery | 3.5.1 |
| React | 16.13.1 |
| Bootstrap | 4.5.2 |
| Express | 4.17.1 |
| Angular | 10.0.14 |
| AngularJS | 1.8.0 |
Общедоступные IP-адреса
Подробные сведения обо всех общедоступных IP-адресах и URL-адресах, используемых вспомогательной инфраструктурой. Он должен включать полный диапазон IP-адресов, выделенный среде, если для разделения используемого диапазона не была реализована адекватная сегментация (потребуется адекватное свидетельство сегментации).
Пример:
| URL-адреса | IP-адрес |
|---|---|
| https://portal.contoso.com | 40.113.200.201 |
| https://filesapi.contoso.com | 40.113.200.201 |
| https://customerapi.contoso.com | 40.113.200.202 |
| https://bot.contoso.com | 40.113.200.202 |
| N/A (сервер перехода) | 40.113.200.200 |
Конечные точки ресурсов
Api Name Endpoint Address Contoso Customer API https://customerapi.contoso.com Contoso Служба Bot https://bot.contoso.com API файлов Contosohttps://filesapi.contoso.com
Полный список всех конечных точек API, используемых приложением, включая внутренние и внешние конечные точки ресурсов. Чтобы понять область среды, укажите расположения конечных точек API в среде.
Пример:
| Имя API | Адрес конечной точки |
|---|---|
| API клиента Contoso | https://customerapi.contoso.com |
| Contoso Служба Bot | https://bot.contoso.com |
| API файлов Contoso | https://filesapi.contoso.com |
| Microsoft Graph | https://graph.microsoft.com/v1.0/| |
Схема архитектуры
Схема логической архитектуры, представляющая общий обзор вспомогательной инфраструктуры приложения или надстройки. Сюда должны входить все среды размещения и вспомогательная инфраструктура, поддерживающая приложение или надстройку. На этой схеме должны быть показаны все различные вспомогательные системные компоненты в среде, чтобы помочь аналитикам сертификации понять системы в области и помочь определить выборку. Также укажите, какой тип среды размещения используется; IsV Hosted, IaaS, PaaS или Hybrid. Где используется PaaS, укажите различные службы PaaS, которые используются для предоставления вспомогательных служб в среде.
Схема Поток данных
Схемы потоков, подробно описанные ниже.
- Данные передаются в приложение или надстройку и из нее (включая данные клиента).
- Потоки данных в вспомогательной инфраструктуре (если применимо)
- Диаграммы, на которых показано, где и какие данные хранятся, как данные передаются внешним третьим лицам (включая сведения о сторонних сторонах), а также как данные защищаются при передаче через открытые или общедоступные сети и неактивные.
Внешние сертификаты (SOC2, PCI DSS, ISO27001) — НЕОБЯЗАТЕЛЬНО
Если вы уже получили сертификацию SOC2, PCI DSS или ISO27001 и за последние 12 месяцев выдали отчет, включающий всю область сертификации приложения, а также вспомогательную среду, вы можете отправить его во время первоначальной отправки документа. Мы попытаемся использовать его для удовлетворения подмножества элементов управления и ускорения оценки. Однако это не требуется для получения сертификации Microsoft 365.