Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette section contient des conseils et des recommandations Microsoft pour le modèle de maturité de confiance zéro CISA dans le pilier des réseaux. Pour plus d'informations, consultez Sécuriser les réseaux avec le modèle Zero Trust.
3 Réseaux
La Cybersecurity & Infrastructure Security Agency (CISA) identifie un réseau comme un moyen de communication ouvert, y compris les canaux typiques. Par exemple, les réseaux internes de l’agence, les réseaux sans fil et Internet. En outre, la définition cite les canaux potentiels tels que les réseaux cellulaires et
Utilisez les liens suivants pour accéder aux sections du guide.
3.1 Fonction : segmentation du réseau
| Description de l'étape ZTMM de la CISA | Conseils et recommandations Microsoft |
|---|---|
|
Statut de l'échéance initiale L'Agence commence à déployer une architecture de réseau en isolant les charges de travail critiques, en limitant la connectivité aux principes de moindre fonction et en passant à des interconnexions spécifiques aux services. |
Azure Front Door, Pare-feu Azure, Réseau Virtuel Azure, Azure Kubernetes Service Utilisez des conseils d’architecture pour concevoir des charges de travail critiques avec des contrôles réseau stricts qui isolent les charges de travail, limitent la connectivité et permettent une transition vers des interconnexions spécifiques au service. - Sécuriser les réseaux avec Zero Trust - Architecture de base critique sur Azure - Architecture de base critique avec des contrôles réseau - Mise en réseau pour les charges de travail critiques |
|
L'état avancé de maturité L'agence étend le déploiement de mécanismes d’isolation des profils de point de terminaison et d’application à une plus grande partie de leur architecture réseau avec des micro-périmètres d'entrée/sortie et des interconnexions spécifiques aux services. |
Pare-feu Azure Premium utiliser un réseau virtuel Azure et un pare-feu Azure Premium avec le filtrage du trafic au niveau de l’application réseau pour contrôler le trafic d’entrée/sortie entre les ressources cloud, le cloud et les ressources locales et Internet. - stratégie de segmentation - règle de stratégie de pare-feu Azure - topologie multi-hub-and-spoke - Fonctionnalités Pare-feu Premium - Sécuriser et régir les charges de travail Azure Private Link Azure Private Link accède à la plateforme Azure en tant que service (PaaS), sur un point de terminaison privé, dans un réseau virtuel. Utilisez des points de terminaison privés pour sécuriser les ressources Azure dans les réseaux virtuels. Le trafic d’un réseau virtuel vers Azure reste sur le réseau principal Azure. Pour consommer des services PaaS Azure, n’exposez pas de réseau virtuel à l’Internet public. - limite de service PaaS - bonnes pratiques de sécurité réseau groupes de sécurité réseau Un groupe de sécurité réseau est un mécanisme de contrôle d’accès permettant de contrôler le trafic entre les ressources d’un réseau virtuel, en tant que pare-feu de couche 4. Un groupe de sécurité réseau contrôle le trafic avec des réseaux externes, tels que l’Internet, d’autres réseaux virtuels, etc. vue d’ensemble du groupe de sécurité réseau groupes de sécurité des applications le mécanisme de contrôle ASG est similaire à un groupe de sécurité réseau, mais référencé avec un contexte d’application. Utilisez des groupes ASG pour regrouper des machines virtuelles avec une balise d’application. Définissez les règles de trafic appliquées aux machines virtuelles sous-jacentes. vue d’ensemble d’ASG |
|
l’état de maturité optimal L'architecture réseau de l'agence se compose de micro-périmètres d'entrée/sortie entièrement distribués et d’une micro-segmentation étendue basée sur les profils d’application avec une connectivité dynamique, juste-à-temps et suffisante pour les interconnexions spécifiques au service. |
Microsoft Defender pour le cloud, accès juste-à-temps aux machines virtuelles Les techniques de prévention de la cybersécurité et les objectifs réduisent les surfaces d’attaque. Activez moins de ports ouverts, en particulier les ports de gestion. Vos utilisateurs légitimes utilisent ces ports, il est donc difficile de les fermer. Utilisez Microsoft Defender pour cloud JIT pour verrouiller le trafic entrant vers les machines virtuelles. Cette action réduit l’exposition aux attaques tout en conservant l’accès aux machines virtuelles. accès juste-à-temps (JIT) à la machine virtuelle Azure Bastion Utiliser la plateforme managée Azure Bastion en tant que service (PaaS) pour se connecter en toute sécurité aux machines virtuelles via une connexion TLS. Établissez la connectivité à partir du portail Azure, ou via un client natif, à l’adresse IP privée sur la machine virtuelle. - Azure Bastion - Activer l’accès JIT sur les machines virtuelles |
3.2 Fonction : Gestion du trafic réseau
| Description de l'étape ZTMM de la CISA | Conseils et recommandations Microsoft |
|---|---|
|
'état initial de maturité Agency établit des profils d’application avec des fonctionnalités distinctes de gestion du trafic et commence à mapper toutes les applications à ces profils. L’agence étend l’application de règles statiques à toutes les applications et effectue des audits manuels périodiques des évaluations des profils d’application. |
Azure Policy Utiliser Azure Policy pour appliquer des normes de mise en réseau, telles que le tunneling forcé du trafic vers le Pare-feu Azure ou d’autres appliances réseau. Interdire les adresses IP publiques ou appliquer l’utilisation sécurisée des protocoles de chiffrement. définitions de services de mise en réseau Azure Azure Application Gateway Exiger l’utilisation d’Application Gateway pour les applications web déployées sur Azure. - vue d’ensemble d’Application Gateway - 'intégration d’Application Gateway balises de service Azure Utiliser des balises de service pour les machines virtuelles Azure et les réseaux virtuels Azure pour restreindre l’accès réseau aux services Azure. Azure gère les adresses IP associées à chaque balise. Balises de service Azure Firewall Manager Activer ce service de gestion de la sécurité pour la stratégie centralisée et la gestion des itinéraires pour les périmètres de sécurité basés sur le cloud : pare-feu, déni de service distribué (DDoS) et pare-feu d’applications web. Utilisez des groupes IP pour gérer les adresses IP pour les règles de pare-feu Azure. - Firewall Manager - groupes de protocole Internet (IP) dans le Pare-feu Azure groupes de sécurité d’application Utiliser des groupes ASG pour configurer la sécurité réseau en tant qu’extension de la structure d’application. Regroupez des machines virtuelles (VM) et définissez des stratégies de sécurité réseau en fonction des groupes. Groupes de sécurité Azure et groupes de sécurité réseau Protection DDoS Azure Limitez les ressources avec une adresse IP publique. Déployez la protection par déni de service distribué (DDoS) pour les ressources Azure avec une adresse IP publique. - DDoS Protection - DDoS Protection des applications (couche 7) |
|
Statut avancé de maturité L'agence implémente des règles et des configurations de réseau dynamiques pour l’optimisation des ressources qui sont régulièrement adaptées en fonction des évaluations et de la surveillance automatisées des profils d’application sensibles et réactifs aux risques. |
Azure Monitor Ce service surveille en permanence le réseau et les applications, fournissant des informations et des alertes basées sur les métriques de performances et de sécurité. Ajustez dynamiquement les règles réseau pour optimiser l’utilisation et la sécurité des ressources. vue d’ensemble d’Azure Monitor |
|
État de maturité optimal Agency implémente des règles et des configurations de réseau dynamiques qui évoluent en permanence pour répondre aux besoins du profil d’application et réorienter les applications en fonction de la criticité de la mission, du risque, etc. |
Microsoft Entra Internet Access, Accès privé Configurer des stratégies d’accès conditionnel pour sécuriser les profils de trafic. Définissez un risque de connexion acceptable. - Accès sécurisé global - accès conditionnel universel Azure Virtual Network Manager Définir et gérer les appartenances dynamiques aux groupes de réseaux à l’aide d’instructions conditionnelles Azure Policy. Les groupes de réseau incluent ou excluent des réseaux virtuels, en fonction de conditions spécifiques. - Gestionnaire de réseau virtuel - Appartenance dynamique à un groupe de réseau Pare-feu Azure, Microsoft Sentinel L'intégration du pare-feu Azure et de Sentinel offre une surveillance continue, une détection des menaces basée sur l'IA, des réponses automatisées et des mises à jour de la configuration de sécurité en fonction des risques. Les playbooks Sentinel répondent dynamiquement aux menaces identifiées, en ajustant les configurations réseau pour sécuriser les applications essentielles. Pare-feu Azure avec Sentinel Groupes de sécurité réseau Les groupes de sécurité réseau ont des règles de sécurité qui filtrent le trafic réseau entrant et sortant des ressources Azure. Activez les mises à jour de règles dynamiques pour autoriser ou refuser le trafic, en fonction des conditions réseau et des exigences de sécurité. vue d’ensemble du groupe de sécurité réseau Azure Virtual Network Manager Ce service de gestion facilite la gestion de regroupement, de configuration, de déploiement et de réseau virtuel (VNet) entre les abonnements et les locataires. Définissez des groupes réseau pour segmenter vos réseaux virtuels. Établissez et appliquez des configurations de connectivité et de sécurité pour les réseaux virtuels sélectionnés dans ces groupes. Virtual Network Manager |
3.3 Fonction : Chiffrement du trafic
| Description de l'étape ZTMM de la CISA | Conseils et recommandations Microsoft |
|---|---|
|
Statut de maturité initial L'agence commence à chiffrer tout le trafic vers les applications internes, à privilégier le chiffrement du trafic vers les applications externes, à formaliser les politiques de gestion des clés et à sécuriser les clés de chiffrement de serveurs/services. |
Microsoft Cloud Services Pour les données client en transit, Microsoft Cloud Services utilise des protocoles de transport sécurisés, tels que ipSec (Internet Protocol Security) et TLS (Transport Layer Security), entre les centres de données Microsoft, également entre les appareils utilisateur et les centres de données Microsoft. Encryption dans le cloud Microsoft proxy d’application Microsoft Entra Pour publier des applications internes sur des canaux chiffrés, déployez des connecteurs proxy d’application. publier des applications locales |
|
Statut avancé de maturité L'agence garantit le cryptage pour tous les protocoles de trafic interne et externe applicables. Gère l’émission et la rotation des clés et des certificats, et commence à incorporer les meilleures pratiques en matière d’agilité de chiffrement. |
Azure Key Vault Ce service cloud permet de protéger les clés de chiffrement et les secrets utilisés par les applications et services cloud. Le stockage sécurisé, le contrôle d’accès et l’audit garantissent que les informations sensibles sont protégées et gérées efficacement. Centraliser la gestion des clés pour simplifier la conformité aux normes de sécurité. Améliorez la posture globale de sécurité des applications. Azure Key Vault |
|
État de maturité optimale Agency continue de chiffrer le trafic selon les besoins, applique les principes de privilège minimum pour sécuriser la gestion des clés à l’échelle de l’entreprise et intègre les meilleures pratiques pour l’agilité du chiffrement aussi largement que possible. |
gestion des clés dans Azure Les services de gestion de clés Azure stockent et gèrent en toute sécurité les clés de chiffrement dans le cloud, notamment Azure Key Vault, le modèle HSM (Azure Managed Hardware Security Model) et le HSM dédié Azure. Sélectionnez parmi les clés gérées par la plateforme et les clés gérées par le client. Prise en charge de la conformité flexible et de la gestion des frais généraux. Centraliser la gestion des clés. Azure améliore la sécurité, simplifie le contrôle d’accès, prend en charge les applications et protège les données sensibles. gestion des clés Azure Key Vault Appliquer les principes de privilège minimum via le contrôle d’accès en fonction du rôle (RBAC). Attribuez des autorisations spécifiques aux utilisateurs et aux applications en fonction des rôles. Activez la gestion des accès granulaires. Définissez des autorisations pour les clés, les secrets et les certificats. Assurez-vous que seules les entités autorisées accèdent aux informations sensibles. - meilleures pratiques d’Azure Key Vault - Accorder des autorisations aux applications pour accéder à Azure Key Vault Microsoft Entra Privileged Identity Management Intégrer Azure Key Vault à PIM pour l’accès juste-à-temps (JIT). Accordez des autorisations temporaires si nécessaire.vue d’ensemble - PIM - PIM pour les groupes |
3.4 Fonction : Résilience réseau
| Description de l'étape ZTMM de la CISA | Conseils et recommandations Microsoft |
|---|---|
|
'état de maturité initial L'agence commence à configurer des capacités réseau pour gérer les exigences en matière de disponibilité pour de nouvelles applications supplémentaires et à étendre les mécanismes de résilience pour les charges de travail jugées non critiques pour la mission. |
Réseaux virtuels Azure Adopter Azure pour gérer les demandes de disponibilité avec son réseau mondial de centres de données et de services. - réseau virtuel Azure - vue d’ensemble de la fiabilité Azure zones de disponibilité Pour vous assurer que les applications sont disponibles, même si une zone a une panne, utilisez des zones de disponibilité pour l’isolation des erreurs dans une région. zones de disponibilité Azure Azure ExpressRoute ExpressRoute est un service de connectivité hybride utilisé pour une faible latence, une résilience et une connectivité privée à débit élevé entre un réseau local et des charges de travail Azure. ExpressRoute pour la résilience |
|
'état avancé de maturité Agency a configuré des fonctionnalités réseau pour gérer dynamiquement les demandes de disponibilité et les mécanismes de résilience pour la majorité de leurs applications. |
Azure Traffic Manager distribuer dynamiquement le trafic entre les régions et les centres de données. Garantir des performances optimales et une haute disponibilité ; adapter à la modification des modèles de demande utilisateur. - Traffic Manager - Fiabilité du Traffic Manager Azure Front Door Améliorez la connectivité mondiale et la sécurité grâce à des services d’équilibrage de charge dynamiques pour HTTP/S et un pare-feu applicatif web. Le service achemine le trafic et s'ajuste aux demandes ou menaces en temps réel. Azure Front Door passerelles de réseau virtuel ExpressRoute prenant en charge les zones de disponibilité . Les passerelles redondantes interzone distribuent dynamiquement le trafic réseau entre les zones de disponibilité. Maintenir une connexion transparente en cas de panne dans une zone. Passerelles VNet redondantes dans les zones de disponibilité |
|
Statut de maturité optimale L'Agence intègre une prestation holistique et une sensibilisation à l'adaptation aux changements dans les demandes de disponibilité pour toutes les charges de travail et fournit une résilience proportionnée. |
Azure Load Balancer Configurer des sondes d’intégrité Azure Load Balancer pour créer une connaissance de l’état d’intégrité de l’instance d’application. Les sondes détectent les échecs d’application, gèrent la charge et s’adaptent aux modifications de la demande de disponibilité. - Sondes d’intégrité Load Balancer - Gérer les sondes d’intégrité Azure Application Gateway Gérez dynamiquement la demande de disponibilité et les mécanismes de résilience en répartissant le trafic entre plusieurs pools de back-end et zones de disponibilité. Assurez la haute disponibilité et la tolérance de panne, réacheminez automatiquement le trafic pendant les défaillances de zone. - Azure Application Gateway v2 - Une perspective bien architecturée Azure Firewall Améliorer l'auto-scaling en ajustant automatiquement les ressources pour répondre aux demandes du trafic. Garantir la sécurité et les performances sous des charges élevées. Utilisez les fonctionnalités de protection contre les menaces et de filtrage d’URL de manière dynamique, en fonction du débit et de l’utilisation du processeur. - Fonctionnalités haut de gamme - FAQ sur le pare-feu Azure - Performances du pare-feu Azure Azure ExpressRoute Configurez la détection de transfert bidirectionnel (BFD) pour améliorer le basculement d'ExpressRoute. Utilisez la détection rapide des échecs de liaison et activez le basculement quasi instantané pour sauvegarder les connexions. Réduisez les temps d’arrêt, maintenez la haute disponibilité, tout en rendant le réseau plus résilient et plus fiable. Configurez BFD |
3.5 Fonction : Visibilité et analytique
| Description de l'étape ZTMM de la CISA | Conseils et recommandations Microsoft |
|---|---|
|
statut initial de maturité Agency utilise des fonctionnalités de surveillance du réseau basées sur des indicateurs connus de compromission (y compris l’énumération du réseau) pour développer la sensibilisation à la situation dans chaque environnement et commencer à mettre en corrélation les données de télémétrie entre les types de trafic et les environnements pour l’analyse et les activités de repérage des menaces. |
Azure Monitor utiliser Azure Network Watcher et Azure Monitor Network Insights pour une représentation complète et visuelle du réseau. Activez les journaux de flux de réseau virtuel (VNet) pour journaliser le trafic IP. Utilisez le moniteur de connexion pour suivre la fiabilité des flux importants. Joignez des alertes aux flux afin que les groupes appropriés soient avertis des interruptions. - Surveillance du Réseau - Aperçus Réseau - les journaux de flux de VNet - Moniteur de Connexion Analyse du Trafic Utiliser la solution d'analyse du trafic pour une visibilité sur l’activité des utilisateurs et des applications dans les réseaux en nuage. Traffic Analytics examine les journaux de flux Azure Network Watcher pour fournir des insights sur le flux dans un cloud Azure. Analyse du trafic |
|
'état de maturité avancée L'agence déploie des fonctionnalités de détection de réseau basées sur des anomalies pour développer la conscience situationnelle dans tous les environnements, entame la corrélation des données de télémétrie de plusieurs sources pour l'analyse, et intègre des processus automatisés pour des activités robustes de repérage des menaces. |
Microsoft Sentinel Le pare-feu Azure, Application Gateway, Data Factory et Bastion exportent des journaux vers Sentinel, ou d'autres systèmes de gestion des informations et des événements de sécurité (SIEM). Pour appliquer des exigences à l’échelle de l’environnement, utilisez des connecteurs dans Sentinel ou Azure Policy. - Pare-feu Azure avec Sentinel - Pare-feu d’applications web avec Sentinel - Rechercher des connecteurs de données Sentinel Accès global sécurisé Dans les journaux d’activité Global Secure Access, recherchez des détails sur le trafic réseau. Pour comprendre et analyser les détails lors de la surveillance de votre environnement, examinez les trois niveaux de journaux et leurs corrélations. - Journaux et surveillance - Journaux du trafic réseau - Journaux Microsoft 365 enrichis - Journaux d'intégrité du réseau à distance |
|
état de maturité optimal Agency maintient une visibilité sur la communication entre tous les réseaux et environnements de l’agence tout en permettant la sensibilisation à la situation à l’échelle de l’entreprise et les fonctionnalités de surveillance avancées qui automatisent la corrélation des données de télémétrie sur toutes les sources de détection. |
Surveiller les architectures de sécurité confiance zéro avec Microsoft Sentinel la solution TIC 3.0 (Zero Trust) permet une visibilité et une sensibilisation à la situation pour les exigences de contrôle, à partir des technologies Microsoft, dans des environnements principalement basés sur le cloud. L’expérience client varie selon l’utilisateur. Certaines interfaces utilisateur peuvent nécessiter une configuration et une modification de requête. surveiller les architectures de sécurité TIC 3.0 (Zero Trust) |
3.6 Automatisation et orchestration
| Description de l'étape ZTMM de la CISA | Conseils et recommandations Microsoft |
|---|---|
|
'état de maturité initial Agency commence à utiliser des méthodes automatisées pour gérer la configuration et le cycle de vie des ressources pour certains réseaux ou environnements d’agence et s’assurer que toutes les ressources ont une durée de vie définie en fonction des stratégies et des données de télémétrie. |
Azure Virtual Network Manager centraliser les configurations de connectivité et de sécurité pour les réseaux virtuels entre les abonnements. Virtual Network Manager Azure Policy Appliquer des normes réseau, telles que le tunneling forcé du trafic vers le Pare-feu Azure ou d’autres appliances réseau. Interdire les adresses IP publiques ou appliquer des protocoles de chiffrement. définitions de service réseau Azure Azure Firewall Manager Ce service est destiné à la stratégie de sécurité centralisée et à la gestion des itinéraires de périmètre de sécurité basés sur le cloud. Il gère les stratégies pour le Pare-feu Azure, Azure DDoS Protection et le pare-feu d’applications web Azure. - Vue d’ensemble d’Azure Firewall Manager - Politique Moniteur de Performance Réseau Les solutions Azure monitorent, analysent, alertent et visualisent la connectivité réseau. Pour déclencher une mise à l’échelle automatique ou des actions de basculement, utilisez des alertes Azure Monitor. supervision réseau Azure DevOps Utiliser ce service pour configurer des pipelines d’intégration continue et de livraison continue (CI/CD) pour les configurations réseau. Les pratiques DevOps permettent de combler le fossé entre la gestion de l’infrastructure conventionnelle et une approche moderne, agile et adaptée pour garantir que les environnements réseau répondent aux exigences. Azure DevOps Azure Blueprints Définir des ressources Azure reproductibles qui respectent vos normes, modèles et exigences. Créez et démarrez de nouveaux environnements tout en garantissant la conformité. Azure Blueprints classeur de protocole non sécurisé Microsoft Sentinel utiliser le classeur de protocole non sécurisé pour obtenir des informations sur le trafic de protocole non sécurisé. Il collecte et analyse les événements de sécurité à partir de produits Microsoft. Affichez l’analytique et identifiez les sources du trafic de protocole hérité, comme NT LAN Manager (NTLM) Server Message Block version 1 (SMBv1), WDigest, les chiffrements faibles et l’authentification héritée avec Active Directory. classeur de protocole non sécurisé Microsoft Sentinel connecter l’infrastructure réseau Azure à Sentinel. Configurez les connecteurs de données Sentinel pour les solutions réseau autres qu’Azure. Utilisez des requêtes d’analyse personnalisées pour déclencher l’automatisation de l’orchestration, de l’automatisation et de la réponse (SOAR) de la sécurité Sentinel. - réponse aux menaces avec des playbooks - Détection et réponse avec Logic Apps Global Secure Access Les API d’accès réseau créent un framework pour configurer le transfert ou le filtrage du trafic et les règles associées. Sécuriser l’accès avec les API d’accès réseau Graph |
|
Statut de maturité avancée Agency utilise des méthodes automatisées de gestion des modifications (par exemple, CI/CD) pour gérer la configuration et le cycle de vie des ressources pour tous les réseaux et environnements de l’agence, en répondant aux stratégies et aux protections contre les risques perçus. |
Azure DevOps Pour automatiser les modifications de configuration réseau et la gestion des ressources, implémentez des pipelines d’intégration continue et de livraison continue (CI/CD). Azure DevOps Azure Automation Gérer les tâches de configuration réseau et de cycle de vie, telles que les mises à jour et l’application de la conformité. Azure Automation Microsoft Sentinel Permettre à Sentinel de surveiller les environnements réseau et d’appliquer des stratégies. Ses réponses automatisées répondent aux risques perçus. supervision avancée Azure Policy Automatiser l’application de conformité et de stratégie pour les ressources réseau. Azure Policy |
|
état de maturité optimal Les réseaux et environnements de l’Agence sont définis à l’aide d’une infrastructure en tant que code géré par des méthodes de gestion automatisée des modifications, notamment l’initiation et l’expiration automatisées pour s’aligner sur les besoins changeants. |
Azure Resource Manager Utiliser des modèles ARM pour définir et gérer l’infrastructure en tant que code réseau. Activer l’approvisionnement et les mises à jour automatisés. vue d’ensemble d’ARM Terraform sur Azure Pour automatiser les processus de création, de gestion et de mise à l’échelle des ressources réseau, implémentez Terraform pour l’infrastructure en tant que code. Terraform et Azure Azure DevOps Utiliser des pipelines d’intégration continue et de livraison continue (CI/CD) pour automatiser les modifications et la gestion du cycle de vie. Vérifiez l’alignement avec les exigences réseau dynamiques. advanced CD/IC Microsoft Sentinel Orchestrer et automatiser les opérations de sécurité réseau. Sentinel s’intègre aux pratiques d’infrastructure en tant que code pour une gestion complète. Automation avec Sentinel Azure Automation Utiliser des fonctionnalités pour la gestion du cycle de vie, notamment l’initiation automatisée et l’expiration des ressources réseau. d’automatisation avancée |
3.7 Fonction : Gouvernance
| Description de l'étape ZTMM de la CISA | Conseils et recommandations Microsoft |
|---|---|
|
Statut de l'échéance initiale L'agence définit et commence à mettre en œuvre des stratégies adaptées à chaque segment de réseau et à chaque ressource, tout en héritant, le cas échéant, des règles applicables à l'ensemble de l'entreprise. |
Azure Network Security Définir et implémenter des stratégies de sécurité réseau pour les segments et les ressources. sécurité réseau Azure Pare-feu Azure Premium acheminer le trafic sortant et entrant via le Pare-feu Azure. Implémentez ses stratégies pour les segments réseau et les ressources. - Fonctionnalités Pare-feu Premium - connectivité Internet entrante et sortante - Configurer le pare-feu Azure dans le portail Azure - Azure Policy pour sécuriser les déploiements de pare-feu Azure - Les Ensembles de Règles de Stratégie de Pare-feu Azure Microsoft Sentinel Surveiller et appliquer des stratégies réseau, et s’assurer qu'elles s’alignent sur les règles à l’échelle de l’entreprise. Sentinel Microsoft Defender pour le cloud Démarrer avec la gouvernance et la sécurité pour les ressources réseau et les segments. Defender pour le cloud |
|
Statut de maturité avancée L'Agence intègre l’automatisation dans l’implémentation de politiques personnalisées et facilite la transition des protections axées sur le périmètre. |
Azure Firewall Automatisez l'application des stratégies de réseau et passez d'une logique de périmètre à des mesures de sécurité nuancées. - Azure Firewall - Pare-feu Azure avec Sentinel Groupes de sécurité des réseaux Utilisez les NSG pour automatiser la gestion du trafic réseau et appliquer dynamiquement les stratégies. NSG Azure Sentinel Améliorer l'automatisation de l'application des stratégies et surveiller la transition des modèles de sécurité traditionnels vers des modèles dynamiques. Surveillance avancée |
|
État de maturité optimal Agency implémente des stratégies réseau à l’échelle de l’entreprise qui permettent des contrôles locaux personnalisés ; mises à jour dynamiques ; et sécuriser les connexions externes basées sur les flux de travail d’application et d’utilisateur. |
Azure Policy Implémenter et gérer des stratégies réseau à l’échelle de l’entreprise avec des mises à jour dynamiques et des contrôles locaux. Azure Policy Azure Virtual WAN Faciliter les connexions externes sécurisées, dynamiques et optimiser les performances réseau en fonction des besoins des applications et des utilisateurs. réseau étendu virtuel Azure (WAN) Sentinel Utiliser Sentinel pour l’automatisation de bout en bout et l’intégration de stratégie réseau, avec des connexions externes sécurisées. Automation avec Sentinel Microsoft Defender pour Cloud obtenir une gouvernance réseau complète avec des mises à jour automatisées, dynamiques et une sécurité robuste des ressources réseau. sécurité réseau avancée pare-feu Azure, Firewall Manager Créer des stratégies réseau à l’échelle de l’entreprise. Utilisez des règles de réseau et d’application personnalisables pour les segments et les ressources ; garantir la sécurité à l’échelle du réseau nécessaire. Avec Azure Firewall Manager, les stratégies sont gérées de manière centralisée et applicables à plusieurs instances. Le personnel informatique établit des stratégies principales, tandis que le personnel DevOps ajoute des contrôles localisés. - gestion centralisée du Pare-feu Azure - ensembles de règles de stratégie de pare-feu Azure |
Étapes suivantes
Configurez Microsoft Cloud Services pour le modèle de maturité confiance zéro CISA.