Stratégie Confiance zéro du DoD pour le pilier Réseau

Stratégie et feuille de route de Confiance Zéro du DoD décrit un parcours pour les composants DoD (Department of Defense) et des partenaires DIB (Defense Industrial Base) pour adopter un nouveau cadre de cybersécurité basé sur les principes de Confiance Zéro. Confiance Zéro élimine les hypothèses traditionnelles de périmètre et de confiance, ouvrant la voie à une architecture plus efficace qui améliore la sécurité, les expériences utilisateur et les performances des missions.

Ce guide contient des recommandations pour les 152 activités de Confiance Zéro de la feuille de route d’exécution des capacités Confiance Zéro du DoD. Les sections correspondent aux sept piliers du modèle Confiance Zéro du DoD.

Utiliser les liens suivants pour accéder aux sections du guide.

5 Réseau

Cette section contient une aide et des recommandations Microsoft concernant les activités de Confiance Zéro du DoD du pilier Réseau. Pour en savoir plus, consultez Sécuriser les réseaux avec Confiance Zéro.

5.1 Mappage de flux de données

Le service de réseau virtuel Azure est le bloc de construction de votre réseau privé dans Azure. Dans des réseaux virtuels, les ressources Azure communiquent entre elles, avec Internet et avec les ressources locales.

Lorsque vous déployez une topologie de réseau hub-and-spoke multiple dans Azure, le pare-feu Azure gère le trafic de routage entre les réseaux virtuels. Le pare-feu Azure Premium inclut également des fonctionnalités de sécurité telles qu’une inspection du protocole TLS (Transport-Layer Security), un système de détection et de prévention des intrusions réseau (IDPS), un filtrage des URL et un filtrage de contenu.

Les outils réseau Azure comme Azure Network Watcher et Azure Monitor Network Insights vous aident à mapper et à visualiser le flux de trafic réseau. L’intégration de Microsoft Sentinel permet une visibilité et un contrôle du trafic réseau organisationnel, avec des fonctionnalités de classeurs, d’automatisation et de détection.

Description et résultat de l’activité DoD Conseils et recommandations de Microsoft

Target 5.1.1 Définir des règles et stratégies de contrôle d’accès granulaire Pt1
Le DoD Enterprise, qui travaille avec les organisations, crée des règles et stratégies d’accès réseau granulaires. Le ConOps (concept d’opérations) associé est développé en conformité avec les stratégies d’accès et garantit la future supportabilité. D’un commun accord, les organisations du DoD implémenteront ces stratégies d’accès dans les technologies réseau existantes (par exemple, les pare-feu de nouvelle génération, les systèmes de prévention des intrusions, etc.) pour améliorer le niveau de risque initial.

Résultats:
- Fournir des normes techniques
- Développer un concept d’opérations
- Identifier les communautés d’intérêt Pare-feu Azure Premium
Utiliser le réseau virtuel Azure et le pare-feu Azure Premium pour contrôler la communication et le routage entre les ressources cloud, le cloud et les ressources locales, et Internet. Le pare-feu Azure Premium dispose de fonctionnalités de veilles des menaces, de détection et de prévention des intrusions pour sécuriser le trafic.
- Stratégie de segmentation
- Router une topologie hub-and-spoke multiple
- Fonctionnalités du pare-feu Azure Premium

Utiliser l’analyse de la stratégie de pare-feu Azure pour gérer les règles de pare-feu, activer la visibilité dans le flux de trafic et effectuer des analyses détaillées des règles de pare-feu.
- Analyse de la stratégie de pare-feu Azure

Azure Private Link
Utiliser Azure Private Link pour accéder à PaaS (platform as a service) via un point de terminaison privé dans un réseau virtuel. Utiliser des points de terminaison privés pour sécuriser les ressources Azure critiques uniquement sur les réseaux virtuels. Le trafic entre un réseau virtuel et Azure reste sur le réseau principal Azure. Il n’est pas nécessaire d’exposer le réseau virtuel à l’Internet public pour consommer des services PaaS Azure.
- Réseaux de sécurité : limites du service PaaS
- Meilleures pratiques de sécurité réseau

Groupes de sécurité réseau
Activer la journalisation de flux sur les groupes de sécurité réseau (NSG) pour obtenir l’activité du trafic. Visualiser les données d’activité dans Network Watcher.
- Journaux de flux NSG

Azure Virtual Network Manager
Utiliser Azure Virtual Network Manager pour les configurations de connectivité et de sécurité centralisées des réseaux virtuels entre les abonnements.
- Azure Virtual Network Manager

Azure Firewall Manager
Azure Firewall Manager est un service de gestion de la sécurité qui permet de gérer la stratégie de sécurité centralisée et les itinéraires des périmètres de sécurité informatiques.
- Azure Firewall Manager

Azure Policy
Utiliser Azure Policy pour appliquer des normes de mise en réseau, telles que le tunneling forcé du trafic vers le pare-feu Azure ou d’autres appliances de mise en réseau. Interdire les adresses IP publiques ou imposer l’utilisation sécurisée de protocoles de chiffrement.
- Définitions des services de mise en réseau Azure

Azure Monitor
Utiliser Azure Network Watcher et Azure Monitor Network Insights pour une représentation complète et visuelle de votre réseau.
- Network Watcher
- Azure Monitor Network Insights

Target 5.1.2 Définir des règles et stratégies de contrôle d’accès granulaire Pt2
Les organisations du DoD utilisent des normes d’étiquetage et de classification des données afin de développer des filtres de données pour l’accès des API à l’infrastructure SDN. Les points de décision de l’API sont formalisés au sein de l’architecture SDN et implémentés avec des applications et services non critiques pour la tâche/mission.

Résultats:
- Définir des filtres d’étiquetage des données pour l’infrastructure d’API Groupes de sécurité d’application
Utiliser des groupes de sécurité d’application pour configurer la sécurité réseau en tant qu’extension de la structure d’application. Regrouper des machines virtuelles (VM) et définir des stratégies de sécurité réseau en fonction des groupes.
- Groupes de sécurité d’application

Étiquettes de service Azure
Utiliser des étiquettes de service pour les machines virtuelles Azure et les réseaux virtuels Azure afin de restreindre l’accès réseau aux services Azure en cours d’utilisation. Azure conserve les adresses IP associées à chaque étiquette.
- Étiquettes de service Azure

Pare-feu Azure
Azure Firewall Manager est un service de gestion de la sécurité qui permet de gérer la stratégie de sécurité centralisée et les itinéraires des périmètres de sécurité informatiques (pare-feu, DDoS, WAF). Utiliser des groupes IP pour gérer les adresses IP des règles de pare-feu Azure.
- Azure Firewall Manager
- Groupes IP

Azure Virtual Network Manager
Virtual Network Manager est un service de gestion qui permet de regrouper, configurer, déployer, afficher et gérer des réseaux virtuels de manière globale dans les abonnements.
- Cas d’usage courants

Azure Network Watcher
Activer Network Watcher pour analyser, diagnostiquer et afficher les métriques. Activer ou désactiver les journaux d’activité des ressources IaaS (Infrastructure-as-a-Service) Azure. Utiliser Network Watcher pour analyser et réparer l’intégrité du réseau de produits IaaS tels que des machines virtuelles, des réseaux virtuels, des passerelles applicatives, des équilibreurs de charge, et bien plus encore.
- Azure Network Watcher

Description et résultat de l’activité DoD	Conseils et recommandations de Microsoft
`Target` 5.1.1 Définir des règles et stratégies de contrôle d’accès granulaire Pt1 Le DoD Enterprise, qui travaille avec les organisations, crée des règles et stratégies d’accès réseau granulaires. Le ConOps (concept d’opérations) associé est développé en conformité avec les stratégies d’accès et garantit la future supportabilité. D’un commun accord, les organisations du DoD implémenteront ces stratégies d’accès dans les technologies réseau existantes (par exemple, les pare-feu de nouvelle génération, les systèmes de prévention des intrusions, etc.) pour améliorer le niveau de risque initial. Résultats: - Fournir des normes techniques - Développer un concept d’opérations - Identifier les communautés d’intérêt	Pare-feu Azure Premium Utiliser le réseau virtuel Azure et le pare-feu Azure Premium pour contrôler la communication et le routage entre les ressources cloud, le cloud et les ressources locales, et Internet. Le pare-feu Azure Premium dispose de fonctionnalités de veilles des menaces, de détection et de prévention des intrusions pour sécuriser le trafic. - Stratégie de segmentation - Router une topologie hub-and-spoke multiple - Fonctionnalités du pare-feu Azure Premium Utiliser l’analyse de la stratégie de pare-feu Azure pour gérer les règles de pare-feu, activer la visibilité dans le flux de trafic et effectuer des analyses détaillées des règles de pare-feu. - Analyse de la stratégie de pare-feu Azure Azure Private Link Utiliser Azure Private Link pour accéder à PaaS (platform as a service) via un point de terminaison privé dans un réseau virtuel. Utiliser des points de terminaison privés pour sécuriser les ressources Azure critiques uniquement sur les réseaux virtuels. Le trafic entre un réseau virtuel et Azure reste sur le réseau principal Azure. Il n’est pas nécessaire d’exposer le réseau virtuel à l’Internet public pour consommer des services PaaS Azure. - Réseaux de sécurité : limites du service PaaS - Meilleures pratiques de sécurité réseau Groupes de sécurité réseau Activer la journalisation de flux sur les groupes de sécurité réseau (NSG) pour obtenir l’activité du trafic. Visualiser les données d’activité dans Network Watcher. - Journaux de flux NSG Azure Virtual Network Manager Utiliser Azure Virtual Network Manager pour les configurations de connectivité et de sécurité centralisées des réseaux virtuels entre les abonnements. - Azure Virtual Network Manager Azure Firewall Manager Azure Firewall Manager est un service de gestion de la sécurité qui permet de gérer la stratégie de sécurité centralisée et les itinéraires des périmètres de sécurité informatiques. - Azure Firewall Manager Azure Policy Utiliser Azure Policy pour appliquer des normes de mise en réseau, telles que le tunneling forcé du trafic vers le pare-feu Azure ou d’autres appliances de mise en réseau. Interdire les adresses IP publiques ou imposer l’utilisation sécurisée de protocoles de chiffrement. - Définitions des services de mise en réseau Azure Azure Monitor Utiliser Azure Network Watcher et Azure Monitor Network Insights pour une représentation complète et visuelle de votre réseau. - Network Watcher - Azure Monitor Network Insights
`Target` 5.1.2 Définir des règles et stratégies de contrôle d’accès granulaire Pt2 Les organisations du DoD utilisent des normes d’étiquetage et de classification des données afin de développer des filtres de données pour l’accès des API à l’infrastructure SDN. Les points de décision de l’API sont formalisés au sein de l’architecture SDN et implémentés avec des applications et services non critiques pour la tâche/mission. Résultats: - Définir des filtres d’étiquetage des données pour l’infrastructure d’API	Groupes de sécurité d’application Utiliser des groupes de sécurité d’application pour configurer la sécurité réseau en tant qu’extension de la structure d’application. Regrouper des machines virtuelles (VM) et définir des stratégies de sécurité réseau en fonction des groupes. - Groupes de sécurité d’application Étiquettes de service Azure Utiliser des étiquettes de service pour les machines virtuelles Azure et les réseaux virtuels Azure afin de restreindre l’accès réseau aux services Azure en cours d’utilisation. Azure conserve les adresses IP associées à chaque étiquette. - Étiquettes de service Azure Pare-feu Azure Azure Firewall Manager est un service de gestion de la sécurité qui permet de gérer la stratégie de sécurité centralisée et les itinéraires des périmètres de sécurité informatiques (pare-feu, DDoS, WAF). Utiliser des groupes IP pour gérer les adresses IP des règles de pare-feu Azure. - Azure Firewall Manager - Groupes IP Azure Virtual Network Manager Virtual Network Manager est un service de gestion qui permet de regrouper, configurer, déployer, afficher et gérer des réseaux virtuels de manière globale dans les abonnements. - Cas d’usage courants Azure Network Watcher Activer Network Watcher pour analyser, diagnostiquer et afficher les métriques. Activer ou désactiver les journaux d’activité des ressources IaaS (Infrastructure-as-a-Service) Azure. Utiliser Network Watcher pour analyser et réparer l’intégrité du réseau de produits IaaS tels que des machines virtuelles, des réseaux virtuels, des passerelles applicatives, des équilibreurs de charge, et bien plus encore. - Azure Network Watcher

5.2 SDN (Software Defined Network)

Les réseaux virtuels sont la base des réseaux privés dans Azure. Avec un réseau virtuel (VNet), une organisation contrôle les communications entre les ressources Azure et localement. Filtrer et router le trafic, et l’intégrer à d’autres services Azure tels que le pare-feu Azure, Azure Front Door, Azure Application Gateway, la passerelle VPN Azure et Azure ExpressRoute.

Description et résultat de l’activité DoD	Conseils et recommandations de Microsoft
`Target` 5.2.1 Définir des API SDN Le DoD Enterprise travaille avec des organisations afin de définir les API nécessaires et d’autres interfaces de programmation pour activer les fonctionnalités SDN (mise en réseau définie par logiciel). Ces API activeront l’automatisation du point de décision d’authentification, du proxy de contrôle de livraison d’application et des passerelles de segmentation. Résultats: - Les API SDN sont normalisées et implémentées - Les API sont fonctionnelles pour le point de décision AuthN, le proxy de contrôle de livraison d’application et les passerelles de segmentation	Azure Resource Manager Déployer et configurer des réseaux Azure à l’aide des API Azure Resource Manager (ARM). Outils de gestion Azure : Portail Azure, Azure PowerShell, Azure CLI (interface de ligne de commande) et des modèles qui utilisent les mêmes API ARM pour authentifier et autoriser les requêtes. - Azure Resource Manager - Références de l’API REST Azure Rôles Azure Attribuer des rôles Azure intégrés pour la gestion des ressources de mise en réseau. Suivre les principes du moindre privilège et attribuer des rôles juste-à-temps (JIT) via PIM. - Rôles intégrés Azure
`Target` 5.2.2 Implémenter une infrastructure programmable SDN En suivant les normes des API, les exigences et fonctionnalités de l’API SDN, les organisations du DoD implémenteront une infrastructure SDN (mise en réseau définie par logiciel) pour activer des tâches d’automatisation. Les passerelles de segmentation et les points de décision d’authentification sont intégrés à l’infrastructure SDN avec une journalisation de sortie dans un référentiel standardisé (par exemple, SIEM, Log Analytics) pour les analyses et alertes. Résultats: - Implémentation du proxy de contrôle de livraison d’applications - Création des activités de journalisation SIEM - Implémentation de l’analyse des activités utilisateur (UAM) - Intégration dans le point de décision d’authentification	Ressources de mise en réseau Azure Sécuriser l’accès externe aux applications hébergées dans un réseau virtuel (VNet) avec Azure Front Door (AFD), Azure Application Gateway ou le pare-feu Azure. AFD et Application Gateway disposent de fonctionnalités d’équilibrage de charge et de sécurité pour Open Web Application Security Project (OWASP) Top 10 et des bots. Vous pouvez créer des règles personnalisées. Le pare-feu Azure dispose d’un filtrage de couche 4 basé sur la veille des menaces. - Filtrage natif cloud et protection contre les menaces connues - Conception d’une architecture de mise en réseau Microsoft Sentinel Pare-feu Azure, Application Gateway, ADF et Azure Bastion exportent des journaux vers Sentinel ou d’autres systèmes SIEM (gestion des informations et des événements de sécurité) à des fins d’analyse. Utiliser les connecteurs de Sentinel ou Azure Policy pour imposer cette exigence dans un environnement. - Pare-feu Azure avec Sentinel - Connecteur Azure Web App Firewall vers Sentinel - Rechercher des connecteurs de données Sentinel Proxy d’application Microsoft Entra Déployer un proxy d’application pour publier et fournir des applications privées à votre réseau local. Intégrer des solutions partenaires SHA (accès hybride sécurisé). - Proxy d’application - Déployer un proxy d’application - Intégrations partenaires SHA Protection Microsoft Entra ID Déployer la protection Microsoft Entra ID et apporter des signaux de risque de connexion à l’accès conditionnel. Consulter l’aide Microsoft 1.3.3 dans Utilisateur. Applications Microsoft Defender pour le cloud Utiliser des applications Defender pour le cloud pour analyser les sessions d’applications web à risque. - Applications Defender pour le cloud
`Target` 5.2.3 Segmenter les flux des plans de contrôle, de gestion et de données L’infrastructure réseau et les flux sont segmentés physiquement ou logiquement dans les plans de contrôle, de gestion et de données. La segmentation de base à l’aide des approches IPv6/VLAN est implémentée pour mieux organiser le trafic entre les plans de données. Analytics et NetFlow sont automatiquement alimentés depuis l’infrastructure mise à jour dans les centres d’opérations et les outils d’analyse. Résultats: - Segmentation IPv6 - Activer la création de rapports d’informations NetOps automatisée - Garantir le contrôle de la configuration dans l’entreprise - Intégration dans SOAR	Azure Resource Manager Azure Resource Manager est un service de déploiement et de gestion disposant d’une couche de gestion pour créer, mettre à jour et supprimer des ressources dans un compte Azure. - Plans de contrôle et de données Azure - Plans de contrôle multilocataire - Sécurité opérationnelle Azure Microsoft Sentinel Connecter l’infrastructure réseau Azure à Sentinel. Configurer les connecteurs de données Sentinel à des solutions de mise en réseau autres qu’Azure. Utiliser des requêtes d’analyse personnalisées pour déclencher l’automatisation Sentinel SOAR. - Réponse aux menaces avec des playbooks - Détection et réponse du Pare-feu Azure avec Logic Apps Consulter l’aide Microsoft 5.2.2.
`Advanced` 5.2.4 Détection et optimisation des ressource réseau Les organisations du DoD automatisent la détection des ressources réseau via l’infrastructure SDN en limitant l’accès aux appareils en fonction d’approches méthodiques basées sur les risques. L’optimisation est effectuée en fonction de l’analyse SDN pour améliorer les performances globales et fournir l’accès approuvé nécessaire aux ressources. Résultats: - Actualisation technique/Évolution technologique - Fournir des contrôles d’optimisation/de performance	Azure Monitor Utilisez les insights réseau d’Azure Monitor pour obtenir une représentation visuelle complète des ressources réseau, y compris la topologie, l’intégrité et des métriques. Consultez l’aide de Microsoft dans la section 5.1.1. Microsoft Defender pour le cloud Defender pour le cloud découvre et liste un inventaire des ressources approvisionnées dans Azure, dans d’autres clouds et localement. - Environnement multicloud - Gérer la posture de sécurité des ressources Microsoft Defender for Endpoint Intégrez des points de terminaison et configurer la découverte d’appareils pour collecter, sonder ou analyser votre réseau afin de détecter les appareils non gérés. - Vue d’ensemble de la découverte d’appareils
`Advanced` 5.2.5 Décisions d’accès en temps réel L’infrastructure SDN utilise des sources de données inter-piliers tels que l’analyse des activités des utilisateurs, l’analyse des activités des entités, les profils de sécurité d’entreprise et bien plus encore pour prendre des décisions d’accès en temps réel. Machine Learning est utilisé pour faciliter la prise de décision en fonction de l’analyse réseau avancée (capture complète de paquets, etc.). Des stratégies sont constamment implémentées dans l’entreprise à l’aide de normes d’accès unifiées. Résultats: - Analyser les journaux SIEM avec le moteur Analytics pour fournir des décisions d’accès aux stratégies en temps réel - Prise en charge de l’envoi de paquets capturés, de flux de données/réseau et d’autres journaux spécifiques à Analytics - Flux réseau de transport de bout en bout de segments - Auditer les stratégies de sécurité à des fins de cohérence dans l’entreprise	Terminer les activités 5.2.1 à 5.2.4. Microsoft Sentinel Détecter les menaces en envoyant des journaux de mise en réseau à Sentinel à des fins d’analyse. Utiliser des fonctionnalités telles que la veille des menaces, la détection avancée des attaques à plusieurs étapes, la chasse aux menaces et les requêtes intégrées. L’automatisation Sentinel permet aux opérateurs de bloquer les adresses IP malveillantes. - Détecter les menaces avec des règles d’analyse - Connecteur du pare-feu Azure pour Sentinel Azure Network Watcher Utiliser Azure Network Watcher pour capturer le trafic réseau entrant et sortant des machines virtuelles (VM) et des groupes de machines virtuelles identiques. - Capture de paquets Microsoft Defender pour le cloud Defender pour le cloud évalue la conformité aux contrôles de sécurité réseau prescrits dans les infrastructures, tels que le point de référence de la sécurité de Microsoft Cloud, l’impact de niveau 4 (IL4) et de niveau 5 (IL5) sur le DoD, et dans le National Institute of Standards and Technology (NIST) 800-53 R4/R5. - Contrôle de sécurité : sécurité réseau Accès conditionnel Utiliser les insights d’accès conditionnel et les classeurs de rapports pour comprendre les effets des stratégies d’accès conditionnel de l’organisation. - Insights et rapports

5.3 Macro-segmentation

Les abonnements Azure sont des constructions de haut niveau qui séparent les ressources Azure. La communication entre les ressources de différents abonnements est configurée de manière explicite. Les ressources de réseau virtuel (VNet) d’un abonnement fournissent une autonomie des ressources au niveau du réseau. Par défaut, les réseaux virtuels ne peuvent pas communiquer avec d’autres réseaux virtuels. Pour activer une communication réseau entre des réseaux virtuels, les appairer et utiliser le pare-feu Azure pour contrôler et analyser le trafic.

Pour en savoir plus, consulter Sécuriser et gérer des charges de travail avec une segmentation au niveau réseau.

Description et résultat de l’activité DoD Conseils et recommandations de Microsoft

Target 5.3.1 Macro-segmentation du centre de données
Les organisations du DoD implémentent une macro-segmentation focalisée sur le centre de données à l’aide d’architectures hiérarchiques traditionnelles (web, application, base de données) et/ou basées sur des services. Les vérifications de proxy et/ou d’application sont intégrées à la ou les solutions SDN en fonction des attributs et du comportement de l’appareil.

Résultats:
- Journaliser les actions sur SIEM
- Établir des vérifications de proxy/application des attributs, du comportement et d’autres données de l’appareil
- Analyser les activités avec un moteur d’analyse Mise en réseau Azure
Concevoir et implémenter des services de mise en réseau Azure, en fonction des architectures établies, telles que les zones d’atterrissage à l’échelle de l’entreprise. Segmenter les réseaux virtuels (VNet) Azure et suivre les meilleures pratiques de sécurité réseau Azure. Utiliser des contrôles de sécurité réseau car les paquets franchissent diverses limites du réseau virtuel.
- Meilleures pratiques de sécurité réseau
- Souveraineté et zones d’atterrissage Azure
- Topologie de réseau et connectivité
- Recommandations sur la mise en réseau et la connectivité

Protection Microsoft Entra ID
Déployer la Protection Microsoft Entra ID et utiliser les signaux d’appareil et de risque dans votre ensemble de stratégies d’accès conditionnel.

Consulter l’aide Microsoft 1.3.3 dans Utilisateur et 2.1.4 dans Appareil.

Microsoft Sentinel
Utiliser des connecteurs pour consommer les journaux de Microsoft Entra ID, les ressources réseau à envoyer à Microsoft Sentinel à des fins d’audit, la chasse, la détection et la réponse aux menaces. Activez la fonction User Entity Behavior Analytics (UEBA) dans Sentinel.

Voir les conseils de Microsoft dans 5.2.2 et 1.6.2 dans User.

Microsoft Defender XDR
Intégrez Microsoft Defender for Endpoint aux applications Microsoft Defender pour le Cloud et bloquez l’accès aux applications non autorisées.
- Intégrer le applications Defender pour le Cloud avec Defender for Endpoint
- Découvrir et bloquer l’informatique fantôme

Target 5.3.2 Macro-segmentation B/C/P/S
Les organisations du DoD implémentent la macro-segmentation de base, de camp, de publication et de station à l’aide de zones réseau logiques limitant le mouvement latéral. Les vérifications de proxy et/ou d’application sont intégrées à la ou les solutions SDN en fonction des attributs et du comportement de l’appareil.

Résultats:
- Établir des vérifications de proxy/application des attributs, du comportement et d’autres données de l’appareil
- Journaliser les actions sur SIEM
- Analyser les activités avec un moteur d’analyse
- Tirer profit de SOAR pour fournir des décisions d’accès à la stratégie RT Effectuer l’activité 5.3.1.

Microsoft Sentinel
Utiliser le Pare-feu Azure pour visualiser les activités de pare-feu, détecter les menaces avec les fonctionnalités d’investigation de l’IA, mettre en corrélation les activités et automatiser les actions de réponse.
- Pare-feu Azure

Description et résultat de l’activité DoD	Conseils et recommandations de Microsoft
`Target` 5.3.1 Macro-segmentation du centre de données Les organisations du DoD implémentent une macro-segmentation focalisée sur le centre de données à l’aide d’architectures hiérarchiques traditionnelles (web, application, base de données) et/ou basées sur des services. Les vérifications de proxy et/ou d’application sont intégrées à la ou les solutions SDN en fonction des attributs et du comportement de l’appareil. Résultats: - Journaliser les actions sur SIEM - Établir des vérifications de proxy/application des attributs, du comportement et d’autres données de l’appareil - Analyser les activités avec un moteur d’analyse	Mise en réseau Azure Concevoir et implémenter des services de mise en réseau Azure, en fonction des architectures établies, telles que les zones d’atterrissage à l’échelle de l’entreprise. Segmenter les réseaux virtuels (VNet) Azure et suivre les meilleures pratiques de sécurité réseau Azure. Utiliser des contrôles de sécurité réseau car les paquets franchissent diverses limites du réseau virtuel. - Meilleures pratiques de sécurité réseau - Souveraineté et zones d’atterrissage Azure - Topologie de réseau et connectivité - Recommandations sur la mise en réseau et la connectivité Protection Microsoft Entra ID Déployer la Protection Microsoft Entra ID et utiliser les signaux d’appareil et de risque dans votre ensemble de stratégies d’accès conditionnel. Consulter l’aide Microsoft 1.3.3 dans Utilisateur et 2.1.4 dans Appareil. Microsoft Sentinel Utiliser des connecteurs pour consommer les journaux de Microsoft Entra ID, les ressources réseau à envoyer à Microsoft Sentinel à des fins d’audit, la chasse, la détection et la réponse aux menaces. Activez la fonction User Entity Behavior Analytics (UEBA) dans Sentinel. Voir les conseils de Microsoft dans 5.2.2 et 1.6.2 dans User. Microsoft Defender XDR Intégrez Microsoft Defender for Endpoint aux applications Microsoft Defender pour le Cloud et bloquez l’accès aux applications non autorisées. - Intégrer le applications Defender pour le Cloud avec Defender for Endpoint - Découvrir et bloquer l’informatique fantôme
`Target` 5.3.2 Macro-segmentation B/C/P/S Les organisations du DoD implémentent la macro-segmentation de base, de camp, de publication et de station à l’aide de zones réseau logiques limitant le mouvement latéral. Les vérifications de proxy et/ou d’application sont intégrées à la ou les solutions SDN en fonction des attributs et du comportement de l’appareil. Résultats: - Établir des vérifications de proxy/application des attributs, du comportement et d’autres données de l’appareil - Journaliser les actions sur SIEM - Analyser les activités avec un moteur d’analyse - Tirer profit de SOAR pour fournir des décisions d’accès à la stratégie RT	Effectuer l’activité 5.3.1. Microsoft Sentinel Utiliser le Pare-feu Azure pour visualiser les activités de pare-feu, détecter les menaces avec les fonctionnalités d’investigation de l’IA, mettre en corrélation les activités et automatiser les actions de réponse. - Pare-feu Azure

5.4 Micro-segmentation

Les NSG (groupes de sécurité réseau) et ASG (groupes de sécurité d’application) fournissent aux réseaux Azure une micro-segmentation de la sécurité réseau. Les ASG simplifient le filtrage du trafic en fonction des modèles d’application. Déployer plusieurs applications dans le même sous-réseau et isoler le trafic en fonction des ASG.

Pour en savoir plus, consulter Sécuriser et gérer des charges de travail avec une segmentation au niveau réseau.

Description et résultat de l’activité DoD	Conseils et recommandations de Microsoft
`Target` 5.4.1 Implémenter la micro-segmentation Les organisations du DoD implémentent une infrastructure de micro-segmentation dans un environnement SDN, ce qui permet la segmentation de base des composants du service (par exemple, web, application, base de données), ports et protocoles. L’automatisation de base est acceptée en cas de modifications de stratégie, notamment de prise de décision d’API. Les environnements d’hébergement virtuel implémentent la micro-segmentation au niveau de l’hôte/du conteneur. Résultats: - Accepter les modifications de stratégie automatisées - Implémenter des points de décision d’API - Implémenter NGF/Micro FW/un agent de point de terminaison dans un environnement d’hébergement virtuel	Effectuer l’activité 5.3.1. Pare-feu Azure Premium Utiliser le Pare-feu Azure Premium comme pare-feu NextGen (NGF) dans votre stratégie de segmentation réseau Azure. Voir les instructions Microsoft dans 5.1.1. Groupes de sécurité d’application Dans les groupes de sécurité réseau (NSG), vous pouvez utiliser des groupes de sécurité d’application pour configurer la sécurité réseau en tant qu’extension de la structure d’application. Simplifier les stratégies de sécurité réseau en associant des ressources Azure pour la même application à l’aide de groupes de sécurité d’application. - Sécuriser et gouverner les charges de travail avec une segmentation au niveau du réseau - Groupes de sécurité d’application Azure Kubernetes Service Exiger Azure Container Networking Interface (Azure CNI) pour les applications dans Azure Kubernetes Service (AKS) à l’aide de définitions intégrées dans Azure Policy. Implémenter la microsegmentation au niveau du conteneur pour les conteneurs dans AKS à l’aide de stratégies réseau. - Concepts de mise en réseau pour AKS - Configurer la mise en réseau de superposition Azure CNI - Sécuriser le trafic entre les pods à l’aide de stratégies réseau - Informations de référence sur les stratégies AKS Microsoft Defender pour serveurs Intégrer des machines virtuelles Azure, des machines virtuelles dans d’autres environnements d’hébergement cloud et des serveurs locaux à Defender pour serveurs. La protection réseau dans Microsoft Defender for Endpoint empêche les processus au niveau de l’hôte de communiquer avec des domaines, noms d’hôte ou adresses IP spécifiques correspondant aux indicateurs de compromission (IoC). - Planifier le déploiement de Defender pour serveurs - Protéger votre réseau - Créer des indicateurs
`Target` 5.4.2 Micro-segmentation d’application et d’appareil Les organisations du DoD utilisent des solutions SDN (mise en réseau définie par logiciel) pour établir une infrastructure répondant aux fonctionnalités cibles ZT : zones réseau logiques, contrôle d’accès conditionnel, en fonction du rôle et de l’attribut pour les utilisateurs et les appareils, services de PAM pour les ressources réseau et contrôle stratégique de l’accès aux API. Résultats: - Attribuer un contrôle d’accès conditionnel, en fonction du rôle et de l’attribut aux utilisateurs et appareils - Fournir des services de gestion d’accès privilégiés - Limiter l’accès par identité de l’utilisateur et de l’appareil - Créer des zones réseau logiques	Microsoft Entra ID Intégrer des applications avec Microsoft Entra ID. Gérer les accès avec des rôles d’application, des groupes de sécurité et des packages d’accès. Consulter l’aide Microsoft 1.2 dans Utilisateur. Accès conditionnel Concevoir des ensembles de stratégies d’accès conditionnel pour une autorisation dynamique en fonction du risque lié à l’utilisateur, le rôle, le groupe, l’appareil, l’application cliente, l’identité, et une ressource d’application. Utiliser des contextes d’authentification pour créer des zones réseau logiques, en fonction de l’utilisateur et des conditions environnementales. Consulter l’aide Microsoft 1.8.3 dans Utilisateur. Privileged Identity Manager Configurer PIM pour un accès juste-à-temps (JIT) aux rôles privilégiés et aux groupes de sécurité Microsoft Entra. Consulter l’aide Microsoft 1.4.2 dans Utilisateur. Machines virtuelles Azure et base de données SQL Configurer des machines virtuelles Azure et des instances SQL pour utiliser les identités Microsoft Entra lors de la connexion des utilisateurs. - Se connecter à Windows dans Azure - Se connecter à une machine virtuelle Linux dans Azure - Authentification avec Azure SQL Azure Bastion Utiliser Bastion pour se connecter de manière sécurisée à des machines virtuelles Azure avec des adresses IP privées à partir du portail Azure, à l’aide d’un SSH (Secure Shell) natif ou un client RDP (protocole d’appareil de bureau). - Bastion Microsoft Defender for Server Utiliser un accès juste-à-temps (JIT) aux machines virtuelles pour les protéger d’un accès réseau non autorisé. - Activer un accès JIT sur des machines virtuelles
`Advanced` 5.4.3 Procéder à une micro-segmentation Les organisations du DoD utilisent la micro-segmentation et l’infrastructure d’automatisation SDN existantes permettant de procéder à une micro-segmentation du processus. Les processus au niveau de l’hôte sont segmentés en fonction des stratégies de sécurité et un accès est octroyé en utilisant une prise de décision d’accès en temps réel. Résultats: - Segmenter les processus au niveau de l’hôte pour les stratégies de sécurité - Prendre en charge des décisions d’accès en temps réel et des modifications de stratégie - Prendre en charge le déchargement des journaux d’activité à des fins d’analyse et d’automatisation - Prendre en charge le déploiement dynamique de la stratégie de segmentation	Effectuer l’activité 5.4.2. Microsoft Defender for Endpoint Activer la protection réseau dans Defender for Endpoint afin d’empêcher les processus et applications de niveau hôte de se connecter à des domaines réseau malveillants ou des noms d’hôte compromis. Voir les instructions Microsoft 4.5.1 Évaluation continue des accès Une évaluation continue des accès (CAE) permet aux services comme Exchange Online, SharePoint Online et Microsoft Teams de s’abonner à des événements Microsoft Entra comme la désactivation de comptes et les détections de hauts risques dans la Protection Microsoft Entra ID. Voir les instructions Microsoft 1.8.3 dans Utilisateur Microsoft Sentinel Utiliser des connecteurs pour consommer les journaux de Microsoft Entra ID, les ressources réseau à envoyer à Microsoft Sentinel à des fins d’audit, la chasse, la détection et la réponse aux menaces. Voir les instructions Microsoft dans 5.2.2 et 1.6.2 dans Utilisateur.
`Target` 5.4.4 Protéger les données en transit En fonction des mappages et de l’analyse des flux de données, des stratégies sont activées par les organisations du DoD pour autoriser la protection des données en transit. Les cas d’usage courants tels que le partage d’informations de coalition, le partage au-delà des limites du système et la protection entre les composants architecturaux sont inclus dans les stratégies de protection. Résultats: - Protéger les données en transit pendant le partage d’informations de coalition - Protéger les données en transit au-delà des limites hautes du système - Intégrer des données dans la protection du transit entre les composants d’architecture	Microsoft 365 Utiliser Microsoft 365 pour la collaboration avec le DoD. Les services Microsoft 365 chiffrent les données au repos et en transit. - Chiffrement dans Microsoft 365 ID externe Microsoft Entra Microsoft 365 et Microsoft Entra ID améliorent le partage de coalition par une intégration et une gestion simples des accès des utilisateurs à d’autres locataires du DoD. - Collaboration B2B - Sécuriser le partage d’invités Configurer l’accès interlocataire et les paramètres cloud Microsoft pour contrôler la façon dont les utilisateurs collaborent avec des organisations externes. - Accès interlocataire - Paramètres cloud Microsoft Gouvernance Microsoft Entra ID Régir les cycles de vie des accès des utilisateurs externes avec la gestion des droits d’utilisation. - Accès externe avec gestion des droits d’utilisation Microsoft Defender pour le cloud Utiliser Defender pour le cloud pour évaluer et appliquer en continu des protocoles de transport sécurisés des ressources cloud. - Gestion de la posture de sécurité cloud

Étapes suivantes

Configurer les services cloud Microsoft pour la stratégie Confiance Zéro du DoD :

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2024-06-19