このセクションには、ネットワークの柱にある CISA ゼロ トラスト成熟度モデル に関する Microsoft のガイダンスと推奨事項が記載されています。 詳細については、「ゼロ トラストを使用したセキュリティで保護されたネットワークの
3 ネットワーク
サイバーセキュリティ & インフラストラクチャ セキュリティ 機関 (CISA) は、ネットワークを一般的なチャネルを含むオープンな通信媒体として識別します。 たとえば、エージェンシー内部ネットワーク、ワイヤレス ネットワーク、インターネットなどがあります。 さらに、この定義は、細胞や他の潜在的なチャネルを挙げています。
ガイドのセクションに移動するには、次のリンクを使用します。
- 概要
- ID
- デバイス
- ネットワーク
- アプリケーションとワークロード
- データ
機能:ネットワークセグメント化
| CISA ZTMM ステージの説明 | Microsoft のガイダンスと推奨事項 |
|---|---|
|
初期成熟度ステータス エージェンシーは、重要なワークロードの分離、最小限の機能原則への接続の制約、サービス固有の相互接続への移行を伴うネットワーク アーキテクチャのデプロイを開始します。 |
Azure Front Door、azure Firewall、Azure Virtual Network、Azure Kubernetes Service ワークロードを分離し、接続を制限し、サービス固有の相互接続への移行を可能にする厳密なネットワーク制御を使用してミッション クリティカルなワークロードを設計するアーキテクチャ ガイダンスを使用します。 - ゼロ トラストによるネットワークのセキュリティ保護 - Azure でのミッション クリティカルなベースライン アーキテクチャ - ネットワーク制御を使用したミッション クリティカルなベースライン アーキテクチャ - ミッションクリティカルなワークロードのためのネットワーキング |
|
Advanced Maturity Status エージェンシーは、エンドポイントとアプリケーションプロファイルの分離メカニズムの展開を、イングレス/エグレス用のマイクロ境界とサービス特有の相互接続を活用して、ネットワークアーキテクチャのより多くの部分に拡大します。 |
Azure Firewall Premium ネットワーク アプリケーション レベルのトラフィック フィルター処理で Azure Virtual Network と Azure Firewall Premium を使用して、クラウド リソース、クラウドとオンプレミスのリソース、およびインターネット間のイングレス/エグレス トラフィックを制御します。 - セグメント化戦略 - Azure Firewall ポリシー ルール セット - マルチ ハブ アンド スポーク トポロジ - Firewall Premium の機能 - ワークロードをセキュリティで保護および管理する Azure Private Link Azure Private Link は、仮想ネットワーク内のプライベート エンドポイントを介して、サービスとしての Azure プラットフォーム (PaaS) にアクセスします。 プライベート エンドポイントを使用して、仮想ネットワーク内の Azure リソースをセキュリティで保護します。 仮想ネットワークから Azure へのトラフィックは、Azure バックボーン ネットワークに残ります。 Azure PaaS サービスを使用するには、仮想ネットワークをパブリック インターネットに公開しないでください。 - PaaS サービス境界 - ネットワーク セキュリティのベスト プラクティス ネットワーク セキュリティ グループ NSG は、仮想ネットワーク内のリソース間のトラフィックをレイヤー 4 ファイアウォールとして制御するためのアクセス制御メカニズムです。 NSG は、インターネットや他の仮想ネットワークなどの外部ネットワークを使用してトラフィックを制御します。 NSG の概要 アプリケーション セキュリティ グループ ASG 制御メカニズムは NSG に似ていますが、アプリケーション コンテキストで参照されます。 ASG を使用して、アプリケーション タグを使用して VM をグループ化します。 基になる VM に適用されるトラフィック ルールを定義します。ASG の概要 |
|
最適な成熟度ステータス Agency ネットワーク アーキテクチャは、完全に分散されたイングレス/エグレスマイクロ境界と、サービス固有の相互接続のための動的な Just-In-Time 接続と十分な接続を備えたアプリケーション プロファイルに基づく広範なマイクロセグメント化で構成されています。 |
Microsoft Defender for Cloud、Just-In-Time 仮想マシン アクセス サイバーセキュリティの防御技術と目標により、攻撃対象領域が減少します。 使用可能なポートの数を減らします (特に管理ポート)。 正当なユーザーはこれらのポートを使用するため、これらのポートを閉じるのは実用的ではありません。 Microsoft Defender for Cloud JIT を使用して、VM への受信トラフィックをロックダウンします。 このアクションにより、VM に接続するためのアクセスを維持しながら、攻撃にさらされるリスクが軽減されます。 Just-In-Time (JIT) 仮想マシンアクセス Azure Bastion Azure Bastion マネージド サービスとしてのプラットフォーム (PaaS) を使用して、TLS 接続経由で VM に安全に接続します。 Azure portal またはネイティブ クライアントから仮想マシン上のプライベート IP アドレスへの接続を確立します。 - Azure Bastion - VM での JIT アクセスを有効にする |
3.2 機能: ネットワーク トラフィック管理
| CISA ZTMM ステージの説明 | Microsoft のガイダンスと推奨事項 |
|---|---|
|
初期成熟度ステータス Agency は、個別のトラフィック管理機能を持つアプリケーション プロファイルを確立し、すべてのアプリケーションをこれらのプロファイルにマップし始めます。 エージェンシーは、静的ルールの適用をすべてのアプリケーションに拡張し、アプリケーション プロファイル評価の定期的な手動監査を実行します。 |
Azure Policy Azure Policy を使用して、Azure Firewall へのトラフィック強制トンネリングやその他のネットワーク アプライアンスなどのネットワーク標準を適用します。 パブリック IP を禁止するか、暗号化プロトコルの安全な使用を強制します。Azure Application Gateway - Application Gateway の概要 - Azure サービス タグ Application Gateway 統合 Azure VM と Azure Virtual Networks のサービス タグを使用して、Azure サービスへのネットワーク アクセスを制限します。 Azure では、各タグに関連付けられている IP アドレスが保持されます。Azure Firewall Manager - DDoS保護 - アプリケーション (レイヤー 7) DDoS保護 |
|
Advanced Maturity Status Agency は、リスクに対応し、リスクに対応した自動アプリケーション プロファイルの評価と監視に基づいて定期的に調整される、リソース最適化のための動的なネットワーク ルールと構成を実装します。 |
Azure Monitor このサービスは、ネットワークとアプリケーションを継続的に監視し、パフォーマンスとセキュリティメトリックに基づいて分析情報とアラートを提供します。 ネットワーク ルールを動的に調整して、リソースの使用状況とセキュリティを最適化します。 Azure Monitor の概要 |
|
最適な成熟度ステータス Agency は、アプリケーション プロファイルのニーズに合わせて継続的に進化し、ミッション クリティカル性、リスクなどに基づいてアプリケーションを再優先度付けする動的なネットワーク ルールと構成を実装します。 |
Microsoft Entra Internet Access、 Private Access トラフィック プロファイルをセキュリティで保護するための条件付きアクセス ポリシーを構成します。 許容されるサインイン リスクを定義します。 - グローバル セキュリティで保護されたアクセス - ユニバーサル条件付きアクセス Azure Virtual Network Manager Azure Policy の条件付きステートメントを使用して動的ネットワーク グループ メンバーシップを定義および管理します。 ネットワーク グループには、特定の条件に基づいて、仮想ネットワークが含まれるか除外されます。Azure Firewall NSG の概要 Azure Virtual Network Manager この管理サービスは、サブスクリプションとテナント間でのグループ化、構成、デプロイ、および仮想ネットワーク (VNet) の管理を容易にします。 VNet をセグメント化するネットワーク グループを定義します。 これらのグループ内の選択した VNet の接続とセキュリティ構成を確立して適用します。 Virtual Network Manager |
3.3 関数: トラフィックの暗号化
| CISA ZTMM ステージの説明 | Microsoft のガイダンスと推奨事項 |
|---|---|
|
初期成熟度状態 機関は、内部アプリケーションへのすべてのトラフィックの暗号化、外部アプリケーションへのトラフィックの暗号化、キー管理ポリシーの形式化、サーバー/サービス暗号化キーのセキュリティ保護を開始します。 |
Microsoft Cloud Services 転送中の顧客データの場合、Microsoft Cloud Services は、ユーザー デバイスと Microsoft データセンター間でも、Microsoft データセンター間で、インターネット プロトコル セキュリティ (IPSec) やトランスポート層セキュリティ (TLS) などのセキュリティで保護されたトランスポート プロトコルを使用します。Microsoft クラウドの 暗号化 Microsoft Entra アプリケーション プロキシ 暗号化されたチャネル経由で内部アプリを発行するには、アプリケーション プロキシ コネクタをデプロイします。 オンプレミス アプリ を発行する |
|
Advanced Maturity Status エージェンシーは、あらゆる適用可能な内部および外部トラフィック プロトコルが暗号化されていることを保証します。 キーと証明書の発行とローテーションを管理し、暗号化の機敏性のベスト プラクティスを組み込み始めます。 |
Azure Key Vault このクラウド サービスは、クラウド アプリケーションとサービスで使用される暗号化キーとシークレットを保護するのに役立ちます。 セキュリティで保護されたストレージ、アクセス制御、監査により、機密情報が効率的に保護および管理されます。 キー管理を一元化して、セキュリティ標準への準拠を簡素化します。 アプリの全体的なセキュリティ体制を強化します。 Azure Key Vault |
|
最適な成熟度ステータス Agency は、引き続きトラフィックを適切に暗号化し、エンタープライズ全体でセキュリティで保護されたキー管理のための最小限の特権原則を適用し、暗号化の機敏性に関するベスト プラクティスを可能な限り広く組み込みます。 |
Azure でのキー管理 Azure キー管理サービスは、Azure Key Vault、Azure Managed Hardware Security Model (HSM)、Azure Dedicated HSM などの暗号化キーをクラウドに安全に格納および管理します。 プラットフォーム管理キーとカスタマー マネージド キーから選択します。 柔軟なコンプライアンスとオーバーヘッド管理をサポートします。 キー管理を一元化します。 Azure では、セキュリティが強化され、アクセス制御が簡素化され、アプリケーションがサポートされ、機密データが保護されます。Azure Key Vault - PIM の概要 - グループのPIM |
3.4 機能: ネットワークの回復性
| CISA ZTMM ステージの説明 | Microsoft のガイダンスと推奨事項 |
|---|---|
|
初期成熟度ステータス Agency は、追加のアプリケーションの可用性要求を管理し、ミッション クリティカルと見なされないワークロードの回復性メカニズムを拡張するためのネットワーク機能の構成を開始します。 |
Azure Virtual Networks データセンターとサービスのグローバル ネットワークを使用して可用性の需要を管理するために Azure を採用します。 - Azure Virtual Network - Azure の信頼性の概要 可用性ゾーン アプリが利用可能であることを確実にするため、1つのゾーンで障害が発生した場合でも、リージョン内での障害分離に可用性ゾーンを利用してください。 Azure 可用性ゾーン Azure ExpressRoute ExpressRoute は、オンプレミスネットワークと Azure ワークロード間の低レイテンシー、復元性、高スループットのプライベート接続に使用されるハイブリッド接続サービスです。 回復性 のための ExpressRoute |
|
Advanced Maturity Status Agency は、多数のアプリケーションの可用性の要求と回復性メカニズムを動的に管理するようにネットワーク機能を構成しました。 |
Azure Traffic Manager リージョンとデータセンター間でトラフィックを動的に分散します。 最適なパフォーマンスと高可用性を確保する。ユーザー要求パターンの変更に適応します。 - Traffic Manager - Traffic Manager における信頼性 Azure Front Door 動的 HTTP/S 負荷分散と Web アプリケーション ファイアウォール サービスを使用してグローバル接続性とセキュリティを向上させます。 このサービスは、トラフィックをルーティングし、リアルタイムの需要や脅威に調整します。Azure Front Door |
|
最適な成熟度ステータス Agency は、包括的な配信と認識を統合して、すべてのワークロードの可用性の需要の変化に適応し、比例的な回復性を提供します。 |
Azure Load Balancer アプリケーション インスタンスの正常性状態を認識するように Azure Load Balancer 正常性プローブを構成します。 プローブは、アプリケーションの障害を検出し、負荷を管理し、可用性の需要の変化に適応します。 - Load Balancer の正常性プローブ - 正常性プローブを管理する Azure Application Gateway 複数のバックエンド プールと可用性ゾーンにトラフィックを分散することで、可用性の需要と回復力のメカニズムを動的に管理します。 高可用性とフォールト トレランスを確保し、ゾーン障害時にトラフィックを自動的に再ルーティングします。Azure Application Gateway v2 - - Azure Firewall 適切に設計された視点 トラフィックの需要に合わせてリソースを自動的に調整することで、自動スケーリングを強化します。 高負荷時のセキュリティとパフォーマンスを確保します。 脅威保護と URL フィルタリング機能を使用すると、スループットと CPU 使用率に基づいて動的にスケーリングできます。 - Premium 機能 - Azure Firewall の FAQ - Azure Firewall パフォーマンス Azure ExpressRoute 双方向転送検出 (BFD) を構成して ExpressRoute フェールオーバーを改善します。 リンク障害を迅速に検出し、ほぼ瞬時に切り替えて接続をバックアップできるようにします。 ダウンタイムを最小限に抑え、高可用性を維持しながら、ネットワークの回復性と信頼性を高めます。BFD |
3.5 関数: 可視性と分析
| CISA ZTMM ステージの説明 | Microsoft のガイダンスと推奨事項 |
|---|---|
|
初期成熟度ステータス 機関は、既知の侵害インジケーター (ネットワーク列挙を含む) に基づくネットワーク監視機能を使用して、各環境での状況認識を開発し、分析と脅威ハンティングアクティビティのためにトラフィックの種類と環境間でテレメトリを関連付け始めます。 |
Azure Monitor Azure Network Watcher と Azure Monitor Network Insights を使用して、包括的で視覚的なネットワーク表現を実現します。 仮想ネットワーク (VNet) フロー ログを有効にして、IP トラフィックをログに記録します。 接続モニターを使用して、重要なフローの信頼性を追跡します。 中断について適切なグループに通知されるように、フローにアラートをアタッチします。 - Network Watcher - Network insights - VNet フロー ログ - 接続モニター トラフィック分析 クラウド ネットワークでのユーザーとアプリケーションのアクティビティを可視化するために Traffic Analytics ソリューションを使用します。 トラフィック分析では、Azure Network Watcher フロー ログを調べて、Azure cloud. のフローに関する分析情報を提供します。トラフィック分析 |
|
Advanced Maturity Status Agency は、異常ベースのネットワーク検出機能をデプロイして、すべての環境で状況認識を開発し、分析のために複数のソースからのテレメトリの関連付けを開始し、堅牢な脅威ハンティング アクティビティの自動化されたプロセスを組み込みます。 |
Microsoft Sentinel Azure Firewall、Application Gateway、Data Factory、Bastion は、Sentinel またはその他のセキュリティ情報およびイベント管理 (SIEM) システムにログをエクスポートします。 環境全体の要件を適用するには、Sentinel または Azure Policy でコネクタを使用します。 - Sentinel を使用した Azure Firewall - Sentinel を使用した Web アプリケーション ファイアウォール - Sentinel データ コネクタの検索 グローバルなセキュリティで保護されたアクセス グローバル セキュリティで保護されたアクセス ログで、ネットワーク トラフィックに関する詳細を見つけます。 環境を監視するときの詳細を理解して分析するには、3 つのレベルのログとその相関関係を確認します。ネットワーク トラフィック ログ |
|
最適な成熟度ステータス Agency は、すべての機関ネットワークと環境間の通信の可視性を維持すると同時に、企業全体の状況認識と、すべての検出ソース間のテレメトリの相関関係を自動化する高度な監視機能を実現します。 |
ゼロ トラスト (TIC 3.0) ソリューション Microsoft Sentinel を使用してゼロ トラスト セキュリティ アーキテクチャを監視することで、主にクラウドベースの環境における Microsoft テクノロジからの制御要件の可視性と状況認識が可能になります。 カスタマー エクスペリエンスはユーザーによって異なります。 一部のユーザー インターフェイスでは、構成とクエリの変更が必要になる場合があります。 ゼロ トラスト (TIC 3.0) セキュリティ アーキテクチャの監視 |
3.6 自動化とオーケストレーション
| CISA ZTMM ステージの説明 | Microsoft のガイダンスと推奨事項 |
|---|---|
|
初期成熟度ステータス 機関は、一部の機関ネットワークまたは環境の構成とリソースのライフサイクルを管理する自動化された方法の使用を開始し、ポリシーとテレメトリに基づいてすべてのリソースの有効期間が定義されていることを確認します。 |
Azure Virtual Network Manager サブスクリプション間の仮想ネットワークの接続とセキュリティ構成を一元化します。 Virtual Network Manager Azure Policy Azure Firewall へのトラフィック強制トンネリングなどのネットワーク標準や、その他のネットワーク アプライアンスを適用します。 パブリック IP を禁止するか、暗号化プロトコルを適用します。Azure Firewall Manager - Azure Firewall Manager - Policy の概要 ネットワーク パフォーマンス モニター Azure ソリューションは、ネットワーク接続の監視、分析、アラート、視覚化を行います。 自動スケーリングまたはフェールオーバー アクションをトリガーするには、Azure Monitor アラートを使用します。 Azure DevOps ネットワーク監視 このサービスを使用して、ネットワーク構成用の継続的インテグレーションおよび継続的デリバリー (CI/CD) パイプラインを設定します。 DevOps プラクティスは、従来のインフラストラクチャ管理と最新のアジャイルアプローチの間のギャップを埋め、ネットワーク環境が要件を満たしていることを確認します。Azure DevOps Azure Blueprints Microsoft Sentinel の安全でないプロトコル ブック 安全でないプロトコル ブックを使用して、安全でないプロトコル トラフィックに関する分析情報を得ることができます。 Microsoft 製品からセキュリティ イベントを収集して分析します。 分析を表示し、NT LAN Manager (NTLM) サーバー メッセージ ブロック バージョン 1 (SMBv1)、WDigest、脆弱な暗号、Active Directory によるレガシ認証などのレガシ プロトコル トラフィックのソースを特定します。 セキュリティで保護されていないプロトコル ブック Microsoft Sentinel Azure ネットワーク インフラストラクチャを Sentinel に接続します。 Azure 以外のネットワーク ソリューション用に Sentinel データ コネクタを構成します。 カスタム分析クエリを使用して、Sentinel のセキュリティ オーケストレーション、自動化、応答 (SOAR) の自動化をトリガーします。 - プレイブックを使用した脅威対応 - Logic Apps を使用した検出と対応 Global Secure Access ネットワークアクセスAPIで、トラフィックの転送やフィルタリング、および関連するルールを構成するためのフレームワークを作成します。GraphネットワークアクセスAPIによるセキュアアクセス |
|
高度な成熟度ステータス 機関では、自動化された変更管理方法 (CI/CD など) を使用して、すべての機関ネットワークと環境の構成とリソース ライフサイクルを管理し、認識されたリスクに対するポリシーと保護に対応して適用します。 |
Azure DevOps ネットワーク構成の変更とリソース管理を自動化するには、継続的インテグレーションと継続的デリバリー (CI/CD) パイプラインを実装します。 Azure DevOps Azure Automation 更新プログラムやコンプライアンスの適用などのネットワーク構成とライフサイクル タスクを管理します。 Azure Automation Microsoft Sentinel Sentinel を有効にして、ネットワーク環境を監視し、ポリシーを適用します。 その自動応答は、認識されるリスクに対処します。 高度な監視 Azure Policy ネットワーク リソースのコンプライアンス適用とポリシー アプリケーションを自動化します。 Azure Policy |
|
最適な成熟度状態 機関のネットワークと環境は、変化するニーズに合わせて自動化された開始と有効期限など、自動化された変更管理方法によって管理されるコードとしてのインフラストラクチャを使用して定義されます。 |
Azure Resource Manager ARM テンプレートを使用して、コードとしてのネットワーク インフラストラクチャを定義および管理します。 自動プロビジョニングと更新を有効にします。azure Advanced CD/IC Microsoft Sentinel ネットワーク セキュリティ操作を調整して自動化します。 Sentinel は、包括的な管理のためのコードとしてのインフラストラクチャプラクティスと統合されます。 |
3.7 機能:ガバナンス
| CISA ZTMM ステージの説明 | Microsoft のガイダンスと推奨事項 |
|---|---|
|
初期成熟度ステータス 機関は、個々のネットワーク セグメントとリソースに合わせて調整されたポリシーを定義し、実装し始めると同時に、必要に応じて企業全体のルールを継承します。 |
- Firewall Premium の機能 - 受信と送信のインターネット接続 - Azure Portal で Azure Firewall を構成する - Azure Policy を使用して Azure Firewall のデプロイをセキュリティで保護し、 - Azure Firewall ポリシー規則セットを適用する。 Microsoft Sentinel ネットワーク ポリシーを監視し、施行し、企業全体のルールに準拠していることを確認します。 Sentinel Microsoft Defender for Cloud ネットワーク リソースとセグメントのガバナンスとセキュリティから始めます。 Defender for Cloud |
|
Advanced Maturity Status 機関は、カスタマイズされたポリシーの実装に自動化を組み込み、境界に重点を置いた保護の移行を支援します。 |
Azure Firewall ネットワーク ポリシーの適用を自動化し、境界ベースの考え方から微妙なセキュリティ対策に移行します。 - Azure Firewall - Sentinel を使用した Azure Firewall ネットワーク セキュリティ グループ NSG を使用して、ネットワーク トラフィックの管理を自動化し、ポリシーを動的に適用します。 Azure NSG Sentinel ポリシー適用の自動化を強化し、従来のセキュリティ モデルから動的なセキュリティ モデルへの移行を監視します。 高度な監視 |
|
最適成熟度ステータス エージェンシーは、カスタマイズされたローカルコントロールを可能にするエンタープライズ全体のネットワークポリシーを実装しています。動的更新。アプリケーションとユーザーのワークフローに基づいて外部接続をセキュリティで保護します。 |
- および Azure Firewall ポリシー規則セット - |
次の手順
CISA ゼロ トラスト成熟度モデル用に Microsoft Cloud Services を構成します。
- 概要
- ID
- デバイス
- ネットワーク
- アプリケーションとワークロード
- データ