DoD Zero Trust-strategie voor de netwerkpijler

De DoD Zero Trust-strategie en -roadmap schetst een pad voor Department of Defense Components and Defense Industrial Base -partners om een nieuw cyberbeveiligingsframework te implementeren op basis van Zero Trust-principes. Zero Trust elimineert traditionele perimeters en vertrouwensveronderstellingen, waardoor een efficiëntere architectuur mogelijk is die de beveiliging, gebruikerservaringen en missieprestaties verbetert.

Deze handleiding bevat aanbevelingen voor de 152 Zero Trust-activiteiten in de DoD Zero Trust Capability Execution Roadmap. De secties komen overeen met de zeven pijlers van het DoD Zero Trust-model.

Gebruik de volgende koppelingen om naar secties van de handleiding te gaan.

5 Netwerk

In deze sectie vindt u richtlijnen en aanbevelingen van Microsoft voor DoD Zero Trust-activiteiten in de netwerkpijler. Zie Beveiligde netwerken met Zero Trust voor meer informatie.

5.1 Toewijzing van gegevensstromen

De Azure Virtual Network-service is een bouwsteen in uw privénetwerk in Azure. In virtuele netwerken communiceren Azure-resources met elkaar, internet en on-premises resources.

Wanneer u een multi hub-and-spoke-netwerktopologie in Azure implementeert, verwerkt Azure Firewall routeringsverkeer tussen virtuele netwerken. Azure Firewall Premium bevat ook beveiligingsfuncties zoals Tls-inspectie (Trasport-Layer Security), netwerkinbraak, detectie en preventiesysteem (IDPS), URL-filtering en inhoudsfiltering.

Azure-netwerkhulpprogramma's zoals Azure Network Watcher en Azure Monitor Network Insights helpen u bij het toewijzen en visualiseren van de netwerkverkeersstroom. Microsoft Sentinel-integratie maakt zichtbaarheid en controle over het netwerkverkeer van de organisatie mogelijk, met werkmappen, automatisering en detectiemogelijkheden.

Beschrijving en resultaat van DoD-activiteit Richtlijnen en aanbevelingen van Microsoft

Target 5.1.1 Granular Control Access Rules & Policies Pt1
definiërenDe DoD Enterprise die met de organisaties werkt, maakt gedetailleerde regels en beleidsregels voor netwerktoegang. Het bijbehorende concept van bewerkingen (ConOps) wordt ontwikkeld in overeenstemming met toegangsbeleid en zorgt voor toekomstige ondersteuning. Zodra dit is overeengekomen, zullen DoD-organisaties dit toegangsbeleid implementeren in bestaande netwerktechnologieën (bijvoorbeeld Next Generation Firewalls, Inbraakpreventiesystemen, enzovoort) om de initiële risiconiveaus te verbeteren.

Resultaten:
- Technische standaarden
bieden - Concept van bewerkingen
ontwikkelen - Community's van belang identificeren Azure Firewall Premium
Gebruik Azure Virtual Network en Azure Firewall Premium om communicatie en routering tussen cloudresources, cloudresources en on-premises resources en internet te beheren. Azure Firewall Premium heeft mogelijkheden voor bedreigingsinformatie, detectie van bedreigingen en inbraakpreventie om verkeer te beveiligen.
- Segmentatiestrategie
- Routeer een multi-hub-and-spoke-topologie
- Gebruik Azure Firewall Policy Analytics om firewallregels te beheren, inzicht in de verkeersstroom in te schakelen en gedetailleerde analyses uit te voeren op firewallregels.

-
om toegang te krijgen tot Azure Platform as a Service (PaaS) via een privé-eindpunt in een virtueel netwerk. Gebruik privé-eindpunten om kritieke Azure-resources alleen te beveiligen voor virtuele netwerken. Verkeer van virtueel netwerk naar Azure blijft in het Backbone-netwerk van Azure. Het is niet nodig om een virtueel netwerk beschikbaar te maken voor het openbare internet om Azure PaaS-services te gebruiken.
- Beveiligde netwerken: Best practices
- van PaaS-services: Netwerkbeveiligingsgroepen
: Schakel stroomlogboekregistratie in voor netwerkbeveiligingsgroepen (NSG's) om verkeersactiviteit te verkrijgen. Activiteitengegevens visualiseren in Network Watcher.
- NSG-stroomlogboeken

azure Virtual Network Manager
gebruiken Azure Virtual Network Manager voor gecentraliseerde connectiviteits- en beveiligingsconfiguraties voor virtuele netwerken in abonnementen.
- Azure Virtual Network Manager

is een beveiligingsbeheerservice voor gecentraliseerd beveiligingsbeleid en routebeheer voor cloudbeveiligingsperimeters.

-
om netwerkstandaarden af te dwingen, zoals verkeer geforceerde tunneling naar Azure Firewall of andere netwerkapparaten. Openbare IP-adressen verbieden of veilig gebruik van versleutelingsprotocollen afdwingen.
- Definities voor Azure-netwerkservices

Azure Monitor
gebruiken Azure Network Watcher en Azure Monitor Network Insights voor een uitgebreide en visuele weergave van uw netwerk.
- Network Watcher
- Network Insights

Target 5.1.2 Granular Control Access Rules & Policies Pt2
definiërenDoD-organisaties maken gebruik van gegevenstags en classificatiestandaarden om gegevensfilters te ontwikkelen voor API-toegang tot de SDN-infrastructuur. API Decision Points worden geformaliseerd binnen de SDN-architectuur en geïmplementeerd met niet-missie/taakkritieke toepassingen en services.

Resultaat:
- Filters voor gegevenstags definiëren voor API-infrastructuur Toepassingsbeveiligingsgroepen Gebruik toepassingsbeveiligingsgroepen
om netwerkbeveiliging te configureren als uitbreiding van de toepassingsstructuur. Virtuele machines (VM's) groeperen en netwerkbeveiligingsbeleid definiëren op basis van de groepen.
- Toepassingsbeveiligingsgroepen

Azure-servicetags Gebruik servicetags
voor Azure-VM's en virtuele Azure-netwerken om de netwerktoegang tot Azure-services in gebruik te beperken. Azure onderhoudt IP-adressen die aan elke tag zijn gekoppeld.
- Azure-servicetags

Azure Firewall Azure Firewall
Manager is een service voor gecentraliseerd beveiligingsbeleid en routebeheer voor cloudbeveiligingsperimeter (firewall, DDoS, WAF). Gebruik IP-groepen om IP-adressen voor Azure Firewall-regels te beheren.
- Azure Firewall Manager
- IP-groepen

Azure Virtual Network Manager Virtual Network Manager
is een beheerservice voor het groeperen, configureren, implementeren, weergeven en beheren van virtuele netwerken wereldwijd in abonnementen.
- Veelvoorkomende gebruiksvoorbeelden

waarmee Network Watcher
Network Watcher metrische gegevens kan bewaken, diagnosticeren en weergeven. Logboeken voor IaaS-resources (Infrastructure-as-a-Service) van Azure in- of uitschakelen. Gebruik Network Watcher om de netwerkstatus van IaaS-producten zoals VM's, VNets, toepassingsgateways, load balancers en meer te bewaken en te herstellen.
- Azure Network Watcher

Beschrijving en resultaat van DoD-activiteit	Richtlijnen en aanbevelingen van Microsoft
`Target` 5.1.1 Granular Control Access Rules & Policies Pt1 definiërenDe DoD Enterprise die met de organisaties werkt, maakt gedetailleerde regels en beleidsregels voor netwerktoegang. Het bijbehorende concept van bewerkingen (ConOps) wordt ontwikkeld in overeenstemming met toegangsbeleid en zorgt voor toekomstige ondersteuning. Zodra dit is overeengekomen, zullen DoD-organisaties dit toegangsbeleid implementeren in bestaande netwerktechnologieën (bijvoorbeeld Next Generation Firewalls, Inbraakpreventiesystemen, enzovoort) om de initiële risiconiveaus te verbeteren. Resultaten: - Technische standaarden bieden - Concept van bewerkingen ontwikkelen - Community's van belang identificeren	Azure Firewall Premium Gebruik Azure Virtual Network en Azure Firewall Premium om communicatie en routering tussen cloudresources, cloudresources en on-premises resources en internet te beheren. Azure Firewall Premium heeft mogelijkheden voor bedreigingsinformatie, detectie van bedreigingen en inbraakpreventie om verkeer te beveiligen. - Segmentatiestrategie - Routeer een multi-hub-and-spoke-topologie - Gebruik Azure Firewall Policy Analytics om firewallregels te beheren, inzicht in de verkeersstroom in te schakelen en gedetailleerde analyses uit te voeren op firewallregels. - om toegang te krijgen tot Azure Platform as a Service (PaaS) via een privé-eindpunt in een virtueel netwerk. Gebruik privé-eindpunten om kritieke Azure-resources alleen te beveiligen voor virtuele netwerken. Verkeer van virtueel netwerk naar Azure blijft in het Backbone-netwerk van Azure. Het is niet nodig om een virtueel netwerk beschikbaar te maken voor het openbare internet om Azure PaaS-services te gebruiken. - Beveiligde netwerken: Best practices - van PaaS-services: Netwerkbeveiligingsgroepen : Schakel stroomlogboekregistratie in voor netwerkbeveiligingsgroepen (NSG's) om verkeersactiviteit te verkrijgen. Activiteitengegevens visualiseren in Network Watcher. - NSG-stroomlogboeken azure Virtual Network Manager gebruiken Azure Virtual Network Manager voor gecentraliseerde connectiviteits- en beveiligingsconfiguraties voor virtuele netwerken in abonnementen. - Azure Virtual Network Manager is een beveiligingsbeheerservice voor gecentraliseerd beveiligingsbeleid en routebeheer voor cloudbeveiligingsperimeters. - om netwerkstandaarden af te dwingen, zoals verkeer geforceerde tunneling naar Azure Firewall of andere netwerkapparaten. Openbare IP-adressen verbieden of veilig gebruik van versleutelingsprotocollen afdwingen. - Definities voor Azure-netwerkservices Azure Monitor gebruiken Azure Network Watcher en Azure Monitor Network Insights voor een uitgebreide en visuele weergave van uw netwerk. - Network Watcher - Network Insights
`Target` 5.1.2 Granular Control Access Rules & Policies Pt2 definiërenDoD-organisaties maken gebruik van gegevenstags en classificatiestandaarden om gegevensfilters te ontwikkelen voor API-toegang tot de SDN-infrastructuur. API Decision Points worden geformaliseerd binnen de SDN-architectuur en geïmplementeerd met niet-missie/taakkritieke toepassingen en services. Resultaat: - Filters voor gegevenstags definiëren voor API-infrastructuur	Toepassingsbeveiligingsgroepen Gebruik toepassingsbeveiligingsgroepen om netwerkbeveiliging te configureren als uitbreiding van de toepassingsstructuur. Virtuele machines (VM's) groeperen en netwerkbeveiligingsbeleid definiëren op basis van de groepen. - Toepassingsbeveiligingsgroepen Azure-servicetags Gebruik servicetags voor Azure-VM's en virtuele Azure-netwerken om de netwerktoegang tot Azure-services in gebruik te beperken. Azure onderhoudt IP-adressen die aan elke tag zijn gekoppeld. - Azure-servicetags Azure Firewall Azure Firewall Manager is een service voor gecentraliseerd beveiligingsbeleid en routebeheer voor cloudbeveiligingsperimeter (firewall, DDoS, WAF). Gebruik IP-groepen om IP-adressen voor Azure Firewall-regels te beheren. - Azure Firewall Manager - IP-groepen Azure Virtual Network Manager Virtual Network Manager is een beheerservice voor het groeperen, configureren, implementeren, weergeven en beheren van virtuele netwerken wereldwijd in abonnementen. - Veelvoorkomende gebruiksvoorbeelden waarmee Network Watcher Network Watcher metrische gegevens kan bewaken, diagnosticeren en weergeven. Logboeken voor IaaS-resources (Infrastructure-as-a-Service) van Azure in- of uitschakelen. Gebruik Network Watcher om de netwerkstatus van IaaS-producten zoals VM's, VNets, toepassingsgateways, load balancers en meer te bewaken en te herstellen. - Azure Network Watcher

5.2 Software gedefinieerde netwerken

Virtuele netwerken vormen de basis van privénetwerken in Azure. Met een virtueel netwerk (VNet) beheert een organisatie de communicatie tussen Azure-resources en on-premises. Filter en routeer verkeer en integreer met andere Azure-services, zoals Azure Firewall, Azure Front Door, Azure-toepassing Gateway, Azure VPN Gateway en Azure ExpressRoute.

Beschrijving en resultaat van DoD-activiteit	Richtlijnen en aanbevelingen van Microsoft
`Target` 5.2.1 SDN-API's definiërenDe DoD Enterprise werkt samen met de organisaties om de benodigde API's en andere programmatische interfaces te definiëren om SDN-functies (Software Defined Networking) in te schakelen. Deze API's maken automatisering van verificatiebeslissingspunt, proxy voor toepassingsleveringsbeheer en segmentatiegateways mogelijk. Resultaten: - SDN-API's zijn gestandaardiseerde en geïmplementeerd - API's zijn functioneel voor AuthN Decision Point, Proxy voor app-leveringsbeheer en segmentatiegateways	Azure Resource Manager Azure-netwerken implementeren en configureren met behulp van ARM-API's (Azure Resource Manager). Azure-beheerhulpprogramma's: Azure Portal, Azure PowerShell, Azure Cli (Opdrachtregelinterface) en sjablonen gebruiken dezelfde ARM-API's voor het verifiëren en autoriseren van aanvragen. - Azure Resource Manager - Ingebouwde Azure-rollen toewijzen voor netwerkresourcebeheer. Volg principes met minimale bevoegdheden en wijs rollen Just-In-Time (JIT) toe via PIM. - Ingebouwde Azure-rollen
`Target` 5.2.2 SdN Programable Infrastructure implementerenNa de API-standaarden, vereisten en SDN API-functionaliteiten implementeren DoD-organisaties de SDN-infrastructuur (Software Defined Networking) om automatiseringstaken mogelijk te maken. Segmentatiegateways en verificatiebeslissingspunten worden geïntegreerd in de SDN-infrastructuur, samen met uitvoerlogboekregistratie in een gestandaardiseerde opslagplaats (bijvoorbeeld SIEM, Log Analytics) voor bewaking en waarschuwingen. Resultaten: - Proxy voor toepassingsleveringsbeheer geïmplementeerd - Vastgelegde SIEM-logboekregistratieactiviteiten - Geïmplementeerde UAM (User Activity Monitoring) - Geïntegreerd met verificatiebeslissingspunt	Azure-netwerkresources Beveiligen externe toegang tot toepassingen die worden gehost in een virtueel netwerk (VNet) met: Azure Front Door (AFD), Azure-toepassing Gateway of Azure Firewall. AFD en Application Gateway hebben taakverdelings- en beveiligingsfuncties voor Open Web Application Security Project (OWASP) Top 10 en bots. U kunt aangepaste regels maken. Azure Firewall heeft filteren op bedreigingsinformatie op Laag 4. - Systeemeigen filters en beveiliging van de cloud voor bekende bedreigingen - ontwerp netwerkarchitectuur Microsoft Sentinel Azure Firewall, Application Gateway, ADF en Azure Bastion exporteren logboeken naar Sentinel, of andere SIEM-systemen (Security Information and Event Management) voor analyse. Gebruik connectors in Sentinel of Azure Policy om deze vereiste af te dwingen in een omgeving. - Azure Firewall met Sentinel - Azure Web App Firewall-connector voor Sentinel Find Sentinel-gegevensconnectors - Microsoft Entra-toepassingsproxy Implementeer de toepassingsproxy om privétoepassingen te publiceren en te leveren in uw on-premises netwerk. Integreer oplossingen voor sha-partners (Secure Hybrid Access). - Zie Microsoft-richtlijnen 1.3.3 in .- - Gebruik Defender voor Cloud Apps om riskante webtoepassingssessies te bewaken.
`Target` 5.2.3 Segmentstromen in besturings-, beheer- en gegevensvlakken Netwerkinfrastructuur en -stromen worden fysiek of logisch gesegmenteerd in besturings-, beheer- en gegevensvlakken. Basissegmentatie met behulp van IPv6/VLAN-benaderingen wordt geïmplementeerd om verkeer tussen gegevensvlakken beter te organiseren. Analyse en NetFlow van de bijgewerkte infrastructuur worden automatisch ingevoerd in Operations Centers en analysehulpprogramma's. Resultaten: - IPv6-segmentatie - Geautomatiseerde NetOps-informatierapportage inschakelen- Configuratiebeheer garanderen binnen ondernemingen - geïntegreerd met SOAR	Azure Resource ManagerAzure Resource Manager is een implementatie- en beheerservice met een beheerlaag voor het maken, bijwerken en verwijderen van resources in een Azure-account. - Azure-besturings- en gegevensvlakken - Multitenant-besturingsvlakken azure - operationele beveiliging Microsoft Sentinel Connect Azure-netwerkinfrastructuur met Sentinel verbinden met Sentinel. Sentinel-gegevensconnectors configureren voor niet-Azure-netwerkoplossingen. Gebruik aangepaste analysequery's om Sentinel SOAR-automatisering te activeren. - Reactie op bedreigingen met playbooksdetectie - en -reactie voor Azure Firewall met Logic Apps Zie Microsoft-richtlijnen in 5.2.2.
`Advanced` 5.2.4 Detectie van netwerkassets en optimalisatie DoD-organisaties automatiseren detectie van netwerkassets via de SDN-infrastructuur, waardoor de toegang tot apparaten wordt beperkt op basis van risicogebaseerde methoden. Optimalisatie wordt uitgevoerd op basis van de SDN-analyse om de algehele prestaties te verbeteren, samen met de benodigde goedgekeurde toegang tot resources. Resultaten: - Technische verfrissing/technologieontwikkeling - optimalisatie/prestatiecontroles bieden	Azure Monitor Gebruik Azure Monitor-netwerkinzichten om een uitgebreide visuele weergave van netwerkresources te zien, waaronder topologie, status en metrische gegevens. Zie microsoft-richtlijnen in 5.1.1. Microsoft Defender voor Cloud Defender voor Cloud detecteert en vermeldt een inventaris van ingerichte resources in Azure, andere clouds en on-premises. -
`Advanced` 5.2.5 Realtime toegangsbeslissingen SDN-infrastructuur maakt gebruik van gegevensbronnen voor meerdere pijlers, zoals Bewaking van gebruikersactiviteiten, Entiteitsactiviteitenbewaking, Enterprise-beveiligingsprofielen en meer voor realtime toegangsbeslissingen. Machine learning wordt gebruikt om beslissingen te nemen op basis van geavanceerde netwerkanalyse (volledige pakketopname, enzovoort). Beleidsregels worden consistent geïmplementeerd in Enterprise met behulp van geïntegreerde toegangsstandaarden. Resultaten: - SIEM-logboeken analyseren met analyse-engine om realtime beleidstoegangsbeslissingen te bieden- Ondersteuning voor het verzenden van vastgelegde pakketten, gegevens/netwerkstromen en andere specifieke logboeken voor analyse - end-to-end transportnetwerkstromen segmenteren- Beveiligingsbeleid controleren voor consistentie binnen ondernemingen	Volledige activiteiten 5.2.1 - 5.2.4. Microsoft Sentinel Detect-bedreigingen door netwerklogboeken naar Sentinel te verzenden voor analyse. Gebruik mogelijkheden zoals bedreigingsinformatie, geavanceerde aanvalsdetectie, opsporing van bedreigingen en ingebouwde query's. Met Sentinel-automatisering kunnen operators schadelijke IP-adressen blokkeren. - Bedreigingen detecteren met analyseregels - gebruiken om netwerkverkeer vast te leggen van en naar virtuele machines (VM's) en virtuele-machineschaalsets. Defender voor Cloud beoordeelt de naleving van netwerkbeveiligingscontroles die zijn voorgeschreven in frameworks, zoals Microsoft Cloud Security Benchmark, DoD Impact Level 4 (IL4) en IL5, en National Institute of Standards and Technology (NIST) 800-53 R4/R5. - Beveiligingsbeheer: netwerkbeveiliging Voorwaardelijke toegang gebruik inzichten en rapportagewerkmap voor voorwaardelijke toegangom inzicht te krijgen in de effecten van het beleid voor voorwaardelijke toegang van de organisatie. - Inzichten en rapportage

5.3 Macrosegmentatie

Azure-abonnementen zijn constructies op hoog niveau die Azure-resources scheiden. Communicatie tussen resources in verschillende abonnementen wordt expliciet ingericht. Virtuele netwerkresources (VNet)-resources in een abonnement bieden resource-insluiting op netwerkniveau. VNets kunnen standaard niet communiceren met andere VNets. Als u netwerkcommunicatie tussen VNets wilt inschakelen, peert u deze en gebruikt u Azure Firewall om het verkeer te beheren en te bewaken.

Zie werkbelastingen beveiligen en beheren met segmentatie op netwerkniveau voor meer informatie.

Beschrijving en resultaat van DoD-activiteit Richtlijnen en aanbevelingen van Microsoft

Target 5.3.1 Macrosegmentatie
datacenterDoD-organisaties implementeren datacentrumgerichte macrosegmentatie met behulp van traditionele gelaagde architecturen (web, app, db) en/of op services gebaseerde architecturen. Proxy- en/of afdwingingscontroles zijn geïntegreerd met de SDN-oplossing(en) op basis van apparaatkenmerken en -gedrag.

Resultaten:
- Logboekacties voor SIEM
: proxy-/afdwingingscontroles van apparaatkenmerken, gedrag en andere gegevens
analyseren- Activiteiten analyseren met analyse-engine Azure-netwerkontwerp
en implementeer Azure-netwerkservices, op basis van gevestigde architecturen, zoals landingszones op ondernemingsniveau. Segmenteer virtuele Azure-netwerken (VNets) en volg best practices voor Azure-netwerkbeveiliging. Gebruik netwerkbeveiligingsbesturingselementen als pakketten verschillende VNet-grenzen overschrijden.
- Zie Microsoft-richtlijnen 1.3.3 in
- Connectors gebruiken om logboeken van Microsoft Entra-id te gebruiken, netwerkresources die naar Microsoft Sentinel moeten worden verzonden voor controle, opsporing van bedreigingen, detectie en reactie. Schakel UEBA (User Entity Behavior Analytics) in Sentinel in.

Zie microsoft-richtlijnen in 5.2.2 en 1.6.2 in Microsoft Defender XDR
Integreer Microsoft Defender voor Eindpunt met Microsoft Defender voor Cloud Apps en blokkeer de toegang tot niet-opgegeven apps.

- Discover en schaduw-IT blokkeren
-

Target 5.3.2 B/C/P/S Macrosegmentatie
DoD-organisaties implementeren basis-, kamp-, post- en stationmacrosegmentatie met behulp van logische netwerkzones die laterale verplaatsing beperken. Proxy- en/of afdwingingscontroles zijn geïntegreerd met de SDN-oplossing(en) op basis van apparaatkenmerken en -gedrag.

Resultaten:
: proxy-/afdwingingscontroles van apparaatkenmerken, gedrag en andere gegevenslogboekacties
voor SIEM
- Activiteiten analyseren met analyse-engine
- SOAR gebruiken om BESLISSINGEN over TOEGANG tot RT-beleid te bieden Volledige activiteit 5.3.1.

Microsoft Sentinel
Gebruik Azure Firewall om firewallactiviteiten te visualiseren, bedreigingen te detecteren met AI-onderzoeksmogelijkheden, activiteiten te correleren en reactieacties te automatiseren.
- Azure Firewall

Beschrijving en resultaat van DoD-activiteit	Richtlijnen en aanbevelingen van Microsoft
`Target` 5.3.1 Macrosegmentatie datacenterDoD-organisaties implementeren datacentrumgerichte macrosegmentatie met behulp van traditionele gelaagde architecturen (web, app, db) en/of op services gebaseerde architecturen. Proxy- en/of afdwingingscontroles zijn geïntegreerd met de SDN-oplossing(en) op basis van apparaatkenmerken en -gedrag. Resultaten: - Logboekacties voor SIEM : proxy-/afdwingingscontroles van apparaatkenmerken, gedrag en andere gegevens analyseren- Activiteiten analyseren met analyse-engine	Azure-netwerkontwerp en implementeer Azure-netwerkservices, op basis van gevestigde architecturen, zoals landingszones op ondernemingsniveau. Segmenteer virtuele Azure-netwerken (VNets) en volg best practices voor Azure-netwerkbeveiliging. Gebruik netwerkbeveiligingsbesturingselementen als pakketten verschillende VNet-grenzen overschrijden. - Zie Microsoft-richtlijnen 1.3.3 in - Connectors gebruiken om logboeken van Microsoft Entra-id te gebruiken, netwerkresources die naar Microsoft Sentinel moeten worden verzonden voor controle, opsporing van bedreigingen, detectie en reactie. Schakel UEBA (User Entity Behavior Analytics) in Sentinel in. Zie microsoft-richtlijnen in 5.2.2 en 1.6.2 in Microsoft Defender XDR Integreer Microsoft Defender voor Eindpunt met Microsoft Defender voor Cloud Apps en blokkeer de toegang tot niet-opgegeven apps. - Discover en schaduw-IT blokkeren -
`Target` 5.3.2 B/C/P/S Macrosegmentatie DoD-organisaties implementeren basis-, kamp-, post- en stationmacrosegmentatie met behulp van logische netwerkzones die laterale verplaatsing beperken. Proxy- en/of afdwingingscontroles zijn geïntegreerd met de SDN-oplossing(en) op basis van apparaatkenmerken en -gedrag. Resultaten: : proxy-/afdwingingscontroles van apparaatkenmerken, gedrag en andere gegevenslogboekacties voor SIEM - Activiteiten analyseren met analyse-engine - SOAR gebruiken om BESLISSINGEN over TOEGANG tot RT-beleid te bieden	Volledige activiteit 5.3.1. Microsoft Sentinel Gebruik Azure Firewall om firewallactiviteiten te visualiseren, bedreigingen te detecteren met AI-onderzoeksmogelijkheden, activiteiten te correleren en reactieacties te automatiseren. - Azure Firewall

5.4 Microsegmentatie

Netwerkbeveiligingsgroepen (NSG's) en toepassingsbeveiligingsgroepen (ASG) bieden microsegmentatie voor netwerkbeveiliging voor Azure-netwerken. ASG's vereenvoudigen het filteren van verkeer op basis van toepassingspatronen. Implementeer meerdere toepassingen in hetzelfde subnet en isoleer verkeer op basis van de ASG's.

Zie werkbelastingen beveiligen en beheren met segmentatie op netwerkniveau voor meer informatie.

Beschrijving en resultaat van DoD-activiteit	Richtlijnen en aanbevelingen van Microsoft
`Target` 5.4.1 Microsegmentatie implementerenDoD-organisaties implementeren microsegmentatie-infrastructuur in sdn-omgeving voor het inschakelen van basissegmentatie van serviceonderdelen (bijvoorbeeld web, app, db), poorten en protocollen. Basisautomatisering wordt geaccepteerd voor beleidswijzigingen, waaronder API-besluitvorming. Virtuele hostingomgevingen implementeren microsegmentatie op host-/containerniveau. Resultaten: - Automatische beleidswijzigingen accepteren- API-beslissingspunten implementeren- NGF/Micro FW/Endpoint Agent implementeren in virtuele hostingomgeving	Volledige activiteit 5.3.1. Azure Firewall Premium Azure Firewall Premium gebruiken als nextgen firewall (NGF) in uw Azure-netwerksegmentatiestrategie. Zie microsoft-richtlijnen in 5.1.1. Toepassingsbeveiligingsgroepen In netwerkbeveiligingsgroepen (NSG's) kunt u toepassingsbeveiligingsgroepen gebruiken om netwerkbeveiliging te configureren als uitbreiding van de toepassingsstructuur. Vereenvoudig netwerkbeveiligingsbeleid door Azure-resources voor dezelfde toepassing te koppelen met behulp van toepassingsbeveiligingsgroepen. - Beveilig en beheer workloads met segmentatietoepassingsbeveiligingsgroepen - op netwerkniveau Azure Kubernetes Service Vereisen Azure Container Networking Interface (Azure CNI) voor toepassingen in Azure Kubernetes Service (AKS) met behulp van ingebouwde definities in Azure Policy. Implementeer microsegmentatie op containerniveau voor containers in AKS met behulp van netwerkbeleid. - Netwerkconcepten voor AKS - Configureren Azure CNI Overlay-netwerkverkeer - tussen pods met behulp van netwerkbeleid - AKS-beleid verwijzen naar Microsoft Defender for Servers Onboard azure virtuele machines (VM's), VM's in andere cloudhostingomgevingen en on-premises servers naar Defender for Servers. Netwerkbeveiliging in Microsoft Defender voor Eindpunt blokkeert processen op hostniveau van communicatie met specifieke domeinen, hostnamen of IP-adressen die overeenkomen met Indicators of Compromise (IoC). -
`Target` 5.4.2 Application & Device Micro-segmentatie DoD-organisaties maken gebruik van SDN-oplossingen (Software Defined Networking) om infrastructuur te maken die voldoet aan de ZT-doelfunctionaliteiten: logische netwerkzones, rollen, kenmerk en voorwaardelijk toegangsbeheer voor gebruikers en apparaten, bevoegde toegangsbeheerservices voor netwerkresources en op beleid gebaseerde controle op API-toegang. Resultaten: - Rol, Kenmerk, & Voorwaarde gebaseerd toegangsbeheer toewijzen aan gebruikers en apparaten - Privileged Access Management Services bieden- Toegang per identiteit beperken voor gebruiker en apparaat - Logische netwerkzones maken	Microsoft Entra ID Integreer toepassingen met Microsoft Entra ID. Toegang beheren met app-rollen, beveiligingsgroepen en toegangspakketten. Zie Microsoft-richtlijnen 1.2 in Gebruiker. Beleidsets voor voorwaardelijke toegang ontwerpen voor dynamische autorisatie op basis van gebruiker, rol, groep, apparaat, client-app, identiteitsrisico en toepassingsresource. Gebruik verificatiecontexten om logische netwerkzones te maken op basis van gebruikers- en omgevingsomstandigheden. Zie Microsoft-richtlijnen 1.8.3 in Gebruiker. Privileged Identity Manager configureer PIM voor Just-In-Time-toegang (JIT) tot bevoorrechte rollen en Microsoft Entra-beveiligingsgroepen. Zie Microsoft-richtlijnen 1.4.2 in Gebruiker. Azure Virtual Machines en SQL-databases configureren Azure Virtual Machines en SQL-exemplaren voor het gebruik van Microsoft Entra-identiteiten voor gebruikersaanmelding. - Meld u aan bij Windows in Azure - Meld u aan bij Linuz VM in Azure - Gebruik Bastion om veilig verbinding te maken met Azure-VM's met privé-IP-adressen vanuit de Azure-portal of met behulp van systeemeigen beveiligde shell (SSH) of een RDP-client (Remote Desktop Protocol). Bastion - : Just-In-Time -toegang (JIT) tot VM's gebruiken om ze te beschermen tegen onbevoegde netwerktoegang. JIT-toegang op VM's inschakelen
`Advanced` 5.4.3 Procesmicrosegmentatie DoD-organisaties maken gebruik van bestaande microsegmentatie- en SDN-automatiseringsinfrastructuur voor processegmentatie. Processen op hostniveau worden gesegmenteerd op basis van beveiligingsbeleid en toegang wordt verleend met behulp van realtime toegangsbeslissing. Resultaten: - Segmenteer processen op hostniveau voor beveiligingsbeleid - ondersteuning voor realtime toegangsbeslissingen en beleidswijzigingen - Offload van logboeken voor analyse en automatisering - ondersteuning voor dynamische implementatie van segmentatiebeleid	Volledige activiteit 5.4.2. Microsoft Defender voor Eindpunt Enable netwerkbeveiliging in Defender voor Eindpunt om te voorkomen dat processen en toepassingen op hostniveau verbinding maken met schadelijke netwerkdomeinen, IP-adressen of geïnfecteerde hostnamen. Zie Microsoft-richtlijnen 4.5.1. Met continue toegangsevaluatie continue toegangsevaluatie (CAE) kunnen services zoals Exchange Online, SharePoint Online en Microsoft Teams zich abonneren op Microsoft Entra-gebeurtenissen, zoals accountuitschakeling en detecties met een hoog risico in Microsoft Entra ID Protection. Zie Microsoft-richtlijnen 1.8.3 in Gebruiker. Microsoft Sentinel Connectors gebruiken om logboeken van Microsoft Entra-id te gebruiken, netwerkresources die naar Microsoft Sentinel moeten worden verzonden voor controle, opsporing van bedreigingen, detectie en reactie. Zie microsoft-richtlijnen in 5.2.2 en 1.6.2 in Gebruiker.
`Target` 5.4.4 Gegevens in transit beveiligenOp basis van de toewijzingen en bewaking van gegevensstromen worden beleidsregels door DoD-organisaties ingeschakeld om de beveiliging van gegevens in transit te verplichten. Veelvoorkomende gebruiksvoorbeelden zoals Het delen van coalitiegegevens, delen over systeemgrenzen en -bescherming over architectuuronderdelen zijn opgenomen in het beveiligingsbeleid. Resultaten: - Gegevens die onderweg zijn tijdens het delen van coalitiegegevens beveiligen - Gegevens in transit beveiligen over de hoge grenzen van het systeem- Gegevens in transitbescherming integreren in architectuuronderdelen	Microsoft 365 Gebruik Microsoft 365 voor DoD-samenwerking. Microsoft 365-services versleutelen data-at-rest en in transit. - Versleuteling in Microsoft 365 Microsoft 365 en Microsoft Entra ID verbeteren het delen van coalities met eenvoudige onboarding en het beheren van toegang voor gebruikers in andere DoD-tenants. - Beveiligd delen - met gasten configureer toegang tussen tenants en Microsoft-cloudinstellingen om te bepalen hoe gebruikers samenwerken met externe organisaties. Govern externe gebruikerstoegangslevenscyclussen met rechtenbeheer.- - Gebruik Defender voor Cloud om continu te beoordelen en veilige transportprotocollen af te dwingen voor cloudresources.

Volgende stappen

Configureer Microsoft-cloudservices voor de DoD Zero Trust-strategie:

Feedback

Is deze pagina nuttig?

Last updated on 2025-06-16