Strategia doD Zero Trust dla filaru sieci

Strategia doD Zero Trust i harmonogram działania przedstawia ścieżkę dla składników Departamentu Obrony i partnerów bazy przemysłowej obrony (DIB), aby przyjąć nową strukturę cyberbezpieczeństwa opartą na zasadach Zero Trust. Zero Trust eliminuje tradycyjne założenia dotyczące obwodów i zaufania, umożliwiając bardziej wydajną architekturę, która zwiększa bezpieczeństwo, środowiska użytkownika i wydajność misji.

Ten przewodnik zawiera zalecenia dotyczące działań 152 Zero Trust w harmonogramie wykonywania możliwości bez zaufania doD. Sekcje odpowiadają siedmiu filarom modelu DoD Zero Trust.

Skorzystaj z poniższych linków, aby przejść do sekcji przewodnika.

5 Sieć

Ta sekcja zawiera wskazówki i zalecenia dotyczące działań firmy DoD Zero Trust w filarze sieci. Aby dowiedzieć się więcej, zobacz Zabezpieczanie sieci za pomocą rozwiązania Zero Trust , aby uzyskać więcej informacji.

5.1 Mapowanie przepływu danych

Usługa Azure Virtual Network to blok konstrukcyjny w sieci prywatnej na platformie Azure. W sieciach wirtualnych zasoby platformy Azure komunikują się ze sobą, Internetem i zasobami lokalnymi.

Podczas wdrażania topologii sieci piasty i szprych na platformie Azure usługa Azure Firewall obsługuje routing ruchu między sieciami wirtualnymi. Ponadto usługa Azure Firewall Premium obejmuje funkcje zabezpieczeń, takie jak inspekcja protokołu TLS (Trasport-Layer Security), włamanie do sieci, wykrywanie i system zapobiegania (IDPS), filtrowanie adresów URL i filtrowanie zawartości.

Narzędzia sieciowe platformy Azure, takie jak Usługa Azure Network Watcher i Usługa Azure Monitor Network Insights, ułatwiają mapowania i wizualizowania przepływu ruchu sieciowego. Integracja z usługą Microsoft Sentinel umożliwia widoczność i kontrolę nad ruchem sieci organizacji, a skoroszyty, automatyzacja i możliwości wykrywania.

Opis i wynik działania dod Wskazówki i zalecenia firmy Microsoft

Target 5.1.1 Zdefiniuj szczegółowe reguły kontroli dostępu i zasady pt1
Aplikacja DoD Enterprise współpracująca z organizacjami tworzy szczegółowe reguły dostępu do sieci i zasady. Skojarzona koncepcja operacji (ConOps) jest opracowywana zgodnie z zasadami dostępu i zapewnia przyszłe wsparcie. Po uzgodnieniu organizacje DoD zaimplementują te zasady dostępu do istniejących technologii sieciowych (np. zapór nowej generacji, systemów zapobiegania włamaniom itp.), aby poprawić początkowe poziomy ryzyka.

Wyniki:
— zapewnianie standardów
technicznych — opracowywanie koncepcji operacji
— identyfikowanie społeczności zainteresowań Usługa Azure Firewall w warstwie Premium
korzysta z usługi Azure Virtual Network i Azure Firewall w warstwie Premium, aby kontrolować komunikację i routing między zasobami w chmurze, chmurą i zasobami lokalnymi oraz Internetem. Usługa Azure Firewall Premium ma funkcje analizy zagrożeń, wykrywania zagrożeń i zapobiegania włamaniom w celu zabezpieczenia ruchu.
- Strategia
- segmentacji Kierowanie topologii
- użyciu analizy zasad usługi Azure Firewall do zarządzania regułami zapory, włączania wglądu w przepływ ruchu i przeprowadzania szczegółowej analizy reguł zapory.

-
do uzyskiwania dostępu do platformy Azure jako usługi (PaaS) za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej. Użyj prywatnych punktów końcowych, aby zabezpieczyć krytyczne zasoby platformy Azure wyłącznie w sieciach wirtualnych. Ruch z sieci wirtualnej do platformy Azure pozostaje w sieci szkieletowej platformy Azure. Nie jest konieczne uwidacznienie sieci wirtualnej publicznej w Internecie w celu korzystania z usług PaaS platformy Azure.
- Bezpieczne sieci: Najlepsze rozwiązania
- usługi PaaS Sieciowe grupy
zabezpieczeń Umożliwiają rejestrowanie przepływów w sieciowych grupach zabezpieczeń w celu uzyskania aktywności ruchu. Wizualizowanie danych działań w usłudze Network Watcher.
- Dzienniki przepływu sieciowej grupy zabezpieczeń w usłudze

Azure Virtual Network Manager
używają menedżera sieci wirtualnej platformy Azure do scentralizowanej łączności i konfiguracji zabezpieczeń dla sieci wirtualnych w ramach subskrypcji.
- Azure Virtual Network Manager

to usługa zarządzania zabezpieczeniami służąca do scentralizowanych zasad zabezpieczeń i zarządzania trasami dla obwodów zabezpieczeń opartych na chmurze.

-
do wymuszania standardów sieciowych, takich jak wymuszone tunelowanie ruchu do usługi Azure Firewall lub inne urządzenia sieciowe. Zakazać publicznych adresów IP lub wymusić bezpieczne korzystanie z protokołów szyfrowania.
- Definicje usług

używają usługi Azure Network Watcher i Azure Monitor Network Insights w celu uzyskania kompleksowej i wizualnej reprezentacji sieci.

-
-

Target 5.1.2 Definiowanie szczegółowych reguł kontroli dostępu i zasad pt2
Organizacje doD wykorzystują standardy tagowania i klasyfikacji danych do opracowywania filtrów danych na potrzeby dostępu interfejsu API do infrastruktury SDN. Punkty decyzyjne interfejsu API są sformalizowane w ramach architektury SDN i implementowane przy użyciu aplikacji i usług o znaczeniu krytycznym dla zadań i nienależących do zadań.

Wynik:
- Definiowanie filtrów tagowania danych dla infrastruktury interfejsu API Grupy zabezpieczeń aplikacji Używają grup
zabezpieczeń aplikacji do konfigurowania zabezpieczeń sieci jako rozszerzenia struktury aplikacji. Grupuj maszyny wirtualne i zdefiniuj zasady zabezpieczeń sieci na podstawie grup.
- Tagi usługi platformy Azure Grupy zabezpieczeń

aplikacji Użyj tagów
usług dla maszyn wirtualnych platformy Azure i sieci wirtualnych platformy Azure, aby ograniczyć dostęp sieciowy do usług platformy Azure w użyciu. Platforma Azure obsługuje adresy IP skojarzone z każdym tagiem.
- Tagi

usługi platformy Azure Azure Firewall Azure Firewall
Manager to usługa zarządzania zabezpieczeniami służąca do scentralizowanych zasad zabezpieczeń i zarządzania trasami dla obwodów zabezpieczeń opartych na chmurze (zapora, DDoS, zapora aplikacji internetowej). Użyj grup adresów IP do zarządzania adresami IP dla reguł usługi Azure Firewall.
-
to usługa zarządzania służąca do grupowania, konfigurowania, wdrażania, wyświetlania i zarządzania sieciami wirtualnymi w różnych subskrypcjach.
- Typowe przypadki

użycia usługi Azure Network Watcher umożliwiają usłudze Network Watcher
monitorowanie, diagnozowanie i wyświetlanie metryk. Włączanie lub wyłączanie dzienników dla zasobów infrastruktury jako usługi (IaaS) platformy Azure. Usługa Network Watcher umożliwia monitorowanie i naprawianie kondycji sieci produktów IaaS, takich jak maszyny wirtualne, sieci wirtualne, bramy aplikacji, moduły równoważenia obciążenia i nie tylko.
- Azure Network Watcher

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 5.1.1 Zdefiniuj szczegółowe reguły kontroli dostępu i zasady pt1 Aplikacja DoD Enterprise współpracująca z organizacjami tworzy szczegółowe reguły dostępu do sieci i zasady. Skojarzona koncepcja operacji (ConOps) jest opracowywana zgodnie z zasadami dostępu i zapewnia przyszłe wsparcie. Po uzgodnieniu organizacje DoD zaimplementują te zasady dostępu do istniejących technologii sieciowych (np. zapór nowej generacji, systemów zapobiegania włamaniom itp.), aby poprawić początkowe poziomy ryzyka. Wyniki: — zapewnianie standardów technicznych — opracowywanie koncepcji operacji — identyfikowanie społeczności zainteresowań	Usługa Azure Firewall w warstwie Premium korzysta z usługi Azure Virtual Network i Azure Firewall w warstwie Premium, aby kontrolować komunikację i routing między zasobami w chmurze, chmurą i zasobami lokalnymi oraz Internetem. Usługa Azure Firewall Premium ma funkcje analizy zagrożeń, wykrywania zagrożeń i zapobiegania włamaniom w celu zabezpieczenia ruchu. - Strategia - segmentacji Kierowanie topologii - użyciu analizy zasad usługi Azure Firewall do zarządzania regułami zapory, włączania wglądu w przepływ ruchu i przeprowadzania szczegółowej analizy reguł zapory. - do uzyskiwania dostępu do platformy Azure jako usługi (PaaS) za pośrednictwem prywatnego punktu końcowego w sieci wirtualnej. Użyj prywatnych punktów końcowych, aby zabezpieczyć krytyczne zasoby platformy Azure wyłącznie w sieciach wirtualnych. Ruch z sieci wirtualnej do platformy Azure pozostaje w sieci szkieletowej platformy Azure. Nie jest konieczne uwidacznienie sieci wirtualnej publicznej w Internecie w celu korzystania z usług PaaS platformy Azure. - Bezpieczne sieci: Najlepsze rozwiązania - usługi PaaS Sieciowe grupy zabezpieczeń Umożliwiają rejestrowanie przepływów w sieciowych grupach zabezpieczeń w celu uzyskania aktywności ruchu. Wizualizowanie danych działań w usłudze Network Watcher. - Dzienniki przepływu sieciowej grupy zabezpieczeń w usłudze Azure Virtual Network Manager używają menedżera sieci wirtualnej platformy Azure do scentralizowanej łączności i konfiguracji zabezpieczeń dla sieci wirtualnych w ramach subskrypcji. - Azure Virtual Network Manager to usługa zarządzania zabezpieczeniami służąca do scentralizowanych zasad zabezpieczeń i zarządzania trasami dla obwodów zabezpieczeń opartych na chmurze. - do wymuszania standardów sieciowych, takich jak wymuszone tunelowanie ruchu do usługi Azure Firewall lub inne urządzenia sieciowe. Zakazać publicznych adresów IP lub wymusić bezpieczne korzystanie z protokołów szyfrowania. - Definicje usług używają usługi Azure Network Watcher i Azure Monitor Network Insights w celu uzyskania kompleksowej i wizualnej reprezentacji sieci. - -
`Target` 5.1.2 Definiowanie szczegółowych reguł kontroli dostępu i zasad pt2 Organizacje doD wykorzystują standardy tagowania i klasyfikacji danych do opracowywania filtrów danych na potrzeby dostępu interfejsu API do infrastruktury SDN. Punkty decyzyjne interfejsu API są sformalizowane w ramach architektury SDN i implementowane przy użyciu aplikacji i usług o znaczeniu krytycznym dla zadań i nienależących do zadań. Wynik: - Definiowanie filtrów tagowania danych dla infrastruktury interfejsu API	Grupy zabezpieczeń aplikacji Używają grup zabezpieczeń aplikacji do konfigurowania zabezpieczeń sieci jako rozszerzenia struktury aplikacji. Grupuj maszyny wirtualne i zdefiniuj zasady zabezpieczeń sieci na podstawie grup. - Tagi usługi platformy Azure Grupy zabezpieczeń aplikacji Użyj tagów usług dla maszyn wirtualnych platformy Azure i sieci wirtualnych platformy Azure, aby ograniczyć dostęp sieciowy do usług platformy Azure w użyciu. Platforma Azure obsługuje adresy IP skojarzone z każdym tagiem. - Tagi usługi platformy Azure Azure Firewall Azure Firewall Manager to usługa zarządzania zabezpieczeniami służąca do scentralizowanych zasad zabezpieczeń i zarządzania trasami dla obwodów zabezpieczeń opartych na chmurze (zapora, DDoS, zapora aplikacji internetowej). Użyj grup adresów IP do zarządzania adresami IP dla reguł usługi Azure Firewall. - to usługa zarządzania służąca do grupowania, konfigurowania, wdrażania, wyświetlania i zarządzania sieciami wirtualnymi w różnych subskrypcjach. - Typowe przypadki użycia usługi Azure Network Watcher umożliwiają usłudze Network Watcher monitorowanie, diagnozowanie i wyświetlanie metryk. Włączanie lub wyłączanie dzienników dla zasobów infrastruktury jako usługi (IaaS) platformy Azure. Usługa Network Watcher umożliwia monitorowanie i naprawianie kondycji sieci produktów IaaS, takich jak maszyny wirtualne, sieci wirtualne, bramy aplikacji, moduły równoważenia obciążenia i nie tylko. - Azure Network Watcher

5.2 Sieć zdefiniowana programowo

Sieci wirtualne są podstawą sieci prywatnych na platformie Azure. W przypadku sieci wirtualnej organizacja kontroluje komunikację między zasobami platformy Azure i środowiskiem lokalnym. Filtrowanie i kierowanie ruchu oraz integracja z innymi usługami platformy Azure, takimi jak Azure Firewall, Azure Front Door, aplikacja systemu Azure Gateway, Azure VPN Gateway i Azure ExpressRoute.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 5.2.1 Definiowanie interfejsów API sieci SDNDoD enterprise współpracuje z organizacjami w celu zdefiniowania niezbędnych interfejsów API i innych interfejsów programistycznych w celu włączenia funkcji SDN (Software Defined Networking). Te interfejsy API umożliwią automatyzację punktów decyzyjnych uwierzytelniania, serwera proxy kontroli dostarczania aplikacji i bram segmentacji. Wyniki: - Interfejsy API sieci SDN są ustandaryzowane i implementowane — interfejsy API działają dla punktu decyzyjnego AuthN, serwera proxy kontroli dostarczania aplikacji i bram segmentacji	Wdrażanie i konfigurowanie sieci platformy Azure przy użyciu interfejsów API usługi Azure Resource Manager (ARM). Narzędzia do zarządzania platformą Azure: witryna Azure Portal, program Azure PowerShell, interfejs wiersza polecenia platformy Azure i szablony używają tych samych interfejsów API usługi ARM do uwierzytelniania i autoryzowania żądań. - Interfejs API REST usługi Azure Resource Manager - Azure Przypisywanie wbudowanych ról platformy Azure na potrzeby zarządzania zasobami sieciowymi. Postępuj zgodnie z zasadami najniższych uprawnień i przypisz role just in time (JIT) za pośrednictwem usługi PIM. - Role wbudowane platformy Azure
`Target` 5.2.2 Implementowanie infrastruktury programowalnej sieci SDNZgodnie ze standardami interfejsu API, wymaganiami i funkcjami interfejsu API SDN organizacje DoD zaimplementują infrastrukturę oprogramowania zdefiniowanej sieci (SDN) w celu umożliwienia zadań automatyzacji. Bramy segmentacji i punkty decyzyjne uwierzytelniania są zintegrowane z infrastrukturą SDN wraz z logowaniem danych wyjściowych do ustandaryzowanego repozytorium (np. SIEM, Log Analytics) na potrzeby monitorowania i zgłaszania alertów. Wyniki: - Zaimplementowano serwer proxy kontroli dostarczania aplikacji — ustanowiono działania rejestrowania rozwiązania SIEM — zaimplementowano monitorowanie aktywności użytkowników (UAM) — zintegrowane z punktem decyzyjnym uwierzytelniania	Zasoby sieciowe platformy Azure Zabezpieczanie zewnętrznego dostępu do aplikacji hostowanych w sieci wirtualnej za pomocą usługi Azure Front Door (AFD), bramy aplikacja systemu Azure lub usługi Azure Firewall. Usługi AFD i Application Gateway mają funkcje równoważenia obciążenia i zabezpieczeń dla programu Open Web Application Security Project (OWASP) Top 10 i botów. Możesz utworzyć reguły niestandardowe. Usługa Azure Firewall ma filtrowanie analizy zagrożeń w warstwie 4. - Filtrowanie natywne dla chmury i ochrona znanych zagrożeń - Azure Firewall, Application Gateway, ADF i Azure Bastion eksportu dzienników do usługi Sentinel lub innych systemów zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM) na potrzeby analizy. Użyj łączników w usłudze Sentinel lub usłudze Azure Policy, aby wymusić to wymaganie w środowisku. - Usługa Azure Firewall z łącznikiem - usługi Azure Web App Firewall do łącznika usługi Sentinel - znajdź łączniki danych usługi Sentinel Serwer proxy aplikacji Firmy Microsoft Entra Wdrażanie serwera proxy aplikacji w celu publikowania i dostarczania aplikacji prywatnych w sieci lokalnej. Integrowanie rozwiązań partnerskich bezpiecznego dostępu hybrydowego (SHA). - Deploy Ochrona tożsamości Microsoft Entra i wprowadzanie sygnałów ryzyka logowania do dostępu warunkowego. - Zobacz Wskazówki firmy Microsoft 1.3.3 w temacie Użytkownik. - aplikacje Microsoft Defender dla ChmuryUżyj usługi Defender dla Chmury Apps do monitorowania ryzykownych sesji aplikacji internetowych.
`Target` 5.2.3 Segment przepływa do płaszczyzn sterowania, zarządzania i danychInfrastruktura sieciowa i przepływy są podzielone fizycznie lub logicznie na płaszczyzny kontroli, zarządzania i danych. Podstawowa segmentacja przy użyciu metod IPv6/VLAN jest implementowana w celu lepszego organizowania ruchu między płaszczyznami danych. Analiza i platforma NetFlow ze zaktualizowanej infrastruktury są automatycznie przekazywane do centrów operacyjnych i narzędzi analitycznych. Wyniki: - Segmentacja IPv6 — włączanie zautomatyzowanego raportowania informacji netOps — zapewnianie kontroli konfiguracji w całym przedsiębiorstwie — zintegrowane z usługą SOAR	Azure Resource Manager Azure Resource Managerto usługa wdrażania i zarządzania z warstwą zarządzania służącą do tworzenia, aktualizowania i usuwania zasobów na koncie platformy Azure. - Azure z usługą Sentinel. Skonfiguruj łączniki danych usługi Sentinel dla rozwiązań sieciowych spoza platformy Azure. Użyj niestandardowych zapytań analitycznych, aby wyzwolić automatyzację SOAR usługi Sentinel. - Reagowanie na zagrożenia przy użyciu funkcji wykrywania i reagowania podręczników - dla usługi Azure Firewall za pomocą usługi Logic Apps Zobacz wskazówki firmy Microsoft w wersji 5.2.2.
`Advanced` 5.2.4 Odnajdywanie i optymalizacja zasobów sieciowychOrganizacje doD automatyzują odnajdywanie zasobów sieciowych za pośrednictwem infrastruktury SDN ograniczającej dostęp do urządzeń w oparciu o metodyczne podejścia oparte na ryzyku. Optymalizacja jest przeprowadzana na podstawie analizy sieci SDN w celu poprawy ogólnej wydajności wraz z zapewnieniem niezbędnego zatwierdzonego dostępu do zasobów. Wyniki: - Techniczne odświeżanie/ewolucja technologii — zapewnianie optymalizacji/kontroli wydajności	Usługa Azure Monitor używa szczegółowych informacji o sieci usługi Azure Monitor , aby wyświetlić kompleksową wizualną reprezentację zasobów sieciowych, w tym topologię, kondycję i metryki. Zobacz Wskazówki firmy Microsoft w wersji 5.1.1. Microsoft Defender dla Chmury Defender dla Chmury odnajduje i wyświetla spis zaaprowizowanych zasobów na platformie Azure, innych chmurach i lokalnie. - Środowisko - Konsymenty dołączania i konfigurowanie odnajdywania urządzeń w celu zbierania, sondowania lub skanowania sieci w celu odnajdywania niezarządzanych urządzeń. Omówienie odnajdywania urządzeń
`Advanced` 5.2.5 Decyzje dotyczące dostępu w czasie rzeczywistymInfrastruktura SDN korzysta ze źródeł danych między filarami, takich jak monitorowanie aktywności użytkowników, monitorowanie aktywności jednostek, profile zabezpieczeń przedsiębiorstwa i nie tylko na potrzeby podejmowania decyzji dotyczących dostępu w czasie rzeczywistym. Uczenie maszynowe służy do podejmowania decyzji w oparciu o zaawansowaną analizę sieci (pełne przechwytywanie pakietów itp.). Zasady są spójnie implementowane w przedsiębiorstwie przy użyciu ujednoliconych standardów dostępu. Wyniki: - Analizowanie dzienników SIEM za pomocą aparatu analitycznego w celu zapewnienia decyzji dotyczących dostępu do zasad w czasie rzeczywistym — obsługa wysyłania przechwyconych pakietów, przepływów danych/sieci i innych określonych dzienników na potrzeby analizy — kompleksowe przepływy sieci transportowej — przeprowadzanie inspekcji zasad zabezpieczeń pod kątem spójności w przedsiębiorstwie	Wykonaj działania 5.2.1 — 5.2.4. Usługa Microsoft Sentinel wykrywa zagrożenia, wysyłając dzienniki sieciowe do usługi Sentinel na potrzeby analizy. Korzystaj z funkcji, takich jak analiza zagrożeń, zaawansowane wieloestrowe wykrywanie ataków, wyszukiwanie zagrożeń i wbudowane zapytania. Automatyzacja usługi Sentinel umożliwia operatorom blokowanie złośliwych adresów IP. - Wykrywanie zagrożeń za pomocą reguł - umożliwia przechwytywanie ruchu sieciowego do i z maszyn wirtualnych i zestawów skalowania maszyn wirtualnych. Przechwytywanie - Defender dla Chmury ocenia zgodność z mechanizmami kontroli zabezpieczeń sieci określonych w strukturach, takich jak Microsoft Cloud Security Benchmark, DoD Impact Level 4 (IL4) i IL5 oraz National Institute of Standards and Technology (NIST) 800-53 R4/R5. warunkowy Użyj szczegółowych informacji o dostępie warunkowym i skoroszytu raportowania, aby zrozumieć skutki zasad dostępu warunkowego organizacji.-

5.3 Segmentacja makr

Subskrypcje platformy Azure to konstrukcje wysokiego poziomu, które oddzielają zasoby platformy Azure. Komunikacja między zasobami w różnych subskrypcjach jest jawnie aprowizowana. Zasoby sieci wirtualnej w subskrypcji zapewniają zawieranie zasobów na poziomie sieci. Domyślnie sieci wirtualne nie mogą komunikować się z innymi sieciami wirtualnymi. Aby włączyć komunikację sieciową między sieciami wirtualnymi, należy je połączyć za pomocą usługi Azure Firewall i kontrolować i monitorować ruch.

Aby dowiedzieć się więcej, zobacz Bezpieczne obciążenia i zarządzanie obciążeniami przy użyciu segmentacji na poziomie sieci.

Opis i wynik działania dod Wskazówki i zalecenia firmy Microsoft

Target 5.3.1 Segmentacja
makr centrum danychOrganizacje DoD implementują segmentację makr skoncentrowaną na centrum danych przy użyciu tradycyjnych architektur opartych na warstwach (web, app, db) i/lub opartych na usługach. Testy serwera proxy i/lub wymuszania są zintegrowane z rozwiązaniami SDN na podstawie atrybutów i zachowania urządzenia.

Wyniki:
— rejestrowanie akcji w usłudze SIEM
— ustanawianie kontroli serwera proxy/wymuszania atrybutów urządzenia, zachowania i innych danych
— analizowanie działań za pomocą aparatu analizy Projektowanie sieci
platformy Azure i implementowanie usług sieciowych platformy Azure na podstawie ustalonych architektur, takich jak strefy docelowe w skali przedsiębiorstwa. Segmentuj sieci wirtualne platformy Azure i postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń sieci platformy Azure. Użyj mechanizmów kontroli zabezpieczeń sieci jako pakietów przekraczanych przez różne granice sieci wirtualnej.
- Najlepsze rozwiązania dotyczące niezależności zabezpieczeń
- sieci i stref
docelowych platformy Azure Topologia sieci i łączność Zalecenia dotyczące- i łączności Ochrona tożsamości Microsoft Entra
Deploy Ochrona tożsamości Microsoft Entra i użyj sygnałów dotyczących urządzenia i ryzyka w zestawie zasad dostępu warunkowego.- Zobacz Microsoft guidance 1.3.3 in User and 2.1.4 in Device (Wskazówki firmy Microsoft 1.3.3 w temacie User and 2.1.4 in Device).

używa łączników do korzystania z dzienników z identyfikatora Entra firmy Microsoft, zasobów sieciowych do wysyłania do usługi Microsoft Sentinel na potrzeby inspekcji, wyszukiwania zagrożeń, wykrywania i reagowania. Włącz analizę zachowań jednostek użytkownika (UEBA) w usłudze Sentinel.

Zobacz Wskazówki dotyczące firmy Microsoft w wersji 5.2.2 i 1.6.2 w obszarze Usługa Microsoft Defender XDR
integruje Ochrona punktu końcowego w usłudze Microsoft Defender z aplikacjami Microsoft Defender dla Chmury i blokuje dostęp do niezaakceptowanych aplikacji.

- Odnajdywanie i blokowanie w tle IT
-

Target 5.3.2 Segmentacja
makr B/C/P/SOrganizacje DoD implementują segmentację makr bazowych, obozowych, postów i stacji przy użyciu stref sieci logicznej ograniczających ruch boczny. Testy serwera proxy i/lub wymuszania są zintegrowane z rozwiązaniami SDN na podstawie atrybutów i zachowania urządzenia.

Wyniki:
— ustanawianie kontroli serwera proxy/wymuszania atrybutów urządzenia, zachowania i innych akcji dziennika danych
do rozwiązania SIEM
— analizowanie działań za pomocą aparatu
analizy — korzystanie z usługi SOAR w celu zapewnienia decyzji dotyczących dostępu do zasad RT Ukończ działanie 5.3.1.

Usługa Microsoft Sentinel
umożliwia wizualizowanie działań zapory, wykrywanie zagrożeń za pomocą funkcji badania sztucznej inteligencji, korelowanie działań i automatyzowanie akcji odpowiedzi.
- Azure Firewall

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 5.3.1 Segmentacja makr centrum danychOrganizacje DoD implementują segmentację makr skoncentrowaną na centrum danych przy użyciu tradycyjnych architektur opartych na warstwach (web, app, db) i/lub opartych na usługach. Testy serwera proxy i/lub wymuszania są zintegrowane z rozwiązaniami SDN na podstawie atrybutów i zachowania urządzenia. Wyniki: — rejestrowanie akcji w usłudze SIEM — ustanawianie kontroli serwera proxy/wymuszania atrybutów urządzenia, zachowania i innych danych — analizowanie działań za pomocą aparatu analizy	Projektowanie sieci platformy Azure i implementowanie usług sieciowych platformy Azure na podstawie ustalonych architektur, takich jak strefy docelowe w skali przedsiębiorstwa. Segmentuj sieci wirtualne platformy Azure i postępuj zgodnie z najlepszymi rozwiązaniami dotyczącymi zabezpieczeń sieci platformy Azure. Użyj mechanizmów kontroli zabezpieczeń sieci jako pakietów przekraczanych przez różne granice sieci wirtualnej. - Najlepsze rozwiązania dotyczące niezależności zabezpieczeń - sieci i stref docelowych platformy Azure Topologia sieci i łączność Zalecenia dotyczące- i łączności Ochrona tożsamości Microsoft Entra Deploy Ochrona tożsamości Microsoft Entra i użyj sygnałów dotyczących urządzenia i ryzyka w zestawie zasad dostępu warunkowego.- Zobacz Microsoft guidance 1.3.3 in User and 2.1.4 in Device (Wskazówki firmy Microsoft 1.3.3 w temacie User and 2.1.4 in Device). używa łączników do korzystania z dzienników z identyfikatora Entra firmy Microsoft, zasobów sieciowych do wysyłania do usługi Microsoft Sentinel na potrzeby inspekcji, wyszukiwania zagrożeń, wykrywania i reagowania. Włącz analizę zachowań jednostek użytkownika (UEBA) w usłudze Sentinel. Zobacz Wskazówki dotyczące firmy Microsoft w wersji 5.2.2 i 1.6.2 w obszarze Usługa Microsoft Defender XDR integruje Ochrona punktu końcowego w usłudze Microsoft Defender z aplikacjami Microsoft Defender dla Chmury i blokuje dostęp do niezaakceptowanych aplikacji. - Odnajdywanie i blokowanie w tle IT -
`Target` 5.3.2 Segmentacja makr B/C/P/SOrganizacje DoD implementują segmentację makr bazowych, obozowych, postów i stacji przy użyciu stref sieci logicznej ograniczających ruch boczny. Testy serwera proxy i/lub wymuszania są zintegrowane z rozwiązaniami SDN na podstawie atrybutów i zachowania urządzenia. Wyniki: — ustanawianie kontroli serwera proxy/wymuszania atrybutów urządzenia, zachowania i innych akcji dziennika danych do rozwiązania SIEM — analizowanie działań za pomocą aparatu analizy — korzystanie z usługi SOAR w celu zapewnienia decyzji dotyczących dostępu do zasad RT	Ukończ działanie 5.3.1. Usługa Microsoft Sentinel umożliwia wizualizowanie działań zapory, wykrywanie zagrożeń za pomocą funkcji badania sztucznej inteligencji, korelowanie działań i automatyzowanie akcji odpowiedzi. - Azure Firewall

5.4 Mikro segmentacja

Sieciowe grupy zabezpieczeń i grupy zabezpieczeń aplikacji (ASG) zapewniają mikrosegmentację zabezpieczeń sieci dla sieci platformy Azure. Grupy asg upraszczają filtrowanie ruchu na podstawie wzorców aplikacji. Wdróż wiele aplikacji w tej samej podsieci i izoluj ruch w oparciu o grupy asg.

Aby dowiedzieć się więcej, zobacz Bezpieczne obciążenia i zarządzanie obciążeniami przy użyciu segmentacji na poziomie sieci.

Opis i wynik działania dod	Wskazówki i zalecenia firmy Microsoft
`Target` 5.4.1 Implementowanie segmentacji mikroOrganizacje DoD implementują infrastrukturę mikrosegmentacji w środowisku SDN, umożliwiając podstawową segmentację składników usługi (np. sieci Web, aplikacji, bazy danych), portów i protokołów. Podstawowa automatyzacja jest akceptowana w przypadku zmian zasad, w tym podejmowania decyzji interfejsu API. Wirtualne środowiska hostingu implementują mikrosegmentację na poziomie hosta/kontenera. Wyniki: — akceptowanie zmian zasad automatycznych — implementowanie punktów decyzyjnych interfejsu API — implementowanie agenta NGF/Micro FW/endpoint w środowisku hostingu wirtualnego	Ukończ działanie 5.3.1. Usługa Azure Firewall Premium używa usługi Azure Firewall Premium jako zapory NextGen Firewall (NGF) w strategii segmentacji sieci platformy Azure. Zobacz Wskazówki firmy Microsoft w wersji 5.1.1. Grupy zabezpieczeń aplikacji W sieciowych grupach zabezpieczeń można użyć grup zabezpieczeń aplikacji do skonfigurowania zabezpieczeń sieci jako rozszerzenia struktury aplikacji. Upraszczanie zasad zabezpieczeń sieci przez kojarzenie zasobów platformy Azure dla tej samej aplikacji przy użyciu grup zabezpieczeń aplikacji. - Zabezpieczanie obciążeń i zarządzanie nimi przy użyciu grup - zabezpieczeń aplikacji na poziomie sieci Azure Kubernetes Service wymaga interfejsu Azure Container Networking Interface (Azure CNI) dla aplikacji w usłudze Azure Kubernetes Service (AKS) przy użyciu wbudowanych definicji w usłudze Azure Policy. Zaimplementuj mikrosegmentację na poziomie kontenera dla kontenerów w usłudze AKS przy użyciu zasad sieciowych. - Pojęcia dotyczące sieci dla usługi AKS - Dołączanie maszyn wirtualnych platformy Azure, maszyn wirtualnych w innych środowiskach hostingu w chmurze i serwerów lokalnych do usługi Defender for Servers. Ochrona sieci w Ochrona punktu końcowego w usłudze Microsoft Defender blokuje procesy na poziomie hosta z komunikacji z określonymi domenami, nazwami hostów lub adresami IP pasującymi wskaźniki naruszenia (IoC). - Planowanie wdrożenia usługi Defender for Servers Protect your network Create indicators (Planowanie wdrożenia - usługi Defender for Servers) Ochrona sieci - — wskaźniki tworzenia
`Target` 5.4.2 Segmentacja mikrosegmentacji aplikacji i urządzeńOrganizacje doD korzystają z rozwiązań sieci zdefiniowanych programowo (SDN), aby ustanowić infrastrukturę spełniającą funkcje usługi ZT Target: strefy sieci logicznej, rola, atrybut i warunkowa kontrola dostępu dla użytkowników i urządzeń, uprzywilejowane usługi zarządzania dostępem dla zasobów sieciowych oraz kontrola oparta na zasadach na dostępie do interfejsu API. Wyniki: - Przypisywanie roli, atrybutu i warunkowej kontroli dostępu opartej na użytkownikach i urządzeniach — zapewnianie uprzywilejowanego dostępu do usług zarządzania dostępem — ograniczanie dostępu na podstawie tożsamości dla użytkowników i urządzeń — tworzenie stref sieci logicznej	Microsoft Entra ID Integruj aplikacje z identyfikatorem Entra firmy Microsoft. Zarządzanie dostępem za pomocą ról aplikacji, grup zabezpieczeń i pakietów dostępu. Zobacz Wskazówki firmy Microsoft 1.2 w temacie Użytkownik. Zestawy zasad dostępu warunkowego projektowania dostępu warunkowego na potrzeby autoryzacji dynamicznej opartej na użytkowniku, roli, grupie, urządzeniu, aplikacji klienckiej, ryzyku tożsamości i zasobie aplikacji. Użyj kontekstów uwierzytelniania, aby utworzyć strefy sieci logicznej na podstawie warunków użytkownika i środowiska. Zobacz Wskazówki firmy Microsoft 1.8.3 w temacie Użytkownik. Usługa Privileged Identity Manager konfiguruje usługę PIM na potrzeby dostępu just in time (JIT) do ról uprzywilejowanych i grup zabezpieczeń firmy Microsoft Entra. Zobacz Wskazówki firmy Microsoft 1.4.2 w temacie Użytkownik. Usługi Azure Virtual Machines i bazy danychSQL Umożliwiają konfigurowanie maszyn wirtualnych platformy Azure i wystąpień SQL do korzystania z tożsamości usługi Microsoft Entra na potrzeby logowania użytkownika. - Zaloguj się do systemu Windows w usłudze Azure Sign in Azure - Sign in Linuz VM in Azure - Authentication with Azure SQL to connectly to Azure VMs with private IP address from the Azure Portal or using native secure shell (SSH) or a remote desktop protocol client (RDP). używa dostępu just in time (JIT) do maszyn wirtualnych, aby chronić je przed nieautoryzowanym dostępem do sieci.-
`Advanced` 5.4.3 Mikrosegmentacja procesów Organizacje DoD korzystają z istniejącej mikrosegmentacji i infrastruktury automatyzacji SDN umożliwiającej mikrosegmentację procesów. Procesy na poziomie hosta są podzielone na segmenty na podstawie zasad zabezpieczeń, a dostęp jest udzielany przy użyciu podejmowania decyzji dotyczących dostępu w czasie rzeczywistym. Wyniki: - Segmentowanie procesów na poziomie hosta dla zasad zabezpieczeń — obsługa decyzji dostępu w czasie rzeczywistym i zmian zasad — obsługa odciążania dzienników na potrzeby analizy i automatyzacji — obsługa dynamicznego wdrażania zasad segmentacji	Ukończ działanie 5.4.2. Ochrona punktu końcowego w usłudze Microsoft Defender Włącznij ochronę sieci w usłudze Defender dla punktu końcowego, aby zablokować łączenie procesów i aplikacji na poziomie hosta z złośliwymi domenami sieciowymi, adresami IP lub nazwami hostów z naruszonymi zabezpieczeniami. Zobacz Wskazówki firmy Microsoft 4.5.1. Ciągła ocena dostępu Ciągła ocena dostępu (CAE) umożliwia usługom, takich jak Exchange Online, SharePoint Online i Microsoft Teams subskrybowanie zdarzeń firmy Microsoft Entra, takich jak wyłączenie konta i wykrywanie wysokiego ryzyka w Ochrona tożsamości Microsoft Entra. Zobacz Wskazówki firmy Microsoft 1.8.3 w temacie Użytkownik. Usługa Microsoft Sentinel używa łączników do korzystania z dzienników z identyfikatora Entra firmy Microsoft, zasobów sieciowych do wysyłania do usługi Microsoft Sentinel na potrzeby inspekcji, wyszukiwania zagrożeń, wykrywania i reagowania. Zobacz Wskazówki dotyczące firmy Microsoft w wersji 5.2.2 i 1.6.2 w obszarze Użytkownik.
`Target` 5.4.4 Ochrona przesyłanych danych Na podstawie mapowań przepływu danych i monitorowania zasady są włączane przez organizacje doD w celu zapewnienia ochrony danych przesyłanych. Typowe przypadki użycia, takie jak udostępnianie informacji koalicyjnych, udostępnianie przez granice systemu i ochrona między składnikami architektury są uwzględniane w zasadach ochrony. Wyniki: - Ochrona danych przesyłanych podczas udostępniania informacji koalicyjnych — ochrona danych przesyłanych przez system o wysokich granicach — integracja danych z ochroną tranzytową między składnikami architektury	Platforma Microsoft 365 używa platformy Microsoft 365 do współpracy w usłudze DoD. Usługi platformy Microsoft 365 szyfrują dane magazynowane i przesyłane. - Szyfrowanie w rozwiązaniu Microsoft 365 Tożsamość zewnętrzna Microsoft Entra Microsoft 365 gościa Konfigurowanie dostępu między dzierżawami i ustawień chmury firmy Microsoft w celu kontrolowania sposobu współpracy użytkowników z organizacjami zewnętrznymi.- Govern cyklu życia dostępu użytkowników zewnętrznych z zarządzaniem upoważnieniami.- Użyj Defender dla Chmury do oceny ciągłych i wymuszania bezpiecznych protokołów transportu dla zasobów w chmurze. - Zarządzanie stanem zabezpieczeń w chmurze

Następne kroki

Skonfiguruj usługi w chmurze firmy Microsoft dla strategii DoD Zero Trust:

Sprzężenie zwrotne

Czy ta strona była pomocna?

Last updated on 2025-06-16