Estratégia de Confiança Zero do DoD para o pilar de rede

A Estratégia e roteiro de Confiança Zero do DoD delineia um caminho para os componentes do Departamento de Defesa e os parceiros da Base Industrial de Defesa (DIB) adotarem uma nova estrutura de segurança cibernética baseada nos princípios de Confiança Zero. A Confiança Zero elimina perímetros tradicionais e suposições de confiança, permitindo uma arquitetura mais eficiente que aprimora a segurança, as experiências do usuário e o desempenho da missão.

Este guia tem recomendações para as 152 atividades da Confiança Zero no Roteiro de execução da funcionalidade de Confiança Zero do DoD. As seções correspondem aos sete pilares do modelo de Confiança Zero do DoD.

Use os links a seguir para acessar as seções do guia.

5 Rede

Esta seção tem diretrizes e recomendações da Microsoft para atividades do DoD Zero Trust no pilar de rede. Para saber mais, veja Redes seguras com Zero Trust para obter mais informações.

5.1 Mapeamento de fluxo de dados

O serviço de Rede Virtual do Azure é um bloco de construção em sua rede privada no Azure. Em redes virtuais, os recursos do Azure se comunicam entre si, com a Internet e com os recursos locais.

Quando você implanta uma topologia de rede de vários hubs e spoke no Azure, o Firewall do Azure lida com o tráfego de roteamento entre redes virtuais. Além disso, o Firewall do Azure Premium inclui recursos de segurança como inspeção do TLS (Trasport-Layer Security), intrusão de rede, detecção e sistema de prevenção (IDPS), filtragem de URL e filtragem de conteúdo.

Ferramentas de rede do Azure, como o Observador de Rede do Azure e o Azure Monitor Network Insights, ajudam você a mapear e visualizar o fluxo de tráfego de rede. A integração do Microsoft Sentinel permite visibilidade e controle sobre o tráfego de rede organizacional, com pastas de trabalho, automação e recursos de detecção.

Descrição e resultado da atividade do DoD Diretrizes e recomendações da Microsoft

Target 5.1.1 Definir regras e políticas de acesso de controle granulares – Parte 1
A empresa DoD que trabalha com as organizações cria regras e políticas de acesso de rede granulares. O ConOps (Conceito associado de operações) é desenvolvido em alinhamento com as políticas de acesso e garante suporte futuro. Uma vez acordado, as Organizações do DoD implementarão essas políticas de acesso em tecnologias de rede existentes (por exemplo, Firewalls de Próxima Geração, Sistemas de Prevenção de Intrusão etc.) para melhorar os níveis de risco iniciais.

Resultados:
- Fornecer padrões técnicos
– desenvolver conceito de operações
– identificar comunidades de interesse Firewall do Azure Premium
Usar a Rede Virtual do Azure e o Firewall do Azure Premium para controlar a comunicação e o roteamento entre recursos de nuvem, nuvem e recursos locais e a Internet. O Firewall do Azure Premium tem funcionalidades de inteligência contra ameaças, detecção de ameaças e prevenção de intrusão para proteger o tráfego.
- estratégia de segmentação
- rotear uma topologia de vários hubs e spoke
- recursos Premium do Firewall do Azure

usar a Análise de Política de Firewall do Azure para gerenciar regras de firewall, habilite a visibilidade do fluxo de tráfego e execute análises detalhadas sobre regras de firewall.
- Análise de Política de Firewall do Azure

Link Privado do Azure
Usar o Link Privado do Azure para acessar a PaaS (plataforma como serviço) do Azure em um ponto de extremidade privado em uma rede virtual. Use pontos de extremidade privados para proteger recursos críticos do Azure somente para redes virtuais. O tráfego da rede virtual para o Azure permanece na rede de backbone do Azure. Não é necessário expor a rede virtual à Internet pública para consumir serviços de PaaS do Azure.
- Redes seguras: limite de serviço paaS
- práticas recomendadas de segurança de rede

grupos de segurança de rede
Habilitar o registro em log de fluxo em grupos de segurança de rede ( NSGs) para obter a atividade de tráfego. Visualizar dados de atividade no Observador de Rede.
- logs de fluxo NSG

o Gerenciador de Rede Virtual do Azure
Usar o Gerenciador de Rede Virtual do Azure para configurações centralizadas de conectividade e segurança para redes virtuais entre assinaturas.
- Gerenciador de Rede Virtual do Azure

Gerenciador de Firewall do Azure
O Gerenciador de Firewall do Azure é um serviço de gerenciamento de segurança para política de segurança centralizada e gerenciamento de rotas para perímetros de segurança baseados em nuvem.
- Gerenciador de Firewall do Azure

Azure Policy
Usar o Azure Policy para impor padrões de rede, como túnel forçado de tráfego para o Firewall do Azure ou outros dispositivos de rede. Proibir IPs públicos ou impor o uso seguro de protocolos de criptografia.
- Definições para serviços de rede do Azure

Azure Monitor
Usar o Observador de Rede do Azure e o Azure Monitor Network Insights para uma representação abrangente e visual da sua rede.
- Observador de Rede
- Insights de Rede

Target 5.1.2 Definir regras e políticas de acesso de controle granulares – Parte 2
As organizações DoD utilizam padrões de marcação e classificação de dados para desenvolver filtros de dados para acesso à API à Infraestrutura da SDN. Os Pontos de Decisão da API são formalizados na arquitetura do SDN e implementados com aplicativos e serviços críticos não essenciais de missão/tarefa.

Resultado:
- Definir filtros de marcação de dados para infraestrutura de API Usam grupos de segurança de aplicativos para configurar a segurança de rede como uma extensão da estrutura do aplicativo. Agrupar VMs (máquinas virtuais) e definir políticas de segurança de rede, com base nos grupos.
- Grupos de segurança de aplicativos

Marcas de serviço do Azure
Usar marcas de serviço para VMs do Azure e redes virtuais do Azure para restringir o acesso à rede aos serviços do Azure em uso. O Azure mantém endereços IP associados a cada marca.
- Marcas de serviço do Azure

Firewall do Azure
O Gerenciador de Firewall do Azure é um serviço de gerenciamento de segurança para política de segurança centralizada e gerenciamento de rotas para perímetros de segurança baseados em nuvem (firewall, DDoS, WAF). Use grupos de IP para gerenciar endereços IP para regras do Firewall do Azure.
- Gerenciador de Firewall do Azure
- Grupos IP

Gerenciador de Rede Virtual do Azure
O Gerenciador de Rede Virtual do Azure é um serviço de gerenciamento a ser agrupado, configurar, implantar, exibir e gerenciar redes virtuais globalmente entre assinaturas.
- Casos de uso comuns

Observador de Rede do Azure
Ativar o Network Watcher para monitorar, diagnosticar e visualizar métricas. Habilite ou desabilite logs para recursos de IaaS (infraestrutura como serviço) do Azure. Use o Observador de Rede para monitorar e reparar a integridade da rede de produtos IaaS, como VMs, VNets, gateways de aplicativo, balanceadores de carga e muito mais.
- Observador de Rede do Azure

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 5.1.1 Definir regras e políticas de acesso de controle granulares – Parte 1 A empresa DoD que trabalha com as organizações cria regras e políticas de acesso de rede granulares. O ConOps (Conceito associado de operações) é desenvolvido em alinhamento com as políticas de acesso e garante suporte futuro. Uma vez acordado, as Organizações do DoD implementarão essas políticas de acesso em tecnologias de rede existentes (por exemplo, Firewalls de Próxima Geração, Sistemas de Prevenção de Intrusão etc.) para melhorar os níveis de risco iniciais. Resultados: - Fornecer padrões técnicos – desenvolver conceito de operações – identificar comunidades de interesse	Firewall do Azure Premium Usar a Rede Virtual do Azure e o Firewall do Azure Premium para controlar a comunicação e o roteamento entre recursos de nuvem, nuvem e recursos locais e a Internet. O Firewall do Azure Premium tem funcionalidades de inteligência contra ameaças, detecção de ameaças e prevenção de intrusão para proteger o tráfego. - estratégia de segmentação - rotear uma topologia de vários hubs e spoke - recursos Premium do Firewall do Azure usar a Análise de Política de Firewall do Azure para gerenciar regras de firewall, habilite a visibilidade do fluxo de tráfego e execute análises detalhadas sobre regras de firewall. - Análise de Política de Firewall do Azure Link Privado do Azure Usar o Link Privado do Azure para acessar a PaaS (plataforma como serviço) do Azure em um ponto de extremidade privado em uma rede virtual. Use pontos de extremidade privados para proteger recursos críticos do Azure somente para redes virtuais. O tráfego da rede virtual para o Azure permanece na rede de backbone do Azure. Não é necessário expor a rede virtual à Internet pública para consumir serviços de PaaS do Azure. - Redes seguras: limite de serviço paaS - práticas recomendadas de segurança de rede grupos de segurança de rede Habilitar o registro em log de fluxo em grupos de segurança de rede ( NSGs) para obter a atividade de tráfego. Visualizar dados de atividade no Observador de Rede. - logs de fluxo NSG o Gerenciador de Rede Virtual do Azure Usar o Gerenciador de Rede Virtual do Azure para configurações centralizadas de conectividade e segurança para redes virtuais entre assinaturas. - Gerenciador de Rede Virtual do Azure Gerenciador de Firewall do Azure O Gerenciador de Firewall do Azure é um serviço de gerenciamento de segurança para política de segurança centralizada e gerenciamento de rotas para perímetros de segurança baseados em nuvem. - Gerenciador de Firewall do Azure Azure Policy Usar o Azure Policy para impor padrões de rede, como túnel forçado de tráfego para o Firewall do Azure ou outros dispositivos de rede. Proibir IPs públicos ou impor o uso seguro de protocolos de criptografia. - Definições para serviços de rede do Azure Azure Monitor Usar o Observador de Rede do Azure e o Azure Monitor Network Insights para uma representação abrangente e visual da sua rede. - Observador de Rede - Insights de Rede
`Target` 5.1.2 Definir regras e políticas de acesso de controle granulares – Parte 2 As organizações DoD utilizam padrões de marcação e classificação de dados para desenvolver filtros de dados para acesso à API à Infraestrutura da SDN. Os Pontos de Decisão da API são formalizados na arquitetura do SDN e implementados com aplicativos e serviços críticos não essenciais de missão/tarefa. Resultado: - Definir filtros de marcação de dados para infraestrutura de API	Usam grupos de segurança de aplicativos para configurar a segurança de rede como uma extensão da estrutura do aplicativo. Agrupar VMs (máquinas virtuais) e definir políticas de segurança de rede, com base nos grupos. - Grupos de segurança de aplicativos Marcas de serviço do Azure Usar marcas de serviço para VMs do Azure e redes virtuais do Azure para restringir o acesso à rede aos serviços do Azure em uso. O Azure mantém endereços IP associados a cada marca. - Marcas de serviço do Azure Firewall do Azure O Gerenciador de Firewall do Azure é um serviço de gerenciamento de segurança para política de segurança centralizada e gerenciamento de rotas para perímetros de segurança baseados em nuvem (firewall, DDoS, WAF). Use grupos de IP para gerenciar endereços IP para regras do Firewall do Azure. - Gerenciador de Firewall do Azure - Grupos IP Gerenciador de Rede Virtual do Azure O Gerenciador de Rede Virtual do Azure é um serviço de gerenciamento a ser agrupado, configurar, implantar, exibir e gerenciar redes virtuais globalmente entre assinaturas. - Casos de uso comuns Observador de Rede do Azure Ativar o Network Watcher para monitorar, diagnosticar e visualizar métricas. Habilite ou desabilite logs para recursos de IaaS (infraestrutura como serviço) do Azure. Use o Observador de Rede para monitorar e reparar a integridade da rede de produtos IaaS, como VMs, VNets, gateways de aplicativo, balanceadores de carga e muito mais. - Observador de Rede do Azure

5.2 Rede definida pelo software

As redes virtuais são a base de redes privadas no Azure. Com uma VNet (rede virtual), uma organização controla a comunicação entre os recursos do Azure e o local. Filtrar e rotear o tráfego e integrar com outros serviços do Azure, como o Firewall do Azure, o Azure Front Door, o Gateway de Aplicativo do Azure, o Gateway de VPN do Azure e o Azure ExpressRoute.

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 5.2.1 Definir APIs da SDN A empresa DoD trabalha com as organizações para definir as APIs necessárias e outras interfaces programáticas a fim de habilitar funcionalidades da SDN (rede definida pelo software). Essas APIs habilitarão o Ponto de Decisão de Autenticação, o Proxy de Controle de Entrega de Aplicativos e a automação de Gateways de Segmentação. Resultados: - AS APIs do SDN são padronizadas e implementadas – as APIs são funcionais para o Ponto de Decisão do AuthN, o Proxy de Controle de Entrega de Aplicativo e os Gateways de Segmentação	Azure Resource Manager Implantar e configurar redes do Azure usando APIs do ARM (Azure Resource Manager). Ferramentas de gerenciamento do Azure: portal do Azure, Azure PowerShell, CLI do Azure e modelos usam as mesmas APIs do ARM para autenticar e autorizar solicitações. - Azure Resource Manager - Referências da API REST do Azure Funções do Azure Atribuir funções internas do Azure para gerenciamento de recursos de rede. Siga os princípios de privilégio mínimo e atribua funções just-in-time (JIT) via PIM. - Funções internas do Azure
`Target` 5.2.2 Implementar a infraestrutura programável da SDN Seguindo os padrões de API, os requisitos e as funcionalidades da API da SDN, as organizações DoD implementarão a infraestrutura da SDN (rede definida pelo software) para habilitar tarefas de automação. Os Gateways de Segmentação e os Pontos de Decisão de Autenticação são integrados à infraestrutura do SDN, juntamente com o log de saída em um repositório padronizado (por exemplo, SIEM, Log Analytics) para monitoramento e alertas. Resultados: –Implementação do proxy de controle de entrega de aplicativos – Atividades de registro de SIEM estabelecidas – Implementação do monitoramento da atividade do usuário (UAM) – Integrado ao Ponto de Decisão de Autenticação	Os recursos de rede do AzureFront Door Service Protegem o acesso externo a aplicativos hospedados em uma rede virtual (VNet) com: Azure Front Door (AFD), Gateway de Aplicativo do Azure ou Firewall do Azure. O AFD e o Gateway de Aplicativo têm recursos de balanceamento de carga e segurança para o OWASP (Open Web Application Security Project) Top 10 e bots. Você pode criar regras personalizadas. O Firewall do Azure tem filtragem de inteligência contra ameaças na Camada 4. - Filtragem nativa de nuvem e proteção para ameaças conhecidas - Projeto de arquitetura de rede Microsoft Sentinel O Firewall do Azure, Gateway de Aplicativo, ADF e o Azure Bastion exportam logs para o Sentinel ou outros sistemas SIEM (gerenciamento de eventos e informações de segurança) para análise. Use conectores no Sentinel ou no Azure Policy para impor esse requisito em um ambiente. - Firewall do Azure com o Sentinel - Conector do Firewall do Aplicativo Web do Azure ao Sentinel - Localizar conectores de dados do Sentinel Proxy de aplicativo do Microsoft Entra Implantar proxy de aplicativo para publicar e forneça aplicativos privados em sua rede local. Integre soluções de parceiro SHA (acesso híbrido seguro). - Proxy de aplicativo - Implantar o proxy de aplicativo - Integrações de parceiro SHA Proteção contra IDs do Microsoft Entra Implantar a Proteção contra IDs do Microsoft Entra e trazer sinais de risco de entrada para o Condicional Acesso. Consulte as diretrizes da Microsoft 1.3.3 no Usuário. Microsoft Defender para Aplicativos de Nuvem Usar o Defender para Aplicativos de Nuvem para monitorar sessões de aplicativo Web arriscadas. - Aplicativo de Defender para Nuvemusar
`Target` 5.2.3 Fluxos de segmento no painel de controle, no plano de gerenciamento e no plano de dados A infraestrutura e os fluxos de rede são segmentados física ou logicamente no painel de controle, no plano de gerenciamento e no plano de dados. A segmentação básica usando abordagens IPv6/VLAN é implementada para organizar melhor o tráfego entre planos de dados. A análise e o NetFlow da infraestrutura atualizada são automaticamente alimentados em Ferramentas de Análise e Centros de Operações. Resultados: - Segmentação IPv6 – Habilitar o Relatório de Informações do NetOps Automatizado – Garantir o controle de configuração em toda a empresa - Integrado ao SOAR	Azure Resource Manager O Azure Resource Manager é um serviço de implantação e gerenciamento com uma camada de gerenciamento para criar, atualizar e excluir recursos em uma conta do Azure. - Planos de dados e controle do Azure - Planos de controle multilocatário - Segurança operacional do Microsoft Sentinel Microsoft Sentinel Conecte a infraestrutura de rede do Azure ao Sentinel. Configure conectores de dados do Sentinel para soluções de rede que não sejam do Azure. Use consultas de análise personalizadas para disparar a automação SOAR do Sentinel. - Resposta de ameaças com guias estratégicos - Detecção e resposta para o Firewall do Azure com aplicativos lógicos Consulte as diretrizes da Microsoft em 5.2.2.
`Advanced` 5.2.4 Descoberta e otimização de ativos de rede As organizações DoD automatizam a descoberta de ativos de rede por meio da infraestrutura da SDN, limitando o acesso a dispositivos de acordo com abordagens metódicas baseadas em risco. A otimização é realizada com base na análise do SDN para melhorar o desempenho geral, juntamente com o acesso aprovado necessário aos recursos. Resultados: – atualização técnica/de evolução da tecnologia – fornecer controles de otimização/desempenho	Azure Monitor Use insights de rede do Azure Monitor para ver uma representação visual abrangente dos recursos de rede, incluindo topologia, integridade e métricas. Veja as orientações da Microsoft em 5.1.1. Microsoft Defender para Nuvem O Defender para Nuvem descobre e lista um inventário de recursos provisionados no Azure, em outras nuvens e no local. - Ambiente multinuvem - Gerencie a postura de segurança de recursos Microsoft Defender para Ponto de Extremidade Integre pontos de extremidade e configure a descoberta de dispositivos para coletar, investigar ou verificar sua rede para descobrir dispositivos não gerenciados. - Visão geral da descoberta de dispositivos
`Advanced` 5.2.5 Decisões de acesso em tempo real A infraestrutura da SDN utiliza fontes de dados entre pilares, como Monitoramento de Atividades do Usuário, Monitoramento de Atividades de Entidade, Perfis de Segurança Empresarial, entre outros, para decisões de acesso em tempo real. O aprendizado de máquina é usado para ajudar na tomada de decisões com base na análise de rede avançada (captura completa de pacotes, etc.). As políticas são implementadas consistentemente em toda a Empresa usando padrões de acesso unificados. Resultados: – Analisar logs SIEM com o mecanismo de análise para fornecer decisões de acesso a políticas em tempo real – Suporte ao envio de pacotes capturados, fluxos de dados/rede e outros logs específicos para de análise – Fluxos de rede de transporte de ponta a ponta do segmento – Auditar políticas de segurança para consistência em toda a empresa	Concluir as atividades 5.2.1 – 5.2.4. Microsoft Sentinel Detectar ameaças enviando logs de rede para o Sentinel para análise. Use recursos como inteligência contra ameaças, detecção de ataque de vários estágios avançados, busca de ameaças e consultas internas. A automação do Sentinel permite que os operadores bloqueiem endereços IP mal-intencionados. - Detectar ameaças com regras de análise - Conector do Firewall do Azure para Sentinel Observador de Rede do Azure Usar o Observador de Rede do Azure para capturar o tráfego de rede de VMs (máquinas virtuais) e conjuntos de dimensionamento de máquinas virtuais. - Captura de pacotes Microsoft Defender para Nuvem Defender para Nuvem avalia a conformidade com os controles de segurança de rede prescritos em estruturas, como o Microsoft Cloud Security Benchmark, o Nível de Impacto do DoD 4 (IL4) e IL5, e National Institute of Standards and Technology (NIST) 800-53 R4/R5. controle de segurança - : segurança de rede acesso condicional Pasta de trabalho de relatórios e insights de Acesso Condicional para entender os efeitos das políticas de Acesso Condicional organizacional. - Insights e relatórios

5.3 Segmentação de macro

As assinaturas do Azure são constructos de alto nível que separam os recursos do Azure. A comunicação entre recursos em assinaturas diferentes é explicitamente provisionada. Os recursos de rede virtual (VNet) em uma assinatura fornecem a contenção de recursos no nível da rede. Por padrão, as VNets não podem se comunicar com outras VNets. Para habilitar a comunicação de rede entre VNets, emparelhe-as e use o Firewall do Azure para controlar e monitorar o tráfego.

Para saber mais, confira cargas de trabalho seguras e de controle com segmentação de nível de rede.

Descrição e resultado da atividade do DoD Diretrizes e recomendações da Microsoft

Target 5.3.1 Segmentação de macros do datacenter
As organizações DoD implementam a segmentação de macros focada no data center usando arquiteturas tradicionais em camadas (Web, aplicativo, BD) e/ou baseadas em serviço. As verificações de proxy e/ou de imposição são integradas às soluções SDN com base nos atributos e no comportamento do dispositivo.

Resultados:
– Ações de log para SIEM
– Estabelecer verificações de proxy/imposição de atributos de dispositivo, comportamento e outros de dados
– Analisar atividades com o mecanismo de análise Rede do Azure
Projetar e implementar serviços de rede do Azure, com base em arquiteturas estabelecidas, como zonas de aterrissagem em escala empresarial. Segmente as VNets (redes virtuais) do Azure e siga as práticas recomendadas de segurança de rede do Azure. Use controles de segurança de rede como pacotes que cruzam vários limites de VNet.
- Práticas recomendadas para segurança de rede
- Soberania e zonas de destino do Azure
- recomendações de topologia e conectividade de rede
- rede e conectividade

Proteção do Microsoft Entra ID
Implantar a Proteção do Microsoft Entra ID e use sinais de dispositivo e risco em seu conjunto de políticas de acesso condicional.

Consulte as diretrizes da Microsoft 1.3.3 no Usuário e 2.1.4 no Dispositivo.

Microsoft Sentinel
Usar conectores para consumir logs do Microsoft Entra ID e recursos de rede para enviar ao Microsoft Sentinel para auditoria, busca de ameaças, detecção e resposta. Habilite a UEBA (Análise de Comportamento da Entidade de Usuário) no Sentinel.

Consulte as diretrizes da Microsoft em 5.2.2 e 1.6.2 noUsuário.

Microsoft Defender XDR
Integrar o Microsoft Defender para Ponto de Extremidade ao Microsoft Defender para Aplicativos de Nuvem e bloqueia o acesso a aplicativos não sancionados.
- Integrar o Defender para Aplicativos de Nuvem ao Defender para Ponto de Extremidade
- Descobrir e bloquear shadow IT

Target 5.3.2 Segmentação de macros B/C/P/S
As organizações DoD implementam segmentação de macros base, camp, post e estação usando zonas de rede lógicas que limitam o movimento lateral. As verificações de proxy e/ou de imposição são integradas às soluções SDN com base nos atributos e no comportamento do dispositivo.

Resultados:
– Estabelecer verificações de proxy/imposição de atributos de dispositivo, comportamento e outros de dados
– Ações de log para SIEM
– Analisar atividades com o Mecanismo de Análise
– Aproveitar o SOAR para fornecer decisões de acesso à política RT Concluir a atividade 5.3.1.

Microsoft Sentinel
Usar o Firewall do Azure para visualizar atividades de firewall, detectar ameaças com recursos de investigação de IA, correlacionar atividades e automatizar ações de resposta.
- Firewall do Azure

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 5.3.1 Segmentação de macros do datacenter As organizações DoD implementam a segmentação de macros focada no data center usando arquiteturas tradicionais em camadas (Web, aplicativo, BD) e/ou baseadas em serviço. As verificações de proxy e/ou de imposição são integradas às soluções SDN com base nos atributos e no comportamento do dispositivo. Resultados: – Ações de log para SIEM – Estabelecer verificações de proxy/imposição de atributos de dispositivo, comportamento e outros de dados – Analisar atividades com o mecanismo de análise	Rede do Azure Projetar e implementar serviços de rede do Azure, com base em arquiteturas estabelecidas, como zonas de aterrissagem em escala empresarial. Segmente as VNets (redes virtuais) do Azure e siga as práticas recomendadas de segurança de rede do Azure. Use controles de segurança de rede como pacotes que cruzam vários limites de VNet. - Práticas recomendadas para segurança de rede - Soberania e zonas de destino do Azure - recomendações de topologia e conectividade de rede - rede e conectividade Proteção do Microsoft Entra ID Implantar a Proteção do Microsoft Entra ID e use sinais de dispositivo e risco em seu conjunto de políticas de acesso condicional. Consulte as diretrizes da Microsoft 1.3.3 no Usuário e 2.1.4 no Dispositivo. Microsoft Sentinel Usar conectores para consumir logs do Microsoft Entra ID e recursos de rede para enviar ao Microsoft Sentinel para auditoria, busca de ameaças, detecção e resposta. Habilite a UEBA (Análise de Comportamento da Entidade de Usuário) no Sentinel. Consulte as diretrizes da Microsoft em 5.2.2 e 1.6.2 noUsuário. Microsoft Defender XDR Integrar o Microsoft Defender para Ponto de Extremidade ao Microsoft Defender para Aplicativos de Nuvem e bloqueia o acesso a aplicativos não sancionados. - Integrar o Defender para Aplicativos de Nuvem ao Defender para Ponto de Extremidade - Descobrir e bloquear shadow IT
`Target` 5.3.2 Segmentação de macros B/C/P/S As organizações DoD implementam segmentação de macros base, camp, post e estação usando zonas de rede lógicas que limitam o movimento lateral. As verificações de proxy e/ou de imposição são integradas às soluções SDN com base nos atributos e no comportamento do dispositivo. Resultados: – Estabelecer verificações de proxy/imposição de atributos de dispositivo, comportamento e outros de dados – Ações de log para SIEM – Analisar atividades com o Mecanismo de Análise – Aproveitar o SOAR para fornecer decisões de acesso à política RT	Concluir a atividade 5.3.1. Microsoft Sentinel Usar o Firewall do Azure para visualizar atividades de firewall, detectar ameaças com recursos de investigação de IA, correlacionar atividades e automatizar ações de resposta. - Firewall do Azure

5.4 Micro segmentação

Os NSGs (grupos de segurança de rede) e os grupos de segurança de aplicativos (ASG) fornecem micro segmentação de segurança de rede para redes do Azure. Os ASGs simplificam a filtragem de tráfego, com base nos padrões do aplicativo. Implante vários aplicativos na mesma sub-rede e isole o tráfego com base nos ASGs.

Para saber mais, confira cargas de trabalho seguras e de controle com segmentação de nível de rede.

Descrição e resultado da atividade do DoD	Diretrizes e recomendações da Microsoft
`Target` 5.4.1 Implementar a microssegmentação As organizações DoD implementam a infraestrutura de microssegmentação no ambiente da SDN, permitindo a segmentação básica de componentes de serviço (por exemplo, Web, aplicativo, BD), portas e protocolos. A automação básica é aceita para alterações de política, incluindo a tomada de decisões da API. Os ambientes de hospedagem virtual implementam a micro segmentação no nível de host/contêiner. Resultados: – Aceitar de alterações de política automatizadas – Implementar de pontos de decisão da API – Implementar agente NGF/Micro FW/Ponto de extremidade no ambiente de Hosting virtual	Atividade completa 5.3.1. Firewall do Azure Premium Usar o Firewall do Azure Premium como o NGF (NextGen Firewall) em sua estratégia de segmentação de rede do Azure. Consulte as diretrizes da Microsoft no 5.1.1. Grupos de segurança de aplicativos Em NSGs (grupos de segurança de rede), você pode usar grupos de segurança de aplicativos para configurar a segurança de rede como uma extensão da estrutura do aplicativo. Simplifique as políticas de segurança de rede associando recursos do Azure para o mesmo aplicativo usando grupos de segurança de aplicativos. - Proteger e controlar cargas de trabalho com segmentação de nível de rede - Grupos de segurança de aplicativos Serviço de Kubernetes do Azure Exigir Azure CNI (Interface de Rede de Contêiner do Azure) para aplicativos no AKS (Serviço de Kubernetes do Azure) usando definições internas no Azure Policy. Implemente a microssegmentação no nível do contêiner para contêineres no AKS usando políticas de rede. - Conceitos de rede para o AKS - Configurar a rede de sobreposição de CNI do Azure - Tráfego seguro entre pods usando políticas de rede - Referência de política do AKS Microsoft Defender para servidores Integrar VMs (máquinas virtuais) do Azure, VMs em outros ambientes de hospedagem de nuvem e servidores locais para o Defender para servidores. A proteção de rede no Microsoft Defender para Ponto de Extremidade bloqueia os processos no nível do host da comunicação com domínios específicos, nomes de host ou endereços IP correspondentes a Indicadores de Comprometimento (IoC). - Planejar a implantação do Defender para servidores - Proteger sua rede - Criar indicadores
`Target` 5.4.2 Microssegmentação de aplicativo e dispositivo As organizações DoD utilizam soluções de SDN (rede definida pelo software) para estabelecer a infraestrutura que atenda às funcionalidades de destino ZT: zonas de rede lógicas, função, atributo e controle de acesso condicional para usuários e dispositivos, serviços de gerenciamento de acesso privilegiado para recursos de rede e controle baseado em política no acesso à API. Resultados: – Atribuir função, atributo e controle de acesso baseado em condição de usuários e dispositivos – Fornecer dos Serviços de Gerenciamento de Acesso Privilegiado – Limitar o acesso por identidade de usuário e dispositivo – Criar zonas de rede lógicas	Microsoft Entra ID Integrar aplicativos como Microsoft Entra ID. Governe o acesso com funções de aplicativo, grupos de segurança e pacotes de acesso. Consulte as diretrizes da Microsoft 1.2 no Usuário. Acesso condicional Projete conjuntos de políticas de acesso condicional para autorização dinâmica com base em usuário, função, grupo, dispositivo, aplicativo cliente, risco de identidade e recurso de aplicativo. Use contextos de autenticação para criar zonas de rede lógicas, com base nas condições do usuário e do ambiente. Consulte as diretrizes da Microsoft 1.8.3 no Usuário. Gerenciador de identidades privilegiadas Configura o PIM para acesso just-in-time (JIT) a funções privilegiadas e grupos de segurança do Microsoft Entra. Consulte as diretrizes da Microsoft 1.4.2 no Usuário. Máquinas Virtuais do Azure e bancos de dados SQL do Azure Configuram máquinas virtuais do Azure e instâncias SQL para usar identidades do Microsoft Entra para entrada do usuário. - Entrar no Windows no Azure - Entrar na VM do Linuz no Azure - Autenticação com o SQL do Azure Azure Bastion Use Bastion para se conectar com segurança a VMs do Azure com endereços IP privados do portal do Azure ou usando o SSH (shell seguro nativo) ou um cliente RDP (protocolo de área de trabalho remota). - Bastion usa o acesso JIT (just-In-time) às VMs para protegê-las contra acesso de rede não autorizado.
`Advanced` 5.4.3 Microssegmentação de processo As organizações DoD utilizam a microssegmentação existente e a infraestrutura de automação da SDN habilitando a microssegmentação de processo. Os processos no nível do host são segmentados com base em políticas de segurança e o acesso é concedido usando a tomada de decisão de acesso em tempo real. Resultados: – Segmentar processos de nível de host para políticas de segurança – Dar suporte a decisões de acesso em tempo real e alterações de política – Suporte ao descarregamento de logs para análise e automação – Suporte à implantação dinâmica da política de segmentação	Concluir a atividade 5.4.2. Microsoft Defender para Ponto de Extremidade Habilitar a proteção de rede no Defender para Ponto de Extremidade para bloquear a conexão de processos e aplicativos de nível de host a domínios de rede mal-intencionados. Confira as diretrizes da Microsoft 4.5.1. Avaliação de acesso contínuo CAE (avaliação de acesso contínuo) permite que serviços como Exchange Online, SharePoint Online e Microsoft Teams assinem eventos do Microsoft Entra, como desabilitação de conta e detecções de alto risco na Proteção do Microsoft Entra ID. Consulte as diretrizes da Microsoft 1.8.3 no Usuário. Microsoft Sentinel Usar conectores para consumir logs do Microsoft Entra ID e recursos de rede para enviar ao Microsoft Sentinel para auditoria, busca de ameaças, detecção e resposta. Consulte as diretrizes da Microsoft no 5.2.2 e 1.6.2 no Usuário.
`Target` 5.4.4 Proteger dados em trânsito Com base nos mapeamentos e monitoramento do fluxo de dados, as políticas são habilitadas pelas organizações DoD para exigir a proteção de dados em trânsito. Casos de uso comuns, como Compartilhamento de Informações da Coalizão, Compartilhamento entre Limites do Sistema e Proteção entre Componentes Arquitetônicos, estão incluídos em políticas de proteção. Resultados: – proteger dados em trânsito durante o compartilhamento de informações de coalizão – Proteger dados em trânsito entre limites altos do sistema – Integrar dados na proteção de trânsito entre componentes de arquitetura	Microsoft 365 usa a colaboração do Microsoft 365 para DoD. Os serviços do Microsoft 365 criptografam dados em repouso e em trânsito. - Criptografia no Microsoft 365 ID externa do Microsoft Entra O Microsoft 365 e o Microsoft Entra ID aprimoram o compartilhamento de coalizão com fácil integração e gerenciamento de acesso para usuários em outros locatários do DoD. - Colaboração B2B - Compartilhamento de convidado seguro Configurar o acesso entre locatários e as configurações de nuvem da Microsoft para controlar como os usuários colaboram com organizações externas. - Acesso entre locatários - Configurações de nuvem da Microsoft Microsoft Entra ID Governance Governar ciclos de vida de acesso de usuário externo com o gerenciamento de direitos - Acesso externo com gerenciamento de direitos Microsoft Defender para Nuvem Use o Defender para Nuvem para continuamente avaliar e impor protocolos de transporte seguro para recursos de nuvem. - Gerenciamento de postura de segurança de nuvem

Próximas etapas

Configure os serviços de nuvem da Microsoft para a Estratégia de Confiança Zero do DoD:

Comentários

Esta página foi útil?

Last updated on 2024-07-12