Estratégia DoD Zero Trust para o pilar de rede

A Estratégia e o Roteiro do DoD Zero Trust traçam um caminho para os componentes do Departamento de Defesa e os parceiros da Base Industrial de Defesa (DIB) adotarem uma nova estrutura de segurança cibernética baseada nos princípios do Zero Trust. O Zero Trust elimina os perímetros tradicionais e as suposições de confiança, permitindo uma arquitetura mais eficiente que melhora a segurança, as experiências do usuário e o desempenho da missão.

Este guia contém recomendações para as 152 atividades do Zero Trust no Roteiro de Execução de Capacidade do DoD Zero Trust. As seções correspondem aos sete pilares do modelo DoD Zero Trust.

Use os links a seguir para ir para as seções do guia.

5 Rede

Esta seção contém orientações e recomendações da Microsoft para atividades do DoD Zero Trust no pilar de rede. Para saber mais, consulte Proteger redes com Zero Trust para obter mais informações.

5.1 Mapeamento do fluxo de dados

O serviço de Rede Virtual do Azure é um bloco de construção na sua rede privada no Azure. Em redes virtuais, os recursos do Azure se comunicam entre si, com a Internet e com os recursos locais.

Quando você implanta uma topologia de rede hub-and-spoke múltipla no Azure, o Firewall do Azure lida com o tráfego de roteamento entre redes virtuais. Além disso, o Firewall Premium do Azure inclui recursos de segurança como inspeção TLS (Trasport-Layer Security), intrusão de rede, sistema de deteção e prevenção (IDPS), filtragem de URL e filtragem de conteúdo.

As ferramentas de rede do Azure, como o Azure Network Watcher e o Azure Monitor Network Insights, ajudam-no a mapear e visualizar o fluxo de tráfego de rede. A integração com o Microsoft Sentinel permite visibilidade e controle sobre o tráfego da rede organizacional, com pastas de trabalho, automação e recursos de deteção.

Descrição da atividade e resultado do DoD Orientações e recomendações da Microsoft

Target 5.1.1 Definir Regras de Acesso de Controle Granular & Políticas Pt1
O DoD Enterprise que trabalha com as Organizações cria regras e políticas granulares de acesso à rede. Os Conceitos Associados de Operações (ConOps) são desenvolvidos em alinhamento com as políticas de acesso e garantem a capacidade de suporte futura. Uma vez acordado, as organizações do DoD implementarão essas políticas de acesso em tecnologias de rede existentes (por exemplo, firewalls de próxima geração, sistemas de prevenção de intrusão, etc.) para melhorar os níveis de risco iniciais.

Resultados:
- Fornecer Normas Técnicas
- Desenvolver Conceito de Operações
- Identificar Comunidades de Interesse Azure Firewall Premium
Use a Rede Virtual do Azure e o Firewall Premium do Azure para controlar a comunicação e o roteamento entre recursos de nuvem, recursos de nuvem e locais e a Internet. O Firewall Premium do Azure tem inteligência contra ameaças, deteção de ameaças e recursos de prevenção de invasões para proteger o tráfego.
- Estratégia de segmentação
- Encaminhar uma topologia
- Premium do Firewall do Azure Use a Análise de Políticas de Firewall do Azure para gerenciar regras de firewall, habilitar a visibilidade do fluxo de tráfego e executar análises detalhadas em regras de firewall.

-
Use o Azure Private Link para acessar a plataforma Azure como um serviço (PaaS) em um ponto de extremidade privado em uma rede virtual. Use pontos de extremidade privados para proteger recursos críticos do Azure exclusivamente para redes virtuais. O tráfego da rede virtual para o Azure permanece na rede de backbone do Azure. Não é necessário expor a rede virtual à Internet pública para consumir os serviços de PaaS do Azure.
- Redes seguras: limite
- do serviço PaaS Práticas

recomendadas de segurança de rede Grupos
de segurança de rede Habilite o log de fluxo em NSGs (grupos de segurança de rede) para obter atividade de tráfego. Visualize dados de atividade no Inspetor de Rede.
- Logs

de fluxo NSG Azure Virtual Network Manager
Use o Azure Virtual Network Manager para conectividade centralizada e configurações de segurança para redes virtuais entre assinaturas.
- Azure Virtual Network Manager

O Azure Firewall Manager é um serviço de gerenciamento de segurança para política de segurança centralizada e gerenciamento de rotas para perímetros de segurança baseados em nuvem.

-
Use a Política do Azure para impor padrões de rede, como o túnel forçado de tráfego para o Firewall do Azure ou outros dispositivos de rede. Proibir IPs públicos ou impor o uso seguro de protocolos de criptografia.
- Definições para serviços

Use o Azure Network Watcher e o Azure Monitor Network Insights para obter uma representação abrangente e visual da sua rede.

-
-

Target 5.1.2 Definir Regras de Acesso de Controle Granular & Políticas Pt2
As organizações do DoD utilizam padrões de marcação e classificação de dados para desenvolver filtros de dados para acesso de API à infraestrutura SDN. Os pontos de decisão da API são formalizados dentro da arquitetura SDN e implementados com aplicativos e serviços não essenciais para missões/tarefas.

Resultado:
- Definir filtros de marcação de dados para infraestrutura de API Grupos
de segurança de aplicativos Use grupos de segurança de aplicativos para configurar a segurança de rede como uma extensão da estrutura do aplicativo. Agrupe máquinas virtuais (VMs) e defina políticas de segurança de rede, com base nos grupos.
- Grupos

de segurança de aplicativos Tags
de serviço do Azure Use marcas de serviço para VMs do Azure e Redes Virtuais do Azure para restringir o acesso à rede aos serviços do Azure em uso. O Azure mantém endereços IP associados a cada marca.
- Tags

de serviço do Azure Azure Firewall
O Azure Firewall Manager é um serviço de gerenciamento de segurança para política de segurança centralizada e gerenciamento de rotas para perímetros de segurança baseados em nuvem (firewall, DDoS, WAF). Use grupos IP para gerenciar endereços IP para regras do Firewall do Azure.
-
é um serviço de gerenciamento para agrupar, configurar, implantar, exibir e gerenciar redes virtuais globalmente em assinaturas.
- Casos

de uso comuns Azure Network Watcher
Habilite o Network Watcher para monitorar, diagnosticar e exibir métricas. Habilite ou desabilite logs para recursos de infraestrutura como serviço (IaaS) do Azure. Use o Network Watcher para monitorar e reparar a integridade da rede de produtos IaaS, como VMs, redes virtuais, gateways de aplicativos, balanceadores de carga e muito mais.
- Azure Network Watcher

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Target` 5.1.1 Definir Regras de Acesso de Controle Granular & Políticas Pt1 O DoD Enterprise que trabalha com as Organizações cria regras e políticas granulares de acesso à rede. Os Conceitos Associados de Operações (ConOps) são desenvolvidos em alinhamento com as políticas de acesso e garantem a capacidade de suporte futura. Uma vez acordado, as organizações do DoD implementarão essas políticas de acesso em tecnologias de rede existentes (por exemplo, firewalls de próxima geração, sistemas de prevenção de intrusão, etc.) para melhorar os níveis de risco iniciais. Resultados: - Fornecer Normas Técnicas - Desenvolver Conceito de Operações - Identificar Comunidades de Interesse	Azure Firewall Premium Use a Rede Virtual do Azure e o Firewall Premium do Azure para controlar a comunicação e o roteamento entre recursos de nuvem, recursos de nuvem e locais e a Internet. O Firewall Premium do Azure tem inteligência contra ameaças, deteção de ameaças e recursos de prevenção de invasões para proteger o tráfego. - Estratégia de segmentação - Encaminhar uma topologia - Premium do Firewall do Azure Use a Análise de Políticas de Firewall do Azure para gerenciar regras de firewall, habilitar a visibilidade do fluxo de tráfego e executar análises detalhadas em regras de firewall. - Use o Azure Private Link para acessar a plataforma Azure como um serviço (PaaS) em um ponto de extremidade privado em uma rede virtual. Use pontos de extremidade privados para proteger recursos críticos do Azure exclusivamente para redes virtuais. O tráfego da rede virtual para o Azure permanece na rede de backbone do Azure. Não é necessário expor a rede virtual à Internet pública para consumir os serviços de PaaS do Azure. - Redes seguras: limite - do serviço PaaS Práticas recomendadas de segurança de rede Grupos de segurança de rede Habilite o log de fluxo em NSGs (grupos de segurança de rede) para obter atividade de tráfego. Visualize dados de atividade no Inspetor de Rede. - Logs de fluxo NSG Azure Virtual Network Manager Use o Azure Virtual Network Manager para conectividade centralizada e configurações de segurança para redes virtuais entre assinaturas. - Azure Virtual Network Manager O Azure Firewall Manager é um serviço de gerenciamento de segurança para política de segurança centralizada e gerenciamento de rotas para perímetros de segurança baseados em nuvem. - Use a Política do Azure para impor padrões de rede, como o túnel forçado de tráfego para o Firewall do Azure ou outros dispositivos de rede. Proibir IPs públicos ou impor o uso seguro de protocolos de criptografia. - Definições para serviços Use o Azure Network Watcher e o Azure Monitor Network Insights para obter uma representação abrangente e visual da sua rede. - -
`Target` 5.1.2 Definir Regras de Acesso de Controle Granular & Políticas Pt2 As organizações do DoD utilizam padrões de marcação e classificação de dados para desenvolver filtros de dados para acesso de API à infraestrutura SDN. Os pontos de decisão da API são formalizados dentro da arquitetura SDN e implementados com aplicativos e serviços não essenciais para missões/tarefas. Resultado: - Definir filtros de marcação de dados para infraestrutura de API	Grupos de segurança de aplicativos Use grupos de segurança de aplicativos para configurar a segurança de rede como uma extensão da estrutura do aplicativo. Agrupe máquinas virtuais (VMs) e defina políticas de segurança de rede, com base nos grupos. - Grupos de segurança de aplicativos Tags de serviço do Azure Use marcas de serviço para VMs do Azure e Redes Virtuais do Azure para restringir o acesso à rede aos serviços do Azure em uso. O Azure mantém endereços IP associados a cada marca. - Tags de serviço do Azure Azure Firewall O Azure Firewall Manager é um serviço de gerenciamento de segurança para política de segurança centralizada e gerenciamento de rotas para perímetros de segurança baseados em nuvem (firewall, DDoS, WAF). Use grupos IP para gerenciar endereços IP para regras do Firewall do Azure. - é um serviço de gerenciamento para agrupar, configurar, implantar, exibir e gerenciar redes virtuais globalmente em assinaturas. - Casos de uso comuns Azure Network Watcher Habilite o Network Watcher para monitorar, diagnosticar e exibir métricas. Habilite ou desabilite logs para recursos de infraestrutura como serviço (IaaS) do Azure. Use o Network Watcher para monitorar e reparar a integridade da rede de produtos IaaS, como VMs, redes virtuais, gateways de aplicativos, balanceadores de carga e muito mais. - Azure Network Watcher

5.2 Rede definida por software

As redes virtuais são a base das redes privadas no Azure. Com uma rede virtual (VNet), uma organização controla a comunicação entre os recursos do Azure e no local. Filtre e encaminhe o tráfego e integre-se a outros serviços do Azure, como o Firewall do Azure, o Azure Front Door, o Azure Application Gateway, o Azure VPN Gateway e o Azure ExpressRoute.

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Target` 5.2.1 Definir APIs SDNA empresa DoD trabalha com as organizações para definir as APIs necessárias e outras interfaces programáticas para habilitar as funcionalidades de rede definida por software (SDN). Essas APIs habilitarão a automação do Ponto de Decisão de Autenticação, do Proxy de Controle de Entrega de Aplicativo e dos Gateways de Segmentação. Resultados: - APIs SDN são padronizadas e implementadas - APIs são funcionais para AuthN Decision Point, App Delivery Control Proxy e Segmentation Gateways	Azure Resource Manager Implante e configure redes do Azure usando APIs do Azure Resource Manager (ARM). Ferramentas de gerenciamento do Azure: portal do Azure, Azure PowerShell, CLI (Interface de Linha de Comando) do Azure e modelos usam as mesmas APIs ARM para autenticar e autorizar solicitações. - Azure Resource Manager - do Azure Atribua funções internas do Azure para gerenciamento de recursos de rede. Siga os princípios de privilégios mínimos e atribua funções just-in-time (JIT) via PIM. - Funções internas do Azure
`Target` 5.2.2 Implementar infraestrutura programável SDNSeguindo os padrões, requisitos e funcionalidades da API SDN, as organizações do DoD implementarão a infraestrutura SDN (Software Defined Networking) para permitir tarefas de automação. Gateways de segmentação e pontos de decisão de autenticação são integrados à infraestrutura SDN, juntamente com o registro de saída em um repositório padronizado (por exemplo, SIEM, Log Analytics) para monitoramento e alerta. - Monitoramento de Atividades de Usuário (UAM) Implementado- Integrado com Ponto de Decisão de Autenticação	Recursos de rede do Azure Proteja o acesso externo a aplicativos hospedados em uma rede virtual (VNet) com: Azure Front Door (AFD), Azure Application Gateway ou Azure Firewall. O AFD e o Application Gateway têm recursos de balanceamento de carga e segurança para o Open Web Application Security Project (OWASP) Top 10 e bots. Você pode criar regras personalizadas. O Firewall do Azure tem filtragem de inteligência contra ameaças na Camada 4. - Filtragem nativa da nuvem e proteção contra ameaças - conhecidas Projeto de arquitetura de rede Microsoft Sentinel Azure Firewall, Application Gateway, ADF e Azure Bastion exportam logs para o Sentinel ou outros sistemas de gerenciamento de eventos e informações de segurança (SIEM) para análise. Use conectores no Sentinel ou na Política do Azure para impor esse requisito em um ambiente. - Firewall do Azure com Sentinel - Conector do Firewall do Aplicativo Web do Azure para o Sentinel - de aplicativo Microsoft Entra Implante o proxy de aplicativo para publicar e entregar aplicativos privados em sua rede local. Integre soluções de parceiros de acesso híbrido seguro (SHA). - Proxy de - do Microsoft Entra Implante a Proteção de ID do Microsoft Entra e traga sinais de risco de entrada para o Acesso Condicional. - Consulte as orientações da Microsoft 1.3.3 em Utilizador. Microsoft Defender for Cloud Apps Use o Defender for Cloud Apps para monitorar sessões arriscadas de aplicativos Web. Defender para aplicativos na nuvem
`Target` 5.2.3 Fluxos de segmento em planos de controle, gerenciamento e dadosA infraestrutura e os fluxos de rede são segmentados física ou logicamente em planos de controle, gerenciamento e dados. A segmentação básica usando abordagens IPv6/VLAN é implementada para organizar melhor o tráfego entre os planos de dados. O Analytics e o NetFlow da infraestrutura atualizada são automaticamente inseridos nos Centros de Operações e nas ferramentas de análise. Resultados: - Segmentação IPv6- Habilitar relatórios automatizados de informações NetOps- Garantir o controle de configuração em toda a empresa - Integrado com SOAR	Azure Resource ManagerO Azure Resource Manager é um serviço de implantação e gerenciamento com uma camada de gerenciamento para criar, atualizar e excluir recursos em uma conta do Azure. - Planos de controle e dados do Azure Planos - - Conecte a infraestrutura de rede do Azure ao Sentinel. Configure conectores de dados do Sentinel para soluções de rede que não sejam do Azure. Use consultas de análise personalizadas para acionar a automação SOAR do Sentinel. - Resposta a ameaças com playbooks - Deteção e resposta para o Firewall do Azure com Aplicativos Lógicos Consulte as orientações da Microsoft na versão 5.2.2.
`Advanced` 5.2.4 Descoberta de ativos de rede & Otimização As organizações do DoD automatizam a descoberta de ativos de rede por meio da infraestrutura SDN, limitando o acesso a dispositivos com base em abordagens metódicas baseadas em risco. A otimização é conduzida com base na análise SDN para melhorar o desempenho geral, juntamente com fornecer o acesso aprovado necessário aos recursos. Resultados: - Atualização Técnica/Evolução Tecnológica - Fornecer Controles de Otimização/Desempenho	Azure Monitor Use as informações de rede do Azure Monitor para ver uma representação visual abrangente dos recursos de rede, incluindo topologia, integridade e métricas. Consulte as orientações da Microsoft na versão 5.1.1. O Microsoft Defender for CloudDefender for Cloud descobre e lista um inventário de recursos provisionados no Azure, em outras nuvens e no local. - Ambiente - multicloud Gerencie a postura de segurança de recursos Microsoft Defender for Endpoint Onboard endpoints e configure a descoberta de dispositivos para coletar, investigar ou verificar sua rede para descobrir dispositivos não gerenciados. - Visão geral da descoberta de dispositivos
`Advanced` 5.2.5 Decisões de acesso em tempo realA SDN Infrastructure utiliza fontes de dados entre pilares, como Monitoramento de Atividade do Usuário, Monitoramento de Atividade de Entidade, Perfis de Segurança Empresarial e muito mais para decisões de acesso em tempo real. O aprendizado de máquina é usado para auxiliar a tomada de decisões com base em análises avançadas de rede (captura completa de pacotes, etc.). As políticas são implementadas consistentemente em toda a empresa usando padrões de acesso unificados. Resultados: - Analise logs SIEM com o Analytics Engine para fornecer decisões de acesso a políticas em tempo real- Suporte ao envio de pacotes capturados, fluxos de dados/rede e outros logs específicos para análises - Segmente fluxos de rede de transporte de ponta a ponta- Audite políticas de segurança para consistência em toda a empresa	Atividades completas 5.2.1 - 5.2.4. Microsoft Sentinel Detete ameaças enviando logs de rede para o Sentinel para análise. Use recursos como inteligência de ameaças, deteção avançada de ataques em vários estágios, caça a ameaças e consultas integradas. A automação do Sentinel permite que os operadores bloqueiem endereços IP maliciosos. - Detetar ameaças com regras - Use o Azure Network Watcher para capturar tráfego de rede de e para máquinas virtuais (VMs) e Conjuntos de Dimensionamento de Máquina Virtual. - Defender for Cloud avalia a conformidade com os controles de segurança de rede prescritos em estruturas, como Microsoft Cloud Security Benchmark, DoD Impact Level 4 (IL4) e IL5 e National Institute of Standards and Technology (NIST) 800-53 R4/R5. de rede Acesso Condicional Use informações de Acesso Condicional e pasta de trabalho de relatórios para entender os efeitos das políticas de Acesso Condicional organizacionais.-

5.3 Segmentação macro

As assinaturas do Azure são construções de alto nível que separam os recursos do Azure. A comunicação entre recursos em assinaturas diferentes é explicitamente provisionada. Os recursos de rede virtual (VNet) em uma assinatura fornecem contenção de recursos no nível da rede. Por padrão, as redes virtuais não podem se comunicar com outras redes virtuais. Para habilitar a comunicação de rede entre redes virtuais, emparelhe-as e use o Firewall do Azure para controlar e monitorar o tráfego.

Para saber mais, consulte Proteger e controlar cargas de trabalho com segmentação no nível da rede.

Descrição da atividade e resultado do DoD Orientações e recomendações da Microsoft

Target 5.3.1 Segmentação
de macros de datacenterAs organizações do DoD implementam a segmentação macro focada no data center usando arquiteturas tradicionais hierárquicas (web, app, db) e/ou baseadas em serviços. As verificações de proxy e/ou imposição são integradas com a(s) solução(ões) SDN com base nos atributos e no comportamento do dispositivo.

Resultados:
- Registrar ações no SIEM-
Estabelecer verificações de proxy/imposição de atributos de dispositivo, comportamento e outros dados
- Analisar atividades com o mecanismo de análise Rede do Azure Projete e implemente serviços de rede do Azure, com base em arquiteturas estabelecidas, como zonas de aterrissagem em escala empresarial. Segmente redes virtuais (VNets) do Azure e siga as práticas recomendadas de segurança de rede do Azure. Use controles de segurança de rede à medida que os pacotes cruzam vários limites de VNet.
- Práticas recomendadas para segurança de
- rede Soberania e zonas
- de rede Recomendações
- de rede e conectividade Proteção
de ID do Microsoft Entra Implante a Proteção de ID do Microsoft Entra e use sinais de dispositivo e risco em seu conjunto de políticas de Acesso Condicional.
Consulte as orientações da Microsoft 1.3.3 em

Use conectores para consumir logs do Microsoft Entra ID, recursos de rede para enviar ao Microsoft Sentinel para auditoria, caça a ameaças, deteção e resposta. Habilite a Análise de Comportamento de Entidade do Usuário (UEBA) no Sentinel.

Consulte as orientações da Microsoft em 5.2.2 e 1.6.2 em Microsoft Defender XDR
Integre o Microsoft Defender for Endpoint com o Microsoft Defender for Cloud Apps e bloqueie o acesso a aplicativos não autorizados.

- Descubra e bloqueie a TI sombra
-

Target 5.3.2 Segmentação
macro B/C/P/SAs organizações do DoD implementam a macrossegmentação de base, acampamento, posto e estação usando zonas de rede lógicas que limitam o movimento lateral. As verificações de proxy e/ou imposição são integradas com a(s) solução(ões) SDN com base nos atributos e no comportamento do dispositivo.

Resultados:
- Estabelecer verificações de proxy/imposição de atributos de dispositivo, comportamento e outros dados
- Registrar ações para SIEM-
Analisar atividades com o mecanismo de análise
- Aproveitar o SOAR para fornecer decisões de acesso à política RT Atividade completa 5.3.1.

Microsoft Sentinel
Use o Firewall do Azure para visualizar atividades de firewall, detetar ameaças com recursos de investigação de IA, correlacionar atividades e automatizar ações de resposta.
- Azure Firewall

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Target` 5.3.1 Segmentação de macros de datacenterAs organizações do DoD implementam a segmentação macro focada no data center usando arquiteturas tradicionais hierárquicas (web, app, db) e/ou baseadas em serviços. As verificações de proxy e/ou imposição são integradas com a(s) solução(ões) SDN com base nos atributos e no comportamento do dispositivo. Resultados: - Registrar ações no SIEM- Estabelecer verificações de proxy/imposição de atributos de dispositivo, comportamento e outros dados - Analisar atividades com o mecanismo de análise	Rede do Azure Projete e implemente serviços de rede do Azure, com base em arquiteturas estabelecidas, como zonas de aterrissagem em escala empresarial. Segmente redes virtuais (VNets) do Azure e siga as práticas recomendadas de segurança de rede do Azure. Use controles de segurança de rede à medida que os pacotes cruzam vários limites de VNet. - Práticas recomendadas para segurança de - rede Soberania e zonas - de rede Recomendações - de rede e conectividade Proteção de ID do Microsoft Entra Implante a Proteção de ID do Microsoft Entra e use sinais de dispositivo e risco em seu conjunto de políticas de Acesso Condicional. Consulte as orientações da Microsoft 1.3.3 em Use conectores para consumir logs do Microsoft Entra ID, recursos de rede para enviar ao Microsoft Sentinel para auditoria, caça a ameaças, deteção e resposta. Habilite a Análise de Comportamento de Entidade do Usuário (UEBA) no Sentinel. Consulte as orientações da Microsoft em 5.2.2 e 1.6.2 em Microsoft Defender XDR Integre o Microsoft Defender for Endpoint com o Microsoft Defender for Cloud Apps e bloqueie o acesso a aplicativos não autorizados. - Descubra e bloqueie a TI sombra -
`Target` 5.3.2 Segmentação macro B/C/P/SAs organizações do DoD implementam a macrossegmentação de base, acampamento, posto e estação usando zonas de rede lógicas que limitam o movimento lateral. As verificações de proxy e/ou imposição são integradas com a(s) solução(ões) SDN com base nos atributos e no comportamento do dispositivo. Resultados: - Estabelecer verificações de proxy/imposição de atributos de dispositivo, comportamento e outros dados - Registrar ações para SIEM- Analisar atividades com o mecanismo de análise - Aproveitar o SOAR para fornecer decisões de acesso à política RT	Atividade completa 5.3.1. Microsoft Sentinel Use o Firewall do Azure para visualizar atividades de firewall, detetar ameaças com recursos de investigação de IA, correlacionar atividades e automatizar ações de resposta. - Azure Firewall

5.4 Micro segmentação

Os NSGs (grupos de segurança de rede) e os ASG (grupos de segurança de aplicativos) fornecem microssegmentação de segurança de rede para redes do Azure. Os ASGs simplificam a filtragem de tráfego, com base em padrões de aplicativos. Implante vários aplicativos na mesma sub-rede e isole o tráfego com base nos ASGs.

Para saber mais, consulte Proteger e controlar cargas de trabalho com segmentação no nível da rede.

Descrição da atividade e resultado do DoD	Orientações e recomendações da Microsoft
`Target` 5.4.1 Implementar microssegmentação As organizações do DoD implementam a infraestrutura de microssegmentação no ambiente SDN, permitindo a segmentação básica de componentes de serviço (por exemplo, web, app, db), portas e protocolos. A automação básica é aceita para alterações de políticas, incluindo a tomada de decisões de API. Os ambientes de hospedagem virtual implementam a microssegmentação no nível do host/contêiner. Resultados: - Aceitar alterações automatizadas de política- Implementar pontos de decisão de API- Implementar NGF/Micro FW/Endpoint Agent em ambiente de hospedagem virtual	Atividade completa 5.3.1. Azure Firewall Premium Use o Azure Firewall Premium como o Firewall NextGen (NGF) em sua estratégia de segmentação de rede do Azure. Consulte as orientações da Microsoft na versão 5.1.1. Grupos de segurança de aplicativos Em NSGs (grupos de segurança de rede), você pode usar grupos de segurança de aplicativos para configurar a segurança de rede como uma extensão da estrutura do aplicativo. Simplifique as políticas de segurança de rede associando recursos do Azure para o mesmo aplicativo usando grupos de segurança de aplicativos. - Proteja e controle cargas de trabalho com segmentação - no nível da rede Grupos de segurança de aplicativos Serviço Kubernetes do Azure Exigem a Interface de Rede de Contêiner do Azure (Azure CNI) para aplicativos no Serviço Kubernetes do Azure (AKS) usando definições internas na Política do Azure. Implemente a microssegmentação em nível de contêiner para contêineres no AKS usando políticas de rede. - Conceitos de rede para AKS - Configurar rede - de sobreposição CNI do Azure Tráfego seguro entre pods usando políticas - de rede Referência de política AKS Microsoft Defender for Servers Onboard Azure virtual machines (VMs), VMs em outros ambientes de hospedagem em nuvem e servidores locais para o Defender for Servers. A proteção de rede no Microsoft Defender for Endpoint bloqueia processos no nível do host da comunicação com domínios específicos, nomes de host ou endereços IP correspondentes a Indicadores de Comprometimento (IoC). - Planeje a implantação - do Defender for Servers Proteja a sua rede - Criar indicadores
`Target` 5.4.2 Aplicação e Microsegmentação de DispositivosAs organizações do DoD utilizam soluções(ões) de rede definida por software (SDN) para estabelecer uma infraestrutura que atenda às funcionalidades do ZT Target: zonas de rede lógicas, função, atributo e controle de acesso baseado em condicional para usuários e dispositivos, serviços de gerenciamento de acesso privilegiado para recursos de rede e controle baseado em políticas de acesso à API. Resultados: - Atribuir função, atributo, & Controle de acesso baseado em condição ao usuário & dispositivos - Fornecer serviços de gerenciamento de acesso privilegiado- Limitar o acesso por identidade para usuário e dispositivo - Criar zonas de rede lógicas	Microsoft Entra ID Integre aplicações com o Microsoft Entra ID. Controle o acesso com funções de aplicativo, grupos de segurança e pacotes de acesso. Consulte a Orientação da Microsoft 1.2 em Usuário. Design de Acesso Condicional Conjuntos de políticas de Acesso Condicional para autorização dinâmica com base em usuário, função, grupo, dispositivo, aplicativo cliente, risco de identidade e recurso de aplicativo. Use contextos de autenticação para criar zonas de rede lógicas, com base nas condições ambientais e do usuário. Consulte a orientação da Microsoft 1.8.3 em Usuário. Privileged Identity Manager Configure o PIM para acesso just-in-time (JIT) a funções privilegiadas e grupos de segurança do Microsoft Entra. Consulte as orientações da Microsoft 1.4.2 em Utilizador. Máquinas Virtuais do Azure e bancos de dadosSQL Configure as Máquinas Virtuais do Azure e as instâncias SQL para usar identidades do Microsoft Entra para entrar no usuário. - Entrar no Windows no Azure - Entrar na VM Linuz na Autenticação do Azure - Use Bastion para se conectar com segurança a VMs do Azure com endereços IP privados do portal do Azure ou usando shell seguro nativo (SSH) ou um cliente RDP (protocolo de área de trabalho remota). Bastion Use o acesso just-In-time (JIT) às VMs para protegê-las contra acesso não autorizado à rede. - Habilitar o acesso JIT em VMs
`Advanced` 5.4.3 Microsegmentação de processosAs organizações do DoD utilizam a microssegmentação existente e a infraestrutura de automação SDN, permitindo a microssegmentação de processos. Os processos no nível do host são segmentados com base em políticas de segurança e o acesso é concedido usando a tomada de decisões de acesso em tempo real. Resultados: - Segmentar processos no nível do host para políticas de segurança- Apoiar decisões de acesso em tempo real e alterações de políticas- Suporte ao descarregamento de logs para análise e automação - Apoiar a implantação dinâmica da política de segmentação	Atividade completa 5.4.2. Microsoft Defender for Endpoint Habilite a proteção de rede no Defender for Endpoint para impedir que processos e aplicativos no nível do host se conectem a domínios de rede mal-intencionados, endereços IP ou nomes de host comprometidos. Consulte as orientações da Microsoft 4.5.1. Avaliação contínua de acesso A avaliação contínua de acesso (CAE) permite que serviços como Exchange Online, SharePoint Online e Microsoft Teams assinem eventos do Microsoft Entra, como desativação de conta e deteções de alto risco no Microsoft Entra ID Protection. Consulte a orientação da Microsoft 1.8.3 em Usuário. Microsoft Sentinel Use conectores para consumir logs do Microsoft Entra ID, recursos de rede para enviar ao Microsoft Sentinel para auditoria, caça a ameaças, deteção e resposta. Consulte as orientações da Microsoft em 5.2.2 e 1.6.2 em Usuário.
`Target` 5.4.4 Proteger dados em trânsito Com base nos mapeamentos e monitoramento do fluxo de dados, as políticas são habilitadas pelas organizações do DoD para exigir a proteção dos dados em trânsito. Casos de uso comuns, como compartilhamento de informações de coalizão, compartilhamento entre limites do sistema e proteção entre componentes arquitetônicos, estão incluídos nas políticas de proteção. Resultados: - Proteja os dados em trânsito durante o compartilhamento de informações da coalizão- Proteja os dados em trânsito através dos limites altos do sistema- Integre a proteção de dados em trânsito entre componentes de arquitetura	Microsoft 365 Use o Microsoft 365 para colaboração DoD. Os serviços do Microsoft 365 criptografam dados em repouso e em trânsito. - Criptografia no Microsoft 365 Microsoft 365 e Microsoft Entra ID melhoram o compartilhamento de coalizão com fácil integração e gerenciamento de acesso para usuários em outros locatários do DoD. - B2B Compartilhamento seguro de - convidados Configure o acesso entre locatários e as configurações de nuvem da Microsoft para controlar como os usuários colaboram com organizações externas. - entre locatários Configurações do Microsoft Entra Governe os ciclos de vida de acesso de usuários externos com gerenciamento de direitos.- Use o Defender for Cloud para avaliar continuamente e aplicar protocolos de transporte seguros para recursos de nuvem. - Gestão da postura de segurança na nuvem

Próximos passos

Configure os serviços de nuvem da Microsoft para a estratégia DoD Zero Trust:

Feedback

Esta página foi útil?

Last updated on 2025-06-16