本節針對網路支柱 CISA 零信任成熟度模型 提供Microsoft指引和建議。 如需詳細資訊,請參閱 使用零信任的安全網路。
3 網路
網路安全 & 基礎設施安全局(CISA)將網路識別為開放的溝通媒介,包括一般管道。 範例包括機構內部網路、無線網路和因特網。 此外,定義還引用了潛在的通道,例如行動電話和
使用下列連結來移至指南的章節。
3.1 功能:網路分割
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
初始成熟度狀態 機構開始部署網路架構,隔離關鍵工作負載,限制連線至最小必要功能,並過渡至針對服務的特定互連。 |
Azure Front Door、Azure 防火牆、Azure 虛擬網路、Azure Kubernetes Service 使用架構指引來設計具有嚴格網路控制的任務關鍵性工作負載,以隔離工作負載、限制連線能力,以及啟用轉換至服務特定互連。 - 使用零信任架構安全保護網路 - Azure 上的任務關鍵基準架構 - 具有網路控制的任務關鍵性基準架構 - 適用於任務關鍵工作負載的網路 |
|
進階成熟度狀態 代理程式擴充端點和應用程式配置檔隔離機制的部署,使其網路架構中具有輸入/輸出微周邊和服務特定互連的更多網路架構。 |
Azure 防火牆進階 使用 Azure 虛擬網路和 Azure 防火牆進階搭配網路應用層級流量篩選,以控制雲端資源、雲端和內部部署資源與因特網之間的輸入/輸出流量。 - 分割策略 - Azure 防火牆原則規則集 - 多重中樞和輪輻拓撲 - 防火牆進階功能 - 保護和治理工作負載 Azure Private Link Azure Private Link 存取 Azure 平台即服務(PaaS),透過虛擬網路中的私人端點。 使用私人端點來保護虛擬網路中的 Azure 資源。 從虛擬網路到 Azure 的流量會保留在 Azure 骨幹網路上。 若要取用 Azure PaaS 服務,請勿向公用因特網公開虛擬網路。 - PaaS 服務界限 - 網路安全最佳實踐 網路安全組 NSG 是一種訪問控制機制,以控制虛擬網路中資源之間的流量,作為第 4 層防火牆。 NSG 會控制流入和流出外部網路的流量,例如因特網、其他虛擬網路等等。 NSG 概觀 應用安全組 ASG 的控制機制類似於 NSG,但參考應用程式環境。 使用 ASG 將 VM 與應用程式標記分組。 定義套用至基礎 VM 的流量規則。 ASG 概觀 |
|
最佳成熟度狀態 機構網路架構由完全分散式的入口/出口微隔離區組成,並且基於應用程式設定檔進行廣泛的微分割,以及為服務特定的互連提供動態的即時和適度連接。 |
Microsoft Defender for Cloud,即時虛擬機存取 網路安全性防護技術和目標可減少攻擊面。 啟用較少的開放埠,特別是管理埠。 您的合法使用者會使用這些埠,因此關閉這些埠是不切實際的。 使用 Microsoft Defender for Cloud 的 JIT 來鎖定進入 VM 的流量。 此動作可減少攻擊的風險,同時維持連線至 VM 的存取。 Just-In-Time (JIT) 虛擬機存取 Azure Bastion 使用 Azure Bastion 受控平臺即服務 (PaaS) 安全地連線到 VM。 從 Azure 入口網站或透過原生用戶端建立虛擬機上私人 IP 位址的連線。 - Azure Bastion - 在 VM 上啟用 JIT 存取 |
3.2 功能:網路流量管理
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
初始成熟度狀態 Agency 會建立具有不同流量管理功能的應用程式配置檔,並開始將所有應用程式對應至這些配置檔。 機構將靜態規則的應用擴展至所有應用程式,並定期對應用程式配置檔進行手動稽核。 |
Azure Policy 使用 Azure Policy 強制執行網路標準,例如將流量強制通道至 Azure 防火牆或其他網路設備。 禁止公用IP或強制執行加密通訊協定的安全使用。 Azure 網路服務定義 Azure 應用程式閘道 需要針對部署至 Azure 的 Web 應用程式使用應用程式閘道。 - 應用程式閘道概觀 - 應用程式閘道整合 Azure 服務標籤, 使用 Azure VM 和 Azure 虛擬網路的服務標籤來限制 Azure 服務的網路存取。 Azure 會維護與每個標記相關聯的IP位址。 服務標籤 Azure 防火牆管理員 針對雲端式安全性周邊的集中式原則和路由管理啟用此安全性管理服務:防火牆、分散式阻斷服務 (DDoS) 和 Web 應用程式防火牆。 使用IP群組來管理 Azure 防火牆規則的IP位址。 - 防火牆管理員 - Azure 防火牆中的因特網通訊協定 (IP) 群組 應用程式安全組 使用 ASG 將網路安全性設定為應用程式結構的延伸模組。 根據群組來分組虛擬機(VM),並定義網路安全策略。 ASG 和網路安全組 Azure DDoS 保護 使用公用 IP 位址限制資源。 針對具有公用IP位址的 Azure 資源部署分散式阻斷服務 (DDoS) 保護。 - DDoS 保護 - 應用程式 (第 7 層) DDoS 保護 |
|
進階成熟度狀態 機構會根據自動化風險感知和風險回應的應用程式配置檔的評定和監視,實作並定期調整動態網路規則和設定,以達成資源優化。 |
Azure 監視器 此服務會持續監視網路和應用程式,並根據效能和安全性計量提供深入解析和警示。 動態調整網路規則,以優化資源使用量和安全性。 Azure 監視器概觀 |
|
最佳成熟度狀態 機構會實作動態網路規則和設定,以持續演進以符合應用程式配置檔需求,並根據任務關鍵性、風險等來重新分類應用程式。 |
Microsoft Entra Internet AccessPrivate Access 設定條件式存取原則以保護流量配置檔。 定義可接受的登入風險。 - 全域安全存取 - 通用條件式存取 Azure 虛擬網路管理員 使用 Azure 原則條件語句定義和管理動態網路群組成員資格。 網路群組會根據特定條件包含或排除虛擬網路。 - 虛擬網路管理員 - 動態網路群組成員資格 Azure 防火牆,Microsoft Sentinel Azure 防火牆和 Sentinel 整合提供持續監視、AI 驅動威脅偵測、自動化回應,以及根據風險的安全性組態更新。 Sentinel 劇本會動態回應已識別的威脅,調整網路設定以保護任務關鍵性應用程式。 與 Sentinel 整合的 Azure 防火牆 網路安全群組 NSG 網路安全群組具有篩選 Azure 資源進出網路流量的安全性規則。 根據網路條件和安全性需求,啟用動態規則更新以允許或拒絕流量。 NSG 概觀 Azure 虛擬網路管理員 此管理服務可協助跨訂用帳戶和租用戶進行群組、設定、部署和虛擬網路 (VNet) 管理。 定義網路群組以分割你的 VNet。 為這些群組中選取的 VNet 建立並套用連線和安全性設定。 虛擬網路管理員 |
3.3 函式:流量加密
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
初始成熟度狀態 代理程式開始加密所有內部應用程式的流量、偏好將流量加密至外部應用程式、將密鑰管理原則正規化,以及保護伺服器/服務加密密鑰。 |
Microsoft 雲端服務 針對傳輸中的客戶數據,Microsoft雲端服務會使用安全傳輸通訊協定,例如因特網通訊協定安全性 (IPSec) 和傳輸層安全性 (TLS),在Microsoft數據中心之間,以及用戶裝置與Microsoft數據中心之間。 雲端中的 Microsoft 加密 Microsoft Entra 應用程式 Proxy 若要透過加密通道發佈內部應用程式,請部署應用程式 Proxy 連接器。 發佈內部部署應用程式 |
|
進階成熟度狀態 代理程式可確保所有適用內部和外部流量通訊協定的加密。 管理密鑰和憑證的發行和輪替,並開始納入密碼編譯靈活度的最佳作法。 |
Azure Key Vault 此雲端服務可協助保護雲端應用程式和服務所使用的密碼編譯密鑰和秘密。 保護記憶體、訪問控制和稽核可確保機密資訊受到有效保護和管理。 集中管理金鑰,以簡化安全性標準的合規性。 增強整體應用程式安全性狀態。 Azure Key Vault |
|
最佳成熟度狀態 代理程式會視需要繼續加密流量、針對整個企業的安全密鑰管理強制執行最低許可權原則,並盡可能廣泛地納入密碼編譯靈活度的最佳做法。 |
Azure 中的密鑰管理 Azure 金鑰管理服務會安全地儲存和管理雲端中的密碼編譯密鑰,包括 Azure Key Vault、Azure 受控硬體安全性模型 (HSM) 和 Azure 專用 HSM。 從平臺管理的金鑰和客戶管理的金鑰中選取。 支持靈活的合規性和管理負擔管理。 集中管理金鑰。 Azure 可增強安全性、簡化訪問控制、支援應用程式及保護敏感數據。 金鑰管理 Azure Key Vault 透過角色型存取控制 (RBAC) 強制執行最低許可權原則。 根據角色將特定許可權指派給用戶和應用程式。 啟用細微的存取管理。 設定金鑰、秘密和憑證的許可權。 請確定只有授權的實體存取敏感性資訊。 - Azure Key Vault 最佳做法 - 將許可權授與應用程式以存取 Azure Key Vault Microsoft Entra Privileged Identity Management 整合 Azure Key Vault 與 PIM 以進行 Just-In-Time 存取。 視需要授與暫時許可權。 - PIM 概觀 - 群組 PIM 概述 |
3.4 功能:網路韌性
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
初始成熟度狀態 機構開始設定網路功能,以管理其他應用程式的可用性需求,並擴充工作負載未視為任務關鍵性的復原機制。 |
Azure 虛擬網路 採用 Azure 來管理其資料中心和服務全球網路的可用性需求。 - Azure 虛擬網路 - Azure 可靠性概觀 可用性區域 為了確保應用程式可供使用,即使某個區域發生中斷,仍使用可用性區域進行區域中的錯誤隔離。 Azure 可用性區域 Azure ExpressRoute ExpressRoute 是混合式連線服務,用於內部部署網路與 Azure 工作負載之間的低延遲、復原和高輸送量私人連線。 ExpressRoute 以進行復原 |
|
進階成熟度狀態 機構已設定網路功能,以動態管理大部分應用程式的可用性需求和復原機制。 |
Azure 流量管理員 動態分散跨區域和數據中心的流量。 確保最佳效能和高可用性;適應變更使用者要求模式。 - Traffic Manager - 在流量管理員中確保可靠性 Azure Front Door 使用動態 HTTP/S 負載平衡和網站應用程式防火牆服務,增強全域連線性與安全性。 服務會路由傳送流量,並調整以滿足即時需求或應對威脅。 Azure Front Door 支援可用性區域的 ExpressRoute 虛擬網路閘道, 區域備援網關以動態方式將網路流量分散至各可用性區域。 如果某個區域發生中斷,請維持順暢的連線能力。 可用性區域中的區域備援 VNet 閘道 |
|
最佳成熟度狀態 機構整合整體交付和察覺,以適應所有工作負載需求變化,並提供相稱的復原能力。 |
Azure Load Balancer 設定 Azure Load Balancer 健康探測,以了解應用程式實例的健康狀況。 探查會偵測應用程式失敗、管理負載,並適應可用性需求變更。 - 負載平衡器健康情況探查 - 管理健康情況探查 Azure 應用程式閘道, 通過將流量分散到多個後端集區和可用性區域,動態管理可用性需求與復原機制。 確保高可用性和容錯能力,在區域失敗期間自動重新路由傳送流量。 - Azure 應用程式閘道 v2 - 良好的架構視角, Azure 防火牆 透過自動調整資源以符合流量需求來增強自動擴展功能。 確保高負載下的安全性和效能。 根據輸送量和 CPU 使用量,威脅防護和 URL 篩選功能會動態擴展。 - 進階功能 - Azure 防火牆常見問題 - Azure 防火牆效能 Azure ExpressRoute 設定雙向轉送偵測 (BFD) 以改善 ExpressRoute 故障轉移。 使用快速偵測連結故障,並實現近乎即時地切換至備援連線。 將停機時間降到最低、維持高可用性,同時讓網路更具彈性且可靠。 設定 BFD |
3.5 功能:可見度和分析
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
初始成熟度狀態 機構會根據已知的入侵指標(包括網路列舉)來採用網路監視功能,以在每個環境中開發情況感知,並開始將流量類型和環境的遙測相互關聯,以進行分析和威脅搜捕活動。 |
Azure 監視器 使用 Azure 網路監看員和 Azure 監視器網路見解,以取得全方位且可視化的網路呈現。 啟用虛擬網路 (VNet) 流量記錄以記錄IP流量。 使用連線監視器來追蹤重要流程的可靠性。 將警示附加至流程,讓正確的群組收到中斷通知。 - 網路監視員 - 網路深入解析 - VNet 流量記錄 - 連線監視器 流量分析工具 藉由流量分析解決方案來提高對雲端網路中使用者和應用程式活動的可見性。 流量分析檢查 Azure Network Watcher 流程記錄,以提供 Azure 雲端中流程的深入洞察。 流量分析 |
|
進階成熟度狀態 機構會部署異常型網路偵測功能,以在所有環境中開發情況感知、開始將多個來源的遙測相互關聯以進行分析,並納入強固威脅搜捕活動的自動化程式。 |
Microsoft Sentinel Azure 防火牆、應用程式閘道、Data Factory 和 Bastion 將記錄導出至 Sentinel 或其他安全性資訊和事件管理 (SIEM) 系統。 若要強制執行整個環境的需求,請使用 Sentinel 或 Azure 原則中的連接器。 - 具有 Sentinel - 的 Azure 防火牆具有 Sentinel - 的 Web 應用程式防火牆尋找 Sentinel 資料連接器 全域安全存取 在 [全域安全存取記錄] 中,尋找網路流量的詳細數據。 若要瞭解和分析監視環境時的詳細數據,請查看三個層級的記錄及其相互關聯。 - 記錄和監視 - 網路流量記錄 - 擴充Microsoft 365 記錄 - 遠端網路健康情況記錄 |
|
最佳成熟度狀態 機構維持對所有機構網路和環境通信的可見性,同時啟用全企業的情勢感知和先進的監視功能,以自動化整合來自所有偵測來源的遙測資料關聯。 |
使用 Microsoft Sentinel 零信任 (TIC 3.0) 解決方案監視零信任安全性架構,可讓您從主要雲端式環境中Microsoft技術,對控制需求的可見度和情況感知。 客戶體驗因用戶而異。 某些使用者介面可能需要設定和查詢修改。 監視零信任 (TIC 3.0) 安全性架構 |
3.6 自動化和協調流程
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
初始成熟度狀態 代理程序開始使用自動化方法來管理某些機構網路或環境的設定和資源生命週期,並確保所有資源都有根據原則和遙測定義的存留期。 |
Azure 虛擬網路管理員 跨訂用帳戶集中虛擬網路的連線和安全性設定。 虛擬網路管理員 Azure 原則 強制執行網路標準,例如對 Azure 防火牆或其他網路設備的流量強制通道。 禁止公用IP,或強制執行加密通訊協定。 Azure 網路服務定義 Azure 防火牆管理員 此服務適用於集中式安全策略和雲端式安全性周邊路由管理。 它會管理 Azure 防火牆、Azure DDoS 保護和 Azure Web 應用程式防火牆的原則。 - Azure 防火牆管理員 - 原則概觀 Azure 解決方案監視、分析、警示,以及可視化網路連線能力 網路效能監視器。 若要觸發自動調整或故障轉移動作,請使用 Azure 監視器警示。 網路監視 Azure DevOps 使用此服務來設定網路組態的持續整合和持續交付(CI/CD)管線。 DevOps 做法可橋接傳統基礎結構管理與現代化、敏捷式方法之間的差距,以確保網路環境符合需求。 Azure DevOps Azure 藍圖 定義符合標準、模式和需求的可重複 Azure 資源。 在確保合規性的同時,建置並啟動新的環境。 Azure 藍圖 Microsoft Sentinel 不安全通訊協定活頁簿 使用不安全的通訊協定活頁簿,以深入瞭解不安全的通訊協定流量。 它會從Microsoft產品收集及分析安全性事件。 檢視分析和識別舊版通訊協定流量的來源,例如NT LAN Manager (NTLM) 伺服器消息塊第1版(SMBv1)、WDigest、弱式加密,以及 Active Directory 的舊版驗證。 不安全的通訊協定活頁簿 Microsoft Sentinel 將 Azure 網路基礎結構連線至 Sentinel。 為非 Azure 網路解決方案設定 Sentinel 資料連接器。 使用自定義分析查詢來觸發 Sentinel 安全協同、管理與回應 (SOAR) 自動化。 - 使用劇本進行威脅回應 - 使用 Logic Apps 進行偵測和回應 全域安全存取 網路存取 API 會建立架構來設定轉送或篩選流量和相關規則。 使用 Graph 網路存取 API 實現安全存取 |
|
進階成熟度狀態 機構會使用自動化的變更管理方法(例如 CI/CD)來管理所有代理程式網路和環境的設定和資源生命週期,並回應並強制執行原則和保護,以防止察覺的風險。 |
Azure DevOps 若要將網路設定變更和資源管理自動化,請實作持續整合和持續傳遞 (CI/CD) 管線。 Azure DevOps Azure 自動化 管理網路設定和生命週期工作,例如更新和合規性強制執行。 Azure 自動化 Microsoft Sentinel 啟用 Sentinel 來監視網路環境並強制執行原則。 其自動化回應可解決感知的風險。 進階監視 Azure 原則 自動化網路資源的合規性強制執行和原則應用程式。 Azure 原則 |
|
最佳成熟度狀態 代理網路和環境是使用由自動化變更管理方法管理的基礎設施即代碼來定義,包括自動化啟動和終止,以符合不斷變化的需求。 |
Azure Resource Manager 使用 ARM 範本來定義和管理網路基礎結構即程式代碼。 啟用自動化布建和更新。 ARM 概觀 Azure 上的 Terraform 若要自動化建立、管理及調整網路資源的程式,請實作 Terraform 以進行基礎結構即程式代碼。 Terraform 和 Azure Azure DevOps 使用持續整合和持續傳遞 (CI/CD) 管線來自動化變更和生命週期管理。 確保符合動態網路需求。 進階CD/IC Microsoft Sentinel 協調並自動化網路安全運營。 Sentinel 與基礎結構即程式代碼做法整合,以進行全面管理。 使用 Sentinel 自動化 Azure 自動化 使用功能進行生命週期管理,包括自動啟動和到期網路資源。 進階自動化 |
3.7 功能:治理
| CISA ZTMM 階段描述 | Microsoft指導方針和建議 |
|---|---|
|
初始成熟度狀態 機構定義並開始實作針對個別網路區段和資源量身打造的原則,同時適當地繼承全公司規則。 |
Azure 網路安全 定義及實作區段和資源的網路安全策略。 Azure 網路安全性 Azure 防火牆進階 透過 Azure 防火牆路由輸出和輸入流量。 實施其對網路區段和資源的政策。 - 防火牆進階功能 - 輸入和輸出因特網聯機 - 在 Azure 入口網站中設定 Azure 防火牆, - Azure 原則來保護 Azure 防火牆部署, - Azure 防火牆原則規則集 Microsoft Sentinel 監視並強制執行網路原則, 並確保它們符合全企業規則。 Sentinel Microsoft適用於雲端的 Defender 從網路資源和區段的治理和安全性開始。適用於雲端的 Defender |
|
進階成熟度狀態 機構會納入自動化,以實施量身打造的政策,並協助從以周邊為重點的保護轉換。 |
Azure 防火牆 自動強制執行網路原則,並從周邊型思維轉換為細微的安全性措施。 - Azure 防火牆 - 具有 Sentinel 網路安全組的 Azure 防火牆, 使用 NSG 將網路流量的管理自動化,並動態強制執行原則。 Azure NSG Sentinel 加強原則強制執行的自動化,並監視從傳統到動態安全性模型的轉換。 進階監視 |
|
最佳成熟度狀態 機構會實作全企業網路原則,以啟用量身訂做的本機控制;動態更新;並根據應用程式和使用者工作流程保護外部連線。 |
- Azure 防火牆集中管理 - Azure 防火牆原則規則集 |
後續步驟
為 CISA 零信任成熟度模型設定Microsoft雲端服務。