DoD 零信任 策略和藍圖概述國防部元件和國防工業基地(DIB)合作夥伴根據 零信任 原則採用新的網路安全架構的路徑。 零信任 可消除傳統的周邊和信任假設,讓架構更有效率,可增強安全性、用戶體驗和任務效能。
本指南針對 DoD 零信任 功能執行藍圖中的 152 個 零信任 活動提供建議。 這些區段會對應 DoD 零信任 模型的七個支柱。
使用下列連結來移至指南的章節。
5 網路
本節針對網路支柱中的 DoD 零信任 活動Microsoft指導方針和建議。 若要深入瞭解,請參閱使用 零信任 保護網路以取得詳細資訊。
5.1 數據流對應
Azure 虛擬網絡 服務是 Azure 專用網中的建置組塊。 在虛擬網路中,Azure 資源會彼此通訊、因特網和內部部署資源。
當您在 Azure 中部署多個中樞和輪輻網路拓撲時,Azure 防火牆 處理虛擬網路之間的路由流量。 此外,Azure 防火牆 Premium 包含安全性功能,例如 Trasport-Layer Security (TLS) 檢查、網路入侵、檢測和預防系統 (IDPS)、URL 篩選和內容篩選。
Azure 網路監看員 和 Azure 監視器網路深入解析等 Azure 網路工具可協助您對應和可視化網路流量。 Microsoft Sentinel 整合可透過活頁簿、自動化和偵測功能,啟用組織網路流量的可見度和控制。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
5.1.1 定義細微控制訪問控制規則和原則 Pt1與組織合作的 DoD 企業會建立細微的網路存取規則和原則。 相關聯的作業概念 (ConOps) 會與存取原則一致開發,並確保未來的可支援性。 一旦達成一致,DoD 組織就會將這些存取原則實作至現有的網路技術(例如新一代防火牆、入侵預防系統等),以改善初始風險等級。 結果: - 提供技術標準 - 開發作業 概念 - 識別感興趣的社群 |
Azure 防火牆 Premium 使用 Azure 虛擬網絡 和 Azure 防火牆 Premium 來控制雲端資源、雲端和內部部署資源與因特網之間的通訊和路由。 Azure 防火牆 Premium 具有威脅情報、威脅偵測和入侵預防功能,以保護流量。 - 分割策略 - 路由多中樞和輪輻拓撲 - 使用 Azure 防火牆 原則分析來管理防火牆規則、啟用流量可見度,以及對防火牆規則執行詳細的分析。 - 透過虛擬網路中的私人端點存取 Azure 平台即服務 (PaaS)。 使用私人端點,將重要的 Azure 資源完全保護至虛擬網路。 從虛擬網路到 Azure 的流量會保留在 Azure 骨幹網路上。 不需要向公用因特網公開虛擬網路來取用 Azure PaaS 服務。 - 安全網路:PaaS 服務界限 - 網路安全性最佳做法 網路安全組啟用網路安全組 (NSG) 上的流量記錄,以取得流量活動。 將 網路監看員 中的活動數據可視化。 - NSG 流量記錄 Azure 虛擬網絡 管理員 使用 Azure 虛擬網絡 Manager ,跨訂用帳戶進行虛擬網路的集中式連線和安全性設定。 - Azure 虛擬網絡 Manager Azure 防火牆 Manager Azure 防火牆 Manager 是集中式安全策略和雲端式安全性周邊路由管理的安全性管理服務。 - Azure 防火牆 管理員 Azure 原則 使用 Azure 原則 來強制執行網路標準,例如流量強制通道傳送至 Azure 防火牆 或其他網路設備。 禁止公用IP或強制執行加密通訊協定的安全使用。 - Azure 網路服務 使用 Azure 網路監看員 和 Azure 監視器網路深入解析,以全面且可視化方式呈現您的網路。 - - |
Target
5.1.2 定義細微控制訪問控制規則和原則 Pt2DoD 組織會利用數據標記和分類標準來開發數據篩選器,以存取 SDN 基礎結構。 API 決策點會在 SDN 架構內正式化,並使用非任務/工作關鍵應用程式和服務實作。 結果: - 定義 API 基礎結構的數據標記篩選器 |
應用程式安全組 使用應用程式安全組將網路安全設定為應用程序結構的延伸模組。 根據群組來分組虛擬機(VM),並定義網路安全策略。 - 應用程式安全組 Azure 服務標籤 使用 Azure VM 的服務標籤和 Azure 虛擬網絡,以限制使用中的 Azure 服務網路存取。 Azure 會維護與每個標記相關聯的IP位址。 - Azure 服務標籤 Azure 防火牆 Azure 防火牆 管理員是一項安全性管理服務,適用於雲端式安全性周邊(防火牆、DDoS、WAF)的集中式安全策略和路由管理。 使用IP群組來管理 Azure 防火牆 規則的IP位址。 - Azure 防火牆 管理員 - IP 群組 Azure 虛擬網絡 Manager 虛擬網絡 Manager 是一項管理服務,可跨訂用帳戶將虛擬網路分組、設定、部署、檢視及管理。 - 啟用或停用 Azure 基礎結構即服務 (IaaS) 資源的記錄。 使用 網路監看員 來監視和修復 IaaS 產品的網路健康情況,例如 VM、VNet、應用程式閘道、負載平衡器等等。 - Azure 網路監看員 |
5.2 軟體定義網路
虛擬網路是 Azure 中專用網的基礎。 使用虛擬網路 (VNet),組織會控制 Azure 資源與內部部署之間的通訊。 篩選和路由流量,並與其他 Azure 服務整合,例如 Azure 防火牆、Azure Front Door、Azure 應用程式閘道、Azure VPN 閘道 和 Azure ExpressRoute。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
5.2.1 定義 SDN APIDoD 企業會與組織合作,以定義必要的 API 和其他程式設計介面,以啟用軟體定義網路功能(SDN) 功能。 這些 API 會啟用驗證決策點、應用程式傳遞控制 Proxy 和分割閘道自動化。 結果: SDN API 已標準化並實 作- API 適用於 AuthN 決策點、應用程式傳遞控制 Proxy 和分割閘道 |
Azure Resource Manager 使用 Azure Resource Manager (ARM) API 部署和設定 Azure 網路。 Azure 管理工具:Azure 入口網站、Azure PowerShell、Azure 命令列介面 (CLI) 和範本使用相同的 ARM API 來驗證和授權要求。 - 遵循最低許可權原則,並透過 PIM 指派角色 Just-In-Time (JIT)。 - Azure 內建角色 |
Target
5.2.2 實作 SDN 可程式化基礎結構遵循 API 標準、需求和 SDN API 功能,DoD 組織會實作軟體定義網路功能(SDN)基礎結構,以啟用自動化工作。 分割閘道和驗證決策點會整合到 SDN 基礎結構中,以及輸出記錄到標準化存放庫(例如 SIEM、Log Analytics)以進行監視和警示。 結果: - 已實作的應用程式傳遞控制 Proxy - 已建立的 SIEM 記錄活動 - 已實作的使用者活動監視 (UAM) - 與驗證決策點整合 |
Azure 網路資源 使用:Azure Front Door(AFD)、Azure 應用程式閘道 或 Azure 防火牆 來保護裝載在虛擬網路 (VNet) 中的應用程式的外部存取。 AFD 和 應用程式閘道 具有 Open Web Application Security Project (OWASP) 前 10 名和 Bot 的負載平衡和安全性功能。 您可以建立自訂規則。 Azure 防火牆 具有第 4 層的威脅情報篩選。 - 已知威脅 - 的雲端原生篩選和保護網路架構設計 Microsoft Sentinel Azure 防火牆、應用程式閘道、ADF 和 Azure Bastion 會將記錄導出至 Sentinel,或其他安全性資訊和事件管理 (SIEM) 系統進行分析。 使用 Sentinel 或 Azure 原則 中的連接器,在整個環境中強制執行這項需求。 - 使用 Sentinel - - 整合安全的混合式存取 (SHA) 合作夥伴解決方案。 - 應用程式 Proxy 部署應用程式 Proxy - - SHA 合作夥伴整合 Microsoft Entra ID Protection Deploy Microsoft Entra ID Protection,並將登入風險訊號帶入條件式存取。 請參閱 user 中的Microsoft指引 1.3.3。 適用於雲端的 Microsoft Defender 應用程式 使用 適用於雲端的 Defender Apps 來監視有風險的 Web 應用程式會話。 - 適用於雲端的 Defender 應用程式 |
Target
5.2.3 區段流程流入控制、管理和數據平面網路基礎結構和流程會以實體或邏輯方式分割成控制、管理和數據平面。 實作使用 IPv6/VLAN 方法的基本分割,以更妥善地組織跨數據平面的流量。 來自更新基礎結構的分析與 NetFlow 會自動饋送至 Operations 中心與分析工具。 結果: - IPv6 分割 - 啟用自動化 NetOps 資訊報告 - 確保跨企業 設定控制與 SOAR 整合 |
Azure Resource Manager Azure Resource Manager是一種部署和管理服務,具有一個管理層,可建立、更新及刪除 Azure 帳戶中的資源。 - Azure 控制和數據平面多租使用者控制平面 - - Azure 作業安全性 Microsoft Sentinel 將 Azure 網路基礎結構連線至 Sentinel。 為非 Azure 網路解決方案設定 Sentinel 資料連接器。 使用自定義分析查詢來觸發 Sentinel SOAR 自動化。 - 使用 - Logic Apps 偵測和回應 Azure 防火牆 的威脅回應請參閱 5.2.2 中的Microsoft指導方針。 |
Advanced
5.2.4 網路資產探索和優化DoD 組織會透過 SDN 基礎結構,根據以風險為基礎的方法,將網路資產探索自動化,以限制對裝置的存取。 優化是根據 SDN 分析進行,以改善整體效能,並提供必要的核准資源存取權。 結果: - 技術性調整/技術演進 - 提供優化/效能控制 |
Azure 監視器使用 Azure 監視器 網路深入解析來查看網路資源的完整可視化表示法,包括拓撲、健康情況和計量。 請參閱 5.1.1 中的Microsoft指引。 適用於雲端的 Microsoft Defender 適用於雲端的 Defender 探索並列出 Azure、其他雲端和內部部署中已布建資源的清查。 - Multicloud 環境 - 管理資源安全性狀態 適用於端點的 Microsoft Defender Onboard 端點,並設定裝置探索來收集、探查或掃描您的網路,以探索非受控裝置。 - 裝置探索概觀 |
Advanced
5.2.5 即時存取決策SDN 基礎結構利用跨支柱數據源,例如用戶活動監視、實體活動監視、企業安全性配置檔等,以進行即時存取決策。 機器學習可用來根據進階網路分析來協助決策(完整封包擷取等)。 原則會使用統一的存取標準,在企業間一致地實作。 結果: - 使用分析引擎分析 SIEM 記錄以提供即時原則存取決策 - 支援傳送擷取的封包、數據/網路流程,以及分析 區段端對端傳輸網路流程 的其他特定記錄- 稽核企業間一致性的安全策略 |
完成活動 5.2.1 - 5.2.4。 Microsoft Sentinel 偵測威脅,方法是將網路記錄傳送至 Sentinel 進行分析。 使用威脅情報、進階多階段攻擊偵測、威脅搜捕和內建查詢等功能。 Sentinel 自動化可讓操作員封鎖惡意IP位址。 - 使用分析規則 - 偵測威脅 Azure 防火牆 Sentinel Azure 連接器 網路監看員 使用 Azure 網路監看員 來擷取虛擬機和 虛擬機器擴展集 的網路流量。 - 封包擷取 評估架構中規定的網路安全性控制合規性,例如Microsoft雲端安全性基準、DoD 影響等級 4 (IL4) 和 IL5,以及國家標準與技術研究所 (NIST) 800-53 R4/R5。 - 使用條件式存取深入解析和報告活頁簿,以瞭解組織條件式存取原則的效果。 |
5.3 巨集分割
Azure 訂用帳戶是分隔 Azure 資源的高階建構。 明確布建不同訂用帳戶中的資源之間的通訊。 訂用帳戶中的虛擬網路 (VNet) 資源提供網路層級資源內含專案。 根據預設,VNet 無法與其他 VNet 通訊。 若要啟用 VNet 之間的網路通訊,請將它們對等互連,並使用 Azure 防火牆 來控制和監視流量。
若要深入瞭解,請參閱 使用網路層級分割來保護及控管工作負載。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
5.3.1 Datacenter 巨集分割DoD 組織會使用傳統階層式(Web、應用程式、db) 和/或服務架構,實作以數據中心為主的巨集分割。 Proxy 和/或強制檢查會根據裝置屬性和行為與 SDN 解決方案整合。 結果: - SIEM 的記錄動作- 建立裝置屬性、行為和其他數據的 Proxy/強制檢查 - 使用分析引擎分析活動 |
Azure 網路設計及實作 Azure 網路服務,以已建立的架構為基礎,例如企業級登陸區域。 區隔 Azure 虛擬網路 (VNet),並遵循 Azure 網路安全性最佳做法。 使用網路安全性控制作為封包跨越各種 VNet 界限。 - 網路安全性 - 主權和 Azure 登陸區域的 - - ,並在條件式存取原則集中使用裝置和風險訊號。 請參閱 user 中的 使用連接器取用來自Microsoft Entra 標識符的記錄、要傳送至Microsoft Sentinel 的網路資源,以進行稽核、威脅搜捕、偵測和回應。 在 Sentinel 中啟用使用者實體行為分析 (UEBA)。 請參閱使用者中的 5.2.2Microsoft Defender 全面偵測回應 使用 適用於雲端的 Microsoft Defender Apps 來整合 適用於端點的 Microsoft Defender,並封鎖對未經批准之應用程式的存取。 - |
Target
5.3.2 B/C/P/S 巨集分割DoD 組織使用邏輯網路區域來實作基底、陣營、張貼和月臺巨集觀分割,以限制橫向移動。 Proxy 和/或強制檢查會根據裝置屬性和行為與 SDN 解決方案整合。 結果: - 建立裝置屬性、行為和其他數據 記錄動作的 Proxy/強制檢查- 使用分析引擎 分析活動 - 利用 SOAR 提供 RT 原則存取決策 |
完成活動 5.3.1。 Microsoft Sentinel 使用 Azure 防火牆 將防火牆活動可視化、使用 AI 調查功能偵測威脅、使活動相互關聯,以及自動化回應動作。 - Azure 防火牆 |
5.4 微分割
網路安全組 (NSG) 和應用程式安全組 (ASG) 為 Azure 網路提供網路安全微分割。 ASG 會根據應用程式模式簡化流量篩選。 在相同的子網中部署多個應用程式,並根據 ASG 隔離流量。
若要深入瞭解,請參閱 使用網路層級分割來保護及控管工作負載。
| DoD 活動描述和結果 | Microsoft指引和建議 |
|---|---|
Target
5.4.1 實作微分割DoD 組織會在 SDN 環境中實作微分割基礎結構,以基本分割服務元件(例如 Web、應用程式、db)、埠和通訊協定。 基本自動化會接受原則變更,包括 API 決策。 虛擬裝載環境會在主機/容器層級實作微分割。 結果: - 接受自動化原則變更 - 實作 API 決策點 - 在虛擬裝載環境中實作 NGF/Micro FW/Endpoint Agent |
完成活動 5.3.1。 Azure 防火牆 Premium 在 Azure 網路分割策略中使用 Azure 防火牆 Premium 作為 NextGen 防火牆 (NGF)。 請參閱 5.1.1 中的Microsoft指引。 應用程式安全組 在網路安全組 (NSG) 中,您可以使用應用程式安全組將網路安全設定為應用程式結構的延伸。 使用應用程式安全組,為相同的應用程式建立 Azure 資源關聯,以簡化網路安全策略。 - 使用 azure Kubernetes Service 中的內建定義,使用網路層級分割 - 應用程式安全組 Azure Kubernetes Service 需要 Azure Container Networking Interface (Azure CNI)來保護及控管工作負載。Azure Kubernetes Service (AKS) 中使用內建定義 Azure 原則。 使用網路原則,為AKS中的容器實作容器層級微分類。 - AKS 的網路概念:使用網路原則 AKS - 原則參考 - - 保護 Pod 之間的流量安全,Microsoft適用於伺服器的 Defender 將 Azure 虛擬機上線、其他雲端裝載環境中的 VM,以及內部部署伺服器至適用於伺服器的 Defender。 適用於端點的 Microsoft Defender 中的網路保護會封鎖主機層級進程與符合入侵指標的特定網域、主機名或IP位址通訊。 - 規劃適用於伺服器的Defender部署 - 保護網路 - 建立指標 |
Target
5.4.2 應用程式與裝置微分割DoD 組織會利用軟體定義網路 (SDN) 解決方案來建立符合 ZT 目標功能的基礎結構:邏輯網路區域、角色、屬性,以及使用者和裝置的條件式訪問控制、網路資源的特殊許可權存取管理服務,以及 API 存取的原則型控制。 結果: - 將角色、屬性和條件型 存取控制 指派給使用者和裝置 - 針對使用者和裝置 提供特殊許可權存取管理服務 - 根據身分識別限制存取 - 建立邏輯網路區域 |
Microsoft Entra ID 整合應用程式與 Microsoft Entra ID。 使用應用程式角色、安全組和存取套件來管理存取權。 請參閱 user 中的Microsoft指引 1.2。 條件式存取設計條件式存取 原則會根據使用者、角色、群組、裝置、用戶端應用程式、身分識別風險和應用程式資源來設定動態授權。 根據使用者和環境條件,使用驗證內容來建立邏輯網路區域。 請參閱使用者中的Microsoft指引 1.8.3。 Privileged Identity Manager 設定 PIM 以存取特殊許可權角色和Microsoft Entra 安全組。 請參閱 user 中的Microsoft指引 1.4.2。 Azure 虛擬機器 和 SQL 資料庫設定 Azure 虛擬機器 和 SQL 實例,以使用 Microsoft Entra 身分識別進行使用者登入。 - 安全地連線到具有來自 Azure 入口網站 私人 IP 位址的 Azure VM,或使用原生安全殼層 (SSH) 或遠端桌面通訊協定 (RDP) 用戶端。 - |
Advanced
5.4.3 處理微分割DoD 組織會利用現有的微分割和 SDN 自動化基礎結構,以處理微分割。 主機層級進程會根據安全策略進行分割,並使用即時存取決策來授與存取權。 結果: - 區隔安全策略 的主機層級程式- 支援即時存取決策和原則變更 - 支援分析與自動化 的記錄卸除 - 支援分割原則的動態部署 |
完成活動 5.4.2。 適用於端點的 Microsoft Defender 適用於端點的Defender中啟用網路保護,以封鎖主機層級進程和應用程式連線到惡意網路網域、IP 位址或遭入侵的主機名。 請參閱Microsoft指引 4.5.1。 持續存取評估 持續存取評估 (CAE) 可讓 Exchange Online、SharePoint Online 和 Microsoft Teams 等服務訂閱 Microsoft Entra 事件,例如帳戶停用和Microsoft Entra ID Protection 中的高風險偵測。 請參閱使用者中的Microsoft指引 1.8.3。 Microsoft Sentinel 使用連接器來取用來自Microsoft Entra 標識符的記錄、要傳送至 Microsoft sentinel 的網路資源,以進行稽核、威脅搜捕、偵測和回應。 請參閱使用者中的 5.2.2 和 1.6.2 中的Microsoft指引。 |
Target
5.4.4 保護傳輸中的數據根據數據流對應和監視,DoD 組織會啟用原則來授權保護傳輸中的數據。 在保護原則中包含聯盟資訊共用、跨系統界限共用和保護等常見使用案例。 結果: - 在聯盟資訊共用 期間保護傳輸中的數據 - 跨系統高界限 保護傳輸中的數據 - 跨架構元件整合傳輸中數據 |
Microsoft 365 使用 Microsoft 365 進行 DoD 共同作業。 Microsoft 365 服務會加密待用和傳輸中的數據。 - Microsoft 365 Microsoft Entra 外部 ID Microsoft 365 和 Microsoft Entra ID 中的加密可增強聯盟共用,讓其他 DoD 租使用者中的使用者輕鬆上線和管理存取權。 - B2B 共同 - 設定跨租使用者存取和Microsoft雲端設定,以控制使用者如何與外部組織共同作業。 - Govern 外部使用者存取生命週期與權利管理。- 使用 適用於雲端的 Defender 持續評估雲端資源的安全傳輸通訊協定。 - |
下一步
為 DoD 零信任 策略設定 Microsoft 雲端服務: