DoD Zero Trust Strategy per il pilastro della rete

La strategia e la roadmap di DoD Zero Trust delineano un percorso per i componenti del Dipartimento della Difesa e i partner DIB (Defense Industrial Base) per adottare un nuovo framework di cybersecurity basato sui principi Zero Trust. Zero Trust elimina i tradizionali perimetri e presupposti di attendibilità, consentendo un'architettura più efficiente che migliora la sicurezza, le esperienze utente e le prestazioni di missione.

Questa guida contiene raccomandazioni per le attività 152 Zero Trust nella Roadmap per l'esecuzione delle funzionalità DoD Zero Trust. Le sezioni corrispondono ai sette pilastri del modello DoD Zero Trust.

Usare i collegamenti seguenti per passare alle sezioni della guida.

5 Rete

Questa sezione include indicazioni e consigli Microsoft per le attività DoD Zero Trust nel pilastro della rete. Per altre informazioni, vedere Proteggere le reti con Zero Trust .

5.1 Mapping del flusso di dati

Il servizio Azure Rete virtuale è un blocco predefinito nella rete privata in Azure. Nelle reti virtuali le risorse di Azure comunicano tra loro, Internet e le risorse locali.

Quando si distribuisce una topologia di rete hub-spoke in Azure, Firewall di Azure gestisce il routing del traffico tra reti virtuali. Inoltre, Firewall di Azure Premium include funzionalità di sicurezza come ispezione TLS (Trasport-Layer Security), intrusioni di rete, rilevamento e prevenzione (IDPS), filtro URL e filtro del contenuto.

Gli strumenti di rete di Azure come Azure Network Watcher e Azure Monitor Network Insights consentono di eseguire il mapping e visualizzare il flusso del traffico di rete. L'integrazione di Microsoft Sentinel consente visibilità e controllo sul traffico di rete aziendale, con cartelle di lavoro, automazione e funzionalità di rilevamento.

Descrizione e risultato dell'attività DoD Indicazioni e consigli microsoft

Target 5.1.1 Definire regole di accesso granulare e criteri pt1
DoD Enterprise che lavora con le organizzazioni crea criteri e regole di accesso di rete granulari. Il concetto associato di operazioni (ConOps) viene sviluppato in linea con i criteri di accesso e garantisce il supporto futuro. Una volta concordato, le organizzazioni DoD implementeranno questi criteri di accesso nelle tecnologie di rete esistenti (ad esempio firewall di nuova generazione, sistemi di prevenzione delle intrusioni e così via) per migliorare i livelli di rischio iniziali.

Risultati:
fornire standard
tecnici- Sviluppare il concetto di operazioni
- Identificare le comunità di interesse Firewall di Azure Premium
Usare Azure Rete virtuale e Firewall di Azure Premium per controllare le comunicazioni e il routing tra risorse cloud, risorse cloud e locali e Internet. Firewall di Azure Premium offre funzionalità di intelligence sulle minacce, rilevamento delle minacce e prevenzione delle intrusioni per proteggere il traffico.
- Strategia
- di segmentazione Instradare una topologia
- Premium Usare Analisi dei criteri Firewall di Azure per gestire le regole del firewall, abilitare la visibilità sul flusso del traffico ed eseguire analisi dettagliate sulle regole del firewall.

-

collegamento privato di Azure Usare collegamento privato di Azure per accedere alla piattaforma distribuita come servizio (PaaS) di Azure tramite un endpoint privato in una rete virtuale. Usare endpoint privati per proteggere le risorse critiche di Azure esclusivamente nelle reti virtuali. Il traffico dalla rete virtuale ad Azure rimane nella rete backbone di Azure. Non è necessario esporre la rete virtuale alla rete Internet pubblica per usare i servizi PaaS di Azure.
- Reti sicure: procedure consigliate
- per la sicurezza di rete Procedure consigliate per la sicurezza

di rete Gruppi di sicurezza
di rete Abilita la registrazione dei flussi nei gruppi di sicurezza di rete (NSG) per ottenere l'attività del traffico. Visualizzare i dati delle attività in Network Watcher.
- I log dei flussi dei gruppi di sicurezza di rete di

Azure Rete virtuale Manager
usano Azure Rete virtuale Manager per configurazioni di connettività e sicurezza centralizzate per le reti virtuali tra sottoscrizioni.
- Azure Rete virtuale Manager

Firewall di Azure Manager è un servizio di gestione della sicurezza per i criteri di sicurezza centralizzati e la gestione delle route per i perimetri di sicurezza basati sul cloud.

-

Criteri di Azure Usare Criteri di Azure per applicare gli standard di rete, ad esempio il tunneling forzato del traffico verso Firewall di Azure o altre appliance di rete. Impedire indirizzi IP pubblici o imporre l'uso sicuro dei protocolli di crittografia.
- Le definizioni per i servizi

di Azure usano Azure Network Watcher e Azure Monitor Network Insights per una rappresentazione completa e visiva della rete.

-
-

Target 5.1.2 Definire regole di accesso granulare e criteri pt2
Le organizzazioni DoD usano gli standard di assegnazione di tag e classificazione dei dati per sviluppare filtri dati per l'accesso api all'infrastruttura SDN. I punti decisionali API vengono formalizzati nell'architettura SDN e implementati con applicazioni e servizi non cruciali per le attività.

Risultato:
definire i filtri di assegnazione di tag ai dati per l'infrastruttura API Gruppi di sicurezza delle applicazioni Usare i gruppi di sicurezza
delle applicazioni per configurare la sicurezza di rete come estensione della struttura dell'applicazione. Raggruppare le macchine virtuali e definire i criteri di sicurezza di rete in base ai gruppi.
- Gruppi di sicurezza

delle applicazioni tag
del servizio di Azure Usare i tag di servizio per le macchine virtuali di Azure e le Rete virtuale di Azure per limitare l'accesso di rete ai servizi di Azure in uso. Azure gestisce gli indirizzi IP associati a ogni tag.
- I tag

dei servizi di Azure Firewall di Azure
Firewall di Azure Manager sono un servizio di gestione della sicurezza per la gestione centralizzata dei criteri di sicurezza e delle route per i perimetri di sicurezza basati sul cloud (firewall, DDoS, WAF). Usare i gruppi IP per gestire gli indirizzi IP per le regole di Firewall di Azure.
- Firewall di Azure Manager
- I gruppi

IP di Azure Rete virtuale Manager Rete virtuale Manager
sono un servizio di gestione per raggruppare, configurare, distribuire, visualizzare e gestire reti virtuali a livello globale tra sottoscrizioni.
- Casi d'uso comuni di

Azure Network Watcher consentono a Network Watcher
di monitorare, diagnosticare e visualizzare le metriche. Abilitare o disabilitare i log per le risorse IaaS (Infrastructure-as-a-Service) di Azure. Usare Network Watcher per monitorare e ripristinare l'integrità di rete dei prodotti IaaS, ad esempio macchine virtuali, reti virtuali, gateway applicazione, servizi di bilanciamento del carico e altro ancora.
- Azure Network Watcher

Descrizione e risultato dell'attività DoD	Indicazioni e consigli microsoft
`Target` 5.1.1 Definire regole di accesso granulare e criteri pt1 DoD Enterprise che lavora con le organizzazioni crea criteri e regole di accesso di rete granulari. Il concetto associato di operazioni (ConOps) viene sviluppato in linea con i criteri di accesso e garantisce il supporto futuro. Una volta concordato, le organizzazioni DoD implementeranno questi criteri di accesso nelle tecnologie di rete esistenti (ad esempio firewall di nuova generazione, sistemi di prevenzione delle intrusioni e così via) per migliorare i livelli di rischio iniziali. Risultati: fornire standard tecnici- Sviluppare il concetto di operazioni - Identificare le comunità di interesse	Firewall di Azure Premium Usare Azure Rete virtuale e Firewall di Azure Premium per controllare le comunicazioni e il routing tra risorse cloud, risorse cloud e locali e Internet. Firewall di Azure Premium offre funzionalità di intelligence sulle minacce, rilevamento delle minacce e prevenzione delle intrusioni per proteggere il traffico. - Strategia - di segmentazione Instradare una topologia - Premium Usare Analisi dei criteri Firewall di Azure per gestire le regole del firewall, abilitare la visibilità sul flusso del traffico ed eseguire analisi dettagliate sulle regole del firewall. - collegamento privato di Azure Usare collegamento privato di Azure per accedere alla piattaforma distribuita come servizio (PaaS) di Azure tramite un endpoint privato in una rete virtuale. Usare endpoint privati per proteggere le risorse critiche di Azure esclusivamente nelle reti virtuali. Il traffico dalla rete virtuale ad Azure rimane nella rete backbone di Azure. Non è necessario esporre la rete virtuale alla rete Internet pubblica per usare i servizi PaaS di Azure. - Reti sicure: procedure consigliate - per la sicurezza di rete Procedure consigliate per la sicurezza di rete Gruppi di sicurezza di rete Abilita la registrazione dei flussi nei gruppi di sicurezza di rete (NSG) per ottenere l'attività del traffico. Visualizzare i dati delle attività in Network Watcher. - I log dei flussi dei gruppi di sicurezza di rete di Azure Rete virtuale Manager usano Azure Rete virtuale Manager per configurazioni di connettività e sicurezza centralizzate per le reti virtuali tra sottoscrizioni. - Azure Rete virtuale Manager Firewall di Azure Manager è un servizio di gestione della sicurezza per i criteri di sicurezza centralizzati e la gestione delle route per i perimetri di sicurezza basati sul cloud. - Criteri di Azure Usare Criteri di Azure per applicare gli standard di rete, ad esempio il tunneling forzato del traffico verso Firewall di Azure o altre appliance di rete. Impedire indirizzi IP pubblici o imporre l'uso sicuro dei protocolli di crittografia. - Le definizioni per i servizi di Azure usano Azure Network Watcher e Azure Monitor Network Insights per una rappresentazione completa e visiva della rete. - -
`Target` 5.1.2 Definire regole di accesso granulare e criteri pt2 Le organizzazioni DoD usano gli standard di assegnazione di tag e classificazione dei dati per sviluppare filtri dati per l'accesso api all'infrastruttura SDN. I punti decisionali API vengono formalizzati nell'architettura SDN e implementati con applicazioni e servizi non cruciali per le attività. Risultato: definire i filtri di assegnazione di tag ai dati per l'infrastruttura API	Gruppi di sicurezza delle applicazioni Usare i gruppi di sicurezza delle applicazioni per configurare la sicurezza di rete come estensione della struttura dell'applicazione. Raggruppare le macchine virtuali e definire i criteri di sicurezza di rete in base ai gruppi. - Gruppi di sicurezza delle applicazioni tag del servizio di Azure Usare i tag di servizio per le macchine virtuali di Azure e le Rete virtuale di Azure per limitare l'accesso di rete ai servizi di Azure in uso. Azure gestisce gli indirizzi IP associati a ogni tag. - I tag dei servizi di Azure Firewall di Azure Firewall di Azure Manager sono un servizio di gestione della sicurezza per la gestione centralizzata dei criteri di sicurezza e delle route per i perimetri di sicurezza basati sul cloud (firewall, DDoS, WAF). Usare i gruppi IP per gestire gli indirizzi IP per le regole di Firewall di Azure. - Firewall di Azure Manager - I gruppi IP di Azure Rete virtuale Manager Rete virtuale Manager sono un servizio di gestione per raggruppare, configurare, distribuire, visualizzare e gestire reti virtuali a livello globale tra sottoscrizioni. - Casi d'uso comuni di Azure Network Watcher consentono a Network Watcher di monitorare, diagnosticare e visualizzare le metriche. Abilitare o disabilitare i log per le risorse IaaS (Infrastructure-as-a-Service) di Azure. Usare Network Watcher per monitorare e ripristinare l'integrità di rete dei prodotti IaaS, ad esempio macchine virtuali, reti virtuali, gateway applicazione, servizi di bilanciamento del carico e altro ancora. - Azure Network Watcher

5.2 Rete software-defined

Le reti virtuali sono la base delle reti private in Azure. Con una rete virtuale un'organizzazione controlla la comunicazione tra le risorse di Azure e l'ambiente locale. Filtrare e instradare il traffico e integrarsi con altri servizi di Azure, ad esempio Firewall di Azure, Frontdoor di Azure, gateway app Azure lication, Azure Gateway VPN e Azure ExpressRoute.

Descrizione e risultato dell'attività DoD	Indicazioni e consigli microsoft
`Target` 5.2.1 Definire le API SDNL'azienda DoD collabora con le organizzazioni per definire le API necessarie e altre interfacce a livello di codice per abilitare le funzionalità SDN (Software Defined Networking). Queste API consentiranno l'automazione del punto decisionale di autenticazione, del proxy di controllo della distribuzione delle applicazioni e dei gateway di segmentazione. Risultati: le API SDN sono standardizzate e implementate : le API sono funzionali per il punto decisionale AuthN, il proxy di controllo della distribuzione delle app e i gateway di segmentazione	Distribuire e configurare reti di Azure usando le API di Azure Resource Manager (ARM). Strumenti di gestione di Azure: portale di Azure, Azure PowerShell, interfaccia della riga di comando di Azure (interfaccia della riga di comando) e i modelli usano le stesse API ARM per autenticare e autorizzare le richieste. - L'API REST di Azure Resource Manager - fa riferimento ai ruoli di Azure Assegna ruoli predefiniti di Azure per la gestione delle risorse di rete. Seguire i principi con privilegi minimi e assegnare ruoli JIT (Just-In-Time) tramite PIM. - Ruoli predefiniti di Azure
`Target` 5.2.2 Implementare l'infrastruttura programmabile SDNSeguendo gli standard, i requisiti e le funzionalità dell'API SDN, le organizzazioni DoD implementeranno l'infrastruttura SDN (Software Defined Networking) per abilitare le attività di automazione. I gateway di segmentazione e i punti decisionali di autenticazione sono integrati nell'infrastruttura SDN insieme alla registrazione dell'output in un repository standardizzato (ad esempio SIEM, Log Analytics) per il monitoraggio e l'invio di avvisi. Risultati: implementazione del proxy di controllo recapito delle applicazioni- Attività di registrazione SIEM stabilite- Implementazione del monitoraggio delle attività utente (UAM) - Integrato con il punto decisionale di autenticazione	Risorse di rete di Azure Proteggere l'accesso esterno alle applicazioni ospitate in una rete virtuale (VNet) con: Frontdoor di Azure (AFD), app Azure lication Gateway o Firewall di Azure. AFD e gateway applicazione dispongono di funzionalità di bilanciamento del carico e sicurezza per Open Web Application Security Project (OWASP) Top 10 e bot. È possibile creare regole personalizzate. Firewall di Azure dispone di filtri di intelligence sulle minacce al livello 4. - I filtri e la protezione nativi del cloud per le minacce - note Progettare l'architettura networkng di Microsoft Sentinel Firewall di Azure, gateway applicazione, ADF e Azure Bastion esportano i log in Sentinel o in altri sistemi siem (Security Information and Event Management) per l'analisi. Usare i connettori in Sentinel o Criteri di Azure per applicare questo requisito in un ambiente. - Firewall di Azure con Sentinel - Connettore Di Web App Firewall di Azure per i connettori dati di Sentinel - Trovare i connettori dati di Microsoft Entra Proxy di applicazione Distribuire il proxy applicazione per pubblicare e distribuire applicazioni private nella rete locale. Integrare soluzioni partner SHA (Secure Hybrid Access). - Proxy applicazione Deploy application proxy SHA partner integrations Microsoft Entra ID Protection Deploy Microsoft Entra ID Protection and bring sign-in risk signals to Conditional Access.Application proxy - and bring sign-in risk signals to Conditional Access.- Vedere Indicazioni microsoft 1.3.3 in . app Microsoft Defender per il cloudUsare Defender per il cloud App per monitorare le sessioni di applicazioni Web rischiose.
`Target` 5.2.3 I flussi dei segmenti nei piani di controllo, gestione e datiL'infrastruttura di rete e i flussi vengono segmentati fisicamente o logicamente in piani dati, gestione e controllo. La segmentazione di base con approcci IPv6/VLAN viene implementata per organizzare meglio il traffico tra i piani dati. Analisi e NetFlow dall'infrastruttura aggiornata vengono inseriti automaticamente nei centri operativi e negli strumenti di analisi. Risultati: - Segmentazione IPv6- Abilitare la creazione di report automatizzati sulle informazioni netops- Garantire il controllo della configurazione in tutta l'organizzazione integrata con SOAR	Azure Resource Manager di Azure Resource Managerè un servizio di distribuzione e gestione con un livello di gestione per creare, aggiornare ed eliminare risorse in un account Azure. - Il controllo di Azure e i - Connettere l'infrastruttura di rete di Azure a Sentinel. Configurare i connettori dati di Sentinel per soluzioni di rete non di Azure. Usare query di analisi personalizzate per attivare l'automazione SOAR di Sentinel. - Risposta alle minacce con il rilevamento e la risposta dei playbook - per Firewall di Azure con App per la logica Vedere le linee guida microsoft nella versione 5.2.2.
`Advanced` 5.2.4 Individuazione e ottimizzazione asset di reteLe organizzazioni DoD automatizzano l'individuazione degli asset di rete tramite l'infrastruttura SDN limitando l'accesso ai dispositivi in base agli approcci metodici basati sui rischi. L'ottimizzazione viene eseguita in base all'analisi SDN per migliorare le prestazioni complessive e fornire l'accesso approvato necessario alle risorse. Risultati: - Miglioramento tecnico/Evoluzione tecnologica- Fornire ottimizzazione/controlli prestazioni	Monitoraggio di Azure Usa informazioni dettagliate sulla rete di Monitoraggio di Azure per visualizzare una rappresentazione visiva completa delle risorse di rete, tra cui topologia, integrità e metriche. Vedere Le linee guida di Microsoft nella versione 5.1.1. Microsoft Defender per il cloud Defender per il cloud individua ed elenca un inventario delle risorse di cui è stato effettuato il provisioning in Azure, in altri cloud e in locale. - Ambiente - multicloud Gestire il comportamento Endpoint onboard e configurare l'individuazione dei dispositivi per raccogliere, probe o analizzare la rete per individuare i dispositivi non gestiti.
`Advanced` 5.2.5 Decisioni di accesso in tempo realeL'infrastruttura SDN usa origini dati tra pilastri, ad esempio Monitoraggio attività utente, Monitoraggio attività entità, Profili di sicurezza aziendali e altro ancora per decisioni di accesso in tempo reale. Machine Learning viene usato per facilitare il processo decisionale basato sull'analisi avanzata della rete (acquisizione completa di pacchetti e così via). I criteri vengono implementati in modo coerente in tutte le aziende usando standard di accesso unificato. Risultati: analizzare i log SIEM con il motore di analisi per fornire decisioni di accesso ai criteri in tempo reale- Supporto dell'invio di pacchetti acquisiti, flussi di dati/rete e altri log specifici per analisi - Flussi di rete di trasporto end-to-end segmento- Criteri di sicurezza di controllo per la coerenza tra le aziende	Completare le attività 5.2.1 - 5.2.4. Microsoft Sentinel Rilevare le minacce inviando i log di rete a Sentinel per l'analisi. Usare funzionalità come intelligence per le minacce, rilevamento avanzato di attacchi multistage, ricerca di minacce e query predefinite. L'automazione di Sentinel consente agli operatori di bloccare indirizzi IP dannosi. - Rilevare le minacce con regole - di analisi Firewall di Azure connettore per Azure Network Watcher usare Azure Network Watcher per acquisire il traffico di rete da e verso macchine virtuali e set di scalabilità di macchine virtuali. - Acquisizione pacchetti Microsoft Defender per il cloud Defender per il cloud valuta la conformità ai controlli di sicurezza di rete prescritti nei framework, ad esempio Microsoft Cloud Security Benchmark, DoD Impact Level 4 (IL4) e IL5 e National Institute of Standards and Technology (NIST) 800-53 R4/R5. - Controllo di sicurezza: sicurezza di rete L'accesso condizionale usa informazioni dettagliate sull'accesso condizionale e la cartella di lavoro per la creazione di report per comprendere gli effetti dei criteri di accesso condizionale dell'organizzazione. - Informazioni dettagliate e creazione di report

5.3 Segmentazione macro

Le sottoscrizioni di Azure sono costrutti di alto livello che separano le risorse di Azure. Viene effettuato il provisioning esplicito delle comunicazioni tra risorse in sottoscrizioni diverse. Le risorse di rete virtuale (VNet) in una sottoscrizione forniscono il contenimento delle risorse a livello di rete. Per impostazione predefinita, le reti virtuali non possono comunicare con altre reti virtuali. Per abilitare la comunicazione di rete tra reti virtuali, eseguirne il peering e usare Firewall di Azure per controllare e monitorare il traffico.

Per altre informazioni, vedere Proteggere e gestire i carichi di lavoro con la segmentazione a livello di rete.

Descrizione e risultato dell'attività DoD Indicazioni e consigli microsoft

Target 5.3.1 Segmentazione
macro datacenterLe organizzazioni DoD implementano la macro-segmentazione incentrata sul data center usando architetture tradizionali a livelli (Web, app, db) e/o basate su servizi. I controlli proxy e/o di imposizione sono integrati con le soluzioni SDN in base agli attributi e al comportamento del dispositivo.

Risultati:
- Registrare le azioni a SIEM
- Stabilire controlli proxy/imposizione degli attributi del dispositivo, del comportamento e di altri dati
- Analizzare le attività con il motore di analisi Progettazione di rete
di Azure e implementazione di servizi di rete di Azure, basati su architetture stabilite, ad esempio zone di destinazione su scala aziendale. Segmentare le reti virtuali di Azure e seguire le procedure consigliate per la sicurezza di rete di Azure. Usare i controlli di sicurezza di rete come pacchetti che superano vari limiti di rete virtuale.
- Procedure consigliate per la sovranità della sicurezza
- Distribuiscono Protezione ID Entra Microsoft e usano i segnali di dispositivo e rischio nel set di criteri di accesso condizionale.
Vedere Le linee guida microsoft 1.3.3 in Utente e 2.1.4 nel - Microsoft Sentinel
Usare i connettori per usare i log da Microsoft Entra ID, risorse di rete da inviare a Microsoft Sentinel per il controllo, la ricerca delle minacce, il rilevamento e la risposta. Abilitare User Entity Behavior Analytics (UEBA) in Sentinel.

Vedere le linee guida di Microsoft nella versione 5.2.2 e 1.6.2 in Microsoft Defender XDR
Integrare Microsoft Defender per endpoint con app Microsoft Defender per il cloud e bloccare l'accesso alle app non approvate.

- Discover and block shadow IT
-

Target 5.3.2 Segmentazione
macro B/C/P/SLe organizzazioni DoD implementano la macro di base, camp, post e stazione usando zone di rete logiche che limitano lo spostamento laterale. I controlli proxy e/o di imposizione sono integrati con le soluzioni SDN in base agli attributi e al comportamento del dispositivo.

Risultati:
stabilire controlli proxy/imposizione degli attributi del dispositivo, del comportamento e di altre azioni di log dei dati
a SIEM
- Analizzare le attività con il motore
di analisi- Sfruttare SOAR per fornire decisioni di accesso ai criteri RT Completare l'attività 5.3.1.

Microsoft SentinelUsare Firewall di Azure per visualizzare le attività del firewall, rilevare le minacce con funzionalità di analisi dell'intelligenza artificiale, correlare le attività e automatizzare le azioni di risposta.

- Firewall di Azure

Descrizione e risultato dell'attività DoD	Indicazioni e consigli microsoft
`Target` 5.3.1 Segmentazione macro datacenterLe organizzazioni DoD implementano la macro-segmentazione incentrata sul data center usando architetture tradizionali a livelli (Web, app, db) e/o basate su servizi. I controlli proxy e/o di imposizione sono integrati con le soluzioni SDN in base agli attributi e al comportamento del dispositivo. Risultati: - Registrare le azioni a SIEM - Stabilire controlli proxy/imposizione degli attributi del dispositivo, del comportamento e di altri dati - Analizzare le attività con il motore di analisi	Progettazione di rete di Azure e implementazione di servizi di rete di Azure, basati su architetture stabilite, ad esempio zone di destinazione su scala aziendale. Segmentare le reti virtuali di Azure e seguire le procedure consigliate per la sicurezza di rete di Azure. Usare i controlli di sicurezza di rete come pacchetti che superano vari limiti di rete virtuale. - Procedure consigliate per la sovranità della sicurezza - Distribuiscono Protezione ID Entra Microsoft e usano i segnali di dispositivo e rischio nel set di criteri di accesso condizionale. Vedere Le linee guida microsoft 1.3.3 in Utente e 2.1.4 nel - Microsoft Sentinel Usare i connettori per usare i log da Microsoft Entra ID, risorse di rete da inviare a Microsoft Sentinel per il controllo, la ricerca delle minacce, il rilevamento e la risposta. Abilitare User Entity Behavior Analytics (UEBA) in Sentinel. Vedere le linee guida di Microsoft nella versione 5.2.2 e 1.6.2 in Microsoft Defender XDR Integrare Microsoft Defender per endpoint con app Microsoft Defender per il cloud e bloccare l'accesso alle app non approvate. - Discover and block shadow IT -
`Target` 5.3.2 Segmentazione macro B/C/P/SLe organizzazioni DoD implementano la macro di base, camp, post e stazione usando zone di rete logiche che limitano lo spostamento laterale. I controlli proxy e/o di imposizione sono integrati con le soluzioni SDN in base agli attributi e al comportamento del dispositivo. Risultati: stabilire controlli proxy/imposizione degli attributi del dispositivo, del comportamento e di altre azioni di log dei dati a SIEM - Analizzare le attività con il motore di analisi- Sfruttare SOAR per fornire decisioni di accesso ai criteri RT	Completare l'attività 5.3.1. Microsoft SentinelUsare Firewall di Azure per visualizzare le attività del firewall, rilevare le minacce con funzionalità di analisi dell'intelligenza artificiale, correlare le attività e automatizzare le azioni di risposta. - Firewall di Azure

5.4 Segmentazione micro

I gruppi di sicurezza di rete (NSG) e i gruppi di sicurezza delle applicazioni forniscono micro segmentazione della sicurezza di rete per le reti di Azure. I gruppi di sicurezza di Azure semplificano il filtro del traffico, in base ai modelli di applicazione. Distribuire più applicazioni nella stessa subnet e isolare il traffico in base ai gruppi di sicurezza di azure.

Per altre informazioni, vedere Proteggere e gestire i carichi di lavoro con la segmentazione a livello di rete.

Descrizione e risultato dell'attività DoD	Indicazioni e consigli microsoft
`Target` 5.4.1 Implementare la segmentazione microLe organizzazioni DoD implementano l'infrastruttura di micro segmentazione nell'ambiente SDN consentendo la segmentazione di base dei componenti del servizio (ad esempio, Web, app, db), porte e protocolli. L'automazione di base viene accettata per le modifiche ai criteri, incluso il processo decisionale dell'API. Gli ambienti di hosting virtuale implementano la micro-segmentazione a livello di host/contenitore. Risultati: - Accettare modifiche automatizzate ai criteri - Implementare punti decisionali API- Implementare L'agente NGF/Micro FW/Endpoint nell'ambiente di hosting virtuale	Completare l'attività 5.3.1. Firewall di Azure Premium Usare Firewall di Azure Premium come NGF (NextGen Firewall) nella strategia di segmentazione di rete di Azure. Vedere Le linee guida di Microsoft nella versione 5.1.1. Gruppi di sicurezza delle applicazioni Nei gruppi di sicurezza di rete (NSG), è possibile usare i gruppi di sicurezza delle applicazioni per configurare la sicurezza di rete come estensione della struttura dell'applicazione. Semplificare i criteri di sicurezza di rete associando le risorse di Azure per la stessa applicazione usando i gruppi di sicurezza delle applicazioni. - Proteggere e gestire i carichi di lavoro con gruppi - di rete servizio Azure Kubernetes Require Azure Container Networking Interface (Azure CNI) per le applicazioni in servizio Azure Kubernetes (servizio Azure Kubernetes) usando definizioni predefinite Criteri di Azure. Implementare microsegmentazione a livello di contenitore per i contenitori nel servizio Azure Kubernetes usando i criteri di rete. - Concetti di rete per il - - di macchine virtuali di Azure, macchine virtuali in altri ambienti di hosting cloud e server locali a Defender per server. La protezione di rete in Microsoft Defender per endpoint blocca i processi a livello di host dalla comunicazione con domini specifici, nomi host o indirizzi IP corrispondenti agli indicatori di compromissione (IoC). - Pianificare la distribuzione - di Defender per server Proteggere gli indicatori di creazione di rete -
`Target` 5.4.2 Segmentazione di applicazioni e dispositiviLe organizzazioni DoD usano soluzioni SDN (Software Defined Networking) per stabilire un'infrastruttura che soddisfi le funzionalità di destinazione ZT: zone di rete logica, ruolo, attributo e controllo degli accessi condizionali per utenti e dispositivi, servizi di gestione degli accessi con privilegi per le risorse di rete e controllo basato su criteri sull'accesso alle API. Risultati: - Assegnare ruoli, attributi e Controllo di accesso basati su condizione a utenti e dispositivi - Fornire servizi di gestione degli accessi con privilegi- Limitare l'accesso in base all'identità per utente e dispositivo - Creare zone di rete logiche	Microsoft Entra ID Integrare applicazioni con Microsoft Entra ID. Gestire l'accesso con ruoli dell'app, gruppi di sicurezza e pacchetti di accesso. Vedere Le linee guida di Microsoft 1.2 in Utente. Set di criteri di accesso condizionale per la progettazione dell'accesso condizionale per l'autorizzazione dinamica in base a utente, ruolo, gruppo, dispositivo, app client, rischio di identità e risorsa dell'applicazione. Usare i contesti di autenticazione per creare zone di rete logiche, in base alle condizioni utente e ambientali. Vedere Le linee guida di Microsoft 1.8.3 in Utente. Privileged Identity Manager Configura PIM per l'accesso JIT (Just-In-Time) ai ruoli con privilegi e ai gruppi di sicurezza Di Microsoft Entra. Vedere Le linee guida di Microsoft 1.4.2 in Utente. I databaseSQL e Macchine virtuali di Azure configurano le istanze di Azure Macchine virtuali e SQL per l'uso delle identità di Microsoft Entra per l'accesso utente. - Accedere a Windows in Azure - - usare Bastion per connettersi in modo sicuro alle macchine virtuali di Azure con indirizzi IP privati dalla portale di Azure oppure usando una shell sicura nativa (SSH) o un client RDP (Remote Desktop Protocol). - Usare l'accesso JIT (Just-In-Time) alle macchine virtuali per proteggerli dall'accesso alla rete non autorizzato.
`Advanced` 5.4.3 Segmentazione del processoLe organizzazioni DoD usano la micro-segmentazione esistente e l'infrastruttura di automazione SDN abilitando la micro-segmentazione del processo. I processi a livello di host vengono segmentati in base ai criteri di sicurezza e l'accesso viene concesso usando il processo decisionale di accesso in tempo reale. Risultati: segmentare i processi a livello di host per i criteri di sicurezza- Supportare le decisioni e le modifiche dei criteri di accesso in tempo reale- Supporto dell'offload dei log per l'analisi e l'automazione - Supporto della distribuzione dinamica dei criteri di segmentazione	Attività completa 5.4.2. Microsoft Defender per endpoint Abilitare la protezione di rete in Defender per endpoint per impedire ai processi e alle applicazioni a livello di host di connettersi a domini di rete dannosi, indirizzi IP o nomi host compromessi. Vedere Le linee guida di Microsoft 4.5.1. La valutazione continua dell'accesso continuo (CAE) consente ai servizi come Exchange Online, SharePoint Online e Microsoft Teams di sottoscrivere eventi di Microsoft Entra, ad esempio la disabilitazione degli account e i rilevamenti ad alto rischio in Microsoft Entra ID Protection. Vedere Le linee guida di Microsoft 1.8.3 in Utente. Microsoft Sentinel Usare i connettori per usare i log da Microsoft Entra ID, risorse di rete da inviare a Microsoft Sentinel per il controllo, la ricerca delle minacce, il rilevamento e la risposta. Vedere le linee guida di Microsoft nella versione 5.2.2 e 1.6.2 in Utente.
`Target` 5.4.4 Proteggere i dati in transito In base ai mapping e al monitoraggio dei flussi di dati, i criteri sono abilitati dalle organizzazioni DoD per imporre la protezione dei dati in transito. I casi d'uso comuni, ad esempio la condivisione delle informazioni di coalizione, la condivisione tra i limiti del sistema e la protezione tra i componenti dell'architettura sono inclusi nei criteri di protezione. Risultati: - Proteggere i dati in transito durante la condivisione delle informazioni della coalizione- Proteggere i dati in transito attraverso limiti elevati del sistema- Integrare i dati in transito tra i componenti dell'architettura	Microsoft 365 Usa Microsoft 365 per la collaborazione DoD. I servizi Microsoft 365 crittografano i dati inattivi e in transito. - La crittografia in Microsoft 365 Microsoft 365 e Microsoft Entra ID migliorano la condivisione della coalizione con facile onboarding e gestione dell'accesso per gli utenti in altri tenant DoD. - sicura Configurare l'accesso tra tenant e le impostazioni del cloud Microsoft per controllare il modo in cui gli utenti collaborano con organizzazioni esterne. - governa i cicli di vita di accesso degli utenti esterni con la gestione entitlement. - - Usare Defender per il cloud per valutare in modo continuo e applicare protocolli di trasporto sicuri per le risorse cloud.

Passaggi successivi

Configurare i servizi cloud Microsoft per la strategia DoD Zero Trust:

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2025-06-16