DoD Zero Trust Strategy per il pilastro della rete

La strategia e la roadmap di DoD Zero Trust delineano un percorso per i componenti del Dipartimento della Difesa e i partner DIB (Defense Industrial Base) per adottare un nuovo framework di cybersecurity basato sui principi Zero Trust. Zero Trust elimina i tradizionali perimetri e presupposti di attendibilità, consentendo un'architettura più efficiente che migliora la sicurezza, le esperienze utente e le prestazioni di missione.

Questa guida contiene raccomandazioni per le 152 attività Zero Trust nella Roadmap per l'esecuzione delle capacità DoD Zero Trust. Le sezioni corrispondono ai sette pilastri del modello DoD Zero Trust.

Usare i collegamenti seguenti per passare alle sezioni della guida.

5 Rete

Questa sezione include indicazioni e consigli Microsoft per le attività DoD Zero Trust nel pilastro della rete. Per altre informazioni, vedere Proteggere le reti con Zero Trust .

Mappatura del flusso di dati

Il servizio Azure Rete Virtuale è un blocco costitutivo nella rete privata in Azure. Nelle reti virtuali le risorse di Azure comunicano tra loro, Internet e le risorse locali.

Quando si distribuiscono più topologie di rete hub-spoke in Azure, Firewall di Azure gestisce il routing del traffico tra reti virtuali. Inoltre, Firewall di Azure Premium include funzionalità di sicurezza come ispezione TLS (Trasport-Layer Security), intrusioni di rete, rilevamento e prevenzione (IDPS), filtro URL e filtro del contenuto.

Gli strumenti di rete di Azure come Azure Network Watcher e Azure Monitor Network Insights consentono di eseguire il mapping e visualizzare il flusso del traffico di rete. L'integrazione di Microsoft Sentinel consente visibilità e controllo sul traffico di rete aziendale, con cartelle di lavoro, automazione e funzionalità di rilevamento.

Descrizione e risultato dell'attività DoD Indicazioni e consigli microsoft

5.1.1 Definire Regole di Accesso Granulare & Criteri Pt1Il DoD Enterprise, lavorando con le organizzazioni, crea criteri e regole di accesso di rete granulari. Il concetto associato di operazioni (ConOps) viene sviluppato in linea con i criteri di accesso e garantisce il supporto futuro. Una volta concordato, le organizzazioni DoD implementeranno questi criteri di accesso nelle tecnologie di rete esistenti (ad esempio firewall di nuova generazione, sistemi di prevenzione delle intrusioni e così via) per migliorare i livelli di rischio iniziali.

Risultati:
fornire standard
tecnici- Sviluppare il concetto di operazioni
- Identificare le comunità di interesse Firewall di Azure Premium
Usare Azure Rete virtuale e Firewall di Azure Premium per controllare le comunicazioni e il routing tra risorse cloud, risorse cloud e locali e Internet. Firewall di Azure Premium offre funzionalità di intelligence sulle minacce, rilevamento delle minacce e prevenzione delle intrusioni per proteggere il traffico.
- Strategia di segmentazione
- Instradare una topologia a più hub e spoke
- Funzioni di Azure Firewall Premium

Usa Analisi delle Policy di Azure Firewall per gestire le regole del firewall, abilitare la visibilità sui flussi di traffico ed eseguire analisi dettagliate delle regole del firewall.
- Analisi delle Policy di Azure Firewall

Azure Private Link
Usa Azure Private Link per accedere alla piattaforma distribuita come servizio (PaaS) di Azure tramite un endpoint privato in una rete virtuale. Usare endpoint privati per proteggere le risorse critiche di Azure esclusivamente nelle reti virtuali. Il traffico dalla rete virtuale ad Azure rimane nella rete backbone di Azure. Non è necessario esporre la rete virtuale alla rete Internet pubblica per utilizzare i servizi PaaS di Azure.
- Reti sicure: confine del servizio PaaS
- Procedure consigliate per la sicurezza di rete

Gruppi di sicurezza di rete
Attiva la registrazione dei flussi nei gruppi di sicurezza di rete (NSG) per ottenere l'attività del traffico. Visualizza i dati delle attività in Network Watcher.
- Log dei flussi NSG

Azure Virtual Network Manager
Usa Azure Virtual Network Manager per configurare la connettività e la sicurezza centralizzate per le reti virtuali tra sottoscrizioni.
- Azure Virtual Network Manager

Azure Firewall Manager
Azure Firewall Manager è un servizio di gestione della sicurezza per la gestione centralizzata delle politiche di sicurezza e delle route per i perimetri di sicurezza basati sul cloud.
- Azure Firewall Manager

Azure Policy
Usa Azure Policy per applicare gli standard di rete, come il tunneling forzato del traffico verso Azure Firewall o altre appliance di rete. Impedire indirizzi IP pubblici o imporre l'uso sicuro dei protocolli di crittografia.Definizioni dei servizi di rete di AzureUtilizzare Azure Network Watcher e Azure Monitor Network Insights per ottenere una rappresentazione completa e visiva della tua rete.

Target 5.1.2 Definire regole di accesso granulare e criteri pt2
Le organizzazioni DoD usano gli standard di assegnazione di tag e classificazione dei dati per sviluppare filtri dati per l'accesso api all'infrastruttura SDN. I punti decisionali API vengono formalizzati nell'architettura SDN e implementati con applicazioni e servizi non cruciali per le attività.

Risultato:
definire i filtri di assegnazione di tag ai dati per l'infrastruttura API Gruppi di sicurezza delle applicazioni Usare i gruppi di sicurezza
delle applicazioni per configurare la sicurezza di rete come estensione della struttura dell'applicazione. Raggruppare le macchine virtuali e definire i criteri di sicurezza di rete in base ai gruppi.
- Gruppi di sicurezza

delle applicazioni tag
del servizio di Azure Usare i tag di servizio per le macchine virtuali di Azure e le Rete virtuale di Azure per limitare l'accesso di rete ai servizi di Azure in uso. Azure gestisce gli indirizzi IP associati a ogni tag.
- I tag dei servizi di Azure

Azure Firewall Manager
è un servizio di gestione della sicurezza per la gestione centralizzata delle politiche di sicurezza e delle route per i perimetri di sicurezza basati sul cloud (firewall, DDoS, WAF). Usare i gruppi IP per gestire gli indirizzi IP per le regole di Gestore di Firewall di Azure.
- Gestore di Firewall di Azure
- I gruppi IP

per Azure Virtual Network Manager
è un servizio di gestione per raggruppare, configurare, distribuire, visualizzare e gestire reti virtuali a livello globale tra sottoscrizioni.
- Casi d'uso comuni

Azure Network Watcher
Abilita Network Watcher per monitorare, diagnosticare e visualizzare le metriche. Abilitare o disabilitare i log per le risorse IaaS (Infrastructure-as-a-Service) di Azure. Usare Network Watcher per monitorare e ripristinare l'integrità di rete dei prodotti IaaS, ad esempio macchine virtuali, reti virtuali, gateway applicazione, servizi di bilanciamento del carico e altro ancora.
- Azure Network Watcher

Descrizione e risultato dell'attività DoD	Indicazioni e consigli microsoft
5.1.1 Definire Regole di Accesso Granulare & Criteri Pt1Il DoD Enterprise, lavorando con le organizzazioni, crea criteri e regole di accesso di rete granulari. Il concetto associato di operazioni (ConOps) viene sviluppato in linea con i criteri di accesso e garantisce il supporto futuro. Una volta concordato, le organizzazioni DoD implementeranno questi criteri di accesso nelle tecnologie di rete esistenti (ad esempio firewall di nuova generazione, sistemi di prevenzione delle intrusioni e così via) per migliorare i livelli di rischio iniziali. Risultati: fornire standard tecnici- Sviluppare il concetto di operazioni - Identificare le comunità di interesse	Firewall di Azure Premium Usare Azure Rete virtuale e Firewall di Azure Premium per controllare le comunicazioni e il routing tra risorse cloud, risorse cloud e locali e Internet. Firewall di Azure Premium offre funzionalità di intelligence sulle minacce, rilevamento delle minacce e prevenzione delle intrusioni per proteggere il traffico. - Strategia di segmentazione - Instradare una topologia a più hub e spoke - Funzioni di Azure Firewall Premium Usa Analisi delle Policy di Azure Firewall per gestire le regole del firewall, abilitare la visibilità sui flussi di traffico ed eseguire analisi dettagliate delle regole del firewall. - Analisi delle Policy di Azure Firewall Azure Private Link Usa Azure Private Link per accedere alla piattaforma distribuita come servizio (PaaS) di Azure tramite un endpoint privato in una rete virtuale. Usare endpoint privati per proteggere le risorse critiche di Azure esclusivamente nelle reti virtuali. Il traffico dalla rete virtuale ad Azure rimane nella rete backbone di Azure. Non è necessario esporre la rete virtuale alla rete Internet pubblica per utilizzare i servizi PaaS di Azure. - Reti sicure: confine del servizio PaaS - Procedure consigliate per la sicurezza di rete Gruppi di sicurezza di rete Attiva la registrazione dei flussi nei gruppi di sicurezza di rete (NSG) per ottenere l'attività del traffico. Visualizza i dati delle attività in Network Watcher. - Log dei flussi NSG Azure Virtual Network Manager Usa Azure Virtual Network Manager per configurare la connettività e la sicurezza centralizzate per le reti virtuali tra sottoscrizioni. - Azure Virtual Network Manager Azure Firewall Manager Azure Firewall Manager è un servizio di gestione della sicurezza per la gestione centralizzata delle politiche di sicurezza e delle route per i perimetri di sicurezza basati sul cloud. - Azure Firewall Manager Azure Policy Usa Azure Policy per applicare gli standard di rete, come il tunneling forzato del traffico verso Azure Firewall o altre appliance di rete. Impedire indirizzi IP pubblici o imporre l'uso sicuro dei protocolli di crittografia.Definizioni dei servizi di rete di AzureUtilizzare Azure Network Watcher e Azure Monitor Network Insights per ottenere una rappresentazione completa e visiva della tua rete.
`Target` 5.1.2 Definire regole di accesso granulare e criteri pt2 Le organizzazioni DoD usano gli standard di assegnazione di tag e classificazione dei dati per sviluppare filtri dati per l'accesso api all'infrastruttura SDN. I punti decisionali API vengono formalizzati nell'architettura SDN e implementati con applicazioni e servizi non cruciali per le attività. Risultato: definire i filtri di assegnazione di tag ai dati per l'infrastruttura API	Gruppi di sicurezza delle applicazioni Usare i gruppi di sicurezza delle applicazioni per configurare la sicurezza di rete come estensione della struttura dell'applicazione. Raggruppare le macchine virtuali e definire i criteri di sicurezza di rete in base ai gruppi. - Gruppi di sicurezza delle applicazioni tag del servizio di Azure Usare i tag di servizio per le macchine virtuali di Azure e le Rete virtuale di Azure per limitare l'accesso di rete ai servizi di Azure in uso. Azure gestisce gli indirizzi IP associati a ogni tag. - I tag dei servizi di Azure Azure Firewall Manager è un servizio di gestione della sicurezza per la gestione centralizzata delle politiche di sicurezza e delle route per i perimetri di sicurezza basati sul cloud (firewall, DDoS, WAF). Usare i gruppi IP per gestire gli indirizzi IP per le regole di Gestore di Firewall di Azure. - Gestore di Firewall di Azure - I gruppi IP per Azure Virtual Network Manager è un servizio di gestione per raggruppare, configurare, distribuire, visualizzare e gestire reti virtuali a livello globale tra sottoscrizioni. - Casi d'uso comuni Azure Network Watcher Abilita Network Watcher per monitorare, diagnosticare e visualizzare le metriche. Abilitare o disabilitare i log per le risorse IaaS (Infrastructure-as-a-Service) di Azure. Usare Network Watcher per monitorare e ripristinare l'integrità di rete dei prodotti IaaS, ad esempio macchine virtuali, reti virtuali, gateway applicazione, servizi di bilanciamento del carico e altro ancora. - Azure Network Watcher

Reti definite dal software

Le reti virtuali sono la base delle reti private in Azure. Con una rete virtuale un'organizzazione controlla la comunicazione tra le risorse di Azure e l'ambiente locale. Filtrare e instradare il traffico e integrarsi con altri servizi di Azure, ad esempio Azure Firewall, Azure Front Door, Azure Application Gateway, Azure VPN Gateway e Azure ExpressRoute.

Descrizione e risultato dell'attività DoD	Indicazioni e consigli microsoft
`Target` 5.2.1 Definire le API SDN L'impresa DoD collabora con le organizzazioni per definire le API necessarie e altre interfacce programmatiche per abilitare le funzionalità SDN (Software Defined Networking). Queste API consentiranno l'automazione del punto decisionale di autenticazione, del proxy di controllo della distribuzione delle applicazioni e dei gateway di segmentazione. Risultati: le API SDN sono standardizzate e implementate : le API sono funzionali per il punto decisionale AuthN, il proxy di controllo della distribuzione delle app e i gateway di segmentazione	Distribuire e configurare reti di Azure usando le API di Azure Resource Manager (ARM). Strumenti di gestione di Azure: portale di Azure, Azure PowerShell, interfaccia della riga di comando di Azure (CLI) e i modelli utilizzano le stesse API ARM per autenticare e autorizzare le richieste.Riferimenti dell'API REST di AzureRuoli di AzureAssegna i ruoli predefiniti di Azure per la gestione delle risorse di rete. Seguire i principi con privilegi minimi e assegnare ruoli JIT (Just-In-Time) tramite PIM. - Ruoli predefiniti di Azure
`Target` 5.2.2 Implementare l'infrastruttura programmabile SDNSeguendo gli standard, i requisiti e le funzionalità dell'API SDN, le organizzazioni DoD implementeranno l'infrastruttura SDN (Software Defined Networking) per abilitare le attività di automazione. I gateway di segmentazione e i punti decisionali di autenticazione sono integrati nell'infrastruttura SDN insieme alla registrazione dell'output in un repository standardizzato (ad esempio SIEM, Log Analytics) per il monitoraggio e l'invio di avvisi. Risultati: - Implementazione del Proxy per il Controllo della Consegna delle Applicazioni - Attività di Log SIEM Stabilite - Implementazione del Monitoraggio delle Attività Utente (UAM) - Integrato con il Punto Decisionale di Autenticazione	Risorse di rete di Azure Proteggi l'accesso esterno alle applicazioni ospitate in una rete virtuale (VNet) con: Azure Front Door (AFD), Azure Application Gateway o Azure Firewall. AFD e Application Gateway dispongono di funzionalità di bilanciamento del carico e sicurezza per Open Web Application Security Project (OWASP) Top 10 e bot. È possibile creare regole personalizzate. Firewall di Azure dispone di filtri di intelligence contro le minacce al livello 4. - I filtri e la protezione nativi del cloud per le minacce conosciute - Progettare l'architettura di rete Microsoft Sentinel Firewall di Azure, Gateway applicazione, ADF e Azure Bastion esportano i log in Sentinel o in altri sistemi SIEM (Security Information and Event Management) per l'analisi. Usare i connettori in Sentinel o Criteri di Azure per applicare questo requisito in un ambiente. - Firewall di Azure con Sentinel - Connettore Web App Firewall di Azure per Sentinel - Trovare i connettori dati di Microsoft Entra per il Proxy di applicazione Distribuire il proxy di applicazione per pubblicare e distribuire applicazioni private nella rete locale. Integrare soluzioni partner SHA (Accesso Sicuro Ibrido). - Distribuire il proxy delle applicazioni - Distribuire il proxy delle applicazioni - Integrazioni partner SHA Microsoft Entra ID Protection Distribuire Microsoft Entra ID Protection e portare i segnali di rischio di accesso a Condizionale Accesso. Consultare le Indicazioni Microsoft 1.3.3 in Utente. Microsoft Defender per Cloud Apps Usare Microsoft Defender per Cloud Apps per monitorare le sessioni rischiose delle applicazioni Web. - Defender per Cloud Apps
`Target` 5.2.3 I flussi dei segmenti nei piani di controllo, gestione e datiL'infrastruttura di rete e i flussi vengono segmentati fisicamente o logicamente in piani dati, gestione e controllo. La segmentazione di base con approcci IPv6/VLAN viene implementata per organizzare meglio il traffico tra i piani dati. Le analisi e i dati NetFlow dell'infrastruttura aggiornata vengono automaticamente inseriti nei centri operativi e negli strumenti di analisi. Risultati: - Segmentazione IPv6 - Abilitare l'automazione della reportistica NetOps - Garantire il controllo della configurazione in tutta l'organizzazione - Integrato con SOAR	Azure Resource Manager è un servizio di distribuzione e gestione con un livello di gestione per creare, aggiornare ed eliminare risorse in un account Azure. - Piani di controllo e dati di Azure - Piani di controllo multitenant - Sicurezza operativa di Azure Microsoft Sentinel Connettere l'infrastruttura di rete di Azure a Sentinel. Configurare i connettori dati di Sentinel per soluzioni di rete non di Azure. Usare query di analisi personalizzate per attivare l'automazione SOAR di Sentinel.Risposta alle minacce con i playbookRilevamento e risposta per Azure Firewall con Logic AppsVedere le linee guida Microsoft nella versione 5.2.2.
`Advanced` 5.2.4 Individuazione e ottimizzazione asset di reteLe organizzazioni DoD automatizzano l'individuazione degli asset di rete tramite l'infrastruttura SDN limitando l'accesso ai dispositivi in base agli approcci metodici basati sui rischi. L'ottimizzazione viene eseguita in base all'analisi SDN per migliorare le prestazioni complessive e fornire l'accesso approvato necessario alle risorse. Risultati: - Miglioramento tecnico/Evoluzione tecnologica- Fornire ottimizzazione/controlli prestazioni	Azure Monitor Usa le informazioni dettagliate della rete di Azure Monitor per visualizzare una rappresentazione visiva completa delle risorse di rete, inclusa la topologia, integrità e metriche. Consulta le linee guida di Microsoft nella 5.1.1. Microsoft Defender per il Cloud Defender per il Cloud individua ed elenca un inventario delle risorse di cui è stato effettuato il provisioning in Azure, in altri cloud e in locale. - Ambiente multicloud - Gestisci la postura di sicurezza delle risorse Microsoft Defender per Endpoint Integra gli endpoint e configura l'individuazione dei dispositivi per raccogliere, sondare o analizzare la rete al fine di scoprire i dispositivi non gestiti. - Panoramica sull'individuazione dei dispositivi
`Advanced` 5.2.5 Decisioni di accesso in tempo reale L'infrastruttura SDN utilizza fonti di dati cross-pilastro come il Monitoraggio delle attività degli utenti, il Monitoraggio delle attività delle entità, i Profili di sicurezza aziendale e altro ancora per decisioni di accesso in tempo reale. Machine Learning viene usato per facilitare il processo decisionale basato sull'analisi avanzata della rete (acquisizione completa di pacchetti e così via). I criteri vengono implementati in modo coerente in tutte le aziende usando standard di accesso unificato. Risultati: - Analizzare i log SIEM con il motore di analisi per fornire decisioni di accesso ai criteri in tempo reale - Supportare l'invio di pacchetti acquisiti, flussi di dati/rete e altri log specifici per analisi - Segmentare i flussi di rete di trasporto end-to-end - Verificare la coerenza delle politiche di sicurezza in tutta l'impresa	Completare le attività 5.2.1 - 5.2.4. Microsoft Sentinel Rilevare le minacce inviando i log di rete a Sentinel per l'analisi. Usare funzionalità come intelligence sulle minacce, rilevamento avanzato di attacchi a più fasi, caccia alle minacce e query predefinite. L'automazione di Sentinel consente agli operatori di bloccare indirizzi IP dannosi. - Rileva le minacce con le regole di analisi - Connettore di Azure Firewall per Sentinel Azure Network Watcher Usa Azure Network Watcher per acquisire il traffico di rete da e verso macchine virtuali e set di scalabilità di macchine virtuali. - Acquisizione pacchetti dati Microsoft Defender per il cloud valuta la conformità ai controlli di sicurezza di rete prescritti nei framework, ad esempio Microsoft Cloud Security Benchmark, DoD Impact Level 4 (IL4) e IL5 e National Institute of Standards and Technology (NIST) 800-53 R4/R5. - Controllo di sicurezza: sicurezza di rete Utilizza informazioni dettagliate con Accesso Condizionale e la cartella di lavoro per la creazione di report per comprendere gli effetti dei criteri di accesso condizionale dell'organizzazione. - Informazioni dettagliate e creazione di report

5.3 Segmentazione macro

Le sottoscrizioni di Azure sono costrutti di alto livello che separano le risorse di Azure. Le comunicazioni tra risorse in sottoscrizioni diverse sono preparate esplicitamente. Le risorse di rete virtuale (VNet) in una sottoscrizione forniscono il contenimento delle risorse a livello di rete. Per impostazione predefinita, le reti virtuali non possono comunicare con altre reti virtuali. Per abilitare la comunicazione di rete tra reti virtuali, effettuare il peering e utilizzare Microsoft Azure Firewall per controllare e monitorare il traffico.

Per altre informazioni, vedere Proteggere e gestire i carichi di lavoro con la segmentazione a livello di rete.

Descrizione e risultato dell'attività DoD Indicazioni e consigli microsoft

Target 5.3.1 Macro-segmentazione del data center
Le organizzazioni DoD implementano la macro-segmentazione basata sul data center utilizzando architetture tradizionali a livelli (web, app, db) e/o basate su servizi. I controlli proxy e/o di imposizione sono integrati con le soluzioni SDN in base agli attributi e al comportamento del dispositivo.

Risultati:
- Registrare le azioni a SIEM
- Stabilire controlli proxy/imposizione degli attributi del dispositivo, del comportamento e di altri dati
- Analizzare le attività con il motore di analisi Progettazione di rete
di Azure e implementazione di servizi di rete di Azure, basati su architetture stabilite, ad esempio zone di destinazione su scala aziendale. Segmentare le reti virtuali di Azure e seguire le procedure consigliate per la sicurezza di rete di Azure. Usare i controlli di sicurezza di rete mentre i pacchetti attraversano vari confini di rete virtuale.
- Procedure consigliate per la sicurezza di rete, la sovranità e le zone di atterraggio Azure
- Distribuire Microsoft Entra ID Protection e utilizzare segnali di dispositivo e di rischio nel set di criteri di Accesso Condizionale.
Vedere le linee guida Microsoft 1.3.3 in Utente e 2.1.4 in Dispositivo.

Microsoft Sentinel
Usare i connettori per acquisire i log da Microsoft Entra ID e utilizzare risorse di rete per inviarli a Microsoft Sentinel per verifica, ricerca delle minacce, rilevamento e risposta. Abilitare User Entity Behavior Analytics (UEBA) in Sentinel.Vedere le linee guida di Microsoft nella versione 5.2.2 e 1.6.2 in User.Integrare Microsoft Defender per Endpoint con Microsoft Defender for Cloud Apps e bloccare l'accesso alle app non approvate.Integrare Defender for Cloud Apps con Defender per EndpointScoprire e bloccare l'IT ombra

Target 5.3.2 Macro-segmentazione B/C/P/S
Le organizzazioni DoD implementano la segmentazione macro della base, del campo, del posto e della stazione utilizzando zone di rete logiche che limitano il movimento laterale. I controlli proxy e/o di imposizione sono integrati con le soluzioni SDN in base agli attributi e al comportamento del dispositivo.

Risultati:
- Stabilire controlli proxy/imposizione su attributi del dispositivo, comportamento e altri dati
- Registrare azioni nel SIEM
- Analizzare le attività con il motore analitico
- Utilizzare SOAR per fornire decisioni di accesso ai criteri in tempo reale (RT) Completare l'attività 5.3.1.

Microsoft SentinelUsare Firewall di Azure per visualizzare le attività del firewall, rilevare le minacce con funzionalità di analisi dell'intelligenza artificiale, correlare le attività e automatizzare le azioni di risposta.

- Firewall di Azure

Descrizione e risultato dell'attività DoD	Indicazioni e consigli microsoft
`Target` 5.3.1 Macro-segmentazione del data center Le organizzazioni DoD implementano la macro-segmentazione basata sul data center utilizzando architetture tradizionali a livelli (web, app, db) e/o basate su servizi. I controlli proxy e/o di imposizione sono integrati con le soluzioni SDN in base agli attributi e al comportamento del dispositivo. Risultati: - Registrare le azioni a SIEM - Stabilire controlli proxy/imposizione degli attributi del dispositivo, del comportamento e di altri dati - Analizzare le attività con il motore di analisi	Progettazione di rete di Azure e implementazione di servizi di rete di Azure, basati su architetture stabilite, ad esempio zone di destinazione su scala aziendale. Segmentare le reti virtuali di Azure e seguire le procedure consigliate per la sicurezza di rete di Azure. Usare i controlli di sicurezza di rete mentre i pacchetti attraversano vari confini di rete virtuale. - Procedure consigliate per la sicurezza di rete, la sovranità e le zone di atterraggio Azure - Distribuire Microsoft Entra ID Protection e utilizzare segnali di dispositivo e di rischio nel set di criteri di Accesso Condizionale. Vedere le linee guida Microsoft 1.3.3 in Utente e 2.1.4 in Dispositivo. Microsoft Sentinel Usare i connettori per acquisire i log da Microsoft Entra ID e utilizzare risorse di rete per inviarli a Microsoft Sentinel per verifica, ricerca delle minacce, rilevamento e risposta. Abilitare User Entity Behavior Analytics (UEBA) in Sentinel.Vedere le linee guida di Microsoft nella versione 5.2.2 e 1.6.2 in User.Integrare Microsoft Defender per Endpoint con Microsoft Defender for Cloud Apps e bloccare l'accesso alle app non approvate.Integrare Defender for Cloud Apps con Defender per EndpointScoprire e bloccare l'IT ombra
`Target` 5.3.2 Macro-segmentazione B/C/P/S Le organizzazioni DoD implementano la segmentazione macro della base, del campo, del posto e della stazione utilizzando zone di rete logiche che limitano il movimento laterale. I controlli proxy e/o di imposizione sono integrati con le soluzioni SDN in base agli attributi e al comportamento del dispositivo. Risultati: - Stabilire controlli proxy/imposizione su attributi del dispositivo, comportamento e altri dati - Registrare azioni nel SIEM - Analizzare le attività con il motore analitico - Utilizzare SOAR per fornire decisioni di accesso ai criteri in tempo reale (RT)	Completare l'attività 5.3.1. Microsoft SentinelUsare Firewall di Azure per visualizzare le attività del firewall, rilevare le minacce con funzionalità di analisi dell'intelligenza artificiale, correlare le attività e automatizzare le azioni di risposta. - Firewall di Azure

5.4 Segmentazione micro

I gruppi di sicurezza di rete (NSG) e i gruppi di sicurezza delle applicazioni forniscono micro segmentazione della sicurezza di rete per le reti di Azure. I gruppi di sicurezza di Azure semplificano il filtro del traffico, in base ai modelli di applicazione. Implementare più applicazioni nella stessa subnet e isolare il traffico in base ai gruppi di sicurezza delle applicazioni.

Per altre informazioni, vedere Proteggere e gestire i carichi di lavoro con la segmentazione a livello di rete.

Descrizione e risultato dell'attività DoD	Indicazioni e consigli microsoft
`Target` 5.4.1 Implementare la micro-segmentazione Le organizzazioni DoD implementano l'infrastruttura di micro-segmentazione nell'ambiente SDN, consentendo la segmentazione di base dei componenti del servizio (ad esempio, web, app, db), porte e protocolli. L'automazione di base viene accettata per le modifiche ai criteri, incluso il processo decisionale dell'API. Gli ambienti di hosting virtuale implementano la micro-segmentazione a livello di host/contenitore. Risultati: - Accettare modifiche automatizzate alle politiche - Implementare punti decisionali API - Implementare l'agente NGF/Micro FW/Endpoint nell'ambiente di hosting virtuale	Completare l'attività 5.3.1. Firewall di Azure Premium Usare Firewall di Azure Premium come NGF (NextGen Firewall) nella strategia di segmentazione di rete di Azure. Vedere Le linee guida di Microsoft nella versione 5.1.1. Gruppi di sicurezza delle applicazioni Nei gruppi di sicurezza di rete (NSG), è possibile usare i gruppi di sicurezza delle applicazioni per configurare la sicurezza di rete come estensione della struttura dell'applicazione. Semplificare i criteri di sicurezza di rete associando le risorse di Azure per la stessa applicazione usando i gruppi di sicurezza delle applicazioni. - Proteggere e gestire i carichi di lavoro con la segmentazione a livello di rete - gruppi di sicurezza delle applicazioni Servizio Azure Kubernetes Richiedere l'interfaccia di rete per contenitori di Azure (Azure CNI) per le applicazioni nel Servizio Azure Kubernetes (AKS) utilizzando le definizioni predefinite dei Criteri di Azure. Implementare la microsegmentazione a livello di contenitore per i container in AKS usando le policy di rete. - Concetti di rete per AKS - Configura il networking Azure CNI Overlay - Proteggi il traffico tra i pod usando le policy di rete - Riferimento alle policy di AKS Microsoft Defender per Server Aggiungi macchine virtuali Azure (VM), VM in altri ambienti di hosting cloud e server locali a Defender per Server. La protezione di rete in Microsoft Defender per endpoint blocca i processi a livello di host dalla comunicazione con domini specifici, nomi host o indirizzi IP corrispondenti agli indicatori di compromissione (IoC). - Pianificare la distribuzione - di Defender per server Proteggere gli indicatori di creazione di rete -
`Target` 5.4.2 Segmentazione di applicazioni e dispositiviLe organizzazioni DoD usano soluzioni SDN (Software Defined Networking) per stabilire un'infrastruttura che soddisfi le funzionalità di destinazione ZT: zone di rete logica, ruolo, attributo e controllo degli accessi condizionali per utenti e dispositivi, servizi di gestione degli accessi con privilegi per le risorse di rete e controllo basato su criteri sull'accesso alle API. Risultati: - Assegnare ruoli, attributi e Controllo di accesso basati su condizione a utenti e dispositivi - Fornire servizi di gestione degli accessi con privilegi- Limitare l'accesso in base all'identità per utente e dispositivo - Creare zone di rete logiche	Microsoft Entra ID Integrare applicazioni con Microsoft Entra ID. Gestire l'accesso con ruoli dell'app, gruppi di sicurezza e pacchetti di accesso. Vedere le linee guida di Microsoft 1.2 in Utente. Progettare i set di criteri di Accesso Condizionale per l'autorizzazione dinamica basata su utente, ruolo, gruppo, dispositivo, app client, rischio di identità e risorsa applicativa. Usare i contesti di autenticazione per creare zone di rete logiche, in base alle condizioni utente e ambientali.Vedere le linee guida di Microsoft 1.8.3 in Utente.Privileged Identity ManagerConfigura PIM per l'accesso JIT (Just-In-Time) ai ruoli con privilegi e ai gruppi di sicurezza di Microsoft Entra.Vedere le linee guida di Microsoft 1.4.2 in Utente.Configurare le macchine virtuali di Azure e le istanze SQL per utilizzare le identità di Microsoft Entra per l'accesso utente.Accedi a Windows in AzureAccedi a Linuz VM in AzureUsare Bastion per connettersi in modo sicuro alle macchine virtuali di Azure con indirizzi IP privati dal portale di Azure oppure usando una shell sicura nativa (SSH) o un client RDP (Remote Desktop Protocol).Azure BastionUsare l'accesso JIT (Just-In-Time) alle macchine virtuali per proteggerle dall'accesso alla rete non autorizzato.
`Advanced` 5.4.3 Processo di micro-segmentazione Le organizzazioni DoD usano la micro-segmentazione esistente e l'infrastruttura di automazione SDN abilitando la micro-segmentazione del processo. I processi a livello di host vengono segmentati in base ai criteri di sicurezza e l'accesso viene concesso usando il processo decisionale di accesso in tempo reale. Risultati: segmentare i processi a livello di host per i criteri di sicurezza- Supportare le decisioni e le modifiche dei criteri di accesso in tempo reale- Supporto dell'offload dei log per l'analisi e l'automazione - Supporto della distribuzione dinamica dei criteri di segmentazione	Completa l'attività 5.4.2. Microsoft Defender per Endpoint Abilitare la protezione di rete in Defender per Endpoint per impedire ai processi e alle applicazioni a livello di host di connettersi a domini di rete dannosi, indirizzi IP o nomi host compromessi. Vedere le linee guida di Microsoft 4.5.1. La valutazione continua dell'accesso (CAE) consente ai servizi come Exchange Online, SharePoint Online e Microsoft Teams di sottoscrivere eventi di Microsoft Entra, ad esempio la disabilitazione degli account e i rilevamenti ad alto rischio in Microsoft Entra ID Protection. Vedere le linee guida di Microsoft 1.8.3 in Utente. Microsoft Sentinel Usare i connettori per acquisire i log da Microsoft Entra ID, le risorse di rete da inviare a Microsoft Sentinel per il controllo, la ricerca delle minacce, il rilevamento e la risposta. Vedere le linee guida di Microsoft nella versione 5.2.2 e 1.6.2 in Utente.
`Target` 5.4.4 Proteggere i dati in transito In base ai mapping e al monitoraggio dei flussi di dati, i criteri sono abilitati dalle organizzazioni DoD per imporre la protezione dei dati in transito. I casi d'uso comuni, ad esempio la condivisione delle informazioni di coalizione, la condivisione tra i limiti del sistema e la protezione tra i componenti dell'architettura sono inclusi nei criteri di protezione. Risultati: - Proteggere i dati in transito durante la condivisione delle informazioni della coalizione- Proteggere i dati in transito attraverso limiti elevati del sistema- Integrare i dati in transito tra i componenti dell'architettura	Microsoft 365 Usa Microsoft 365 per la collaborazione DoD. I servizi Microsoft 365 crittografano i dati inattivi e in transito. - La crittografia in Microsoft 365 Microsoft Entra External ID Microsoft 365 e Microsoft Entra ID migliorano la condivisione della coalizione con facile onboarding e gestione dell'accesso per gli utenti in altri tenant DoD. - Collaborazione B2B - Condivisione sicura con utenti ospiti Configurare l'accesso tra tenant in modo sicuro e le impostazioni del cloud Microsoft per controllare come gli utenti collaborano con organizzazioni esterne. - Accesso tra tenant - Impostazioni del cloud Microsoft Microsoft Entra ID Governance Governare i cicli di vita di accesso degli utenti esterni con la gestione dei diritti. - Accesso esterno con gestione dei diritti Microsoft Defender per il Cloud Utilizzare Defender per il Cloud per valutare in modo continuativo e applicare protocolli di trasporto sicuri per le risorse cloud. - Gestione della postura di sicurezza nel cloud

Passaggi successivi

Configurare i servizi cloud Microsoft per la strategia DoD Zero Trust:

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-02-13