DoD-Zero Trust Strategie für die Netzwerksäule

Die DoD Zero Trust Strategie und Roadmap beschreibt einen Weg für Komponenten des Department of Defense und Partner der Verteidigungsindustrie-Basis (DIB), um ein neues Cybersicherheitsframework basierend auf den Zero Trust Prinzipien zu übernehmen. Zero Trust beseitigt herkömmliche Umkreise und Vertrauensannahmen, wodurch eine effizientere Architektur ermöglicht wird, die Sicherheit, Benutzererfahrung und Unternehmensleistung verbessert.

Dieser Leitfaden enthält Empfehlungen für die 152 Zero Trust Aktivitäten im DoD Zero Trust Fähigkeitsausführungsfahrplan. Die Abschnitte entsprechen den sieben Säulen des DoD-Zero Trust-Modells.

Über die folgenden Links gelangen Sie zu den entsprechenden Abschnitten des Leitfadens.

5 Netzwerk

Dieser Abschnitt enthält Microsoft-Anleitungen und Empfehlungen für DoD-Zero-Trust-Aktivitäten im Netzwerkbereich. Weitere Informationen finden Sie unter Secure networks with Zero Trust.

5.1 Datenflusszuordnung

Der Azure Virtual Network-Dienst ist ein Baustein in Ihrem privaten Netzwerk in Azure. In virtuellen Netzwerken kommunizieren Azure-Ressourcen miteinander, mit dem Internet und mit lokalen Ressourcen.

Wenn Sie eine Topologie mit mehreren Hub-and-Spoke-Netzwerken in Azure bereitstellen, erledigt Azure Firewall das Routing des Datenverkehrs zwischen den virtuellen Netzwerken. Darüber hinaus umfasst Azure Firewall Premium Sicherheitsfeatures wie Trasport-Layer Security (TLS)-Inspektion, Netzwerkangriffs-, Erkennungs- und Präventionssystem (IDPS), URL-Filterung und Inhaltsfilterung.

Azure Netzwerktools wie Azure Network Watcher und Azure Monitor Network Insights helfen Ihnen beim Zuordnen und Visualisieren des Netzwerkdatenverkehrsflusses. Microsoft Sentinel Integration ermöglicht die Sichtbarkeit und Kontrolle über den Netzwerkdatenverkehr der Organisation mit Arbeitsmappen, Automatisierungs- und Erkennungsfunktionen.

Beschreibung und Ergebnis der DoD-Aktivität Informationen und Empfehlungen von Microsoft

Target 5.1.1 Definieren von granularen Zugriffssteuerungsregeln und -richtlinien Teil 1
Die DoD-Organisation erstellt in Zusammenarbeit mit den Organisationen detaillierte Regeln und Richtlinien für den Netzwerkzugriff. Das zugehörige Betriebskonzept (CONOPS) wird in Übereinstimmung mit den Zugriffsrichtlinien entwickelt und stellen die zukünftige Unterstützung sicher. Sobald eine Einigung erzielt wurde, implementieren die DoD-Organisationen diese Zugriffsrichtlinien in vorhandene Netzwerktechnologien (z. B. Firewalls der nächsten Generation, Angriffsschutzsysteme usw.), um die anfänglichen Risikostufen zu verbessern.

Ergebnisse:
– Bereitstellung von technischen Standards
– Entwicklung eines Betriebskonzepts
– Identifizierung von Interessengemeinschaften Azure Firewall Premium
Nutzung Azure Virtual Network und Azure Firewall Premium zur Steuerung der Kommunikation und des Routings zwischen Cloudressourcen, Cloud- und lokalen Ressourcen und dem Internet. Azure Firewall Premium verfügt über Bedrohungsinformationen, Bedrohungserkennung und Angriffsschutzfunktionen zum Sichern von Datenverkehr.
- Segmentationsstrategie
- Leiten Sie eine Multi-Hub-and-Spoke-Topologie
- Merkmale von Azure Firewall Premium

Nutzen Sie die Azure Firewall Richtlinienanalyse, um Firewallregeln zu verwalten, die Sichtbarkeit des Datenverkehrsflusses zu aktivieren und detaillierte Analysen zu Firewallregeln durchzuführen.
- Azure Firewall Richtlinienanalyse

Azure Private Link
Nutzen Sie Azure Private Link, um auf die Azure Plattform als Dienst (PaaS) über einen privaten Endpunkt in einem virtuellen Netzwerk zuzugreifen. Verwenden Sie private Endpunkte, um wichtige Azure Ressourcen ausschließlich für virtuelle Netzwerke zu sichern. Datenverkehr von virtuellem Netzwerk zu Azure verbleibt im Azure Backbone-Netzwerk. Es ist nicht erforderlich, virtuelle Netzwerke für das öffentliche Internet verfügbar zu machen, um Azure PaaS-Dienste zu nutzen.
- Sichere Netzwerke: PaaS-Dienstgrenze
- Best Practices der Netzwerksicherheit

Netzwerksicherheitsgruppen
Flow-Logging bei Netzwerksicherheitsgruppen (NSGs) aktivieren, um Datenverkehrsaktivitäten abzurufen. Visualisieren von Aktivitätsdaten in Network Watcher.
- NSG-Flussprotokollen

Azure Virtual Network Manager
Use Azure Virtual Network Manager für zentralisierte Konnektivitäts- und Sicherheitskonfigurationen für virtuelle Netzwerke über Abonnements hinweg.
- Azure Virtual Network Manager

Azure Firewall Manager
Azure Firewall Manager ist ein Sicherheitsverwaltungsdienst für die zentrale Verwaltung von Sicherheitsrichtlinien und Routen für cloudbasierte Sicherheitsperimeter.
- Azure Firewall Manager

Azure Policy
Verwenden Sie Azure Policy, um Netzwerkstandards durchzusetzen, wie zum Beispiel erzwungenes Tunneling des Datenverkehrs zur Azure Firewall oder zu anderen Netzwerkanwendungen. Verbieten öffentlicher IPs oder erzwingen sie die sichere Verwendung von Verschlüsselungsprotokollen.
- Definitions für Azure Netzwerkdienste

Azure Monitor
Use Azure Network Watcher and Azure Monitor Network Insights für eine umfassende und visuelle Darstellung Ihres Netzwerks.
- Network Watcher
- Network insights

Target 5.1.2 Definieren von granularen Zugriffsregelungen und Richtlinien Teil 2
DoD-Organisationen verwenden Standards zur Datenkennzeichnung und Klassifizierung, um Datenfilter für den API-Zugriff auf die SDN-Infrastruktur zu entwickeln. API-Entscheidungspunkte werden innerhalb der SDN-Architektur formalisiert und mit nicht auftrags-/aufgabenkritischen Anwendungen und Diensten implementiert.

Ergebnis-:
– Definieren von Datentaggingfiltern für API-Infrastruktur Anwendungssicherheitsgruppen
Verwenden von Anwendungssicherheitsgruppen zum Konfigurieren der Netzwerksicherheit als Erweiterung der Anwendungsstruktur. Gruppieren von virtuellen Computern (VMs) und definieren Sie Netzwerksicherheitsrichtlinien basierend auf den Gruppen.
- Application-Sicherheitsgruppen

Azure Servicetags
Verwenden Sie Servicetags für Azure-VMs und Azure Virtual Networks, um den Netzwerkzugriff auf verwendete Azure-Dienste einzuschränken. Azure verwaltet IP-Adressen, die jedem Tag.
- Azure Diensttags zugeordnet sind

Azure Firewall
Azure Firewall Manager ist ein Sicherheitsverwaltungsdienst für zentralisierte Sicherheitsrichtlinien und Routenverwaltung für cloudbasierte Sicherheitsperimeter (Firewall, DDoS, WAF). Verwenden von IP-Gruppen zum Verwalten von IP-Adressen für Azure Firewall rules.
- Azure Firewall Manager
- IP groups

Azure Virtual Network Manager
Virtual Network Manager ist ein Verwaltungsdienst zum Gruppieren, Konfigurieren, Bereitstellen, Anzeigen und Verwalten virtueller Netzwerke global über Abonnements hinweg.
- Common Anwendungsfälle

Azure Network Watcher
Aktivieren Sie Network Watcher, um Metriken zu überwachen, zu diagnostizieren und anzuzeigen. Aktivieren oder Deaktivieren von Protokollen für Azure-Infrastruktur-als-ein-Dienst (IaaS)-Ressourcen. Verwenden Sie Network Watcher, um den Netzwerkstatus von IaaS-Produkten wie VMs, VNets, Anwendungsgateways, Lastenausgleichsmodulen und mehr zu überwachen und zu reparieren.
- Azure Network Watcher

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Target` 5.1.1 Definieren von granularen Zugriffssteuerungsregeln und -richtlinien Teil 1 Die DoD-Organisation erstellt in Zusammenarbeit mit den Organisationen detaillierte Regeln und Richtlinien für den Netzwerkzugriff. Das zugehörige Betriebskonzept (CONOPS) wird in Übereinstimmung mit den Zugriffsrichtlinien entwickelt und stellen die zukünftige Unterstützung sicher. Sobald eine Einigung erzielt wurde, implementieren die DoD-Organisationen diese Zugriffsrichtlinien in vorhandene Netzwerktechnologien (z. B. Firewalls der nächsten Generation, Angriffsschutzsysteme usw.), um die anfänglichen Risikostufen zu verbessern. Ergebnisse: – Bereitstellung von technischen Standards – Entwicklung eines Betriebskonzepts – Identifizierung von Interessengemeinschaften	Azure Firewall Premium Nutzung Azure Virtual Network und Azure Firewall Premium zur Steuerung der Kommunikation und des Routings zwischen Cloudressourcen, Cloud- und lokalen Ressourcen und dem Internet. Azure Firewall Premium verfügt über Bedrohungsinformationen, Bedrohungserkennung und Angriffsschutzfunktionen zum Sichern von Datenverkehr. - Segmentationsstrategie - Leiten Sie eine Multi-Hub-and-Spoke-Topologie - Merkmale von Azure Firewall Premium Nutzen Sie die Azure Firewall Richtlinienanalyse, um Firewallregeln zu verwalten, die Sichtbarkeit des Datenverkehrsflusses zu aktivieren und detaillierte Analysen zu Firewallregeln durchzuführen. - Azure Firewall Richtlinienanalyse Azure Private Link Nutzen Sie Azure Private Link, um auf die Azure Plattform als Dienst (PaaS) über einen privaten Endpunkt in einem virtuellen Netzwerk zuzugreifen. Verwenden Sie private Endpunkte, um wichtige Azure Ressourcen ausschließlich für virtuelle Netzwerke zu sichern. Datenverkehr von virtuellem Netzwerk zu Azure verbleibt im Azure Backbone-Netzwerk. Es ist nicht erforderlich, virtuelle Netzwerke für das öffentliche Internet verfügbar zu machen, um Azure PaaS-Dienste zu nutzen. - Sichere Netzwerke: PaaS-Dienstgrenze - Best Practices der Netzwerksicherheit Netzwerksicherheitsgruppen Flow-Logging bei Netzwerksicherheitsgruppen (NSGs) aktivieren, um Datenverkehrsaktivitäten abzurufen. Visualisieren von Aktivitätsdaten in Network Watcher. - NSG-Flussprotokollen Azure Virtual Network Manager Use Azure Virtual Network Manager für zentralisierte Konnektivitäts- und Sicherheitskonfigurationen für virtuelle Netzwerke über Abonnements hinweg. - Azure Virtual Network Manager Azure Firewall Manager Azure Firewall Manager ist ein Sicherheitsverwaltungsdienst für die zentrale Verwaltung von Sicherheitsrichtlinien und Routen für cloudbasierte Sicherheitsperimeter. - Azure Firewall Manager Azure Policy Verwenden Sie Azure Policy, um Netzwerkstandards durchzusetzen, wie zum Beispiel erzwungenes Tunneling des Datenverkehrs zur Azure Firewall oder zu anderen Netzwerkanwendungen. Verbieten öffentlicher IPs oder erzwingen sie die sichere Verwendung von Verschlüsselungsprotokollen. - Definitions für Azure Netzwerkdienste Azure Monitor Use Azure Network Watcher and Azure Monitor Network Insights für eine umfassende und visuelle Darstellung Ihres Netzwerks. - Network Watcher - Network insights
`Target` 5.1.2 Definieren von granularen Zugriffsregelungen und Richtlinien Teil 2 DoD-Organisationen verwenden Standards zur Datenkennzeichnung und Klassifizierung, um Datenfilter für den API-Zugriff auf die SDN-Infrastruktur zu entwickeln. API-Entscheidungspunkte werden innerhalb der SDN-Architektur formalisiert und mit nicht auftrags-/aufgabenkritischen Anwendungen und Diensten implementiert. Ergebnis-: – Definieren von Datentaggingfiltern für API-Infrastruktur	Anwendungssicherheitsgruppen Verwenden von Anwendungssicherheitsgruppen zum Konfigurieren der Netzwerksicherheit als Erweiterung der Anwendungsstruktur. Gruppieren von virtuellen Computern (VMs) und definieren Sie Netzwerksicherheitsrichtlinien basierend auf den Gruppen. - Application-Sicherheitsgruppen Azure Servicetags Verwenden Sie Servicetags für Azure-VMs und Azure Virtual Networks, um den Netzwerkzugriff auf verwendete Azure-Dienste einzuschränken. Azure verwaltet IP-Adressen, die jedem Tag. - Azure Diensttags zugeordnet sind Azure Firewall Azure Firewall Manager ist ein Sicherheitsverwaltungsdienst für zentralisierte Sicherheitsrichtlinien und Routenverwaltung für cloudbasierte Sicherheitsperimeter (Firewall, DDoS, WAF). Verwenden von IP-Gruppen zum Verwalten von IP-Adressen für Azure Firewall rules. - Azure Firewall Manager - IP groups Azure Virtual Network Manager Virtual Network Manager ist ein Verwaltungsdienst zum Gruppieren, Konfigurieren, Bereitstellen, Anzeigen und Verwalten virtueller Netzwerke global über Abonnements hinweg. - Common Anwendungsfälle Azure Network Watcher Aktivieren Sie Network Watcher, um Metriken zu überwachen, zu diagnostizieren und anzuzeigen. Aktivieren oder Deaktivieren von Protokollen für Azure-Infrastruktur-als-ein-Dienst (IaaS)-Ressourcen. Verwenden Sie Network Watcher, um den Netzwerkstatus von IaaS-Produkten wie VMs, VNets, Anwendungsgateways, Lastenausgleichsmodulen und mehr zu überwachen und zu reparieren. - Azure Network Watcher

5.2 Softwaredefiniertes Netzwerk

Virtuelle Netzwerke sind die Grundlage privater Netzwerke in Azure. Mit einem virtuellen Netzwerk (VNet) steuert eine Organisation die Kommunikation zwischen Azure-Ressourcen und der lokalen Infrastruktur. Filtern und Weiterleiten von Datenverkehr und Integration in andere Azure Dienste wie Azure Firewall, Azure Front Door, Azure Application Gateway, Azure VPN Gateway und Azure ExpressRoute.

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Target` 5.2.1 Definieren von SDN-APIs Das DoD-Unternehmen arbeitet mit den Organisationen zusammen, um die erforderlichen APIs und andere programmgesteuerten Benutzerschnittstellen zu definieren, um SDN-Funktionen (Softwaredefiniertes Netzwerk) zu ermöglichen. Diese APIs aktivieren einen Authentifizierungsentscheidungspunkt, einen Proxy zur Steuerung der Anwendungsbereitstellung und die Automatisierung von Segmentierungsgateways. Ergebnisse: – SDN-APIs sind standardisiert und implementiert – APIs sind für den Authentifizierungsentscheidungspunkt, den Proxy zur Steuerung der App-Bereitstellung und Segmentierungsgateways funktionsfähig	Azure Resource Manager Deploy und Konfigurieren von Azure Netzwerken mithilfe von AZURE RESOURCE MANAGER(ARM)-APIs. Azure Verwaltungstools: Azure Portal, Azure PowerShell, Azure Command-Line Schnittstelle (CLI) und Vorlagen verwenden dieselben ARM-APIs zum Authentifizieren und Autorisieren von Anforderungen. - Azure Resource Manager - Azure REST-API-Verweise Azure Rollen Weisen Sie integrierte Azure Rollen zur Verwaltung von Netzwerkressourcen zu. Befolgen Sie die Prinzipien der geringsten Rechte und weisen Sie rollen just-in-time (JIT) über PIM. - Azure integrierte Rollen zu
`Target` 5.2.2 Implementieren der programmierbaren SDN-Infrastruktur Gemäß den API-Standards, Anforderungen und SDN-API-Funktionen implementieren DoD-Organisationen eine SDN-Infrastruktur (Softwaredefiniertes Netzwerk), um Automatisierungsaufgaben zu ermöglichen. Segmentierungsgateways und Authentifizierungsentscheidungspunkte werden zusammen mit der Ausgabeprotokollierung in ein standardisiertes Repository (z. B. SIEM, Log Analytics) zur Überwachung und Warnung integriert. Ergebnisse: – Proxy zur Steuerung der Anwendungsbereitstellung implementiert – SIEM-Protokollierungsaktivitäten eingerichtet – Benutzeraktivitätsüberwachung (User Activity Monitoring, UAM) implementiert – Integration mit Authentifizierungsentscheidungspunkt	Azure Netzwerkressourcen Sicherer externer Zugriff auf Anwendungen, die in einem virtuellen Netzwerk (VNet) gehostet werden, mit: Azure Front Door (AFD), Azure Application Gateway oder Azure Firewall. AFD und Application Gateway verfügen über Lastenausgleichs- und Sicherheitsfeatures für die OWASP Top 10 und Bots. Sie können benutzerdefinierte Regeln erstellen. Azure Firewall verfügt über die Filterung der Bedrohungserkennung auf Layer 4. - Cloud native Filterung und Schutz für bekannte Bedrohungen - Networkng-Architekturdesign Microsoft Sentinel Azure Firewall, Application Gateway, ADF und Azure Bastion Exportieren von Protokollen in Sentinel oder andere SIEM-Systeme (Security Information and Event Management) zur Analyse. Verwenden Sie Konnektoren in Sentinel oder Azure Policy, um diese Anforderung in einer Umgebung zu erzwingen. - Azure Firewall mit Sentinel - Azure-Web-App-Firewall-Connector zu Sentinel - Finden Sie Sentinel-Datenkonnektoren Microsoft Entra Anwendungsproxy Bereitstellen des Anwendungsproxys zum Veröffentlichen und Bereitstellen privater Anwendungen im lokalen Netzwerk. Integrieren Sie Partnerlösungen für den sicheren Hybridzugriff (SHA). - Anwendungsproxy - Bereitstellen des Anwendungsproxys - SHA-Partnerintegrationen Microsoft Entra ID Protection Microsoft Entra ID Protection bereitstellen und integrieren Sie Anmelderisikosignale in den bedingten Zugriff. Siehe Microsoft-Richtlinie 1.3.3 in Benutzer. Microsoft Defender for Cloud Apps Verwenden Sie Defender for Cloud Apps zum Überwachen riskanter Webanwendungssitzungen. - Defender for Cloud Apps
`Target` 5.2.3 Segmentflows in Steuerungs-, Verwaltungs- und Datenebenen Netzwerkinfrastruktur und -flows werden physisch oder logisch in Steuerungs-, Verwaltungs- und Datenebenen segmentiert. Die grundlegende Segmentierung mit IPv6/VLAN-Ansätzen wird implementiert, um den Datenverkehr über Datenebenen besser zu organisieren. Analysen und NetFlow aus der aktualisierten Infrastruktur werden automatisch in Operations Centers und Analysetools eingespeist. Ergebnisse: – IPv6-Segmentierung – Aktivieren der automatisierten NetOps-Informationsberichte – Sicherstellen der unternehmensweiten Konfigurationssteuerung – Integration mit SOAR	Azure Resource ManagerAzure Resource Manager ist ein Bereitstellungs- und Verwaltungsdienst mit einer Verwaltungsebene zum Erstellen, Aktualisieren und Löschen von Ressourcen in einem Azure-Konto.Azure Kontroll- und DatenebenenMultitenant-SteuerebenenAzure-BetriebsicherheitMicrosoft SentinelVerbinden Sie die Azure-Netzwerkinfrastruktur mit Sentinel. Konfigurieren Sie Sentinel-Daten-Connectoren für Nicht-Azure-Netzwerklösungen. Verwenden Sie benutzerdefinierte Analyseabfragen, um die Sentinel SOAR-Automatisierung auszulösen. - Bedrohungsreaktion mit Playbooks - Erkennung und Antwort für Azure Firewall mit Logic Apps Siehe Microsoft-Leitfaden in 5.2.2.
`Advanced` 5.2.4 Ermittlung und Optimierung von Netzwerkressourcen DoD-Organisationen automatisieren die Ermittlung von Netzwerkressourcen über die SDN-Infrastruktur, die den Zugriff auf Geräte basierend auf risikobasierten methodischen Ansätzen beschränkt. Die Optimierung wird basierend auf den SDN-Analysen durchgeführt, um die Gesamtleistung zu verbessern, sowie den erforderlichen genehmigten Zugriff auf Ressourcen zu ermöglichen. Ergebnisse: – Technische Aktualisierung/technologische Entwicklung – Bereitstellung von Optimierungs-/Leistungskontrollen	Azure Monitor Verwenden Sie Azure Monitor Netzwerk-Einblicke, um eine umfassende visuelle Darstellung von Netzwerkressourcen, einschließlich Topologie, Integrität und Metriken, zu sehen. Siehe Microsoft-Richtlinien in 5.1.1. Microsoft Defender for Cloud Defender for Cloud erkennt und listet einen Bestand der bereitgestellten Ressourcen in Azure, anderen Clouds und vor Ort auf. - Multicloud-Umgebung Verwalten Sie die Sicherheitslage der Ressourcen. Microsoft Defender for Endpoint Integrieren Sie Endpunkte und konfigurieren Sie die Geräteerfassung, um Ihr Netzwerk zu erfassen, untersuchen oder scannen und um nicht verwaltete Geräte zu erkennen. Übersicht zur Geräteerkennung
`Advanced` 5.2.5 Zugriffsentscheidungen in Echtzeit SDN-Infrastruktur verwendet säulenübergreifende Datenquellen wie Aktivitätsüberwachung für Benutzer und Entitäten, Unternehmenssicherheitsprofile und mehr für Zugriffsentscheidungen in Echtzeit. Maschinelles Lernen wird verwendet, um die Entscheidungsfindung basierend auf erweiterten Netzwerkanalysen (vollständige Paketerfassung usw.) zu unterstützen. Richtlinien werden im gesamten Unternehmen unter Verwendung einheitlicher Zugriffsstandards konsistent implementiert. Ergebnisse: – Analyse von SIEM-Protokollen mit dem Analysemodul, um richtlinienbasierte Zugriffsentscheidungen in Echtzeit bereitzustellen – Unterstützen des Sendens erfasster Pakete, Daten-/Netzwerkflüsse und anderer spezifischer Protokolle zur Analyse- – Segmentieren von End-to-End-Transportnetzwerkflüssen – Überprüfung von Sicherheitsrichtlinien auf Konsistenz im gesamten Unternehmen	Vervollständigen Sie die Aktivitäten 5.2.1 - 5.2.4. Microsoft Sentinel Erkennen Sie Bedrohungen, indem Sie Netzwerkprotokolle zur Analyse an Sentinel senden. Verwenden von Funktionen wie Threat Intelligence, erweiterte Erkennung von mehrstufigen Angriffen, Bedrohungssuche und integrierte Abfragen. Die Sentinel-Automatisierung ermöglicht es Operatoren, bösartige IP-Adressen zu blockieren. - Bedrohungen erkennen mit Analyseregeln - Azure Firewall-Connector für Sentinel Azure Network Watcher Verwenden Sie Azure Network Watcher zum Erfassen von Netzwerkdatenverkehr zu und von virtuellen Computern (VMs) und Virtual Machine Scale Sets. - Paketaufzeichnung Microsoft Defender for Cloud Defender für Cloud bewertet die Einhaltung der in Frameworks vorgeschriebenen Netzwerksicherheitskontrollen, z. B. Microsoft Cloud Security Benchmark, DoD Impact Level 4 (IL4) und IL5 und National Institute of Standards and Technology (NIST) 800-53 R4/R5. - Sicherheitskontrolle: Netzwerksicherheit Conditional Access Verwenden Sie Einblicke und die Berichtsarbeitsmappe für bedingten Zugriff, um die Auswirkungen von Richtlinien für den bedingten Zugriff der Organisation zu verstehen. - Einblicke und Berichterstattung

5.3 Makrosegmentierung

Azure Abonnements sind hochwertige Konzepte, die Azure Ressourcen trennen. Die Kommunikation zwischen Ressourcen in verschiedenen Abonnements wird explizit bereitgestellt. VNet-Ressourcen in einem Abonnement bieten Ressourceneinschließung auf Netzwerkebene. Standardmäßig können VNets nicht mit anderen VNets kommunizieren. Um die Netzwerkkommunikation zwischen VNets zu ermöglichen, verbinden Sie diese über Peering und verwenden Sie Azure Firewall, um den Datenverkehr zu steuern und zu überwachen.

Weitere Informationen finden Sie unter Sichern und Steuern von Workloads mit Segmentierung auf Netzwerkebene.

Beschreibung und Ergebnis der DoD-Aktivität Informationen und Empfehlungen von Microsoft

Target 5.3.1 Makrosegmentierung für Rechenzentren
DoD-Organisationen implementieren rechenzentrumsorientierte Makrosegmentierung mithilfe von herkömmlichen mehrstufigen Architekturen (Web, App, DB) und/oder dienstbasierten Architekturen. Proxy- und/oder Erzwingungsprüfungen werden basierend auf Geräteattributen und Verhalten in die SDN-Lösung(en) integriert.

Ergebnisse:
– Protokollieren von Aktionen bei SIEM
– Einrichten von Proxy-/Erzwingungsprüfungen von Geräteattributen, Verhalten und anderen Daten
– Analysieren von Aktivitäten mit der Analyse-Engine Azure Networking
Design und implementieren Sie Azure Netzwerkdienste basierend auf etablierten Architekturen, wie Landezonen im Unternehmensmaßstab. Segmentieren Sie Azure virtuelles Netzwerk (VNets) und befolgen Sie die bewährten Methoden von Azure für die Netzwerksicherheit. Verwenden Sie Netzwerksicherheitskontrollen, wenn Pakete verschiedene VNet-Grenzen überschreiten.
- Bewährte Verfahren für die Netzwerksicherheit
- Souveränität und Azure-Landungszonen
- Netzwerktopologie und Konnektivität
- Netzwerk- und Konnektivitätsempfehlungen

Microsoft Entra ID Protection
Implementieren Sie Microsoft Entra ID Protection und verwenden Sie Geräte- und Risikosignale in Ihrem Satz von Richtlinien für bedingten Zugriff.

Siehe Microsoft-Richtlinie 1.3.3 in User und 2.1.4 in Device.

Microsoft Sentinel
Verwenden Sie Connectors, um Protokolle von Microsoft Entra ID zu konsumieren und Netzwerkressourcen für Überwachung, Bedrohungsjagd, Erkennung und Reaktion an Microsoft Sentinel zu senden. Aktivieren Sie User Entity Behavior Analytics (UEBA) in Sentinel.

Siehe Microsoft-Anleitung in 5.2.2 und 1.6.2 in User.

Microsoft Defender XDR
Integrieren Sie Microsoft Defender for Endpoint mit Microsoft Defender for Cloud Apps und blockieren Sie den Zugriff auf nicht genehmigte Apps.
- Integrieren Sie Defender for Cloud Apps mit Defender for Endpoint
- Erkennen und Blockieren Sie Schatten-IT

Target 5.3.2 B/C/P/S-Makrosegmentierung
DoD-Organisationen implementieren Makrosegmentierung für Stützpunkte, Lager, Posten und Stationierungen mit logischen Netzwerkzonen, die Lateral Movement einschränken. Proxy- und/oder Erzwingungsprüfungen werden basierend auf Geräteattributen und Verhalten in die SDN-Lösung(en) integriert.

Ergebnisse:
– Einrichten von Proxy-/Erzwingungsprüfungen von Geräteattributen, Verhalten und anderen Daten
– Protokollieren von Aktionen bei SIEM
– Analysieren von Aktivitäten mit der Analyse-Engine
– Bereitstellen von richtlinienbasierten Zugriffsentscheidungen in Echtzeit mithilfe von SOAR Complete activity 5.3.1.

Microsoft Sentinel
Use Azure Firewall zum Visualisieren von Firewallaktivitäten, Erkennen von Bedrohungen mit KI-Untersuchungsfunktionen, Korrelieren von Aktivitäten und Automatisieren von Reaktionsaktionen.
- Azure Firewall

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Target` 5.3.1 Makrosegmentierung für Rechenzentren DoD-Organisationen implementieren rechenzentrumsorientierte Makrosegmentierung mithilfe von herkömmlichen mehrstufigen Architekturen (Web, App, DB) und/oder dienstbasierten Architekturen. Proxy- und/oder Erzwingungsprüfungen werden basierend auf Geräteattributen und Verhalten in die SDN-Lösung(en) integriert. Ergebnisse: – Protokollieren von Aktionen bei SIEM – Einrichten von Proxy-/Erzwingungsprüfungen von Geräteattributen, Verhalten und anderen Daten – Analysieren von Aktivitäten mit der Analyse-Engine	Azure Networking Design und implementieren Sie Azure Netzwerkdienste basierend auf etablierten Architekturen, wie Landezonen im Unternehmensmaßstab. Segmentieren Sie Azure virtuelles Netzwerk (VNets) und befolgen Sie die bewährten Methoden von Azure für die Netzwerksicherheit. Verwenden Sie Netzwerksicherheitskontrollen, wenn Pakete verschiedene VNet-Grenzen überschreiten. - Bewährte Verfahren für die Netzwerksicherheit - Souveränität und Azure-Landungszonen - Netzwerktopologie und Konnektivität - Netzwerk- und Konnektivitätsempfehlungen Microsoft Entra ID Protection Implementieren Sie Microsoft Entra ID Protection und verwenden Sie Geräte- und Risikosignale in Ihrem Satz von Richtlinien für bedingten Zugriff. Siehe Microsoft-Richtlinie 1.3.3 in User und 2.1.4 in Device. Microsoft Sentinel Verwenden Sie Connectors, um Protokolle von Microsoft Entra ID zu konsumieren und Netzwerkressourcen für Überwachung, Bedrohungsjagd, Erkennung und Reaktion an Microsoft Sentinel zu senden. Aktivieren Sie User Entity Behavior Analytics (UEBA) in Sentinel. Siehe Microsoft-Anleitung in 5.2.2 und 1.6.2 in User. Microsoft Defender XDR Integrieren Sie Microsoft Defender for Endpoint mit Microsoft Defender for Cloud Apps und blockieren Sie den Zugriff auf nicht genehmigte Apps. - Integrieren Sie Defender for Cloud Apps mit Defender for Endpoint - Erkennen und Blockieren Sie Schatten-IT
`Target` 5.3.2 B/C/P/S-Makrosegmentierung DoD-Organisationen implementieren Makrosegmentierung für Stützpunkte, Lager, Posten und Stationierungen mit logischen Netzwerkzonen, die Lateral Movement einschränken. Proxy- und/oder Erzwingungsprüfungen werden basierend auf Geräteattributen und Verhalten in die SDN-Lösung(en) integriert. Ergebnisse: – Einrichten von Proxy-/Erzwingungsprüfungen von Geräteattributen, Verhalten und anderen Daten – Protokollieren von Aktionen bei SIEM – Analysieren von Aktivitäten mit der Analyse-Engine – Bereitstellen von richtlinienbasierten Zugriffsentscheidungen in Echtzeit mithilfe von SOAR	Complete activity 5.3.1. Microsoft Sentinel Use Azure Firewall zum Visualisieren von Firewallaktivitäten, Erkennen von Bedrohungen mit KI-Untersuchungsfunktionen, Korrelieren von Aktivitäten und Automatisieren von Reaktionsaktionen. - Azure Firewall

5.4 Mikrosegmentierung

Netzwerksicherheitsgruppen (NSGs) und Anwendungssicherheitsgruppen (Application Security Groups, ASG) bieten Netzwerksicherheits-Mikrosegmentierung für Azure Netzwerke. ASGs vereinfachen die Datenverkehrsfilterung basierend auf Anwendungsmustern. Stellen Sie mehrere Anwendungen im selben Subnetz bereit, und isolieren Sie Datenverkehr basierend auf den ASGs.

Weitere Informationen finden Sie unter Sichern und Steuern von Workloads mit Segmentierung auf Netzwerkebene.

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Target` 5.4.1 Implementieren von Mikrosegmentierung DoD-Organisationen implementieren die Mikrosegmentierungsinfrastruktur in die SDN-Umgebung, um die grundlegende Segmentierung von Dienstkomponenten (z. B. Web, App, DB), Ports und Protokollen zu ermöglichen. Die grundlegende Automatisierung wird für Richtlinienänderungen einschließlich der API-Entscheidungsfindung akzeptiert. Virtuelle Hostingumgebungen implementieren Mikrosegmentierung auf Host-/Containerebene. Ergebnisse: – Akzeptieren von automatisierten Richtlinienänderungen – Implementieren von API-Entscheidungspunkten – Implementieren von NGF/Micro FW/Endpunkt-Agent in der virtuellen Hostumgebung	Aktivität 5.3.1 abschließen. Azure Firewall Premium Verwenden Sie Azure Firewall Premium als NextGen-Firewall (NGF) in Ihrer Azure-Netzwerksegmentierungsstrategie. Siehe Microsoft-Richtlinien in 5.1.1. Anwendungssicherheitsgruppen In Netzwerksicherheitsgruppen (NSGs) können Sie Anwendungssicherheitsgruppen verwenden, um die Netzwerksicherheit als Erweiterung der Anwendungsstruktur zu konfigurieren. Vereinfachen Sie Netzwerksicherheitsrichtlinien, indem Sie Azure-Ressourcen für dieselbe Anwendung mit Anwendungssicherheitsgruppen zuordnen. - Sichern und Verwalten von Workloads mit Segmentierung auf Netzwerkebene - Anwendungssicherheitsgruppen Azure Kubernetes Service Erfordert die Azure-Containernetzwerkschnittstelle (Azure CNI) für Anwendungen im Azure Kubernetes Service (AKS) mithilfe integrierter Definitionen in Azure Policy. Implementieren Sie die Mikrosegmentierung auf Containerebene für Container in AKS mithilfe von Netzwerkrichtlinien. Networking-Konzepte für AKSAzure CNI Overlay Networking konfigurierenAbsichern des Datenverkehrs zwischen Pods mithilfe von NetzwerkrichtlinienAKS-RichtlinienreferenzMicrosoft Defender für ServerAzure-VMs, VMs in anderen Cloudhostingumgebungen und lokale Server zu Defender for Servers onboarden. Netzwerkschutz in Microsoft Defender for Endpoint blockiert Prozesse auf Hostebene von der Kommunikation mit bestimmten Domänen, Hostnamen oder IP-Adressen, die mit Indikatoren für Kompromittierung (IoC) übereinstimmen. - Planen Sie Ihre Defender for Servers-Bereitstellung - Schützen Sie Ihr Netzwerk - Erstellen Sie Indikatoren
`Target` 5.4.2 Mikrosegmentierung für Anwendungen und Geräte DoD-Organisationen nutzen SDN-Lösungen (Softwaredefiniertes Netzwerk), um eine Infrastruktur einzurichten, die die ZT-Zielfunktionalitäten erfüllt: logische Netzwerkzonen, rollen-, attribut- und bedingungsbasierte Zugriffssteuerung für Benutzer und Geräte, Dienste von Privileged Access Management für Netzwerkressourcen und richtlinienbasierte Steuerung des API-Zugriffs. Ergebnisse: - Zuweisung von rollen-, attribut- und bedingungsbasierter Zugriffskontrolle für Benutzer und Geräte - Bereitstellung von Verwaltung privilegierter Zugriffsdienste - Begrenzter Zugriff auf identitätsbezogener Basis für Benutzer und Geräte - Erstellen Sie logische Netzwerkknoten	Microsoft Entra ID Anwendungen mit Microsoft Entra ID integrieren. Steuern des Zugriffs mit App-Rollen, Sicherheitsgruppen und Zugriffspaketen. Siehe Microsoft-Leitfaden 1.2 in Benutzer. Bedingter Zugriff Entwerfen von Richtliniensätzen für bedingten Zugriff für dynamische Autorisierung basierend auf Benutzer, Rolle, Gruppe, Gerät, Client-App, Identitätsrisiko und Anwendungsressource. Verwenden von Authentifizierungskontexten zum Erstellen logischer Netzwerkzonen, basierend auf Benutzer- und Umgebungsbedingungen. Siehe Microsoft-Anleitung 1.8.3 in User. Privileged Identity Manager Konfigurieren Sie PIM für just-in-time (JIT)-Zugriff auf privilegierte Rollen und Microsoft Entra Security-Gruppen. Siehe Microsoft-Anleitung 1.4.2 in User. Azure Virtual Machines und SQL-Datenbanken Konfigurieren Sie Azure Virtual Machines und SQL-Instanzen zur Verwendung von Microsoft Entra Identitäten für die Benutzeranmeldung. - Anmelden bei Windows in Azure - Anmelden bei Linux VM in Azure - Authentifizierung mit Azure SQL Azure Bastion Verwenden Sie Bastion, um eine sichere Verbindung mit Azure virtuellen Computern mit privaten IP-Adressen aus dem Azure-Portal herzustellen, oder mit systemeigener Secure Shell (SSH) oder einem RDP-Client (RemoteDesktopprotokoll). - Bastion Microsoft Defender for Server Verwenden Sie Just-in-time (JIT)-Zugriff auf VMs, um sie vor unbefugtem Netzwerkzugriff zu schützen. - Aktivieren Sie JIT-Zugriff auf VMs
`Advanced` 5.4.3 Mikrosegmentierung für Prozesse DoD-Organisationen nutzen eine vorhandene Mikrosegmentierungs- und SDN-Automatisierungsinfrastruktur, die Mikrosegmentierung für Prozesse ermöglicht. Prozesse auf Hostebene werden basierend auf Sicherheitsrichtlinien segmentiert, und der Zugriff wird mithilfe von Zugriffsentscheidungen in Echtzeit gewährt. Ergebnisse: – Segmentieren von Prozessen auf Hostebene für Sicherheitsrichtlinien – Unterstützung von Zugriffsentscheidungen in Echtzeit und Richtlinienänderungen – Unterstützung der Abladung von Protokollen für Analyse und Automatisierung – Unterstützung der dynamischen Bereitstellung von Segmentierungsrichtlinien	Complete activity 5.4.2. Microsoft Defender für Endpoint Aktivieren Sie den Netzwerkschutz in Defender für Endpoint, um hostbasierte Prozesse und Anwendungen daran zu hindern, sich mit bösartigen Netzdomänen, IP-Adressen oder kompromittierten Hostnamen zu verbinden. Siehe Microsoft-Anleitung 4.5.1. Kontinuierliche Zugriffsauswertung Kontinuierliche Zugriffsauswertung (CAE) ermöglicht es Diensten wie Exchange Online, SharePoint Online und Microsoft Teams, Microsoft Entra-Ereignisse wie Kontodeaktivierungen und Hochrisikoerkennungen in Microsoft Entra ID Protection zu abonnieren. Siehe Microsoft-Anleitung 1.8.3 in Benutzer. Microsoft Sentinel Verwenden Sie Connectors, um Protokolle von Microsoft Entra ID zu nutzen und Netzwerkressourcen an Microsoft Sentinel für Überwachung, Bedrohungserkennung, Erkennung und Reaktion zu senden. Siehe Microsoft-Anleitung in 5.2.2 und 1.6.2 in Benutzer.
`Target` 5.4.4 Schutz von Daten während der Übertragung Basierend auf den Datenflusszuordnungen und der Überwachung erstellen DoD-Organisationen Richtlinien, um den Schutz von Daten während der Übertragung sicherzustellen. Häufige Anwendungsfälle wie die gemeinsame Nutzung von Informationen durch Zusammenschlüsse, die gemeinsame Nutzung über Systemgrenzen hinweg und der Schutz über Architekturkomponenten hinweg sind in Schutzrichtlinien enthalten. Ergebnisse: – Schützen von Daten während der Übertragung bei gemeinsamer Nutzung von Informationen durch Zusammenschlüsse – Schützen von Daten während der Übertragung über hohe Systemgrenzen hinweg – Integrieren des Schutzes von Daten während der Übertragung über Architekturkomponenten hinweg	Microsoft 365 Verwenden von Microsoft 365 für die DoD-Zusammenarbeit. Microsoft 365 Dienste verschlüsseln Daten im Ruhezustand und während der Übertragung. - Verschlüsselung in Microsoft 365 Microsoft Entra External ID Microsoft 365 und Microsoft Entra ID verbessern den Zusammenschluss von Koalitionen mit einfacher Integration und Verwaltung des Zugriffs für Benutzer in anderen DoD-Mandanten. - B2B-Zusammenarbeit - Sicheres Gastfreigeben Konfigurieren Sie den mandantenübergreifenden Zugriff und die Microsoft-Cloud-Einstellungen, um zu kontrollieren, wie Benutzer mit externen Organisationen zusammenarbeiten. - Mandantenübergreifender Zugriff - Microsoft-Cloud-Einstellungen Microsoft Entra ID Governance Verwalten Sie die Benutzerzugriffszyklen mit Berechtigungsverwaltung. - Externer Zugriff mit Berechtigungsverwaltung Microsoft Defender for Cloud Verwenden Sie Defender for Cloud, um sichere Transportprotokolle für Cloud-Ressourcen kontinuierlich zu bewerten und durchzusetzen. - Cloud-Sicherheitsstatusverwaltung

Nächste Schritte

Konfigurieren von Microsoft-Clouddiensten für die DoD-Zero Trust-Strategie:

Feedback

War diese Seite hilfreich?

Last updated on 2026-03-06