Estrategia de Confianza cero del DoD para el pilar de la red

El estrategia y hoja de ruta de Confianza cero del DoD describe un camino para que los componentes del Departamento de Defensa y los socios de la Base Industrial de Defensa (DIB) adopten un nuevo marco de ciberseguridad basado en principios de confianza cero. Confianza cero elimina los perímetros tradicionales y las suposiciones de confianza, lo que permite una arquitectura más eficaz que mejora la seguridad, las experiencias del usuario y el rendimiento de la misión.

En esta guía se incluyen recomendaciones para las 152 actividades de Confianza cero en la Hoja de Ruta de Ejecución de Capacidades de Confianza cero del DoD. Las secciones corresponden a los siete pilares del modelo de Confianza cero doD.

Use los vínculos siguientes para ir a las secciones de la guía.

5 Red

Esta sección ofrece las instrucciones y recomendaciones de Microsoft para las actividades de Confianza cero del DoD en el pilar de la red. Para más información, consulte Redes seguras con Confianza cero para obtener más información.

5.1 Mapeo de flujo de datos

El servicio Azure Virtual Network es un bloque de creación de la red privada en Azure. En las redes virtuales, los recursos de Azure se comunican entre sí, con Internet y con los recursos locales.

Al implementar una topología de red en estrella tipo hub-and-spoke en Azure, Azure Firewall controla el enrutamiento del tráfico entre redes virtuales. Además, Azure Firewall Premium incluye características de seguridad como la inspección de seguridad de Trasport-Layer (TLS), la intrusión de red, la detección y el sistema de prevención (IDPS), el filtrado de direcciones URL y el filtrado de contenido.

Las herramientas de red de Azure, como Azure Network Watcher y Azure Monitor Network Insights, le ayudan a mapear y visualizar el flujo de tráfico en la red. La integración de Microsoft Sentinel permite la visibilidad y el control sobre el tráfico de red de la organización, con libros de trabajo, automatización y capacidades de detección.

Descripción y resultado de la actividad de DoD guía y recomendaciones de Microsoft

Target 5.1.1 Definición de reglas y políticas de acceso de control granular, parte 1
La empresa de DoD trabajando con las organizaciones crea directivas y reglas de acceso de red granulares. El concepto asociado de operaciones (ConOps) se desarrolla en consonancia con las directivas de acceso y garantiza la compatibilidad futura. Una vez acordado, las organizaciones de DoD implementarán estas directivas de acceso en tecnologías de red existentes (por ejemplo, firewalls de próxima generación, sistemas de prevención de intrusiones, etc.) para mejorar los niveles de riesgo iniciales.

resultados:
- Proporcionar estándares técnicos
- Desarrollar concepto de operaciones
- Identificar comunidades de interés Azure Firewall Premium
Use Azure Virtual Network y Azure Firewall Premium para controlar la comunicación y el enrutamiento entre los recursos en la nube, la nube y los recursos locales e Internet. Azure Firewall Premium tiene funcionalidades de inteligencia sobre amenazas, detección de amenazas y prevención de intrusiones para proteger el tráfico.
- Estrategia de segmentación
- Enrutar una topología de varios concentradores y radios
- Características de Azure Firewall Premium

Uso de Azure Firewall Policy Analytics para administrar reglas de firewall, habilite la visibilidad del flujo de tráfico y realice análisis detallados sobre las reglas de firewall.
- Azure Firewall Policy Analytics

Azure Private Link
Uso de Azure Private Link para acceder a la plataforma como servicio (PaaS) de Azure a través de un punto de conexión privado en una red virtual. Use puntos de conexión privados para proteger los recursos críticos de Azure de manera exclusiva a las redes virtuales. El tráfico de la red virtual a Azure permanece en la red troncal de Azure. No es necesario exponer la red virtual a la red pública de Internet para consumir servicios PaaS de Azure.
- Redes seguras: límite del servicio PaaS
- Mejores prácticas de seguridad de red

Grupos de seguridad de red
Habilitar registros de flujo en los grupos de seguridad de red (NSG) para obtener actividad de tráfico. Visualizar datos de actividad en Network Watcher.
- Registros de flujo de NSG

Azure Virtual Network Manager
Uso de Azure Virtual Network Manager para configuraciones de seguridad y conectividad centralizadas para redes virtuales entre suscripciones.
- Azure Virtual Network Manager

Azure Firewall Manager
Azure Firewall Manager es un servicio de administración de seguridad para la administración centralizada de directivas de seguridad y rutas para perímetros de seguridad basados en la nube.
- Azure Firewall Manager

Azure Policy
Use Azure Policy para aplicar estándares de red, como la tunelización forzada del tráfico a Azure Firewall u otras aplicaciones de red. Prohibir direcciones IP públicas o aplicar el uso seguro de protocolos de cifrado.
- Definitions para servicios de red de Azure

Azure Monitor
Use Azure Network Watcher y Azure Monitor Network Insights para obtener una representación visual y completa de la red.
- Network Watcher
- Network insights

Target 5.1.2 Definición de reglas y políticas de control de acceso granular, Parte 2
Las organizaciones del DoD utilizan estándares de etiquetado y clasificación de datos para desarrollar filtros para datos para el acceso del API a la infraestructura SDN. Los puntos de decisión de API se formalizan dentro de la arquitectura de SDN y se implementan con aplicaciones y servicios críticos para tareas y no misión.

resultado:
- Definir filtros de etiquetado de datos para la infraestructura de API Grupos de seguridad de aplicaciones
Usar grupos de seguridad de aplicaciones para configurar la seguridad de red como una extensión de la estructura de aplicaciones. Agrupar máquinas virtuales (VM) y definir directivas de seguridad de red basadas en los grupos.
- Grupos de seguridad de aplicaciones

Etiquetas de servicio de Azure
Use etiquetas de servicio para máquinas virtuales de Azure y redes virtuales de Azure para restringir el acceso de red a los servicios de Azure en uso. Azure mantiene las direcciones IP asociadas a cada etiqueta.
- Azure etiquetas de servicio

Azure Firewall
Azure Firewall Manager es un servicio de administración de seguridad para la directiva de seguridad centralizada y la administración de rutas para perímetros de seguridad basados en la nube (firewall, DDoS, WAF). Use grupos IP para administrar direcciones IP para las reglas de Azure Firewall.
- Azure Firewall Manager
- Grupos IP

Administrador de Redes Virtuales de Azure
El Administrador de Redes Virtuales es un servicio de administración para agrupar, configurar, implementar, ver y administrar redes virtuales globalmente entre suscripciones.
- Casos de uso comunes

Azure Network Watcher
Habilitar Network Watcher para supervisar, diagnosticar y ver métricas. Habilite o deshabilite los registros para recursos de infraestructura como servicio de Azure (IaaS). Use Network Watcher para supervisar y reparar el estado de red de productos iaaS como máquinas virtuales, redes virtuales, puertas de enlace de aplicaciones, equilibradores de carga y más.
- Azure Network Watcher

Descripción y resultado de la actividad de DoD	guía y recomendaciones de Microsoft
`Target` 5.1.1 Definición de reglas y políticas de acceso de control granular, parte 1 La empresa de DoD trabajando con las organizaciones crea directivas y reglas de acceso de red granulares. El concepto asociado de operaciones (ConOps) se desarrolla en consonancia con las directivas de acceso y garantiza la compatibilidad futura. Una vez acordado, las organizaciones de DoD implementarán estas directivas de acceso en tecnologías de red existentes (por ejemplo, firewalls de próxima generación, sistemas de prevención de intrusiones, etc.) para mejorar los niveles de riesgo iniciales. resultados: - Proporcionar estándares técnicos - Desarrollar concepto de operaciones - Identificar comunidades de interés	Azure Firewall Premium Use Azure Virtual Network y Azure Firewall Premium para controlar la comunicación y el enrutamiento entre los recursos en la nube, la nube y los recursos locales e Internet. Azure Firewall Premium tiene funcionalidades de inteligencia sobre amenazas, detección de amenazas y prevención de intrusiones para proteger el tráfico. - Estrategia de segmentación - Enrutar una topología de varios concentradores y radios - Características de Azure Firewall Premium Uso de Azure Firewall Policy Analytics para administrar reglas de firewall, habilite la visibilidad del flujo de tráfico y realice análisis detallados sobre las reglas de firewall. - Azure Firewall Policy Analytics Azure Private Link Uso de Azure Private Link para acceder a la plataforma como servicio (PaaS) de Azure a través de un punto de conexión privado en una red virtual. Use puntos de conexión privados para proteger los recursos críticos de Azure de manera exclusiva a las redes virtuales. El tráfico de la red virtual a Azure permanece en la red troncal de Azure. No es necesario exponer la red virtual a la red pública de Internet para consumir servicios PaaS de Azure. - Redes seguras: límite del servicio PaaS - Mejores prácticas de seguridad de red Grupos de seguridad de red Habilitar registros de flujo en los grupos de seguridad de red (NSG) para obtener actividad de tráfico. Visualizar datos de actividad en Network Watcher. - Registros de flujo de NSG Azure Virtual Network Manager Uso de Azure Virtual Network Manager para configuraciones de seguridad y conectividad centralizadas para redes virtuales entre suscripciones. - Azure Virtual Network Manager Azure Firewall Manager Azure Firewall Manager es un servicio de administración de seguridad para la administración centralizada de directivas de seguridad y rutas para perímetros de seguridad basados en la nube. - Azure Firewall Manager Azure Policy Use Azure Policy para aplicar estándares de red, como la tunelización forzada del tráfico a Azure Firewall u otras aplicaciones de red. Prohibir direcciones IP públicas o aplicar el uso seguro de protocolos de cifrado. - Definitions para servicios de red de Azure Azure Monitor Use Azure Network Watcher y Azure Monitor Network Insights para obtener una representación visual y completa de la red. - Network Watcher - Network insights
`Target` 5.1.2 Definición de reglas y políticas de control de acceso granular, Parte 2 Las organizaciones del DoD utilizan estándares de etiquetado y clasificación de datos para desarrollar filtros para datos para el acceso del API a la infraestructura SDN. Los puntos de decisión de API se formalizan dentro de la arquitectura de SDN y se implementan con aplicaciones y servicios críticos para tareas y no misión. resultado: - Definir filtros de etiquetado de datos para la infraestructura de API	Grupos de seguridad de aplicaciones Usar grupos de seguridad de aplicaciones para configurar la seguridad de red como una extensión de la estructura de aplicaciones. Agrupar máquinas virtuales (VM) y definir directivas de seguridad de red basadas en los grupos. - Grupos de seguridad de aplicaciones Etiquetas de servicio de Azure Use etiquetas de servicio para máquinas virtuales de Azure y redes virtuales de Azure para restringir el acceso de red a los servicios de Azure en uso. Azure mantiene las direcciones IP asociadas a cada etiqueta. - Azure etiquetas de servicio Azure Firewall Azure Firewall Manager es un servicio de administración de seguridad para la directiva de seguridad centralizada y la administración de rutas para perímetros de seguridad basados en la nube (firewall, DDoS, WAF). Use grupos IP para administrar direcciones IP para las reglas de Azure Firewall. - Azure Firewall Manager - Grupos IP Administrador de Redes Virtuales de Azure El Administrador de Redes Virtuales es un servicio de administración para agrupar, configurar, implementar, ver y administrar redes virtuales globalmente entre suscripciones. - Casos de uso comunes Azure Network Watcher Habilitar Network Watcher para supervisar, diagnosticar y ver métricas. Habilite o deshabilite los registros para recursos de infraestructura como servicio de Azure (IaaS). Use Network Watcher para supervisar y reparar el estado de red de productos iaaS como máquinas virtuales, redes virtuales, puertas de enlace de aplicaciones, equilibradores de carga y más. - Azure Network Watcher

5.2 Red definida por software

Las redes virtuales son la base de las redes privadas en Azure. Con una red virtual (VNet), una organización controla la comunicación entre los recursos de Azure y el entorno local. Filtre y enrute el tráfico e integre con otros servicios de Azure, como Azure Firewall, Azure Front Door, Azure Application Gateway, Azure VPN Gateway y Azure ExpressRoute.

Descripción y resultado de la actividad de DoD	guía y recomendaciones de Microsoft
`Target` 5.2.1 Definición de las API de SDN La empresa del DoD trabaja con las organizaciones para definir las API necesarias y otras interfaces programáticas que permitan las funcionalidades de redes definidas por software (SDN). Estas APIs habilitarán la automatización del Punto de Decisión de Autenticación, el Proxy de Control de Entrega de Aplicaciones y las Puertas de Enlace de Segmentación. Resultados: - Las API de SDN están estandarizadas e implementadas - Las API son funcionales para el punto de decisión de autenticación, el proxy de control de entrega de aplicaciones y las puertas de enlace de segmentación.	Azure Resource Manager Despliegue y configure redes de Azure usando las API de Azure Resource Manager (ARM). Las herramientas de administración de Azure: Azure portal, Azure PowerShell, Azure Command-Line Interface (CLI) y plantillas usan las mismas API de ARM para autenticar y autorizar solicitudes. - Azure Resource Manager - Referencias de la API REST de Azure Roles de Azure Asignar roles de Azure integrados para la administración de recursos de red. Siga los principios de privilegios mínimos y asigne roles Just-In-Time (JIT) a través de PIM. - Roles integrados de Azure
`Target` 5.2.2 Implementación de la infraestructura programable de SDN Siguiendo los estándares de API, los requisitos y las funcionalidades de la API de SDN, las organizaciones de DoD implementarán la infraestructura de redes definidas por software (SDN) para habilitar tareas de automatización. Las puertas de enlace de segmentación y los puntos de decisión de autenticación se integran en la infraestructura de SDN junto con el registro de salida en un repositorio estandarizado (por ejemplo, SIEM, Log Analytics) para la supervisión y las alertas. Resultados: - Implementación del proxy de control de entrega de aplicaciones - Actividades de registro de SIEM establecidas - Implementación de la supervisión de actividad del usuario (UAM) - Integrado con el punto de decisión de autenticación	Recursos de red de Azure Asegure el acceso externo a las aplicaciones hospedadas en una red virtual (VNet) con: Azure Front Door (AFD), Azure Application Gateway o Azure Firewall. AFD y Application Gateway tienen características de equilibrio de carga y seguridad para Open Web Application Security Project (OWASP) Top 10 y bots. Puede crear reglas personalizadas. Azure Firewall tiene filtrado de inteligencia sobre amenazas en capa 4. - Filtrado y protección nativos de la nube para amenazas conocidas - Diseño de arquitectura de red Microsoft Sentinel Azure Firewall, Application Gateway, ADF y Azure Bastion exportan registros a Sentinel u otros sistemas de administración de eventos e información de seguridad (SIEM) para su análisis. Use conectores en Sentinel o Azure Policy para aplicar este requisito en un entorno. - Azure Firewall con Sentinel - Conector de Azure Web App Firewall a Sentinel - Búsqueda de conectores de datos de Sentinel Proxy de aplicación de Microsoft Entra Implementación del proxy de aplicación para publicar y entregan aplicaciones privadas en la red local. Integre soluciones de asociados de acceso híbrido seguro (SHA). - Proxy de aplicación - Implementación de proxy de aplicación - Integraciones de partner de SHA Protección de Microsoft Entra ID Implemente Protección de Microsoft Entra ID e incorpore señales de riesgo de inicio de sesión al acceso condicional. Consulte la guía de Microsoft 1.3.3 en usuario. Microsoft Defender for Cloud Apps Usar Defender for Cloud Apps para supervisar las sesiones de aplicaciones web de riesgo. - Defender for Cloud Apps
`Target` 5.2.3 Flujos de segmento en los planos de control, administración y datos Los flujos de infraestructura y de red se segmentan física o lógicamente en planos de control, administración y datos. La segmentación básica mediante enfoques IPv6/VLAN se implementa para organizar mejor el tráfico entre planos de datos. El análisis y NetFlow de la infraestructura actualizada se insertan automáticamente en centros de operaciones y herramientas de análisis. resultados: : Segmentación IPv6 - Habilitar informes de información de NetOps automatizados - Garantizar el control de configuración en empresa - Integrado con SOAR	Azure Resource Manager Azure Resource Manager es un servicio de implementación y administración con un nivel de administración para crear, actualizar y eliminar recursos en una cuenta de Azure. - Planos de control y de datos de Azure - Planes de control multitenant - Seguridad operativa de Azure Microsoft Sentinel Conectar la infraestructura de red de Azure con Sentinel. Configure conectores de datos de Sentinel para soluciones de red que no son de Azure. Use consultas de análisis personalizadas para desencadenar la automatización SOAR de Sentinel. - Respuesta a amenazas con cuadernos de estrategias - Detección y respuesta de Azure Firewall con Logic Apps Consulte la guía de Microsoft en 5.2.2.
`Advanced` 5.2.4 Descubrimiento y optimización de recursos de red Las organizaciones de DoD automatizan la detección de recursos de red a través de la infraestructura SDN limitando el acceso a los dispositivos en función de los enfoques métodos basados en riesgos. La optimización se realiza en función del análisis de SDN para mejorar el rendimiento general junto con proporcionar acceso aprobado necesario a los recursos. Resultados: - Actualización técnica/evolución de la tecnología - Proporcionar controles de optimización y rendimiento	Azure Monitor Usa Azure Monitor para obtener información de la red y ver una representación visual completa de los recursos de red, incluyendo topología, estado y métricas. Consulta la guía de Microsoft en 5.1.1. Microsoft Defender for Cloud Defender for Cloud detecta y enumera un inventario de los recursos aprovisionados en Azure, otras nubes y el entorno local. - Entorno multicloud - Gestionar la postura de seguridad de los recursos Microsoft Defender para punto de conexión Incorpora los endpoints y configura la detección de dispositivos para recopilar, sondear o examinar la red para detectar dispositivos no administrados. - Descripción general de la detección de dispositivos
`Advanced` 5.2.5 Decisiones de acceso en tiempo real La infraestructura de SDN utiliza orígenes de datos entre pilares, como la supervisión de la actividad de usuario, la supervisión de la actividad de entidad, los perfiles de seguridad empresarial y mucho más para tomar decisiones de acceso en tiempo real. El aprendizaje automático se usa para ayudar a tomar decisiones en función del análisis de red avanzado (captura completa de paquetes, etc.). Las directivas se implementan de forma coherente en la empresa mediante estándares de acceso unificados. Resultados: - Analizar registros SIEM con el motor de análisis para proporcionar decisiones de acceso a directivas en tiempo real - Compatibilidad con el envío de paquetes capturados, flujos de datos y de red y otros registros específicos para el análisis: - Segmentación de flujos de red de transporte de un extremo a otro - Auditoría de directivas de seguridad para la coherencia en toda la empresa	Completar las actividades 5.2.1 - 5.2.4. Microsoft Sentinel Detectar amenazas mediante el envío de registros de red a Sentinel para su análisis. Use funcionalidades como la inteligencia sobre amenazas, la detección de ataques de varias fases avanzadas, la búsqueda de amenazas y las consultas integradas. La automatización de Sentinel permite a los operadores bloquear direcciones IP malintencionadas. - Detección de amenazas con reglas de análisis - Conector de Azure Firewall para Sentinel Azure Network Watcher Uso de Azure Network Watcher para capturar el tráfico de red hacia y desde máquinas virtuales (VM) y Virtual Machine Scale Sets. - Captura de paquetes Microsoft Defender for Cloud Defender for Cloud evalúa el cumplimiento de los controles de seguridad de red prescritos en marcos, como Microsoft Cloud Security Benchmark, nivel de impacto de DoD 4 (IL4) e IL5, e Instituto Nacional de Estándares y Tecnología (NIST) 800-53 R4/R5. - Control de seguridad: seguridad de red Acceso condicional Usar información de acceso condicional y libro de informes para comprender los efectos de las directivas de acceso condicional de la organización. - Información e informes

5.3 Macrosegmentación

Las suscripciones de Azure son conceptos de alto nivel que separan los recursos de Azure. La comunicación entre recursos en suscripciones diferentes se provisiona explícitamente. Los recursos de red virtual (VNet) de una suscripción proporcionan contención de recursos de nivel de red. De forma predeterminada, los VNets no pueden comunicarse con otros VNets. Para habilitar la comunicación de red entre VNets, emparéjelas y utilice Azure Firewall para controlar y supervisar el tráfico.

Para más información, consulte Protección y control de cargas de trabajo con segmentación de nivel de red.

Descripción y resultado de la actividad de DoD guía y recomendaciones de Microsoft

Target 5.3.1 Macrosegmentación del centro de datos
Las organizaciones de DoD implementan la macrosegmentación centrada en el centro de datos mediante arquitecturas tradicionales basadas en niveles (web, aplicación o base de datos) o basadas en servicios. Las comprobaciones de proxy y/o cumplimiento se integran con las soluciones de SDN basadas en los atributos y el comportamiento del dispositivo.

Resultados:
- Registrar acciones en SIEM
- Establecer comprobaciones de proxy o cumplimiento de atributos de dispositivo, comportamiento y otros datos
- Análisis de actividades con motor de análisis Redes de Azure
Diseño e implementación de servicios de redes de Azure, basadas en arquitecturas establecidas, como las zonas de aterrizaje a escala empresarial. Segmente las redes virtuales de Azure (VNets) y siga las mejores prácticas de seguridad de red de Azure. Utiliza controles de seguridad de la red cuando los paquetes crucen varios límites de VNet.
- Mejores prácticas para la seguridad de la red
- Soberanía y zonas de aterrizaje de Azure
- Topología y conectividad de red
- Recomendaciones de conexión y conectividad

Protección de Microsoft Entra ID
Despliega Protección de Microsoft Entra ID y utiliza señales de riesgo y del dispositivo en el conjunto de políticas de Acceso Condicional.

Consultar la guía de Microsoft 1.3.3 en Usuario y 2.1.4 en Dispositivo.

Microsoft Sentinel
Utiliza conectores para consumir registros de Microsoft Entra ID, recursos de red que se enviarán a Microsoft Sentinel para auditoría, búsqueda de amenazas, detección y respuesta. Habilitar el análisis de comportamiento de entidades de usuario (UEBA) en Sentinel.

Consulte la guía de Microsoft en 5.2.2 y 1.6.2 en User.

Microsoft Defender XDR
Integrar Microsoft Defender para Endpoint con Microsoft Defender para Cloud Apps y bloquear el acceso a aplicaciones no autorizadas.
- Integrar Defender para Cloud Apps con Defender para Endpoint
- Descubrir y bloquear IT en la sombra

Target 5.3.2 Macrosegmentación B/C/P/S
Las organizaciones de DoD implementan la macrosegmentación base, camp, post y station mediante zonas de red lógicas que limitan el movimiento lateral. Las comprobaciones de proxy y/o cumplimiento se integran con las soluciones de SDN basadas en los atributos y el comportamiento del dispositivo.

Resultados:
- Establecer comprobaciones de proxy/cumplimiento de atributos de dispositivos, comportamiento y otros datos
- Registrar acciones en SIEM
- Analizar actividades con motor de análisis
- Utilizar SOAR para proporcionar decisiones de acceso a políticas en tiempo real Completa la actividad 5.3.1.

Microsoft Sentinel
Utiliza Azure Firewall para visualizar actividades de la firewall, detectar amenazas con capacidades de investigación de IA, correlacionar actividades y automatizar acciones de respuesta.
- Azure Firewall

Descripción y resultado de la actividad de DoD	guía y recomendaciones de Microsoft
`Target` 5.3.1 Macrosegmentación del centro de datos Las organizaciones de DoD implementan la macrosegmentación centrada en el centro de datos mediante arquitecturas tradicionales basadas en niveles (web, aplicación o base de datos) o basadas en servicios. Las comprobaciones de proxy y/o cumplimiento se integran con las soluciones de SDN basadas en los atributos y el comportamiento del dispositivo. Resultados: - Registrar acciones en SIEM - Establecer comprobaciones de proxy o cumplimiento de atributos de dispositivo, comportamiento y otros datos - Análisis de actividades con motor de análisis	Redes de Azure Diseño e implementación de servicios de redes de Azure, basadas en arquitecturas establecidas, como las zonas de aterrizaje a escala empresarial. Segmente las redes virtuales de Azure (VNets) y siga las mejores prácticas de seguridad de red de Azure. Utiliza controles de seguridad de la red cuando los paquetes crucen varios límites de VNet. - Mejores prácticas para la seguridad de la red - Soberanía y zonas de aterrizaje de Azure - Topología y conectividad de red - Recomendaciones de conexión y conectividad Protección de Microsoft Entra ID Despliega Protección de Microsoft Entra ID y utiliza señales de riesgo y del dispositivo en el conjunto de políticas de Acceso Condicional. Consultar la guía de Microsoft 1.3.3 en Usuario y 2.1.4 en Dispositivo. Microsoft Sentinel Utiliza conectores para consumir registros de Microsoft Entra ID, recursos de red que se enviarán a Microsoft Sentinel para auditoría, búsqueda de amenazas, detección y respuesta. Habilitar el análisis de comportamiento de entidades de usuario (UEBA) en Sentinel. Consulte la guía de Microsoft en 5.2.2 y 1.6.2 en User. Microsoft Defender XDR Integrar Microsoft Defender para Endpoint con Microsoft Defender para Cloud Apps y bloquear el acceso a aplicaciones no autorizadas. - Integrar Defender para Cloud Apps con Defender para Endpoint - Descubrir y bloquear IT en la sombra
`Target` 5.3.2 Macrosegmentación B/C/P/S Las organizaciones de DoD implementan la macrosegmentación base, camp, post y station mediante zonas de red lógicas que limitan el movimiento lateral. Las comprobaciones de proxy y/o cumplimiento se integran con las soluciones de SDN basadas en los atributos y el comportamiento del dispositivo. Resultados: - Establecer comprobaciones de proxy/cumplimiento de atributos de dispositivos, comportamiento y otros datos - Registrar acciones en SIEM - Analizar actividades con motor de análisis - Utilizar SOAR para proporcionar decisiones de acceso a políticas en tiempo real	Completa la actividad 5.3.1. Microsoft Sentinel Utiliza Azure Firewall para visualizar actividades de la firewall, detectar amenazas con capacidades de investigación de IA, correlacionar actividades y automatizar acciones de respuesta. - Azure Firewall

5.4 Microsegmentación

Los grupos de seguridad de red (NSG) y los grupos de seguridad de aplicaciones (ASG) proporcionan microsegmentación de seguridad de red para redes Azure. Los ASG simplifican el filtrado del tráfico, en función de los patrones de aplicación. Implemente varias aplicaciones en la misma subred y aísle el tráfico en función de los ASG.

Para más información, consulte Protección y control de cargas de trabajo con segmentación de nivel de red.

Descripción y resultado de la actividad de DoD	guía y recomendaciones de Microsoft
`Target` 5.4.1 Implementar microsegmentación Las organizaciones de DoD implementan la infraestructura de microsegmentación en el entorno de SDN, lo que permite la segmentación básica de componentes de servicio (por ejemplo: web, aplicación o base de datos), puertos y protocolos. La automatización básica se acepta para los cambios de directiva, incluida la toma de decisiones de API. Los entornos de hospedaje virtual implementan la microsegmentación en el nivel de host o contenedor. Resultados: - Aceptar cambios de directiva automatizadas - Implementación de puntos de decisión de API - Implementación de NGF/Micro FW/Endpoint Agent en el entorno de hospedaje virtual	Complete la actividad 5.3.1. Azure Firewall Premium Utilice Azure Firewall Premium como el firewall NextGen (NGF) en su estrategia de segmentación de red de Azure. Consulte la guía de Microsoft en 5.1.1. Grupos de seguridad de aplicaciones En los grupos de seguridad de red (NSG), puede usar grupos de seguridad de aplicaciones para configurar la seguridad de red como una extensión de la estructura de aplicaciones. Simplifique las directivas de seguridad de red asociando Azure recursos para la misma aplicación mediante grupos de seguridad de aplicaciones. - Secure y controle las cargas de trabajo con segmentación de nivel de red - Application security groups Azure Kubernetes Service Requerir Azure interfaz de red de contenedor (Azure CNI) para las aplicaciones de Azure Kubernetes Service (AKS) mediante definiciones integradas en Azure Policy. Implemente la microsegmentación de nivel de contenedor para contenedores en AKS mediante directivas de red. - Conceptos de redes para AKS - Configurar red superpuesta de Azure CNI - Asegurar el tráfico entre pods mediante políticas de red - Referencia de políticas de AKS Microsoft Defender para Servidores Incorporar máquinas virtuales (VM) de Azure, máquinas virtuales en otros entornos de hospedaje en la nube y servidores locales a Defender para Servidores. La protección de red en Microsoft Defender para punto de conexión bloquea los procesos a nivel de host de comunicarse con dominios, nombres de host o direcciones IP específicas que coincidan con Indicadores de Compromiso (IoC). - Planifique la implementación de Defender para Servidores - Proteja su red - Crear indicadores
`Target` 5.4.2 Microsegmentación de aplicaciones y dispositivos Las organizaciones de DoD utilizan soluciones de redes definidas por software (SDN) para establecer soluciones de infraestructura que cumplan las funcionalidades de ZT Target: zonas de red lógicas, roles, atributos y control de acceso condicional para usuarios y dispositivos, servicios de administración de acceso con privilegios para recursos de red y control basado en directivas en el acceso a la API. Outcomes: - Asignar Rol, Atributo y Control de Acceso Basado en Condiciones para Usuarios y Dispositivos - Proveer servicios de gestión de acceso privilegiado - Limitar el acceso por identidad para usuarios y dispositivos - Crear zonas de red lógicas	Microsoft Entra ID Integrate aplicaciones con Microsoft Entra ID. Control del acceso con roles de aplicación, grupos de seguridad y paquetes de acceso. Consulte la guía de Microsoft 1.2 en User. Acceso Condicional Diseñe conjuntos de directivas de Acceso Condicional para la autorización dinámica basada en el usuario, rol, grupo, dispositivo, aplicación cliente, riesgo de identidad y recurso de aplicación. Use contextos de autenticación para crear zonas de red lógicas, en función de las condiciones del usuario y del entorno. Consulte la guía de Microsoft 1.8.3 en Usuario. Privileged Identity Manager Configura PIM para el acceso Just-In-Time (JIT) a roles con privilegios y grupos de seguridad de Microsoft Entra. Consulte la guía de Microsoft 1.4.2 en Usuario. Azure Virtual Machines y bases de datos SQL Configure Azure Virtual Machines e instancias de SQL para usar identidades de Microsoft Entra para el inicio de sesión del usuario. - Inicie sesión en Windows en Azure - Inicie sesión en la máquina virtual Linux en Azure - Autenticación con Azure SQL Azure Bastion Use Bastion para conectarse de forma segura a máquinas virtuales de Azure con direcciones IP privadas desde Azure Portal o mediante el shell seguro nativo (SSH) o un cliente de protocolo de escritorio remoto (RDP). - Bastion Microsoft Defender para servidor Use el acceso Just-In-Time (JIT) a las máquinas virtuales para protegerlos del acceso de red no autorizado. - Habilitación del acceso JIT en máquinas virtuales
`Advanced` Microsegmentación de procesos 5.4.3 Las organizaciones de DoD usan la microsegmentación existente y la infraestructura de automatización de SDN que habilita la microsegmentación de procesos. Los procesos de nivel de host se segmentan en función de las directivas de seguridad y el acceso se concede mediante la toma de decisiones de acceso en tiempo real. Resultados: - Segmentación de procesos de nivel de host para directivas de seguridad - Admitir decisiones de acceso en tiempo real y cambios de directiva - Compatibilidad con la descarga de registros para análisis y automatización - Compatibilidad con la implementación dinámica de la directiva de segmentación	Actividad completa 5.4.2. Microsoft Defender para punto de conexión Habilitar la protección de red en Defender para punto de conexión para impedir que las aplicaciones y los procesos de nivel de host se conecten a dominios de red malintencionados, direcciones IP o nombres de host en peligro. Consulte la guía de Microsoft 4.5.1. Evaluación continua del acceso Evaluación continua de acceso (CAE) permite a los servicios como Exchange Online, SharePoint Online y Microsoft Teams suscribirse a eventos de Microsoft Entra, como la deshabilitación de cuentas y las detecciones de alto riesgo en Protección de Microsoft Entra ID. Consulte la guía de Microsoft 1.8.3 en Usuario. Microsoft Sentinel Usar conectores para consumir registros de Microsoft Entra ID, recursos de red que se envían a Microsoft Sentinel para la auditoría, la búsqueda de amenazas, la detección y la respuesta. Consulte las instrucciones de Microsoft en 5.2.2 y 1.6.2 en Usuario.
`Target` 5.4.4 Proteger datos en tránsito En función de las asignaciones y la supervisión de flujos de datos, las directivas las habilitan las organizaciones de DoD para exigir la protección de los datos en tránsito. Los casos de uso comunes, como el uso compartido de información de la coalición, el uso compartido entre límites del sistema y la protección entre componentes arquitectónicos se incluyen en las directivas de protección. Resultados: - Proteger los datos en tránsito durante el uso compartido de información de la coalición - Proteger los datos en tránsito a través de límites altos del sistema - Integrar datos en la protección de tránsito entre componentes de arquitectura	Microsoft 365 Utilice Microsoft 365 para la colaboración del DoD. Los servicios de Microsoft 365 cifran los datos en reposo y en tránsito. - Cifrado en Microsoft 365 Id. externo de Microsoft Entra Microsoft 365 e Microsoft Entra ID mejoran el uso compartido de coaliciones con fácil incorporación y administración del acceso para los usuarios de otros inquilinos de DoD. - Colaboración B2B - Uso compartido seguro de invitados Configurar el acceso entre inquilinos y la configuración de la nube de Microsoft para controlar cómo colaboran los usuarios con organizaciones externas. - Acceso entre inquilinos - Configuración de la nube de Microsoft Gobernanza de identificadores de Microsoft Entra Controlar los ciclos de vida de acceso de usuarios externos con la administración de derechos. - Acceso externo con administración de derechos Microsoft Defender for Cloud Usar Defender for Cloud para evaluar continuamente y aplicar protocolos de transporte seguros para los recursos en la nube. - administración de la posición de seguridad en la nube

Pasos siguientes

Configure los servicios en la nube de Microsoft para la Estrategia de Confianza Cero del Departamento de Defensa (DoD):

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-04-14