Stratégie Confiance nulle DoD pour le pilier réseau

La DoD Confiance nulle Stratégie et feuille de route décrit un chemin pour les partenaires du ministère de la Défense et de la Base industrielle de défense (DIB) pour adopter un nouveau cadre de cybersécurité basé sur des principes de Confiance nulle. Confiance nulle élimine les hypothèses traditionnelles de périmètre et de confiance, ce qui permet une architecture plus efficace qui améliore la sécurité, les expériences utilisateur et les performances de mission.

Ce guide contient des recommandations pour les activités de 152 Confiance nulle dans la feuille de route d’exécution des capacités DoD Confiance nulle. Les sections correspondent aux sept piliers du modèle doD Confiance nulle.

Utiliser les liens suivants pour accéder aux sections du guide.

5 Réseau

Cette section contient les conseils et recommandations de Microsoft pour les activités DoD Confiance nulle dans le pilier réseau. Pour plus d’informations, consultez Réseaux sécurisés avec Confiance nulle pour plus d’informations.

5.1 Mappage de flux de données

Le service Réseau virtuel Azure est un bloc de construction dans votre réseau privé dans Azure. Dans les réseaux virtuels Azure les ressources communiquent entre elles, Internet et les ressources locales.

Lorsque vous déployez une topologie de réseau hub-and-spoke multiple dans Azure, Pare-feu Azure gère le routage du trafic entre les réseaux virtuels. En outre, Pare-feu Azure Premium inclut des fonctionnalités de sécurité telles que l’inspection Transport-Layer Security (TLS), le système de détection et de prévention des intrusions réseau (IDPS), le filtrage d’URL et le filtrage de contenu.

Azure outils réseau tels que Azure Network Watcher et Azure Monitor Network Insights vous aident à mapper et visualiser le flux de trafic réseau. L’intégration de Microsoft Sentinel permet une visibilité et un contrôle du trafic réseau organisationnel, avec des rapports, des capacités d'automatisation et de détection.

Description et résultat de l’activité DoD Microsoft conseils et recommandations

Target 5.1.1 Définir des règles et stratégies de contrôle d’accès granulaire Pt1
Le DoD Enterprise, qui travaille avec les organisations, crée des règles et stratégies d’accès réseau granulaires. Le ConOps (concept d’opérations) associé est développé en conformité avec les stratégies d’accès et garantit la future supportabilité. D’un commun accord, les organisations du DoD implémenteront ces stratégies d’accès dans les technologies réseau existantes (par exemple, les pare-feu de nouvelle génération, les systèmes de prévention des intrusions, etc.) pour améliorer le niveau de risque initial.

Résultats:
- Fournir des normes techniques
- Développer un concept d’opérations
- Identifier les communautés d’intérêt Pare-feu Azure Premium
Utilisez Réseau virtuel Azure et Pare-feu Azure Premium pour contrôler la communication et le routage entre les ressources cloud, les ressources cloud et locales et Internet. Pare-feu Azure Premium dispose de renseignements sur les menaces, de détection des menaces, et des fonctionnalités de prévention des intrusions pour sécuriser le trafic.
- Stratégie de segmentation
- Routage d'une topologie multi-hub-and-spoke
- Fonctionnalités Pare-feu Azure Premium

Utilisez Pare-feu Azure Policy Analytics pour gérer les règles de pare-feu, activer la visibilité du flux de trafic et effectuer des analyses détaillées sur les règles de pare-feu.
- Pare-feu Azure Policy Analytics

Azure Private Link
Utilisez Azure Private Link pour accéder à Azure Plateforme en tant que service (PaaS) sur un point de terminaison privé dans un réseau virtuel. Utilisez des points de terminaison privés pour sécuriser les ressources Azure critiques uniquement sur les réseaux virtuels. Le trafic du réseau virtuel vers Azure reste sur le réseau principal Azure. Il n'est pas nécessaire d'exposer le réseau virtuel à l'Internet public pour consommer des services PaaS Azure.
- Réseaux sécurisés : limite de service PaaS
- Bonnes pratiques de sécurité réseau

Groupes de sécurité réseau
Activez la journalisation des flux sur les groupes de sécurité réseau (NSG) afin d'obtenir l'activité du trafic. Visualisez les données d’activité dans Network Watcher.
- journaux de flux NSG

Azure Virtual Network Manager
Utilisez Azure Virtual Network Manager pour les configurations centralisées de connectivité et de sécurité pour les réseaux virtuels entre différents abonnements.
- Azure Virtual Network Manager

Azure Firewall Manager
Azure Firewall Manager est un service de gestion de la sécurité pour des stratégies de sécurité centralisées et de gestion des itinéraires pour des périmètres de sécurité basés sur le cloud.
- Azure Firewall Manager

Azure Policy
Utilisez Azure Policy pour appliquer des normes réseau, comme la redirection forcée du trafic via Pare-feu Azure ou d’autres équipements réseau. Interdire les adresses IP publiques ou appliquer l’utilisation sécurisée des protocoles de chiffrement.
- Definitions pour les services de mise en réseau Azure

Azure Monitor
Use Azure Network Watcher et Azure Monitor Network Insights pour une représentation complète et visuelle de votre network.
- Network Watcher
- Network insights

Target 5.1.2 Définir des règles et stratégies de contrôle d’accès granulaire Pt2
Les organisations du DoD utilisent des normes d’étiquetage et de classification des données afin de développer des filtres de données pour l’accès des API à l’infrastructure SDN. Les points de décision de l’API sont formalisés au sein de l’architecture SDN et implémentés avec des applications et services non critiques pour la tâche/mission.

Résultats:
- Définir des filtres d’étiquetage des données pour l’infrastructure d’API Groupes de sécurité d’application
Utiliser des groupes de sécurité d’application pour configurer la sécurité réseau en tant qu’extension de la structure d’application. Regrouper des machines virtuelles et définir des stratégies de sécurité réseau, basées sur les groupes.
- Application security groups

Azure balises de service
Utilisez les balises de service pour les machines virtuelles Azure et les réseaux virtuels Azure pour restreindre l’accès réseau aux services Azure en cours d’utilisation. Azure gère les adresses IP associées à chaque balise.
- Azure balises de service

Pare-feu Azure
Azure Firewall Manager est un service de gestion de la sécurité pour la stratégie de sécurité centralisée et la gestion des itinéraires pour les périmètres de sécurité basés sur le cloud (pare-feu, DDoS, WAF). Utilisez des groupes IP pour gérer les adresses IP pour les règles Pare-feu Azure.
- Azure Firewall Manager
- IP groups

Azure Virtual Network Manager
Gestionnaire de réseau virtuel est un service de gestion pour regrouper, configurer, déployer, afficher et gérer des réseaux virtuels globalement dans les abonnements.
- Common cas d’usage

Azure Network Watcher
Enable Network Watcher pour surveiller, diagnostiquer et afficher les métriques. Activez ou désactivez les journaux d’activité pour Azure ressources IaaS (infrastructure-as-a-service). Utilisez Network Watcher pour surveiller et réparer l’intégrité réseau des produits IaaS tels que les machines virtuelles, les réseaux virtuels, les passerelles d’application, les équilibreurs de charge et plus.
- Azure Network Watcher

Description et résultat de l’activité DoD	Microsoft conseils et recommandations
`Target` 5.1.1 Définir des règles et stratégies de contrôle d’accès granulaire Pt1 Le DoD Enterprise, qui travaille avec les organisations, crée des règles et stratégies d’accès réseau granulaires. Le ConOps (concept d’opérations) associé est développé en conformité avec les stratégies d’accès et garantit la future supportabilité. D’un commun accord, les organisations du DoD implémenteront ces stratégies d’accès dans les technologies réseau existantes (par exemple, les pare-feu de nouvelle génération, les systèmes de prévention des intrusions, etc.) pour améliorer le niveau de risque initial. Résultats: - Fournir des normes techniques - Développer un concept d’opérations - Identifier les communautés d’intérêt	Pare-feu Azure Premium Utilisez Réseau virtuel Azure et Pare-feu Azure Premium pour contrôler la communication et le routage entre les ressources cloud, les ressources cloud et locales et Internet. Pare-feu Azure Premium dispose de renseignements sur les menaces, de détection des menaces, et des fonctionnalités de prévention des intrusions pour sécuriser le trafic. - Stratégie de segmentation - Routage d'une topologie multi-hub-and-spoke - Fonctionnalités Pare-feu Azure Premium Utilisez Pare-feu Azure Policy Analytics pour gérer les règles de pare-feu, activer la visibilité du flux de trafic et effectuer des analyses détaillées sur les règles de pare-feu. - Pare-feu Azure Policy Analytics Azure Private Link Utilisez Azure Private Link pour accéder à Azure Plateforme en tant que service (PaaS) sur un point de terminaison privé dans un réseau virtuel. Utilisez des points de terminaison privés pour sécuriser les ressources Azure critiques uniquement sur les réseaux virtuels. Le trafic du réseau virtuel vers Azure reste sur le réseau principal Azure. Il n'est pas nécessaire d'exposer le réseau virtuel à l'Internet public pour consommer des services PaaS Azure. - Réseaux sécurisés : limite de service PaaS - Bonnes pratiques de sécurité réseau Groupes de sécurité réseau Activez la journalisation des flux sur les groupes de sécurité réseau (NSG) afin d'obtenir l'activité du trafic. Visualisez les données d’activité dans Network Watcher. - journaux de flux NSG Azure Virtual Network Manager Utilisez Azure Virtual Network Manager pour les configurations centralisées de connectivité et de sécurité pour les réseaux virtuels entre différents abonnements. - Azure Virtual Network Manager Azure Firewall Manager Azure Firewall Manager est un service de gestion de la sécurité pour des stratégies de sécurité centralisées et de gestion des itinéraires pour des périmètres de sécurité basés sur le cloud. - Azure Firewall Manager Azure Policy Utilisez Azure Policy pour appliquer des normes réseau, comme la redirection forcée du trafic via Pare-feu Azure ou d’autres équipements réseau. Interdire les adresses IP publiques ou appliquer l’utilisation sécurisée des protocoles de chiffrement. - Definitions pour les services de mise en réseau Azure Azure Monitor Use Azure Network Watcher et Azure Monitor Network Insights pour une représentation complète et visuelle de votre network. - Network Watcher - Network insights
`Target` 5.1.2 Définir des règles et stratégies de contrôle d’accès granulaire Pt2 Les organisations du DoD utilisent des normes d’étiquetage et de classification des données afin de développer des filtres de données pour l’accès des API à l’infrastructure SDN. Les points de décision de l’API sont formalisés au sein de l’architecture SDN et implémentés avec des applications et services non critiques pour la tâche/mission. Résultats: - Définir des filtres d’étiquetage des données pour l’infrastructure d’API	Groupes de sécurité d’application Utiliser des groupes de sécurité d’application pour configurer la sécurité réseau en tant qu’extension de la structure d’application. Regrouper des machines virtuelles et définir des stratégies de sécurité réseau, basées sur les groupes. - Application security groups Azure balises de service Utilisez les balises de service pour les machines virtuelles Azure et les réseaux virtuels Azure pour restreindre l’accès réseau aux services Azure en cours d’utilisation. Azure gère les adresses IP associées à chaque balise. - Azure balises de service Pare-feu Azure Azure Firewall Manager est un service de gestion de la sécurité pour la stratégie de sécurité centralisée et la gestion des itinéraires pour les périmètres de sécurité basés sur le cloud (pare-feu, DDoS, WAF). Utilisez des groupes IP pour gérer les adresses IP pour les règles Pare-feu Azure. - Azure Firewall Manager - IP groups Azure Virtual Network Manager Gestionnaire de réseau virtuel est un service de gestion pour regrouper, configurer, déployer, afficher et gérer des réseaux virtuels globalement dans les abonnements. - Common cas d’usage Azure Network Watcher Enable Network Watcher pour surveiller, diagnostiquer et afficher les métriques. Activez ou désactivez les journaux d’activité pour Azure ressources IaaS (infrastructure-as-a-service). Utilisez Network Watcher pour surveiller et réparer l’intégrité réseau des produits IaaS tels que les machines virtuelles, les réseaux virtuels, les passerelles d’application, les équilibreurs de charge et plus. - Azure Network Watcher

5.2 SDN (Software Defined Network)

Les réseaux virtuels constituent la base des réseaux privés dans Azure. Avec un réseau virtuel(VNet), une organisation contrôle la communication entre les ressources Azure et localement. Filtrez et routez le trafic et intégrez d’autres services Azure tels que Pare-feu Azure, Azure Front Door, Azure Application Gateway, Passerelle VPN Azure et Azure ExpressRoute.

Description et résultat de l’activité DoD	Microsoft conseils et recommandations
`Target` 5.2.1 Définir des API SDN Le DoD Enterprise travaille avec des organisations afin de définir les API nécessaires et d’autres interfaces de programmation pour activer les fonctionnalités SDN (mise en réseau définie par logiciel). Ces API activeront l’automatisation du point de décision d’authentification, du proxy de contrôle de livraison d’application et des passerelles de segmentation. Résultats: - Les API SDN sont normalisées et implémentées - Les API sont fonctionnelles pour le point de décision AuthN, le proxy de contrôle de livraison d’application et les passerelles de segmentation	Azure Resource Manager Deploy et configurez des réseaux Azure à l’aide d’API Azure Resource Manager (ARM). Azure outils de gestion : Azure portail, Azure PowerShell, interface Azure Command-Line (CLI) et les modèles utilisent les mêmes API ARM pour authentifier et autoriser les requêtes. - Azure Resource Manager - Azure Références d’API REST Azure rôles Assigner des rôles Azure intégrés pour la gestion des ressources réseau. Suivez les principes de moindre privilège et attribuez des rôles juste-à-temps (JIT) via PIM. - rôles intégrés Azure
`Target` 5.2.2 Implémenter une infrastructure programmable SDN En suivant les normes des API, les exigences et fonctionnalités de l’API SDN, les organisations du DoD implémenteront une infrastructure SDN (mise en réseau définie par logiciel) pour activer des tâches d’automatisation. Les passerelles de segmentation et les points de décision d’authentification sont intégrés à l’infrastructure SDN, ainsi que la journalisation de sortie dans un référentiel standardisé (par exemple, SIEM, Log Analytics) pour la surveillance et les alertes. Résultats: - Implémentation du proxy de contrôle de livraison d’applications - Création des activités de journalisation SIEM - Implémentation de l’analyse des activités utilisateur (UAM) - Intégration dans le point de décision d’authentification	Azure ressources réseau Un accès externe sécurisé aux applications hébergées dans un réseau virtuel avec : Azure Front Door (AFD), Azure Application Gateway ou Pare-feu Azure. AFD et Application Gateway ont des fonctionnalités d’équilibrage de charge et de sécurité pour Open Web Application Security Project (OWASP) Top 10 et bots. Vous pouvez créer des règles personnalisées. Pare-feu Azure dispose d’un filtrage des informations sur les menaces au niveau de la couche 4. - Filtrage et protection natifs pour le cloud contre les menaces connues - Conception d'architecture réseau Microsoft Sentinel Pare-feu Azure, Application Gateway, ADF et Azure Bastion exportent des journaux vers Sentinel, ou d’autres systèmes SIEM (Security Information and Event Management) à des fins d’analyse. Utilisez des connecteurs dans Sentinel ou Azure Policy pour appliquer cette exigence dans un environnement. - Pare-feu Azure avec Sentinel - Connecteur de pare-feu d'applications web Azure vers Sentinel - Trouvez des connecteurs de données Sentinel Proxy d’application Microsoft Entra Déployez le proxy d'application pour publier et distribuer des applications privées sur votre réseau local. Intégrer des solutions partenaires d’accès hybride sécurisé. - Application proxy - Déployer un proxy d'application - Intégrations SHA des partenaires Protection Microsoft Entra ID Déployer Protection Microsoft Entra ID et apporter des signaux de risque de connexion à l'accès conditionnel. Voir les conseils de Microsoft 1.3.3 dans Utilisateur. Microsoft Defender for Cloud Apps Utiliser Defender for Cloud Apps pour surveiller les sessions d'application web à risque. - Defender for Cloud Apps
`Target` 5.2.3 Segmenter les flux des plans de contrôle, de gestion et de données L’infrastructure réseau et les flux sont segmentés physiquement ou logiquement dans les plans de contrôle, de gestion et de données. La segmentation de base à l’aide des approches IPv6/VLAN est implémentée pour mieux organiser le trafic entre les plans de données. Analytics et NetFlow sont automatiquement alimentés depuis l’infrastructure mise à jour dans les centres d’opérations et les outils d’analyse. Résultats: - Segmentation IPv6 - Activer la création de rapports d’informations NetOps automatisée - Garantir le contrôle de la configuration dans l’entreprise - Intégration dans SOAR	Azure Resource Manager Azure Resource Manager est un service de déploiement et de gestion avec une couche de gestion pour créer, mettre à jour et supprimer des ressources dans un compte Azure. - Azure les plans de contrôle et de données - Plans de contrôle multitenants - Sécurité opérationnelle Azure Microsoft Sentinel Connecter l'infrastructure réseau Azure à Sentinel. Configurez les connecteurs de données Sentinel pour les solutions réseau non Azure. Utiliser des requêtes d’analytique personnalisées pour déclencher Sentinel SOAR Automation. - Réponse aux menaces avec des playbooks - Détection et réponse pour Pare-feu Azure avec Logic Apps Voir les conseils de Microsoft dans la version 5.2.2.
`Advanced` 5.2.4 Détection et optimisation des ressource réseau Les organisations du DoD automatisent la détection des ressources réseau via l’infrastructure SDN en limitant l’accès aux appareils en fonction d’approches méthodiques basées sur les risques. L’optimisation est effectuée en fonction de l’analyse SDN pour améliorer les performances globales et fournir l’accès approuvé nécessaire aux ressources. Résultats: - Actualisation technique/Évolution technologique - Fournir des contrôles d’optimisation/de performance	Azure Monitor Utilisez les insights réseau d'Azure Monitor pour voir une représentation visuelle complète des ressources réseau, y compris la topologie, l’intégrité et les métriques. Voir les conseils de Microsoft dans 5.1.1. Microsoft Defender for Cloud Defender for Cloud découvre et répertorie un inventaire des ressources approvisionnées dans Azure, les autres clouds, et les environnements locaux. - Environnement multicloud - Gérer la posture de sécurité des ressources Microsoft Defender for Endpoint Intégrez des points de terminaison et configurez la découverte d’appareils pour collecter, sonder ou analyser votre réseau pour détecter des appareils non gérés. - Vue d’ensemble de la découverte des appareils
`Advanced` 5.2.5 Décisions d’accès en temps réel L’infrastructure SDN utilise des sources de données inter-piliers tels que l’analyse des activités des utilisateurs, l’analyse des activités des entités, les profils de sécurité d’entreprise et bien plus encore pour prendre des décisions d’accès en temps réel. Machine Learning est utilisé pour faciliter la prise de décision en fonction de l’analyse réseau avancée (capture complète de paquets, etc.). Des stratégies sont constamment implémentées dans l’entreprise à l’aide de normes d’accès unifiées. Résultats: - Analyser les journaux SIEM avec le moteur Analytics pour fournir des décisions d’accès aux stratégies en temps réel - Prise en charge de l’envoi de paquets capturés, de flux de données/réseau et d’autres journaux spécifiques à Analytics - Flux réseau de transport de bout en bout de segments - Auditer les stratégies de sécurité à des fins de cohérence dans l’entreprise	Complétez les activités 5.2.1 - 5.2.4. Microsoft Sentinel Détectez les menaces en envoyant les journaux réseau à Sentinel pour analyse. Utiliser des fonctionnalités telles que la veille des menaces, la détection avancée des attaques à plusieurs étapes, la chasse aux menaces et les requêtes intégrées. L’automatisation Sentinel permet aux opérateurs de bloquer les adresses IP malveillantes. - Détecter les menaces avec des règles d'analyse - Connecteur Pare-feu Azure pour Sentinel Azure Network Watcher Utilisez Azure Network Watcher pour capturer le trafic réseau à destination et en provenance de machines virtuelles et de groupes de machines virtuelles. - Capture de paquets Microsoft Defender pour le Cloud Defender pour le Cloud évalue la conformité aux contrôles de sécurité réseau prescrits dans les cadres tels que le Microsoft Cloud Security Benchmark, le DoD Impact Level 4 (IL4) et IL5, et le National Institute of Standards and Technology (NIST) 800-53 R4/R5. - Contrôle de sécurité : Sécurité du réseau Accès Conditionnel Utilisez le carnet d'analyse et de rapports d'accès conditionnel pour comprendre les effets des stratégies d'accès conditionnel organisationnelles. - Analyses et rapports

5.3 Macro-segmentation

Les abonnements Azure sont des structures de niveau supérieur destinées à séparer les ressources Azure. La communication entre les ressources de différents abonnements est configurée de manière explicite. Les ressources de réseau virtuel (VNet) d’un abonnement fournissent une autonomie des ressources au niveau du réseau. Par défaut, les réseaux virtuels ne peuvent pas communiquer avec d’autres réseaux virtuels. Pour activer la communication réseau entre les réseaux virtuels, mettez-les en paire et utilisez Pare-feu Azure pour contrôler et surveiller le trafic.

Pour en savoir plus, consulter Sécuriser et gérer des charges de travail avec une segmentation au niveau réseau.

Description et résultat de l’activité DoD Microsoft conseils et recommandations

Target 5.3.1 Macro-segmentation du centre de données
Les organisations du DoD implémentent une macro-segmentation focalisée sur le centre de données à l’aide d’architectures hiérarchiques traditionnelles (web, application, base de données) et/ou basées sur des services. Les contrôles de proxy et/ou de mise en application sont intégrés aux solutions SDN basées sur les attributs et le comportement de l’appareil.

Résultats:
- Journaliser les actions sur SIEM
- Établir des vérifications de proxy/application des attributs, du comportement et d’autres données de l’appareil
- Analyser les activités avec un moteur d’analyse Mise en réseau Azure
Concevez et mettez en œuvre des services de mise en réseau Azure, basés sur des architectures établies, comme les zones de déploiement à l'échelle de l'entreprise. Segmentez Azure réseaux virtuels (réseaux virtuels) et suivez les bonnes pratiques de sécurité réseau Azure. Utilisez des contrôles de sécurité réseau lorsque des paquets franchissent différentes limites de VNet.
- Pratiques exemplaires pour la sécurité réseau
- Souveraineté et zones d’atterrissage Azure
- Topologie réseau et connectivité
- Mise en réseau et connectivité

Protection Microsoft Entra ID
Déployez Protection Microsoft Entra ID et utilisez des signaux d’appareil et de risque dans votre ensemble de stratégies d’accès conditionnel.

Consultez le conseil Microsoft 1.3.3 dans Utilisateur et 2.1.4 dans Appareil.

Microsoft Sentinel
Utilisez les journaux d’activité depuis Microsoft Entra ID, les ressources réseau à envoyer à Microsoft Sentinel pour l’audit, la chasse aux menaces, la détection et la réponse. Activer l’analyse du comportement des entités utilisateur (UEBA) dans Sentinel.

Voir les recommandations Microsoft dans 5.2.2 et 1.6.2 dans User.

Microsoft Defender XDR
Intégrer Microsoft Defender pour Endpoint avec Microsoft Defender pour Cloud Apps et bloquer l’accès aux applications non approuvées.
- Intégrer Defender pour Cloud Apps avec Microsoft Defender pour Endpoint
- Découvrir et bloquer le shadow IT

Target 5.3.2 Macro-segmentation B/C/P/S
Les organisations du DoD implémentent la macro-segmentation de base, de camp, de poste et de station en utilisant des zones réseau logiques limitant le mouvement latéral. Les contrôles de proxy et/ou de mise en application sont intégrés aux solutions SDN basées sur les attributs et le comportement de l’appareil.

Résultats:
- Établir des vérifications de proxy/application des attributs, du comportement et d’autres données de l’appareil
- Journaliser les actions sur SIEM
- Analyser les activités avec un moteur d’analyse
- Tirer profit de SOAR pour fournir des décisions d’accès à la stratégie RT Complete activity 5.3.1.

Microsoft Sentinel
Use Pare-feu Azure pour visualiser les activités de pare-feu, détecter les menaces avec les fonctionnalités d’investigation ia, mettre en corrélation les activités et automatiser les actions de réponse.
- Pare-feu Azure

Description et résultat de l’activité DoD	Microsoft conseils et recommandations
`Target` 5.3.1 Macro-segmentation du centre de données Les organisations du DoD implémentent une macro-segmentation focalisée sur le centre de données à l’aide d’architectures hiérarchiques traditionnelles (web, application, base de données) et/ou basées sur des services. Les contrôles de proxy et/ou de mise en application sont intégrés aux solutions SDN basées sur les attributs et le comportement de l’appareil. Résultats: - Journaliser les actions sur SIEM - Établir des vérifications de proxy/application des attributs, du comportement et d’autres données de l’appareil - Analyser les activités avec un moteur d’analyse	Mise en réseau Azure Concevez et mettez en œuvre des services de mise en réseau Azure, basés sur des architectures établies, comme les zones de déploiement à l'échelle de l'entreprise. Segmentez Azure réseaux virtuels (réseaux virtuels) et suivez les bonnes pratiques de sécurité réseau Azure. Utilisez des contrôles de sécurité réseau lorsque des paquets franchissent différentes limites de VNet. - Pratiques exemplaires pour la sécurité réseau - Souveraineté et zones d’atterrissage Azure - Topologie réseau et connectivité - Mise en réseau et connectivité Protection Microsoft Entra ID Déployez Protection Microsoft Entra ID et utilisez des signaux d’appareil et de risque dans votre ensemble de stratégies d’accès conditionnel. Consultez le conseil Microsoft 1.3.3 dans Utilisateur et 2.1.4 dans Appareil. Microsoft Sentinel Utilisez les journaux d’activité depuis Microsoft Entra ID, les ressources réseau à envoyer à Microsoft Sentinel pour l’audit, la chasse aux menaces, la détection et la réponse. Activer l’analyse du comportement des entités utilisateur (UEBA) dans Sentinel. Voir les recommandations Microsoft dans 5.2.2 et 1.6.2 dans User. Microsoft Defender XDR Intégrer Microsoft Defender pour Endpoint avec Microsoft Defender pour Cloud Apps et bloquer l’accès aux applications non approuvées. - Intégrer Defender pour Cloud Apps avec Microsoft Defender pour Endpoint - Découvrir et bloquer le shadow IT
`Target` 5.3.2 Macro-segmentation B/C/P/S Les organisations du DoD implémentent la macro-segmentation de base, de camp, de poste et de station en utilisant des zones réseau logiques limitant le mouvement latéral. Les contrôles de proxy et/ou de mise en application sont intégrés aux solutions SDN basées sur les attributs et le comportement de l’appareil. Résultats: - Établir des vérifications de proxy/application des attributs, du comportement et d’autres données de l’appareil - Journaliser les actions sur SIEM - Analyser les activités avec un moteur d’analyse - Tirer profit de SOAR pour fournir des décisions d’accès à la stratégie RT	Complete activity 5.3.1. Microsoft Sentinel Use Pare-feu Azure pour visualiser les activités de pare-feu, détecter les menaces avec les fonctionnalités d’investigation ia, mettre en corrélation les activités et automatiser les actions de réponse. - Pare-feu Azure

5.4 Micro-segmentation

Les groupes de sécurité réseau (NSG) et les groupes de sécurité d’application (ASG) fournissent une micro segmentation de sécurité réseau pour les réseaux Azure. Les ASG simplifient le filtrage du trafic en fonction des modèles d’application. Déployer plusieurs applications dans le même sous-réseau et isoler le trafic en fonction des ASG.

Pour en savoir plus, consulter Sécuriser et gérer des charges de travail avec une segmentation au niveau réseau.

Description et résultat de l’activité DoD	Microsoft conseils et recommandations
`Target` 5.4.1 Implémenter la micro-segmentation Les organisations du DoD implémentent une infrastructure de micro-segmentation dans un environnement SDN, ce qui permet la segmentation de base des composants du service (par exemple, web, application, base de données), ports et protocoles. L’automatisation de base est acceptée en cas de modifications de stratégie, notamment de prise de décision d’API. Les environnements d’hébergement virtuel implémentent la micro-segmentation au niveau de l’hôte/du conteneur. Résultats: - Accepter les modifications de stratégie automatisées - Implémenter des points de décision d’API - Implémenter NGF/Micro FW/un agent de point de terminaison dans un environnement d’hébergement virtuel	Activité compléter 5.3.1. Pare-feu Azure Premium Utilisez Pare-feu Azure Premium en tant que pare-feu de nouvelle génération (NGF) dans votre stratégie de segmentation du réseau Azure. Voir les conseils de Microsoft dans 5.1.1. Groupes de sécurité d'application Dans les groupes de sécurité réseau (NSG), vous pouvez utiliser des groupes de sécurité d'application pour configurer la sécurité réseau comme une extension de la structure d'application. Simplifier les stratégies de sécurité réseau en associant des ressources Azure pour la même application à l’aide de groupes de sécurité d’application. - Secure et régir les charges de travail avec une segmentation au niveau du réseau - Azure Kubernetes Service Exiger Azure interface de mise en réseau de conteneur (Azure CNI) pour les applications dans Azure Kubernetes Service (AKS) à l’aide de définitions intégrées dans Azure Policy. Implémentez la microsegmentation au niveau des conteneurs dans AKS en utilisant les stratégies réseau. concepts de mise en réseau pour AKS- - Configurer la mise en réseau CNI Overlay d'Azure - Sécuriser le trafic entre les pods à l'aide de politiques réseau - Référence de la politique AKS Microsoft Defender pour serveurs Intégrer des machines virtuelles Azure, des machines virtuelles dans d’autres environnements d’hébergement cloud et des serveurs locaux pour Defender pour serveurs. La protection réseau dans Microsoft Defender for Endpoint empêche les processus au niveau de l’hôte de communiquer avec des domaines, des noms d’hôte ou des adresses IP spécifiques correspondant aux indicateurs de compromission (IoC). - Planifiez le déploiement de Defender pour les serveurs - Protégez votre réseau - Créer des indicateurs
`Target` 5.4.2 Micro-segmentation d’application et d’appareil Les organisations du DoD utilisent des solutions SDN (mise en réseau définie par logiciel) pour établir une infrastructure répondant aux fonctionnalités cibles ZT : zones réseau logiques, contrôle d’accès conditionnel, en fonction du rôle et de l’attribut pour les utilisateurs et les appareils, services de PAM pour les ressources réseau et contrôle stratégique de l’accès aux API. Résultats : - Attribuer un rôle, un attribut et un contrôle d'accès basé sur des conditions aux utilisateurs et appareils - Fournir des services de gestion des accès privilégiés - Limiter l'accès sur une base par identité pour les utilisateurs et les appareils - Créer des zones réseau logiques	Microsoft Entra ID Integrate applications avec Microsoft Entra ID. Gérer l’accès avec des rôles d'application, des groupes de sécurité et des packages d'accès. Consultez la guidance 1.2 de Microsoft dans User. Accès conditionnel Concevoir un ensemble de politiques d'Accès conditionnel pour une autorisation dynamique en fonction de l'utilisateur, du rôle, du groupe, de l'appareil, de l'application cliente, du risque d'identité, et de la ressource d'application. Utilisez des contextes d’authentification pour créer des zones réseau logiques, en fonction des conditions utilisateur et environnementales. Voir les conseils de Microsoft 1.8.3 dans Utilisateur. Privileged Identity Manager Configurez PIM pour un accès juste-à-temps (JIT) aux rôles privilégiés et aux groupes de sécurité Microsoft Entra. Voir les conseils de Microsoft 1.4.2 dans Utilisateur. Machines virtuelles Azure et bases de données SQL Configurez les machines virtuelles Azure et les instances SQL pour utiliser les identités Microsoft Entra pour la connexion utilisateur. - Connexion à Windows dans Azure - Connexion à la machine virtuelle Linux dans Azure - Authentification avec Azure SQL Bastion Azure Utilisez Bastion pour vous connecter en toute sécurité aux machines virtuelles Azure avec des adresses IP privées à partir du portail Azure, ou en utilisant un interpréteur de commandes sécurisé natif (SSH) ou un client de protocole de bureau à distance (RDP). - Bastion Microsoft Defender pour serveurs Utilisez l’accès juste-à-temps (JIT) aux machines virtuelles pour les protéger contre un accès réseau non autorisé. - Activez l'accès JIT sur les machines virtuelles
`Advanced` 5.4.3 Procéder à une micro-segmentation Les organisations du DoD utilisent la micro-segmentation et l’infrastructure d’automatisation SDN existantes permettant de procéder à une micro-segmentation du processus. Les processus au niveau de l’hôte sont segmentés en fonction des stratégies de sécurité et un accès est octroyé en utilisant une prise de décision d’accès en temps réel. Résultats: - Segmenter les processus au niveau de l’hôte pour les stratégies de sécurité - Prendre en charge des décisions d’accès en temps réel et des modifications de stratégie - Prendre en charge le déchargement des journaux d’activité à des fins d’analyse et d’automatisation - Prendre en charge le déploiement dynamique de la stratégie de segmentation	Complétez l'activité 5.4.2. Microsoft Defender pour Endpoint Activez la protection réseau dans Defender pour Endpoint afin de bloquer les processus et applications au niveau de l'hôte d'être connectés à des domaines réseau malveillants, adresses IP ou noms d'hôtes compromis. Voir les recommandations de Microsoft 4.5.1. Évaluation de l'accès continu L'évaluation de l'accès continu (CAE) permet à des services tels que Exchange Online, SharePoint Online et Microsoft Teams de s’abonner à des événements Microsoft Entra, tels que la désactivation de comptes et les détections à haut risque dans Protection Microsoft Entra ID. Voir les recommandations de Microsoft 1.8.3 dans Utilisateur. Microsoft Sentinel Utiliser les connecteurs pour consommer les journaux de Microsoft Entra ID et envoyer les ressources réseau à Microsoft Sentinel pour l'audit, la chasse aux menaces, la détection, et la réponse. Voir les recommandations de Microsoft dans 5.2.2 et 1.6.2 dans Utilisateur.
`Target` 5.4.4 Protéger les données en transit En fonction des mappages et de l’analyse des flux de données, des stratégies sont activées par les organisations du DoD pour autoriser la protection des données en transit. Les cas d’usage courants tels que le partage d’informations de coalition, le partage au-delà des limites du système et la protection entre les composants architecturaux sont inclus dans les stratégies de protection. Résultats: - Protéger les données en transit pendant le partage d’informations de coalition - Protéger les données en transit au-delà des limites hautes du système - Intégrer des données dans la protection du transit entre les composants d’architecture	Microsoft 365 Utiliser Microsoft 365 pour la collaboration DoD. Microsoft 365 services chiffrent les données au repos et en transit. - Chiffrement dans Microsoft 365 ID externe Microsoft Entra Microsoft 365 et Microsoft Entra ID améliorent le partage de coalition avec une intégration et une gestion faciles d’accès pour les utilisateurs dans d’autres locataires DoD. - Collaboration interentreprises - Partage d’invités sécurisé Configurer l'accès entre locataires et les paramètres de cloud Microsoft pour contrôler la façon dont les utilisateurs collaborent avec des organisations externes. - Accès entre locataires - Paramètres de cloud Microsoft Gouvernance de Microsoft Entra ID Gouverner les cycles de vie d'accès des utilisateurs externes avec la gestion des droits. - Accès externe avec gestion des droits d’utilisation Microsoft Defender pour le Cloud Utiliser Defender pour le Cloud pour évaluer en permanence et appliquer des protocoles de transport sécurisés pour les ressources cloud. - Gestion de la posture de sécurité du cloud

Étapes suivantes

Configurez Microsoft services cloud pour la stratégie de Confiance nulle DoD :

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2026-04-14