DoD Zero Trust Strategia per il pilastro della rete

Il DoD Zero Trust Strategia e Roadmap delinea un percorso per i componenti del Dipartimento della Difesa e i partner della Defense Industrial Base (DIB) per adottare un nuovo framework di cybersecurity basato sui principi dello Zero Trust. Zero Trust elimina i tradizionali perimetri e presupposti di attendibilità, consentendo un'architettura più efficiente che migliora la sicurezza, le esperienze utente e le prestazioni di missione.

Questa guida include raccomandazioni per le 152 attività di Zero Trust nel Roadmap per l'Esecuzione della Capacità di Zero Trust del DoD. Le sezioni corrispondono ai sette pilastri del modello di Zero Trust DoD.

Usare i collegamenti seguenti per passare alle sezioni della guida.

5 Rete

Questa sezione include le linee guida e raccomandazioni di Microsoft per le attività DoD di Zero Trust nel pilastro della rete. Per saperne di più, vedere Reti sicure con Zero Trust.

Mappatura del flusso di dati

Il servizio Rete virtuale di Azure è un elemento costitutivo della rete privata in Azure. Nelle reti virtuali Azure le risorse comunicano tra loro, Internet e le risorse locali.

Quando si distribuisce una topologia di rete hub-spoke in Azure, Firewall di Azure gestisce il traffico di routing tra reti virtuali. Inoltre, Firewall di Azure Premium include funzionalità di sicurezza come ispezione TLS (Trasport-Layer Security), intrusioni di rete, rilevamento e prevenzione (IDPS), filtro URL e filtro del contenuto.

Azure strumenti di rete come Azure Network Watcher e Monitoraggio di Azure Network Insights consentono di eseguire il mapping e visualizzare il flusso del traffico di rete. Microsoft Sentinel'integrazione consente visibilità e controllo sul traffico di rete aziendale, con cartelle di lavoro, automazione e funzionalità di rilevamento.

Descrizione e risultato dell'attività DoD Microsoft indicazioni e consigli

5.1.1 Definire Regole di Accesso Granulare & Criteri Pt1Il DoD Enterprise, lavorando con le organizzazioni, crea criteri e regole di accesso di rete granulari. Il concetto associato di operazioni (ConOps) viene sviluppato in linea con i criteri di accesso e garantisce il supporto futuro. Una volta concordato, le organizzazioni DoD implementeranno questi criteri di accesso nelle tecnologie di rete esistenti (ad esempio firewall di nuova generazione, sistemi di prevenzione delle intrusioni e così via) per migliorare i livelli di rischio iniziali.

Risultati:
fornire standard
tecnici- Sviluppare il concetto di operazioni
- Identificare le comunità di interesse Firewall di Azure Premium
Use Rete virtuale di Azure e Firewall di Azure Premium per controllare le comunicazioni e il routing tra risorse cloud, risorse cloud e locali e Internet. Firewall di Azure Premium include intelligence per le minacce, rilevamento delle minacce e funzionalità di prevenzione delle intrusioni per proteggere il traffico.
- Strategy di segmentazione
- Instradare una topologia multi-hub-and-spoke
- Funzionalità di Firewall di Azure Premium

Utilizzare Firewall di Azure Policy Analytics per gestire le regole del firewall, abilitare la visibilità sul flusso del traffico ed eseguire analisi dettagliate sulle regole del firewall.
- Firewall di Azure Policy Analytics

collegamento privato di Azure
Utilizzare collegamento privato di Azure per accedere alla piattaforma Azure distribuita come servizio (PaaS) tramite un endpoint privato in una rete virtuale. Usare endpoint privati per proteggere le risorse critiche Azure esclusivamente nelle reti virtuali. Il traffico dalla rete virtuale alla Azure rimane nella rete backbone Azure. Non è necessario esporre la rete virtuale alla rete Internet pubblica per l'utilizzo dei servizi PaaS di Azure.
- Reti sicure: limite del servizio PaaS
- Best practice di sicurezza della rete

Gruppi di sicurezza della rete
Abilita il logging del flusso nei gruppi di sicurezza della rete (NSG) per ottenere l'attività del traffico. Visualizzare i dati delle attività in Network Watcher.
- Log di flusso NSG

gestione rete virtuale di Azure
Utilizzare gestione rete virtuale di Azure per le configurazioni centralizzate di connettività e sicurezza delle reti virtuali tra sottoscrizioni.
- gestione rete virtuale di Azure

Gestione firewall di Azure
Gestione firewall di Azure è un servizio di gestione della sicurezza per la gestione centralizzata dei criteri di sicurezza e delle route per i perimetrali di sicurezza basati sul cloud.
- Gestione firewall di Azure

Criteri di Azure
Usare Criteri di Azure per applicare standard di rete, ad esempio il traffico forzato tunneling per Firewall di Azure o altre appliance di rete. Impedire indirizzi IP pubblici o applicare l'uso sicuro dei protocolli di crittografia.
- Definitions per i servizi di rete Azure

Monitoraggio di Azure
Use Azure Network Watcher e Monitoraggio di Azure Network Insights per una rappresentazione completa e visiva di network.
- Network Watcher
- Network insights

Target 5.1.2 Definire regole di accesso granulare e criteri pt2
Le organizzazioni DoD usano gli standard di assegnazione di tag e classificazione dei dati per sviluppare filtri dati per l'accesso api all'infrastruttura SDN. I punti decisionali API vengono formalizzati nell'architettura SDN e implementati con applicazioni e servizi non cruciali per le attività.

Risultato:
definire i filtri di assegnazione di tag ai dati per l'infrastruttura API Gruppi di sicurezza delle applicazioni Usare i gruppi di sicurezza
delle applicazioni per configurare la sicurezza di rete come estensione della struttura dell'applicazione. Raggruppare le macchine virtuali (VM) e definire i criteri di sicurezza di rete in base ai gruppi.
- Gruppi di sicurezza di applicazione

Tag del servizio Azure
Usare i tag di servizio per le macchine virtuali Azure e le reti virtuali Azure per limitare l'accesso alla rete ai servizi Azure in uso. Azure gestisce gli indirizzi IP associati a ogni tag.
- Azure tag del servizio

Firewall di Azure
Gestione firewall di Azure è un servizio di gestione della sicurezza per la gestione centralizzata dei criteri di sicurezza e delle route per i perimetri di sicurezza basati sul cloud (firewall, DDoS, WAF). Usare i gruppi IP per gestire gli indirizzi IP per le regole di Firewall di Azure.Gestione firewall di Azuregruppi IPgestione rete virtuale di Azure programma di traduzione è un servizio di gestione per raggruppare, configurare, distribuire, visualizzare e gestire reti virtuali a livello globale tra sottoscrizioni.
- Casi d'usocommon

Azure Network Watcher
Enable Network Watcher per monitorare, diagnosticare e visualizzare le metriche. Abilitare o disabilitare i log per le risorse di Azure Infrastructure-as-a-Service (IaaS). Usare Network Watcher per monitorare e ripristinare l'integrità di rete dei prodotti IaaS come macchine virtuali, reti virtuali, gateway applicazione, servizi di bilanciamento del carico e altro.
- Azure Network Watcher

Descrizione e risultato dell'attività DoD	Microsoft indicazioni e consigli
5.1.1 Definire Regole di Accesso Granulare & Criteri Pt1Il DoD Enterprise, lavorando con le organizzazioni, crea criteri e regole di accesso di rete granulari. Il concetto associato di operazioni (ConOps) viene sviluppato in linea con i criteri di accesso e garantisce il supporto futuro. Una volta concordato, le organizzazioni DoD implementeranno questi criteri di accesso nelle tecnologie di rete esistenti (ad esempio firewall di nuova generazione, sistemi di prevenzione delle intrusioni e così via) per migliorare i livelli di rischio iniziali. Risultati: fornire standard tecnici- Sviluppare il concetto di operazioni - Identificare le comunità di interesse	Firewall di Azure Premium Use Rete virtuale di Azure e Firewall di Azure Premium per controllare le comunicazioni e il routing tra risorse cloud, risorse cloud e locali e Internet. Firewall di Azure Premium include intelligence per le minacce, rilevamento delle minacce e funzionalità di prevenzione delle intrusioni per proteggere il traffico. - Strategy di segmentazione - Instradare una topologia multi-hub-and-spoke - Funzionalità di Firewall di Azure Premium Utilizzare Firewall di Azure Policy Analytics per gestire le regole del firewall, abilitare la visibilità sul flusso del traffico ed eseguire analisi dettagliate sulle regole del firewall. - Firewall di Azure Policy Analytics collegamento privato di Azure Utilizzare collegamento privato di Azure per accedere alla piattaforma Azure distribuita come servizio (PaaS) tramite un endpoint privato in una rete virtuale. Usare endpoint privati per proteggere le risorse critiche Azure esclusivamente nelle reti virtuali. Il traffico dalla rete virtuale alla Azure rimane nella rete backbone Azure. Non è necessario esporre la rete virtuale alla rete Internet pubblica per l'utilizzo dei servizi PaaS di Azure. - Reti sicure: limite del servizio PaaS - Best practice di sicurezza della rete Gruppi di sicurezza della rete Abilita il logging del flusso nei gruppi di sicurezza della rete (NSG) per ottenere l'attività del traffico. Visualizzare i dati delle attività in Network Watcher. - Log di flusso NSG gestione rete virtuale di Azure Utilizzare gestione rete virtuale di Azure per le configurazioni centralizzate di connettività e sicurezza delle reti virtuali tra sottoscrizioni. - gestione rete virtuale di Azure Gestione firewall di Azure Gestione firewall di Azure è un servizio di gestione della sicurezza per la gestione centralizzata dei criteri di sicurezza e delle route per i perimetrali di sicurezza basati sul cloud. - Gestione firewall di Azure Criteri di Azure Usare Criteri di Azure per applicare standard di rete, ad esempio il traffico forzato tunneling per Firewall di Azure o altre appliance di rete. Impedire indirizzi IP pubblici o applicare l'uso sicuro dei protocolli di crittografia. - Definitions per i servizi di rete Azure Monitoraggio di Azure Use Azure Network Watcher e Monitoraggio di Azure Network Insights per una rappresentazione completa e visiva di network. - Network Watcher - Network insights
`Target` 5.1.2 Definire regole di accesso granulare e criteri pt2 Le organizzazioni DoD usano gli standard di assegnazione di tag e classificazione dei dati per sviluppare filtri dati per l'accesso api all'infrastruttura SDN. I punti decisionali API vengono formalizzati nell'architettura SDN e implementati con applicazioni e servizi non cruciali per le attività. Risultato: definire i filtri di assegnazione di tag ai dati per l'infrastruttura API	Gruppi di sicurezza delle applicazioni Usare i gruppi di sicurezza delle applicazioni per configurare la sicurezza di rete come estensione della struttura dell'applicazione. Raggruppare le macchine virtuali (VM) e definire i criteri di sicurezza di rete in base ai gruppi. - Gruppi di sicurezza di applicazione Tag del servizio Azure Usare i tag di servizio per le macchine virtuali Azure e le reti virtuali Azure per limitare l'accesso alla rete ai servizi Azure in uso. Azure gestisce gli indirizzi IP associati a ogni tag. - Azure tag del servizio Firewall di Azure Gestione firewall di Azure è un servizio di gestione della sicurezza per la gestione centralizzata dei criteri di sicurezza e delle route per i perimetri di sicurezza basati sul cloud (firewall, DDoS, WAF). Usare i gruppi IP per gestire gli indirizzi IP per le regole di Firewall di Azure.Gestione firewall di Azuregruppi IPgestione rete virtuale di Azure programma di traduzione è un servizio di gestione per raggruppare, configurare, distribuire, visualizzare e gestire reti virtuali a livello globale tra sottoscrizioni. - Casi d'usocommon Azure Network Watcher Enable Network Watcher per monitorare, diagnosticare e visualizzare le metriche. Abilitare o disabilitare i log per le risorse di Azure Infrastructure-as-a-Service (IaaS). Usare Network Watcher per monitorare e ripristinare l'integrità di rete dei prodotti IaaS come macchine virtuali, reti virtuali, gateway applicazione, servizi di bilanciamento del carico e altro. - Azure Network Watcher

Reti definite dal software

Le reti virtuali sono la base delle reti private in Azure. Con una rete virtuale , un'organizzazione controlla la comunicazione tra le risorse Azure e l'ambiente locale. Filtrare e instradare il traffico e integrarsi con altri servizi di Azure come Firewall di Azure, Frontdoor di Azure, gateway applicazione di Azure, Gateway VPN di Azure e Azure ExpressRoute.

Descrizione e risultato dell'attività DoD	Microsoft indicazioni e consigli
`Target` 5.2.1 Definire le API SDN L'impresa DoD collabora con le organizzazioni per definire le API necessarie e altre interfacce programmatiche per abilitare le funzionalità SDN (Software Defined Networking). Queste API consentiranno l'automazione del punto decisionale di autenticazione, del proxy di controllo della distribuzione delle applicazioni e dei gateway di segmentazione. Risultati: le API SDN sono standardizzate e implementate : le API sono funzionali per il punto decisionale AuthN, il proxy di controllo della distribuzione delle app e i gateway di segmentazione	Azure Resource Manager Distribuire e configurare le reti Azure usando Azure Resource Manager (ARM) API. strumenti di gestione Azure: portale di Azure, Azure PowerShell, interfaccia Azure Command-Line e modelli usano le stesse API ARM per autenticare e autorizzare le richieste. - Azure Resource Manager - Azure Riferimenti all'API REST Azure ruoli Assegnare i ruoli di Azure predefiniti per la gestione delle risorse di rete. Seguire i principi dei privilegi minimi e assegnare ruoli Just-In-Time (JIT) tramite PIM. - Ruoli integrati di Azure
`Target` 5.2.2 Implementare l'infrastruttura programmabile SDNSeguendo gli standard, i requisiti e le funzionalità dell'API SDN, le organizzazioni DoD implementeranno l'infrastruttura SDN (Software Defined Networking) per abilitare le attività di automazione. I gateway di segmentazione e i punti decisionali di autenticazione sono integrati nell'infrastruttura SDN insieme alla registrazione dell'output in un repository standardizzato (ad esempio SIEM, Log Analytics) per il monitoraggio e l'invio di avvisi. Risultati: - Implementazione del Proxy per il Controllo della Consegna delle Applicazioni - Attività di Log SIEM Stabilite - Implementazione del Monitoraggio delle Attività Utente (UAM) - Integrato con il Punto Decisionale di Autenticazione	Risorse di rete di Azure Proteggi l'accesso esterno alle applicazioni ospitate in una rete virtuale (VNet) con: Frontdoor di Azure (AFD), gateway applicazione di Azure o Firewall di Azure. AFD e Application Gateway hanno le funzionalità di bilanciamento del carico e la sicurezza per il Top 10 del progetto Open Web Application Security (OWASP) e i bot. È possibile creare regole personalizzate. Firewall di Azure dispone di filtri di intelligence sulle minacce nel livello 4. Filtraggio e protezione nativa del cloud per minacce note. Architettura di rete. Microsoft Sentinel. Firewall di Azure, Gateway Applicativo, ADF e Azure Bastion esportano i log in Sentinel o in altri sistemi SIEM (Security Information and Event Management) per l'analisi. Usare i connettori in Sentinel o Criteri di Azure per applicare questo requisito in un ambiente. - Firewall di Azure con Sentinel - Connettore di Azure Web App Firewall a Sentinel - Trova connettori di dati di Sentinel Proxy applicativo Microsoft Entra Distribuire il proxy applicativo per pubblicare e distribuire applicazioni private sulla rete locale privata. Integrare soluzioni partner SHA (Secure Hybrid Access). - Proxy dell'applicazione - Distribuire il proxy dell'applicazione - Integrazioni con partner SHA Microsoft Entra ID Protection Distribuire Microsoft Entra ID Protection e portare i segnali di rischio all'accesso condizionale. Consultare la guida Microsoft 1.3.3 in Utente. Microsoft Defender for Cloud Apps Usare Defender for Cloud Apps per monitorare le sessioni di applicazioni Web rischiose. - Defender for Cloud Apps
`Target` 5.2.3 I flussi dei segmenti nei piani di controllo, gestione e datiL'infrastruttura di rete e i flussi vengono segmentati fisicamente o logicamente in piani dati, gestione e controllo. La segmentazione di base con approcci IPv6/VLAN viene implementata per organizzare meglio il traffico tra i piani dati. Le analisi e i dati NetFlow dell'infrastruttura aggiornata vengono automaticamente inseriti nei centri operativi e negli strumenti di analisi. Risultati: - Segmentazione IPv6 - Abilitare l'automazione della reportistica NetOps - Garantire il controllo della configurazione in tutta l'organizzazione - Integrato con SOAR	Azure Resource ManagerAzure Resource Manager è un servizio di distribuzione e gestione con un livello di gestione per creare, aggiornare ed eliminare risorse in un account Azure.Piani di controllo e dati di AzurePiani di controllo multitenantSicurezza operativa di AzureMicrosoft SentinelCollegare l'infrastruttura di rete di Azure a Sentinel. Configurare i connettori dati sentinel per soluzioni di rete non Azure. Usare query di analisi personalizzate per attivare Sentinel SOAR Automation. - Risposta alle minacce con playbook - Rilevamento e risposta per Firewall di Azure con Logic Apps Consultare le linee guida Microsoft nella sezione 5.2.2.
`Advanced` 5.2.4 Individuazione e ottimizzazione asset di reteLe organizzazioni DoD automatizzano l'individuazione degli asset di rete tramite l'infrastruttura SDN limitando l'accesso ai dispositivi in base agli approcci metodici basati sui rischi. L'ottimizzazione viene eseguita in base all'analisi SDN per migliorare le prestazioni complessive e fornire l'accesso approvato necessario alle risorse. Risultati: - Miglioramento tecnico/Evoluzione tecnologica- Fornire ottimizzazione/controlli prestazioni	Monitoraggio di Azure Utilizzare Monitoraggio di Azure per ottenere informazioni dettagliate sulla rete per visualizzare una rappresentazione visiva completa delle risorse di rete, tra cui topologia, integrità e metriche. Consultare le linee guida Microsoft in 5.1.1. Microsoft Defender per il cloud Defender per il cloud individua ed elenca un inventario delle risorse di cui è stato effettuato il provisioning in Azure, altri cloud e on-premises. - Ambiente multicloud - Gestire lo stato di sicurezza delle risorse Microsoft Defender per endpoint Integrare gli endpoint e configurare l'individuazione dei dispositivi per la raccolta, il probe o l'analisi della rete per individuare i dispositivi non gestiti. - Panoramica dell'individuazione dei dispositivi
`Advanced` 5.2.5 Decisioni di accesso in tempo reale L'infrastruttura SDN utilizza fonti di dati cross-pilastro come il Monitoraggio delle attività degli utenti, il Monitoraggio delle attività delle entità, i Profili di sicurezza aziendale e altro ancora per decisioni di accesso in tempo reale. Machine Learning viene usato per facilitare il processo decisionale basato sull'analisi avanzata della rete (acquisizione completa di pacchetti e così via). I criteri vengono implementati in modo coerente in tutte le aziende usando standard di accesso unificato. Risultati: - Analizzare i log SIEM con il motore di analisi per fornire decisioni di accesso ai criteri in tempo reale - Supportare l'invio di pacchetti acquisiti, flussi di dati/rete e altri log specifici per analisi - Segmentare i flussi di rete di trasporto end-to-end - Verificare la coerenza delle politiche di sicurezza in tutta l'impresa	Completa le attività 5.2.1 - 5.2.4. Microsoft Sentinel Rileva le minacce inviando i log di rete a Sentinel per l'analisi. Usare funzionalità come intelligence sulle minacce, rilevamento avanzato di attacchi a più fasi, caccia alle minacce e query predefinite. L'automazione di Sentinel consente agli operatori di bloccare indirizzi IP dannosi. - Rileva minacce con regole di analisi - Connettore Firewall di Azure per Sentinel Azure Network Watcher Utilizza Azure Network Watcher per acquisire il traffico di rete da e verso macchine virtuali e set di scalabilità di macchine virtuali. - Acquisizione pacchetti Microsoft Defender per il cloud Defender per il cloud valuta la conformità ai controlli di sicurezza di rete prescritti nei framework, ad esempio Microsoft Cloud Security Benchmark, DoD Impact Level 4 (IL4) e IL5 e National Institute of Standards and Technology (NIST) 800-53 R4/R5. - Controllo di sicurezza: Sicurezza della rete Accesso condizionale Utilizza il workbook di insights e reportistica di Accesso condizionale per comprendere gli effetti dei criteri di accesso condizionale dell'organizzazione. - Insights e reportistica

5.3 Segmentazione macro

Le sottoscrizioni di Azure sono costrutti di alto livello che separano le risorse di Azure. Le comunicazioni tra risorse in sottoscrizioni diverse sono preparate esplicitamente. Le risorse di rete virtuale (VNet) in una sottoscrizione forniscono il contenimento delle risorse a livello di rete. Per impostazione predefinita, le reti virtuali non possono comunicare con altre reti virtuali. Per abilitare la comunicazione di rete tra VNets, effettua il peering tra di esse e utilizza Firewall di Azure per gestire e monitorare il traffico.

Per altre informazioni, vedere Proteggere e gestire i carichi di lavoro con la segmentazione a livello di rete.

Descrizione e risultato dell'attività DoD Microsoft indicazioni e consigli

Target 5.3.1 Macro-segmentazione del data center
Le organizzazioni DoD implementano la macro-segmentazione basata sul data center utilizzando architetture tradizionali a livelli (web, app, db) e/o basate su servizi. I controlli proxy e/o di imposizione sono integrati con le soluzioni SDN in base agli attributi e al comportamento del dispositivo.

Risultati:
- Registrare le azioni a SIEM
- Stabilire controlli proxy/imposizione degli attributi del dispositivo, del comportamento e di altri dati
- Analizzare le attività con il motore di analisi Azure networking
Design e implementare servizi di rete Azure basati su architetture stabilite, ad esempio zone di destinazione su scala aziendale. Segmentare le reti virtuali Azure e seguire le best practice di sicurezza di rete di Azure. Usare i controlli di sicurezza di rete quando i pacchetti attraversano vari confini di VNet.
- Procedure consigliate per la sicurezza di rete
- Sovranità e zone di atterraggio di Azure
- Topologia e connettività di rete
- Raccomandazioni per la connettività

Microsoft Entra ID Protection
Distribuire Microsoft Entra ID Protection e utilizzare i segnali di dispositivo e di rischio nel set di criteri di accesso condizionale.

Fare riferimento alle indicazioni Microsoft 1.3.3 in User e 2.1.4 in Device.

Microsoft Sentinel
Usare connettori per consumare i log da Microsoft Entra ID e risorse di rete per inviare a Microsoft Sentinel per audit, ricerca di minacce, rilevamento e risposta. Abilitare User Entity Behavior Analytics (UEBA) in Sentinel.

Vedi le linee guida Microsoft in 5.2.2 e 1.6.2 in User.

Microsoft Defender XDR
Integrare Microsoft Defender per endpoint con Microsoft Defender for Cloud Apps e bloccare l'accesso a app non approvate.
- Integrare Defender for Cloud Apps con Defender for Endpoint
- Individuare e bloccare le IT ombra

Target 5.3.2 Macro-segmentazione B/C/P/S
Le organizzazioni DoD implementano la segmentazione macro della base, del campo, del posto e della stazione utilizzando zone di rete logiche che limitano il movimento laterale. I controlli proxy e/o di imposizione sono integrati con le soluzioni SDN in base agli attributi e al comportamento del dispositivo.

Risultati:
- Stabilire controlli proxy/imposizione su attributi del dispositivo, comportamento e altri dati
- Registrare azioni nel SIEM
- Analizzare le attività con il motore analitico
- Utilizzare SOAR per fornire decisioni di accesso ai criteri in tempo reale (RT) Attività di completamento 5.3.1.

Microsoft Sentinel
Use Firewall di Azure per visualizzare le attività del firewall, rilevare le minacce con funzionalità di analisi dell'intelligenza artificiale, correlare le attività e automatizzare le azioni di risposta.
- Firewall di Azure

Descrizione e risultato dell'attività DoD	Microsoft indicazioni e consigli
`Target` 5.3.1 Macro-segmentazione del data center Le organizzazioni DoD implementano la macro-segmentazione basata sul data center utilizzando architetture tradizionali a livelli (web, app, db) e/o basate su servizi. I controlli proxy e/o di imposizione sono integrati con le soluzioni SDN in base agli attributi e al comportamento del dispositivo. Risultati: - Registrare le azioni a SIEM - Stabilire controlli proxy/imposizione degli attributi del dispositivo, del comportamento e di altri dati - Analizzare le attività con il motore di analisi	Azure networking Design e implementare servizi di rete Azure basati su architetture stabilite, ad esempio zone di destinazione su scala aziendale. Segmentare le reti virtuali Azure e seguire le best practice di sicurezza di rete di Azure. Usare i controlli di sicurezza di rete quando i pacchetti attraversano vari confini di VNet. - Procedure consigliate per la sicurezza di rete - Sovranità e zone di atterraggio di Azure - Topologia e connettività di rete - Raccomandazioni per la connettività Microsoft Entra ID Protection Distribuire Microsoft Entra ID Protection e utilizzare i segnali di dispositivo e di rischio nel set di criteri di accesso condizionale. Fare riferimento alle indicazioni Microsoft 1.3.3 in User e 2.1.4 in Device. Microsoft Sentinel Usare connettori per consumare i log da Microsoft Entra ID e risorse di rete per inviare a Microsoft Sentinel per audit, ricerca di minacce, rilevamento e risposta. Abilitare User Entity Behavior Analytics (UEBA) in Sentinel. Vedi le linee guida Microsoft in 5.2.2 e 1.6.2 in User. Microsoft Defender XDR Integrare Microsoft Defender per endpoint con Microsoft Defender for Cloud Apps e bloccare l'accesso a app non approvate. - Integrare Defender for Cloud Apps con Defender for Endpoint - Individuare e bloccare le IT ombra
`Target` 5.3.2 Macro-segmentazione B/C/P/S Le organizzazioni DoD implementano la segmentazione macro della base, del campo, del posto e della stazione utilizzando zone di rete logiche che limitano il movimento laterale. I controlli proxy e/o di imposizione sono integrati con le soluzioni SDN in base agli attributi e al comportamento del dispositivo. Risultati: - Stabilire controlli proxy/imposizione su attributi del dispositivo, comportamento e altri dati - Registrare azioni nel SIEM - Analizzare le attività con il motore analitico - Utilizzare SOAR per fornire decisioni di accesso ai criteri in tempo reale (RT)	Attività di completamento 5.3.1. Microsoft Sentinel Use Firewall di Azure per visualizzare le attività del firewall, rilevare le minacce con funzionalità di analisi dell'intelligenza artificiale, correlare le attività e automatizzare le azioni di risposta. - Firewall di Azure

5.4 Segmentazione micro

I gruppi di sicurezza di rete (NSG) e i gruppi di sicurezza delle applicazioni forniscono micro segmentazione della sicurezza di rete per le reti Azure. I gruppi di sicurezza di Azure semplificano il filtro del traffico, in base ai modelli di applicazione. Implementare più applicazioni nella stessa subnet e isolare il traffico in base ai gruppi di sicurezza delle applicazioni.

Per altre informazioni, vedere Proteggere e gestire i carichi di lavoro con la segmentazione a livello di rete.

Descrizione e risultato dell'attività DoD	Microsoft indicazioni e consigli
`Target` 5.4.1 Implementare la micro-segmentazione Le organizzazioni DoD implementano l'infrastruttura di micro-segmentazione nell'ambiente SDN, consentendo la segmentazione di base dei componenti del servizio (ad esempio, web, app, db), porte e protocolli. L'automazione di base viene accettata per le modifiche ai criteri, incluso il processo decisionale dell'API. Gli ambienti di hosting virtuale implementano la micro-segmentazione a livello di host/contenitore. Risultati: - Accettare modifiche automatizzate alle politiche - Implementare punti decisionali API - Implementare l'agente NGF/Micro FW/Endpoint nell'ambiente di hosting virtuale	Completa l'attività 5.3.1.Firewall di Azure PremiumUsare Firewall di Azure Premium come Firewall NextGen (NGF) nella strategia di segmentazione della rete Azure.Consulta le indicazioni di Microsoft in 5.1.1.Gruppi di sicurezza delle applicazioniNei gruppi di sicurezza di rete (NSG), è possibile utilizzare i gruppi di sicurezza delle applicazioni per estendere la struttura dell'applicazione nella configurazione della sicurezza di rete. Semplificare i criteri di sicurezza di rete associando Azure risorse per la stessa applicazione usando i gruppi di sicurezza delle applicazioni. - Secure and govern workloads with network-level segmentation - Gruppi di sicurezza dell'applicazione servizio Azure Kubernetes Richiedere Azure Container Networking Interface (Azure CNI) per le applicazioni in Servizio Azure Kubernetes (AKS) usando definizioni predefinite in Criteri di Azure. Implementare la microsegmentazione a livello di contenitore per i container in AKS usando le policy di rete. Concetti di rete per AKSConfigurare la rete overlay Azure CNIProteggere il traffico tra i pod usando criteri di reteRiferimento ai criteri di AKSMicrosoft Defender per i serverIntegrare le macchine virtuali di Azure (VM), le VM in altri ambienti di hosting cloud e i server locali in Defender per i server. La protezione di rete in Microsoft Defender per endpoint blocca i processi a livello di host dalla comunicazione con domini, nomi host o indirizzi IP corrispondenti agli indicatori di compromissione (IoC). - Pianificare il Defender per la distribuzione dei server - Proteggere la rete - Crea indicatori
`Target` 5.4.2 Segmentazione di applicazioni e dispositiviLe organizzazioni DoD usano soluzioni SDN (Software Defined Networking) per stabilire un'infrastruttura che soddisfi le funzionalità di destinazione ZT: zone di rete logica, ruolo, attributo e controllo degli accessi condizionali per utenti e dispositivi, servizi di gestione degli accessi con privilegi per le risorse di rete e controllo basato su criteri sull'accesso alle API. Outcomes: - Assegna controllo accessi basato su ruolo, attributo e condizione per utenti e dispositivi - Fornire servizi di gestione accessi privilegiati - Limitare l'accesso su base identitaria per utenti e dispositivi - Creare zone di rete logiche	Microsoft Entra ID Integrate applicazioni con Microsoft Entra ID. Gestire l'accesso con ruoli dell'app, gruppi di sicurezza e pacchetti di accesso. Vedi la guida di Microsoft 1.2 in Utente. Accesso condizionale Progettare set di criteri di accesso condizionale per l'autorizzazione dinamica basata sull'utente, ruolo, gruppo, dispositivo, app client, rischio di identità e risorsa dell'applicazione. Usare i contesti di autenticazione per creare zone di rete logiche, in base alle condizioni utente e ambientali. Consultare le indicazioni di Microsoft 1.8.3 in User. Privileged Identity Manager Configurare PIM per l'accesso JIT (Just-In-Time) ai ruoli con privilegi e ai gruppi di sicurezza Microsoft Entra. Consultare le indicazioni di Microsoft 1.4.2 in User. Macchine virtuali di Azure e database SQL Configurare le macchine virtuali di Azure e le istanze SQL per usare le identità Microsoft Entra per l'accesso utente. - Accesso a Windows in Azure - Accesso alla macchina virtuale Linux in Azure - Autenticazione con Azure SQL Azure Bastion Usare Bastion per connettersi in modo sicuro alle macchine virtuali di Azure con indirizzi IP privati dal portale di Azure, oppure usando una shell sicura nativa (SSH) o un client RDP (Remote Desktop Protocol). - Bastion Microsoft Defender per Server Usare l'accesso Just-In-Time (JIT) alle macchine virtuali per proteggerle da accessi non autorizzati alla rete. - Abilitare l'accesso JIT su macchine virtuali
`Advanced` 5.4.3 Processo di micro-segmentazione Le organizzazioni DoD usano la micro-segmentazione esistente e l'infrastruttura di automazione SDN abilitando la micro-segmentazione del processo. I processi a livello di host vengono segmentati in base ai criteri di sicurezza e l'accesso viene concesso usando il processo decisionale di accesso in tempo reale. Risultati: segmentare i processi a livello di host per i criteri di sicurezza- Supportare le decisioni e le modifiche dei criteri di accesso in tempo reale- Supporto dell'offload dei log per l'analisi e l'automazione - Supporto della distribuzione dinamica dei criteri di segmentazione	Completa l'attività 5.4.2. Microsoft Defender per endpoint Abilita la protezione della rete in Defender for Endpoint per bloccare i processi e le applicazioni a livello di host dalla connessione a domini di rete dannosi, indirizzi IP o nomi host compromessi. Consulta la guida Microsoft 4.5.1. Valutazione continua dell'accesso La valutazione continua dell'accesso (CAE) abilita servizi come Exchange Online, SharePoint Online e Microsoft Teams per sottoscrivere agli eventi di Microsoft Entra come la disabilitazione dell'account e i rilevamenti ad alto rischio in Microsoft Entra ID Protection. Consulta la guida Microsoft 1.8.3 in User. Microsoft Sentinel Utilizzare i connettori per raccogliere i log da Microsoft Entra ID e inviare le risorse di rete a Microsoft Sentinel per il controllo, la ricerca delle minacce, il rilevamento e la risposta. Consulta la guida Microsoft in 5.2.2 e 1.6.2 in User.
`Target` 5.4.4 Proteggere i dati in transito In base ai mapping e al monitoraggio dei flussi di dati, i criteri sono abilitati dalle organizzazioni DoD per imporre la protezione dei dati in transito. I casi d'uso comuni, ad esempio la condivisione delle informazioni di coalizione, la condivisione tra i limiti del sistema e la protezione tra i componenti dell'architettura sono inclusi nei criteri di protezione. Risultati: - Proteggere i dati in transito durante la condivisione delle informazioni della coalizione- Proteggere i dati in transito attraverso limiti elevati del sistema- Integrare i dati in transito tra i componenti dell'architettura	Microsoft 365 Usare Microsoft 365 per la collaborazione DoD. Microsoft 365 servizi crittografano i dati inattivi e in transito. - Crittografia in Microsoft 365 Microsoft Entra per ID esterno Microsoft 365 e Microsoft Entra ID migliorano la condivisione della coalizione con facile onboarding e gestiscono l'accesso per gli utenti in altri tenant DoD. - Collaborazione B2B - Condivisione ospite sicura Configura l'accesso tra tenant e le impostazioni cloud di Microsoft per controllare il modo in cui gli utenti collaborano con organizzazioni esterne. - Accesso tra tenant - Impostazioni cloud di Microsoft Microsoft Entra ID Governance Gestisci i cicli di vita di accesso degli utenti esterni con gestione degli entitlement. - Accesso esterno con gestione degli entitlement Microsoft Defender per il cloud Usa Defender per il cloud per valutare in modo continuo e applicare protocolli di trasporto sicuri per le risorse cloud. - Gestione della postura di sicurezza del cloud

Passaggi successivi

Configurare Microsoft servizi cloud per la strategia di Zero Trust DoD:

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-04-14