Estratégia de Confiança Zero do DoD para o pilar de rede

O DoD Confiança Zero Strategy and Roadmap descreve um caminho para os parceiros do Departamento de Defesa e da Base Industrial de Defesa (DIB) adotarem uma nova estrutura de segurança cibernética com base em princípios Confiança Zero. Confiança Zero elimina perímetros tradicionais e suposições de confiança, permitindo uma arquitetura mais eficiente que aprimora a segurança, as experiências do usuário e o desempenho da missão.

Este guia oferece recomendações para as 152 atividades de Confiança Zero no DoD Confiança Zero Capability Execution Roadmap. As seções correspondem aos sete pilares do modelo de Confiança Zero do DoD.

Use os links a seguir para acessar as seções do guia.

5 Rede

Esta seção tem diretrizes e recomendações da Microsoft para atividades de Confiança Zero do Departamento de Defesa (DoD) no pilar de rede. Para saber mais, consulte Secure networks with Confiança Zero for more information.

5.1 Mapeamento de fluxo de dados

O serviço Rede Virtual do Azure é um bloco de construção em sua rede privada em Azure. Em redes virtuais Azure os recursos se comunicam entre si, com a Internet e com os recursos locais.

Quando você implanta uma topologia de rede de múltiplos hubs e spokes no Azure, o Firewall do Azure realiza o roteamento do tráfego entre redes virtuais. Além disso, Firewall do Azure Premium inclui recursos de segurança, como inspeção do TLS (Trasport-Layer Security), intrusão de rede, IDPS (sistema de detecção e prevenção), filtragem de URL e filtragem de conteúdo.

Azure ferramentas de rede, como Observador de Rede do Azure e Azure Monitor Network Insights, ajudam você a mapear e visualizar o fluxo de tráfego de rede. A integração do Microsoft Sentinel permite visibilidade e controle sobre o tráfego de rede organizacional, com recursos de workbooks, automação e detecção.

Descrição e resultado da atividade do DoD Microsoft diretrizes e recomendações

Target 5.1.1 Definir regras e políticas de acesso de controle granulares – Parte 1
A empresa DoD que trabalha com as organizações cria regras e políticas de acesso de rede granulares. O ConOps (Conceito associado de operações) é desenvolvido em alinhamento com as políticas de acesso e garante suporte futuro. Uma vez acordado, as Organizações do DoD implementarão essas políticas de acesso em tecnologias de rede existentes (por exemplo, Firewalls de Próxima Geração, Sistemas de Prevenção de Intrusão etc.) para melhorar os níveis de risco iniciais.

Resultados:
- Fornecer padrões técnicos
– desenvolver conceito de operações
– identificar comunidades de interesse Firewall do Azure Premium
Use Rede Virtual do Azure e Firewall do Azure Premium para controlar a comunicação e o roteamento entre recursos de nuvem, recursos de nuvem e locais e a Internet. Firewall do Azure Premium tem inteligência contra ameaças, detecção de ameaças e recursos de prevenção de intrusão para proteger o tráfego.
- Segmentação
- Roteie uma topologia do tipo multi-hub-and-spoke
- Firewall do Azure Premium

Use Firewall do Azure Policy Analytics para gerenciar regras de firewall, habilitar a visibilidade do fluxo de tráfego e executar análise detalhada em regras de firewall.
- Firewall do Azure Policy Analytics

Link Privado do Azure
Use Link Privado do Azure para acessar Azure PaaS (Plataforma como Serviço) em um ponto de extremidade privado em uma rede virtual. Use pontos de extremidade privados para proteger recursos críticos do Azure apenas para redes virtuais. O tráfego da rede virtual para o Azure permanece na rede de backbone Azure. Não é necessário expor a rede virtual à Internet pública para consumir Azure serviços paaS.Secure redes: limite de serviço paaS< >NetworkNetwork grupos de segurançaNizável registrando em log em grupos de segurança de rede (NSGs) para obter atividade de tráfego. Visualize dados de atividade no Observador de Rede.
- Logs de fluxo NSG

Gerenciador de Rede Virtual do Azure
Use o Gerenciador de Rede Virtual do Azure para configurações centralizadas de conectividade e segurança para redes virtuais entre assinaturas.
- Gerenciador de Rede Virtual do Azure

Gerenciador de Firewall do Azure
Gerenciador de Firewall do Azure é um serviço de gerenciamento de segurança para gerenciamento centralizado de políticas de segurança e gerenciamento de rotas para perímetros de segurança baseados em nuvem.
- Gerenciador de Firewall do Azure

Azure Policy
Use Azure Policy para impor padrões de rede, como túnel de tráfego forçado para o Firewall do Azure ou outros aparelhos de rede. Proibir IPs públicos ou impor o uso seguro de protocolos de criptografia.
- Definições para serviços de rede Azure

Azure Monitor
Use Observador de Rede do Azure e Insights de Rede do Monitor do Azure para uma representação abrangente e visual de sua rede.
- Observador de Rede
- Network insights

Target 5.1.2 Definir regras e políticas de acesso de controle granulares – Parte 2
As organizações DoD utilizam padrões de marcação e classificação de dados para desenvolver filtros de dados para acesso à API à Infraestrutura da SDN. Os Pontos de Decisão da API são formalizados na arquitetura do SDN e implementados com aplicativos e serviços críticos não essenciais de missão/tarefa.

Resultado:
- Definir filtros de marcação de dados para infraestrutura de API Usam grupos de segurança de aplicativos para configurar a segurança de rede como uma extensão da estrutura do aplicativo. Agrupar VMs (máquinas virtuais) e definir políticas de segurança de rede, com base nos grupos.
- Grupos de segurança de aplicativos

Tags de serviço do Azure
Use tags de serviço para VMs do Azure e redes virtuais do Azure para restringir o acesso à rede a serviços do Azure em uso. Azure mantém endereços IP associados a cada tag.
- Azure marcas de serviço

Firewall do Azure
Gerenciador de Firewall do Azure é um serviço de gerenciamento de segurança para política de segurança centralizada e gerenciamento de rotas para perímetros de segurança baseados em nuvem (firewall, DDoS, WAF). Use grupos de IP para gerenciar endereços IP para regras do Firewall do Azure.
- Gerenciador de Firewall do Azure
- grupos de IP

Gerenciador de Rede Virtual do Azure
Gerenciador de Rede Virtual do Azure é um serviço de gerenciamento para agrupar, configurar, implantar, visualizar e gerenciar redes virtuais globalmente entre assinaturas.
- Casos de uso comuns

Observador de Rede do Azure
Habilitar o Observador de Rede para monitorar, diagnosticar e exibir métricas. Habilite ou desabilite logs para recursos de IaaS do Azure. Use Observador de Rede para monitorar e reparar a integridade da rede de produtos IaaS, como VMs, VNets, gateways de aplicativo, balanceadores de carga e mais.
- Observador de Rede do Azure

Descrição e resultado da atividade do DoD	Microsoft diretrizes e recomendações
`Target` 5.1.1 Definir regras e políticas de acesso de controle granulares – Parte 1 A empresa DoD que trabalha com as organizações cria regras e políticas de acesso de rede granulares. O ConOps (Conceito associado de operações) é desenvolvido em alinhamento com as políticas de acesso e garante suporte futuro. Uma vez acordado, as Organizações do DoD implementarão essas políticas de acesso em tecnologias de rede existentes (por exemplo, Firewalls de Próxima Geração, Sistemas de Prevenção de Intrusão etc.) para melhorar os níveis de risco iniciais. Resultados: - Fornecer padrões técnicos – desenvolver conceito de operações – identificar comunidades de interesse	Firewall do Azure Premium Use Rede Virtual do Azure e Firewall do Azure Premium para controlar a comunicação e o roteamento entre recursos de nuvem, recursos de nuvem e locais e a Internet. Firewall do Azure Premium tem inteligência contra ameaças, detecção de ameaças e recursos de prevenção de intrusão para proteger o tráfego. - Segmentação - Roteie uma topologia do tipo multi-hub-and-spoke - Firewall do Azure Premium Use Firewall do Azure Policy Analytics para gerenciar regras de firewall, habilitar a visibilidade do fluxo de tráfego e executar análise detalhada em regras de firewall. - Firewall do Azure Policy Analytics Link Privado do Azure Use Link Privado do Azure para acessar Azure PaaS (Plataforma como Serviço) em um ponto de extremidade privado em uma rede virtual. Use pontos de extremidade privados para proteger recursos críticos do Azure apenas para redes virtuais. O tráfego da rede virtual para o Azure permanece na rede de backbone Azure. Não é necessário expor a rede virtual à Internet pública para consumir Azure serviços paaS.Secure redes: limite de serviço paaS< >NetworkNetwork grupos de segurançaNizável registrando em log em grupos de segurança de rede (NSGs) para obter atividade de tráfego. Visualize dados de atividade no Observador de Rede. - Logs de fluxo NSG Gerenciador de Rede Virtual do Azure Use o Gerenciador de Rede Virtual do Azure para configurações centralizadas de conectividade e segurança para redes virtuais entre assinaturas. - Gerenciador de Rede Virtual do Azure Gerenciador de Firewall do Azure Gerenciador de Firewall do Azure é um serviço de gerenciamento de segurança para gerenciamento centralizado de políticas de segurança e gerenciamento de rotas para perímetros de segurança baseados em nuvem. - Gerenciador de Firewall do Azure Azure Policy Use Azure Policy para impor padrões de rede, como túnel de tráfego forçado para o Firewall do Azure ou outros aparelhos de rede. Proibir IPs públicos ou impor o uso seguro de protocolos de criptografia. - Definições para serviços de rede Azure Azure Monitor Use Observador de Rede do Azure e Insights de Rede do Monitor do Azure para uma representação abrangente e visual de sua rede. - Observador de Rede - Network insights
`Target` 5.1.2 Definir regras e políticas de acesso de controle granulares – Parte 2 As organizações DoD utilizam padrões de marcação e classificação de dados para desenvolver filtros de dados para acesso à API à Infraestrutura da SDN. Os Pontos de Decisão da API são formalizados na arquitetura do SDN e implementados com aplicativos e serviços críticos não essenciais de missão/tarefa. Resultado: - Definir filtros de marcação de dados para infraestrutura de API	Usam grupos de segurança de aplicativos para configurar a segurança de rede como uma extensão da estrutura do aplicativo. Agrupar VMs (máquinas virtuais) e definir políticas de segurança de rede, com base nos grupos. - Grupos de segurança de aplicativos Tags de serviço do Azure Use tags de serviço para VMs do Azure e redes virtuais do Azure para restringir o acesso à rede a serviços do Azure em uso. Azure mantém endereços IP associados a cada tag. - Azure marcas de serviço Firewall do Azure Gerenciador de Firewall do Azure é um serviço de gerenciamento de segurança para política de segurança centralizada e gerenciamento de rotas para perímetros de segurança baseados em nuvem (firewall, DDoS, WAF). Use grupos de IP para gerenciar endereços IP para regras do Firewall do Azure. - Gerenciador de Firewall do Azure - grupos de IP Gerenciador de Rede Virtual do Azure Gerenciador de Rede Virtual do Azure é um serviço de gerenciamento para agrupar, configurar, implantar, visualizar e gerenciar redes virtuais globalmente entre assinaturas. - Casos de uso comuns Observador de Rede do Azure Habilitar o Observador de Rede para monitorar, diagnosticar e exibir métricas. Habilite ou desabilite logs para recursos de IaaS do Azure. Use Observador de Rede para monitorar e reparar a integridade da rede de produtos IaaS, como VMs, VNets, gateways de aplicativo, balanceadores de carga e mais. - Observador de Rede do Azure

5.2 Rede definida pelo software

As redes virtuais são a base de redes privadas no Azure. Com uma rede virtual (VNet), uma organização controla a comunicação entre os recursos do Azure e os ambientes locais. Filtre e roteie o tráfego e integre-se a outros serviços Azure, como Firewall do Azure, Azure Front Door, Gateway de Aplicativo do Azure, Gateway de VPN do Azure e Azure ExpressRoute.

Descrição e resultado da atividade do DoD	Microsoft diretrizes e recomendações
`Target` 5.2.1 Definir APIs da SDN A empresa DoD trabalha com as organizações para definir as APIs necessárias e outras interfaces programáticas a fim de habilitar funcionalidades da SDN (rede definida pelo software). Essas APIs habilitarão o Ponto de Decisão de Autenticação, o Proxy de Controle de Entrega de Aplicativos e a automação de Gateways de Segmentação. Resultados: - AS APIs do SDN são padronizadas e implementadas – as APIs são funcionais para o Ponto de Decisão do AuthN, o Proxy de Controle de Entrega de Aplicativo e os Gateways de Segmentação	Azure Resource Manager Implantar e configurar redes do Azure usando APIs ARM (Azure Resource Manager). Azure ferramentas de gerenciamento: Azure portal, Azure PowerShell, CLI (Interface Azure Command-Line) e modelos usam as mesmas APIs ARM para autenticar e autorizar solicitações. - Azure Resource Manager - Referências da API REST do Azure Funções do Azure Atribuir funções internas do Azure para gerenciamento de recursos de rede. Siga os princípios de privilégio mínimo e atribua funções just-in-time (JIT) via PIM. - Funções internas do Azure
`Target` 5.2.2 Implementar a infraestrutura programável da SDN Seguindo os padrões de API, os requisitos e as funcionalidades da API da SDN, as organizações DoD implementarão a infraestrutura da SDN (rede definida pelo software) para habilitar tarefas de automação. Os Gateways de Segmentação e os Pontos de Decisão de Autenticação são integrados à infraestrutura do SDN, juntamente com o log de saída em um repositório padronizado (por exemplo, SIEM, Log Analytics) para monitoramento e alertas. Resultados: –Implementação do proxy de controle de entrega de aplicativos – Atividades de registro de SIEM estabelecidas – Implementação do monitoramento da atividade do usuário (UAM) – Integrado ao Ponto de Decisão de Autenticação	Recursos de rede do Azure Garanta acesso seguro para aplicativos hospedados em uma rede virtual (VNet) com: Azure Front Door (AFD), Gateway de Aplicativo do Azure ou Firewall do Azure. AFD e o Gateway de Aplicações oferecem recursos de balanceamento de carga e segurança para o Top 10 do Open Web Application Security Project (OWASP) e bots. Você pode criar regras personalizadas. Firewall do Azure tem filtragem de inteligência contra ameaças na Camada 4. - Filtragem nativa em nuvem e proteção para ameaças conhecidas - Design de arquitetura de Networking Microsoft Sentinel Firewall do Azure, Gateway de Aplicação, ADF e Azure Bastion exportam logs para o Sentinel ou outros sistemas SIEM (Gerenciamento de Eventos e Informações de Segurança) para análise. Use conectores no Sentinel ou Azure Policy para impor esse requisito em um ambiente. - Firewall do Azure com Sentinel - Conector do Azure Web Application Firewall para o Sentinel - Encontre conectores de dados do Sentinel Proxy de aplicativo do Microsoft Entra Implante o proxy do aplicativo para publicar e entregar aplicativos privados na sua rede local. Integre soluções de parceiro SHA (acesso híbrido seguro). - Proxy de aplicação - Implantar proxy de aplicação - Integrações de parceiros SHA Microsoft Entra ID Protection Implantar Microsoft Entra ID Protection e traga sinais de risco de entrada para o Acesso Condicional. Veja as diretrizes da Microsoft 1.3.3 em Usuário. Microsoft Defender para Aplicativos de Nuvem Use o Defender para Aplicativos de Nuvem para monitorar sessões de aplicativos web arriscadas. - Defender para Aplicativos de Nuvem
`Target` 5.2.3 Fluxos de segmento no painel de controle, no plano de gerenciamento e no plano de dados A infraestrutura e os fluxos de rede são segmentados física ou logicamente no painel de controle, no plano de gerenciamento e no plano de dados. A segmentação básica usando abordagens IPv6/VLAN é implementada para organizar melhor o tráfego entre planos de dados. A análise e o NetFlow da infraestrutura atualizada são automaticamente alimentados em ferramentas analíticas e Centros de Operações. Resultados: - Segmentação IPv6 – Habilitar o Relatório de Informações do NetOps Automatizado – Garantir o controle de configuração em toda a empresa - Integrado ao SOAR	Azure Resource Manager Azure Resource Manager é um serviço de implantação e gerenciamento com uma camada de gerenciamento para criar, atualizar e excluir recursos em uma conta Azure. - Planos de controle e dados do Azure - Planos de controle multitenant - Segurança operacional do Azure Microsoft Sentinel Conectar a infraestrutura de rede do Azure ao Sentinel. Configure conectores de dados do Sentinel para soluções de rede não Azure. Use consultas de análise personalizadas para disparar a automatização SOAR do Sentinel. - Resposta a ameaças com playbooks - Detecção e resposta para Firewall do Azure com Logic Apps Veja as diretrizes da Microsoft em 5.2.2.
`Advanced` 5.2.4 Descoberta e otimização de ativos de rede As organizações DoD automatizam a descoberta de ativos de rede por meio da infraestrutura da SDN, limitando o acesso a dispositivos de acordo com abordagens metódicas baseadas em risco. A otimização é realizada com base na análise do SDN para melhorar o desempenho geral, juntamente com o acesso aprovado necessário aos recursos. Resultados: – atualização técnica/de evolução da tecnologia – fornecer controles de otimização/desempenho	Azure Monitor Use insights de rede do Azure Monitor para ver uma representação visual abrangente dos recursos de rede, incluindo topologia, integridade e métricas. Veja as diretrizes da Microsoft em 5.1.1. Microsoft Defender para Nuvem Defender para Nuvem descobre e lista um inventário de recursos provisionados no Azure, outras nuvens e ambiente local. - Ambiente Multicloud - Gerencie a postura de segurança dos recursos Microsoft Defender para Ponto de Extremidade Integre pontos de extremidade e configure a descoberta de dispositivos para coletar, sondar ou examinar sua rede a fim de descobrir dispositivos não gerenciados. - Visão geral da descoberta de dispositivos
`Advanced` 5.2.5 Decisões de acesso em tempo real A infraestrutura da SDN utiliza fontes de dados entre pilares, como Monitoramento de Atividades do Usuário, Monitoramento de Atividades de Entidade, Perfis de Segurança Empresarial, entre outros, para decisões de acesso em tempo real. O aprendizado de máquina é usado para ajudar na tomada de decisões com base na análise de rede avançada (captura completa de pacotes, etc.). As políticas são implementadas consistentemente em toda a Empresa usando padrões de acesso unificados. Resultados: – Analisar logs de SIEM com o mecanismo de análise para fornecer decisões de acesso a políticas em tempo real – Suporte ao envio de pacotes capturados, fluxos de dados/rede e outros logs específicos para análise – Segmentar fluxos de rede de transporte de ponta a ponta – Auditar políticas de segurança para consistência em toda a empresa	Complete atividades 5.2.1 - 5.2.4. Microsoft Sentinel Detecte ameaças enviando logs de rede para análise no Sentinel. Use recursos como inteligência contra ameaças, detecção de ataque de vários estágios avançados, busca de ameaças e consultas internas. A automação do Sentinel permite que os operadores bloqueiem endereços IP mal-intencionados. - Detecte ameaças com regras de análise - Conector do Firewall do Azure para o Sentinel Observador de Rede do Azure Use Observador de Rede do Azure para capturar o tráfego de rede de e para máquinas virtuais (VMs) e Conjuntos de Dimensionamento de Máquinas Virtuais. - Captura de pacotes Microsoft Defender para Nuvem Defender para Nuvem avalia a conformidade com os controles de segurança de rede prescritos em estruturas, como Microsoft Cloud Security Benchmark, Nível de Impacto do DoD 4 (IL4) e IL5 e Instituto Nacional de Padrões e Tecnologia (NIST) 800-53 R4/R5. - Controle de Segurança: Segurança de rede Conditional Access Use insights e relatório de acesso condicional para entender os efeitos das políticas de Acesso Condicional organizacional. - Insights e relatório

Macrosegmentação

Assinaturas do Azure são construtos de alto nível que separam recursos do Azure. A comunicação entre recursos em assinaturas diferentes é explicitamente provisionada. Os recursos de rede virtual (VNet) em uma assinatura fornecem a contenção de recursos no nível da rede. Por padrão, as VNets não podem se comunicar com outras VNets. Para habilitar a comunicação de rede entre VNets, emparelhe-as e use Firewall do Azure para controlar e monitorar o tráfego.

Para saber mais, confira proteger e gerenciar cargas de trabalho com segmentação no nível da rede.

Descrição e resultado da atividade do DoD Microsoft diretrizes e recomendações

Target 5.3.1 Segmentação de macros do datacenter
As organizações DoD implementam a segmentação de macros focada no data center usando arquiteturas tradicionais em camadas (Web, aplicativo, BD) e/ou baseadas em serviço. As verificações de proxy e/ou de fiscalização são integradas à solução(ões) SDN com base nas características e no comportamento do dispositivo.

Resultados:
– Registrar ações no SIEM
– Estabelecer verificações de proxy/imposição de atributos do dispositivo, comportamento e outros dados
– Analisar atividades com o motor de análise Rede do Azure
Desenhar e implementar serviços de rede do Azure, com base em arquiteturas estabelecidas, como zonas de destino em escala corporativa. Segmente redes virtuais do Azure (VNets) e siga as práticas recomendadas de segurança de rede do Azure. Use controles de segurança de rede à medida que pacotes cruzam vários limites de VNet.
- Melhores práticas para segurança de rede
- Soberania e Zonas de destino do Azure
- Topologia de rede e conectividade
- Recomendações de rede e conectividade

Microsoft Entra ID Protection
Implante o Microsoft Entra ID Protection e use sinais de dispositivo e risco no seu conjunto de políticas de Acesso Condicional.

Veja as orientações da Microsoft 1.3.3 em Usuário e 2.1.4 em Dispositivo.

Microsoft Sentinel
Use conectores para consumir logs do Microsoft Entra ID e enviar recursos de rede ao Microsoft Sentinel para auditoria, busca de ameaças, detecção e resposta. Habilitar a UEBA (Análise de Comportamento de Entidade de Usuário) no Sentinel.

Veja as diretrizes da Microsoft em 5.2.2 e 1.6.2 em Usuário.

Microsoft Defender XDR
Integre o Microsoft Defender para Endpoint com o Microsoft Defender para Aplicativos em Nuvem e bloqueie o acesso a aplicativos não sancionados.
- Integrar Aplicativos em Nuvem com Defender para Ponto de Extremidade
- Descubra e bloqueie Shadow IT

Target 5.3.2 Segmentação de macros B/C/P/S
As organizações DoD implementam segmentação de macros base, camp, post e estação usando zonas de rede lógicas que limitam o movimento lateral. As verificações de proxy e/ou de fiscalização são integradas à solução(ões) SDN com base nas características e no comportamento do dispositivo.

Resultados:
– Estabelecer verificações de proxy/imposição de atributos de dispositivo, comportamento e outros dados
– Registrar ações no SIEM
– Analisar atividades com o Mecanismo de Análise
– Utilizar o SOAR para fornecer decisões de acesso à política em tempo real Complete a atividade 5.3.1.

Microsoft Sentinel
Utilize o Firewall do Azure para visualizar as atividades do firewall, detectar ameaças com as capacidades de investigação de IA, correlacionar atividades e automatizar ações de resposta.
- Firewall do Azure

Descrição e resultado da atividade do DoD	Microsoft diretrizes e recomendações
`Target` 5.3.1 Segmentação de macros do datacenter As organizações DoD implementam a segmentação de macros focada no data center usando arquiteturas tradicionais em camadas (Web, aplicativo, BD) e/ou baseadas em serviço. As verificações de proxy e/ou de fiscalização são integradas à solução(ões) SDN com base nas características e no comportamento do dispositivo. Resultados: – Registrar ações no SIEM – Estabelecer verificações de proxy/imposição de atributos do dispositivo, comportamento e outros dados – Analisar atividades com o motor de análise	Rede do Azure Desenhar e implementar serviços de rede do Azure, com base em arquiteturas estabelecidas, como zonas de destino em escala corporativa. Segmente redes virtuais do Azure (VNets) e siga as práticas recomendadas de segurança de rede do Azure. Use controles de segurança de rede à medida que pacotes cruzam vários limites de VNet. - Melhores práticas para segurança de rede - Soberania e Zonas de destino do Azure - Topologia de rede e conectividade - Recomendações de rede e conectividade Microsoft Entra ID Protection Implante o Microsoft Entra ID Protection e use sinais de dispositivo e risco no seu conjunto de políticas de Acesso Condicional. Veja as orientações da Microsoft 1.3.3 em Usuário e 2.1.4 em Dispositivo. Microsoft Sentinel Use conectores para consumir logs do Microsoft Entra ID e enviar recursos de rede ao Microsoft Sentinel para auditoria, busca de ameaças, detecção e resposta. Habilitar a UEBA (Análise de Comportamento de Entidade de Usuário) no Sentinel. Veja as diretrizes da Microsoft em 5.2.2 e 1.6.2 em Usuário. Microsoft Defender XDR Integre o Microsoft Defender para Endpoint com o Microsoft Defender para Aplicativos em Nuvem e bloqueie o acesso a aplicativos não sancionados. - Integrar Aplicativos em Nuvem com Defender para Ponto de Extremidade - Descubra e bloqueie Shadow IT
`Target` 5.3.2 Segmentação de macros B/C/P/S As organizações DoD implementam segmentação de macros base, camp, post e estação usando zonas de rede lógicas que limitam o movimento lateral. As verificações de proxy e/ou de fiscalização são integradas à solução(ões) SDN com base nas características e no comportamento do dispositivo. Resultados: – Estabelecer verificações de proxy/imposição de atributos de dispositivo, comportamento e outros dados – Registrar ações no SIEM – Analisar atividades com o Mecanismo de Análise – Utilizar o SOAR para fornecer decisões de acesso à política em tempo real	Complete a atividade 5.3.1. Microsoft Sentinel Utilize o Firewall do Azure para visualizar as atividades do firewall, detectar ameaças com as capacidades de investigação de IA, correlacionar atividades e automatizar ações de resposta. - Firewall do Azure

5.4 Micro segmentação

Os NSGs (grupos de segurança de rede) e os grupos de segurança de aplicativos (ASG) fornecem micro segmentação de segurança de rede para redes Azure. Os ASGs simplificam a filtragem de tráfego, com base nos padrões do aplicativo. Implante vários aplicativos na mesma sub-rede e isole o tráfego com base nos ASGs.

Para saber mais, confira proteger e gerenciar cargas de trabalho com segmentação no nível da rede.

Descrição e resultado da atividade do DoD	Microsoft diretrizes e recomendações
`Target` 5.4.1 Implementar a microssegmentação As organizações DoD implementam a infraestrutura de microssegmentação no ambiente da SDN, permitindo a segmentação básica de componentes de serviço (por exemplo, Web, aplicativo, BD), portas e protocolos. A automação básica é aceita para alterações de política, incluindo a tomada de decisões da API. Os ambientes de hospedagem virtual implementam a micro segmentação no nível de host/contêiner. Resultados: – Aceitar alterações de política automatizadas – Implementar pontos de decisão da API – Implementar agente NGF/Micro FW/Agente de Endpoint no ambiente de hospedagem virtual	Conclua a atividade 5.3.1. Firewall do Azure Premium Use Firewall do Azure Premium como o Firewall NextGen (NGF) em sua estratégia de segmentação de rede Azure. Consulte as orientações da Microsoft em 5.1.1. Grupos de segurança de aplicativo Em grupos de segurança de rede (NSGs), você pode usar grupos de segurança de aplicativo para configurar a segurança de rede como uma extensão da estrutura do aplicativo. Simplifique as políticas de segurança de rede associando recursos Azure para o mesmo aplicativo usando grupos de segurança de aplicativos. - Secure e governe cargas de trabalho com segmentação em nível de rede - Application security groups Serviço de Kubernetes do Azure Exigir Azure CNI Azure (Interface de Rede de Contêiner) para aplicativos em AKS (Serviço de Kubernetes do Azure) usando definições internas em Azure Policy. Implemente a micro-segmentação em nível de contêiner para contêineres no AKS usando políticas de rede. Conceitos de redes para AKSConfigure a rede de sobreposição do Azure CNIProteja o tráfego entre pods usando políticas de redeReferência de políticas do AKSMicrosoft Defender para ServidoresIntegre máquinas virtuais do Azure (VMs), VMs em outros ambientes de hospedagem na nuvem e servidores locais ao Defender para Servidores. A proteção de rede no Microsoft Defender para Endpoint bloqueia processos no nível do host de se comunicarem com domínios específicos, nomes de host ou endereços IP que correspondem a Indicadores de Comprometimento (IoC). - Planeje sua implantação do Defender para Servidores - Proteja sua rede - Crie indicadores
`Target` 5.4.2 Microssegmentação de aplicativo e dispositivo As organizações DoD utilizam soluções de SDN (rede definida pelo software) para estabelecer a infraestrutura que atenda às funcionalidades de destino ZT: zonas de rede lógicas, função, atributo e controle de acesso condicional para usuários e dispositivos, serviços de gerenciamento de acesso privilegiado para recursos de rede e controle baseado em política no acesso à API. Outcomes: - Atribuir Controle de Acesso Baseado em Função, Atributo e Condição para usuários e dispositivos - Fornecer serviços de Gerenciamento de Acesso Privilegiado - Limitar o acesso com base na identidade para usuários e dispositivos - Criar zonas de rede lógicas	Microsoft Entra ID Integrate aplicativos com Microsoft Entra ID. Controlar o acesso com funções de apps, grupos de segurança e pacotes de acesso. Veja as diretrizes da Microsoft 1.2 em User. Acesso Condicional Design sets de Acesso Condicional para autorização dinâmica com base em usuário, papel, grupo de segurança, dispositivo, aplicativo cliente, risco de identidade e recurso de aplicativo. Usar contextos de autenticação para criar zonas de rede lógicas, com base nas condições do usuário e do ambiente.Consulte as diretrizes 1.8.3 da Microsoft em User.Privileged Identity ManagerConfigure o PIM para acesso just-in-time (JIT) a funções privilegiadas e grupos de segurança do Microsoft Entra.Consulte as diretrizes 1.4.2 da Microsoft em User.Máquinas Virtuais do Azure e bancos de dados SQLConfigurar Máquinas Virtuais do Azure e instâncias SQL para usar identidades do Microsoft Entra para entrada do usuário.Entrar no Windows no AzureEntrar em VM Linux no AzureAutenticação com SQL do AzureAzure BastionUse o Bastion para se conectar com segurança a VMs Azure com endereços IP privados do portal Azure, ou usando o SSH (shell seguro nativo) ou um cliente RDP (protocolo de desktop remoto).BastionMicrosoft Defender for ServerUse o acesso just-in-time (JIT) às VMs para protegê-las contra acessos não autorizados à rede.Ativar acesso JIT em VMs
`Advanced` 5.4.3 Microssegmentação de processo As organizações DoD utilizam a microssegmentação existente e a infraestrutura de automação da SDN habilitando a microssegmentação de processo. Os processos no nível do host são segmentados com base em políticas de segurança e o acesso é concedido usando a tomada de decisão de acesso em tempo real. Resultados: – Segmentar processos de nível de host para políticas de segurança – Dar suporte a decisões de acesso em tempo real e alterações de política – Suporte ao descarregamento de logs para análise e automação – Suporte à implantação dinâmica da política de segmentação	Complete a atividade 5.4.2. Microsoft Defender para Endpoint Habilite a proteção de rede no Defender para Endpoint para bloquear processos e aplicativos de nível de host de se conectarem a domínios de rede maliciosos, endereços IP ou nomes de host comprometidos. Consulte as diretrizes da Microsoft 4.5.1. Avaliação de Acesso Contínuo A Avaliação de Acesso Contínuo (CAE) permite que serviços como Exchange Online, SharePoint Online e Microsoft Teams assinem eventos do Microsoft Entra, como desabilitação de conta e detecções de alto risco no Microsoft Entra ID Protection. Consulte as diretrizes da Microsoft 1.8.3 em User. Microsoft Sentinel Use conectores para consumir logs do Microsoft Entra ID, recursos de rede a serem enviados para o Microsoft Sentinel para auditoria, busca de ameaças, detecção e resposta. Consulte as diretrizes da Microsoft em 5.2.2 e 1.6.2 no User.
`Target` 5.4.4 Proteger dados em trânsito Com base nos mapeamentos e monitoramento do fluxo de dados, as políticas são habilitadas pelas organizações DoD para exigir a proteção de dados em trânsito. Casos de uso comuns, como Compartilhamento de Informações da Coalizão, Compartilhamento entre Limites do Sistema e Proteção entre Componentes Arquitetônicos, estão incluídos em políticas de proteção. Resultados: – proteger dados em trânsito durante o compartilhamento de informações de coalizão – Proteger dados em trânsito entre limites altos do sistema – Integrar dados na proteção de trânsito entre componentes de arquitetura	Microsoft 365 Use Microsoft 365 para colaboração do DoD. Microsoft 365 serviços criptografam dados em repouso e em trânsito. - Criptografia no Microsoft 365 ID externa do Microsoft Entra Microsoft 365 e Microsoft Entra ID aprimoram o compartilhamento de coalizão com fácil integração e gerenciamento de acesso para usuários em outros locatários do DoD. - Colaboração B2B - Compartilhamento seguro de convidados Configure o acesso entre locatários e as configurações de nuvem da Microsoft para controlar como os usuários colaboram com organizações externas. - Acesso entre locatários - Configurações de nuvem da Microsoft Governança do Microsoft Entra ID Governe os ciclos de vida do acesso de usuários externos com gerenciamento de direitos. - Acesso externo com gerenciamento de direitos Microsoft Defender para Nuvem Use o Defender para Nuvem para avaliar continuamente e impor protocolos de transporte seguro para recursos de nuvem. - No gerenciamento de postura de segurança do Cloud

Próximas etapas

Configure Microsoft serviços de nuvem para a Estratégia de Confiança Zero do DoD:

Comentários

Esta página foi útil?

Last updated on 2026-04-14