Estratégia Confiança Zero do DoD para o pilar da rede

A DoD Confiança Zero Estratégia e Roteiro delineia um caminho para que os componentes do Departamento de Defesa e os parceiros da Base Industrial de Defesa (DIB) adotem um novo quadro de cibersegurança baseado em princípios Confiança Zero. O Confiança Zero elimina os perímetros tradicionais e as suposições de confiança, permitindo uma arquitetura mais eficiente que melhora a segurança, as experiências dos utilizadores e o desempenho da missão.

Este guia contém recomendações para as atividades Confiança Zero 152 no Roadmap de Execução de Capacidades Confiança Zero DoD. As secções correspondem aos sete pilares do modelo Confiança Zero do DoD.

Use os links a seguir para ir para as seções do guia.

5 Rede

Esta secção contém orientações e recomendações da Microsoft para as atividades Confiança Zero do DoD no pilar da rede. Para saber mais, consulte Redes Seguras com Confiança Zero para mais informações.

5.1 Mapeamento do fluxo de dados

O serviço Rede Virtual do Azure é um bloco de construção na sua rede privada no Azure. Em redes virtuais, os recursos Azure comunicam entre si, com a internet e com recursos locais.

Quando implementa uma topologia de rede com múltiplos hubs e spoke no Azure, o Azure Firewall trata do encaminhamento do tráfego entre redes virtuais. Além disso, o Azure Firewall Premium inclui funcionalidades de segurança como inspeção de Transport Layer Security (TLS), sistema de deteção e prevenção de intrusão de rede (IDPS), filtragem de URL e filtragem de conteúdos.

Ferramentas de rede do Azure como o Observador de Rede do Azure e o Azure Monitor Network Insights ajudam-no a mapear e visualizar o fluxo de tráfego da rede. A integração com o Microsoft Sentinel permite visibilidade e controlo sobre o tráfego de rede organizacional, com cadernos de trabalho, automação e capacidades de deteção.

Descrição da Atividade e Resultado do Departamento de Defesa (DoD) Orientações e recomendações da Microsoft

Target 5.1.1 Definir Regras e Políticas Granulares de Acesso & Controle Pt1
O DoD Enterprise, em colaboração com as Organizações, desenvolve regras e políticas de acesso granular à rede. Os Conceitos Associados de Operações (ConOps) são desenvolvidos em alinhamento com as políticas de acesso e garantem a capacidade de suporte futura. Uma vez acordado, as organizações do DoD implementarão essas políticas de acesso em tecnologias de rede existentes (por exemplo, firewalls de próxima geração, sistemas de prevenção de intrusão, etc.) para melhorar os níveis de risco iniciais.

Resultados:
- Fornecer Normas Técnicas
- Desenvolver Conceito de Operações
- Identificar Comunidades de Interesse Azure Firewall Premium
Use a Rede Virtual do Azure e o Azure Firewall Premium para controlar a comunicação e o roteamento entre os recursos na nuvem, os recursos no local e a internet. O Azure Firewall Premium dispõe de inteligência de ameaças, deteção de ameaças e capacidades de prevenção de intrusões para proteger o tráfego.
- Estratégia de segmentação
- Roteie uma topologia multi-hub-and-spoke
- Funcionalidades do Azure Firewall Premium

Utilize o Azure Firewall Policy Analytics para gerir as regras do firewall, permitir visibilidade do fluxo de tráfego e realizar análises detalhadas das regras do firewall.
- Azure Firewall Policy Analytics

Azure Private Link
Utilize o Azure Private Link para aceder à plataforma como um serviço (PaaS) da Azure através de um endpoint privado numa rede virtual. Use endpoints privados para proteger recursos críticos do Azure exclusivamente para redes virtuais. O tráfego da rede virtual para o Azure permanece na rede backbone do Azure. Não é necessário expor uma rede virtual à internet pública para consumir serviços PaaS do Azure.
- Redes seguras: limite de serviço PaaS
- Melhores práticas de segurança de rede

Grupos de segurança de rede
Ative o registo de fluxo nos grupos de segurança de rede (NSGs) para obter a atividade de tráfego. Visualize os dados de atividade nos registos de fluxo do Observador de Rede.
- Registos de fluxo NSG

Azure Virtual Network Manager
Utilize o Azure Virtual Network Manager para configurações centralizadas de conectividade e segurança para redes virtuais entre diferentes subscrições.
- Azure Virtual Network Manager

Azure Firewall Manager
Azure Firewall Manager é um serviço de gestão de segurança para políticas de segurança centralizadas e gestão de rotas para perímetros de segurança baseados na cloud.
- Azure Firewall Manager

Azure Policy
Usar Azure Policy para impor normas de rede, como o tunelamento forçado de tráfego para o Azure Firewall ou outros dispositivos de rede. Proibir IPs públicos ou impor o uso seguro de protocolos de encriptação.
- Definições para serviços de rede do Azure

Azure Monitor
Usar o Observador de Rede do Azure e o Azure Monitor Network Insights para uma representação abrangente e visual da sua rede.
- Observador de Rede
- Insights de rede

Target 5.1.2 Definir Regras de Controlo de Acesso Granular & Políticas Pt2
As organizações do Departamento de Defesa (DoD) utilizam padrões de marcação e classificação de dados para criar filtros de dados para o acesso a APIs à infraestrutura SDN. Os pontos de decisão da API são formalizados dentro da arquitetura SDN e implementados com aplicativos e serviços não essenciais para missões/tarefas.

Resultado:
- Definir filtros de marcação de dados para infraestrutura de API Grupos
de segurança de aplicativos Use grupos de segurança de aplicativos para configurar a segurança de rede como uma extensão da estrutura do aplicativo. Agrupar máquinas virtuais (VMs) e definir políticas de segurança de rede, com base nos grupos.
- Grupos de segurança de aplicação

Azure etiquetas de serviço
Usar etiquetas de serviço para Azure VMs e Azure Redes Virtuais para restringir o acesso à rede a Azure serviços em uso. Azure mantém endereços IP associados a cada etiqueta.
- Azure etiquetas de serviço

Azure Firewall
Azure Firewall Manager é um serviço de gestão de segurança para políticas de segurança centralizadas e gestão de rotas para perímetros de segurança baseados na cloud (firewall, DDoS, WAF). Use Grupos IP para gerir endereços IP para regras do Azure Firewall.
- Azure Firewall Manager
- Grupos IP

Azure Virtual Network Manager
Azure Virtual Network Manager é um serviço de gestão para agrupar, configurar, implementar, visualizar e gerir redes virtuais globalmente através de assinaturas.
- Casos de uso comuns

Observador de Rede do Azure
Permita Observador de Rede monitorizar, diagnosticar e visualizar métricas. Ative ou desative os logs para os recursos Azure infrastructure-as-a-service (IaaS). Use Observador de Rede para monitorizar e reparar a saúde da rede de produtos IaaS como VMs, VNets, gateways de aplicação, balanceadores de carga e mais.
- Observador de Rede do Azure

Descrição da Atividade e Resultado do Departamento de Defesa (DoD)	Orientações e recomendações da Microsoft
`Target` 5.1.1 Definir Regras e Políticas Granulares de Acesso & Controle Pt1 O DoD Enterprise, em colaboração com as Organizações, desenvolve regras e políticas de acesso granular à rede. Os Conceitos Associados de Operações (ConOps) são desenvolvidos em alinhamento com as políticas de acesso e garantem a capacidade de suporte futura. Uma vez acordado, as organizações do DoD implementarão essas políticas de acesso em tecnologias de rede existentes (por exemplo, firewalls de próxima geração, sistemas de prevenção de intrusão, etc.) para melhorar os níveis de risco iniciais. Resultados: - Fornecer Normas Técnicas - Desenvolver Conceito de Operações - Identificar Comunidades de Interesse	Azure Firewall Premium Use a Rede Virtual do Azure e o Azure Firewall Premium para controlar a comunicação e o roteamento entre os recursos na nuvem, os recursos no local e a internet. O Azure Firewall Premium dispõe de inteligência de ameaças, deteção de ameaças e capacidades de prevenção de intrusões para proteger o tráfego. - Estratégia de segmentação - Roteie uma topologia multi-hub-and-spoke - Funcionalidades do Azure Firewall Premium Utilize o Azure Firewall Policy Analytics para gerir as regras do firewall, permitir visibilidade do fluxo de tráfego e realizar análises detalhadas das regras do firewall. - Azure Firewall Policy Analytics Azure Private Link Utilize o Azure Private Link para aceder à plataforma como um serviço (PaaS) da Azure através de um endpoint privado numa rede virtual. Use endpoints privados para proteger recursos críticos do Azure exclusivamente para redes virtuais. O tráfego da rede virtual para o Azure permanece na rede backbone do Azure. Não é necessário expor uma rede virtual à internet pública para consumir serviços PaaS do Azure. - Redes seguras: limite de serviço PaaS - Melhores práticas de segurança de rede Grupos de segurança de rede Ative o registo de fluxo nos grupos de segurança de rede (NSGs) para obter a atividade de tráfego. Visualize os dados de atividade nos registos de fluxo do Observador de Rede. - Registos de fluxo NSG Azure Virtual Network Manager Utilize o Azure Virtual Network Manager para configurações centralizadas de conectividade e segurança para redes virtuais entre diferentes subscrições. - Azure Virtual Network Manager Azure Firewall Manager Azure Firewall Manager é um serviço de gestão de segurança para políticas de segurança centralizadas e gestão de rotas para perímetros de segurança baseados na cloud. - Azure Firewall Manager Azure Policy Usar Azure Policy para impor normas de rede, como o tunelamento forçado de tráfego para o Azure Firewall ou outros dispositivos de rede. Proibir IPs públicos ou impor o uso seguro de protocolos de encriptação. - Definições para serviços de rede do Azure Azure Monitor Usar o Observador de Rede do Azure e o Azure Monitor Network Insights para uma representação abrangente e visual da sua rede. - Observador de Rede - Insights de rede
`Target` 5.1.2 Definir Regras de Controlo de Acesso Granular & Políticas Pt2 As organizações do Departamento de Defesa (DoD) utilizam padrões de marcação e classificação de dados para criar filtros de dados para o acesso a APIs à infraestrutura SDN. Os pontos de decisão da API são formalizados dentro da arquitetura SDN e implementados com aplicativos e serviços não essenciais para missões/tarefas. Resultado: - Definir filtros de marcação de dados para infraestrutura de API	Grupos de segurança de aplicativos Use grupos de segurança de aplicativos para configurar a segurança de rede como uma extensão da estrutura do aplicativo. Agrupar máquinas virtuais (VMs) e definir políticas de segurança de rede, com base nos grupos. - Grupos de segurança de aplicação Azure etiquetas de serviço Usar etiquetas de serviço para Azure VMs e Azure Redes Virtuais para restringir o acesso à rede a Azure serviços em uso. Azure mantém endereços IP associados a cada etiqueta. - Azure etiquetas de serviço Azure Firewall Azure Firewall Manager é um serviço de gestão de segurança para políticas de segurança centralizadas e gestão de rotas para perímetros de segurança baseados na cloud (firewall, DDoS, WAF). Use Grupos IP para gerir endereços IP para regras do Azure Firewall. - Azure Firewall Manager - Grupos IP Azure Virtual Network Manager Azure Virtual Network Manager é um serviço de gestão para agrupar, configurar, implementar, visualizar e gerir redes virtuais globalmente através de assinaturas. - Casos de uso comuns Observador de Rede do Azure Permita Observador de Rede monitorizar, diagnosticar e visualizar métricas. Ative ou desative os logs para os recursos Azure infrastructure-as-a-service (IaaS). Use Observador de Rede para monitorizar e reparar a saúde da rede de produtos IaaS como VMs, VNets, gateways de aplicação, balanceadores de carga e mais. - Observador de Rede do Azure

5.2 Rede definida por software

As redes virtuais são a base das redes privadas no Azure. Com uma rede virtual (VNet), uma organização controla a comunicação entre os recursos do Azure e as instalações locais. Filtrar e encaminhar o tráfego, e integrar com outros serviços do Azure como Azure Firewall, Azure Front Door, Gateway de Aplicação do Azure, Gateway de VPN do Azure e Azure ExpressRoute.

Descrição da Atividade e Resultado do Departamento de Defesa (DoD)	Orientações e recomendações da Microsoft
`Target` 5.2.1 Definir APIs SDN O empreendimento DoD trabalha com as organizações para definir as APIs necessárias e outras interfaces programáticas para ativar as funcionalidades de rede programável (SDN). Essas APIs habilitarão a automação do Ponto de Decisão de Autenticação, do Proxy de Controle de Entrega de Aplicativo e dos Gateways de Segmentação. Resultados: - APIs SDN são padronizadas e implementadas - APIs são funcionais para AuthN Decision Point, App Delivery Control Proxy e Segmentation Gateways	Azure Resource Manager Implementar e configurar redes Azure usando APIs Azure Resource Manager (ARM). Ferramentas de gestão do Azure: Azure portal, Azure PowerShell, Azure Command-Line Interface (CLI) e templates utilizam as mesmas APIs ARM para autenticar e autorizar pedidos. - Azure Resource Manager - Referências da API REST do Azure Funções do Azure Atribuir funções incorporadas do Azure para gestão de recursos de rede. Siga os princípios do privilégio mínimo e atribua funções just-in-time (JIT) via PIM. - Funções incorporadas do Azure
`Target` 5.2.2 Implementar infraestrutura programável SDNSeguindo os padrões, requisitos e funcionalidades da API SDN, as organizações do DoD implementarão a infraestrutura SDN (Software Defined Networking) para permitir tarefas de automação. Os Gateways de Segmentação e os Pontos de Decisão de Autenticação estão integrados na infraestrutura SDN, juntamente com o registo de saída num repositório padronizado (por exemplo, SIEM, Log Analytics) para monitorização e alerta. Resultados: - Implementado: Controlador de Entrega de Aplicações Proxy - Estabelecido: Atividades de Registo do SIEM - Implementado: Monitorização de Atividades de Utilizador (UAM) - Integrado com o Ponto de Decisão de Autenticação	Azure recursos de rede Acesso externo seguro a aplicações alojadas numa rede virtual (VNet) com: Azure Front Door (AFD), Gateway de Aplicação do Azure ou Azure Firewall. O AFD e o Application Gateway têm funcionalidades de balanceamento de carga e segurança para o Top 10 do Open Web Application Security Project (OWASP) e bots. Você pode criar regras personalizadas. Azure Firewall tem filtragem de inteligência de ameaças na Camada 4. - Filtro nativo da nuvem e proteção para ameaças conhecidas - Design da arquitetura de rede Microsoft Sentinel Azure Firewall, Application Gateway, ADF e Azure Bastion exportam registos para o Sentinel ou outros sistemas de gestão de informação e eventos de segurança (SIEM) para análise. Use conectores no Sentinel ou no Azure Policy para impor este requisito em todo o ambiente. - Firewall Azure com o Sentinel - Conector do Azure Web App Firewall para o Sentinel - Encontrar conectores de dados do Sentinel Proxy de aplicação Microsoft Entra Implemente o proxy de aplicação para publicar e entregar aplicações privadas na sua rede on-premises. Integrar soluções parceiras de acesso híbrido seguro (SHA). - Aplicação proxy - Implementar proxy de aplicação - Integrações de parceiros SHA Microsoft Entra ID Protection Implementar o Microsoft Entra ID Protection e trazer os sinais de risco de início de sessão para o Acesso Condicional. Veja a orientação da Microsoft 1.3.3 em Utilizador. Microsoft Defender for Cloud Apps Utilizar o Defender for Cloud Apps para monitorizar sessões de aplicações web arriscadas. - Defender for Cloud Apps
`Target` 5.2.3 Segmentar fluxos em planos de controlo, gestão e dados A infraestrutura e os fluxos da rede são segmentados física ou logicamente em planos de controlo, gestão e dados. A segmentação básica usando abordagens IPv6/VLAN é implementada para organizar melhor o tráfego entre os planos de dados. O Analytics e o NetFlow da infraestrutura atualizada são automaticamente inseridos nos Centros de Operações e nas ferramentas de análise. Resultados: - Segmentação IPv6- Habilitar relatórios automatizados de informações NetOps- Garantir o controle de configuração em toda a empresa - Integrado com SOAR	Azure Resource Manager Azure Resource Manager é um serviço de implementação e gestão com uma camada de gestão para criar, atualizar e eliminar recursos numa conta Azure. - Azure planos de controlo e dados - planos de controlo multiinquilino - Azure segurança operacional Microsoft Sentinel Ligue a infraestrutura Azure de rede ao Sentinel. Configure conectores de dados Sentinel para soluções de rede não Azure. Use consultas analíticas personalizadas para ativar a automação do Sentinel SOAR. - Resposta à ameaça com playbooks - Deteção e resposta para Azure Firewall com Logic Apps Veja a orientação da Microsoft em 5.2.2.
`Advanced` 5.2.4 Descoberta de ativos de rede & Otimização As organizações do DoD automatizam a descoberta de ativos de rede por meio da infraestrutura SDN, limitando o acesso a dispositivos com base em abordagens metódicas baseadas em risco. A otimização é conduzida com base na análise SDN para melhorar o desempenho geral, juntamente com fornecer o acesso aprovado necessário aos recursos. Resultados: - Atualização Técnica/Evolução Tecnológica - Fornecer Controles de Otimização/Desempenho	Azure Monitor Utilize as informações de rede do Azure Monitor para ver uma representação visual abrangente dos recursos da rede, incluindo topologia, saúde e métricas. Consulte a orientação da Microsoft em 5.1.1. Microsoft Defender para a Cloud Defender para a Cloud descobre e lista um inventário de recursos provisionados no Azure, em outras nuvens e on-premises. - Ambiente multicloud - Gerir a postura de segurança dos recursos Microsoft Defender para Endpoint Integre endpoints e configure a descoberta de dispositivos para recolher, sondar ou escanear a sua rede para descobrir dispositivos não geridos. - Visão geral da descoberta de dispositivos
`Advanced` 5.2.5 Decisões de Acesso em Tempo Real A Infraestrutura SDN utiliza fontes de dados entre pilares, como Monitoramento de Atividade do Usuário, Monitoramento de Atividade de Entidade, Perfis de Segurança Empresarial e muito mais para decisões de acesso em tempo real. O aprendizado de máquina é usado para auxiliar a tomada de decisões com base em análises avançadas de rede (captura completa de pacotes, etc.). As políticas são implementadas consistentemente em toda a empresa usando padrões de acesso unificados. Resultados: - Analise logs SIEM com o Analytics Engine para fornecer decisões de acesso a políticas em tempo real- Suporte ao envio de pacotes capturados, fluxos de dados/rede e outros logs específicos para análises - Segmente fluxos de rede de transporte de ponta a ponta- Audite políticas de segurança para consistência em toda a empresa	Completar as atividades 5.2.1 - 5.2.4. Microsoft Sentinel Detetar ameaças enviando registos de rede para o Sentinel para análise. Use recursos como inteligência de ameaças, deteção avançada de ataques em vários estágios, caça a ameaças e consultas integradas. A automação Sentinel permite aos operadores bloquear endereços IP maliciosos. - Detetar ameaças com regras de análise - Conector do Azure Firewall para o Sentinel Observador de Rede do Azure Usar o Observador de Rede do Azure para capturar tráfego de rede de e para máquinas virtuais (VMs) e Conjuntos de Dimensionamento de Máquinas Virtuais. - Captura de pacotes Microsoft Defender para a Cloud Defender para a Cloud avalia o cumprimento dos controlos de segurança de rede prescritos em quadros, como o Microsoft Cloud Security Benchmark, o DoD Impact Level 4 (IL4) e IL5, e o National Institute of Standards and Technology (NIST) 800-53 R4/R5. - Controlo de Segurança: Segurança de rede Conditional Access Utilizar insights e caderno de relatórios de Acesso Condicional para compreender os efeitos das políticas organizacionais de Acesso Condicional. - Insights e relatórios

5.3 Segmentação macro

As subscrições do Azure são construções de alto nível que separam os recursos do Azure. A comunicação entre recursos em assinaturas diferentes é explicitamente provisionada. Os recursos de rede virtual (VNet) em uma assinatura fornecem contenção de recursos no nível da rede. Por padrão, as VNets não conseguem comunicar-se com outras VNets. Para permitir a comunicação em rede entre VNets, fazer peering e usar Azure Firewall para controlar e monitorizar o tráfego.

Para saber mais, consulte Proteger e controlar cargas de trabalho com segmentação no nível da rede.

Descrição da Atividade e Resultado do Departamento de Defesa (DoD) Orientações e recomendações da Microsoft

Target 5.3.1 Segmentação
de macros de datacenterAs organizações do DoD implementam a segmentação macro focada no data center usando arquiteturas tradicionais hierárquicas (web, app, db) e/ou baseadas em serviços. As verificações de proxy e/ou imposição são integradas com a(s) solução(ões) SDN com base nos atributos e no comportamento do dispositivo.

Resultados:
- Registrar ações no SIEM-
Estabelecer verificações de proxy/imposição de atributos de dispositivo, comportamento e outros dados
- Analisar atividades com o mecanismo de análise Azure Networking
Conceber e implementar serviços de rede Azure, com base em arquiteturas já estabelecidas, como "landing zones" em escala empresarial. Segmente as redes virtuais Azure (VNets) e siga as melhores práticas de segurança de rede do Azure. Use controlos de segurança de rede à medida que os pacotes atravessam vários limites de VNet.
- Melhores práticas para segurança de rede
- Soberania e zonas de aterragem do Azure
- Topologia e conectividade da rede
- Recomendações de rede e conectividade

Microsoft Entra ID Protection
Implemente Microsoft Entra ID Protection e use sinais de dispositivos e riscos no conjunto de políticas de Acesso Condicional.

Veja a orientação da Microsoft 1.3.3 em User e 2.1.4 em Device.

Microsoft Sentinel
Use conectores para consumir logs de Microsoft Entra ID, recursos de rede para enviar a Microsoft Sentinel para auditoria, caça a ameaças, deteção e resposta. Ative a Análise de Comportamento da Entidade do Utilizador (UEBA) no Sentinel.

Consulte as orientações da Microsoft em 5.2.2 e na versão 1.6.2 em User.

Microsoft Defender XDR
Integrar o Microsoft Defender para Endpoint com o Microsoft Defender for Cloud Apps e bloquear o acesso a aplicações não sancionadas.
- Integrar o Defender for Cloud Apps com o Defender para Endpoint
- Descobrir e bloquear TI invisível

Target 5.3.2 Macro-segmentação B/C/P/S
As organizações do DoD implementam a macro-segmentação de base, acampamento, posto e estação usando zonas de rede lógicas que limitam o movimento lateral. As verificações de proxy e/ou imposição são integradas com a(s) solução(ões) SDN com base nos atributos e no comportamento do dispositivo.

Resultados:
- Estabelecer verificações de proxy/imposição de atributos de dispositivo, comportamento e outros dados
- Registrar ações para SIEM-
Analisar atividades com o mecanismo de análise
- Aproveitar o SOAR para fornecer decisões de acesso à política RT Completar a atividade 5.3.1.

Microsoft Sentinel
Usar Azure Firewall para visualizar atividades de firewall, detetar ameaças com capacidades de investigação de IA, correlacionar atividades e automatizar ações de resposta.
- Azure Firewall

Descrição da Atividade e Resultado do Departamento de Defesa (DoD)	Orientações e recomendações da Microsoft
`Target` 5.3.1 Segmentação de macros de datacenterAs organizações do DoD implementam a segmentação macro focada no data center usando arquiteturas tradicionais hierárquicas (web, app, db) e/ou baseadas em serviços. As verificações de proxy e/ou imposição são integradas com a(s) solução(ões) SDN com base nos atributos e no comportamento do dispositivo. Resultados: - Registrar ações no SIEM- Estabelecer verificações de proxy/imposição de atributos de dispositivo, comportamento e outros dados - Analisar atividades com o mecanismo de análise	Azure Networking Conceber e implementar serviços de rede Azure, com base em arquiteturas já estabelecidas, como "landing zones" em escala empresarial. Segmente as redes virtuais Azure (VNets) e siga as melhores práticas de segurança de rede do Azure. Use controlos de segurança de rede à medida que os pacotes atravessam vários limites de VNet. - Melhores práticas para segurança de rede - Soberania e zonas de aterragem do Azure - Topologia e conectividade da rede - Recomendações de rede e conectividade Microsoft Entra ID Protection Implemente Microsoft Entra ID Protection e use sinais de dispositivos e riscos no conjunto de políticas de Acesso Condicional. Veja a orientação da Microsoft 1.3.3 em User e 2.1.4 em Device. Microsoft Sentinel Use conectores para consumir logs de Microsoft Entra ID, recursos de rede para enviar a Microsoft Sentinel para auditoria, caça a ameaças, deteção e resposta. Ative a Análise de Comportamento da Entidade do Utilizador (UEBA) no Sentinel. Consulte as orientações da Microsoft em 5.2.2 e na versão 1.6.2 em User. Microsoft Defender XDR Integrar o Microsoft Defender para Endpoint com o Microsoft Defender for Cloud Apps e bloquear o acesso a aplicações não sancionadas. - Integrar o Defender for Cloud Apps com o Defender para Endpoint - Descobrir e bloquear TI invisível
`Target` 5.3.2 Macro-segmentação B/C/P/S As organizações do DoD implementam a macro-segmentação de base, acampamento, posto e estação usando zonas de rede lógicas que limitam o movimento lateral. As verificações de proxy e/ou imposição são integradas com a(s) solução(ões) SDN com base nos atributos e no comportamento do dispositivo. Resultados: - Estabelecer verificações de proxy/imposição de atributos de dispositivo, comportamento e outros dados - Registrar ações para SIEM- Analisar atividades com o mecanismo de análise - Aproveitar o SOAR para fornecer decisões de acesso à política RT	Completar a atividade 5.3.1. Microsoft Sentinel Usar Azure Firewall para visualizar atividades de firewall, detetar ameaças com capacidades de investigação de IA, correlacionar atividades e automatizar ações de resposta. - Azure Firewall

5.4 Micro segmentação

Os grupos de segurança de rede (NSGs) e os grupos de segurança de aplicações (ASG) fornecem microsegmentação de segurança de rede para redes Azure. Os ASGs simplificam a filtragem de tráfego, com base em padrões de aplicativos. Implante vários aplicativos na mesma sub-rede e isole o tráfego com base nos ASGs.

Para saber mais, consulte Proteger e controlar cargas de trabalho com segmentação no nível da rede.

Descrição da Atividade e Resultado do Departamento de Defesa (DoD)	Orientações e recomendações da Microsoft
`Target` 5.4.1 Implementar microssegmentação As organizações do DoD implementam a infraestrutura de microssegmentação no ambiente SDN, permitindo a segmentação básica de componentes de serviço (por exemplo, web, app, db), portas e protocolos. A automação básica é aceita para alterações de políticas, incluindo a tomada de decisões de API. Os ambientes de hospedagem virtual implementam a microssegmentação no nível do host/contêiner. Resultados: - Aceitar alterações automatizadas de política- Implementar pontos de decisão de API- Implementar NGF/Micro FW/Endpoint Agent em ambiente de hospedagem virtual	Completar a atividade 5.3.1. Azure Firewall Premium Use Azure Firewall Premium como Firewall NextGen (NGF) na sua estratégia de segmentação de rede Azure. Veja Microsoft Orientações em 5.1.1. Application Security Groups Em grupos de segurança de rede (NSGs), pode usar grupos de segurança de aplicações para configurar a segurança de rede como uma extensão da estrutura de aplicação. Simplificar as políticas de segurança de rede associando recursos do Azure para a mesma aplicação usando grupos de segurança de aplicação. - Proteger e governar workloads com segmentação ao nível da rede - grupos de segurança de aplicação Azure Kubernetes Service Requer a Interface de Rede de Contêineres do Azure (Azure CNI) para aplicações no Azure Kubernetes Service (AKS) usando definições incorporadas no Azure Policy. Implemente a microssegmentação em nível de contêiner para contêineres no AKS usando políticas de rede. Conceitos de rede para AKSConfigurar rede de sobreposição do Azure CNITráfego seguro entre pods usando políticas de redeReferência de política AKSMicrosoft Defender para ServidoresIntegrar as máquinas virtuais (VMs) da Azure, as VMs noutros ambientes de alojamento cloud e os servidores on-premises no Defender para Servidores. A proteção de rede no Microsoft Defender para Endpoint bloqueia os processos ao nível do host de comunicarem com domínios específicos, nomes de host ou endereços IP que correspondam aos Indicadores de Compromisso (IoC). - Planeie a implantação do Defender para Servidores - Proteja a sua rede - Crie indicadores
`Target` 5.4.2 Aplicação e Microsegmentação de Dispositivos As organizações do DoD utilizam soluções de rede definida por software (SDN) para estabelecer uma infraestrutura que atenda às funcionalidades do ZT Target: zonas de rede lógicas, função, atributo e controle de acesso baseado em condições para usuários e dispositivos, serviços de gerenciamento de acesso privilegiado para recursos de rede e controle baseado em políticas de acesso à API. Resultados: - Atribuir Papel, Atributo e Controlo de Acesso Baseado em Condições para o Utilizador e Dispositivos - Fornecer Serviços de Gestão de Acesso Privilegiado - Limitar o Acesso por Identidade para o Utilizador e Dispositivo - Criar Zonas Lógicas de Rede	Microsoft Entra ID Integre aplicações com Microsoft Entra ID. Governar o acesso com funções de aplicação, grupos de segurança e pacotes de acesso. Consulte a orientação da Microsoft 1.2 em User. Conditional Access Desenhe conjuntos de políticas de Acesso Condicional para autorização dinâmica baseada no utilizador, função, grupo, dispositivo, aplicação cliente, risco de identidade e recurso da aplicação. Use contextos de autenticação para criar zonas de rede lógicas, com base nas condições do utilizador e do ambiente. Veja as orientações da Microsoft em 1.8.3 no Utilizador. Privileged Identity Manager Configure o PIM para acesso just-in-time (JIT) a funções privilegiadas e a grupos de segurança do Microsoft Entra. Veja as orientações da Microsoft em 1.4.2 no Utilizador. Máquinas Virtuais Azure e bases de dados SQL Configure instâncias de Máquinas Virtuais Azure e SQL para usar identidades do Microsoft Entra para início de sessão do utilizador. - Iniciar sessão no Windows no Azure - Iniciar sessão na VM Linux no Azure - Autenticação com SQL do Azure Azure Bastion Use o Bastion para se ligar de forma segura a VMs do Azure com endereços IP privados a partir do portal Azure, ou usando shell seguro nativo (SSH), ou um cliente de protocolo de ambiente de trabalho remoto (RDP). - Bastion Microsoft Defender para Servidor Use acesso just-in-time (JIT) às VMs para protegê-las de acessos não autorizados à rede. - Ativar o acesso JIT em VMs
`Advanced` 5.4.3 Microsegmentação de processosAs organizações do DoD utilizam a microssegmentação existente e a infraestrutura de automação SDN, permitindo a microssegmentação de processos. Os processos no nível do host são segmentados com base em políticas de segurança e o acesso é concedido usando a tomada de decisões de acesso em tempo real. Resultados: - Segmentar processos no nível do host para políticas de segurança- Apoiar decisões de acesso em tempo real e alterações de políticas- Suporte ao descarregamento de logs para análise e automação - Apoiar a implantação dinâmica da política de segmentação	Concluir a atividade 5.4.2. Microsoft Defender para Endpoint Ativar a proteção de rede no Defender para o Endpoint para bloquear processos e aplicações ao nível do host de se ligarem a domínios de rede maliciosos, endereços IP ou nomes de host comprometidos. Consulte a orientação da Microsoft na 4.5.1. Avaliação de acesso contínuo A avaliação de acesso contínuo (CAE) permite que serviços como Exchange Online, SharePoint Online e Microsoft Teams subscrevam aos eventos do Microsoft Entra, como a desativação de contas e deteções de alto risco no Microsoft Entra ID Protection. Veja a orientação da Microsoft na 1.8.3 em User. Microsoft Sentinel Usar conectores de recursos de rede para consumir registos do Microsoft Entra ID e enviar para o Microsoft Sentinel para auditoria, caça a ameaças, deteção e resposta. Consulte a orientação da Microsoft na 5.2.2 e 1.6.2 em User.
`Target` 5.4.4 Proteger dados em trânsito Com base nos mapeamentos e monitoramento do fluxo de dados, as políticas são habilitadas pelas organizações do DoD para exigir a proteção dos dados em trânsito. Casos de uso comuns, como compartilhamento de informações de coalizão, compartilhamento entre limites do sistema e proteção entre componentes arquitetônicos, estão incluídos nas políticas de proteção. Resultados: - Proteja os dados em trânsito durante o compartilhamento de informações da coalizão- Proteja os dados em trânsito através dos limites altos do sistema- Integre a proteção de dados em trânsito entre componentes de arquitetura	Microsoft 365 Usar Microsoft 365 para colaboração com o DoD. Os serviços do Microsoft 365 encriptam dados em repouso e em trânsito. - Encriptação em Microsoft 365 ID externo Microsoft Entra O Microsoft 365 e o Microsoft Entra ID melhoram a partilha de coligações com fácil integração e gestão de acesso para utilizadores noutros tenants do DoD. - B2B colaboração - Partilha segura de convidados Configure o acesso entre inquilinos e as definições de cloud da Microsoft para controlar como os utilizadores colaboram com organizações externas. - Acesso entre inquilinos - Definições de cloud da Microsoft Governança de Microsoft Entra ID Regula os ciclos de vida de acesso de utilizadores externos com gestão de direitos. - Acesso externo com gestão de direitos Microsoft Defender para a Cloud Use o Defender para a Cloud para avaliar continuamente e aplicar protocolos de transporte seguros para recursos cloud. - Gestão da postura de segurança na nuvem

Próximos passos

Configure os serviços cloud da Microsoft para a Estratégia Confiança Zero do DoD:

Comentários

Esta página foi útil?

Last updated on 2026-04-14