Zero Trust-Strategie des US-amerikanischen Verteidigungsministeriums für die Netzwerksäule

Artikel
05/15/2024

Die DoD Zero Trust-Strategie und -Roadmap skizziert einen Weg für die Komponenten des Department of Defense und die Partner der Defense Industrial Base (DIB) zur Einführung eines neuen Cybersicherheitsframeworks, das auf Zero-Trust-Prinzipien basiert. Zero Trust eliminiert herkömmliche Perimeter und Vertrauensannahmen, was eine effizientere Architektur ermöglicht, die die Sicherheit, Benutzerfreundlichkeit und Einsatzleistung verbessert.

Dieser Leitfaden enthält Empfehlungen für die 152 Zero Trust-Aktivitäten in der DoD Zero Trust Capability Execution Roadmap. Die Abschnitte entsprechen den sieben Säulen des DoD Zero Trust-Modells.

Über die folgenden Links gelangen Sie zu den entsprechenden Abschnitten des Leitfadens.

5 Netzwerk

Dieser Abschnitt enthält einen Leitfaden und Empfehlungen von Microsoft für DoD-Zero Trust-Aktivitäten in der Säule „Netzwerk“. Weitere Informationen finden Sie unter Schützen von Netzwerken mit Zero Trust.

5.1 Datenflusszuordnung

Der Azure Virtual Network -Dienst ist ein Baustein für Ihr privates Netzwerk in Azure. In virtuellen Netzwerken kommunizieren Azure-Ressourcen untereinander, mit dem Internet und mit lokalen Ressourcen.

Wenn Sie eine Topologie mit mehreren Hub-and-Spoke-Netzwerken in Azure bereitstellen, verarbeitet Azure Firewall das Routing von Datenverkehr zwischen virtuellen Netzwerken. Darüber hinaus umfasst Azure Firewall Premium Sicherheitsfeatures wie TLS-Überprüfung (Transport Layer Security), Angriffserkennungs- und Schutzsystem für das Netzwerk (IDPS), URL-Filterung und Inhaltsfilterung.

Azure-Netzwerktools wie Azure Network Watcher und Azure Monitor Network Insights helfen Ihnen, den Fluss des Netzwerkdatenverkehrs zuzuordnen und zu visualisieren. Die Microsoft Sentinel-Integration ermöglicht die Sichtbarkeit und Kontrolle über den Netzwerkdatenverkehr der Organisation mit Arbeitsmappen, Automatisierungs- und Erkennungsfunktionen.

Beschreibung und Ergebnis der DoD-Aktivität Informationen und Empfehlungen von Microsoft

Target 5.1.1 Definieren von Regeln und Richtlinien für präzise Zugriffssteuerung Teil 1
Das DoD-Unternehmen erstellt in Zusammenarbeit mit den Organisationen differenzierte Regeln und Richtlinien für den Netzwerkzugriff. Das zugehörige Betriebskonzept (CONOPS) wird in Übereinstimmung mit den Zugriffsrichtlinien entwickelt und stellen die zukünftige Unterstützung sicher. Sobald eine Einigung erzielt wurde, implementieren die DoD-Organisationen diese Zugriffsrichtlinien in vorhandene Netzwerktechnologien (z. B. Firewalls der nächsten Generation, Angriffsschutzsysteme usw.), um die anfänglichen Risikostufen zu verbessern.

Ergebnisse:
– Bereitstellung von technischen Standards
– Entwicklung eines Betriebskonzepts
– Identifizierung von Interessengemeinschaften Azure Firewall Premium
Verwenden Sie Azure Virtual Network und Azure Firewall Premium, um die Kommunikation und das Routing zwischen Cloudressourcen, Cloudressourcen und lokalen Ressourcen und dem Internet zu steuern. Azure Firewall Premium verfügt über Threat Intelligence, Bedrohungserkennung und Eindringschutzfunktionen, um Datenverkehr zu schützen.
- Segmentierungsstrategie
- Weiterleitung einer Multi-Hub-and-Spoke-Topologie
- Azure Firewall Premium-Features

Verwenden von Azure Firewall Policy Analytics, um Firewallregeln zu verwalten, Einblicke in den Datenverkehrsfluss zu erhalten und detaillierte Analysen zu Firewallregeln durchzuführen.
- Azure Firewall Policy Analytics

Azure Private Link
Verwenden von Azure Private Link für den Zugriff auf Azure PaaS (Platform-as-a-Service) über einen privaten Endpunkt in einem virtuellen Netzwerk. Verwenden Sie private Endpunkte, um kritische Azure-Ressourcen ausschließlich für virtuelle Netzwerke zu sichern. Der Datenverkehr vom virtuellen Netzwerk zu Azure bleibt im Azure-Backbonenetzwerk. Es ist nicht erforderlich, das virtuelle Netzwerk für das öffentliche Internet verfügbar zu machen, um Azure PaaS-Dienste zu nutzen.
- Sichere Netzwerke: PaaS-Dienstgrenze
- Bewährte Methoden für Netzwerksicherheit

Netzwerksicherheitsgruppen
Aktivieren der Datenflussprotokollierung in Netzwerksicherheitsgruppen ( NSGs) zum Abrufen von Datenverkehrsaktivitäten. Visualisieren von Aktivitätsdaten in Network Watcher.
- NSG-Datenflussprotokolle

Azure Virtual Network Manager
Verwenden von Azure Virtual Network Manager für abonnementübergreifende zentralisierte Konnektivitäts- und Sicherheitskonfigurationen für virtuelle Netzwerke.
- Azure Virtual Network Manager

Azure Firewall Manager
Azure Firewall Manager ist ein Sicherheitsverwaltungsdienst für zentralisierte Sicherheitsrichtlinien und Routenverwaltung für cloudbasierte Sicherheitsperimeter.
- Azure Firewall Manager

Azure Policy
Verwenden von Azure Policy, um Netzwerkstandards zu erzwingen, z. B. Datenverkehr-Tunnelerzwingung für Azure Firewall oder andere Netzwerkappliances. Verbieten von öffentlichen IP-Adressen oder Erzwingen der sicheren Verwendung von Verschlüsselungsprotokollen.
- Definitionen für Azure-Netzwerkdienste

Azure Monitor
Verwenden von Azure Network Watcher und Azure Monitor Network Insights für eine umfassende und visuelle Darstellung Ihres Netzwerks.
- Network Watcher
- Netzwerkerkenntnisse

Target 5.1.2 Definieren von Regeln und Richtlinien für präzise Zugriffssteuerung Teil 2
DoD-Organisationen verwenden Datentagging- und Klassifizierungsstandards, um Datenfilter für den API-Zugriff auf die SDN-Infrastruktur zu entwickeln. API-Entscheidungspunkte werden innerhalb der SDN-Architektur formalisiert und mit nicht auftrags-/aufgabenkritischen Anwendungen und Diensten implementiert.

Ergebnis-:
– Definieren von Datentaggingfiltern für API-Infrastruktur Anwendungssicherheitsgruppen
Verwenden von Anwendungssicherheitsgruppen zum Konfigurieren der Netzwerksicherheit als Erweiterung der Anwendungsstruktur. Gruppieren von virtuellen Computern (VMs) und Definieren von Netzwerksicherheitsrichtlinien basierend auf den Gruppen.
- Anwendungssicherheitsgruppen

Azure-Diensttags
Verwenden von Diensttags für Azure-VMs und Azure Virtual Networks, um den Netzwerkzugriff auf verwendete Azure-Dienste einzuschränken. Azure verwaltet IP-Adressen, die den einzelnen Tags zugeordnet sind.
- Azure-Diensttags

Azure Firewall
Azure Firewall Manager ist ein Sicherheitsverwaltungsdienst für zentralisierte Sicherheitsrichtlinien und Routenverwaltung für cloudbasierte Sicherheitsperimeter (Firewall, DDoS, WAF). Verwenden von IP-Gruppen zum Verwalten von IP-Adressen für Azure Firewall-Regeln.
- Azure Firewall Manager
- IP-Gruppen

Azure Virtual Network Manager
Virtual Network Manager ist ein Verwaltungsdienst zum globalen, abonnementübergreifenden Gruppieren, Konfigurieren, Bereitstellen, Anzeigen und Verwalten virtueller Netzwerke.
- Gängige Anwendungsfälle

Azure Network Watcher
Aktivieren von Network Watcher zum Überwachen, Diagnostizieren und Anzeigen von Metriken. Aktivieren oder Deaktivieren von Protokollen für Azure-IaaS-Ressourcen (Infrastructure-as-a-Service). Verwenden von Network Watcher zum Überwachen und Reparieren von IaaS-Produkten wie VMs, VNets, Anwendungsgateways, Lastenausgleichsmodulen und mehr.
- Azure Network Watcher

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Target` 5.1.1 Definieren von Regeln und Richtlinien für präzise Zugriffssteuerung Teil 1 Das DoD-Unternehmen erstellt in Zusammenarbeit mit den Organisationen differenzierte Regeln und Richtlinien für den Netzwerkzugriff. Das zugehörige Betriebskonzept (CONOPS) wird in Übereinstimmung mit den Zugriffsrichtlinien entwickelt und stellen die zukünftige Unterstützung sicher. Sobald eine Einigung erzielt wurde, implementieren die DoD-Organisationen diese Zugriffsrichtlinien in vorhandene Netzwerktechnologien (z. B. Firewalls der nächsten Generation, Angriffsschutzsysteme usw.), um die anfänglichen Risikostufen zu verbessern. Ergebnisse: – Bereitstellung von technischen Standards – Entwicklung eines Betriebskonzepts – Identifizierung von Interessengemeinschaften	Azure Firewall Premium Verwenden Sie Azure Virtual Network und Azure Firewall Premium, um die Kommunikation und das Routing zwischen Cloudressourcen, Cloudressourcen und lokalen Ressourcen und dem Internet zu steuern. Azure Firewall Premium verfügt über Threat Intelligence, Bedrohungserkennung und Eindringschutzfunktionen, um Datenverkehr zu schützen. - Segmentierungsstrategie - Weiterleitung einer Multi-Hub-and-Spoke-Topologie - Azure Firewall Premium-Features Verwenden von Azure Firewall Policy Analytics, um Firewallregeln zu verwalten, Einblicke in den Datenverkehrsfluss zu erhalten und detaillierte Analysen zu Firewallregeln durchzuführen. - Azure Firewall Policy Analytics Azure Private Link Verwenden von Azure Private Link für den Zugriff auf Azure PaaS (Platform-as-a-Service) über einen privaten Endpunkt in einem virtuellen Netzwerk. Verwenden Sie private Endpunkte, um kritische Azure-Ressourcen ausschließlich für virtuelle Netzwerke zu sichern. Der Datenverkehr vom virtuellen Netzwerk zu Azure bleibt im Azure-Backbonenetzwerk. Es ist nicht erforderlich, das virtuelle Netzwerk für das öffentliche Internet verfügbar zu machen, um Azure PaaS-Dienste zu nutzen. - Sichere Netzwerke: PaaS-Dienstgrenze - Bewährte Methoden für Netzwerksicherheit Netzwerksicherheitsgruppen Aktivieren der Datenflussprotokollierung in Netzwerksicherheitsgruppen ( NSGs) zum Abrufen von Datenverkehrsaktivitäten. Visualisieren von Aktivitätsdaten in Network Watcher. - NSG-Datenflussprotokolle Azure Virtual Network Manager Verwenden von Azure Virtual Network Manager für abonnementübergreifende zentralisierte Konnektivitäts- und Sicherheitskonfigurationen für virtuelle Netzwerke. - Azure Virtual Network Manager Azure Firewall Manager Azure Firewall Manager ist ein Sicherheitsverwaltungsdienst für zentralisierte Sicherheitsrichtlinien und Routenverwaltung für cloudbasierte Sicherheitsperimeter. - Azure Firewall Manager Azure Policy Verwenden von Azure Policy, um Netzwerkstandards zu erzwingen, z. B. Datenverkehr-Tunnelerzwingung für Azure Firewall oder andere Netzwerkappliances. Verbieten von öffentlichen IP-Adressen oder Erzwingen der sicheren Verwendung von Verschlüsselungsprotokollen. - Definitionen für Azure-Netzwerkdienste Azure Monitor Verwenden von Azure Network Watcher und Azure Monitor Network Insights für eine umfassende und visuelle Darstellung Ihres Netzwerks. - Network Watcher - Netzwerkerkenntnisse
`Target` 5.1.2 Definieren von Regeln und Richtlinien für präzise Zugriffssteuerung Teil 2 DoD-Organisationen verwenden Datentagging- und Klassifizierungsstandards, um Datenfilter für den API-Zugriff auf die SDN-Infrastruktur zu entwickeln. API-Entscheidungspunkte werden innerhalb der SDN-Architektur formalisiert und mit nicht auftrags-/aufgabenkritischen Anwendungen und Diensten implementiert. Ergebnis-: – Definieren von Datentaggingfiltern für API-Infrastruktur	Anwendungssicherheitsgruppen Verwenden von Anwendungssicherheitsgruppen zum Konfigurieren der Netzwerksicherheit als Erweiterung der Anwendungsstruktur. Gruppieren von virtuellen Computern (VMs) und Definieren von Netzwerksicherheitsrichtlinien basierend auf den Gruppen. - Anwendungssicherheitsgruppen Azure-Diensttags Verwenden von Diensttags für Azure-VMs und Azure Virtual Networks, um den Netzwerkzugriff auf verwendete Azure-Dienste einzuschränken. Azure verwaltet IP-Adressen, die den einzelnen Tags zugeordnet sind. - Azure-Diensttags Azure Firewall Azure Firewall Manager ist ein Sicherheitsverwaltungsdienst für zentralisierte Sicherheitsrichtlinien und Routenverwaltung für cloudbasierte Sicherheitsperimeter (Firewall, DDoS, WAF). Verwenden von IP-Gruppen zum Verwalten von IP-Adressen für Azure Firewall-Regeln. - Azure Firewall Manager - IP-Gruppen Azure Virtual Network Manager Virtual Network Manager ist ein Verwaltungsdienst zum globalen, abonnementübergreifenden Gruppieren, Konfigurieren, Bereitstellen, Anzeigen und Verwalten virtueller Netzwerke. - Gängige Anwendungsfälle Azure Network Watcher Aktivieren von Network Watcher zum Überwachen, Diagnostizieren und Anzeigen von Metriken. Aktivieren oder Deaktivieren von Protokollen für Azure-IaaS-Ressourcen (Infrastructure-as-a-Service). Verwenden von Network Watcher zum Überwachen und Reparieren von IaaS-Produkten wie VMs, VNets, Anwendungsgateways, Lastenausgleichsmodulen und mehr. - Azure Network Watcher

5.2 Softwaredefiniertes Netzwerk

Virtuelle Netzwerke sind die Grundlage privater Netzwerke in Azure. Mit einem virtuellen Netzwerk (VNet) steuert eine Organisation die Kommunikation zwischen Azure-Ressourcen und lokalen Komponenten. Filtern und Weiterleiten von Datenverkehr und Integration in andere Azure-Dienste wie Azure Firewall, Azure Front Door, Azure Application Gateway, Azure VPN Gateway und Azure ExpressRoute.

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Target` 5.2.1 Definieren von SDN-APIs Das DoD-Unternehmen arbeitet mit den Organisationen zusammen, um die erforderlichen APIs und andere programmgesteuerten Benutzerschnittstellen zu definieren, um SDN-Funktionen (Softwaredefiniertes Netzwerk) zu ermöglichen. Diese APIs aktivieren einen Authentifizierungsentscheidungspunkt, einen Proxy zur Steuerung der Anwendungsbereitstellung und die Automatisierung von Segmentierungsgateways. Ergebnisse: – SDN-APIs sind standardisiert und implementiert – APIs sind für den Authentifizierungsentscheidungspunkt, den Proxy zur Steuerung der App-Bereitstellung und Segmentierungsgateways funktionsfähig	Azure Resource Manager Bereitstellen und Konfigurieren von Azure-Netzwerken mithilfe von ARM-APIs (Azure Resource Manager). Azure-Verwaltungstools: Azure-Portal, Azure PowerShell, Azure-Befehlszeilenschnittstelle (CLI) und Vorlagen verwenden dieselben ARM-APIs zum Authentifizieren und Autorisieren von Anforderungen. - Azure Resource Manager - Azure-REST API-Verweise Azure-Rollen Zuweisen integrierter Azure-Rollen für die Netzwerkressourcenverwaltung. Befolgen der Prinzipien der geringsten Rechte und Just-In-Time-Zuweisung (JIT) von Rollen über PIM. - Integrierte Azure-Rollen
`Target` 5.2.2 Implementieren der programmierbaren SDN-Infrastruktur Gemäß den API-Standards, Anforderungen und SDN-API-Funktionen implementieren DoD-Organisationen eine SDN-Infrastruktur (Softwaredefiniertes Netzwerk), um Automatisierungsaufgaben zu ermöglichen. Segmentierungsgateways und Authentifizierungsentscheidungspunkte werden zusammen mit der Ausgabeprotokollierung in ein standardisiertes Repository (z. B. SIEM, Log Analytics) zur Überwachung und Warnung in die SDN-Infrastruktur integriert. Ergebnisse: – Proxy zur Steuerung der Anwendungsbereitstellung implementiert – SIEM-Protokollierungsaktivitäten eingerichtet – Benutzeraktivitätsüberwachung (User Activity Monitoring, UAM) implementiert – Integration mit Authentifizierungsentscheidungspunkt	Azure-Netzwerkressourcen Sichern des externen Zugriff auf in einem virtuellen Netzwerk (VNet) gehostete Anwendungen mit: Azure Front Door (AFD), Azure Application Gateway oder Azure Firewall. Azure Front Door und Application Gateway verfügen über Lastenausgleichs- und Sicherheitsfeatures für die Top 10 von Open Web Application Security Project (OWASP) und Bots. Sie können benutzerdefinierte Regeln erstellen. Azure Firewall verfügt über Threat Intelligence-Filterung auf Ebene 4. - Cloudnative Filterung und Schutz für bekannte Bedrohungen - Netzwerkarchitekturentwurf Microsoft Sentinel Azure Firewall, Application Gateway, ADF und Azure Bastion exportieren Protokolle zur Analyse nach Sentinel oder andere SIEM-Systeme (Security Information & Event Management). Verwenden von Connectors in Sentinel oder Azure Policy, um diese Anforderung in einer Umgebung zu erzwingen. - Azure Firewall mit Sentinel - Azure Web App Firewall-Connector zu Sentinel - Finden von Sentinel-Datenconnectors Microsoft Entra-Anwendungsproxy Bereitstellen eines Anwendungsproxys zum Veröffentlichen und Bereitstellen privater Anwendungen in Ihrem lokalen Netzwerk. Integrieren von Partnerlösungen für den sicheren Hybridzugriff (Secure Hybrid Access, SHA). - Anwendungsproxy - Bereitstellen des Anwendungsproxys - SHA-Partnerintegrationen Microsoft Entra ID-Schutz Bereitstellen von Microsoft Entra ID-Schutz und Einbindung von Anmelderisikosignalen für bedingten Zugriff. Siehe Microsoft-Leitfaden 1.3.3 in Benutzer. Microsoft Defender for Cloud-Apps Verwenden von Defender for Cloud-Apps zur Überwachung riskanter Webanwendungssitzungen. - Defender for Cloud-Apps
`Target` 5.2.3 Segmentflows in Steuerungs-, Verwaltungs- und Datenebenen Netzwerkinfrastruktur und -flows werden physisch oder logisch in Steuerungs-, Verwaltungs- und Datenebenen segmentiert. Die grundlegende Segmentierung mit IPv6/VLAN-Ansätzen wird implementiert, um den Datenverkehr über Datenebenen besser zu organisieren. Analysen und NetFlow aus der aktualisierten Infrastruktur werden automatisch in Operations Centers und Analysetools eingespeist. Ergebnisse: – IPv6-Segmentierung – Aktivieren der automatisierten NetOps-Informationsberichte – Sicherstellen der unternehmensweiten Konfigurationssteuerung – Integration mit SOAR	Azure Resource Manager Azure Resource Manager ist ein Bereitstellungs- und Verwaltungsdienst mit einer Verwaltungsebene zum Erstellen, Aktualisieren und Löschen von Ressourcen in einem Azure-Konto. - Azure-Steuerungs- und Datenebenen - Mehrinstanzenfähige Steuerungsebenen - Azure-Betriebssicherheit Microsoft Sentinel Verbinden der Azure-Netzwerkinfrastruktur mit Sentinel. Konfigurieren von Sentinel-Datenconnectors für Nicht-Azure-Netzwerklösungen. Verwenden Sie benutzerdefinierte Analyseabfragen zum Auslösen der Sentinel-SOAR-Automatisierung. - Bedrohungsabwehr mit Playbooks - Erkennung und Reaktion für Azure Firewall mit Logic Apps Weitere Informationen finden Sie im Microsoft-Leitfaden 5.2.2 in diesem Abschnitt.
`Advanced` 5.2.4 Ermittlung und Optimierung von Netzwerkressourcen DoD-Organisationen automatisieren die Ermittlung von Netzwerkressourcen über die SDN-Infrastruktur, die den Zugriff auf Geräte basierend auf risikobasierten methodischen Ansätzen beschränkt. Die Optimierung wird basierend auf den SDN-Analysen durchgeführt, um die Gesamtleistung zu verbessern, sowie den erforderlichen genehmigten Zugriff auf Ressourcen zu ermöglichen. Ergebnisse: – Technische Aktualisierung/technologische Entwicklung – Bereitstellung von Optimierungs-/Leistungskontrollen	Azure Monitor Verwenden Sie Azure Monitor-Netzwerkerkenntnisse, um eine umfassende visuelle Darstellung von Netzwerkressourcen zu erhalten, einschließlich Topologie, Integrität und Metriken. Weitere Informationen finden Sie im Microsoft-Leitfaden unter 5.1.1. Microsoft Defender for Cloud Defender for Cloud ermittelt und listet einen Bestand der bereitgestellten Ressourcen in Azure, anderen Clouds und der lokalen Umgebung auf. - Multicloudumgebung - Verwalten des Sicherheitsstatus von Ressourcen Microsoft Defender for Endpoint Führen Sie ein Onboarding von Endpunkten durch, und konfigurieren Sie die Geräteerkennung zum Erfassen, Testen oder Überprüfen Ihres Netzwerks, um nicht verwaltete Geräte zu erkennen. - Übersicht über Geräteerkennung
`Advanced` 5.2.5 Zugriffsentscheidungen in Echtzeit SDN-Infrastruktur verwendet säulenübergreifende Datenquellen wie Aktivitätsüberwachung für Benutzer und Entitäten, Unternehmenssicherheitsprofile und mehr für Zugriffsentscheidungen in Echtzeit. Maschinelles Lernen wird verwendet, um die Entscheidungsfindung basierend auf erweiterten Netzwerkanalysen (vollständige Paketerfassung usw.) zu unterstützen. Richtlinien werden im gesamten Unternehmen unter Verwendung einheitlicher Zugriffsstandards konsistent implementiert. Ergebnisse: – Analyse von SIEM-Protokollen mit dem Analysemodul, um richtlinienbasierte Zugriffsentscheidungen in Echtzeit bereitzustellen – Unterstützen des Sendens erfasster Pakete, Daten-/Netzwerkflüsse und anderer spezifischer Protokolle zur Analyse- – Segmentieren von End-to-End-Transportnetzwerkflüssen – Überprüfung von Sicherheitsrichtlinien auf Konsistenz im gesamten Unternehmen	Abschließen der Aktivitäten 5.2.1–5.2.4. Microsoft Sentinel Erkennen von Bedrohungen, indem Netzwerkprotokolle zur Analyse an Sentinel gesendet werden. Verwenden von Funktionen wie Threat Intelligence, erweiterte Erkennung von mehrstufigen Angriffen, Bedrohungssuche und integrierte Abfragen. Die Sentinel-Automatisierung ermöglicht Operatoren das Blockieren böswilliger IP-Adressen. - Erkennen von Bedrohungen mit Analyseregeln - Azure Firewall-Connector für Sentinel Azure Network Watcher Verwenden von Azure Network Watcher, um Netzwerkdatenverkehr zu und von virtuellen Computern (VMs) und VM-Skalierungsgruppen zu erfassen. - Paketerfassung Microsoft Defender for Cloud Defender for Cloud bewertet die Einhaltung der in Frameworks vorgeschriebenen Netzwerksicherheitskontrollen wie Microsoft-Benchmark für Cloudsicherheit, DoD-Auswirkungsstufe 4 (IL4) und IL5 und NIST 800-53 R4/R5 (Microsoft-Benchmark für Cloudsicherheit). - Sicherheitskontrolle: Netzwerksicherheit Bedingter Zugriff Verwenden der Arbeitsmappe mit Erkenntnissen und Berichten für bedingten Zugriff, um die Auswirkungen von Richtlinien für den bedingten Zugriff der Organisation zu verstehen. - Erkenntnisse und Berichte

5.3 Makrosegmentierung

Azure-Abonnements sind allgemeine Konstrukte, die Azure-Ressourcen trennen. Die Kommunikation zwischen Ressourcen in verschiedenen Abonnements wird explizit bereitgestellt. VNet-Ressourcen (virtuelles Netzwerk) in einem Abonnement bieten Eigenständigkeit von Ressourcen auf Netzwerkebene. Standardmäßig können VNets nicht mit anderen VNets kommunizieren. Um die Netzwerkkommunikation zwischen VNets zu aktivieren, werden sie gepeert und der Datenverkehr mithilfe von Azure Firewall gesteuert und überwacht.

Weitere Informationen finden Sie unter Sichern und Steuern von Workloads mit Segmentierung auf Netzwerkebene.

Beschreibung und Ergebnis der DoD-Aktivität Informationen und Empfehlungen von Microsoft

Target 5.3.1 Makrosegmentierung für Rechenzentren
DoD-Organisationen implementieren rechenzentrumsorientierte Makrosegmentierung mithilfe von herkömmlichen mehrstufigen Architekturen (Web, App, DB) und/oder dienstbasierten Architekturen. Proxy- und/oder Erzwingungsprüfungen werden basierend auf Geräteattributen und Verhalten in die SDN-Lösung(en) integriert.

Ergebnisse:
– Protokollieren von Aktionen bei SIEM
– Einrichten von Proxy-/Erzwingungsprüfungen von Geräteattributen, Verhalten und anderen Daten
– Analysieren von Aktivitäten mit der Analyse-Engine Azure-Netzwerk
Entwerfen und Implementieren von Azure-Netzwerkdiensten basierend auf bereits eingerichteten Architekturen, z. B. Zielzonen auf Unternehmensebene. Segmenten von virtuellen Azure-Netzwerken (VNets) und Befolgen von bewährten Methoden für Azure-Netzwerksicherheit. Verwenden von Netzwerksicherheitskontrollen, wenn Pakete verschiedene VNet-Grenzen überschreiten.
- Bewährte Methoden für Netzwerksicherheit
- Datenhoheit und Azure-Zielzonen
- Netzwerktopologie und Konnektivität
- Netzwerk- und Konnektivitätsempfehlungen

Microsoft Entra ID-Schutz
Bereitstellen von Microsoft Entra ID-Schutz und Verwenden von Geräte- und Risikosignalen in Ihrem Richtliniensatz für bedingten Zugriff.

Siehe Microsoft-Leitfaden 1.3.3 in Benutzer und 2.1.4 in Gerät.

Microsoft Sentinel
Einsatz von Connectors zum Verwenden von Protokollen aus Microsoft Entra ID, Netzwerkressourcen, die zur Überprüfung an Microsoft Sentinel gesendet werden, Bedrohungssuche, Erkennung und Reaktion. Aktivieren Sie User and Entity Behavioral Analytics (UEBA) in Sentinel.

Weitere Informationen finden Sie im Microsoft-Leitfaden unter 5.2.2 und 1.6.2 unter Benutzer.

Microsoft Defender XDR
Integrieren Sie Microsoft Defender for Endpoint in Microsoft Defender for Cloud-Apps, und blockieren Sie den Zugriff auf nicht genehmigte Apps.
- Integrieren von Defender for Cloud-Apps in Defender for Endpoint
- Erkennen und Blockieren von Schatten-IT

Target 5.3.2 B/C/P/S-Makrosegmentierung
DoD-Organisationen implementieren Makrosegmentierung für Stützpunkte, Lager, Posten und Stationierungen mit logischen Netzwerkzonen, die Lateral Movement einschränken. Proxy- und/oder Erzwingungsprüfungen werden basierend auf Geräteattributen und Verhalten in die SDN-Lösung(en) integriert.

Ergebnisse:
– Einrichten von Proxy-/Erzwingungsprüfungen von Geräteattributen, Verhalten und anderen Daten
– Protokollieren von Aktionen bei SIEM
– Analysieren von Aktivitäten mit der Analyse-Engine
– Bereitstellen von richtlinienbasierten Zugriffsentscheidungen in Echtzeit mithilfe von SOAR Abschließen der Aktivität 5.3.1.

Microsoft Sentinel
Verwenden von Azure Firewall zum Visualisieren von Firewallaktivitäten, Erkennen von Bedrohungen mit KI-Untersuchungsfunktionen, Korrelieren von Aktivitäten und Automatisieren von Antwortaktionen.
- Azure Firewall

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Target` 5.3.1 Makrosegmentierung für Rechenzentren DoD-Organisationen implementieren rechenzentrumsorientierte Makrosegmentierung mithilfe von herkömmlichen mehrstufigen Architekturen (Web, App, DB) und/oder dienstbasierten Architekturen. Proxy- und/oder Erzwingungsprüfungen werden basierend auf Geräteattributen und Verhalten in die SDN-Lösung(en) integriert. Ergebnisse: – Protokollieren von Aktionen bei SIEM – Einrichten von Proxy-/Erzwingungsprüfungen von Geräteattributen, Verhalten und anderen Daten – Analysieren von Aktivitäten mit der Analyse-Engine	Azure-Netzwerk Entwerfen und Implementieren von Azure-Netzwerkdiensten basierend auf bereits eingerichteten Architekturen, z. B. Zielzonen auf Unternehmensebene. Segmenten von virtuellen Azure-Netzwerken (VNets) und Befolgen von bewährten Methoden für Azure-Netzwerksicherheit. Verwenden von Netzwerksicherheitskontrollen, wenn Pakete verschiedene VNet-Grenzen überschreiten. - Bewährte Methoden für Netzwerksicherheit - Datenhoheit und Azure-Zielzonen - Netzwerktopologie und Konnektivität - Netzwerk- und Konnektivitätsempfehlungen Microsoft Entra ID-Schutz Bereitstellen von Microsoft Entra ID-Schutz und Verwenden von Geräte- und Risikosignalen in Ihrem Richtliniensatz für bedingten Zugriff. Siehe Microsoft-Leitfaden 1.3.3 in Benutzer und 2.1.4 in Gerät. Microsoft Sentinel Einsatz von Connectors zum Verwenden von Protokollen aus Microsoft Entra ID, Netzwerkressourcen, die zur Überprüfung an Microsoft Sentinel gesendet werden, Bedrohungssuche, Erkennung und Reaktion. Aktivieren Sie User and Entity Behavioral Analytics (UEBA) in Sentinel. Weitere Informationen finden Sie im Microsoft-Leitfaden unter 5.2.2 und 1.6.2 unter Benutzer. Microsoft Defender XDR Integrieren Sie Microsoft Defender for Endpoint in Microsoft Defender for Cloud-Apps, und blockieren Sie den Zugriff auf nicht genehmigte Apps. - Integrieren von Defender for Cloud-Apps in Defender for Endpoint - Erkennen und Blockieren von Schatten-IT
`Target` 5.3.2 B/C/P/S-Makrosegmentierung DoD-Organisationen implementieren Makrosegmentierung für Stützpunkte, Lager, Posten und Stationierungen mit logischen Netzwerkzonen, die Lateral Movement einschränken. Proxy- und/oder Erzwingungsprüfungen werden basierend auf Geräteattributen und Verhalten in die SDN-Lösung(en) integriert. Ergebnisse: – Einrichten von Proxy-/Erzwingungsprüfungen von Geräteattributen, Verhalten und anderen Daten – Protokollieren von Aktionen bei SIEM – Analysieren von Aktivitäten mit der Analyse-Engine – Bereitstellen von richtlinienbasierten Zugriffsentscheidungen in Echtzeit mithilfe von SOAR	Abschließen der Aktivität 5.3.1. Microsoft Sentinel Verwenden von Azure Firewall zum Visualisieren von Firewallaktivitäten, Erkennen von Bedrohungen mit KI-Untersuchungsfunktionen, Korrelieren von Aktivitäten und Automatisieren von Antwortaktionen. - Azure Firewall

5.4 Mikrosegmentierung

Netzwerksicherheitsgruppen (NSGs) und Anwendungssicherheitsgruppen (Application Security Groups, ASG) bieten Mikrosegmentierung für Netzwerksicherheit in Azure-Netzwerken. ASGs vereinfachen die Datenverkehrsfilterung basierend auf Anwendungsmustern. Stellen Sie mehrere Anwendungen im selben Subnetz bereit, und isolieren Sie Datenverkehr basierend auf den ASGs.

Weitere Informationen finden Sie unter Sichern und Steuern von Workloads mit Segmentierung auf Netzwerkebene.

Beschreibung und Ergebnis der DoD-Aktivität	Informationen und Empfehlungen von Microsoft
`Target` 5.4.1 Implementieren von Mikrosegmentierung DoD-Organisationen implementieren die Mikrosegmentierungsinfrastruktur in die SDN-Umgebung, um die grundlegende Segmentierung von Dienstkomponenten (z. B. Web, App, DB), Ports und Protokollen zu ermöglichen. Die grundlegende Automatisierung wird für Richtlinienänderungen einschließlich der API-Entscheidungsfindung akzeptiert. Virtuelle Hostingumgebungen implementieren Mikrosegmentierung auf Host-/Containerebene. Ergebnisse: – Akzeptieren von automatisierten Richtlinienänderungen – Implementieren von API-Entscheidungspunkten – Implementieren von NGF/Micro FW/Endpunkt-Agent in der virtuellen Hostumgebung	Aktivität 5.3.1 abschließen. Azure Firewall Premium Verwenden Sie Azure Firewall Premium als NextGen Firewall (NGF) in Ihrer Azure-Netzwerksegmentierungsstrategie. Siehe Microsoft-Anleitungen in 5.1.1. Anwendungssicherheitsgruppen In Netzwerksicherheitsgruppen (NSGs) können Sie Anwendungssicherheitsgruppen verwenden, um die Netzwerksicherheit als Erweiterung der Anwendungsstruktur zu konfigurieren. Vereinfachen Sie Netzwerksicherheitsrichtlinien, indem Sie Azure-Ressourcen für dieselbe Anwendung mithilfe von Anwendungssicherheitsgruppen zuordnen. - Sichern und Steuern von Workloads mit Segmentierung auf Netzwerkebene - Anwendungssicherheitsgruppen Azure Kubernetes Service Erfordern der Azure Container Networking Interface (Azure CNI) für Anwendungen in Azure Kubernetes Service (AKS) mithilfe integrierter Definitionen in Azure Policy. Implementieren Sie die Mikrosegmentierung auf Containerebene für Container in AKS mithilfe von Netzwerkrichtlinien. - Netzwerkkonzepte für AKS - Konfigurieren des Azure CNI Overlay-Netzwerks - Sichern von Datenverkehr zwischen Pods mithilfe von Netzwerkrichtlinien - AKS-Richtlinienreferenz Microsoft Defender für Server Onboarding virtueller Azure-Computer (VMs), VMs in anderen Cloudhostingumgebungen und lokalen Servern in Defender for Servers. Der Netzwerkschutz in Microsoft Defender for Endpoint blockiert Prozesse auf Hostebene von der Kommunikation mit bestimmten Domänen, Hostnamen oder IP-Adressen, die Indikatoren für Kompromittierung (IoC) entsprechen. - Planen der Bereitstellung von Defender for Servers - Schützen Ihres Netzwerks - Erstellen von Indikatoren
`Target` 5.4.2 Mikrosegmentierung für Anwendungen und Geräte DoD-Organisationen nutzen SDN-Lösungen (Softwaredefiniertes Netzwerk), um eine Infrastruktur einzurichten, die die ZT-Zielfunktionalitäten erfüllt: logische Netzwerkzonen, rollen-, attribut- und bedingungsbasierte Zugriffssteuerung für Benutzer und Geräte, Dienste von Privileged Access Management für Netzwerkressourcen und richtlinienbasierte Steuerung des API-Zugriffs. Ergebnisse: – Rollen-, attribut- und bedingungsbasierte Zugriffssteuerung für Benutzer und Geräte – Bereitstellen von Diensten zur Verwaltung des privilegierten Zugriffs – Identitätsbasierte Einschränkung des Zugriffs für Benutzer- und Geräte – Erstellen von logischen Netzwerkzonen	Microsoft Entra ID Integrieren von Anwendungen mit Microsoft Entra ID. Steuern des Zugriffs mit App-Rollen, Sicherheitsgruppen und Zugriffspaketen. Siehe Microsoft-Leitfaden 1.2 in Benutzer. Bedingter Zugriff Entwerfen von Richtliniensätzen für bedingten Zugriff für dynamische Autorisierung basierend auf Benutzer, Rolle, Gruppe, Gerät, Client-App, Identitätsrisiko und Anwendungsressource. Verwenden von Authentifizierungskontexten, um logische Netzwerkzonen basierend auf Benutzer- und Umgebungsbedingungen zu erstellen. Weitere Informationen finden Sie im Microsoft-Leitfaden 1.8.3 unter Benutzer. Privileged Identity Manager (PIM) Konfigurieren von PIM für den JIT-Zugriff (Just-In-Time) auf privilegierte Rollen und Microsoft Entra-Sicherheitsgruppen. Weitere Informationen finden Sie im Microsoft-Leitfaden 1.4.2 unter Benutzer. Azure Virtual Machines und SQL-Datenbanken Konfigurieren von Azure Virtual Machines und SQL-Instanzen zur Verwendung von Microsoft Entra-Identitäten für die Benutzeranmeldung. - Anmelden bei einer Windows-VM in Azure - Anmelden bei einer Linux-VM in Azure - Authentifizierung mit Azure SQL Azure Bastion Verwenden von Bastion, um mit privaten IP-Adressen im Azure-Portal oder mit einem nativen SSH-Client (Secure Shell) oder einem RDP-Client (Remotedesktopprotokoll) eine sichere Verbindung mit Azure-VMs herzustellen. - Bastion Microsoft Defender for Servers Verwenden von JIT-Zugriff (Just-In-Time) auf VMs, um diese vor nicht autorisiertem Netzwerkzugriff zu schützen. - Aktivieren des JIT-Zugriffs auf VMs
`Advanced` 5.4.3 Mikrosegmentierung für Prozesse DoD-Organisationen nutzen eine vorhandene Mikrosegmentierungs- und SDN-Automatisierungsinfrastruktur, die Mikrosegmentierung für Prozesse ermöglicht. Prozesse auf Hostebene werden basierend auf Sicherheitsrichtlinien segmentiert, und der Zugriff wird mithilfe von Zugriffsentscheidungen in Echtzeit gewährt. Ergebnisse: – Segmentieren von Prozessen auf Hostebene für Sicherheitsrichtlinien – Unterstützung von Zugriffsentscheidungen in Echtzeit und Richtlinienänderungen – Unterstützung der Abladung von Protokollen für Analyse und Automatisierung – Unterstützung der dynamischen Bereitstellung von Segmentierungsrichtlinien	Aktivität 5.4.2 abschließen. Microsoft Defender for Endpoint Netzwerkschutz in Defender for Endpoint aktivieren, um Prozesse und Anwendungen auf Hostebene daran zu hindern, eine Verbindung mit schädlichen Netzwerkdomänen, IP-Adressen oder kompromittierten Hostnamen herzustellen. Siehe Microsoft-Anleitung 4.5.1. Kontinuierliche Zugriffsauswertung Kontinuierliche Zugriffsauswertung (Continuous Access Evaluation, CAE) ermöglicht Diensten wie Exchange Online, SharePoint Online und Microsoft Teams das Abonnieren von Microsoft Entra-Ereignissen wie Kontodeaktivierung und Erkennung von hohem Risiko in Microsoft Entra ID Protection. Siehe Microsoft-Anleitung 1.8.3 unter User. Microsoft Sentinel Verwenden von Connectors zum Verwenden von Protokollen von Microsoft Entra-ID, Netzwerkressourcen, die an Microsoft Sentinel gesendet werden, um Überwachung, Bedrohungssuche, Erkennung und Reaktion zu überwachen. Siehe Microsoft-Anleitungen in 5.2.2 und 1.6.2 unter User.
`Target` 5.4.4 Schützen von in Übertragung begriffene Daten Auf der Grundlage der Datenflusszuordnung und -überwachung können DoD-Organisationen Richtlinien für den Schutz von in Übertragung begriffenen Daten festlegen. Häufige Anwendungsfälle wie die gemeinsame Nutzung von Informationen durch Zusammenschlüsse, die gemeinsame Nutzung über Systemgrenzen hinweg und der Schutz über Architekturkomponenten hinweg sind in Schutzrichtlinien enthalten. Ergebnisse: – Schützen von Daten während der Übertragung bei gemeinsamer Nutzung von Informationen durch Zusammenschlüsse – Schützen von Daten während der Übertragung über hohe Systemgrenzen hinweg – Integrieren des Schutzes von Daten während der Übertragung über Architekturkomponenten hinweg	Microsoft 365 Verwenden von Microsoft 365 für die Zusammenarbeit mit DoD. Microsoft 365-Dienste verschlüsseln ruhende Daten und Daten während der Übertragung. - Verschlüsselung in Microsoft 365 Microsoft Entra External ID Microsoft 365 und Microsoft Entra ID verbessern die gemeinsame Nutzung durch Zusammenschlüsse mit einfachem Onboarding und Zugriffsverwaltung für Benutzer in anderen DoD-Mandanten. - B2B Collaboration - Sichere Gastfreigabe Konfigurieren des mandantenübergreifenden Zugriffs und der Microsoft-Cloudeinstellungen, um zu steuern, wie Benutzer mit externen Organisationen zusammenarbeiten. - Mandantenübergreifender Zugriff - Microsoft-Cloudeinstellungen Microsoft Entra ID Governance Steuern des Zugriffslebenszyklus externer Benutzer mit Berechtigungsverwaltung. - Externer Zugriff mit Berechtigungsverwaltung Microsoft Defender for Cloud Verwenden von Defender for Cloud, um sichere Transportprotokolle für Cloudressourcen kontinuierlich zu bewerten und durchzusetzen. - Cloud Security Posture Management

Nächste Schritte

Konfigurieren von Microsoft-Clouddiensten für die DoD Zero Trust-Strategie:

Freigeben über