Modelo de madurez de confianza cero de CISA para el pilar de redes
Esta sección contiene orientación y recomendaciones de Microsoft para el Modelo de madurez de Confianza Cero de CISA en el pilar de las redes. Para obtener más información, consulte Secure networks with Zero Trust.
3 Redes
La agencia de seguridad de infraestructura (CISA) de ciberseguridad & identifica una red como un medio de comunicación abierto, incluidos los canales típicos. Entre los ejemplos se incluyen las redes internas de la agencia, las redes inalámbricas y Internet. Además, la definición cita posibles canales como celulares y
Use los vínculos siguientes para ir a las secciones de la guía.
3.1 Función: segmentación de red
| Descripción de etapa CISA ZTMM | guía y recomendaciones de Microsoft |
|---|---|
| Estado de madurez inicial Agencia comienza a implementar la arquitectura de red con el aislamiento de las cargas de trabajo críticas, la restricción de la conectividad a los principios de función mínimos y una transición hacia interconexiones específicas del servicio. |
Azure Front Door, Azure Firewall, Azure Virtual Network, Azure Kubernetes Service Use la guía de arquitectura para diseñar cargas de trabajo críticas con controles de red estrictos que aíslen las cargas de trabajo, restrinjan la conectividad y habiliten una transición a interconexiones específicas del servicio. - Protección de redes con confianza cero - arquitectura de línea de base crítica en Azure - arquitectura de línea base crítica con controles de red - Redes para cargas de trabajo críticas |
| Advanced Maturity Status La agencia amplía la implementación de mecanismos de aislamiento de perfiles de punto de conexión y aplicación a una mayor parte de su arquitectura de red, con micro-perímetros de entrada/salida e interconexiones específicas del servicio. |
Azure Firewall Premium Usar Azure Virtual Network y Azure Firewall Premium con filtrado de tráfico de nivel de aplicación de red para controlar el tráfico de entrada y salida entre los recursos en la nube, la nube y los recursos locales e Internet. - estrategia de segmentación - conjuntos de reglas de directivas de Azure Firewall - topología de varios concentradores y radios - Características de Firewall Premium - Proteger y gobernar cargas de trabajo Azure Private Link Azure Private Link accede a la plataforma como servicio (PaaS), a través de un punto de conexión privado, dentro de una red virtual. Use puntos de conexión privados para proteger los recursos de Azure en redes virtuales. El tráfico de una red virtual a Azure permanece en la red troncal de Azure. Para consumir servicios PaaS de Azure, no exponga una red virtual a la red pública de Internet. - límite del servicio PaaS - Procedimientos recomendados de seguridad de red Grupos de seguridad de red Un NSG es un mecanismo de control de acceso para controlar el tráfico entre los recursos de una red virtual, como firewall de nivel 4. Un grupo de seguridad de red controla el tráfico con redes externas, como Internet, otras redes virtuales, etc. información general del grupo de seguridad de red grupos de seguridad de aplicaciones El mecanismo de control asg es similar a un grupo de seguridad de red, pero al que se hace referencia con un contexto de aplicación. Use ASG para agrupar máquinas virtuales con una etiqueta de aplicación. Definición de reglas de tráfico aplicadas a las máquinas virtuales subyacentes. información general de ASG |
| Estado de madurez óptimo La arquitectura de red de la Agencia consta de micro-perímetros de entrada y salida totalmente distribuidos y una extensa microsegmentación basada en perfiles de aplicación con conectividad dinámica justo a tiempo y suficiente para interconexiones específicas del servicio. |
Microsoft Defender for Cloud, acceso a máquinas virtuales justo a tiempo las técnicas de prevención de ciberseguridad y los objetivos reducen las superficies de ataque. Habilite menos puertos abiertos, especialmente los puertos de administración. Los usuarios legítimos usan estos puertos, por lo que no es práctico cerrarlos. Use JIT de Microsoft Defender for Cloud para bloquear el tráfico entrante a las máquinas virtuales. Esta acción reduce la exposición a ataques al tiempo que mantiene el acceso a las máquinas virtuales. acceso a máquinas virtuales Just-In-Time (JIT) Azure Bastion Usar la plataforma administrada de Azure Bastion como servicio (PaaS) para conectarse de forma segura a las máquinas virtuales a través de una conexión TLS. Establezca la conectividad desde Azure Portal, o a través de un cliente nativo, a la dirección IP privada de la máquina virtual. - Azure Bastion - Habilitación del acceso JIT en máquinas virtuales |
3.2 Función: Administración del tráfico de red
| Descripción de etapa CISA ZTMM | guía y recomendaciones de Microsoft |
|---|---|
| Estado de madurez inicial Agencia establece perfiles de aplicación con características de administración de tráfico distintas y comienza a asignar todas las aplicaciones a estos perfiles. La agencia amplía la aplicación de reglas estáticas a todas las aplicaciones y realiza auditorías manuales periódicas de evaluaciones de perfiles de aplicación. |
Azure Policy Usar Azure Policy para aplicar estándares de red, como la tunelización forzada del tráfico a Azure Firewall u otros dispositivos de red. Prohibir direcciones IP públicas o exigir el uso seguro de protocolos de cifrado. definiciones de servicios de red de Azure Azure Application Gateway Requerir el uso de Application Gateway para aplicaciones web implementadas en Azure.Información general de - Application Gateway - Integración de Application Gateway Etiquetas de servicio de Azure Utilización de etiquetas de servicio para las máquinas virtuales y redes virtuales de Azure para restringir el acceso de red a los servicios de Azure. Azure mantiene las direcciones IP asociadas a cada etiqueta. Etiquetas de servicio Azure Firewall Manager Habilitar este servicio de administración de seguridad para la administración centralizada de directivas y rutas para perímetros de seguridad basados en la nube: firewall, denegación de servicio distribuido (DDoS) y Firewall de aplicaciones web. Use grupos ip para administrar direcciones IP para las reglas de Azure Firewall. - Firewall Manager - grupos de protocolo de Internet (IP) de Azure Firewall Grupos de seguridad de aplicaciones Use ASG para configurar la seguridad de red como una extensión de la estructura de aplicaciones. Agrupar máquinas virtuales (VM) y definir directivas de seguridad de red en función de los grupos. grupos de seguridad de red y grupos de seguridad de aplicaciones (ASG) Azure DDoS Protection Limitar el acceso a recursos con una dirección IP pública. Implemente la protección contra denegación de servicio distribuida (DDoS) para recursos de Azure con una dirección IP pública. - Protección DDoS - Protección DDoS de aplicación (capa 7) |
| Advanced Maturity Status Agency implementa reglas de red dinámicas y configuraciones para la optimización de recursos que se adaptan periódicamente en función de las evaluaciones y supervisión automatizadas de perfiles de aplicaciones con capacidad de riesgo y con capacidad de respuesta al riesgo. |
Azure Monitor Este servicio supervisa continuamente la red y las aplicaciones, proporcionando información y alertas basadas en métricas de rendimiento y seguridad. Ajuste dinámicamente las reglas de red para optimizar el uso y la seguridad de los recursos. información general de Azure Monitor |
| Estado de madurez óptimo Agencia implementa reglas y configuraciones de red dinámicas que evolucionan continuamente para satisfacer las necesidades del perfil de aplicación y volver a escribir aplicaciones en función de la importancia crítica, el riesgo, etc. |
Microsoft Entra Internet Access, Acceso privado Configurar directivas de acceso condicional para proteger los perfiles de tráfico. Defina un riesgo de inicio de sesión aceptable. - acceso seguro global - acceso condicional universal Azure Virtual Network Manager Definir y administrar pertenencias dinámicas a grupos de red mediante instrucciones condicionales de Azure Policy. Los grupos de red incluyen o excluyen redes virtuales, en función de condiciones específicas. - Virtual Network Manager - pertenencia dinámica a grupos de red Azure Firewall, la integración de Microsoft Sentinel Azure Firewall y Sentinel ofrece supervisión continua, detección de amenazas controlada por ia, respuestas automatizadas y actualizaciones de configuración de seguridad basadas en riesgos. Los cuadernos de estrategias de Sentinel responden dinámicamente a las amenazas identificadas, ajustando las configuraciones de red para proteger las aplicaciones críticas de misión. Azure Firewall con Sentinel Grupos de seguridad de red NSG tienen reglas de seguridad que filtran el tráfico de red hacia y desde los recursos de Azure. Habilite las actualizaciones de reglas dinámicas para permitir o denegar el tráfico, en función de las condiciones de red y los requisitos de seguridad. Información General del Grupo de Seguridad de Red Azure Virtual Network Manager Este servicio de administración facilita la agrupación, configuración, implementación y administración de la red virtual entre suscripciones e inquilinos. Defina grupos de red para segmentar las redes virtuales. Establezca y aplique configuraciones de conectividad y seguridad para las redes virtuales seleccionadas en estos grupos con Virtual Network Manager. |
3.3 Función: Cifrado de tráfico
| Descripción de etapa CISA ZTMM | guía y recomendaciones de Microsoft |
|---|---|
| Estado de madurez inicial Agencia comienza a cifrar todo el tráfico a aplicaciones internas, para preferir el cifrado del tráfico a aplicaciones externas, formalizar las directivas de administración de claves y proteger las claves de cifrado de servidor o servicio. |
Microsoft Cloud Services Para los datos de los clientes en tránsito, Microsoft Cloud Services usa protocolos de transporte seguros, como Seguridad de protocolo de Internet (IPSec) y Seguridad de la capa de transporte (TLS), entre los centros de datos de Microsoft, también entre los dispositivos de usuario y los centros de datos de Microsoft. Cifrado en la nube de Microsoft proxy de aplicación de Microsoft Entra Para publicar aplicaciones internas a través de canales cifrados, implemente conectores de proxy de aplicación. Publicar aplicaciones locales |
| Advanced Maturity Status La agencia garantiza el cifrado de todos los protocolos aplicables de tráfico interno y externo. Administra la emisión y la rotación de claves y certificados, y comienza a incorporar procedimientos recomendados para la agilidad criptográfica. |
Azure Key Vault Este servicio en la nube ayuda a proteger las claves criptográficas y los secretos usados por aplicaciones y servicios en la nube. Proteger el almacenamiento, el control de acceso y la auditoría garantizan que la información confidencial esté protegida y administrada de forma eficaz. Centralice la administración de claves para simplificar el cumplimiento de los estándares de seguridad. Mejorar la postura general de seguridad de la aplicación en Azure Key Vault. |
| Estado de madurez óptimo Agencia sigue cifrando el tráfico según corresponda, aplica los principios de privilegios mínimos para la administración segura de claves en toda la empresa e incorpora procedimientos recomendados para la agilidad criptográfica lo más amplia posible. |
administración de claves en Azure Los servicios de administración de claves de Azure almacenan y administran de forma segura las claves criptográficas en la nube, como Azure Key Vault, el modelo de seguridad de hardware administrado de Azure (HSM) y Azure Dedicated HSM. Seleccione entre claves administradas por la plataforma y claves administradas por el cliente. Apoyar el cumplimiento flexible y la gestión de costes indirectos. Centralizar la gestión de claves. Azure mejora la seguridad, simplifica el control de acceso, admite aplicaciones y protege los datos confidenciales. Administración de claves Azure Key Vault Exigir principios de privilegios mínimos mediante el control de acceso basado en rol (RBAC). Asigne permisos específicos a usuarios y aplicaciones en función de los roles. Permita la gestión de acceso granular. Establezca permisos para claves, secretos y certificados. Asegúrese de que solo las entidades autorizadas acceden a la información confidencial. - procedimientos recomendados de Azure Key Vault - Conceder permisos a las aplicaciones para acceder a Azure Key Vault Microsoft Entra Privileged Identity Management Integrar Azure Key Vault con PIM para el acceso Just-In-Time (JIT). Conceda permisos temporales cuando sea necesario.Información general de PIM - - PIM para Grupos |
3.4 Función: Resistencia de red
| Descripción de etapa CISA ZTMM | guía y recomendaciones de Microsoft |
|---|---|
| Estado de madurez inicial Agencia comienza a configurar funcionalidades de red para administrar las demandas de disponibilidad de aplicaciones adicionales y ampliar los mecanismos de resistencia para las cargas de trabajo que no se consideran críticas. |
Azure Virtual Networks Adoptar Azure para administrar las demandas de disponibilidad con su red global de centros de datos y servicios. - Azure Virtual Network - Visión general de la confiabilidad de Azure Zonas de disponibilidad Para garantizar que las aplicaciones estén disponibles, incluso si una zona sufre una interrupción, utilice zonas de disponibilidad para el aislamiento de fallos en una región. Zonas de disponibilidad de Azure Azure ExpressRoute ExpressRoute es un servicio de conectividad híbrida que se utiliza para una conectividad privada de baja latencia, resiliencia y alto rendimiento entre una red local y cargas de trabajo de Azure. ExpressRoute para la resiliencia |
| Advanced Maturity Status Agency ha configurado funcionalidades de red para administrar dinámicamente las demandas de disponibilidad y los mecanismos de resistencia para la mayoría de sus aplicaciones. |
Azure Traffic Manager distribuir dinámicamente el tráfico entre regiones y centros de datos. Garantizar un rendimiento óptimo y una alta disponibilidad; adaptarse a los patrones de solicitud de usuario cambiantes. - Traffic Manager - Confiabilidad en Traffic Manager Azure Front Door Mejorar la conectividad global y la seguridad con el equilibrio dinámico de carga HTTP/S y los servicios de firewall de aplicaciones web. El servicio enruta el tráfico y se ajusta a las demandas o amenazas en tiempo real. Azure Front Door Puertas de enlace de red virtual ExpressRoute conscientes de las zonas de disponibilidad Puertas de enlace con redundancia de zona que distribuyen dinámicamente el tráfico de red entre zonas de disponibilidad. Mantener la conectividad sin problemas si una zona tiene una interrupción. puertas de enlace de red virtual con redundancia de zona en zonas de disponibilidad |
| Estado de madurez óptimo Agencia integra la entrega holística y la conciencia para adaptarse a los cambios en las demandas de disponibilidad de todas las cargas de trabajo y proporciona resistencia proporcional. |
Azure Load Balancer Configura probes de estado de integridad de Azure Load Balancer para conocer el estado de integridad de las instancias de la aplicación. Los sondeos detectan errores de aplicación, administran la carga y se adaptan a los cambios de demanda de disponibilidad. - sondeos de estado del Load Balancer - Administrar sondeos de estado Azure Application Gateway Administrar dinámicamente la demanda de disponibilidad y los mecanismos de resiliencia distribuyendo el tráfico entre varios grupos de back-end y zonas de disponibilidad. Asegúrese de que haya alta disponibilidad y tolerancia a fallos, y que el sistema enrute automáticamente el tráfico durante los fallos de zona. - Azure Application Gateway v2 - perspectiva bien estructurada Azure Firewall Mejorar el escalado automático ajustando automáticamente los recursos para satisfacer las demandas de tráfico. Garantizar la seguridad y el rendimiento en cargas elevadas. Utilice las capacidades de protección contra amenazas y filtrado de direcciones URL que se escalan dinámicamente en función del rendimiento y el uso de la CPU. - Características Premium - Preguntas Frecuentes sobre Azure Firewall - Rendimiento de Azure Firewall Azure ExpressRoute Configurar la detección de reenvío bidireccional (BFD) para mejorar la conmutación por error de Azure ExpressRoute. Use la detección rápida de errores de vínculo y habilite la conmutación casi instantánea a las conexiones de copia de seguridad. Minimizar el tiempo de inactividad, mantener una alta disponibilidad y hacer que la red sea más resistente y fiable. BFD Configurar |
3.5 Función: Visibilidad y análisis
| Descripción de etapa CISA ZTMM | guía y recomendaciones de Microsoft |
|---|---|
| Estado de madurez inicial Agencia emplea funcionalidades de supervisión de red basadas en indicadores conocidos de riesgo (incluida la enumeración de red) para desarrollar el conocimiento de la situación en cada entorno y comienza a correlacionar la telemetría entre los tipos de tráfico y los entornos para el análisis y las actividades de búsqueda de amenazas. |
Azure Monitor Use Azure Network Watcher y Azure Monitor Network Insights para obtener una representación de red completa y visual. Habilitar los registros de flujo de la red virtual (VNet) para enviarlos a un espacio de trabajo del análisis de registros para su ingestión en otras herramientas analíticas. Use Connection Monitor para realizar un seguimiento de la confiabilidad de los flujos importantes. Adjunte alertas a los flujos para que los grupos adecuados se notifiquen sobre las interrupciones. - Network Watcher - Network Insights - registros de flujo de red virtual - Connection Monitor Análisis de tráfico Uso de la solución análisis de tráfico para ver la actividad de usuario y aplicación en redes en la nube. El análisis de tráfico examina los registros de flujo del Azure Network Watcher para proporcionar información sobre el flujo en una nube de Azure. Descripción general del análisis de tráfico de |
| Advanced Maturity Status Agency implementa funcionalidades de detección de red basadas en anomalías para desarrollar reconocimiento de situaciones en todos los entornos, comienza a correlacionar la telemetría de varios orígenes para su análisis e incorpora procesos automatizados para actividades sólidas de búsqueda de amenazas. |
Microsoft Sentinel Azure Firewall, Application Gateway, Data Factory y Bastion exportan registros a Sentinel u otros sistemas de gestión de información y eventos de seguridad (SIEM). Para aplicar los requisitos de todo el entorno, use conectores en Sentinel o Azure Policy. - Azure Firewall con el conector de Web App Firewall de Sentinel - a Sentinel - Búsqueda de conectores de datos de Sentinel Global Secure Access En registros de acceso seguro global, busque detalles sobre el tráfico de red. Para comprender y analizar los detalles al supervisar el entorno, examine los tres niveles de registros y sus correlaciones.Registros de - y monitoreo - Registros de tráfico de red - Registros enriquecidos de Microsoft 365 - Registros de salud de la red remota |
| Estado de madurez óptimo Agencia mantiene visibilidad sobre la comunicación en todas las redes y entornos de agencias, al tiempo que habilita las capacidades de supervisión avanzada y reconocimiento de situaciones de toda la empresa que automatizan la correlación de telemetría en todos los orígenes de detección. |
Supervisar arquitecturas de seguridad de Confianza Cero con Microsoft Sentinel La solución Confianza Cero (TIC 3.0) permite la visibilidad y el reconocimiento de situaciones para los requisitos de control, desde tecnologías de Microsoft, en entornos basados principalmente en la nube. La experiencia del cliente varía según el usuario. Es posible que algunas interfaces de usuario requieran la configuración y la modificación de consultas. Las arquitecturas de seguridad de Monitor Zero Trust (TIC 3.0) |
3.6 Automatización y orquestación
| Descripción de etapa CISA ZTMM | guía y recomendaciones de Microsoft |
|---|---|
| Estado de madurez inicial Agencia comienza a usar métodos automatizados para administrar la configuración y el ciclo de vida de los recursos de algunas redes o entornos de agencias y garantiza que todos los recursos tengan una duración definida basada en directivas y telemetría. |
Azure Virtual Network Manager Centralizar las configuraciones de conectividad y seguridad de las redes virtuales entre suscripciones. Virtual Network Manager Azure Policy Exigir estándares de red, como la tunelización forzada del tráfico a Azure Firewall u otros dispositivos de red. Prohibir direcciones IP públicas o aplicar protocolos de cifrado. definiciones de servicio de red de Azure Azure Firewall Manager Este servicio es para la directiva de seguridad centralizada y la administración de rutas perimetrales de seguridad basadas en la nube. Administra directivas para Azure Firewall, Azure DDoS Protection y Azure Web Application Firewall. - Información general de Azure Firewall Manager - Política Monitor de Rendimiento de Red Las soluciones de Azure monitorizan, analizan, alertan y visualizan la conectividad de red. Para desencadenar acciones de escalado automático o conmutación por error, use alertas de Azure Monitor. Supervisión de red Azure DevOps Use este servicio para configurar canalizaciones de integración continua y entrega continua (CI/CD) para configuraciones de red. Los procedimientos de DevOps puenten la brecha entre la administración de infraestructura convencional y un enfoque moderno y ágil para garantizar que los entornos de red cumplan los requisitos. Azure DevOps Azure Blueprints Definir recursos de Azure repetibles que cumplen los estándares, patrones y requisitos. Construya e inicie nuevos entornos garantizando el cumplimiento. Azure Blueprints Cuaderno de Protocolo No Seguro de Microsoft Sentinel Use el cuaderno de protocolos no seguros para obtener información sobre el tráfico de protocolos no seguros. Recopila y analiza eventos de seguridad de productos de Microsoft. Vea análisis e identifique orígenes de tráfico de protocolo heredado, como NT LAN Manager (NTLM) Server Message Block versión 1 (SMBv1), WDigest, cifrados débiles y autenticación heredada con Active Directory. Libro de protocolo no seguro Microsoft Sentinel Conectar la infraestructura de red de Azure a Sentinel. Configure conectores de datos de Sentinel para soluciones de red que no son de Azure. Use consultas de análisis personalizadas para desencadenar la orquestación, automatización y respuesta de seguridad de Sentinel (SOAR). - Respuesta a amenazas con playbooks - Detección y respuesta con Logic Apps Global Secure Access Las API de acceso a red crean un marco para configurar el reenvío o filtrado del tráfico y las reglas asociadas. Acceso seguro con las API de acceso a red de Graph |
| Estado de madurez avanzada Agencia usa métodos automatizados de administración de cambios (por ejemplo, CI/CD) para administrar la configuración y el ciclo de vida de los recursos de todas las redes y entornos de la agencia, respondiendo a las directivas y protecciones contra los riesgos percibidos. |
Azure DevOps Para automatizar los cambios de configuración de red y la administración de recursos, implemente canalizaciones de integración continua y entrega continua (CI/CD). Azure DevOps Azure Automation Administrar tareas de configuración y ciclo de vida de red, como actualizaciones y cumplimiento normativo. Azure Automation Microsoft Sentinel Habilitar Sentinel para supervisar entornos de red y aplicar directivas. Sus respuestas automatizadas abordan los riesgos percibidos. Supervisión avanzada Azure Policy Automatice la aplicación de cumplimiento y políticas para los recursos de red. Azure Policy |
| estado de madurez óptimo las redes y entornos de la Agencia se definen mediante la infraestructura como código administrada por métodos automatizados de administración de cambios, incluido el inicio automatizado y la expiración para alinearse con las necesidades cambiantes. |
Azure Resource Manager Usar plantillas de ARM para definir y administrar la infraestructura de red como código. Habilite el aprovisionamiento automatizado y las actualizaciones. información general de ARM Terraform en Azure Para automatizar procesos para crear, administrar y escalar recursos de red, implemente Terraform para infraestructura como código. Terraform y Azure Azure DevOps Uso de canalizaciones de integración continua y entrega continua (CI/CD) para automatizar los cambios y la administración del ciclo de vida. Asegúrese de la alineación con los requisitos de red dinámicos. Advanced CD/IC Microsoft Sentinel Orquestar y automatizar las operaciones de seguridad de red. Sentinel se integra con las prácticas de infraestructura como código para una gestión completa. Automatización con Sentinel Automatización de Azure Uso de funcionalidades para la gestión del ciclo de vida, incluyendo el inicio automatizado y la caducidad de los recursos de red. Automatización avanzada |
3.7 Función: Gobernanza
| Descripción de etapa CISA ZTMM | guía y recomendaciones de Microsoft |
|---|---|
| Estado de madurez inicial Agencia define y comienza a implementar directivas adaptadas a segmentos y recursos de red individuales, al tiempo que hereda las reglas de toda la empresa según corresponda. |
Azure Network Security Definir e implementar directivas de seguridad de red para segmentos y recursos. seguridad de red de Azure Azure Firewall Premium Enrutar el tráfico entrante y saliente a través de Azure Firewall. Implemente sus directivas para los segmentos de red y los recursos. - características de Firewall Premium - conectividad a Internet entrante y saliente - Configuración de Azure Firewall en Azure Portal - Azure Policy para proteger las implementaciones de Azure Firewall - conjuntos de reglas de directivas de Azure Firewall Microsoft Sentinel Monitor y aplicar directivas de red, y asegúrese de que se alinean con las reglas de toda la empresa. Sentinel Microsoft Defender for Cloud Empezar con la gobernanza y la seguridad de los recursos y segmentos de red. Defender for Cloud |
| Advanced Maturity Status La Agencia incorpora la automatización en la implementación de políticas adaptadas y facilita la transición desde protecciones centradas en el perímetro. |
Azure Firewall Automatización del cumplimiento de directivas de red y transición de una mentalidad basada en perímetro a medidas de seguridad matizadas. - Azure Firewall - Azure Firewall con grupos de seguridad de red Sentinel Uso de grupos de seguridad de red para automatizar la administración del tráfico de red y aplicar directivas dinámicamente. grupos de seguridad de red de Azure Sentinel Mejorar la automatización de la aplicación de directivas y supervisar la transición de modelos de seguridad tradicionales a dinámicos. de supervisión avanzada |
| Estado óptimo de madurez Agencia implementa directivas de red de toda la empresa que permiten controles locales adaptados; actualizaciones dinámicas; y protegen las conexiones externas basadas en flujos de trabajo de aplicación y usuario. |
Azure Policy Implementación y administración de directivas de red de toda la empresa con actualizaciones dinámicas y controles locales. Azure Policy Azure Virtual WAN Facilitar conexiones externas seguras, dinámicas y optimizar el rendimiento de la red en función de las necesidades de la aplicación y del usuario. Azure Virtual Wide Area Network (WAN) Sentinel Usar Sentinel para la automatización de un extremo a otro y la integración de directivas de red, con conexiones externas seguras. Automation con Sentinel Microsoft Defender for Cloud Lograr una gobernanza de red completa con actualizaciones dinámicas automatizadas y sólidas de recursos de red. Seguridad de red avanzada Azure Firewall, Firewall Manager Crear directivas de red de toda la empresa. Utilice reglas personalizables de red y aplicación que se apliquen a segmentos y recursos; asegúrese de garantizar la seguridad necesaria para toda la red. Con Azure Firewall Manager, las directivas se administran de forma centralizada y se aplican a varias instancias. El personal de TI establece directivas básicas, mientras que el personal de DevOps agrega controles localizados. - administración central de Azure Firewall - conjuntos de reglas de directivas de Azure Firewall |
Pasos siguientes
Configura los Servicios en la nube de Microsoft para el modelo de madurez de Zero Trust de la CISA.