Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Abschnitt enthält Anleitungen und Empfehlungen von Microsoft für das CISA Zero Trust Maturity Model in der Säule „Netzwerke”. Weitere Informationen finden Sie unter Sichere Netzwerke mit Zero Trust.
3 Netzwerke
Die Cybersecurity & Infrastructure Security Agency (CISA) identifiziert ein Netzwerk als offenes Kommunikationsmedium, einschließlich typischer Kanäle. Beispiele hierfür sind interne Agenturnetzwerke, Drahtlose Netzwerke und das Internet. Darüber hinaus nennt die Definition potenzielle Kanäle wie Mobilfunk und
Verwenden Sie die folgenden Links, um zu Abschnitten des Leitfadens zu wechseln.
- Einführung
- Identität
- Geräte
- Netzwerke
- Anwendungen und Workloads
- Daten
3.1 Funktion: Netzwerksegmentierung
| Beschreibung der CISA Zero Trust Maturity Model (ZTMM)-Stufen | Microsoft-Anleitungen und Empfehlungen |
|---|---|
|
Anfänglicher Reifegrad Die Behörde beginnt die Bereitstellung der Netzwerkarchitektur mit der Isolierung kritischer Workloads, der Beschränkung der Konnektivität auf das Prinzip der Mindestfunktion und dem Übergang zu dienstspezifischen Verbindungen. |
Azure Front Door, Azure Firewall, Azure Virtual Network, Azure Kubernetes Service Verwenden von Architekturrichtlinien, um unternehmenskritische Arbeitslasten mit strengen Netzwerksteuerungen zu entwerfen, die Arbeitslasten isolieren, die Konnektivität einschränken und einen Übergang zu dienstspezifischen Verbindungen ermöglichen. - Sichere Netzwerke mit Zero Trust - Unternehmenskritische Basisarchitektur auf Azure - Unternehmenskritische Basisarchitektur mit Netzwerksteuerelementen - Netzwerklösungen für unternehmenskritische Workloads |
|
Fortgeschrittener Reifegrad Die Behörde erweitert die Bereitstellung von Mechanismen zur Endpunkt- und Anwendungsprofilisolation auf einen größeren Teil ihrer Netzwerkarchitektur mit Ein- und Ausgangs-Mikroperimetern und dienstspezifischen Verbindungen. |
Azure Firewall Premium Verwenden Sie Azure Virtual Network und Azure Firewall Premium mit der Datenverkehrsfilterung auf Netzwerk- und Anwendungsebene, um den ein- und ausgehenden Datenverkehr zwischen Cloudressourcen, Ressourcen in der Cloud und vor Ort sowie dem Internet zu steuern. - Segmentierungsstrategie - Azure Firewall-Richtlinien-Regelsätze - Multi-Hub-and-Spoke-Topologie - Firewall Premium-Funktionen - Sichern und Verwalten von Workloads Azure Private Link Azure Private Link greift auf die Azure-Plattform als Dienst (PaaS) über einen privaten Endpunkt in einem virtuellen Netzwerk zu. Verwenden Sie private Endpunkte, um Azure-Ressourcen in virtuellen Netzwerken zu sichern. Der Datenverkehr von einem virtuellen Netzwerk zu Azure verbleibt im Azure-Backbone-Netzwerk. Um Azure PaaS-Dienste zu nutzen, stellen Sie kein virtuelles Netzwerk für das öffentliche Internet bereit. - PaaS-Dienstgrenze - bewährte Methoden zur Netzwerksicherheit Netzwerksicherheitsgruppen Ein NSG ist ein Zugriffssteuerungsmechanismus zur Steuerung des Datenverkehrs zwischen Ressourcen in einem virtuellen Netzwerk als Layer-4-Firewall. Eine NSG kontrolliert den Datenverkehr mit externen Netzwerken, wie dem Internet, anderen virtuellen Netzwerken und mehr. Übersicht über NSG Anwendungssicherheitsgruppen Der Kontrollmechanismus von Anwendungssicherheitsgruppen (ASGs) ist dem von NSGs ähnlich, jedoch mit Bezug auf einen Anwendungskontext. Verwenden Sie ASGs, um VMs mit einem Anwendungstag zu gruppieren. Definieren Sie die Datenverkehrsregeln, die auf die zugrunde liegenden VMs angewendet werden. Übersicht über ASG |
|
Optimaler Reifegrad Die Netzwerkarchitektur der Behörde umfasst vollständig verteilte Eingangs-/Ausgangs-Mikroperimeter und eine umfangreiche Mikrosegmentierung, basierend auf Anwendungsprofilen, mit dynamischer Just-in-Time- und Just-enough-Konnektivität für dienstspezifische Verbindungen. |
Microsoft Defender for Cloud, Just-in-Time-Zugriff auf virtuelle Maschinen Techniken und Ziele zur Verbesserung der Cybersicherheit reduzieren Angriffsflächen. Reduzieren Sie die Anzahl der offenen Ports, insbesondere der Verwaltungsports. Ihre legitimen Benutzer verwenden diese Ports, daher ist es unpraktisch, sie zu schließen. Verwenden Sie Microsoft Defender für Cloud JIT, um eingehenden Datenverkehr auf VMs zu sperren. Diese Aktion reduziert die Gefährdung durch Angriffe, während der Zugriff auf VMs beibehalten wird. Zugriff auf virtuelle Computer (Just-in-Time, JIT) Azure Bastion Verwenden Sie die Azure Bastion Platform as a Service (PaaS), um eine sichere Verbindung mit VMs über eine TLS-Verbindung herzustellen. Stellen Sie die Verbindung über das Azure-Portal oder einen nativen Client zur privaten IP-Adresse der virtuellen Maschine her. - Azure Bastion - JIT-Zugriff auf VMs aktivieren |
3.2 Funktion: Verwaltung des Netzwerkverkehrs
| Beschreibung der CISA Zero Trust Maturity Model (ZTMM)-Stufen | Microsoft-Anleitungen und Empfehlungen |
|---|---|
|
Anfänglicher Reifestatus Die Agentur richtet Anwendungsprofile mit unterschiedlichen Verkehrsmanagement-Funktionen ein und beginnt damit, alle Anwendungen diesen Profilen zuzuordnen. Agentur erweitert die Anwendung statischer Regeln auf alle Anwendungen und führt regelmäßige manuelle Prüfungen von Anwendungsprofilbewertungen durch. |
Azure Policy Verwenden Sie Azure Policy, um Netzwerkstandards durchzusetzen, wie etwa das erzwungene Tunneln des Datenverkehrs zu Azure Firewall oder anderen Netzwerkgeräten. Verbieten Sie öffentliche IPs, oder erzwingen Sie die sichere Verwendung von Verschlüsselungsprotokollen. Azure-Netzwerkdienstedefinitionen Azure-Anwendungsgateway Erfordern die Verwendung des Anwendungsgateways für Web-Apps, die in Azure bereitgestellt werden. - Übersicht über das Anwendungsgateway - Anwendungsgateway-Integration Azure-Diensttags Verwenden von Diensttags für Azure-VMs und virtuelle Azure-Netzwerke zum Einschränken des Netzwerkzugriffs auf Azure-Dienste. Azure verwaltet IP-Adressen, die den einzelnen Tags zugeordnet sind. Diensttags Azure Firewall Manager Aktivieren Sie diesen Sicherheitsverwaltungsdienst für zentralisierte Richtlinien und Routenverwaltung für cloudbasierte Sicherheitsperimeter: Firewall, verteilte Denial of Service (DDoS) und Webanwendungsfirewall. Verwenden Sie IP-Gruppen zum Verwalten von IP-Adressen für Azure Firewall-Regeln. - Firewall Manager - IP-Gruppen (Internetprotokoll) in Azure Firewall Anwendungssicherheitsgruppen Verwenden Sie ASGs, um Netzwerksicherheit als Erweiterung der Anwendungsstruktur zu konfigurieren. Gruppieren Sie virtuelle Maschinen (VMs) und definieren Sie Netzwerksicherheitsrichtlinien, basierend auf den Gruppen. ASGs und Netzwerksicherheitsgruppen Azure DDoS Protection Beschränken Sie Ressourcen mit einer öffentlichen IP-Adresse. Stellen Sie Distributed-Denial-of-Service (DDoS)-Schutz für Azure-Ressourcen mit einer öffentlichen IP-Adresse bereit. - DDoS Protection - DDoS Protection für Anwendungen (Ebene 7) |
|
Fortgeschrittener Reifegrad Die Behörde implementiert dynamische Netzwerkregeln und -konfigurationen für die Ressourcenoptimierung, die regelmäßig basierend auf automatisierten risikobewussten und auf Risiken reagierenden Anwendungsprofilbewertungen und -überwachungen angepasst werden. |
Azure Monitor Dieser Dienst überwacht kontinuierlich Netzwerk und Anwendungen und liefert Einblicke und Warnungen basierend auf Leistungs- und Sicherheitsmetriken. Passen Sie Netzwerkregeln dynamisch an, um die Ressourcennutzung und die Sicherheit zu optimieren. Übersicht über Azure Monitor |
|
Optimaler Reifegradstatus Die Agentur implementiert dynamische Netzwerkregeln und -konfigurationen, die sich kontinuierlich weiterentwickeln, um Anwendungsprofilanforderungen zu erfüllen und Anwendungen basierend auf Geschäftskritikalität, Risiko usw. neu zu priorisieren. |
Microsoft Entra Internet Access, Privater Zugriff Konfigurieren Sie Richtlinien für bedingten Zugriff zum Schutz von Datenverkehrsprofilen. Definieren Sie ein akzeptables Anmelderisiko. - Global Secure Access - Universeller bedingter Zugriff Azure Virtual Network Manager Definieren und verwalten Sie dynamische Netzwerkgruppen-Mitgliedschaften mithilfe von bedingten Anweisungen von Azure Policy. Netzwerkgruppen enthalten oder ausschließen virtuelle Netzwerke basierend auf bestimmten Bedingungen. - Virtual Network Manager - Dynamische Netzwerkgruppen-Mitgliedschaft Azure Firewall, Microsoft Sentinel Die Azure Firewall und Sentinel-Integration bietet kontinuierliche Überwachung, KI-gesteuerte Bedrohungserkennung, automatisierte Antworten und Sicherheitskonfigurations-Updates basierend auf dem Risiko. Sentinel-Playbooks reagieren dynamisch auf identifizierte Bedrohungen und passen Netzwerkkonfigurationen an, um unternehmenskritische Anwendungen zu sichern. Azure Firewall mit Sentinel Netzwerksicherheitsgruppen NSGs verfügen über Sicherheitsregeln, die den Netzwerkdatenverkehr zu und von Azure-Ressourcen filtern. Aktivieren Sie dynamische Regelupdates, um Datenverkehr basierend auf den Netzwerkbedingungen und Sicherheitsanforderungen zuzulassen oder zu verweigern. Übersicht über NSG Azure Virtual Network Manager Dieser Verwaltungsdienst erleichtert die Gruppierung, Konfiguration, Bereitstellung und VNet-Verwaltung (Virtual Network) über Abonnements und Mandanten hinweg. Definieren Sie Netzwerkgruppen, um Ihre VNets zu segmentieren. Legen Sie für ausgewählte VNets in diesen Gruppen Konnektivitäts- und Sicherheitskonfigurationen fest, und wenden Sie diese an. Virtual Network Manager |
3.3 Funktion: Datenverkehrsverschlüsselung
| Beschreibung der CISA Zero Trust Maturity Model (ZTMM)-Stufen | Microsoft-Anleitungen und Empfehlungen |
|---|---|
|
Anfänglicher Reifegradstatus Agentur beginnt, den gesamten Datenverkehr an interne Anwendungen zu verschlüsseln, die Verschlüsselung für den Datenverkehr an externe Anwendungen zu bevorzugen, schlüsselverwaltungsrichtlinien zu formalisieren und Server-/Dienstverschlüsselungsschlüssel zu sichern. |
Microsoft Cloud Services Für die Übertragung von Kundendaten verwendet Microsoft Cloud Services sichere Transportprotokolle, wie z. B. Internet Protocol Security (IPSec) und Transport Layer Security (TLS), zwischen Microsoft-Rechenzentren sowie zwischen Benutzergeräten und Microsoft-Rechenzentren. Verschlüsselung in der Microsoft Cloud Microsoft Entra-Anwendungsproxy Um interne Apps über verschlüsselte Kanäle zu veröffentlichen, stellen Sie Anwendungsproxy-Connectors bereit. Veröffentlichen von lokalen Apps |
|
Fortgeschrittener Reifegrad Die Behörde stellt die Verschlüsselung für alle anwendbaren internen und externen Datenverkehrsprotokolle sicher. Verwaltet die Ausstellung und Rotation von Schlüsseln und Zertifikaten und beginnt mit der Einbeziehung bewährter Methoden für die kryptografische Agilität. |
Azure Key Vault Dieser Clouddienst trägt dazu bei, kryptografische Schlüssel und geheime Schlüssel zu schützen, die von Cloudanwendungen und -diensten verwendet werden. Sichere Speicherung, Zugriffssteuerung und Überwachung stellen sicher, dass vertrauliche Informationen geschützt und effizient verwaltet werden. Zentralisieren Sie die Schlüsselverwaltung, um die Einhaltung von Sicherheitsstandards zu vereinfachen. Verbessern Sie die gesamte Sicherheitslage der Anwendung. Azure Key Vault |
|
Optimaler Reifegrad Die Behörde verschlüsselt den Datenverkehr weiterhin nach Bedarf, erzwingt die Prinzipien der geringsten Rechte, um unternehmensweit für eine sichere Schlüsselverwaltung zu sorgen, und bezieht so weit wie möglich bewährte Methoden für kryptografische Flexibilität ein. |
Schlüsselverwaltung in Azure Die Azure-Schlüsselverwaltungsdienste speichern und verwalten kryptografische Schlüssel sicher in der Cloud, einschließlich Azure Key Vault, Azure Managed Hardware Security Model (HSM) und Azure Dedicated HSM. Wählen Sie aus plattformverwalteten Schlüsseln und vom Kunden verwalteten Schlüsseln aus. Unterstützen Sie eine flexible Compliance- und Overheadverwaltung. Zentralisieren Sie die Schlüsselverwaltung Azure verbessert die Sicherheit, vereinfacht die Zugriffssteuerung, unterstützt Anwendungen und schützt vertrauliche Daten. Schlüsselverwaltung Azure Key Vault Erzwingen der Grundsätze der geringsten Rechte durch rollenbasierte Zugriffssteuerung (RBAC). Weisen Sie Benutzern und Anwendungen basierend auf Rollen spezifische Berechtigungen zu. Ermöglichen Sie die granulare Zugriffsverwaltung. Legen Sie Berechtigungen für Schlüssel, geheime Schlüssel und Zertifikate fest. Stellen Sie sicher, dass nur autorisierte Entitäten auf vertrauliche Informationen zugreifen. - Bewährte Methoden für Azure Key Vault - Gewähren von Berechtigungen für Apps für den Zugriff auf Azure Key Vault Microsoft Entra Privileged Identity Management Integrieren Sie Azure Key Vault mit PIM für Just-in-Time-Zugriff (JIT). Gewähren Sie bei Bedarf temporäre Berechtigungen. - PIM-Übersicht - PIM für Gruppen |
3.4 Funktion: Netzwerkresilienz
| Beschreibung der CISA Zero Trust Maturity Model (ZTMM)-Stufen | Microsoft-Anleitungen und Empfehlungen |
|---|---|
|
Anfänglicher Reifegradstatus Agentur beginnt, Netzwerkfunktionen zu konfigurieren, um Verfügbarkeitsanforderungen für zusätzliche Anwendungen zu verwalten und Ausfallsicherheitsmechanismen für Arbeitslasten zu erweitern, die nicht als unternehmenskritisch eingestuft werden. |
Azure Virtual Networks Azure einführen, um Verfügbarkeitsanforderungen mit seinem globalen Netzwerk von Rechenzentren und Diensten zu verwalten. - Azure Virtual Network - Übersicht über die Azure-Zuverlässigkeit Verfügbarkeitszonen Um sicherzustellen, dass Apps auch bei einem Ausfall einer Zone verfügbar sind, verwenden Sie Verfügbarkeitszonen zur Fehlerisolierung in einer Region. Azure-Verfügbarkeitszonen Azure ExpressRoute ExpressRoute ist ein Hybrid-Konnektivitätsdienst, der für geringe Latenz, Resilienz und private Verbindungen mit hohem Durchsatz zwischen einem lokalen Netzwerk und Azure-Workloads verwendet wird. ExpressRoute für Resilienz |
|
Fortgeschrittener Reifegrad Die Behörde hat Netzwerkfunktionen so konfiguriert, dass die Verfügbarkeitsanforderungen und Resilienzmechanismen für den Großteil ihrer Anwendungen dynamisch verwaltet werden. |
Azure Traffic Manager Dynamisches Verteilen von Datenverkehr über Regionen und Rechenzentren hinweg. Optimale Leistung und hohe Verfügbarkeit gewährleisten; Passen Sie sich an die Änderung von Benutzeranforderungsmustern an. - Traffic Manager - Zuverlässigkeit im Traffic Manager Azure Front Door Erhöhen Sie die globale Konnektivität und Sicherheit mit dynamischem HTTP/S-Lastenausgleich und Webanwendungs-Firewall-Diensten. Der Dienst leitet den Datenverkehr weiter und passt sich an Echtzeitanforderungen oder -bedrohungen an. Azure Front Door Verfügbarkeitszonenfähige ExpressRoute-Gateways für virtuelle Netzwerke Zonenredundante Gateways verteilen den Netzwerkdatenverkehr dynamisch auf Verfügbarkeitszonen. Sorgen Sie für die Aufrechterhaltung einer nahtlosen Konnektivität im Falle des Ausfalls einer Zone. Zonenredundante VNet-Gateways in Verfügbarkeitszonen |
|
Optimaler Reifegrad Die Behörde integriert eine ganzheitliche Bereitstellung und ein Bewusstsein für die Anpassung an Änderungen der Verfügbarkeitsanforderungen für alle Workloads und bietet angemessene Resilienz. |
Azure Load Balancer Konfigurieren Sie Azure Load Balancer-Integritätstests, um Einblick in den Integritätsstatus von Anwendungsinstanzen zu erhalten. Prüfpunkte erkennen Anwendungsfehler, verwalten Ladevorgänge und passen sich an Änderungen der Verfügbarkeitsnachfrage an. - Load Balancer-Integritätstests - Verwalten von Integritätstests Azure Application Gateway Verwalten Sie Verfügbarkeitsanforderungen und Resilienzmechanismen dynamisch durch Verteilung des Datenverkehrs auf mehrere Back-End-Pools und Verfügbarkeitszonen. Stellen Sie eine hohe Verfügbarkeit und Fehlertoleranz sicher, und leiten Sie den Datenverkehr bei Zonenfehlern automatisch um. - Azure Application Gateway v2 - Well-Architected-Perspektive Azure Firewall Verbessern Sie die automatische Skalierung durch automatische Anpassung von Ressourcen an die Datenverkehrsanforderungen. Stellen Sie sicherheit und Leistung unter hohen Lasten sicher. Verwenden Sie Bedrohungsschutz- und URL-Filterfunktionen, die basierend auf Durchsatz und CPU-Auslastung dynamisch skaliert werden. - Premium-Features - Häufig gestellte Fragen zu Azure Firewall - Azure Firewall-Leistung Azure ExpressRoute Konfigurieren Sie die Erkennung von bidirektionaler Weiterleitung (Bidirectional Forwarding Detection, BFD) zur Verbesserung des ExpressRoute-Failovers. Verwenden Sie schnelle Erkennung von Verknüpfungsfehlern, und aktivieren Sie den nahezu sofortigen Umstieg auf Sicherungsverbindungen. Minimieren Sie Ausfallzeiten, halten Sie hohe Verfügbarkeit, und sorgen Sie dafür, dass das Netzwerk stabiler und zuverlässiger ist. BFD- konfigurieren |
3.5 Funktion: Sichtbarkeit und Analyse
| Beschreibung der CISA Zero Trust Maturity Model (ZTMM)-Stufen | Microsoft-Anleitungen und Empfehlungen |
|---|---|
|
Anfänglicher Reifegrad Die Behörde verwendet Netzwerküberwachungsfunktionen basierend auf bekannten Indikatoren für eine Kompromittierung (einschließlich Netzwerkenumeration), um sich in jeder Umgebung ein Bild von der Situation zu machen, und beginnt mit dem Korrelieren von Telemetriedaten über Datenverkehrstypen und Umgebungen hinweg für Analyse und Bedrohungshunting. |
Azure Monitor Verwenden Sie Azure Network Watcher und Azure Monitor Network Insights für eine umfassende und visuelle Netzwerkdarstellung. Aktivieren Sie VNet-Ablaufprotokolle (Virtual Network), um IP-Datenverkehr zu protokollieren. Verwenden Sie den Verbindungsmonitor, um die Zuverlässigkeit wichtiger Flüsse nachzuverfolgen. Fügen Sie Warnungen an die Flüsse an, damit die richtigen Gruppen über Unterbrechungen benachrichtigt werden. - Network Watcher - Netzwerkerkenntnisse - VNet-Datenflussprotokolle - Verbindungsmonitor Traffic Analytics Nutzen Sie die Traffic Analytics-Lösung, um Einblicke in Benutzer- und Anwendungsaktivitäten in Cloudnetzwerken zu erhalten. Die Datenverkehrsanalyse untersucht Azure Network Watcher-Flussprotokolle, um Einblicke zum Fluss in einer Azure-Cloud zu liefern. Datenverkehrsanalyse |
|
Fortgeschrittener Reifegrad Die Behörde stellt anomaliebasierte Netzwerkerkennungsfunktionen bereit, um sich in allen Umgebungen ein Bild von der Situation zu machen, beginnt mit dem Korrelieren von Telemetriedaten aus mehreren Quellen für die Analyse und bezieht automatisierte Prozesse für ein robustes Bedrohungshunting ein. |
Microsoft Sentinel Azure Firewall, Application Gateway, Data Factory und Bastion exportieren Protokolle an Sentinel oder andere Sicherheitssysteme für Informations- und Ereignismanagement (SIEM). Um umgebungsweite Anforderungen zu erzwingen, verwenden Sie Connectors in Sentinel oder Azure Policy. - Azure Firewall mit Sentinel - Webanwendungsfirewall mit Sentinel - Suchen von Sentinel-Datenconnectors Globaler sicherer Zugriff In globalen Protokollen für den sicheren Zugriff finden Sie Details zum Netzwerkdatenverkehr. Um die Details bei der Überwachung Ihrer Umgebung zu verstehen und zu analysieren, betrachten Sie die drei Ebenen von Protokollen und deren Korrelationen. - Protokolle und Überwachung - Protokolle zum Netzwerkdatenverkehr - Angereicherte Microsoft 365-Protokolle - Integritätsprotokolle für das Remotenetzwerk |
|
Optimaler Reifegrad Die Behörde behält den Überblick über die Kommunikation über alle Behördennetzwerke und Umgebungen hinweg und ermöglicht ein unternehmensweites Situationsbewusstsein sowie erweiterte Überwachungsfunktionen, die die Korrelation von Telemetriedaten über alle Erkennungsquellen hinweg automatisieren. |
Überwachen von Zero Trust-Sicherheitsarchitekturen mit Microsoft Sentinel Die Zero Trust (TIC 3.0)-Lösung ermöglicht Transparenz und Situationsbewusstsein in Bezug auf Steuerungsanforderungen durch Microsoft-Technologien in überwiegend cloudbasierten Umgebungen. Die Benutzerfreundlichkeit variiert je nach Benutzer. Für einige Benutzeroberflächen sind möglicherweise Konfigurations- und Abfrageänderungen erforderlich. Überwachen von Sicherheitsarchitekturen mit Zero Trust (TIC 3.0) |
3.6 Automatisierung und Orchestrierung
| Beschreibung der CISA Zero Trust Maturity Model (ZTMM)-Stufen | Microsoft-Anleitungen und Empfehlungen |
|---|---|
|
Anfänglicher Reifegradstatus Die Behörde beginnt mit der Verwendung automatisierter Methoden zur Verwaltung des Konfigurations- und Ressourcenlebenszyklus für einige Netzwerke oder Umgebungen innerhalb der Behörde und stellt sicher, dass alle Ressourcen auf der Grundlage von Richtlinien und Telemetrie eine definierte Lebensdauer haben. |
Azure Virtual Network Manager Zentralisieren Sie die Konnektivitäts- und Sicherheitskonfigurationen für virtuelle Netzwerke über Abonnements hinweg. Virtual Network Manager Azure Policy Erzwingen Sie Netzwerkstandards, wie z. B. das erzwungene Tunneling des Datenverkehrs zur Azure Firewall oder anderen Netzwerkanwendungen. Verbieten Sie öffentliche IPs, oder erzwingen Sie Verschlüsselungsprotokolle. Azure-Netzwerkdienstdefinitionen Azure Firewall Manager Dieser Dienst dient der zentralisierten Sicherheitsrichtlinie und der cloudbasierten Verwaltung von Sicherheitsperimeterrouten. Es verwaltet Richtlinien für Azure Firewall, Azure DDoS Protection und Azure Web Application Firewall. - Azure Firewall Manager - Richtlinienübersicht Netzwerkleistungsmonitor Azure-Lösungen überwachen, analysieren, warnen und visualisieren die Netzwerkkonnektivität. Verwenden Sie Azure Monitor-Warnungen, um automatische Skalierungs- oder Failoveraktionen auszulösen. Netzwerküberwachung Azure DevOps Verwenden Sie diesen Dienst, um CI/CD-Pipelines (Continuous Integration and Continuous Delivery) für Netzwerkkonfigurationen einzurichten. DevOps-Praktiken schließen die Lücke zwischen herkömmlichem Infrastrukturmanagement und einem modernen, agilen Ansatz, um sicherzustellen, dass Netzwerkumgebungen anforderungen erfüllen. Azure DevOps Azure Blueprints Definieren sie wiederholbare Azure-Ressourcen, die Ihren Standards, Mustern und Anforderungen entsprechen. Erstellen und starten Sie neue Umgebungen, während Sie die Compliance sicherstellen. Azure Blueprints Microsoft Sentinel Insecure Protocol Workbook Verwenden Sie das „Insecure Protocol Workbook“, um Einblicke in den Datenverkehr unsicherer Protokolle zu erhalten. Es sammelt und analysiert Sicherheitsereignisse von Microsoft-Produkten. Sehen Sie sich die Analysen an und identifizieren Sie Quellen von Legacy-Protokolldatenverkehr, z. B. NT LAN Manager (NTLM) Server Message Block Version 1 (SMBv1), WDigest, schwache Verschlüsselungen und Legacy-Authentifizierung mit Active Directory. Arbeitsmappe für unsichere Protokolle Microsoft Sentinel Verbinden Sie die Azure-Netzwerkinfrastruktur mit Sentinel. Konfigurieren von Sentinel-Datenconnectors für Nicht-Azure-Netzwerklösungen. Verwenden Sie benutzerdefinierte Analyseabfragen, um die Sentinel-SOAR-Automatisierung (Security Orchestration, Automation and Response) auszulösen. - Reaktion auf Bedrohungen mit Playbooks - Erkennung und Reaktion mit Logic Apps Global Secure Access Die Netzwerkzugriffs-APIs erstellen ein Framework zum Konfigurieren von Weiterleitungs- oder Filterdatenverkehr und zugehörigen Regeln. Sicherer Zugriff mit Graph-Netzwerkzugriffs-APIs |
|
Fortgeschrittener Reifegrad Die Behörde verwendet automatisierte Change Management-Methoden (z. B. CI/CD), um die Konfiguration und den Ressourcenlebenszyklus für alle Behördennetzwerke und Umgebungen zu verwalten. Sie reagiert auf Richtlinien und Schutzmaßnahmen gegen wahrgenommene Risiken setzt diese durch. |
Azure DevOps Implementieren Sie zur Automatisierung von Netzwerkkonfigurationsänderungen und Ressourcenverwaltung CI/CD-Pipelines (Continuous Integration and Continuous Delivery). Azure DevOps Azure Automation Verwalten Sie Netzwerkkonfigurations- und Lebenszyklusaufgaben, wie z. B. Updates und Complianceerzwingung. Azure Automation Microsoft Sentinel Aktivieren Sie Sentinel, um Netzwerkumgebungen zu überwachen und Richtlinien durchzusetzen. Die automatisierten Antworten zielen auf wahrgenommene Risiken ab. Erweiterte Überwachung Azure Policy Automatisieren Sie die Complianceerzwingung und Richtlinienanwendung für Netzwerkressourcen. Azure Policy |
|
Optimaler Reifegrad Behördennetzwerke und -umgebungen werden mithilfe von Infrastructure-as-Code definiert, verwaltet von automatisierten Change Management-Methoden, einschließlich automatisierter Initiierung und Beendigung zur Anpassung an wechselnde Anforderungen. |
Azure Resource Manager Verwenden Sie ARM-Vorlagen, um Netzwerkinfrastruktur als Code zu definieren und zu verwalten. Aktivieren Sie die automatisierte Bereitstellung und Updates. ARM-Übersicht Terraform auf Azure Um Prozesse zum Erstellen, Verwalten und Skalieren von Netzwerkressourcen zu automatisieren, implementieren Sie Terraform für Infrastruktur-as-Code. Terraform und Azure Azure DevOps Verwenden Sie kontinuierliche Integrations- und Fortlaufende Übermittlungspipelinen (CI/CD), um Änderungen und Lebenszyklusverwaltung zu automatisieren. Stellen Sie eine Ausrichtung an dynamischen Netzwerkanforderungen sicher. Erweitertes CD/IC Microsoft Sentinel Orchestrieren und automatisieren Sie Netzwerksicherheitsoperationen. Sentinel lässt sich für eine umfassende Verwaltung in Infrastruktur-als-Code-Praktiken integrieren. Automatisierung mit Sentinel Azure Automation Nutzen Sie Funktionen für die Lebenszyklusverwaltung, einschließlich automatisierter Initiierung und Beendigung von Netzwerkressourcen. Erweiterte Automatisierung |
3.7 Funktion: Governance
| Beschreibung der CISA Zero Trust Maturity Model (ZTMM)-Stufen | Microsoft-Anleitungen und Empfehlungen |
|---|---|
|
Anfänglicher Reifegrad Die Behörde definiert Richtlinien, die auf einzelne Netzwerksegmente und -ressourcen zugeschnitten sind, und beginnt mit deren Implementierung, übernimmt gegebenenfalls aber auch unternehmensweite Regeln. |
Azure Network Security Definieren und Implementieren von Netzwerksicherheitsrichtlinien für Segmente und Ressourcen. Azure-Netzwerksicherheit Azure Firewall Premium Ausgehenden und eingehenden Datenverkehr über azure Firewall weiterleiten. Implementieren Sie ihre Richtlinien für Netzwerksegmente und Ressourcen. - Firewall Premium-Features - Ein- und ausgehende Internetkonnektivität - Konfigurieren von Azure Firewall im Azure-Portal - Azure-Richtlinie zum Sichern von Azure Firewall-Bereitstellungen - Azure Firewall-Richtlinienregelsätze Microsoft Sentinel Überwachen und erzwingen Sie Netzwerkrichtlinien, und stellen Sie sicher, dass diese mit unternehmensweiten Regeln übereinstimmen. Sentinel Microsoft Defender for Cloud Beginnen Sie mit Governance und Sicherheit für Netzwerkressourcen und -segmente. Defender for Cloud |
|
Fortgeschrittener Reifegrad Die Behörde integriert Automatisierung bei der Implementierung von speziell zugeschnittenen Richtlinien und unterstützt den Übergang von auf den Perimeter ausgerichteten Schutzmaßnahmen. |
Azure Firewall Automatisieren Sie die Durchsetzung von Netzwerkrichtlinien und den Übergang von einer perimeterbasierten Denkweise zu nuancierten Sicherheitsmaßnahmen. - Azure Firewall - Azure Firewall mit Sentinel Netzwerksicherheitsgruppen Verwenden Sie NSGs, um die Verwaltung des Netzwerkdatenverkehrs zu automatisieren und Richtlinien dynamisch zu erzwingen. Azure NSGs Sentinel Verbessern Sie die Automatisierung der Richtliniendurchsetzung, und überwachen Sie den Übergang von herkömmlichen zu dynamischen Sicherheitsmodellen. Erweiterte Überwachung |
|
Optimaler Reifegradstatus Die Agentur implementiert unternehmensweite Netzwerkrichtlinien, die maßgeschneiderte, lokale Kontrollen ermöglichen, dynamische Updates und sichere externe Verbindungen basierend auf Anwendungs- und Benutzerworkflows. |
Azure Policy Implementieren und verwalten Sie unternehmensweite Netzwerkrichtlinien mit dynamischen Updates und lokalen Kontrollen. Azure Policy Azure Virtual WAN Ermöglichen Sie sichere, dynamische externe Verbindungen, und optimieren Sie die Netzwerkleistung gemäß den Anforderungen von Anwendungen und Benutzern. Azure Virtual Wide Area Network (WAN) Sentinel Verwenden Sie Sentinel für die End-to-End-Automatisierung und die Integration von Netzwerkrichtlinien, mit sicheren externen Verbindungen. Automatisierung mit Sentinel Microsoft Defender for Cloud Erreichen Sie umfassende Netzwerkgovernance mit automatisierten, dynamischen Updates und robuster Sicherheit für Netzwerkressourcen. Erweiterte Netzwerksicherheit Azure Firewall, Firewall Manager Erstellen Sie unternehmensweite Netzwerkrichtlinien. Verwenden Sie anpassbare Netzwerk- und Anwendungsregeln für Segmente und Ressourcen; stellen Sie die erforderliche netzwerkweite Sicherheit sicher. Mit Azure Firewall Manager werden Richtlinien zentral verwaltet und auf mehrere Instanzen angewendet. IT-Mitarbeiter stellen Kernrichtlinien fest, während DevOps-Mitarbeiter lokalisierte Steuerelemente hinzufügen. - Zentrale Verwaltung für Azure Firewall - Azure Firewall-Richtlinienregelsätze |
Nächste Schritte
Konfigurieren Sie Microsoft Cloud Services für das CISA Zero Trust Maturity-Modell.
- Einführung
- Identität
- Geräte
- Netzwerke
- Anwendungen und Workloads
- Daten