Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La estrategia y la hoja de ruta de confianza cero de DoD describen una ruta para los componentes del Departamento de Defensa y los asociados de base industrial de defensa (DIB) para adoptar un nuevo marco de ciberseguridad basado en principios de confianza cero. Confianza cero al elimina los perímetros tradicionales y las suposiciones de confianza, lo que permite una arquitectura más eficaz que mejora la seguridad, la experiencia del usuario y el rendimiento de la misión.
En esta guía se incluyen recomendaciones para las actividades de confianza cero de 152 en la hoja de ruta de ejecución de la funcionalidad de confianza cero de DoD. Las secciones corresponden a los siete pilares del modelo de confianza cero de DoD.
Use los vínculos siguientes para ir a las secciones de la guía.
- Introducción
- User
- Device
- Aplicaciones y cargas de trabajo
- Data
- Red
- Automatización y orquestación
- Visibilidad y análisis
5 Red
En esta sección se incluyen instrucciones y recomendaciones de Microsoft para las actividades de Confianza cero de DoD en el pilar Red. Para obtener más información, consulte Protección de redes con Confianza cero para obtener más información.
5.1 Asignación de flujo de datos
El servicio Azure Virtual Network es un bloque de creación en la red privada de Azure. En las redes virtuales, los recursos de Azure se comunican entre sí, con Internet y con los recursos locales.
Al implementar una topología de red en estrella tipo hub-and-spoke en Azure, Azure Firewall controla el enrutamiento del tráfico entre redes virtuales. Además, Azure Firewall Premium incluye características de seguridad como la inspección de Seguridad de la capa de transporte (TLS), la intrusión de red, la detección y el sistema de prevención (IDPS), el filtrado de direcciones URL y el filtrado de contenido.
Las herramientas de red de Azure como Azure Network Watcher y Network Insights de Azure Monitor facilitan la asignación y visualización del flujo de tráfico de red. La integración de Microsoft Sentinel permite la visibilidad y el control sobre el tráfico de red de la organización, con libros, automatización y funcionalidades de detección.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
Target 5.1.1 Definición de reglas y políticas de acceso de control granular, parte 1La empresa de DoD trabajando con las organizaciones crea directivas y reglas de acceso de red granulares. El concepto asociado de operaciones (ConOps) se desarrolla en consonancia con las directivas de acceso y garantiza la compatibilidad futura. Una vez acordado, las organizaciones de DoD implementarán estas directivas de acceso en tecnologías de red existentes (por ejemplo, firewalls de próxima generación, sistemas de prevención de intrusiones, etc.) para mejorar los niveles de riesgo iniciales. resultados: - Proporcionar estándares técnicos - Desarrollar concepto de operaciones - Identificar comunidades de interés |
Azure Firewall Premium Use Azure Virtual Network y Azure Firewall Premium para controlar la comunicación y el enrutamiento entre recursos en la nube, recursos locales y en la nube, e Internet. Azure Firewall Premium tiene funcionalidades de inteligencia sobre amenazas, detección de amenazas y prevención de intrusiones para proteger el tráfico. - Estrategia de segmentación - Enrutar una topología de varios concentradores y radios - Características de Azure Firewall Premium Uso de Azure Firewall Policy Analytics para administrar reglas de firewall, habilite la visibilidad del flujo de tráfico y realice análisis detallados sobre las reglas de firewall. - Azure Firewall Policy Analytics Azure Private Link Uso de Azure Private Link para acceder a la plataforma como servicio (PaaS) de Azure a través de un punto de conexión privado en una red virtual. Use puntos de conexión privados para proteger los recursos críticos de Azure únicamente en redes virtuales. El tráfico de la red virtual a Azure permanece en la red troncal de Azure. No es necesario exponer la red virtual a la red pública de Internet para consumir servicios PaaS de Azure. - Redes seguras: límite de servicio PaaS - Procedimientos recomendados de seguridad de red Grupos de seguridad de red Habilitar el registro de flujo en grupos de seguridad de red (NSG) para obtener la actividad de tráfico. Visualizar datos de actividad en Network Watcher. - Registros de flujo de NSG Azure Virtual Network Manager Uso de Azure Virtual Network Manager para configuraciones de seguridad y conectividad centralizadas para redes virtuales entre suscripciones. - Azure Virtual Network Manager Azure Firewall Manager Azure Firewall Manager es un servicio de administración de seguridad para la administración centralizada de directivas de seguridad y administración de rutas para perímetros de seguridad basados en la nube. - Azure Firewall Manager Azure Policy Usar Azure Policy para aplicar estándares de red, como la tunelización forzada del tráfico a Azure Firewall u otros dispositivos de red. Prohibir direcciones IP públicas o exigir el uso seguro de protocolos de cifrado. - Definiciones de servicios de red de Azure Azure Monitor Usar Azure Network Watcher y Azure Monitor Network Insights para una representación completa y visual de la red. - Network Watcher - Network Insights |
Target 5.1.2 Definición de reglas y políticas de acceso de control granular, parte 2Las organizaciones de utilizan estándares de etiquetado y clasificación de datos para desarrollar filtros de datos para el acceso de API a la infraestructura de SDN. Los puntos de decisión de API se formalizan dentro de la arquitectura de SDN y se implementan con aplicaciones y servicios críticos para tareas y no misión. resultado: - Definir filtros de etiquetado de datos para la infraestructura de API |
Grupos de seguridad de aplicaciones Usar grupos de seguridad de aplicaciones para configurar la seguridad de red como una extensión de la estructura de aplicaciones. Agrupar máquinas virtuales (VM) y definir directivas de seguridad de red en función de los grupos. - Grupos de seguridad de aplicaciones Etiquetas de servicio de Azure Uso de etiquetas de servicio para máquinas virtuales de Azure y redes virtuales de Azure para restringir el acceso de red a los servicios de Azure en uso. Azure mantiene las direcciones IP asociadas a cada etiqueta. - Etiquetas de servicio de Azure Azure Firewall Azure Firewall Manager es un servicio de administración de seguridad para directivas de seguridad centralizadas y administración de rutas para perímetros de seguridad basados en la nube (firewall, DDoS, WAF). Use grupos IP para administrar direcciones IP para las reglas de Azure Firewall. - Azure Firewall Manager - Grupos de IP Azure Virtual Network Manager Virtual Network Manager es un servicio de administración para agrupar, configurar, implementar, ver y administrar redes virtuales globalmente entre suscripciones. - Casos de uso comunes Azure Network Watcher Habilitar Network Watcher para supervisar, diagnosticar y ver las métricas. Habilite o deshabilite los registros para los recursos de infraestructura como servicio (IaaS) de Azure. Use Network Watcher para supervisar y reparar el estado de red de productos IaaS, como máquinas virtuales, redes virtuales, puertas de enlace de aplicaciones, equilibradores de carga, etc. - Azure Network Watcher |
5.2 Red definida por software
Las redes virtuales son la base de las redes privadas en Azure. Con una red virtual (VNet), una organización controla la comunicación entre los recursos de Azure y el entorno local. Filtre y enrute el tráfico e integre con otros servicios de Azure, como Azure Firewall, Azure Front Door, Azure Application Gateway, Azure VPN Gateway y Azure ExpressRoute.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
Target 5.2.1 Definición de las API de SDNLa empresa del DoD trabaja con las organizaciones para definir las API necesarias y otras interfaces programáticas que permitan las funcionalidades de redes definidas por software (SDN). Estas API habilitarán el punto de decisión de autenticación, el proxy de control de entrega de aplicaciones y la automatización de puertas de enlace de segmentación. Resultados: - Las API de SDN están estandarizadas e implementadas - Las API son funcionales para el punto de decisión de autenticación, el proxy de control de entrega de aplicaciones y las puertas de enlace de segmentación. |
Azure Resource Manager Implementación y configuración de redes de Azure mediante las API de Azure Resource Manager (ARM). Herramientas de administración de Azure: Azure Portal, Azure PowerShell, la interfaz de la línea de comandos (CLI) de Azure y las plantillas usan las mismas API de ARM para autenticar y autorizar solicitudes. - Azure Resource Manager - Referencias a la API de REST de Azure Roles de Azure Asignar roles integrados de Azure para la administración de recursos de red. Siga los principios de privilegios mínimos y asigne roles Just-In-Time (JIT) a través de PIM. - Roles integrados de Azure |
Target 5.2.2 Implementación de la infraestructura programable de SDNSiguiendo los estándares de API, los requisitos y las funcionalidades de la API de SDN, las organizaciones de DoD implementarán la infraestructura de redes definidas por software (SDN) para habilitar tareas de automatización. Las puertas de enlace de segmentación y los puntos de decisión de autenticación se integran en la infraestructura de SDN junto con el registro de salida en un repositorio estandarizado (por ejemplo, SIEM, Log Analytics) para la supervisión y las alertas. Resultados: - Implementación del proxy de control de entrega de aplicaciones - Actividades de registro de SIEM establecidas - Implementación de la supervisión de actividad del usuario (UAM) - Integrado con el punto de decisión de autenticación |
Recursos de red de Azure Proteger el acceso externo a las aplicaciones hospedadas en una red virtual (VNet) con: Azure Front Door (AFD), Azure Application Gateway o Azure Firewall. AFD y Application Gateway tienen características de equilibrio de carga y seguridad para Open Web Application Security Project (OWASP) Top 10 y bots. Puede crear reglas personalizadas. Azure Firewall tiene filtrado de inteligencia sobre amenazas en el nivel 4. - Protección y filtrado nativo en la nube para amenazas conocidas - Diseño de arquitectura de redes Microsoft Sentinel Azure Firewall, Application Gateway, ADF y Azure Bastion exportan registros a Sentinel u otros sistemas de administración de eventos e información de seguridad (SIEM) para su análisis. Use conectores en Sentinel o Azure Policy para aplicar este requisito en un entorno. - Azure Firewall con Sentinel - Conector de Azure Web App Firewall a Sentinel - Búsqueda de conectores de datos de Sentinel Proxy de aplicación de Microsoft Entra Implementación del proxy de aplicación para publicar y entregan aplicaciones privadas en la red local. Integre soluciones de asociados de acceso híbrido seguro (SHA). - Proxy de aplicación - Implementación de proxy de aplicación - Integraciones de partner de SHA Protección de Microsoft Entra ID Implemente Protección de Microsoft Entra ID e incorpore señales de riesgo de inicio de sesión al acceso condicional. Consulte la guía de Microsoft 1.3.3 en usuario. Microsoft Defender for Cloud Apps Usar Defender for Cloud Apps para supervisar las sesiones de aplicaciones web de riesgo. - Defender for Cloud Apps |
Target 5.2.3 Flujos de segmento en los planos de control, administración y datosLos flujos de infraestructura y de red se segmentan física o lógicamente en planos de control, administración y datos. La segmentación básica mediante enfoques IPv6/VLAN se implementa para organizar mejor el tráfico entre planos de datos. El análisis y NetFlow de la infraestructura actualizada se insertan automáticamente en centros de operaciones y herramientas de análisis. resultados: : Segmentación IPv6 - Habilitar informes de información de NetOps automatizados - Garantizar el control de configuración en empresa - Integrado con SOAR |
Azure Resource Manager Azure Resource Manager es un servicio de implementación y administración con una capa de administración para crear, actualizar y eliminar recursos en una cuenta de Azure. - Planos de datos y control de Azure - Planos de control multiinquilino - Seguridad operativa de Azure Microsoft Sentinel Conectar la infraestructura de red de Azure a Sentinel. Configure conectores de datos de Sentinel para soluciones de red que no son de Azure. Usa consultas de análisis personalizadas para desencadenar la automatización SOAR de Sentinel. - Respuesta a amenazas con cuadernos de estrategias - Detección y respuesta de Azure Firewall con Logic Apps Consulta la guía de Microsoft en 5.2.2. |
Advanced 5.2.4 Descubrimiento y optimización de recursos de redLas organizaciones de DoD automatizan la detección de recursos de red a través de la infraestructura SDN limitando el acceso a los dispositivos en función de los enfoques métodos basados en riesgos. La optimización se realiza en función del análisis de SDN para mejorar el rendimiento general junto con proporcionar acceso aprobado necesario a los recursos. Resultados: - Actualización técnica/evolución de la tecnología - Proporcionar controles de optimización y rendimiento |
Azure Monitor Usa Información de red de Azure Monitor para ver una representación visual completa de los recursos de red, incluida la topología, el estado y las métricas. Consulta la guía de Microsoft en 5.1.1. Microsoft Defender for Cloud Defender for Cloud detecta y enumera un inventario de recursos aprovisionados en Azure, otras nubes y locales. - Entorno multinube - Administración de la posición de seguridad de los recursos Microsoft Defender para punto de conexión Incorpore puntos de conexión y configure la detección de dispositivos para recopilarlos, sondee o examine la red para detectar dispositivos no administrados. - Introducción a la detección de dispositivos |
Advanced 5.2.5 Decisiones de acceso en tiempo realLa infraestructura de SDN utiliza orígenes de datos entre pilares, como la supervisión de la actividad de usuario, la supervisión de la actividad de entidad, los perfiles de seguridad empresarial y mucho más para tomar decisiones de acceso en tiempo real. El aprendizaje automático se usa para ayudar a tomar decisiones en función del análisis de red avanzado (captura completa de paquetes, etc.). Las directivas se implementan de forma coherente en la empresa mediante estándares de acceso unificados. Resultados: - Analizar registros SIEM con el motor de análisis para proporcionar decisiones de acceso a directivas en tiempo real - Compatibilidad con el envío de paquetes capturados, flujos de datos y de red y otros registros específicos para el análisis: - Segmentación de flujos de red de transporte de un extremo a otro - Auditoría de directivas de seguridad para la coherencia en toda la empresa |
Actividades completas 5.2.1 - 5.2.4. Microsoft Sentinel Detectar amenazas mediante el envío de registros de red a Sentinel para su análisis. Use funcionalidades como la inteligencia sobre amenazas, la detección de ataques de varias fases avanzadas, la búsqueda de amenazas y las consultas integradas. La automatización de Sentinel permite a los operadores bloquear direcciones IP malintencionadas. - Detección de amenazas con reglas de análisis - Conector de Azure Firewall para Sentinel Azure Network Watcher Uso de Azure Network Watcher para capturar el tráfico de red hacia y desde máquinas virtuales (VM) y conjuntos de escalado de máquinas virtuales. - Captura de paquetes Microsoft Defender for Cloud Defender for Cloud evalúa el cumplimiento de los controles de seguridad de red prescritos en marcos, como Microsoft Cloud Security Benchmark, nivel de impacto de DoD 4 (IL4) e IL5, e Instituto Nacional de Estándares y Tecnología (NIST) 800-53 R4/R5. - Control de seguridad: seguridad de red Acceso condicional Usar información de acceso condicional y libro de informes para comprender los efectos de las directivas de acceso condicional de la organización. - Información e informes |
5.3 Macrosegmentación
Las suscripciones de Azure son construcciones de alto nivel que separan los recursos de Azure. La comunicación entre los recursos de distintas suscripciones se aprovisiona explícitamente. Los recursos de red virtual (VNet) de una suscripción proporcionan contención de recursos de nivel de red. De forma predeterminada, las redes virtuales no se pueden comunicar con otras redes virtuales. Para habilitar la comunicación de red entre VNets, emparéjelas y utilice Azure Firewall para controlar y supervisar el tráfico.
Para más información, consulte Protección y control de cargas de trabajo con segmentación de nivel de red.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
Target 5.3.1 Macrosegmentación del centro de datosLas organizaciones de DoD implementan la macrosegmentación centrada en el centro de datos mediante arquitecturas tradicionales basadas en niveles (web, aplicación o base de datos) o basadas en servicios. Las comprobaciones de cumplimiento o proxy se integran con las soluciones de SDN basadas en los atributos y el comportamiento del dispositivo. Resultados: - Registrar acciones en SIEM - Establecer comprobaciones de proxy o cumplimiento de atributos de dispositivo, comportamiento y otros datos - Análisis de actividades con motor de análisis |
Redes de Azure Diseño e implementación de servicios de red de Azure, en función de las arquitecturas establecidas, como las zonas de aterrizaje a escala empresarial. Segmente redes virtuales (VNet) de Azure y siga los procedimientos recomendados de seguridad de red de Azure. Use controles de seguridad de red como paquetes que cruzan varios límites de red virtual. - Procedimientos recomendados para la seguridad de red - Soberanía y zonas de aterrizaje de Azure - Topología de red y conectividad - Recomendaciones de conectividad y redes Protección de Microsoft Entra ID Implementar la protección Microsoft Entra ID y usar señales de dispositivo y riesgo en el conjunto de directivas de acceso condicional. Consulte las instrucciones de Microsoft 1.3.3 en Usuario y 2.1.4 en Dispositivo. Microsoft Sentinel Usar conectores para consumir registros de Microsoft Entra ID, recursos de red que se envían a Microsoft Sentinel para la auditoría, la búsqueda de amenazas, la detección y la respuesta. Habilita el Análisis de comportamiento de entidades de usuario (UEBA) en Sentinel. Consulta las guías de Microsoft en 5.2.2 y 1.6.2 en Usuario. Microsoft Defender XDR Integra Microsoft Defender para punto de conexión con aplicaciones de Microsoft Defender for Cloud y bloquea el acceso a aplicaciones no autorizadas. - Integración de Defender for Cloud Apps con Defender for Endpoint - Detección y bloqueo instantáneas de TI |
Target 5.3.2 Macrosegmentación B/C/P/SLas organizaciones de DoD implementan la macrosegmentación base, camp, post y station mediante zonas de red lógicas que limitan el movimiento lateral. Las comprobaciones de cumplimiento o proxy se integran con las soluciones de SDN basadas en los atributos y el comportamiento del dispositivo. Resultados: - Establecer comprobaciones de proxy o cumplimiento de atributos de dispositivo, comportamiento y otros de datos: acciones de registro en SIEM - Análisis de actividades con motor de análisis - Aprovechar SOAR para proporcionar decisiones de acceso a directivas RT |
Actividad completa 5.3.1. Microsoft Sentinel Usar Azure Firewall para visualizar actividades de firewall, detectar amenazas con funcionalidades de investigación de IA, correlacionar actividades y automatizar acciones de respuesta. - Azure Firewall |
5.4 Microsegmentación
Los grupos de seguridad de red (NSG) y los grupos de seguridad de aplicaciones (ASG) proporcionan microsegmentación de seguridad de red para redes de Azure. Los ASG simplifican el filtrado del tráfico, en función de los patrones de aplicación. Implemente varias aplicaciones en la misma subred y aísle el tráfico en función de los ASG.
Para más información, consulte Protección y control de cargas de trabajo con segmentación de nivel de red.
| Descripción y resultado de la actividad de DoD | Guía y recomendaciones de Microsoft |
|---|---|
Target 5.4.1 Implementar microsegmentaciónLas organizaciones de DoD implementan la infraestructura de microsegmentación en el entorno de SDN, lo que permite la segmentación básica de componentes de servicio (por ejemplo: web, aplicación o base de datos), puertos y protocolos. La automatización básica se acepta para los cambios de directiva, incluida la toma de decisiones de API. Los entornos de hospedaje virtual implementan la microsegmentación en el nivel de host o contenedor. Resultados: - Aceptar cambios de directiva automatizadas - Implementación de puntos de decisión de API - Implementación de NGF/Micro FW/Endpoint Agent en el entorno de hospedaje virtual |
Actividad completa 5.3.1. Azure Firewall Premium Usar Azure Firewall Premium como NextGen Firewall (NGF) en la estrategia de segmentación de red de Azure. Consulte las instrucciones de Microsoft en 5.1.1. Grupos de seguridad de aplicaciones En los grupos de seguridad de red (NSG), puede usar grupos de seguridad de aplicaciones para configurar la seguridad de red como una extensión de la estructura de aplicaciones. Simplifique las directivas de seguridad de red mediante la asociación de recursos de Azure para la misma aplicación mediante grupos de seguridad de aplicaciones. - Protección y control de cargas de trabajo con segmentación de nivel de red - Grupos de seguridad de aplicaciones Azure Kubernetes Service Requerir Azure Container Networking Interface (Azure CNI) para aplicaciones de Azure Kubernetes Service (AKS) mediante definiciones integradas en Azure Policy. Implemente la microsegmentación de nivel de contenedor para contenedores en AKS mediante directivas de red. - Conceptos de redes para AKS - Configurar redes de superposición de Azure CNI - Proteger el tráfico entre pods mediante directivas de red - Referencia de directiva de AKS Microsoft Defender para servidores Incorporar máquinas virtuales (VM) de Azure, máquinas virtuales en otros entornos de hospedaje en la nube y servidores locales a Defender para servidores. La protección de red en Microsoft Defender para punto de conexión bloquea los procesos de nivel de host de la comunicación con dominios específicos, nombres de host o direcciones IP que coinciden con indicadores de riesgo (IoC). - Planear la implementación de Defender para servidores - Proteger la red - Crear indicadores |
Target 5.4.2 Microsegmentación de aplicaciones y dispositivosLas organizaciones de DoD utilizan soluciones de redes definidas por software (SDN) para establecer soluciones de infraestructura que cumplan las funcionalidades de ZT Target: zonas de red lógicas, roles, atributos y control de acceso condicional para usuarios y dispositivos, servicios de administración de acceso con privilegios para recursos de red y control basado en directivas en el acceso a la API. Resultados: - Asignar rol, atributo y control de acceso basado en condiciones a usuarios y dispositivos - Proporcionar servicios de administración de acceso con privilegios - Limitar el acceso por identidad para el usuario y el dispositivo - Crear zonas de red lógicas |
Microsoft Entra ID Integrar aplicaciones con Microsoft Entra ID. Controlar el acceso con roles de aplicación, grupos de seguridad y paquetes de acceso. Consulte la guía de Microsoft 1.2 en Usuario. Acceso condicional Diseñar conjuntos de directivas de acceso condicional para la autorización dinámica basada en el usuario, el rol, el grupo, el dispositivo, la aplicación cliente, el riesgo de identidad y el recurso de aplicación. Use contextos de autenticación para crear zonas de red lógicas, en función de las condiciones del usuario y del entorno. Consulte la guía de Microsoft 1.8.3 en Usuario. Privileged Identity Manager Configura PIM para el acceso Just-In-Time (JIT) a roles con privilegios y grupos de seguridad de Microsoft Entra. Consulte la guía de Microsoft 1.4.2 en Usuario. Azure Virtual Machines y bases de datos SQL Configure Azure Virtual Machines e instancias de SQL para usar identidades de Microsoft Entra para el inicio de sesión del usuario. - Inicie sesión en Windows en Azure - Inicie sesión en la máquina virtual Linux en Azure - Autenticación con Azure SQL Azure Bastion Use Bastion para conectarse de forma segura a máquinas virtuales de Azure con direcciones IP privadas desde Azure Portal o mediante el shell seguro nativo (SSH) o un cliente de protocolo de escritorio remoto (RDP). - Bastion Microsoft Defender para servidor Use el acceso Just-In-Time (JIT) a las máquinas virtuales para protegerlos del acceso de red no autorizado. - Habilitación del acceso JIT en máquinas virtuales |
Advanced Microsegmentación de procesos 5.4.3Las organizaciones de DoD usan la microsegmentación existente y la infraestructura de automatización de SDN que habilita la microsegmentación de procesos. Los procesos de nivel de host se segmentan en función de las directivas de seguridad y el acceso se concede mediante la toma de decisiones de acceso en tiempo real. Resultados: - Segmentación de procesos de nivel de host para directivas de seguridad - Admitir decisiones de acceso en tiempo real y cambios de directiva - Compatibilidad con la descarga de registros para análisis y automatización - Compatibilidad con la implementación dinámica de la directiva de segmentación |
Actividad completa 5.4.2. Microsoft Defender para punto de conexión Habilitar la protección de red en Defender para punto de conexión para impedir que las aplicaciones y los procesos de nivel de host se conecten a dominios de red malintencionados, direcciones IP o nombres de host en peligro. Consulte la guía de Microsoft 4.5.1. Evaluación continua del acceso Evaluación continua de acceso (CAE) permite a los servicios como Exchange Online, SharePoint Online y Microsoft Teams suscribirse a eventos de Microsoft Entra, como la deshabilitación de cuentas y las detecciones de alto riesgo en Microsoft Entra ID Protection. Consulte la guía de Microsoft 1.8.3 en Usuario. Microsoft Sentinel Usar conectores para consumir registros de Microsoft Entra ID, recursos de red que se envían a Microsoft Sentinel para la auditoría, la búsqueda de amenazas, la detección y la respuesta. Consulte las instrucciones de Microsoft en 5.2.2 y 1.6.2 en Usuario. |
Target 5.4.4 Proteger datos en tránsitoEn función de las asignaciones y la supervisión de flujos de datos, las directivas las habilitan las organizaciones de DoD para exigir la protección de los datos en tránsito. Los casos de uso comunes, como el uso compartido de información de la coalición, el uso compartido entre límites del sistema y la protección entre componentes arquitectónicos se incluyen en las directivas de protección. Resultados: - Proteger los datos en tránsito durante el uso compartido de información de la coalición - Proteger los datos en tránsito a través de límites altos del sistema - Integrar datos en la protección de tránsito entre componentes de arquitectura |
Microsoft 365 Usar Microsoft 365 para la colaboración de DoD. Los servicios de Microsoft 365 cifran los datos en reposo y en tránsito. - Cifrado en Microsoft 365 Id. externo de Microsoft Entra Microsoft 365 e Microsoft Entra ID mejoran el uso compartido de coaliciones con fácil incorporación y administración del acceso para los usuarios de otros inquilinos de DoD. - Colaboración B2B - Uso compartido seguro de invitados Configurar el acceso entre inquilinos y la configuración de la nube de Microsoft para controlar cómo colaboran los usuarios con organizaciones externas. - Acceso entre inquilinos - Configuración de la nube de Microsoft Gobernanza de identificadores de Microsoft Entra Controlar los ciclos de vida de acceso de usuarios externos con la administración de derechos. - Acceso externo con administración de derechos Microsoft Defender for Cloud Usar Defender for Cloud para evaluar continuamente y aplicar protocolos de transporte seguros para los recursos en la nube. - administración de la posición de seguridad en la nube |
Pasos siguientes
Configuración de servicios en la nube de Microsoft para la estrategia de confianza cero del DoD: