Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
La strategia e la roadmap di DoD Zero Trust delineano un percorso per i componenti del Dipartimento della Difesa e i partner DIB (Defense Industrial Base) per adottare un nuovo framework di cybersecurity basato sui principi Zero Trust. Zero Trust elimina i tradizionali perimetri e presupposti di attendibilità, consentendo un'architettura più efficiente che migliora la sicurezza, le esperienze utente e le prestazioni di missione.
Questa guida contiene raccomandazioni per le attività 152 Zero Trust nella Roadmap per l'esecuzione delle funzionalità DoD Zero Trust. Le sezioni corrispondono ai sette pilastri del modello DoD Zero Trust.
Usare i collegamenti seguenti per passare alle sezioni della guida.
- Introduzione
- Utente
- Dispositivo
- Applicazioni e carichi di lavoro
- Dati
- Rete
- Automazione e orchestrazione
- Visibilità e analisi
2 Dispositivo
Questa sezione include indicazioni e consigli Microsoft per le attività DoD Zero Trust nel pilastro del dispositivo. Per altre informazioni, vedere Protezione degli endpoint con Zero Trust.
2.1 Inventario dispositivi
Microsoft Intune e Microsoft Defender per endpoint configurare, valutare l'integrità e individuare le vulnerabilità software per i dispositivi. Usare Microsoft Entra ID e l'integrazione di Microsoft Intune per applicare criteri di dispositivo conformi per l'accesso alle risorse.
| Descrizione e risultato dell'attività DoD | Indicazioni e consigli microsoft |
|---|---|
Target2.1.1 Analisi delle lacunedello strumento integrità dei dispositiviLe organizzazioni DoD sviluppano un inventario manuale dei dispositivi all'interno dell'ambiente. Gli attributi del dispositivo rilevati nell'inventario abilitano la funzionalità descritta nel livello di destinazione ZTA. Risultato: l'inventario manuale dei dispositivi viene creato per ogni organizzazione con proprietari |
Microsoft Entra ID Registrare i dispositivi degli utenti finali con Microsoft Entra ID e gestire le identità dei dispositivi dall'interfaccia di amministrazione di Microsoft Entra. La pagina Panoramica dei dispositivi tiene traccia degli asset del dispositivo, dello stato di gestione, del sistema operativo, del tipo di join e del proprietario. - Dispositivi registrati Dispositivi aggiunti all'ibrido- Elencare i dispositivi- Gestire le identità dei dispositivi Microsoft Entra Connect Sync Usare la sincronizzazione Connetti per sincronizzare i dispositivi gestiti di Active Directory con Microsoft Entra ID. - - Dispositivi aggiunti ibrida a Microsoft Intune Visualizzare le informazioni sui dispositivi gestiti dall'interfaccia di amministrazione di Microsoft Intune. Recuperare la diagnostica dai dispositivi Windows usando l'azione remota Raccogli diagnostica. - - Dettagli dispositivo Diagnostica dispositivi Windows Microsoft Endpoint Configuration Manager Usare la co-gestione per collegare una distribuzione di Configuration Manager al cloud Di Microsoft 365. - Co-gestione Microsoft Defender per endpoint Visualizzare i dispositivi protetti da Defender per endpoint nel portale di Microsoft Defender. - Inventario dei dispositivi |
Target2.1.2 NPE/PKI, Dispositivo in gestioneLe organizzazioni DoD usano la soluzione/servizio DOD Enterprise PKI per distribuire certificati x509 in tutti i dispositivi supportati e gestiti. Altre entità nonpersone (NPEs) che supportano certificati x509 vengono assegnate nei sistemi PKI e/o IdP. Risultato: le entità nonpersone vengono gestite tramite PKI dell'organizzazione e IDP dell'organizzazione |
Aggiungere connettore di certificati di Intune per il provisioning dei certificati sugli endpoint. - Certificati del connettore- di certificati per l'autenticazione Usare i profili di rete di Intune per consentire ai dispositivi gestiti di eseguire l'autenticazione nella rete. Aggiungere un certificato SCEP (Simple Certificate Enrollment Protocol). - Impostazioni Wi-Fi - del dispositivo Windows cablate impostazioni Integrate Intune with network access control (NAC) partner per proteggere i dati quando i dispositivi accedono alle risorse locali. - Criteri di gestione delle applicazioni di integrazione NAC Configurare i criteri di gestione delle app tenant per limitare le credenziali dell'applicazione ai certificati rilasciati dall'infrastruttura a chiave pubblica aziendale. Vedere Le linee guida di Microsoft 1.9.1 in Utente. hub IoT di Azure Configurare hub IoT di Azure per usare e applicare l'autenticazione X.509. - Autenticare le identità con certificati x509 Microsoft Defender per identità Se l'organizzazione ospita l'infrastruttura a chiave pubblica con Servizi certificati Active Directory (AD CS), distribuire Defender per i sensori di identità e configurare il controllo per Servizi certificati Active Directory. - Sensore Servizi certificati - Active Directory Configurare i controlli per Servizi certificati Active Directory |
Target2.1.3 Enterprise IDP Pt1Il provider di identità DoD eterprise (IdP) che usa una tecnologia centralizzata o tecnologie organizzative federate integra entità non personali (NPES), ad esempio dispositivi e account di servizio. L'integrazione viene rilevata nella soluzione Enterprise Gestione dispositivi, se applicabile a se è integrata o meno. I criteri di rete non possono essere integrati con il provider di identità sono contrassegnati per il ritiro o tranne l'uso di un approccio metodico basato sul rischio. Risultato: - I criteri di rete, inclusi i dispositivi, sono integrati con Enterprise IdP |
Registrazione dei dispositivi aggiunti a Microsoft Entra Usa dispositivi aggiunti a Microsoft Entra per dispositivi client Windows nuovi e ricreati. I dispositivi aggiunti a Microsoft Entra hanno un'esperienza utente migliorata per l'accesso alle app cloud come Microsoft 365. Gli utenti accedono alle risorse locali usando i dispositivi aggiunti a Microsoft Entra. - Dispositivi aggiunti all'accesso SSO alle risorse locali nei dispositivi aggiunti a Microsoft Intune Configurare la registrazione automatica per dispositivi Windows 10 o 11 aggiunti a un tenant di Microsoft Entra. - - Registrazione automatica Microsoft Entra Connect Sync Se l'organizzazione sincronizza Active Directory con Microsoft Entra ID usando Connect Sync. Per registrare automaticamente i dispositivi con Microsoft Entra ID, configurare i dispositivi aggiunti in modalità ibrida. - Dispositivi aggiunti ibridi Microsoft Entra applicazioni Registrare applicazioni con Microsoft Entra e usare le entità servizio per l'accesso a livello di codice a Microsoft Entra e api protette come Microsoft Graph. Configurare i criteri di gestione delle app per limitare i tipi di credenziali dell'applicazione. Vedere Le linee guida di Microsoft 2.1.2. ID dei carichi di lavoro di Microsoft Entra Usare la federazione dell'identità del carico di lavoro per accedere alle risorse protette di Microsoft Entra in GitHub actions e ad altri scenari supportati. - Identità gestite dell'identità del carico di lavoro Identità gestite Usare le identità gestite per le risorse di Azure supportate e le macchine virtuali abilitate per Azure Arc. - Identità gestite per i server abilitati per Azure - Arc hub IoT di Azure Usare l'ID Di Microsoft Entra per autenticare le richieste alle API del servizio hub IoT di Azure. - Controllare l'accesso alle hub IoT |
Advanced2.1.4 Enterprise IDP Pt2Il provider di identità aziendale DoD (IdP) che usa una tecnologia centralizzata o tecnologie organizzative federate aggiunge attributi dinamici aggiuntivi per i criteri di rete, ad esempio posizione, modelli di utilizzo e così via. Risultato: gli attributi del dispositivo condizionale fanno parte del profilo IdP |
Microsoft Defender per endpoint Deploy Defender per endpoint per dispositivi desktop degli utenti finali, dispositivi mobili gestiti e server. - Eseguire l'onboarding di dispositivi- Defender per endpoint nei dispositivi con i server Windows di onboarding di Intune - Microsoft Intune Gestire i dispositivi degli utenti finali con Intune. Configurare i criteri di conformità di Intune per i dispositivi gestiti. Includere Microsoft Defender per endpoint punteggio di rischio del computer nei criteri di conformità di Intune. - Pianificare i criteri - di conformità Criteri di conformità per i - criteri di rischio dei dispositivi Criteri di conformità- personalizzati Configurare i dispositivi Windows in Intune- Configurazione della sicurezza- Android Enterprise iOS e iPadOS in Intune Se l'organizzazione usa una soluzione Mobile Threat Defense (MTD) di terze parti, configurare il connettore di Intune. - Gestione delle app mobili di configurazione MTD Usare Intune MAM per i dispositivi non registrati per configurare e proteggere le app per i dispositivi BYOD (Bring Your Own Devices). - Gestione delle app |
2.2 Rilevamento e conformità dei dispositivi
I criteri di conformità di Microsoft Intune assicurano che i dispositivi siano conformi agli standard dell'organizzazione. I criteri di conformità possono valutare la configurazione del dispositivo rispetto a una baseline di sicurezza. I criteri usano Microsoft Defender per endpoint stato di protezione e il punteggio di rischio del computer per determinare la conformità. L'accesso condizionale usa lo stato di conformità dei dispositivi per prendere decisioni di accesso dinamico per utenti e dispositivi, tra cui BYOD (Bring Your Own Devices).
| Descrizione e risultato dell'attività DoD | Indicazioni e consigli microsoft |
|---|---|
Target2.2.1 Implementare C2C/Compliance Based Network Authorization Pt1L'azienda DoD che collabora con le organizzazioni sviluppa criteri, standard e requisiti per La conformità a Connect. Una volta raggiunto l'accordo, viene avviato l'approvvigionamento delle soluzioni, viene selezionato uno o più fornitori e l'implementazione inizia con la funzionalità a livello di base negli ambienti di destinazione ZT (basso rischio). I controlli a livello di base vengono implementati nella nuova soluzione Conforme alla connessione che consente di soddisfare le funzionalità di destinazione ZTA. Risultati: C2C viene applicato a livello aziendale per ambienti a basso rischio e test: i controlli di base dei dispositivi vengono implementati con C2C |
Microsoft Intune Gestire i dispositivi con Intune e configurare i criteri di conformità dei dispositivi. Usare la gestione di applicazioni mobili (MAM) di Intune per proteggere le app in BYOD non registrati. Vedere Le linee guida di Microsoft nella versione 2.1.4. L'accesso condizionale Usa segnali di dispositivo conformi a Intune, posizione e segnali di rischio di accesso nei criteri di accesso condizionale. Usare i filtri dei dispositivi per i criteri di accesso condizionale, in base agli attributi del dispositivo. - Richiedi filtro condizioni- dei dispositivi - di conformità per i dispositivi - Accesso condizionale con Intune ID dei carichi di lavoro di Microsoft Entra Creare i criteri di accesso condizionale per le identità del carico di lavoro usando i controlli di rischio e posizione. - Accesso condizionale per le identità del carico di lavoro Proteggere le - identità del carico di lavoro |
Advanced2.2.2 Implementare C2C/Compliance Based Network Authorization Pt2Le organizzazioni DoD espandono la distribuzione e l'utilizzo di Conforme per connettersi a tutti gli ambienti supportati necessari per soddisfare le funzionalità avanzate di ZT. Conformarsi ai team di Connessione integra le proprie soluzioni con i gateway Enterprise IdP e Authorization per gestire meglio l'accesso e le autorizzazioni alle risorse. Risultati: C2C viene applicato in tutti gli ambienti supportati: i controlli avanzati dei dispositivi vengono completati e integrati con accesso dinamico, IdP aziendale e ZTNA. |
Applicazioni Microsoft Entra Integrare le applicazioni e gestire l'accesso degli utenti con Microsoft Entra ID. Vedere Le linee guida di Microsoft 1.2.4 in Utente. Microsoft Intune e Microsoft Defender per endpoint Gestire i dispositivi con Intune, distribuire Defender per endpoint e configurare criteri di conformità dei dispositivi usando il punteggio di rischio del computer Defender per endpoint. Vedere Le linee guida di Microsoft 2.1.4 in questa sezione. Accesso condizionale Creare criteri di accesso condizionale che richiedono dispositivi conformi per l'accesso alle applicazioni. Vedere Le linee guida di Microsoft nella versione 2.2.1. Proxy applicazioneMicrosoft Entra Distribuire il proxy di applicazione o una soluzione partner SHA (Secure Hybrid Access) per abilitare l'accesso condizionale per applicazioni locali e legacy tramite Zero Trust Network Access (ZTNA). - SHA con Microsoft Entra integration Microsoft Tunnel Tunnel è una soluzione gateway di rete privata virtuale (VPN) per dispositivi gestiti da Intune e dispositivi non registrati con app gestite da Intune. Tunnel usa Microsoft Entra ID per l'autenticazione e i criteri di accesso condizionale per l'accesso dei dispositivi mobili alle applicazioni locali. - Tunnel per Intune |
2.3 Autorizzazione del dispositivo con ispezione in tempo reale
L'accesso condizionale è il motore dei criteri Zero Trust per i prodotti e i servizi cloud Microsoft. La valutazione dei criteri Zero Trust nel provider di identità fa avanzare il modello conforme alla connessione (C2C) applicando controlli adattivi prima dell'accesso alle risorse. I criteri di accesso condizionale usano segnali di sicurezza da Microsoft Entra ID, Microsoft Defender XDR e Microsoft Intune.
I componenti XDR di Microsoft Defender valutano i livelli di rischio dei dispositivi e delle identità usando i rilevamenti di Machine Learning (ML) e abilitando decisioni dinamiche e basate sui rischi per consentire, bloccare o controllare l'accesso a dati, applicazioni, asset e servizi (DAAS).
| Descrizione e risultato dell'attività DoD | Indicazioni e consigli microsoft |
|---|---|
Advanced2.3.1 Entity Activity Monitoring Pt1Usando le baseline utente e dispositivo sviluppate, le organizzazioni DoD usano la soluzione UEBA (User and Entity Behavior Activity) implementata per integrare le baseline. Gli attributi dei dispositivi UEBA e le linee di base sono disponibili per essere usati per i rilevamenti delle autorizzazioni dei dispositivi. Risultati: gli attributi UEBA sono integrati per la baseline del dispositivo: gli attributi UEBA sono disponibili per l'utilizzo con l'accesso ai dispositivi |
Microsoft Intune e Microsoft Defender per endpoint Gestire i dispositivi con Intune, distribuire Defender per endpoint e configurare criteri di conformità dei dispositivi usando Il punteggio di rischio del computer Defender per endpoint. Vedere Le linee guida di Microsoft nella versione 2.1.4. Accesso condizionale Creare criteri di accesso condizionale che richiedono un dispositivo conforme per l'accesso alle applicazioni. Vedere Le linee guida di Microsoft nella versione 2.2.1. Microsoft Entra ID Protection configura i criteri di accesso condizionale per i livelli di rischio di identità in Microsoft Entra ID Protection. Vedere Le linee guida di Microsoft 1.6.1 in Utente. |
Advanced2.3.2 Entity Activity Monitoring Pt2Le organizzazioni DoD usano la soluzione UEBA (User and Entity Behavior Activity) con soluzioni di accesso alla rete per imporre attributi UEBA (ad esempio, integrità dei dispositivi, modelli di accesso e così via) per l'accesso ad ambienti e risorse. Risultato: gli attributi UEBA vengono imposti per l'accesso ai dispositivi |
Accesso condizionale Usare lo stato, la posizione e i segnali di rischio di identità conformi a Intune nei criteri di accesso condizionale. Usare i filtri dei dispositivi per definire i criteri di accesso condizionale in base agli attributi del dispositivo. Vedere Le linee guida di Microsoft nella versione 2.2.1 e nella versione 2.3.1. |
Target2.3.3 Implementare strumentifim (Application Control & File Integrity Monitoring)Le organizzazioni DoD ottengono e implementano soluzioni FIM (File Integrity Monitoring) e Application Control. FIM continua lo sviluppo e l'espansione del monitoraggio nel pilastro dei dati. Il controllo delle applicazioni viene distribuito in ambienti a basso rischio in una modalità di monitoraggio che stabilisce solo quote di base. I team di controllo delle applicazioni in fase di integrazione con gli ambienti PKI dell'organizzazione e dell'organizzazione usano i certificati per le quote delle applicazioni. NextGen AV copre tutti i possibili servizi e applicazioni Risultati: gli strumenti AppControl e FIM vengono implementati in tutti i servizi/applicazioni critici- Gli strumenti EDR coprono la quantità massima di servizi/applicazioni - AppControl e FIM vengono inviati a C2C in base alle esigenze |
Microsoft Defender per endpoint Defender per endpoint aggrega i segnali dal monitoraggio dell'integrità dei file (FIM), dal controllo delle applicazioni, dall'antivirus di nuova generazione (NGAV) e altro ancora per il punteggio di rischio del computer. - Protezione di nuova generazione - Antivirus per i dispositivi - gestiti Accesso controllato alle cartelle di Microsoft Intune Configurare i criteri di sicurezza di Controllo app in Microsoft Intune. - App approvate con i- criteri di Windows Defender AppControl per le aziende e le regole dei file Per ottenere il modello conforme alla connessione (C2C), integrare le applicazioni con l'ID Microsoft Entra e richiedere il controllo della concessione di dispositivi conforme nell'accesso condizionale. Vedere Le linee guida di Microsoft nella versione 2.2.2. |
Advanced2.3.4 Integrare NextGen AV Tools C2CLe organizzazioni DoD ottengono e implementano soluzioni antivirus e antimalware di nuova generazione in base alle esigenze. Queste soluzioni sono integrate con la distribuzione iniziale di Conforme a Connect per verificare lo stato di base delle firme, degli aggiornamenti e così via. Risultati: i dati di NextGen AV critici vengono inviati a C2C per i controlli : gli strumenti NextGen AV vengono implementati in tutti i servizi/applicazioni critici |
Microsoft Intune Creare criteri diconformità dei dispositivi per l'antivirus e Microsoft Defender per endpoint punteggio di rischio del computer. - Criteri antivirus per la sicurezza degli endpoint Vedere le linee guida Microsoft nella versione 2.2.2. |
Advanced2.3.5 Integrare completamente lo stack di sicurezza dei dispositivi con C2C in base alle esigenzeLe organizzazioni DoD continuano la distribuzione di Controllo applicazioni in tutti gli ambienti e in modalità di prevenzione. Il monitoraggio dell'integrità dei file (FIM) e l'analisi dei controlli delle applicazioni sono integrati in Conformità a Connect per i punti dati dei processi decisionali di accesso espansi. La conformità all'analisi della connessione viene valutata per ulteriori punti dati dello stack di sicurezza dei dispositivi/endpoint, ad esempio UEDM, e sono integrati in base alle esigenze. Risultati: la distribuzione di AppControl e FIM viene estesa a tutti i servizi/applicazioni necessari. I dati rimanenti degli strumenti di sicurezza dei dispositivi vengono implementati con C2C |
Attività completa 2.3.4. app Microsoft Defender per il cloudIdentificare e controllare le applicazioni cloud rischiose con criteri di app Defender per il cloud. - Controllare le app cloud con i criteri |
Advanced2.3.6 Enterprise PKI Pt1L'infrastruttura a chiave pubblica (PKI) di DoD Enterprise viene espansa per includere l'aggiunta di certificati npe e dispositivi. I criteri di rete e i dispositivi che non supportano i certificati PKI sono contrassegnati per l'avvio del ritiro e delle autorizzazioni. Risultati: i dispositivi che non sono in grado di avere certificati vengono eliminati gradualmente e/o spostati in ambienti di accesso minimi: tutti i dispositivi e i criteri di rete hanno certificati installati per l'autenticazione nell'infrastruttura a chiave pubblica aziendale |
Microsoft Intune Usare Microsoft Intune per distribuire i certificati PKI DoD nei dispositivi. Vedere Le linee guida di Microsoft nella versione 2.1.2. Criteri di gestione delle applicazioni Configurare i criteri di gestione delle app tenant per limitare le credenziali dell'applicazione ai certificati rilasciati dall'infrastruttura a chiave pubblica aziendale. Vedere Le linee guida di Microsoft 1.5.3 in Utente. app Microsoft Defender per il cloudConfigurare i criteri di accesso per richiedere certificati client per l'accesso alle applicazioni e bloccare l'accesso non autorizzato ai dispositivi. - Criteri di accesso |
Advanced2.3.7 Enterprise PKI Pt2Le organizzazioni DoD usano certificati per l'autenticazione del dispositivo e le comunicazioni con computer. I dispositivi non supportati completano il ritiro e le eccezioni vengono approvate usando un approccio metodico basato sui rischi. Risultato: i dispositivi devono eseguire l'autenticazione per comunicare con altri servizi e dispositivi |
Microsoft Intune e l'accesso condizionale Integrano le applicazioni con Microsoft Entra ID, gestiscono i dispositivi con Intune, proteggono i dispositivi con Microsoft Defender per endpoint e configurano i criteri di conformità. Includere un criterio di conformità per il punteggio di rischio del computer Defender per endpoint. Richiedere il controllo delle concessioni conforme nei criteri di accesso condizionale. Vedere Le linee guida di Microsoft nella versione 2.2.2. |
2.4 Accesso remoto
Microsoft Entra ID è un provider di identità (IdP) deny-by-default. Se si usa Microsoft Entra per l'accesso all'applicazione, gli utenti eseguono l'autenticazione e il superamento dei criteri di accesso condizionale prima che Microsoft Entra autorizzi l'accesso. È possibile usare Microsoft Entra ID per proteggere le applicazioni ospitate nel cloud o in locale.
| Descrizione e risultato dell'attività DoD | Indicazioni e consigli microsoft |
|---|---|
Target2.4.1 Nega dispositivo per impostazione predefinitaLe organizzazioni DoD bloccano l'accesso alle risorse a tutti i dispositivi remoti e locali non gestiti. Ai dispositivi gestiti conformi viene fornito l'accesso metodico basato sul rischio seguendo i concetti relativi al livello di destinazione ZTA. Risultati: i componenti possono bloccare l'accesso dei dispositivi per impostazione predefinita alle risorse (app/dati) e consentire in modo esplicito i dispositivi conformi per ogni criterio : l'accesso remoto è abilitato seguendo un approccio "Nega dispositivo per impostazione predefinita" |
Le applicazioni Microsoft Entra ID Accesso alle applicazioni e alle risorse protette da Microsoft Entra ID vengono negate per impostazione predefinita. L'accesso alle risorse richiede l'autenticazione, l'entitlement attivo e l'autorizzazione da parte dei criteri di accesso condizionale. - Integrare l'integrazione delle app - con Microsoft Intune Gestire i dispositivi con Intune. Configurare i criteri di conformità dei dispositivi. Richiedere un dispositivo conforme nei criteri di accesso condizionale per tutti gli utenti e le applicazioni. Vedere Le linee guida di Microsoft nella versione 2.2.1. |
Target2.4.2 SupportoBYOD e IOT gestito e limitatoLe organizzazioni DoD usano un endpoint unificato e Gestione dispositivi (UEDM) e soluzioni simili per garantire che siano supportati i dispositivi BRING Your Own Device (BYOD) e Internet of Things (IoT) completamente integrati con Enterprise IdP abilitano l'autorizzazione utente e basata su dispositivo. L'accesso ai dispositivi per tutte le applicazioni richiede criteri di accesso dinamico. Risultati: tutte le applicazioni richiedono l'accesso alle autorizzazioni dinamiche per i dispositivi: le autorizzazioni dei dispositivi BYOD e IOT sono di base e integrate con Enterprise IDP |
Completare l'attività 2.4.1. Microsoft Intune Usare la gestione dei dispositivi di Intunee la gestione delle applicazioni mobili per usare il proprio dispositivo (BYOD). - Gestione delle app per dispositivi mobili per dispositivi- non registrati Protezione di app criteri accesso condizionale Richiedi criteri di protezione di dispositivi e/o app conformi in Accesso condizionale per tutti gli utenti e le applicazioni. - Criteri di protezione - delle app client o delle app approvati Protezione di app nei dispositivi Windows Microsoft Entra per ID esterno Configurare le impostazioni di accesso tra tenant per considerare attendibili i controlli dei dispositivi conformi dai partner attendibili. - Impostazioni di accesso tra tenant per i sensori Microsoft Defender per IoT Deploy Defender per IoT di Collaborazione B2B per la visibilità, anche per monitorare e proteggere i dispositivi IoT e tecnologia operativa (OT). Assicurarsi che il software del dispositivo sia aggiornato e modificare le password locali. Non usare le password predefinite. - Sicurezza di Defender per IoT IoT- e OT con Zero Trust - US National Cybersecurity Strategy per proteggere IoT |
Advanced2.4.3 Managed and Full BYOD & IOT Support Pt1Le organizzazioni DoD usano endpoint unificato e Gestione dispositivi (UEDM) e soluzioni simili per consentire l'accesso ai dispositivi gestiti e approvati a servizi/applicazioni Mission e Operational Critical usando criteri di accesso dinamici. I dispositivi BYOD e Internet delle cose (IoT) devono soddisfare i controlli di base standard prima dell'autorizzazione. Risultati: solo i dispositivi BYOD e IOT che soddisfano gli standard di configurazione imposti autorizzati ad accedere alle risorse - I servizi critici richiedono l'accesso dinamico per i dispositivi |
Attività completa 2.4.2. app Microsoft Defender per il cloudConfigurare i criteri di accesso per richiedere i certificati client per l'accesso alle applicazioni. Bloccare l'accesso da dispositivi non autorizzati. Vedere Le linee guida di Microsoft nella versione 2.3.6. |
Advanced2.4.4 Managed and Full BYOD & IOT Support Pt2Le organizzazioni DoD usano endpoint unificato e Gestione dispositivi (UEDM) e soluzioni simili per consentire l'accesso per i dispositivi non gestiti che soddisfano i controlli dei dispositivi e le baseline standard. Tutti i servizi o le applicazioni possibili sono integrati per consentire l'accesso ai dispositivi gestiti. I dispositivi non gestiti sono integrati con servizi/applicazioni in base all'approccio di autorizzazione metodica basato sui rischi. Risultato: tutti i possibili servizi richiedono l'accesso dinamico per i dispositivi |
Desktop virtuale Azure Distribuisci Desktop virtuale Azure (AVD) per supportare l'accesso remoto da dispositivi non gestiti. Aggiungere macchine virtuali host di sessione AVD a Microsoft Entra e gestire la conformità con Microsoft Intune. Consenti l'accesso ad AVD con autenticazione senza password o senza password da dispositivi non gestiti. - Le macchine virtuali aggiunte a Microsoft Entra in AvD- Authentication strength Microsoft Defender per il cloud Apps usano il controllo sessione delle app Defender per il cloud per monitorare e limitare le sessioni Web da dispositivi non gestiti. - Criteri di sessione |
2.5 Asset, vulnerabilità e gestione delle patch completamente automatizzati e parzialmente automatizzati
Microsoft Endpoint Manager supporta soluzioni ibride e basate sul cloud (co-gestione) per la gestione dei dispositivi. I criteri di configurazione e conformità assicurano che i dispositivi soddisfino i requisiti di configurazione a livello di patch e di sicurezza per l'organizzazione.
| Descrizione e risultato dell'attività DoD | Indicazioni e consigli microsoft |
|---|---|
Target2.5.1 Implementare asset, vulnerabilità e strumentidi gestione delle patchLe organizzazioni DoD implementano soluzioni per la gestione di asset/dispositivi, vulnerabilità e patch. L'uso di standard di conformità minimi (ad esempio, stigs e così via) può confermare o negare la conformità dei dispositivi gestiti. Nell'ambito del processo di approvvigionamento e implementazione per soluzioni, API o altre interfacce a livello di codice saranno nell'ambito dei livelli futuri di automazione e integrazione. Risultati: i componenti possono verificare se i dispositivi soddisfano o meno gli standard di conformità minimi: i componenti hanno sistemi di gestione degli asset, vulnerabilità e applicazione di patch con API che consentiranno l'integrazione tra i sistemi |
Microsoft Intune Consente di gestire i dispositivi in Intune. Vedere Le linee guida di Microsoft nella versione 2.1.4. Usare la co-gestione di Microsoft Endpoint Manager per i dispositivi endpoint legacy. - Co-gestione - degli endpoint Configurare e aggiornare i criteri per le piattaforme dei dispositivi gestite con Intune. - I criteri di aggiornamento- - software iOS e iPadOS macOS aggiornano gli - aggiornamenti di Windows 10 e 11 di Android FOTA Microsoft Defender per endpoint Integrate Microsoft Defender per endpoint con Microsoft Intune. Correggere le vulnerabilità degli endpoint con i criteri di configurazione di Microsoft Intune. - - Gestione delle vulnerabilità di Microsoft Defender Usare Microsoft Intune e le vulnerabilità identificate da Microsoft Defender per endpoint |
2.6 Gestione unificata degli endpoint e gestione dei dispositivi mobili
I criteri di configurazione e conformità di Microsoft Intune assicurano che i dispositivi soddisfino i requisiti di configurazione della sicurezza dell'organizzazione. Intune valuta i criteri di conformità e contrassegna i dispositivi come conformi o non conformi. I criteri di accesso condizionale possono usare lo stato di conformità dei dispositivi per impedire agli utenti con dispositivi non conformi di accedere alle risorse protette da Microsoft Entra ID.
Microsoft Entra per ID esterno impostazioni di accesso tra tenant includono le impostazioni di attendibilità per la collaborazione guest. Queste impostazioni possono essere personalizzate per ogni tenant partner. Quando si considerano attendibili i dispositivi conformi da un altro tenant, gli utenti guest che usano dispositivi conformi nel tenant principale soddisfano i criteri di accesso condizionale che richiedono dispositivi conformi nel tenant. Non è necessario fare eccezioni ai criteri di accesso condizionale per evitare di bloccare gli utenti guest esterni.
| Descrizione e risultato dell'attività DoD | Indicazioni e consigli microsoft |
|---|---|
Target2.6.1 Implementare UEDM o strumenti equivalentiLe organizzazioni DoD lavoreranno a stretto contatto con l'attività "Implementare asset, vulnerabilità e strumenti di gestione delle patch" per procurarsi e implementare e implementare e una soluzione UEDM (Unified Endpoint e Gestione dispositivi) assicurando che i requisiti siano integrati con il processo di approvvigionamento. Dopo aver acquistato una soluzione, i team UEDM assicurano che siano presenti funzionalità di destinazione ZT critiche, ad esempio conformità minima, gestione degli asset e supporto api. Risultati: i componenti possono verificare se i dispositivi soddisfano o meno gli standard minimi di conformità- I componenti dispongono di sistemi di gestione degli asset per i dispositivi utente (telefoni, desktop, portatili) che mantiene la conformità IT, che viene segnalata a DoD Enterprise - I sistemi di gestione delle risorse componenti possono essere a livello di codice, ad esempio API, fornire lo stato di conformità dei dispositivi e se soddisfa gli standard minimi |
Completare l'attività 2.3.2. Lo stato di conformità del dispositivo di Microsoft Intune è integrato con il provider di identità (IdP), l'ID Microsoft Entra, dai segnali di conformità di Intune nell'accesso condizionale. Visualizzare lo stato di conformità del dispositivo nell'interfaccia di amministrazione di Microsoft Entra o tramite l'API Microsoft Graph. - Criteri di conformità report di Intune Microsoft Entra per ID esterno Per estendere i criteri di conformità dei dispositivi agli utenti esterni all'organizzazione, configurare le impostazioni di accesso tra tenant per considerare attendibili le attestazioni di dispositivi MFA e conformi dai tenant DoD attendibili. - - L'accesso tra tenant alle API Microsoft Graph dell'API Microsoft Graph esegue una query sullo stato di conformità dei dispositivi. - API di conformità e privacy |
Target2.6.2 Enterprise Gestione dispositivi Pt1DoD Organizations migrate the manual device inventory to an automated approach using the Unified Endpoint and Gestione dispositivi solution .2 Migrate the manual device inventory to an automated approach using the Unified Endpoint and Gestione dispositivi solution. I dispositivi approvati possono essere gestiti indipendentemente dalla posizione. I dispositivi che fanno parte dei servizi critici devono essere gestiti dall'endpoint unificato e dalla soluzione Gestione dispositivi che supporta l'automazione. Risultati: l'inventario manuale è integrato con una soluzione di gestione automatizzata per i servizi critici- Abilitare ZT Gestione dispositivi (da qualsiasi posizione con o senza accesso remoto) |
Microsoft Intune e Accesso condizionale Gestire i dispositivi con Microsoft Intune. Configurare i criteri di conformità dei dispositivi. Richiedere criteri di accesso condizionale del dispositivo conformi. Vedere Le linee guida di Microsoft nella versione 2.1.4. |
Target2.6.3 Enterprise Gestione dispositivi Pt2DoD Organizations esegue la migrazione dei dispositivi rimanenti alla soluzione Enterprise Gestione dispositivi. La soluzione EDM è integrata con soluzioni di rischio e conformità in base alle esigenze. Risultato: l'inventario manuale è integrato con una soluzione di gestione automatizzata per tutti i servizi |
Microsoft Intune e Accesso condizionale Gestire i dispositivi con Intune. Configurare i criteri di conformità dei dispositivi. Richiedere un dispositivo conforme nei criteri di accesso condizionale. Vedere Le linee guida di Microsoft nella versione 2.1.4. |
2.7 Endpoint e rilevamento esteso e risposta (EDR e XDR)
La suite di difesa unificata di Microsoft Defender XDR coordina il rilevamento, la prevenzione, l'indagine e la risposta tra endpoint, identità, posta elettronica e applicazioni. I componenti XDR di Microsoft Defender rilevano e difendono da attacchi sofisticati.
L'integrazione dei componenti di Microsoft Defender XDR estende la protezione oltre i dispositivi. Vedere eventi di rilevamento di esempio che contribuiscono al livello di rischio utente in Microsoft Entra ID Protection:
- Modelli di invio di posta elettronica sospetti rilevati da Microsoft Defender per Office
- Rilevamenti di viaggi impossibili nelle app di Microsoft Defender per il cloud
- Tenta di accedere al token di aggiornamento primario rilevato da Microsoft Defender per endpoint
I criteri di accesso condizionale basati sul rischio possono proteggere, limitare o bloccare l'accesso ai servizi cloud per l'utente rischioso, anche se usano un dispositivo conforme in una rete attendibile.
Per altre informazioni, vedere Abilitare i componenti XDR di Microsoft Defender e quali sono i rischi?
| Descrizione e risultato dell'attività DoD | Indicazioni e consigli microsoft |
|---|---|
Target2.7.1 Implementare gli strumenti di rilevamento e risposta degli endpoint (EDR) e l'integrazione con C2CLe organizzazioni DoD ottengono e implementano soluzioni EDR (Endpoint Detection and Response) all'interno degli ambienti. EDR protegge, monitora e risponde alle attività dannose e anomale abilitando la funzionalità di destinazione ZT e invia dati alla soluzione Conformità alla connessione per i controlli di dispositivi e utenti espansi. Risultati: gli strumenti di rilevamento e risposta degli endpoint vengono implementati - I dati EDR critici vengono inviati a C2C per i controlli - Gli strumenti NextGen AV coprono la quantità massima di servizi/applicazioni |
Microsoft Defender per endpoint Deploy Defender per endpoint per i dispositivi degli utenti finali. Vedere Le linee guida di Microsoft 2.3.1 in questa sezione. Configurare i criteri di conformità dei dispositivi di Intune in Microsoft Intune . Includere il punteggio di rischio del computer Defender per endpoint per la conformità dei criteri. Vedere Le linee guida di Microsoft 2.1.4. e nella versione 2.3.2. Microsoft Defender per il cloud Enable Microsoft Defender for Server per le sottoscrizioni con macchine virtuali (VM) in Azure. I piani di Defender per Server includono Defender per il cloud per i server. - Defender per server Usare i server abilitati per Azure Arc per gestire e proteggere server fisici Windows e Linux e macchine virtuali all'esterno di Azure. Distribuire l'agente di Azure Arc per i server ospitati all'esterno di Azure. Eseguire l'onboarding dei server abilitati per Arc in una sottoscrizione protetta da Microsoft Defender per Server. - Server - abilitati per Azure Arc - Agente di Azure Connected Machine |
Target 2.7.2 Implementare strumenti XDR (Extended Detection & Response) e integrare con le organizzazioni DoD C2C Pt1procurarsi e implementare soluzioni XDR (Extended Detection & Response). I punti di integrazione con funzionalità tra pilastri vengono identificati e classificati in ordine di priorità in base al rischio. Il più rischioso di questi punti di integrazione viene eseguito e viene avviata l'integrazione. EDR continua la copertura degli endpoint per includere il numero massimo di servizi e applicazioni nell'ambito dell'implementazione XDR. Le analisi di base vengono inviate dallo stack di soluzioni XDR al siem. Risultati: i punti di integrazione sono stati identificati per funzionalità : i punti di integrazione più rischiosi sono stati integrati con XDR - Gli avvisi di base sono stati applicati con SIEM e/o altri meccanismi |
Microsoft Defender XDR Pilot e distribuisce i componenti e i servizi di Microsoft Defender XDR. - Defender XDR - Sentinel e Defender XDR per Zero Trust Configure integrazioni dei componenti XDR di Microsoft Defender distribuiti. - Defender per endpoint con App - di Defender per il cloud Defender per identità e app - Defender per il cloud Purview Information Protection e app Defender per il cloud Configurare i dati di Sentinel connettori per Microsoft Defender XDR. Abilitare le regole di analisi. - Installare i dati XDR Connect Defender XDR - in Sentinel |
Advanced2.7.3 Implementare strumenti XDR (Extended Detection & Response) e integrare con C2C Pt2Lo stack di soluzioni XDR completa l'identificazione dei punti di integrazione espandendo la copertura al massimo possibile. Le eccezioni vengono rilevate e gestite usando un approccio metodico basato sul rischio per un'operazione continua. L'analisi estesa che abilita le funzionalità ZT Advanced è integrata in SIEM e in altre soluzioni appropriate. Risultati: i punti di integrazione rimanenti sono stati integrati in base alle esigenze : gli avvisi estesi e la risposta sono abilitati con altri strumenti di analisi almeno tramite SIEM |
Microsoft Defender XDR Usa Microsoft Defender XDR nella strategia operativa di sicurezza. - Integrare Defender XDR in operazioni di sicurezza |
Passaggi successivi
Configurare i servizi cloud Microsoft per la strategia DoD Zero Trust: