DoD ゼロ トラスト戦略とロードマップでは、国防総省のコンポーネントと防衛産業基盤 (DIB) パートナーがゼロ トラスト原則に基づいて新しいサイバーセキュリティ フレームワークを採用するための道筋が示されています。 ゼロ トラストは、従来の境界と信頼の前提を排除し、セキュリティ、ユーザー エクスペリエンス、ミッション パフォーマンスを強化する、より効率的なアーキテクチャを実現します。
このガイドには、DoD ゼロ トラスト Capability Execution ロードマップの 152 ゼロ トラスト アクティビティに関する推奨事項があります。 セクションは、DoD ゼロ トラスト モデルの 7 つの柱に対応しています。
ガイドの各セクションに移動するには次のリンクを使用してください。
5 ネットワーク
このセクションでは、ネットワークのセクションにおけるDoD ゼロ トラストアクティビティに関するMicrosoftのガイダンスと推奨事項について説明します。 詳細については、「secure network with ゼロ トラスト」を参照してください。
5.1 データ フローのマッピング
Azure Virtual Network サービスは、Azureのプライベート ネットワークの構成要素です。 仮想ネットワークAzureリソースは、相互、インターネット、およびオンプレミスのリソースと通信します。
Azureに複数のハブ アンド スポーク ネットワーク トポロジをデプロイすると、Azure Firewallは仮想ネットワーク間のルーティング トラフィックを処理します。 また、Azure Firewall Premium には、Trasport-Layer セキュリティ (TLS) 検査、ネットワーク侵入、検出、防止システム (IDPS)、URL フィルタリング、コンテンツ フィルタリングなどのセキュリティ機能が含まれています。
Azure Network WatcherやAzure Monitor Network Insights などのネットワーク ツールAzure、ネットワーク トラフィック フローのマッピングと視覚化に役立ちます。 Microsoft Sentinelの統合により、ワークブック、自動化、検出機能を駆使して、組織のネットワーク トラフィックの可視性と制御を強化できます。
| DoD アクティビティの説明と結果 | Microsoftガイダンスと推奨事項 |
|---|---|
Target
5.1.1 詳細な制御アクセス規則とポリシーを定義する - パート 1組織と連携する DoD Enterprise により、詳細なネットワーク アクセス規則とポリシーが作成されます。 関連する運用構想書 (ConOps) がアクセス ポリシーに合わせて開発され、将来のサポート可能性を確実にします。 合意されたら、DoD 組織は、これらのアクセス ポリシーを既存のネットワーク テクノロジ (次世代ファイアウォール、侵入防止システムなど) に実装して、初期リスク レベルを向上させます。 結果: - 技術標準が提供される - 運用構想書が作成される - 関心のあるコミュニティが特定される |
Azure Firewall Premium クラウド リソース、クラウドリソースとオンプレミス リソース、およびインターネット間の通信とルーティングを制御するには、Azure Virtual NetworkとAzure Firewall Premium を使用します。 Azure Firewall Premium には、脅威インテリジェンス、脅威検出、トラフィックを保護する侵入防止機能があります。 - セグメンテーション戦略 - マルチハブおよびスポーク トポロジのルーティングで、侵入防止機能によりトラフィックをセキュリティで保護します - Azure Firewall Premium 機能 Azure Firewall ポリシー分析を使用してファイアウォール規則を管理し、トラフィック フローの可視性を有効にし、ファイアウォール規則の詳細な分析を実行します。 - Azure Firewall Policy Analytics Azure Private Link 仮想ネットワークのプライベート エンドポイントを通じて Azure Private Link を使用し、Azure プラットフォームサービス (PaaS) にアクセスします。 プライベート エンドポイントを使用して、重要なAzure リソースを仮想ネットワークのみにセキュリティで保護します。 仮想ネットワークからAzureへのトラフィックは、Azureバックボーン ネットワークに残ります。 Azure PaaS サービスを使用するには、仮想ネットワークをパブリック インターネットに公開する必要はありません。 - NSG フロー ログ Azure Virtual Network Manager でアクティビティ データを視覚化します。Azure Virtual Network Manager を使用して、サブスクリプション間での仮想ネットワークの一元的な接続とセキュリティ構成を行います。 - Azure Virtual Network Manager Azure Firewall Manager Azure Firewall Managerは、クラウドベースのセキュリティ境界の一元化されたセキュリティポリシーとルート管理のためのセキュリティ管理サービスです。 - Azure Firewall Manager Azure Policy Azure Policyを使用して、トラフィックをAzure Firewallまたは他のネットワークアプライアンスに強制トンネリングするなどのネットワーク標準を適用します。 パブリック IP を禁止するか、暗号化プロトコルの安全な使用を強制します。 - Azure ネットワーク サービスの定義 Azure Monitor Azure Network Watcher と Azure Monitor ネットワーク インサイトを使用して、ネットワークの包括的で視覚的な表現を行います。 - Network Watcher - Network insights |
Target
5.1.2 詳細な制御アクセス規則とポリシーを定義する - パート 2DoD 組織は、データのタグ付けと分類の標準を使用して、SDN インフラストラクチャへの API アクセス用のデータ フィルターを開発します。 API 決定ポイントは SDN アーキテクチャ内で形式化され、ミッション/タスク以外の重要なアプリケーションとサービスで実装されます。 結果: - API インフラストラクチャのデータ タグ付けフィルターを定義する |
アプリケーション セキュリティ グループ アプリケーション セキュリティ グループを使用して、アプリケーション構造の拡張機能としてネットワーク セキュリティを構成します。 groups. - Azure サービス タグ Azure Firewall Azure Firewall Managerは、クラウドベースのセキュリティ境界(ファイアウォール、DDoS、WAF)のための一元化されたセキュリティポリシーとルート管理を提供するセキュリティ管理サービスです。 IP グループを使用して、Azure Firewall のルールに対して IP アドレスを管理します。 - Azure Firewall Manager - IP グループ Azure Virtual Network Manager 仮想ネットワーク マネージャーは、サブスクリプション間で仮想ネットワークをグローバルにグループ化、構成、展開、表示、管理するための管理サービスです。 - 一般的なユースケース Azure Network Watcher Network Watcher を有効にして、メトリックを監視、診断、および表示します。 Azureサービスとしてのインフラストラクチャ (IaaS) リソースのログを有効または無効にします。 Network Watcherを使用して、VM、VNet、アプリケーション ゲートウェイ、ロード バランサーなどの IaaS 製品のネットワーク正常性を監視および修復します。さらに、. - Azure Network Watcher |
5.2 ソフトウェアによるネットワーク
仮想ネットワークは、Azureのプライベート ネットワークの基盤です。 仮想ネットワーク (VNet) を使用すると、組織はAzureリソースとオンプレミスの間の通信を制御します。 トラフィックをフィルター処理してルーティングし、Azure Firewall、Azure Front Door、Azure Application Gateway、Azure VPN Gateway、Azure ExpressRouteなどの他のAzure サービスと統合します。
| DoD アクティビティの説明と結果 | Microsoftガイダンスと推奨事項 |
|---|---|
Target
5.2.1 SDN API の定義DoD 企業は、各組織と連携して、ソフトウェア定義ネットワーク (SDN) 機能を有効にするために必要な API やその他のプログラム インターフェイスを定義します。 これらの API により、認証決定ポイント、Application Delivery Control Proxy、および Segmentation Gateway の自動化が有効になります。 結果: - SDN API は標準化され、実装されています - API は、AuthN 決定ポイント、App Delivery Control Proxy、および Segmentation Gateway で機能します |
Azure Resource Manager Azure Resource Manager (ARM) API を使用してAzureネットワークをデプロイおよび構成します。 Azure管理ツール: Azureポータル、Azure PowerShell、Azure Command-Line インターフェイス (CLI)、およびテンプレートは、同じ ARM API を使用して要求を認証および承認します。 - Azure Resource Manager - AzureREST API リファレンス Azure roles ネットワーク リソース管理用の組み込みAzure ロールの割り当て。 最小特権の原則に従い、PIM を通じて Just-In-Time (JIT) でロールを割り当てます。 - Azure 組み込みロール |
Target
5.2.2 SDN プログラミング可能なインフラストラクチャの実装API 標準、要件、および SDN API の機能に従って、DoD 組織は自動化タスクを有効にするソフトウェア定義ネットワーク (SDN) インフラストラクチャを実装します。 セグメント化ゲートウェイと認証決定ポイントは、監視とアラートのために標準化されたリポジトリ (SIEM、Log Analytics など) への出力ログと共に SDN インフラストラクチャに統合されます。 結果: - 実装された Application Delivery Control Proxy - 確立された SIEM ログ アクティビティ - 実装されたユーザー アクティビティ モニタリング (UAM) - Authentication Decision Point との統合 |
Azure ネットワーク リソース Azure Front Door (AFD)、Azure Application Gateway、またはAzure Firewallを使用して、仮想ネットワーク (VNet) でホストされているアプリケーションへの外部アクセスをセキュリティで保護します。 AFD と Application Gateway には、Open Web Application Security Project (OWASP) Top 10 とボットの負荷分散とセキュリティ機能があります。 カスタム ルールを作成できます。 Azure Firewallは、レイヤー4で脅威インテリジェンスフィルタリングを行います。 - クラウドネイティブのフィルタリングと既知の脅威に対する保護 - ネットワークアーキテクチャの設計 Microsoft Sentinel Azure Firewall、Application Gateway、ADF、およびAzure Bastionは、分析のために、Sentinelやその他のセキュリティ情報およびイベント管理(SIEM)システムにログをエクスポートします。 Sentinel のコネクタを使用するか、Azure Policy を使って、この要件を環境全体に適用します。 - Azure Firewall を Sentinel と連携 - Azure Sentinel への Web アプリファイアウォールコネクタ - Sentinel データコネクタを探す Microsoft Entra アプリケーションプロキシ オンプレミスネットワークでプライベートアプリケーションを公開し、配信するためにアプリケーションプロキシをデプロイします。 セキュリティで保護されたハイブリッド アクセス (SHA) パートナー ソリューションを統合します。 - アプリケーション プロキシ - アプリケーション プロキシをデプロイ - SHA パートナー統合 Microsoft Entra ID 保護 Microsoft Entra ID 保護をデプロイして、条件付きアクセスにサインインリスクシグナルを取り込みます。 Microsoftガイダンス1.3.3を Userで参照してください。 Microsoft Defender for Cloud Apps Microsoft Defender for Cloud Appsを使用して、危険なWebアプリケーションセッションを監視します。 - Defender for Cloud Apps |
Target
5.2.3 フローをコントロール、管理、データの各プレーンにセグメント化するネットワーク インフラストラクチャとフローは、物理的または論理的にコントロール、管理、データの各プレーンにセグメント化されます。 IPv6/VLAN アプローチを使用した基本的なセグメント化は、データ プレーン間のトラフィックをより適切に整理するために実装されています。 更新されたインフラストラクチャからの分析と NetFlow は、Operations Center と分析ツールに自動的に供給されます。 結果: - IPv6 のセグメント化 - 自動化された NetOps 情報レポートを有効にする - エンタープライズ全体の構成コントロールを実現する - SOAR と統合される |
Azure Resource Manager Azure Resource Manager は、Azure アカウント内のリソースを作成、更新、削除するための管理レイヤーを備えたデプロイおよび管理サービスです。 - Azure コントロールおよびデータプレーン - マルチテナント コントロールプレーン - Azure 運用セキュリティ Microsoft Sentinel Azure のネットワーク インフラストラクチャを Sentinel に接続します。 Azure以外のネットワーク ソリューション用に Sentinel データ コネクタを構成します。 カスタム分析クエリを使用して Sentinel SOAR 自動化をトリガーします。 - プレイブックを使用した脅威応答 - Logic Apps での Azure Firewall の検出と応答 Microsoft ガイダンスの 5.2.2 を参照してください。 |
Advanced
5.2.4 ネットワーク資産の検出と最適化DoD 組織は、リスク ベースの体系的なアプローチに基づいてデバイスへのアクセスを制限する SDN インフラストラクチャを通してネットワーク資産の検出を自動化します。 最適化は SDN 分析に基づいて行われ、全体的なパフォーマンスを向上させ、リソースへの必要な承認済みアクセスを提供します。 成果: - テクノロジ リフレッシュ/テクノロジの進化 - 最適化/パフォーマンス制御を提供する |
Azure Monitor Azure Monitor のネットワークインサイトを使用して、ネットワークリソースのトポロジ、正常性、メトリクスを含む包括的な視覚的表現を確認します。 Microsoft のガイダンスは 5.1.1 を参照してください。 Microsoft Defender for Cloud Defender for Cloud は、Azure、その他のクラウド、およびオンプレミス環境でプロビジョニングされたリソースのインベントリを検出して一覧表示します。 マルチクラウド環境 リソースのセキュリティ体制を管理する Microsoft Defender for Endpoint デバイス検出と、ネットワークを収集、調査、スキャンすることでアンマネージドデバイスを発見するようにエンドポイントをオンボードして設定します。 デバイス検出の概要 |
Advanced
5.2.5 リアルタイムのアクセス決定SDN インフラストラクチャは、ユーザー アクティビティ監視、エンティティ アクティビティ監視、エンタープライズ セキュリティ プロファイルなどのクロス ピラー データ ソースを利用して、リアルタイムでアクセス決定を行います。 機械学習は、高度なネットワーク分析 (完全なパケット キャプチャなど) に基づく意思決定を支援するために使用されます。 ポリシーは、統合アクセス標準を使用してエンタープライズ全体で一貫して実装されます。 結果: - 分析エンジンを使用して SIEM ログを分析し、リアルタイムのポリシー アクセス決定を提供する - 分析用にキャプチャされたパケット、データ/ネットワーク フロー、およびその他の特定のログを送信をサポートする - セグメントのエンドツーエンドのトランスポート ネットワーク フロー - 企業全体の一貫性を保つためのセキュリティ ポリシーの監査 |
アクティビティ 5.2.1 から 5.2.4 を完了してください。 Microsoft Sentinel ネットワークログを Sentinel に送信して、分析を行い脅威を検出します。 脅威インテリジェンス、高度なマルチステージ攻撃検出、脅威ハンティング、組み込みのクエリなどの機能を使用します。 Sentinel オートメーションを使用すると、オペレーターは悪意のある IP アドレスをブロックできます。 - 分析ルールによる脅威検出 - Sentinel 用 Azure Firewall コネクタ Azure Network Watcher Azure Network Watcher を使用して、仮想マシン (VM) と Virtual Machine Scale Sets との間のネットワーク トラフィックをキャプチャします。 - パケット キャプチャ Microsoft Defender for Cloud Defender for Cloud は、Microsoft Cloud セキュリティ ベンチマーク、DoD 影響レベル 4 (IL4) および IL5、国立標準技術研究所 (NIST) 800-53 R4/R5 などのフレームワークに規定されているネットワーク セキュリティ制御へのコンプライアンスを評価します。 - セキュリティ制御: ネットワーク セキュリティ 条件付きアクセス 条件付きアクセス インサイトとレポート ワークブックを使用して、組織の条件付きアクセス ポリシーの効果を理解します。 - インサイトとレポート |
5.3 マイクロセグメント化
Azure サブスクリプションは、Azure リソースを分離する高レベルのコンストラクトです。 異なるサブスクリプション内のリソース間の通信は、明示的にプロビジョニングされます。 サブスクリプション内の仮想ネットワーク (VNet) リソースは、ネットワーク レベルのリソース包含を提供します。 既定では、VNet は他の VNet と通信できません。 VNet 間のネットワーク通信を有効にするには、それらをピアリングし、Azure Firewallを使用してトラフィックを制御および監視します。
詳しくは、「ネットワーク レベルのセグメント化を使用してワークロードをセキュリティで保護および管理する」を参照してください。
| DoD アクティビティの説明と結果 | Microsoftガイダンスと推奨事項 |
|---|---|
Target
5.3.1 データセンターのマクロ セグメント化DoD 組織は、従来の階層化 (Web、アプリ、DB) アーキテクチャやサービス ベースのアーキテクチャを使用して、データ センターに重点を置いたマクロ セグメント化を実装します。 プロキシや適用のチェックは、デバイスの属性と動作に基づいて SDN ソリューションと統合されます。 結果: - SIEM にアクションをログする - デバイスの属性、動作、その他のデータのプロキシと適用のチェックを確立する - 分析エンジンでアクティビティを分析する |
Azure ネットワーク エンタープライズ規模のランディング ゾーンなどの確立されたアーキテクチャに基づいて、Azureネットワーク サービスを設計および実装します。 Azure仮想ネットワーク (VNet) をセグメント化し、Azureのネットワークセキュリティのベストプラクティスに従います。 さまざまな VNet 境界を越える際にネットワーク セキュリティ制御を使用します。 - ネットワーク セキュリティのベスト プラクティス - 主権と Azure ランディング ゾーン - ネットワーク トポロジと接続性 - ネットワークと接続に関する推奨事項 Microsoft Entra ID 保護 Microsoft Entra ID 保護 をデプロイし、条件付きアクセス ポリシー セットでデバイスやリスクのシグナルを使用します。 Microsoft ガイダンスの 1.3.3(ユーザー)および 2.1.4(デバイス)を参照してください。 Microsoft Sentinel Microsoft Entra ID のログを取り込み、監査、脅威のハンティング、検出、応答のために Microsoft Sentinel に送信するためのコネクタを使用します。 Sentinel でユーザーエンティティ動作分析 (UEBA) を有効にします。Microsoft のガイダンス 5.2.2 と 1.6.2 を User で参照してください。Microsoft Defender XDR で Microsoft Defender for Endpoint を Microsoft Defender for Cloud Apps と統合し、承認されていないアプリへのアクセスをブロックします。Defender for Endpoint を使用して Defender for Cloud Apps を統合し、シャドウ IT を検出およびブロックします。 |
Target
5.3.2 B/C/P/S マクロ セグメント化DoD 組織は、横移動を制限する論理ネットワーク ゾーンを使用して、ベース、キャンプ、ポスト、ステーションのマクロ セグメント化を実装します。 プロキシや適用のチェックは、デバイスの属性と動作に基づいて SDN ソリューションと統合されます。 結果: - デバイスの属性、動作、その他のデータのプロキシと適用のチェックを確立する - SIEM にアクションをログする - 分析エンジンでアクティビティを分析する - SOAR を利用して RT ポリシー アクセスの決定を行う |
アクティビティ 5.3.1 を完了してください。 Microsoft Sentinel Azure Firewallを使用してファイアウォール アクティビティを視覚化し、AI調査機能で脅威を検出してアクティビティを関連付け、応答アクションを自動化します。 - Azure Firewall |
5.4 マイクロ セグメント化
ネットワーク セキュリティ グループ (NSG) とアプリケーション セキュリティ グループ (ASG) は、Azure ネットワークのネットワーク セキュリティ マイクロセグメント化を提供します。 ASG は、アプリケーション パターンに基づいて、トラフィックのフィルター処理を簡素化します。 複数のアプリケーションを同じサブネットにデプロイし、ASG に基づいてトラフィックを分離します。
詳しくは、「ネットワーク レベルのセグメント化を使用してワークロードをセキュリティで保護および管理する」を参照してください。
| DoD アクティビティの説明と結果 | Microsoftガイダンスと推奨事項 |
|---|---|
Target
5.4.1 マイクロ セグメント化を実装するDoD 組織はマイクロ セグメント化インフラストラクチャを SDN 環境に実装して、サービス コンポーネント (Web、アプリ、DB など)、ポート、プロトコルの基本的なセグメント化を実現します。 基本的な自動化は、API の意思決定を含むポリシーの変更に対して受け入れられます。 仮想ホスティング環境では、ホストとコンテナーのレベルでマイクロ セグメント化が実装されます。 結果: - ポリシーの自動変更を受け入れる - API 決定ポイントを実装する - 仮想ホスティング環境に NGF、マイクロ FW、エンドポイント エージェントを実装する |
アクティビティ 5.3.1 を完了します。 Azure Firewall Premium Azure ネットワーク セグメント化戦略で、Azure Firewall Premium を NextGen Firewall (NGF) として使用します。 Microsoft のガイダンスについては5.1.1を参照してください。 アプリケーション セキュリティ グループ ネットワーク セキュリティ グループ (NSG) では、アプリケーション セキュリティ グループを使用して、ネットワーク セキュリティをアプリケーション構造の拡張機能として構成できます。 アプリケーション セキュリティ グループを使用して同じアプリケーションのAzureリソースを関連付けることにより、ネットワーク セキュリティ ポリシーを簡略化します。ネットワーク レベルのセグメント化を使用してワークロードをセキュリティで保護し、管理します。アプリケーション セキュリティ グループ。Azure Kubernetes Serviceにおいて、Azure Policy の組み込み定義を使用して、Azure Kubernetes Service (AKS) 内のアプリケーションに対してコンテナー ネットワーク インターフェイス (Azure CNI) を必要とします。 ネットワーク ポリシーを使用して、AKS 内のコンテナーにコンテナーレベルのマイクロセグメント化を実装します。 - AKS のネットワーキング コンセプト - Azure CNI オーバーレイ ネットワークの構成 - ネットワーク ポリシーを使用してポッド間のトラフィックをセキュリティ保護する - AKS ポリシー リファレンス Microsoft Defender for Servers Azure 仮想マシン (VM)、他のクラウドホスティング環境の VM、およびオンプレミス サーバーを、Defender for Servers にオンボードする。 Microsoft Defender for Endpoint のネットワーク保護により、特定のドメイン、ホスト名、または侵害インジケーター (IoC) に一致する IP アドレスとの通信からホスト レベルのプロセスがブロックされます。 - Defender を計画するサーバーの展開 - ネットワークを保護する - 作成インジケーター |
Target
5.4.2 アプリケーションとデバイスのマイクロ セグメント化DoD 組織は、ソフトウェアによるネットワーク (SDN) ソリューションを利用して、次の ZT ターゲット機能を満たすインフラストラクチャを確立します: ユーザーとデバイスに対する論理ネットワーク ゾーン、ロール、属性、および条件付きベースのアクセス制御、ネットワーク リソースの特権アクセス管理サービス、API アクセスでのポリシーベースの制御。 成果: - ロール、属性、および条件に基づいてユーザーとデバイスへのアクセスを制御する - 特権アクセス管理サービスを提供する - ユーザーおよびデバイスの身元ごとにアクセスを制限する - 論理ネットワークゾーンを作成する |
Microsoft Entra ID Microsoft Entra ID を使用してアプリケーションを統合します。 アプリ ロール、セキュリティ グループ、アクセス パッケージでアクセスを管理します。 ユーザーの Microsoft ガイダンス 1.2 を参照してください。 条件付きアクセス ユーザー、ロール、グループ、デバイス、クライアント アプリ、ID リスク、およびアプリケーション リソースに基づく動的承認用の条件付きアクセス ポリシー セットを設計します。 認証コンテキストを使用して、ユーザーと環境の条件に基づく論理ネットワークゾーンを作成します。 Microsoft ガイダンス 1.8.3 をユーザーで参照してください。 Privileged Identity Manager 特権ロールと Microsoft Entra セキュリティグループへの Just-In-Time (JIT) アクセスのための PIM の構成。 Microsoft ガイダンス 1.4.2 をユーザーで参照してください。 Azure 仮想マシン および SQL データベース Microsoft Entra ID を使用して、ユーザーのサインインに Azure 仮想マシン と SQL インスタンスを構成します。 - Azure で Windows にサインイン - Azure で Linux VM にサインイン - Azure SQL での認証 Azure Bastion Bastion を使用して、Azure portal からプライベート IP アドレスを持つ Azure VM に安全に接続します。または、ネイティブ Secure Shell (SSH) かリモート デスクトップ プロトコル (RDP) クライアントを使用して接続します。 - Bastion Microsoft Defender for Server VM への Just-In-Time (JIT) アクセスを使用して、未承認のネットワークアクセスから VM を保護します。 - VM での JIT アクセスを有効にします |
Advanced
5.4.3 プロセスのマイクロ セグメント化DoD 組織は、既存のマイクロ セグメント化と SDN 自動化インフラストラクチャを利用して、プロセスのマイクロ セグメント化を実現します。 ホスト レベルのプロセスはセキュリティ ポリシーに基づいてセグメント化され、リアルタイムのアクセス決定を使用してアクセスが許可されます。 結果: - セキュリティ ポリシーのためにホスト レベルのプロセスをセグメント化する - リアルタイムのアクセス決定とポリシー変更をサポートする - 分析と自動化のためのログのオフロードをサポートする - セグメント化ポリシーの動的デプロイをサポートする |
アクティビティ 5.4.2 を完了してください。 Microsoft Defender for Endpoint ホストレベルのプロセスやアプリケーションが悪意のあるネットワーク ドメイン、IP アドレス、または侵害されたホスト名に接続するのをブロックするために、Defender for Endpoint のネットワーク保護を有効にします。 Microsoft ガイダンス 4.5.1 をご覧ください。 継続的なアクセス評価 継続的なアクセス評価(CAE)を導入すると、Exchange Online、SharePoint Online、Microsoft Teams などのサービスが Microsoft Entra ID 保護 のアカウント無効化や高リスク検出などのイベントをサブスクライブできます。 「User」での Microsoft ガイダンス 1.8.3 を参照してください。 Microsoft Sentinel コネクタを使用して、Microsoft Entra ID からのログを収集し、ネットワークリソースを通じて監査、脅威ハンティング、検出、対応のために Microsoft Sentinel へ送信します。 「5.2.2」および「User」の 1.6.2 の Microsoft ガイダンス を参照してください。 |
Target
5.4.4 転送中のデータを保護するデータ フローのマッピングと監視に基づいて、DoD 組織は転送中のデータの保護を要求するポリシーを有効にします。 保護ポリシーには、合同情報共有、システム境界を越えた共有、アーキテクチャ コンポーネントをまたぐ保護などの一般的なユース ケースが含まれます。 結果: - 合同情報共有の間に転送中のデータを保護する - システムの高い境界を越えて転送中のデータを保護する - アーキテクチャ コンポーネント間で転送中データ保護を統合する |
Microsoft 365 DoD コラボレーションにMicrosoft 365を使用します。 Microsoft 365 サービスは、保存データと転送中のデータを暗号化します。 - Microsoft 365における暗号化 Microsoft Entra 外部 ID Microsoft 365 およびMicrosoft Entra ID は、他の DoD テナント内のユーザーの簡単なオンボードと管理によって、連携した共有を強化します。 - B2B コラボレーション - セキュリティで保護されたゲスト共有 クロステナントアクセスと Microsoft クラウド設定を構成して、ユーザーが外部組織とどのように共同作業するかを制御します。 - クロステナント アクセス - Microsoft クラウド設定 Microsoft Entra ID ガバナンス エンタイトルメント管理による外部ユーザーのアクセス ライフサイクルを管理します。 - エンタイトルメント管理を使用した外部アクセス Microsoft Defender for Cloud Defender for Cloud を使用してクラウド リソースを継続的に評価し、セキュリティで保護されたトランスポート プロトコルを適用します。 - クラウド セキュリティ体制管理 |
次のステップ
Microsoftクラウド サービスをDoD ゼロ トラスト 戦略のために設定します。