ネットワークの柱のための DoD ゼロトラスト戦略

2024-04-16

DoD ゼロトラスト戦略とロードマップは、国防総省の各部署と国防産業基盤 (DIB) パートナーによる、ゼロトラストの原則に基づく新しいサイバーセキュリティフレームワークを導入するための大まかな道筋を示しています。ゼロトラストは、従来の境界や信頼の前提を排除し、セキュリティ、ユーザーエクスペリエンス、ミッションパフォーマンスを強化する、より効率的なアーキテクチャを実現します。

このガイドには、DoD ゼロトラスト機能遂行ロードマップでの、152 種のゼロトラストアクティビティに関する推奨事項が記載されています。各セクションは、DoD ゼロトラストモデルの 7 つの柱に対応します。

ガイドの各セクションに移動するには次のリンクを使用してください。

5 ネットワーク

このセクションでは、ネットワークの柱に含まれる DoD ゼロトラストアクティビティに関する Microsoft のガイダンスと推奨事項について説明します。詳細については、「ゼロトラストによるネットワークのセキュリティ保護」を参照してください。

5.1 データフローのマッピング

Azure Virtual Network サービスは、Azure におけるプライベートネットワークの構成要素です。仮想ネットワーク内の Azure リソースは、相互に、インターネットと、そしてオンプレミスのリソースと通信します。

Azure に複数のハブアンドスポークネットワークトポロジをデプロイすると、Azure Firewall によって仮想ネットワーク間のトラフィックのルーティングが処理されます。また、Azure Firewall Premium には、トランスポート層セキュリティ (TLS) 検査、ネットワーク侵入、検出、防止システム (IDPS)、URL フィルタリング、コンテンツフィルタリングなどのセキュリティ機能が含まれます。

Azure Network Watcher や Azure Monitor Network Insights などの Azure ネットワークツールは、ネットワークトラフィックフローのマッピングと視覚化に役立ちます。 Microsoft Sentinel 統合により、ブック、自動化、検出機能を使って、組織のネットワークトラフィックを可視化および制御できます。

DoD アクティビティの説明と結果 Microsoft ガイダンスと推奨事項

Target 5.1.1 詳細な制御アクセス規則とポリシーを定義する - パート 1
組織と連携する DoD Enterprise により、詳細なネットワークアクセス規則とポリシーが作成されます。関連する運用構想書 (ConOps) がアクセスポリシーに合わせて開発され、将来のサポート可能性を確実にします。合意されたら、DoD 組織は、これらのアクセスポリシーを既存のネットワークテクノロジ (次世代ファイアウォール、侵入防止システムなど) に実装して、初期リスクレベルを向上させます。

結果:
- 技術標準が提供される
- 運用構想書が作成される
- 関心のあるコミュニティが特定される Azure Firewall Premium
Azure Virtual Network と Azure Firewall Premium を使用して、クラウドリソース間、クラウドリソースとオンプレミスリソース間、およびインターネット間の通信とルーティングを制御します。 Azure Firewall Premium には、トラフィックを保護するための脅威インテリジェンス、脅威検出、侵入防止機能があります。
- セグメント化戦略
- マルチハブアンドスポークトポロジをルーティングする
- Azure Firewall Premium の機能

Azure Firewall Policy Analytics を使用してファイアウォール規則を管理し、トラフィックフローを可視化し、ファイアウォール規則に関する詳細な分析を実行します。
- Azure Firewall Policy Analytics

Azure Private Link
Azure Private Link を使用し、仮想ネットワーク内のプライベートエンドポイント経由で Azure サービスとしてのプラットフォーム (PaaS) にアクセスします。プライベートエンドポイントを使用して、重要な Azure リソースを仮想ネットワークのみに結び付けます。仮想ネットワークから Azure へのトラフィックは、Azure バックボーンネットワーク上に留まっています。 Azure PaaS サービスを使用するために、パブリックインターネットに仮想ネットワークを公開する必要はありません。
- ネットワークをセキュリティ保護する: PaaS サービス境界
- ネットワークセキュリティのベストプラクティス

ネットワークセキュリティグループ
ネットワークセキュリティグループ (NSG) でフローログを有効にして、トラフィックアクティビティを取得します。 Network Watcher でアクティビティデータを視覚化します。
- NSG フローログ

Azure Virtual Network Manager
Azure Virtual Network Manager を使用して、サブスクリプション間の仮想ネットワークの接続とセキュリティの構成を一元管理します。
- Azure Virtual Network Manager

Azure Firewall Manager
Azure Firewall Manager は、クラウドベースのセキュリティ境界のセキュリティポリシーとルート管理を一元化するためのセキュリティ管理サービスです。
- Azure Firewall Manager

Azure Policy
Azure Policy を使用して、Azure Firewall へのトラフィック強制トンネリングや他のネットワークアプライアンスなどのネットワーク標準を適用します。パブリック IP を禁止するか、暗号化プロトコルの安全な使用を強制します。
- Azure ネットワークサービスの定義

Azure Monitor
Azure Network Watcher と Azure Monitor Network Insights を使用して、ネットワークを包括的かつ視覚的に表現します。
- Network Watcher
- Network Insights

Target 5.1.2 詳細な制御アクセス規則とポリシーを定義する - パート 2
DoD 組織は、データのタグ付けと分類の標準を使用して、SDN インフラストラクチャへの API アクセス用のデータフィルターを開発します。 API 決定ポイントは SDN アーキテクチャ内で形式化され、ミッション/タスク以外の重要なアプリケーションとサービスで実装されます。

結果:
- API インフラストラクチャのデータタグ付けフィルターを定義する アプリケーションセキュリティグループ
アプリケーションセキュリティグループを使用して、アプリケーション構造の拡張機能としてネットワークセキュリティを構成します。仮想マシン (VM) をグループ化し、グループに基づいてネットワークセキュリティポリシーを定義します。
- アプリケーションセキュリティグループ

Azure サービスタグ
Azure VM と Azure Virtual Networks のサービスタグを使用して、使用中の Azure サービスへのネットワークアクセスを制限します。 Azure は、各タグに関連付けられている IP アドレスを保持します。
- Azure サービスタグ

Azure Firewall
Azure Firewall Manager は、クラウドベースのセキュリティ境界 (ファイアウォール、DDoS、WAF) のセキュリティポリシーとルート管理を一元化するためのセキュリティ管理サービスです。 IP グループを使用して、Azure Firewall 規則の IP アドレスを管理します。
- Azure Firewall Manager
- IP グループ

Azure Virtual Network Manager
Virtual Network Manager は、サブスクリプション間で仮想ネットワークをグローバルにグループ化、構成、デプロイ、表示、および管理するための管理サービスです。
- 一般的なユースケース

Azure Network Watcher
Network Watcher を有効にしてメトリックの監視、診断、表示を行います。 Azure サービスとしてのインフラストラクチャ (IaaS) リソースのログを有効または無効にします。 Network Watcher を使用して、VM、VNet、アプリケーションゲートウェイ、ロードバランサーなどの IaaS 製品のネットワーク正常性を監視および修復します。
- Azure Network Watcher

DoD アクティビティの説明と結果	Microsoft ガイダンスと推奨事項
`Target` 5.1.1 詳細な制御アクセス規則とポリシーを定義する - パート 1 組織と連携する DoD Enterprise により、詳細なネットワークアクセス規則とポリシーが作成されます。関連する運用構想書 (ConOps) がアクセスポリシーに合わせて開発され、将来のサポート可能性を確実にします。合意されたら、DoD 組織は、これらのアクセスポリシーを既存のネットワークテクノロジ (次世代ファイアウォール、侵入防止システムなど) に実装して、初期リスクレベルを向上させます。結果: - 技術標準が提供される - 運用構想書が作成される - 関心のあるコミュニティが特定される	Azure Firewall Premium Azure Virtual Network と Azure Firewall Premium を使用して、クラウドリソース間、クラウドリソースとオンプレミスリソース間、およびインターネット間の通信とルーティングを制御します。 Azure Firewall Premium には、トラフィックを保護するための脅威インテリジェンス、脅威検出、侵入防止機能があります。 - セグメント化戦略 - マルチハブアンドスポークトポロジをルーティングする - Azure Firewall Premium の機能 Azure Firewall Policy Analytics を使用してファイアウォール規則を管理し、トラフィックフローを可視化し、ファイアウォール規則に関する詳細な分析を実行します。 - Azure Firewall Policy Analytics Azure Private Link Azure Private Link を使用し、仮想ネットワーク内のプライベートエンドポイント経由で Azure サービスとしてのプラットフォーム (PaaS) にアクセスします。プライベートエンドポイントを使用して、重要な Azure リソースを仮想ネットワークのみに結び付けます。仮想ネットワークから Azure へのトラフィックは、Azure バックボーンネットワーク上に留まっています。 Azure PaaS サービスを使用するために、パブリックインターネットに仮想ネットワークを公開する必要はありません。 - ネットワークをセキュリティ保護する: PaaS サービス境界 - ネットワークセキュリティのベストプラクティスネットワークセキュリティグループネットワークセキュリティグループ (NSG) でフローログを有効にして、トラフィックアクティビティを取得します。 Network Watcher でアクティビティデータを視覚化します。 - NSG フローログ Azure Virtual Network Manager Azure Virtual Network Manager を使用して、サブスクリプション間の仮想ネットワークの接続とセキュリティの構成を一元管理します。 - Azure Virtual Network Manager Azure Firewall Manager Azure Firewall Manager は、クラウドベースのセキュリティ境界のセキュリティポリシーとルート管理を一元化するためのセキュリティ管理サービスです。 - Azure Firewall Manager Azure Policy Azure Policy を使用して、Azure Firewall へのトラフィック強制トンネリングや他のネットワークアプライアンスなどのネットワーク標準を適用します。パブリック IP を禁止するか、暗号化プロトコルの安全な使用を強制します。 - Azure ネットワークサービスの定義 Azure Monitor Azure Network Watcher と Azure Monitor Network Insights を使用して、ネットワークを包括的かつ視覚的に表現します。 - Network Watcher - Network Insights
`Target` 5.1.2 詳細な制御アクセス規則とポリシーを定義する - パート 2 DoD 組織は、データのタグ付けと分類の標準を使用して、SDN インフラストラクチャへの API アクセス用のデータフィルターを開発します。 API 決定ポイントは SDN アーキテクチャ内で形式化され、ミッション/タスク以外の重要なアプリケーションとサービスで実装されます。結果: - API インフラストラクチャのデータタグ付けフィルターを定義する	アプリケーションセキュリティグループアプリケーションセキュリティグループを使用して、アプリケーション構造の拡張機能としてネットワークセキュリティを構成します。仮想マシン (VM) をグループ化し、グループに基づいてネットワークセキュリティポリシーを定義します。 - アプリケーションセキュリティグループ Azure サービスタグ Azure VM と Azure Virtual Networks のサービスタグを使用して、使用中の Azure サービスへのネットワークアクセスを制限します。 Azure は、各タグに関連付けられている IP アドレスを保持します。 - Azure サービスタグ Azure Firewall Azure Firewall Manager は、クラウドベースのセキュリティ境界 (ファイアウォール、DDoS、WAF) のセキュリティポリシーとルート管理を一元化するためのセキュリティ管理サービスです。 IP グループを使用して、Azure Firewall 規則の IP アドレスを管理します。 - Azure Firewall Manager - IP グループ Azure Virtual Network Manager Virtual Network Manager は、サブスクリプション間で仮想ネットワークをグローバルにグループ化、構成、デプロイ、表示、および管理するための管理サービスです。 - 一般的なユースケース Azure Network Watcher Network Watcher を有効にしてメトリックの監視、診断、表示を行います。 Azure サービスとしてのインフラストラクチャ (IaaS) リソースのログを有効または無効にします。 Network Watcher を使用して、VM、VNet、アプリケーションゲートウェイ、ロードバランサーなどの IaaS 製品のネットワーク正常性を監視および修復します。 - Azure Network Watcher

5.2 ソフトウェアによるネットワーク

仮想ネットワークは、Azure のプライベートネットワークの基盤です。仮想ネットワーク (VNet) では、組織が Azure リソースとオンプレミスの間の通信を制御します。トラフィックをフィルタリングおよびルーティングし、Azure Firewall、Azure Front Door、Azure Application Gateway、Azure VPN Gateway、Azure ExpressRoute などの他の Azure サービスと統合します。

DoD アクティビティの説明と結果	Microsoft ガイダンスと推奨事項
`Target` 5.2.1 SDN API の定義 DoD 企業は、各組織と連携して、ソフトウェア定義ネットワーク (SDN) 機能を有効にするために必要な API やその他のプログラムインターフェイスを定義します。これらの API により、認証決定ポイント、Application Delivery Control Proxy、および Segmentation Gateway の自動化が有効になります。結果: - SDN API は標準化され、実装されています - API は、AuthN 決定ポイント、App Delivery Control Proxy、および Segmentation Gateway で機能します	Azure Resource Manager Azure Resource Manager (ARM) API を使用して Azure ネットワークをデプロイして構成します。 Azure 管理ツール: Azure portal、Azure PowerShell、Azure コマンドラインインターフェイス (CLI)、テンプレートは、同じ ARM API を使用して要求を認証および認可します。 - Azure Resource Manager - Azure REST API リファレンス Azure ロールネットワークリソース管理用に組み込みの Azure ロールを割り当てます。最小特権の原則に従い、PIM を使用して Just-In-Time (JIT) でロールを割り当てます。 - Azure 組み込みロール
`Target` 5.2.2 SDN プログラミング可能なインフラストラクチャの実装 API 標準、要件、および SDN API の機能に従って、DoD 組織は自動化タスクを有効にするソフトウェア定義ネットワーク (SDN) インフラストラクチャを実装します。 Segmentation Gateway と認証決定ポイントは、監視とアラートのために標準化されたリポジトリ (SIEM、Log Analytics など) への出力ログと共に SDN インフラストラクチャに統合されます。結果: - 実装された Application Delivery Control Proxy - 確立された SIEM ログアクティビティ - 実装されたユーザーアクティビティモニタリング (UAM) - Authentication Decision Point との統合	Azure ネットワークリソース Azure Front Door (AFD)、Azure Application Gateway、または Azure Firewall を使用して、仮想ネットワーク (VNet) でホストされているアプリケーションへの外部アクセスをセキュリティで保護します。 AFD と Application Gateway には、Open Web Application Security Project (OWASP) のトップ 10 とボットに対する負荷分散とセキュリティ機能があります。カスタムルールを作成できます。 Azure Firewall には、レイヤー 4 で脅威インテリジェンスのフィルタリング機能があります。 - 既知の脅威に対するクラウドネイティブのフィルタリングと保護 - Networkng アーキテクチャデザイン Microsoft Sentinel Azure Firewall、Application Gateway、ADF、および Azure Bastion は、分析のためにログを Sentinel または他のセキュリティ情報およびイベント管理 (SIEM) システムにエクスポートします。 Sentinel または Azure Policy のコネクタを使用して、環境全体でこの要件を適用します。 - Sentinel を使用した Azure Firewall - Sentinel へのAzure Web App Firewall コネクタ - Sentinel データコネクタの検索 Microsoft Entra アプリケーションプロキシアプリケーションプロキシをデプロイし、オンプレミスネットワーク上でプライベートアプリケーションを公開、配信します。セキュリティで保護されたハイブリッドアクセス（SHA）パートナーソリューションを統合します。 - アプリケーションプロキシ - アプリケーションプロキシのデプロイ - SHA パートナーの統合 Microsoft Entra ID Protection Microsoft Entra ID Protection をデプロイし、条件付きアクセスにサインインリスクシグナルをもたらします。「ユーザー」の Microsoft guidance 1.3.3 を参照してください。 Microsoft Defender for Cloud アプリ Defender for Cloud アプリを使用して、危険な Web アプリケーションセッションを監視します。 - Defender for Cloud アプリ
`Target` 5.2.3 フローをコントロール、管理、データの各プレーンにセグメント化するネットワークインフラストラクチャとフローは、物理的または論理的にコントロール、管理、データの各プレーンにセグメント化されます。 IPv6/VLAN アプローチを使用した基本的なセグメント化は、データプレーン間のトラフィックをより適切に整理するために実装されています。更新されたインフラストラクチャからの分析と NetFlow は、Operations Center と分析ツールに自動的に供給されます。結果: - IPv6 のセグメント化 - 自動化された NetOps 情報レポートを有効にする - エンタープライズ全体の構成コントロールを実現する - SOAR と統合される	Azure Resource Manager Azure Resource Manager は、Azure アカウント内のリソースを作成、更新、削除するための管理レイヤーを備えたデプロイおよび管理サービスです。 - Azure コントロールプレーンとデータプレーン - マルチテナントコントロールプレーン - Azure 運用セキュリティ Microsoft Sentinel Azure ネットワークインフラストラクチャを Sentinel に接続します。 Azure 以外のネットワークソリューション用に Sentinel データコネクタを構成します。カスタム分析クエリを使用して Sentinel SOAR オートメーションをトリガーします。 - プレイブックを使用した脅威への対応 - Logic Apps を使用した Azure Firewall の検出と対応詳細については、5.2.2 の Microsoft ガイダンスを参照してください。
`Advanced` 5.2.4 ネットワーク資産の検出と最適化 DoD 組織は、リスクベースの体系的なアプローチに基づいてデバイスへのアクセスを制限する SDN インフラストラクチャを通してネットワーク資産の検出を自動化します。最適化は SDN 分析に基づいて行われ、全体的なパフォーマンスを向上させ、リソースへの必要な承認済みアクセスを提供します。成果: - テクノロジリフレッシュ/テクノロジの進化 - 最適化/パフォーマンス制御を提供する	Azure Monitor Azure Monitor ネットワークの分析情報を使用して、トポロジ、正常性、メトリックなどの、ネットワークリソースの包括的な視覚的表現を確認します。 5.1.1 の Microsoft ガイダンスを参照してください。 Microsoft Defender for Cloud Defender for Cloud は、Azure、その他のクラウド、およびオンプレミス内にプロビジョニングされたリソースのインベントリを検出して一覧表示します。 - マルチクラウド環境 - リソースセキュリティ態勢の管理 Microsoft Defender for Endpoint エンドポイントをオンボードし、アンマネージドデバイスを検出するためにネットワークを収集、プロープ、またはスキャンするようにデバイスの検出を構成します。 - デバイスの検出の概要
`Advanced` 5.2.5 リアルタイムのアクセス決定 SDN インフラストラクチャは、ユーザーアクティビティ監視、エンティティアクティビティ監視、エンタープライズセキュリティプロファイルなどのクロスピラーデータソースを利用して、リアルタイムでアクセス決定を行います。機械学習は、高度なネットワーク分析 (完全なパケットキャプチャなど) に基づく意思決定を支援するために使用されます。ポリシーは、統合アクセス標準を使用してエンタープライズ全体で一貫して実装されます。結果: - 分析エンジンを使用して SIEM ログを分析し、リアルタイムのポリシーアクセス決定を提供する - 分析用にキャプチャされたパケット、データ/ネットワークフロー、およびその他の特定のログを送信をサポートする - セグメントのエンドツーエンドのトランスポートネットワークフロー - 企業全体の一貫性を保つためのセキュリティポリシーの監査	アクティビティ 5.2.1 から 5.2.4 を完了します。 Microsoft Sentinel 分析のためにネットワークログを Sentinel に送信して脅威を検出します。脅威インテリジェンス、高度なマルチステージ攻撃検出、脅威ハンティング、組み込みのクエリなどの機能を使用します。 Sentinel の自動化により、オペレーターは悪意のある IP アドレスをブロックできます。 - 分析ルールによる脅威検出 - Sentinel 用の Azure Firewall コネクタ Azure Network Watcher Azure Network Watcher を使用して、仮想マシン (VM) および仮想マシンスケールセットとの間のネットワークトラフィックをキャプチャします。 - パケットキャプチャ Microsoft Defender for Cloud Defender for Cloud は、Microsoft Cloud Security Benchmark、DoD Impact Level 4 (IL4)、IL5、国立標準技術研究所 (NIST) 800-53 R4/R5 などのフレームワークで規定されているネットワークセキュリティ制御への準拠を評価します。 - セキュリティ制御: ネットワークセキュリティ条件付きアクセス条件付きアクセスの分析情報とレポートブックを使用して、組織の条件付きアクセスポリシーの効果を理解します。 - 分析情報とレポート

5.3 マイクロセグメント化

Azure サブスクリプションは、Azure リソースを分離する高度な構造です。異なるサブスクリプション内のリソース間の通信は、明示的にプロビジョニングされます。サブスクリプション内の仮想ネットワーク (VNet) リソースは、ネットワークレベルのリソース包含を提供します。既定では、VNet は他の VNet と通信できません。 VNet 間のネットワーク通信を有効にするには、それらをピアリングし、Azure Firewall を使用してトラフィックを制御および監視します。

詳しくは、「ネットワークレベルのセグメント化を使用してワークロードをセキュリティで保護および管理する」を参照してください。

DoD アクティビティの説明と結果 Microsoft ガイダンスと推奨事項

Target 5.3.1 データセンターのマクロセグメント化
DoD 組織は、従来の階層化 (Web、アプリ、DB) アーキテクチャやサービスベースのアーキテクチャを使用して、データセンターに重点を置いたマクロセグメント化を実装します。プロキシや適用のチェックは、デバイスの属性と動作に基づいて SDN ソリューションと統合されます。

結果:
- SIEM にアクションをログする
- デバイスの属性、動作、その他のデータのプロキシと適用のチェックを確立する
- 分析エンジンでアクティビティを分析する Azure ネットワーク
エンタープライズ規模のランディングゾーンなど、確立されたアーキテクチャに基づいて、Azure ネットワークサービスを設計して実装します。 Azure 仮想ネットワーク (VNet) をセグメント化し、Azure ネットワークセキュリティのベストプラクティスに従います。パケットがさまざまな VNet 境界を越える場合は、ネットワークセキュリティコントロールを使用します。
- ネットワークセキュリティに関するベストプラクティス
- 主権と Azure ランディングゾーン
- ネットワークトポロジと接続
- ネットワークと接続の推奨事項

Microsoft Entra ID 保護
Microsoft Entra ID 保護をデプロイし、条件付きアクセスポリシーセットでデバイスとリスクのシグナルを使用します。

「ユーザー」の Microsoft ガイダンス 1.3.3 と「デバイス」の 2.1.4 を参照してください。

Microsoft Sentinel
コネクタを使って Microsoft Entra ID、ネットワークリソースからログを取得し、監査、脅威ハンティング、検出、対応のために Microsoft Sentinel に送信します。 Sentinel でユーザーエンティティ行動分析 (UEBA) を有効にします。

5.2.2 の Microsoft ガイダンスと、「ユーザー」の 1.6.2 を参照してください。

Microsoft Defender XDR
Microsoft Defender for Endpoint と Microsoft Defender for Cloud Apps を統合して、承認されていないアプリへのアクセスをブロックします。
- Defender for Cloud Apps と Defender for Endpoint を統合する
- シャドウ IT を検出してブロックする

Target 5.3.2 B/C/P/S マクロセグメント化
DoD 組織は、横移動を制限する論理ネットワークゾーンを使用して、ベース、キャンプ、ポスト、ステーションのマクロセグメント化を実装します。プロキシや適用のチェックは、デバイスの属性と動作に基づいて SDN ソリューションと統合されます。

結果:
- デバイスの属性、動作、その他のデータのプロキシと適用のチェックを確立する
- SIEM にアクションをログする
- 分析エンジンでアクティビティを分析する
- SOAR を利用して RT ポリシーアクセスの決定を行う アクティビティ 5.3.1 を完了します。

Microsoft Sentinel
Azure Firewall を使用してファイアウォールアクティビティを視覚化し、AI 調査機能を使用して脅威を検出し、アクティビティを関連付け、対応アクションを自動化します。
- Azure Firewall

DoD アクティビティの説明と結果	Microsoft ガイダンスと推奨事項
`Target` 5.3.1 データセンターのマクロセグメント化 DoD 組織は、従来の階層化 (Web、アプリ、DB) アーキテクチャやサービスベースのアーキテクチャを使用して、データセンターに重点を置いたマクロセグメント化を実装します。プロキシや適用のチェックは、デバイスの属性と動作に基づいて SDN ソリューションと統合されます。結果: - SIEM にアクションをログする - デバイスの属性、動作、その他のデータのプロキシと適用のチェックを確立する - 分析エンジンでアクティビティを分析する	Azure ネットワークエンタープライズ規模のランディングゾーンなど、確立されたアーキテクチャに基づいて、Azure ネットワークサービスを設計して実装します。 Azure 仮想ネットワーク (VNet) をセグメント化し、Azure ネットワークセキュリティのベストプラクティスに従います。パケットがさまざまな VNet 境界を越える場合は、ネットワークセキュリティコントロールを使用します。 - ネットワークセキュリティに関するベストプラクティス - 主権と Azure ランディングゾーン - ネットワークトポロジと接続 - ネットワークと接続の推奨事項 Microsoft Entra ID 保護 Microsoft Entra ID 保護をデプロイし、条件付きアクセスポリシーセットでデバイスとリスクのシグナルを使用します。「ユーザー」の Microsoft ガイダンス 1.3.3 と「デバイス」の 2.1.4 を参照してください。 Microsoft Sentinel コネクタを使って Microsoft Entra ID、ネットワークリソースからログを取得し、監査、脅威ハンティング、検出、対応のために Microsoft Sentinel に送信します。 Sentinel でユーザーエンティティ行動分析 (UEBA) を有効にします。 5.2.2 の Microsoft ガイダンスと、「ユーザー」の 1.6.2 を参照してください。 Microsoft Defender XDR Microsoft Defender for Endpoint と Microsoft Defender for Cloud Apps を統合して、承認されていないアプリへのアクセスをブロックします。 - Defender for Cloud Apps と Defender for Endpoint を統合する - シャドウ IT を検出してブロックする
`Target` 5.3.2 B/C/P/S マクロセグメント化 DoD 組織は、横移動を制限する論理ネットワークゾーンを使用して、ベース、キャンプ、ポスト、ステーションのマクロセグメント化を実装します。プロキシや適用のチェックは、デバイスの属性と動作に基づいて SDN ソリューションと統合されます。結果: - デバイスの属性、動作、その他のデータのプロキシと適用のチェックを確立する - SIEM にアクションをログする - 分析エンジンでアクティビティを分析する - SOAR を利用して RT ポリシーアクセスの決定を行う	アクティビティ 5.3.1 を完了します。 Microsoft Sentinel Azure Firewall を使用してファイアウォールアクティビティを視覚化し、AI 調査機能を使用して脅威を検出し、アクティビティを関連付け、対応アクションを自動化します。 - Azure Firewall

5.4 マイクロセグメント化

ネットワークセキュリティグループ (NSG) とアプリケーションセキュリティグループ (ASG) は、Azure ネットワークのネットワークセキュリティマイクロセグメント化を提供します。 ASG は、アプリケーションパターンに基づいて、トラフィックのフィルター処理を簡素化します。複数のアプリケーションを同じサブネットにデプロイし、ASG に基づいてトラフィックを分離します。

詳しくは、「ネットワークレベルのセグメント化を使用してワークロードをセキュリティで保護および管理する」を参照してください。

DoD アクティビティの説明と結果	Microsoft ガイダンスと推奨事項
`Target` 5.4.1 マイクロセグメント化を実装する DoD 組織はマイクロセグメント化インフラストラクチャを SDN 環境に実装して、サービスコンポーネント (Web、アプリ、DB など)、ポート、プロトコルの基本的なセグメント化を実現します。基本的な自動化は、API の意思決定を含むポリシーの変更に対して受け入れられます。仮想ホスティング環境では、ホストとコンテナーのレベルでマイクロセグメント化が実装されます。結果: - ポリシーの自動変更を受け入れる - API 決定ポイントを実装する - 仮想ホスティング環境に NGF、マイクロ FW、エンドポイントエージェントを実装する	アクティビティ 5.3.1 を完了します。 Azure Firewall Premium Azure ネットワークセグメント化戦略で、Azure Firewall Premium を NextGen Firewall (NGF) として使用します。 Microsoft ガイダンス 5.1.1 を参照してください。アプリケーションセキュリティグループネットワークセキュリティグループ (NSG) では、アプリケーションセキュリティグループを使用して、ネットワークセキュリティをアプリケーション構造の拡張機能として構成できます。アプリケーションセキュリティグループを使用して、同じアプリケーションの Azure リソースを関連付けることで、ネットワークセキュリティポリシーを単純化します。 - ネットワークレベルのセグメント化でワークロードの保護とガバナンス管理を行う - アプリケーションセキュリティグループ Azure Kubernetes Service Azure Policy の組み込み定義を使用して Azure Kubernetes Service (AKS) のアプリケーションに Azure Container Networking Interface (Azure CNI) を必須とします。ネットワークポリシーを使用して、AKS 内のコンテナーにコンテナーレベルのマイクロセグメント化を実装します。 - AKS のネットワークの概念 - Azure CNI オーバーレイネットワークを構成する - ネットワークポリシーを使用してポッド間のトラフィックの安全を確保する - AKS ポリシーリファレンス Microsoft Defender for Servers Azure の仮想マシン (VM)、他のクラウドホスティング環境の VM、オンプレミスのサーバーを Defender for Servers にオンボードします。 Microsoft Defender for Endpoint のネットワーク保護により、侵害インジケーター (IoC) と一致する特定のドメイン、ホスト名、IP アドレスとの通信からのホストレベルのプロセスがブロックされます。 - Defender for Servers のデプロイを計画する - ネットワークを保護する - インジケーターを作成する
`Target` 5.4.2 アプリケーションとデバイスのマイクロセグメント化 DoD 組織は、ソフトウェアによるネットワーク (SDN) ソリューションを利用して、次の ZT ターゲット機能を満たすインフラストラクチャを確立します: ユーザーとデバイスに対する論理ネットワークゾーン、ロール、属性、および条件付きベースのアクセス制御、ネットワークリソースの特権アクセス管理サービス、API アクセスでのポリシーベースの制御。結果: - ユーザーとデバイスにロール、属性、条件ベースのアクセス制御を割り当てる - Privileged Access Management サービスを提供する - ユーザーとデバイスの ID ごとにアクセスを制限する - 論理ネットワークゾーンを作成する	Microsoft Entra ID アプリケーションと Microsoft Entra ID を統合します。アプリロール、セキュリティグループ、アクセスパッケージを使用してアクセスを管理します。「ユーザー」の Microsoft ガイダンス 1.2 を参照してください。条件付きアクセスユーザー、ロール、グループ、デバイス、クライアントアプリ、ID リスク、アプリケーションリソースに基づいて、動的認可のための条件付きアクセスポリシーセットを設計します。認証コンテキストを使用し、ユーザーと環境の条件に基づいて、論理ネットワークゾーンを作成します。「ユーザー」の Microsoft ガイダンス 1.8.3 を参照してください。 Privileged Identity Manager 特権ロールと Microsoft Entra セキュリティグループへの Just-In-Time (JIT) アクセス用に PIM を構成します「ユーザー」の Microsoft ガイダンス 1.4.2 を参照してください。 Azure Virtual Machines と SQL データベースユーザーのサインインに Microsoft Entra の ID を使用するように、Azure Virtual Machines と SQL インスタンスを構成します。 - Azure で Windows にサインインする - Azure で Linuz VM にサインインする - Azure SQL での認証 Azure Bastion Bastion を使用し、Azure portal からプライベート IP アドレスで、またはネイティブ Secure Shell (SSH) か、リモートデスクトッププロトコル (RDP) を使用して、Azure VM に安全に接続します。 - Bastion Microsoft Defender for Server VM への Just-In-Time (JIT) アクセスを使用して、承認されていないネットワークアクセスから VM を保護します。 - VM で JIT アクセスを有効にする
`Advanced` 5.4.3 プロセスのマイクロセグメント化 DoD 組織は、既存のマイクロセグメント化と SDN 自動化インフラストラクチャを利用して、プロセスのマイクロセグメント化を実現します。ホストレベルのプロセスはセキュリティポリシーに基づいてセグメント化され、リアルタイムのアクセス決定を使用してアクセスが許可されます。結果: - セキュリティポリシーのためにホストレベルのプロセスをセグメント化する - リアルタイムのアクセス決定とポリシー変更をサポートする - 分析と自動化のためのログのオフロードをサポートする - セグメント化ポリシーの動的デプロイをサポートする	アクティビティ 5.4.2 を完了します。 Microsoft Defender for Endpoint Defender for Endpoint でネットワーク保護を有効にして、ホストレベルのプロセスとアプリケーションが悪意のあるネットワークドメイン、IP アドレス、侵害されたホスト名に接続するのを防ぎます。 Microsoft ガイダンス 4.5.1 を参照してください。継続的アクセス評価継続的アクセス評価 (CAE) を使用すると、Exchange Online、SharePoint Online、Microsoft Teams などのサービスで、Microsoft Entra ID 保護のアカウント無効化や高リスク検出などの Microsoft Entra イベントをサブスクライブできます。「ユーザー」の Microsoft ガイダンス 1.8.3 を参照してください。 Microsoft Sentinel コネクタを使って Microsoft Entra ID、ネットワークリソースからログを取得し、監査、脅威ハンティング、検出、対応のために Microsoft Sentinel に送信します。「ユーザー」の Microsoft ガイダンス 5.2.2 と 1.6.2 を参照してください。
`Target` 5.4.4 転送中のデータを保護するデータフローのマッピングと監視に基づいて、DoD 組織は転送中のデータの保護を要求するポリシーを有効にします。保護ポリシーには、合同情報共有、システム境界を越えた共有、アーキテクチャコンポーネントをまたぐ保護などの一般的なユースケースが含まれます。結果: - 合同情報共有の間に転送中のデータを保護する - システムの高い境界を越えて転送中のデータを保護する - アーキテクチャコンポーネント間で転送中データ保護を統合する	Microsoft 365 DoD コラボレーションに Microsoft 365 を使用します。 Microsoft 365 サービスは、保存データと転送中のデータを暗号化します。 - Microsoft 365 での暗号化 Microsoft Entra 外部 ID Microsoft 365 と Microsoft Entra ID は、他の DoD テナントのユーザーの簡単なオンボードとアクセス管理で、合同共有を強化します。 - B2B コラボレーション - ゲスト共有をセキュリティで保護するテナント間アクセスと Microsoft クラウド設定を構成して、ユーザーが外部組織と共同作業する方法を制御します。 - テナント間アクセス - Microsoft クラウド設定 Azure AD Identity Governance エンタイトルメント管理を使用して外部ユーザーアクセスのライフサイクルを管理します。 - エンタイトルメント管理を使用する外部アクセス Microsoft Defender for Cloud Defender for Cloud を使用して継続的に評価し、クラウドリソースにセキュリティ保護されたトランスポートプロトコルを適用します。 - クラウドセキュリティ態勢管理

次のステップ

DoD ゼロトラスト戦略用に Microsoft クラウドサービスを構成します。

DoD アクティビティの説明と結果	Microsoft ガイダンスと推奨事項
`Target` 5.2.1 SDN API の定義 DoD 企業は、各組織と連携して、ソフトウェア定義ネットワーク (SDN) 機能を有効にするために必要な API やその他のプログラムインターフェイスを定義します。これらの API により、認証決定ポイント、Application Delivery Control Proxy、および Segmentation Gateway の自動化が有効になります。結果: - SDN API は標準化され、実装されています - API は、AuthN 決定ポイント、App Delivery Control Proxy、および Segmentation Gateway で機能します	Azure Resource Manager Azure Resource Manager (ARM) API を使用して Azure ネットワークをデプロイして構成します。 Azure 管理ツール: Azure portal、Azure PowerShell、Azure コマンドラインインターフェイス (CLI)、テンプレートは、同じ ARM API を使用して要求を認証および認可します。 - Azure Resource Manager - Azure REST API リファレンス Azure ロールネットワークリソース管理用に組み込みの Azure ロールを割り当てます。最小特権の原則に従い、PIM を使用して Just-In-Time (JIT) でロールを割り当てます。 - Azure 組み込みロール
`Target` 5.2.2 SDN プログラミング可能なインフラストラクチャの実装 API 標準、要件、および SDN API の機能に従って、DoD 組織は自動化タスクを有効にするソフトウェア定義ネットワーク (SDN) インフラストラクチャを実装します。 Segmentation Gateway と認証決定ポイントは、監視とアラートのために標準化されたリポジトリ (SIEM、Log Analytics など) への出力ログと共に SDN インフラストラクチャに統合されます。結果: - 実装された Application Delivery Control Proxy - 確立された SIEM ログアクティビティ - 実装されたユーザーアクティビティモニタリング (UAM) - Authentication Decision Point との統合	Azure ネットワークリソース Azure Front Door (AFD)、Azure Application Gateway、または Azure Firewall を使用して、仮想ネットワーク (VNet) でホストされているアプリケーションへの外部アクセスをセキュリティで保護します。 AFD と Application Gateway には、Open Web Application Security Project (OWASP) のトップ 10 とボットに対する負荷分散とセキュリティ機能があります。カスタムルールを作成できます。 Azure Firewall には、レイヤー 4 で脅威インテリジェンスのフィルタリング機能があります。 - 既知の脅威に対するクラウドネイティブのフィルタリングと保護 - Networkng アーキテクチャデザイン Microsoft Sentinel Azure Firewall、Application Gateway、ADF、および Azure Bastion は、分析のためにログを Sentinel または他のセキュリティ情報およびイベント管理 (SIEM) システムにエクスポートします。 Sentinel または Azure Policy のコネクタを使用して、環境全体でこの要件を適用します。 - Sentinel を使用した Azure Firewall - Sentinel へのAzure Web App Firewall コネクタ - Sentinel データコネクタの検索 Microsoft Entra アプリケーションプロキシアプリケーションプロキシをデプロイし、オンプレミスネットワーク上でプライベートアプリケーションを公開、配信します。セキュリティで保護されたハイブリッドアクセス（SHA）パートナーソリューションを統合します。 - アプリケーションプロキシ - アプリケーションプロキシのデプロイ - SHA パートナーの統合 Microsoft Entra ID Protection Microsoft Entra ID Protection をデプロイし、条件付きアクセスにサインインリスクシグナルをもたらします。「ユーザー」の Microsoft guidance 1.3.3 を参照してください。 Microsoft Defender for Cloud アプリ Defender for Cloud アプリを使用して、危険な Web アプリケーションセッションを監視します。 - Defender for Cloud アプリ
`Target` 5.2.3 フローをコントロール、管理、データの各プレーンにセグメント化するネットワークインフラストラクチャとフローは、物理的または論理的にコントロール、管理、データの各プレーンにセグメント化されます。 IPv6/VLAN アプローチを使用した基本的なセグメント化は、データプレーン間のトラフィックをより適切に整理するために実装されています。更新されたインフラストラクチャからの分析と NetFlow は、Operations Center と分析ツールに自動的に供給されます。結果: - IPv6 のセグメント化 - 自動化された NetOps 情報レポートを有効にする - エンタープライズ全体の構成コントロールを実現する - SOAR と統合される	Azure Resource Manager Azure Resource Manager は、Azure アカウント内のリソースを作成、更新、削除するための管理レイヤーを備えたデプロイおよび管理サービスです。 - Azure コントロールプレーンとデータプレーン - マルチテナントコントロールプレーン - Azure 運用セキュリティ Microsoft Sentinel Azure ネットワークインフラストラクチャを Sentinel に接続します。 Azure 以外のネットワークソリューション用に Sentinel データコネクタを構成します。カスタム分析クエリを使用して Sentinel SOAR オートメーションをトリガーします。 - プレイブックを使用した脅威への対応 - Logic Apps を使用した Azure Firewall の検出と対応詳細については、5.2.2 の Microsoft ガイダンスを参照してください。
`Advanced` 5.2.4 ネットワーク資産の検出と最適化 DoD 組織は、リスクベースの体系的なアプローチに基づいてデバイスへのアクセスを制限する SDN インフラストラクチャを通してネットワーク資産の検出を自動化します。最適化は SDN 分析に基づいて行われ、全体的なパフォーマンスを向上させ、リソースへの必要な承認済みアクセスを提供します。成果: - テクノロジリフレッシュ/テクノロジの進化 - 最適化/パフォーマンス制御を提供する	Azure Monitor Azure Monitor ネットワークの分析情報を使用して、トポロジ、正常性、メトリックなどの、ネットワークリソースの包括的な視覚的表現を確認します。 5.1.1 の Microsoft ガイダンスを参照してください。 Microsoft Defender for Cloud Defender for Cloud は、Azure、その他のクラウド、およびオンプレミス内にプロビジョニングされたリソースのインベントリを検出して一覧表示します。 - マルチクラウド環境 - リソースセキュリティ態勢の管理 Microsoft Defender for Endpoint エンドポイントをオンボードし、アンマネージドデバイスを検出するためにネットワークを収集、プロープ、またはスキャンするようにデバイスの検出を構成します。 - デバイスの検出の概要
`Advanced` 5.2.5 リアルタイムのアクセス決定 SDN インフラストラクチャは、ユーザーアクティビティ監視、エンティティアクティビティ監視、エンタープライズセキュリティプロファイルなどのクロスピラーデータソースを利用して、リアルタイムでアクセス決定を行います。機械学習は、高度なネットワーク分析 (完全なパケットキャプチャなど) に基づく意思決定を支援するために使用されます。ポリシーは、統合アクセス標準を使用してエンタープライズ全体で一貫して実装されます。結果: - 分析エンジンを使用して SIEM ログを分析し、リアルタイムのポリシーアクセス決定を提供する - 分析用にキャプチャされたパケット、データ/ネットワークフロー、およびその他の特定のログを送信をサポートする - セグメントのエンドツーエンドのトランスポートネットワークフロー - 企業全体の一貫性を保つためのセキュリティポリシーの監査	アクティビティ 5.2.1 から 5.2.4 を完了します。 Microsoft Sentinel 分析のためにネットワークログを Sentinel に送信して脅威を検出します。脅威インテリジェンス、高度なマルチステージ攻撃検出、脅威ハンティング、組み込みのクエリなどの機能を使用します。 Sentinel の自動化により、オペレーターは悪意のある IP アドレスをブロックできます。 - 分析ルールによる脅威検出 - Sentinel 用の Azure Firewall コネクタ Azure Network Watcher Azure Network Watcher を使用して、仮想マシン (VM) および仮想マシンスケールセットとの間のネットワークトラフィックをキャプチャします。 - パケットキャプチャ Microsoft Defender for Cloud Defender for Cloud は、Microsoft Cloud Security Benchmark、DoD Impact Level 4 (IL4)、IL5、国立標準技術研究所 (NIST) 800-53 R4/R5 などのフレームワークで規定されているネットワークセキュリティ制御への準拠を評価します。 - セキュリティ制御: ネットワークセキュリティ条件付きアクセス条件付きアクセスの分析情報とレポートブックを使用して、組織の条件付きアクセスポリシーの効果を理解します。 - 分析情報とレポート

DoD アクティビティの説明と結果	Microsoft ガイダンスと推奨事項
`Target` 5.4.1 マイクロセグメント化を実装する DoD 組織はマイクロセグメント化インフラストラクチャを SDN 環境に実装して、サービスコンポーネント (Web、アプリ、DB など)、ポート、プロトコルの基本的なセグメント化を実現します。基本的な自動化は、API の意思決定を含むポリシーの変更に対して受け入れられます。仮想ホスティング環境では、ホストとコンテナーのレベルでマイクロセグメント化が実装されます。結果: - ポリシーの自動変更を受け入れる - API 決定ポイントを実装する - 仮想ホスティング環境に NGF、マイクロ FW、エンドポイントエージェントを実装する	アクティビティ 5.3.1 を完了します。 Azure Firewall Premium Azure ネットワークセグメント化戦略で、Azure Firewall Premium を NextGen Firewall (NGF) として使用します。 Microsoft ガイダンス 5.1.1 を参照してください。アプリケーションセキュリティグループネットワークセキュリティグループ (NSG) では、アプリケーションセキュリティグループを使用して、ネットワークセキュリティをアプリケーション構造の拡張機能として構成できます。アプリケーションセキュリティグループを使用して、同じアプリケーションの Azure リソースを関連付けることで、ネットワークセキュリティポリシーを単純化します。 - ネットワークレベルのセグメント化でワークロードの保護とガバナンス管理を行う - アプリケーションセキュリティグループ Azure Kubernetes Service Azure Policy の組み込み定義を使用して Azure Kubernetes Service (AKS) のアプリケーションに Azure Container Networking Interface (Azure CNI) を必須とします。ネットワークポリシーを使用して、AKS 内のコンテナーにコンテナーレベルのマイクロセグメント化を実装します。 - AKS のネットワークの概念 - Azure CNI オーバーレイネットワークを構成する - ネットワークポリシーを使用してポッド間のトラフィックの安全を確保する - AKS ポリシーリファレンス Microsoft Defender for Servers Azure の仮想マシン (VM)、他のクラウドホスティング環境の VM、オンプレミスのサーバーを Defender for Servers にオンボードします。 Microsoft Defender for Endpoint のネットワーク保護により、侵害インジケーター (IoC) と一致する特定のドメイン、ホスト名、IP アドレスとの通信からのホストレベルのプロセスがブロックされます。 - Defender for Servers のデプロイを計画する - ネットワークを保護する - インジケーターを作成する
`Target` 5.4.2 アプリケーションとデバイスのマイクロセグメント化 DoD 組織は、ソフトウェアによるネットワーク (SDN) ソリューションを利用して、次の ZT ターゲット機能を満たすインフラストラクチャを確立します: ユーザーとデバイスに対する論理ネットワークゾーン、ロール、属性、および条件付きベースのアクセス制御、ネットワークリソースの特権アクセス管理サービス、API アクセスでのポリシーベースの制御。結果: - ユーザーとデバイスにロール、属性、条件ベースのアクセス制御を割り当てる - Privileged Access Management サービスを提供する - ユーザーとデバイスの ID ごとにアクセスを制限する - 論理ネットワークゾーンを作成する	Microsoft Entra ID アプリケーションと Microsoft Entra ID を統合します。アプリロール、セキュリティグループ、アクセスパッケージを使用してアクセスを管理します。「ユーザー」の Microsoft ガイダンス 1.2 を参照してください。条件付きアクセスユーザー、ロール、グループ、デバイス、クライアントアプリ、ID リスク、アプリケーションリソースに基づいて、動的認可のための条件付きアクセスポリシーセットを設計します。認証コンテキストを使用し、ユーザーと環境の条件に基づいて、論理ネットワークゾーンを作成します。「ユーザー」の Microsoft ガイダンス 1.8.3 を参照してください。 Privileged Identity Manager 特権ロールと Microsoft Entra セキュリティグループへの Just-In-Time (JIT) アクセス用に PIM を構成します「ユーザー」の Microsoft ガイダンス 1.4.2 を参照してください。 Azure Virtual Machines と SQL データベースユーザーのサインインに Microsoft Entra の ID を使用するように、Azure Virtual Machines と SQL インスタンスを構成します。 - Azure で Windows にサインインする - Azure で Linuz VM にサインインする - Azure SQL での認証 Azure Bastion Bastion を使用し、Azure portal からプライベート IP アドレスで、またはネイティブ Secure Shell (SSH) か、リモートデスクトッププロトコル (RDP) を使用して、Azure VM に安全に接続します。 - Bastion Microsoft Defender for Server VM への Just-In-Time (JIT) アクセスを使用して、承認されていないネットワークアクセスから VM を保護します。 - VM で JIT アクセスを有効にする
`Advanced` 5.4.3 プロセスのマイクロセグメント化 DoD 組織は、既存のマイクロセグメント化と SDN 自動化インフラストラクチャを利用して、プロセスのマイクロセグメント化を実現します。ホストレベルのプロセスはセキュリティポリシーに基づいてセグメント化され、リアルタイムのアクセス決定を使用してアクセスが許可されます。結果: - セキュリティポリシーのためにホストレベルのプロセスをセグメント化する - リアルタイムのアクセス決定とポリシー変更をサポートする - 分析と自動化のためのログのオフロードをサポートする - セグメント化ポリシーの動的デプロイをサポートする	アクティビティ 5.4.2 を完了します。 Microsoft Defender for Endpoint Defender for Endpoint でネットワーク保護を有効にして、ホストレベルのプロセスとアプリケーションが悪意のあるネットワークドメイン、IP アドレス、侵害されたホスト名に接続するのを防ぎます。 Microsoft ガイダンス 4.5.1 を参照してください。継続的アクセス評価継続的アクセス評価 (CAE) を使用すると、Exchange Online、SharePoint Online、Microsoft Teams などのサービスで、Microsoft Entra ID 保護のアカウント無効化や高リスク検出などの Microsoft Entra イベントをサブスクライブできます。「ユーザー」の Microsoft ガイダンス 1.8.3 を参照してください。 Microsoft Sentinel コネクタを使って Microsoft Entra ID、ネットワークリソースからログを取得し、監査、脅威ハンティング、検出、対応のために Microsoft Sentinel に送信します。「ユーザー」の Microsoft ガイダンス 5.2.2 と 1.6.2 を参照してください。
`Target` 5.4.4 転送中のデータを保護するデータフローのマッピングと監視に基づいて、DoD 組織は転送中のデータの保護を要求するポリシーを有効にします。保護ポリシーには、合同情報共有、システム境界を越えた共有、アーキテクチャコンポーネントをまたぐ保護などの一般的なユースケースが含まれます。結果: - 合同情報共有の間に転送中のデータを保護する - システムの高い境界を越えて転送中のデータを保護する - アーキテクチャコンポーネント間で転送中データ保護を統合する	Microsoft 365 DoD コラボレーションに Microsoft 365 を使用します。 Microsoft 365 サービスは、保存データと転送中のデータを暗号化します。 - Microsoft 365 での暗号化 Microsoft Entra 外部 ID Microsoft 365 と Microsoft Entra ID は、他の DoD テナントのユーザーの簡単なオンボードとアクセス管理で、合同共有を強化します。 - B2B コラボレーション - ゲスト共有をセキュリティで保護するテナント間アクセスと Microsoft クラウド設定を構成して、ユーザーが外部組織と共同作業する方法を制御します。 - テナント間アクセス - Microsoft クラウド設定 Azure AD Identity Governance エンタイトルメント管理を使用して外部ユーザーアクセスのライフサイクルを管理します。 - エンタイトルメント管理を使用する外部アクセス Microsoft Defender for Cloud Defender for Cloud を使用して継続的に評価し、クラウドリソースにセキュリティ保護されたトランスポートプロトコルを適用します。 - クラウドセキュリティ態勢管理

次の方法で共有

ネットワークの柱のための DoD ゼロ トラスト戦略

5 ネットワーク

5.1 データ フローのマッピング

5.2 ソフトウェアによるネットワーク

5.3 マイクロセグメント化

5.4 マイクロ セグメント化

次のステップ

フィードバック

その他のリソース

ネットワークの柱のための DoD ゼロトラスト戦略

5.1 データフローのマッピング

5.4 マイクロセグメント化