Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In deze sectie vindt u richtlijnen en aanbevelingen van Microsoft voor het CISA Zero Trust Maturity Model in de netwerkenpijler. Zie Veilige netwerken met Zero Trustvoor meer informatie.
3 netwerken
De Cybersecurity & Infrastructure Security Agency (CISA) identificeert een netwerk als een open communicatiemedium, waaronder typische kanalen. Voorbeelden zijn interne netwerken van het agentschap, draadloze netwerken en internet. Daarnaast citeert de definitie potentiële kanalen zoals mobiel en
Gebruik de volgende koppelingen om naar secties van de handleiding te gaan.
3.1 Functie: Netwerksegmentatie
| beschrijving van CISA ZTMM-fasebeschrijving | richtlijnen en aanbevelingen van Microsoft |
|---|---|
|
Begintijdstatus Agentschap begint de netwerkarchitectuur te implementeren met de isolatie van kritieke workloads, het beperken van de connectiviteit met de beginselen van de minste functie en de overgang naar servicespecifieke verbindingen. |
Azure Front Door, Azure Firewall, Azure Virtual Network, Azure Kubernetes Service Architectuurrichtlijnen gebruiken om bedrijfskritieke workloads te ontwerpen met strikte netwerkcontroles die workloads isoleren, connectiviteit beperken en een overgang naar servicespecifieke verbindingen mogelijk maken. - Veilige netwerken met Zero Trust - Bedrijfskritieke basislijnarchitectuur in Azure - Bedrijfskritieke basislijnarchitectuur met netwerkcontroles - Netwerken voor bedrijfskritieke workloads |
|
Advanced Maturity Status Agency breidt de implementatie van isolatiemechanismen voor eindpunt- en toepassingsprofielen uit naar meer van hun netwerkarchitectuur met micro-perimeters voor inkomend/uitgaand verkeer en servicespecifieke verbindingen. |
Azure Firewall Premium Gebruik Azure Virtual Network en Azure Firewall Premium met netwerktoepassingsniveau filtering om het in- en uitgaande verkeer tussen cloudresources, on-premises resources en het internet te beheren. - Segmentatiestrategie - Azure Firewall-beleidsregelsets - multi-hub-and-spoke-topologie - Firewall Premium-functies - Workloads beveiligen en beheren Azure Private Link Azure Private Link toegang heeft tot Azure Platform as a Service (PaaS), via een privé-eindpunt, in een virtueel netwerk. Gebruik privé-eindpunten om Azure-resources in virtuele netwerken te beveiligen. Verkeer van een virtueel netwerk naar Azure blijft in het Backbone-netwerk van Azure. Als u Azure PaaS-services wilt gebruiken, maakt u geen virtueel netwerk beschikbaar op het openbare internet. - PaaS-Servicegrens - best practices voor netwerkbeveiliging Netwerkbeveiligingsgroepen Een NSG is een mechanisme voor toegangsbeheer om verkeer tussen resources in een virtueel netwerk te beheren, als een laag-4 firewall. Een netwerkbeveiligingsgroep beheert verkeer met externe netwerken, zoals internet, andere virtuele netwerken, enzovoort. NSG-overzicht Toepassingsbeveiligingsgroepen Het ASG-beheermechanisme is vergelijkbaar met een NSG, maar waarnaar wordt verwezen met een toepassingscontext. Gebruik ASG's om VM's te groeperen met een toepassingstag. Verkeersregels definiëren die zijn toegepast op de onderliggende VM's. OVERZICHT van ASG- |
|
Optimale volwassenheidsstatus Agency-netwerkarchitectuur bestaat uit volledig gedistribueerde micro-perimeters voor inkomend/uitgaand verkeer en uitgebreide microsegmentatie op basis van toepassingsprofielen met dynamische Just-In-Time- en Just-Enough-connectiviteit voor servicespecifieke verbindingen. |
Microsoft Defender for Cloudjust-in-time toegang tot virtuele machines verlenen cyberbeveiligingspreventietechnieken en -doelen verminderen de aanvalsoppervlakken. Schakel minder open poorten in, met name beheerpoorten. Uw legitieme gebruikers gebruiken deze poorten, dus het is niet praktisch om ze te sluiten. Gebruik Microsoft Defender voor Cloud JIT om binnenkomend verkeer naar VM's te vergrendelen. Deze actie vermindert de blootstelling aan aanvallen terwijl de toegang wordt gehandhaafd om verbinding te maken met VM's. Just-In-Time (JIT)-toegang tot virtuele machines Azure Bastion Het beheerde Platform as a Service (PaaS) van Azure Bastion gebruiken om veilig verbinding te maken met VM's via een TLS-verbinding. Maak de connectiviteit vanuit Azure Portal of via een systeemeigen client tot stand met het privé-IP-adres op de virtuele machine. - Azure Bastion - JIT-toegang inschakelen op VM's |
3.2 Functie: Netwerkverkeersbeheer
| beschrijving van CISA ZTMM-fasebeschrijving | richtlijnen en aanbevelingen van Microsoft |
|---|---|
|
eerste vervaldatum Agentschap stelt toepassingsprofielen vast met verschillende functies voor verkeersbeheer en begint alle toepassingen toe te wijzen aan deze profielen. Agency breidt de toepassing van statische regels uit naar alle toepassingen en voert periodieke handmatige controles uit van toepassingsprofielevaluaties. |
Azure Policy Azure Policy gebruiken om netwerkstandaarden af te dwingen, zoals verkeer geforceerde tunneling naar Azure Firewall of andere netwerkapparaten. Openbare IP-adressen verbieden of veilig gebruik van versleutelingsprotocollen afdwingen. Definities van Azure-netwerkservices Azure Application Gateway Gebruik van Application Gateway vereisen voor web-apps die zijn geïmplementeerd in Azure. - Application Gateway-overzicht - Application Gateway-integratie Azure-servicetags Servicetags gebruiken voor Virtuele Azure-machines en Azure Virtual Networks om de netwerktoegang tot Azure-services te beperken. Azure onderhoudt IP-adressen die aan elke tag zijn gekoppeld. servicetags Azure Firewall Manager Schakel deze beveiligingsbeheerservice in voor gecentraliseerd beleid en routebeheer voor cloudbeveiligingsperimeter: firewall, gedistribueerde denial of service (DDoS) en Web Application Firewall. Gebruik IP-groepen om IP-adressen voor Azure Firewall-regels te beheren. - Firewall Manager - IP-groepen (Internet Protocol) in Azure Firewall Toepassingsbeveiligingsgroepen ASG's gebruiken om netwerkbeveiliging te configureren als uitbreiding van de toepassingsstructuur. Virtuele machines (VM's) groeperen en netwerkbeveiligingsbeleid definiëren op basis van de groepen. ASG's en netwerkbeveiligingsgroepen Azure DDoS Protection Beperk resources met een openbaar IP-adres. Implementeer DDoS-beveiliging (Distributed Denial of Service) voor Azure-resources met een openbaar IP-adres. - DDoS Protection - Applicatie (Laag 7) DDoS-bescherming |
|
Advanced Maturity Status Agency implementeert dynamische netwerkregels en configuraties voor resourceoptimalisatie die periodiek worden aangepast op basis van geautomatiseerde risicobewuste en risicogevoelige toepassingsprofielevaluaties en -bewaking. |
Azure Monitor Deze service bewaakt continu netwerk- en toepassingen en biedt inzichten en waarschuwingen op basis van metrische gegevens over prestaties en beveiliging. Netwerkregels dynamisch aanpassen om het resourcegebruik en de beveiliging te optimaliseren. Overzicht van Azure Monitor |
|
Optimale volwassenheidsstatus Agency implementeert dynamische netwerkregels en -configuraties die continu veranderen om te voldoen aan de behoeften van het toepassingsprofiel en toepassingen opnieuw te herpriritiseren op basis van bedrijfskritiek, risico's, enzovoort. |
Microsoft Entra Internet Access, Private Access Beleid voor voorwaardelijke toegang configureren om verkeersprofielen te beveiligen. Definieer een acceptabel aanmeldingsrisico. - globale beveiligde toegang - universele voorwaardelijke toegang Azure Virtual Network Manager dynamische netwerkgroepslidmaatschappen definiëren en beheren met behulp van voorwaardelijke azure Policy-instructies. Netwerkgroepen omvatten of sluiten virtuele netwerken uit op basis van specifieke voorwaarden. - Virtual Network Manager - dynamisch netwerkgroepslidmaatschap Azure Firewall-, biedt Microsoft Sentinel Azure Firewall- en Sentinel-integratie continue bewaking, AI-gestuurde bedreigingsdetectie, geautomatiseerde reacties en beveiligingsupdates op basis van risico's. Sentinel-playbooks reageren dynamisch op geïdentificeerde bedreigingen en passen netwerkconfiguraties aan om bedrijfskritieke toepassingen te beveiligen. Azure Firewall met Sentinel Netwerkbeveiligingsgroepen NSG's beveiligingsregels hebben waarmee netwerkverkeer naar en van Azure-resources wordt gefilterd. Schakel dynamische regelupdates in om verkeer toe te staan of te weigeren op basis van netwerkvoorwaarden en beveiligingsvereisten. NSG-overzicht Azure Virtual Network Manager Deze beheerservice vereenvoudigt het groeperen, configureren, implementeren en beheren van virtuele netwerken (VNet) tussen abonnementen en tenants. Definieer netwerkgroepen om uw VNets te segmenteren. Connectiviteits- en beveiligingsconfiguraties voor geselecteerde VNets in deze groepen tot stand brengen en toepassen. Virtual Network Manager- |
3.3 Functie: Verkeersversleuteling
| beschrijving van CISA ZTMM-fasebeschrijving | richtlijnen en aanbevelingen van Microsoft |
|---|---|
|
begintijdsstatus Agentschap begint met het versleutelen van al het verkeer naar interne toepassingen, om de voorkeur te geven aan versleuteling voor verkeer naar externe toepassingen, om sleutelbeheerbeleid te formaliseren en om versleutelingssleutels voor server/service te beveiligen. |
Microsoft Cloud Services Voor klantgegevens die onderweg zijn, maakt Microsoft Cloud Services gebruik van beveiligde transportprotocollen, zoals IPSec (Internet Protocol Security) en Transport Layer Security (TLS), tussen Microsoft-datacenters, ook tussen gebruikersapparaten en Microsoft-datacenters. Versleuteling in de Microsoft-cloud Microsoft Entra-toepassingsproxy Om interne apps via versleutelde kanalen te publiceren, implementeert u connectoren voor de toepassingsproxy. on-premises apps publiceren |
|
Advanced Maturity Status Agency zorgt ervoor dat versleuteling wordt toegepast op alle toepasselijke interne en externe netwerkprotocollen. Beheert de uitgifte en rotatie van sleutels en certificaten en begint met het opnemen van best practices voor cryptografische flexibiliteit. |
Azure Key Vault Deze cloudservice helpt bij het beveiligen van cryptografische sleutels en geheimen die worden gebruikt door cloudtoepassingen en -services. Veilige opslag, toegangsbeheer en controle zorgen ervoor dat gevoelige informatie efficiënt wordt beveiligd en beheerd. Centraliseer sleutelbeheer om de naleving van beveiligingsstandaarden te vereenvoudigen. Verbeter het algehele beveiligingspostuur voor apps. Azure Key Vault- |
|
Optimale volwassenheidsstatus Het agentschap blijft verkeersgegevens versleutelen, principes van minste machtige afdwingen voor veilig sleutelbeheer in de hele onderneming, en past de beste praktijken voor cryptografische wendbaarheid zo veel mogelijk toe. |
Sleutelbeheer in Azure De Azure-sleutelbeheerservices slaan en beheren cryptografische sleutels veilig op in de cloud, waaronder Azure Key Vault, Azure Managed Hardware Security Model (HSM) en Azure Dedicated HSM. Selecteer een van de door het platform beheerde sleutels en door de klant beheerde sleutels. Ondersteuning voor flexibel compliance- en overheadbeheer. Centraliseer sleutelbeheer. Azure verbetert de beveiliging, vereenvoudigt toegangsbeheer, ondersteunt toepassingen en beschermt gevoelige gegevens. Sleutelbeheer Azure Key Vault Minimale bevoegdheden afdwingen via op rollen gebaseerd toegangsbeheer (RBAC). Specifieke machtigingen toewijzen aan gebruikers en toepassingen op basis van rollen. Gedetailleerd toegangsbeheer inschakelen. Machtigingen instellen voor sleutels, geheimen en certificaten. Zorg ervoor dat alleen geautoriseerde entiteiten toegang hebben tot gevoelige informatie. - best practices voor Azure Key Vault - Machtigingen verlenen aan apps voor toegang tot Azure Key Vault Microsoft Entra Privileged Identity Management Azure Key Vault integreren met PIM voor Just-In-Time-toegang (JIT). Tijdelijke machtigingen verlenen wanneer dat nodig is. - PIM-overzicht - PIM voor groepen |
3.4 Functie: Netwerktolerantie
| beschrijving van CISA ZTMM-fasebeschrijving | richtlijnen en aanbevelingen van Microsoft |
|---|---|
|
begintijdstatus Agentschap begint met het configureren van netwerkmogelijkheden voor het beheren van beschikbaarheidsvereisten voor aanvullende toepassingen en het uitbreiden van tolerantiemechanismen voor workloads die niet bedrijfskritiek worden geacht. |
Azure Virtuele Netwerken Gebruik Azure om beschikbaarheidseisen te beheren met zijn wereldwijde netwerk van datacenters en diensten. - Azure Virtual Network - Azure-betrouwbaarheidsoverzicht Beschikbaarheidszones Om ervoor te zorgen dat apps beschikbaar zijn, zelfs als één zone een storing heeft, gebruikt u beschikbaarheidszones voor foutisolatie in een regio. Azure-beschikbaarheidszones Azure ExpressRoute ExpressRoute is een hybride connectiviteitsservice die wordt gebruikt voor privéconnectiviteit met lage latentie, tolerantie en hoge doorvoer tussen een on-premises netwerk en Azure-workloads. ExpressRoute voor tolerantie |
|
Advanced Maturity Status Agency heeft netwerkmogelijkheden geconfigureerd om de beschikbaarheidsvereisten en tolerantiemechanismen voor het merendeel van hun toepassingen dynamisch te beheren. |
Azure Traffic Manager Verkeer dynamisch verdelen over regio's en datacenters. Optimale prestaties en hoge beschikbaarheid garanderen; aanpassen aan veranderende patronen van gebruikersaanvragen. - Traffic Manager - betrouwbaarheid in Traffic Manager Azure Front Door Wereldwijde connectiviteit en beveiliging verbeteren met dynamische HTTP/S-taakverdeling en Web Application Firewall-services. De service routeert verkeer en past zich aan realtime eisen of bedreigingen aan. Azure Front Door Zonebewuste ExpressRoute-gateways voor virtuele Netwerken Zone-redundante gateways dynamisch netwerkverkeer verdelen over beschikbaarheidszones. Behoud naadloze connectiviteit als één zone een storing heeft. zone-redundante VNet-gateways in beschikbaarheidszones |
|
Optimale volwassenheidsstatus Agentschap integreert holistische levering en bewustzijn bij het aanpassen aan veranderingen in beschikbaarheidseisen voor alle workloads en biedt evenredige veerkracht. |
Azure Load Balancer Azure Load Balancer-statustests configureren om inzicht te krijgen in de status van het toepassingsexemplaren. Probes detecteren toepassingsfouten, regelen de belasting en passen zich aan veranderingen in beschikbaarheidsvereisten aan. - Load Balancer-gezondheidstests - Gezondheidstests beheren Azure Application Gateway Dynamisch de vraag naar beschikbaarheid en de mechanismen voor veerkracht beheren door verkeer over meerdere back-endpools en beschikbaarheidszones te distribueren. Hoge beschikbaarheid en fouttolerantie garanderen, verkeer automatisch omleiden tijdens zonefouten. - Azure Application Gateway v2 - goed ontworpen perspectief Azure Firewall Automatisch schalen verbeteren door resources automatisch aan te passen aan de vraag naar verkeer. Zorg voor beveiliging en prestaties onder hoge belastingen. Gebruik de mogelijkheden voor bedreigingsbeveiliging en URL-filtering dynamisch, op basis van doorvoer en CPU-gebruik. - Premium-functies - Veelgestelde vragen - Azure Firewall-prestaties Azure ExpressRoute Bidirectional Forwarding Detection (BFD) configureren om ExpressRoute-failover te verbeteren. Gebruik snelle detectie van verbindingsfouten en maak het mogelijk om bijna direct over te schakelen naar back-upverbindingen. Minimaliseer downtime, behoud hoge beschikbaarheid, terwijl het netwerk toleranter en betrouwbaarder wordt. BFD- configureren |
3.5 Functie: Zichtbaarheid en analyse
| beschrijving van CISA ZTMM-fasebeschrijving | richtlijnen en aanbevelingen van Microsoft |
|---|---|
|
eerste volwassenheidsstatus Agentschap maakt gebruik van netwerkbewakingsmogelijkheden op basis van bekende indicatoren van inbreuk (inclusief netwerkinventarisatie) om situatiebewustheid in elke omgeving te ontwikkelen en begint telemetrie te correleren tussen verkeerstypen en omgevingen voor analyse- en opsporingsactiviteiten voor bedreigingen. |
Azure Monitor Azure Network Watcher en Azure Monitor Network Insights gebruiken voor een uitgebreide en visuele netwerkweergave. Schakel stroomlogboeken van het virtuele netwerk (VNet) in om IP-verkeer te registreren. Gebruik Verbindingsmonitor om de betrouwbaarheid van belangrijke stromen bij te houden. Koppel waarschuwingen aan de stromen, zodat de juiste groepen op de hoogte worden gesteld van onderbrekingen. - Network Watcher - Network Insights - VNet-stroomlogboeken - Verbindingsmonitor Traffic Analytics Gebruik de oplossing Traffic Analytics voor inzicht in gebruikers- en toepassingsactiviteiten in cloudnetwerken. Traffic Analytics onderzoekt Azure Network Watcher-stroomlogboeken om inzicht te krijgen in de stroom in een Azure-cloud. Verkeersanalyse |
|
Advanced Maturity Status Agency implementeert anomaliegebaseerde netwerkdetectiemogelijkheden om situatiebewustheid in alle omgevingen te ontwikkelen, begint telemetrie uit meerdere bronnen voor analyse te correleren en bevat geautomatiseerde processen voor robuuste opsporingsactiviteiten voor bedreigingen. |
Microsoft Sentinel Azure Firewall, Application Gateway, Data Factory en Bastion exporteert logboeken naar Sentinel of andere SIEM-systemen (Security Information and Event Management). Als u omgevingsbrede vereisten wilt afdwingen, gebruikt u connectors in Sentinel of Azure Policy. - Azure Firewall met Sentinel - Web Application Firewall met Sentinel - Zoek naar Sentinel-gegevensconnectors Globale Secure Access Zoek in Globale Secure Access-logboeken naar details over netwerkverkeer. Als u de details wilt begrijpen en analyseren bij het bewaken van uw omgeving, bekijkt u de drie niveaus van logboeken en de bijbehorende correlaties. - logboeken en bewaking - netwerkverkeerslogboeken - Verrijkte Microsoft 365-logboeken - externe netwerkstatuslogboeken |
|
Optimale volwassenheidsstatus Agentschap houdt inzicht in de communicatie tussen alle organisatienetwerken en omgevingen, terwijl het mogelijk is om bedrijfsbrede situatiebewustzijn en geavanceerde bewakingsmogelijkheden te bieden waarmee telemetriecorrelatie in alle detectiebronnen wordt geautomatiseerd. |
Zero Trust-beveiligingsarchitecturen bewaken met Microsoft Sentinel De Zero Trust-oplossing (TIC 3.0) maakt zichtbaarheid en situatiebewustheid mogelijk voor controlevereisten, van Microsoft-technologieën, in voornamelijk cloudomgevingen. De klantervaring verschilt per gebruiker. Voor sommige gebruikersinterfaces is mogelijk configuratie- en querywijziging vereist. Zero Trust-beveiligingsarchitecturen (TIC 3.0) bewaken |
3.6 Automatisering en orkestratie
| beschrijving van CISA ZTMM-fasebeschrijving | richtlijnen en aanbevelingen van Microsoft |
|---|---|
|
begintijdstatus Agentschap begint met het gebruik van geautomatiseerde methoden voor het beheren van de configuratie- en resourcelevenscyclus voor sommige agentschapnetwerken of omgevingen en zorgt ervoor dat alle resources een gedefinieerde levensduur hebben op basis van beleid en telemetrie. |
Azure Virtual Network Manager Centraliseer connectiviteits- en beveiligingsconfiguraties voor virtuele netwerken in abonnementen. Virtual Network Manager Azure Policy Netwerkstandaarden afdwingen, zoals verkeer geforceerde tunneling naar Azure Firewall of andere netwerkapparaten. Openbare IP-adressen verbieden of versleutelingsprotocollen afdwingen. Azure-netwerkservicedefinities Azure Firewall Manager Deze service is bedoeld voor gecentraliseerd beveiligingsbeleid en cloudgebaseerde beheer van perimeterroutering. Het beheert beleidsregels voor Azure Firewall, Azure DDoS Protection en Azure Web Application Firewall. - Overzicht van Azure Firewall Manager - Policy Netwerkprestatiemeter Azure-oplossingen bewaken, analyseren, waarschuwen en visualiseren van netwerkconnectiviteit. Als u automatische schaal- of failoveracties wilt activeren, gebruikt u Azure Monitor-waarschuwingen. Netwerkbewaking Azure DevOps Gebruik deze service om CI/CD-pijplijnen (continue integratie en continue levering) in te stellen voor netwerkconfiguraties. DevOps-procedures overbruggen de kloof tussen conventioneel infrastructuurbeheer en een moderne, flexibele benadering om ervoor te zorgen dat netwerkomgevingen voldoen aan de vereisten. Azure DevOps Azure Blueprints Herhaalbare Azure-resources definiëren die voldoen aan uw standaarden, patronen en vereisten. Bouw en start nieuwe omgevingen en zorg voor naleving. Azure Blueprints Microsoft Sentinel Insecure Protocol Workbook Gebruik het Insecure Protocol Workbook voor inzichten in onveilig protocolverkeer. Het verzamelt en analyseert beveiligingsevenementen van Microsoft-producten. Bekijk analyses en identificeer bronnen van verouderd protocolverkeer, zoals NT LAN Manager (NTLM) Server Message Block versie 1 (SMBv1), WDigest, zwakke coderingen en verouderde verificatie met Active Directory. Insecure Protocol Workbook Microsoft Sentinel Azure-netwerkinfrastructuur verbinden met Sentinel. Sentinel-gegevensconnectors configureren voor niet-Azure-netwerkoplossingen. Gebruik aangepaste analysequery's om SOAR-automatisering (Sentinel Security Orchestration, Automation and Response) te activeren. - Bedreigingsreactie met playbooks - Detectie en reactie met Logic Apps Global Secure Access De netwerktoegangs-API's maken een framework voor het configureren van doorsturen of filteren van verkeer en bijbehorende regels. Beveiligde toegang met Graph-netwerktoegangs-API's |
|
Advanced Maturity Status Het agentschap maakt gebruik van geautomatiseerde methoden voor wijzigingsbeheer (bijvoorbeeld CI/CD) om de configuratie- en resourcelevenscyclus voor alle organisatienetwerken en -omgevingen te beheren, dat reageert op en handhaaft beleid en bescherming tegen waargenomen risico's. |
Azure DevOps Om wijzigingen in de netwerkconfiguratie en resourcebeheer te automatiseren, implementeert u CI/CD-pijplijnen (continue integratie en continue levering). Azure DevOps Azure Automation Netwerkconfiguratie- en levenscyclustaken beheren, zoals updates en nalevingshandhaving. Azure Automation Microsoft Sentinel Sentinel inschakelen om netwerkomgevingen te bewaken en beleidsregels af te dwingen. De geautomatiseerde antwoorden zijn gericht op waargenomen risico's. Geavanceerde bewaking Azure Policy Het afdwingen van naleving en beleidstoepassing voor netwerkresources automatiseren. Azure Policy- |
|
Optimale volwassenheidsstatus Agency-netwerken en -omgevingen worden gedefinieerd met infrastructuur als code die wordt beheerd door geautomatiseerde methoden voor wijzigingsbeheer, waaronder geautomatiseerde start- en vervaldatum om te voldoen aan veranderende behoeften. |
Azure Resource Manager ARM-sjablonen gebruiken om netwerkinfrastructuur als code te definiëren en te beheren. Automatische inrichting en updates inschakelen. ARM-overzicht Terraform in Azure Om processen te automatiseren voor het maken, beheren en schalen van netwerkbronnen, implementeert u Terraform voor infrastructuur als code. Terraform en Azure Azure DevOps Pijplijnen voor continue integratie en continue levering (CI/CD) gebruiken om wijzigingen en levenscyclusbeheer te automatiseren. Zorg voor afstemming met dynamische netwerkvereisten. Advanced CD/IC Microsoft Sentinel Netwerkbeveiligingsbewerkingen organiseren en automatiseren. Sentinel kan worden geïntegreerd met procedures voor "infrastructuur als code" voor uitgebreid beheer. Automatisering met Sentinel Azure Automatisering Gebruik functies voor levenscyclusbeheer, waaronder automatische initiatie en verval van netwerkbronnen. Geavanceerde automatisering |
3.7. Functie: Governance
| beschrijving van CISA ZTMM-fasebeschrijving | richtlijnen en aanbevelingen van Microsoft |
|---|---|
|
Initiële volwassenheidsstatus Het agentschap definieert en begint met het implementeren van beleid dat is afgestemd op afzonderlijke netwerksegmenten en -middelen, terwijl ook bedrijfsbrede regels worden overgenomen, indien van toepassing. |
Azure Network Security Netwerkbeveiligingsbeleid definiëren en implementeren voor segmenten en resources. Azure-netwerkbeveiliging Azure Firewall Premium Uitgaand en binnenkomend verkeer routeren via Azure Firewall. Implementeer zijn beleid voor netwerksegmenten en middelen. - Firewall Premium-functies - binnenkomende en uitgaande internetverbinding - Azure Firewall configureren in Azure Portal - Azure Policy om Azure Firewall-implementaties te beveiligen - Azure Firewall-beleidsregelsets Microsoft Sentinel Netwerkbeleid bewaken en afdwingen, en zorg ervoor dat ze zijn afgestemd op regels voor het hele bedrijf. Sentinel Microsoft Defender for Cloud Begin met governance en beveiliging voor netwerkresources en -segmenten. Defender for Cloud- |
|
Advanced Maturity Status Agentschap omvat automatisering bij het implementeren van aangepast beleid en vergemakkelijkt de overgang van perimetergerichte beveiliging. |
Azure Firewall Het afdwingen van netwerkbeleid automatiseren en overstappen van een perimetergebaseerde mindset naar genuanceerde beveiligingsmaatregelen. - Azure Firewall - Azure Firewall met Sentinel netwerkbeveiligingsgroepen NSG's gebruiken om het beheer van netwerkverkeer te automatiseren en beleid dynamisch af te dwingen. Azure NSG's Sentinel De automatisering van beleidsafdwinging verbeteren en de overgang van traditionele naar dynamische beveiligingsmodellen bewaken. Geavanceerde bewaking |
|
Optimale volwassenheidsstatus Agentschap implementeert netwerkbeleid voor het hele bedrijf dat aangepaste, lokale controles mogelijk maakt; dynamische updates; en beveilig externe verbindingen op basis van toepassings- en gebruikerswerkstromen. |
Azure Policy netwerkbeleid voor het hele bedrijf implementeren en beheren met dynamische updates en lokale besturingselementen. Azure Policy Azure Virtual WAN Veilige, dynamische externe verbindingen vergemakkelijken en netwerkprestaties optimaliseren op basis van toepassings- en gebruikersbehoeften. Azure Virtual Wide Area Network (WAN) Sentinel Sentinel gebruiken voor end-to-end automatisering en netwerkbeleidsintegratie, met beveiligde externe verbindingen. Automation met Sentinel Microsoft Defender voor Cloud Uitgebreide netwerkgovernance realiseren met geautomatiseerde, dynamische updates en robuuste netwerkresourcebeveiliging. Geavanceerde netwerkbeveiliging Azure FirewallFirewall Manager netwerkbeleid voor het hele bedrijf bouwen. Aanpasbare netwerk- en toepassingsregels gebruiken voor segmenten en resources; zorg voor de benodigde netwerkbeveiliging. Met Azure Firewall Manager worden beleidsregels centraal beheerd en van toepassing op meerdere exemplaren. IT-personeel stelt kernbeleid vast, terwijl DevOps-medewerkers gelokaliseerde besturingselementen toevoegt. - centraal beheer van Azure Firewall - Azure Firewall-beleidsregelsets |
Volgende stappen
Configureer Microsoft Cloud Services voor het CISA Zero Trust Maturity Model.