Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
Ta sekcja zawiera wskazówki i zalecenia dotyczące modelu CISA Zero Trust Maturity Model w filarze sieci. Aby uzyskać więcej informacji, zobacz Secure networks with Zero Trust.
3 Sieci
Cyberbezpieczeństwo & Infrastructure Security Agency (CISA) identyfikuje sieć jako otwarty nośnik komunikacyjny, w tym typowe kanały. Przykłady obejmują sieci wewnętrzne agencji, sieci bezprzewodowe i Internet. Ponadto definicja przytacza potencjalne kanały, takie jak sieć komórkowa i
Skorzystaj z poniższych linków, aby przejść do sekcji przewodnika.
3.1 Funkcja: segmentacja sieci
| Opis Etapu CISA ZTMM | wskazówki i zalecenia firmy Microsoft |
|---|---|
|
Początkowy stan dojrzałości Agencja rozpoczyna wdrażanie architektury sieci z izolacją krytycznych obciążeń, zgodnie z zasadą minimalizacji funkcji, oraz przejściem do połączeń specyficznych dla poszczególnych usług. |
Azure Front Door, Azure Firewall, Azure Virtual Network, Azure Kubernetes Service Skorzystaj ze wskazówek dotyczących architektury, aby zaprojektować obciążenia o znaczeniu krytycznym z rygorystycznymi mechanizmami kontroli sieci, które izolują obciążenia, ograniczają łączność i umożliwiają przejście do połączeń specyficznych dla usługi. - Zabezpiecz sieci za pomocą Zero Trust - Podstawowa architektura dla zadań krytycznych na platformie Azure - Podstawowa architektura dla zadań krytycznych z kontrolą sieci - Sieciowanie dla obciążeń krytycznych |
|
Advanced Maturity Status Agency rozszerza wdrażanie mechanizmów izolacji punktów końcowych i profilów aplikacji na większą część swojej architektury sieciowej, z mikro-perymetrami wejścia/wyjścia i połączeniami specyficznymi dla usług. |
Azure Firewall Premium Użyj Azure Virtual Network i Azure Firewall Premium z filtrowaniem ruchu na poziomie sieci-aplikacji, aby kontrolować ruch przychodzący/wychodzący między zasobami w chmurze, chmurą i zasobami lokalnymi oraz Internetem.Strategia segmentacji - - zestawy reguł zasad usługi Azure Firewall - topologia wielopunktowo-szprychowa - funkcje Zapory Premium - Zabezpieczanie i zarządzanie obciążeniami usługa Azure Private Link Usługa Azure Private Link uzyskuje dostęp do platformy Azure jako usługi (PaaS) za pośrednictwem prywatnego punktu końcowego, w ramach sieci wirtualnej. Zabezpieczanie zasobów platformy Azure w sieciach wirtualnych przy użyciu prywatnych punktów końcowych. Ruch z sieci wirtualnej do platformy Azure pozostaje w sieci szkieletowej platformy Azure. Aby korzystać z usług PaaS platformy Azure, nie ujawniaj sieci wirtualnej do Internetu. - granice usługi PaaS - najlepsze praktyki zabezpieczeń sieci grupy zabezpieczeń sieci Sieciowa grupa zabezpieczeń to mechanizm kontroli dostępu umożliwiający kontrolowanie ruchu między zasobami w sieci wirtualnej jak zapora warstwy 4. NSG kontroluje ruch z sieciami zewnętrznymi, takimi jak Internet, inne sieci wirtualne itd. Omówienie NSG Grupy zabezpieczeń aplikacji Mechanizm kontroli ASG jest podobny do NSG, ale odnosi się do kontekstu aplikacji. Użyj ASG do grupowania maszyn wirtualnych z tagiem aplikacji. Zdefiniuj reguły ruchu sieciowego stosowane do podstawowych maszyn wirtualnych. omówienie usługi ASG |
|
Optymalny Stan Dojrzałości agencyjna architektura sieciowa składa się z w pełni rozproszonych mikro-perymetrów wejściowych/wyjściowych oraz rozbudowanych mikrosegmentacji opartych na profilach aplikacji z dynamicznymi połączeniami just-in-time i wystarczającą łącznością dla specyficznych połączeń usługowych. |
Microsoft Defender for Cloud, dostęp just-in-time do maszyn wirtualnych techniki zapobiegania w cyberbezpieczeństwie i cele zmniejszają powierzchnie atakowe. Otwórz mniej portów, zwłaszcza portów zarządzania. Legalni użytkownicy korzystają z tych portów, więc niepraktyczne jest ich zamknięcie. Użyj trybu JIT usługi Microsoft Defender for Cloud, aby zablokować ruch przychodzący do maszyn wirtualnych. Ta akcja zmniejsza narażenie na ataki, jednocześnie zachowując dostęp do maszyn wirtualnych. Dostęp Just-in-Time (JIT) do maszyn wirtualnych Azure Bastion Skorzystaj z zarządzanej usługi Platform as a Service (PaaS) Azure Bastion, aby bezpiecznie łączyć się z maszynami wirtualnymi za pośrednictwem połączenia TLS. Ustanów łączność z witryny Azure Portal lub za pośrednictwem klienta natywnego do prywatnego adresu IP na maszynie wirtualnej. - - Włącz dostęp JIT na maszynach wirtualnych |
3.2 Funkcja: Zarządzanie ruchem sieci
| Opis Etapu CISA ZTMM | wskazówki i zalecenia firmy Microsoft |
|---|---|
|
Initial Maturity Status Agencja ustanawia profile aplikacji z różnymi funkcjami zarządzania ruchem i zaczyna przypisywać wszystkie aplikacje do tych profili. Agencja rozszerza stosowanie reguł statycznych do wszystkich aplikacji i przeprowadza okresowe ręczne inspekcje ocen profilu aplikacji. |
Azure Policy Korzystanie z Azure Policy do wymuszania standardów sieciowych, takich jak przepychanie ruchu do Azure Firewall, lub innych urządzeń sieciowych. Zakazać publicznych adresów IP lub wymusić bezpieczne korzystanie z protokołów szyfrowania. definicje usług sieciowych platformy Azure Azure Application Gateway Wymagaj użycia usługi Application Gateway dla aplikacji internetowych wdrożonych na platformie Azure. - Omówienie usługi Application Gateway - Integracja usługi Application Gateway Tagi usług platformy Azure Używanie tagów usług dla maszyn wirtualnych i sieci wirtualnych platformy Azure w celu ograniczenia dostępu sieciowego do jej usług. Platforma Azure obsługuje adresy IP skojarzone z każdym tagiem. Tagi usługi Azure Firewall Manager Włącz tę usługę zarządzania zabezpieczeniami na potrzeby scentralizowanych zasad i zarządzania trasami dla obwodów zabezpieczeń opartych na chmurze: zapory, rozproszonej odmowy usługi (DDoS) i zapory aplikacji internetowej. Użyj grup adresów IP do zarządzania adresami IP dla reguł usługi Azure Firewall. - Menedżer zapory ogniowej - Grupy protokołu internetowego (IP) w usłudze Azure Firewall Grupy zabezpieczeń aplikacji Konfigurowanie zabezpieczeń sieci jako rozszerzenia struktury aplikacji za pomocą grup ASG. Grupuj maszyny wirtualne (VM) i zdefiniuj zasady zabezpieczeń sieciowych na podstawie grup. grupy zabezpieczeń sieci (ASG) i sieciowe grupy zabezpieczeń usługa ochrony DDoS Azure Konieczność ograniczenia zasobów z publicznym adresem IP. Wdróż rozproszoną ochronę przed odmową usługi (DDoS) dla zasobów platformy Azure przy użyciu publicznego adresu IP. - ochrona przed atakami DDoS - aplikacji (warstwa 7) ochrona przed atakami DDoS |
|
Advanced Maturity Status Agencja implementuje dynamiczne reguły i konfiguracje sieci w celu optymalizacji zasobów, które są okresowo dostosowywane na podstawie zautomatyzowanych ocen i monitoringu profilów aplikacji świadomych ryzyka oraz reagujących na ryzyko. |
Azure Monitor Ta usługa stale monitoruje sieć i aplikacje, zapewniając szczegółowe informacje i alerty na podstawie wydajności i metryk zabezpieczeń. Dynamiczne dostosowywanie reguł sieci w celu optymalizacji użycia zasobów i zabezpieczeń. Omówienie usługi Azure Monitor |
|
Optymalny Status Dojrzałości Agencja implementuje dynamiczne reguły i konfiguracje sieci, które stale ewoluują w celu spełnienia potrzeb profilu aplikacji i przypisywania priorytetów aplikacjom w oparciu o krytyczność misji, ryzyko itp. |
Microsoft Entra Internet Access, Private Access Skonfiguruj zasady dostępu warunkowego, aby zabezpieczyć profile ruchu. Zdefiniuj akceptowalne ryzyko logowania. - Globalny Bezpieczny Dostęp - Uniwersalny Dostęp Warunkowy "Azure Virtual Network Manager" Definiowanie i zarządzanie członkostwem w grupach sieci dynamicznych za pomocą instrukcji warunkowych usługi Azure Policy. Grupy sieciowe obejmują lub wykluczają sieci wirtualne na podstawie określonych warunków.program - Virtual Network Manager - Dynamiczne członkostwo w grupie sieci Azure Firewall, Microsoft Sentinel Integracja z usługą Azure Firewall i Microsoft Sentinel oferuje ciągłe monitorowanie, wykrywanie zagrożeń oparte na sztucznej inteligencji, automatyczne reagowanie i aktualizacje konfiguracji zabezpieczeń na podstawie ryzyka. Playbooki Sentinel dynamicznie reagują na zidentyfikowane zagrożenia, dostosowując konfiguracje sieci w celu zabezpieczenia aplikacji o krytycznym znaczeniu. Azure Firewall z Sentinel grupy zabezpieczeń sieci Grupy zabezpieczeń sieci mają reguły zabezpieczeń, które filtrują ruch sieciowy do i z zasobów platformy Azure. Włącz aktualizacje reguł dynamicznych, aby zezwalać na ruch lub blokować go na podstawie warunków sieciowych i wymagań dotyczących zabezpieczeń. Omówienie Sieciowej Grupy Zabezpieczeń Azure Virtual Network Manager Ta usługa zarządzania ułatwia grupowanie, konfigurację, wdrażanie i zarządzanie siecią wirtualną (VNet) w subskrypcjach i dzierżawach. Zdefiniuj grupy sieciowe w celu segmentowania sieci wirtualnych. Ustanów i zastosuj konfiguracje łączności i zabezpieczeń dla wybranych sieci wirtualnych w tych grupach. Menedżer Sieci Wirtualnej |
3.3 Funkcja: szyfrowanie ruchu
| Opis Etapu CISA ZTMM | wskazówki i zalecenia firmy Microsoft |
|---|---|
|
stan początkowej dojrzałości Agencja zaczyna szyfrować cały ruch do aplikacji wewnętrznych, aby preferować szyfrowanie ruchu do aplikacji zewnętrznych, sformalizować zasady zarządzania kluczami i zabezpieczyć klucze szyfrowania serwera/usługi. |
Microsoft Cloud Services W przypadku przesyłanych danych klientów, usługi Microsoft Cloud Services używają bezpiecznych protokołów transportu, takich jak Zabezpieczenia protokołu internetowego (IPSec) i Transport Layer Security (TLS) między centrami danych firmy Microsoft, a także między urządzeniami użytkowników a centrami danych firmy Microsoft. Szyfrowanie w chmurze firmy Microsoft Serwery proxy aplikacji firmy Microsoft Entra Aby opublikować aplikacje wewnętrzne za pośrednictwem zaszyfrowanych kanałów, wdróż łączniki serwerów proxy aplikacji. Aplikacje lokalne |
|
Advanced Maturity Status Agencja zapewnia szyfrowanie dla wszystkich właściwych protokołów ruchu wewnętrznego i zewnętrznego. Zarządza wystawianie i rotację kluczy i certyfikatów oraz zaczyna uwzględniać najlepsze rozwiązania dotyczące elastyczności kryptograficznych. |
Azure Key Vault Ta usługa w chmurze pomaga chronić klucze kryptograficzne i sekrety używane przez aplikacje i usługi w chmurze. Bezpieczny magazyn, kontrola dostępu i inspekcja zapewniają ochronę poufnych informacji i efektywne zarządzanie nimi. Scentralizowanie zarządzania kluczami w celu uproszczenia zgodności ze standardami zabezpieczeń. Zwiększ ogólny stan zabezpieczeń aplikacji. usługi Azure Key Vault |
|
optymalnego stanu dojrzałości Agencja nadal szyfruje ruch zgodnie z potrzebami, wymusza zasady najniższych uprawnień w zakresie bezpiecznego zarządzania kluczami dla całego przedsiębiorstwa i uwzględnia najlepsze rozwiązania dotyczące elastyczności kryptograficznych tak szeroko, jak to możliwe. |
zarządzanie kluczami w usłudze Azure Usługi zarządzania kluczami platformy Azure bezpiecznie przechowują klucze kryptograficzne w chmurze, w tym usługę Azure Key Vault, model zabezpieczeń sprzętowych zarządzanych przez platformę Azure (HSM) i dedykowany moduł HSM platformy Azure. Wybierz z kluczy zarządzanych przez platformę i kluczy zarządzanych przez klienta. Obsługa elastycznego dostosowania i zarządzania kosztami. Scentralizowane zarządzanie kluczami. Platforma Azure zwiększa bezpieczeństwo, upraszcza kontrolę dostępu, obsługuje aplikacje i chroni poufne dane. zarządzanie kluczami azure Key Vault wymuszanie zasad najniższych uprawnień za pomocą kontroli dostępu opartej na rolach (RBAC). Przypisz określone uprawnienia do użytkowników i aplikacji na podstawie ról. Włącz szczegółowe zarządzanie dostępem. Ustaw uprawnienia dla kluczy, wpisów tajnych i certyfikatów. Upewnij się, że tylko autoryzowane jednostki uzyskują dostęp do poufnych informacji. - Najlepsze praktyki dotyczące usługi Azure Key Vault - Udzielanie aplikacjom uprawnień do dostępu do usługi Azure Key Vault Microsoft Entra Privileged Identity Management Integracja usługi Azure Key Vault z usługą PIM na potrzeby dostępu w trybie just-in-time (JIT). W razie potrzeby przyznaj uprawnienia tymczasowe.Omówienie PIM - - PIM dla grup |
3.4 Funkcja: Odporność sieci
| Opis Etapu CISA ZTMM | wskazówki i zalecenia firmy Microsoft |
|---|---|
|
początkowy status dojrzałości Agencja rozpoczyna konfigurowanie możliwości sieci w celu zarządzania wymaganiami dotyczącymi dostępności dla dodatkowych aplikacji oraz rozszerzania mechanizmów odporności dla obciążeń, które nie są uważane za krytyczne dla misji. |
Azure Wirtualne Sieci Przyjęcie platformy Azure do zarządzania wymaganiami dotyczącymi dostępności za pomocą globalnej sieci centrów danych i usług. - Azure Virtual Network - przegląd niezawodności Azure strefy dostępności Aby zapewnić dostępność aplikacji, nawet jeśli jedna strefa ma awarię, użyj strefy dostępności w celu izolacji usterek w regionie. strefy dostępności platformy Azure Azure ExpressRoute ExpressRoute to hybrydowa usługa łączności używana do obsługi małych opóźnień, odporności i wysokiej przepływności prywatnej łączności między siecią lokalną a obciążeniami platformy Azure. ExpressRoute na potrzeby odporności |
|
Advanced Maturity Status Agency skonfigurowała funkcje sieciowe w celu dynamicznego zarządzania wymaganiami dotyczącymi dostępności i mechanizmami zapewniającymi odporność dla większości ich aplikacji. |
Usługi Azure Traffic Manager dynamicznie zarządzają ruchem między regionami i centrami danych. Zapewnienie optymalnej wydajności i wysokiej dostępności; dostosować się do zmieniających się wzorców żądań użytkowników. - Traffic Manager - niezawodność w Traffic Manager Azure Front Door Zwiększ globalną łączność i zabezpieczenia dzięki dynamicznemu równoważeniu obciążenia HTTP/S oraz usługom zapory aplikacji internetowej. Usługa kieruje ruchem i dynamicznie dostosowuje się do wymagań lub zagrożeń w czasie rzeczywistym. Azure Front Door bramy sieci wirtualnej ExpressRoute z uwzględnieniem stref dostępności strefowo nadmiarowe bramy dynamicznie dystrybuują ruch sieciowy między strefami dostępności. Zachowaj bezproblemową łączność, jeśli jedna strefa ma awarię. Bramki VNet z nadmiarowością strefową w strefach dostępności |
|
Optymalny Stan Dojrzałości Agencja integruje kompleksowe dostarczanie i świadomość w dostosowywaniu się do zmian wymagań dotyczących dostępności dla wszystkich obciążeń i zapewnia odpowiednią odporność. |
Azure Load Balancer Konfigurowanie sondy zdrowia Azure Load Balancer, aby monitorować stan zdrowia instancji aplikacji. Sondy wykrywają błędy aplikacji, zarządzają obciążeniem i dostosowują się do zmian zapotrzebowania na dostępność. - sondy kondycji usługi Load Balancer - Zarządzanie sondami kondycji usługi Azure Application Gateway Dynamiczne zarządzanie zapotrzebowaniem na dostępność i mechanizmami odporności przez dystrybucję ruchu między wieloma pulami zaplecza i strefami dostępności. Zapewnij wysoką dostępność i odporność na uszkodzenia, automatycznie przekierowuj ruch podczas awarii strefy. - Azure Application Gateway w wersji v2 - perspektywę dobrze zarchitektowaną Azure Firewall Ulepszanie automatycznego skalowania poprzez dostosowywanie zasobów do wymagań dotyczących ruchu. Zapewnij bezpieczeństwo i wydajność pod dużym obciążeniem. Używaj funkcji ochrony przed zagrożeniami i filtrowania adresów URL, które są dynamicznie skalowane na podstawie przepływności i użycia procesora. - funkcje Premium - Azure Firewall — często zadawane pytania - wydajność usługi Azure Firewall Azure ExpressRoute Skonfiguruj wykrywanie przekierowania dwukierunkowego (BFD) w celu poprawy mechanizmu awaryjnego usługi ExpressRoute. Wykorzystaj szybkie wykrywanie awarii łączy i włącz niemal natychmiastowe przełączanie na połączenia zapasowe. Zminimalizuj przestoje, zachowaj wysoką dostępność, jednocześnie zapewniając większą odporność i niezawodność sieci. Skonfiguruj BFD |
3.5 Funkcja: widoczność i analiza
| Opis Etapu CISA ZTMM | wskazówki i zalecenia firmy Microsoft |
|---|---|
|
Początkowy Status Dojrzałości Agencja wykorzystuje możliwości monitorowania sieci na podstawie znanych wskaźników naruszenia (w tym przeszukiwanie sieci) w celu rozumienia sytuacji w każdym środowisku i zaczyna korelować dane telemetryczne pomiędzy różnymi typami ruchu i środowiskami na potrzeby analizy oraz poszukiwania zagrożeń. |
Azure Monitor Użyj Azure Network Watcher i Azure Monitor Network Insights do uzyskania kompleksowej i wizualnej reprezentacji sieci. Włącz dzienniki przepływu sieci wirtualnej w celu rejestrowania ruchu IP. Użyj monitora połączeń, aby śledzić niezawodność ważnych przepływów. Dołącz alerty do przepływów, aby odpowiednie grupy otrzymywały powiadomienia o zakłóceniach. - Network Watcher - Network Insights - dzienniki przepływu sieci wirtualnej - Monitor połączeń analiza ruchu Korzystanie z rozwiązania analizy ruchu w celu wglądu w aktywność użytkowników i aplikacji w sieciach w chmurze. Analiza ruchu analizuje dzienniki przepływów usługi Azure Network Watcher, aby dostarczać szczegółowe informacje o przepływie w chmurze platformy Azure. Analiza ruchu |
|
Advanced Maturity Status Agencja wdraża możliwości wykrywania anomalii w sieci, aby rozwijać świadomość sytuacyjną we wszystkich środowiskach, zaczyna korelować dane telemetryczne z wielu źródeł do analizy i wdraża zautomatyzowane procesy w celu skutecznych działań w zakresie poszukiwania zagrożeń. |
Microsoft Sentinel Azure Firewall, Application Gateway, Data Factory i Bastion eksportują dzienniki do Microsoft Sentinel lub innych systemów zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM). Aby wymusić wymagania dotyczące całego środowiska, użyj łączników w usłudze Sentinel lub usłudze Azure Policy. - Azure Firewall z Sentinel - Zapora aplikacji internetowej z Sentinel - Znajdź łączniki danych Sentinel Bezpieczny dostęp globalny W dziennikach Bezpiecznego Dostępu Globalnego znajdź szczegółowe informacje o ruchu sieciowym. Aby zrozumieć i przeanalizować szczegóły monitorowania środowiska, zapoznaj się z trzema poziomami dzienników i ich korelacji.dzienniki i monitorowanie - dzienniki ruchu sieciowego - dzienniki wzbogacone usługi Microsoft 365 - dzienniki kondycji sieci zdalnej - |
|
Optymalny Stan Dojrzałości Agencja utrzymuje wgląd w komunikację w sieciach i środowiskach wszystkich agencji, zapewniając świadomość sytuacyjną na poziomie całego przedsiębiorstwa oraz zaawansowane możliwości monitorowania, automatyzując korelację telemetrii z wszystkich źródeł wykrywania. |
Monitorowanie architektur zabezpieczeń Zero Trust za pomocą Microsoft Sentinel Rozwiązanie Zero Trust (TIC 3.0) umożliwia uzyskanie wglądu i świadomości sytuacyjnej wymagań dotyczących kontroli, wykorzystując technologie firmy Microsoft, głównie w środowiskach bazujących na chmurze. Środowisko klienta różni się w zależności od użytkownika. Niektóre interfejsy użytkownika mogą wymagać modyfikacji konfiguracji oraz zapytań. Monitoruj architektury zabezpieczeń Zero Trust (TIC 3.0) |
3.6 Automatyzacja i aranżacja
| Opis Etapu CISA ZTMM | wskazówki i zalecenia firmy Microsoft |
|---|---|
|
początkowy stan dojrzałości Agencja rozpoczyna korzystanie z zautomatyzowanych metod zarządzania konfiguracją i cyklem życia zasobów dla niektórych sieci agencji lub środowisk i zapewnia, że wszystkie zasoby mają zdefiniowany okres istnienia na podstawie zasad i telemetrii. |
Azure Virtual Network Manager Centralizacja konfiguracji łączności i zabezpieczeń dla sieci wirtualnych w ramach różnych subskrypcji. Azure Virtual Network Manager Azure Policy Wymuszanie standardów sieciowych, takich jak wymuszone tunelowanie ruchu do usługi Azure Firewall lub innych urządzeń sieciowych. Uniemożliwianie publicznych adresów IP lub wymuszanie protokołów szyfrowania. definicje usług sieciowych platformy Azure Azure Firewall Manager Ta usługa służy do scentralizowanych zasad zabezpieczeń i zarządzania trasami obwodowymi opartymi na chmurze. Zarządza zasadami usług Azure Firewall, Azure DDoS Protection i Azure Web Application Firewall. - omówienie zasad - usługi Azure Firewall Manager Network Performance Monitor rozwiązania platformy Azure monitor, analizowanie, alerty i wizualizowanie łączności sieciowej. Aby wyzwolić automatyczne skalowanie lub akcje trybu failover, użyj alertów usługi Azure Monitor. Monitorowanie sieci Azure DevOps Użyj tej usługi do konfigurowania potoków ciągłej integracji i ciągłego dostarczania (CI/CD) na potrzeby konfiguracji sieci. Praktyki devOps łączą lukę między konwencjonalnym zarządzaniem infrastrukturą a nowoczesnym, elastycznym podejściem w celu zapewnienia, że środowiska sieciowe spełniają wymagania. azure DevOps Azure Blueprints Definiowanie powtarzalnych zasobów platformy Azure, które są zgodne ze standardami, wzorcami i wymaganiami. Twórz i uruchamiaj nowe środowiska przy jednoczesnym zapewnieniu zgodności. Azure Blueprints Skoroszyt protokołów niezabezpieczonych Microsoft Sentinel Użyj Skoroszytu protokołów niezabezpieczonych, aby uzyskać szczegółowe informacje na temat ruchu tych protokołów. Zbiera i analizuje zdarzenia zabezpieczeń z produktów firmy Microsoft. Wyświetl analizy i identyfikuj źródła starszego ruchu protokołu, takich jak NT LAN Manager (NTLM), Server Message Block w wersji 1 (SMBv1), WDigest, słabe szyfry oraz starsze uwierzytelnianie za pomocą usługi Active Directory. Niezabezpieczony Skoroszyt Protokołu Microsoft Sentinel Połącz infrastrukturę sieciową platformy Azure z usługą Sentinel. Skonfiguruj łączniki danych usługi Sentinel dla rozwiązań sieciowych spoza platformy Azure. Użyj niestandardowych zapytań analitycznych, aby wyzwolić orkiestrację, automatyzację i odpowiedź na zagrożenia w ramach usługi Sentinel (SOAR). - Reagowanie na zagrożenia za pomocą podręczników - Wykrywanie i reagowanie z użyciem Logic Apps Global Secure Access Interfejsy API dostępu do sieci tworzą platformę do konfigurowania przesyłania dalej lub filtrowania ruchu i skojarzonych reguł. Bezpieczny dostęp za pomocą interfejsów API sieci Graph |
|
Advanced Maturity Status Agency używa zautomatyzowanych metod zarządzania zmianami (np. ciągłej integracji/ciągłego wdrażania) do zarządzania konfiguracją i cyklem życia zasobów dla wszystkich sieci i środowisk agencji, reagowania na zasady i ochronę przed postrzeganym ryzykiem. |
Azure DevOps Aby zautomatyzować zmiany konfiguracji sieci i zarządzanie zasobami, zaimplementuj potoki ciągłej integracji i ciągłego dostarczania (CI/CD). Azure DevOps Azure Automation Zarządzaj zadaniami konfiguracji i cyklu życia sieci, takimi jak aktualizacje i wymuszanie zgodności. Azure Automation Microsoft Sentinel Włącz usługę Sentinel, aby monitorować środowiska sieciowe i wymuszać zasady. Jej zautomatyzowane odpowiedzi dotyczą postrzeganego ryzyka. Zaawansowane monitorowanie Azure Policy Automatyzowanie wymuszania zgodności oraz stosowanie zasad dla zasobów sieciowych. Azure Policy |
|
Optymalny Stan Dojrzałości sieci i środowiska agencji są definiowane poprzez infrastrukturę jako kod, który jest zarządzany przez zautomatyzowane metody zarządzania zmianami, w tym automatyczne inicjowanie i wygasanie w celu dostosowania do zmieniających się potrzeb. |
Azure Resource Manager Używaj szablonów ARM do definiowania i zarządzania infrastrukturą sieciową jako kodem. Włącz automatyczną aprowizację i aktualizacje. Omówienie ARM Terraform na platformie Azure Aby zautomatyzować procesy tworzenia, zarządzania i skalowania zasobów sieciowych, zaimplementuj Terraform jako infrastrukturę jako kod. Terraform i Azure Azure DevOps Użyj potoków ciągłej integracji i ciągłego dostarczania (CI/CD), aby zautomatyzować zmiany i zarządzanie cyklem życia. Upewnij się, że dopasowanie jest zgodne z wymaganiami dynamicznej sieci. Advanced CD/IC Microsoft Sentinel Orkiestruj i automatyzuj operacje zabezpieczeń sieciowych. Usługa Sentinel integruje się z rozwiązaniami infrastruktury jako kodu w celu kompleksowego zarządzania. Automatyzacja z usługą Sentinel Azure Automation Korzystanie z funkcji do zarządzania cyklem życia, w tym automatyczne inicjowanie i wygasanie zasobów sieciowych. Zaawansowana automatyzacja |
3.7 Funkcja: Zarządzanie
| Opis Etapu CISA ZTMM | wskazówki i zalecenia firmy Microsoft |
|---|---|
|
Status Początkowej Dojrzałości Agencja definiuje i zaczyna wdrażać zasady dostosowane do poszczególnych segmentów sieci i zasobów, jednocześnie odpowiednio dziedzicząc reguły na poziomie korporacyjnym. |
Azure Network Security Definiuj i wdrażaj zasady zabezpieczeń sieci dla segmentów i zasobów. zabezpieczenia sieci platformy Azure Azure Firewall Premium Kieruj ruch wychodzący i przychodzący przez usługę Azure Firewall. Zaimplementuj zasady dla segmentów sieci i zasobów. - Funkcje zapory warstwy Premium - przychodzącej i wychodzącej łączności z Internetem - Konfigurowanie usługi Azure Firewall w portalu Azure - Azure Policy w celu zabezpieczenia wdrożeń usługi Azure Firewall - zestawy reguł polityki Azure Firewall Monitorowanie i wymuszanie zasad sieciowych oraz upewnienie się, że są one zgodne z regułami dla całego przedsiębiorstwa. Sentinel Microsoft Defender for Cloud Rozpocznij od ładu i zabezpieczeń zasobów sieciowych i segmentów. Defender for Cloud |
|
Zaawansowany status dojrzałości Agencja wdraża automatyzację w dostosowywaniu zasad i ułatwiająca przejście od ochrony skoncentrowanej na obwodzie. |
Azure Firewall Automatyzuj egzekwowanie polityki sieciowej i przejdź z mentalności opartej na obwodzie do złożonych środków bezpieczeństwa. - Azure Firewall - Azure Firewall z Sentinel grupy zabezpieczeń sieciowych Używaj NSG do automatyzacji zarządzania ruchem sieciowym i dynamicznego egzekwowania zasad. grupy zabezpieczeń sieciowych Azure Sentinel Zwiększ automatyzację egzekwowania zasad i monitoruj przejście z tradycyjnych do dynamicznych modeli zabezpieczeń. Zaawansowane monitorowanie |
|
Optymalny Stan Dojrzałości Agency implementuje zasady sieci dla całego przedsiębiorstwa, które umożliwiają dostosowane, lokalne mechanizmy kontroli, aktualizacje dynamiczne oraz bezpieczne połączenia zewnętrzne na podstawie przepływów pracy aplikacji i użytkowników. |
Azure Policy Implementowanie zasad sieci dla całego przedsiębiorstwa i zarządzanie nimi przy użyciu aktualizacji dynamicznych i kontrolek lokalnych. Azure Policy Azure Virtual WAN ułatwiać bezpieczne, dynamiczne połączenia zewnętrzne i optymalizować wydajność sieci na podstawie potrzeb aplikacji i użytkowników. Azure Virtual Wide Area Network (WAN) Sentinel Użyj usługi Sentinel do kompleksowej integracji automatyzacji i zasad sieciowych z bezpiecznymi połączeniami zewnętrznymi. Automatyzacja z Sentinel Microsoft Defender for Cloud Osiągnąć kompleksowy ład sieciowy przy użyciu automatycznych, dynamicznych aktualizacji i niezawodnych zabezpieczeń zasobów sieciowych. zaawansowane zabezpieczenia sieci Azure Firewall, Firewall Manager Build enterprise-wide network policies (Tworzenie zasad sieciowych dla całego przedsiębiorstwa). Używaj dostosowywalnych reguł sieci i aplikacji dla segmentów i zasobów; zapewnienie niezbędnych zabezpieczeń dla całej sieci. Za pomocą usługi Azure Firewall Manager zasady są centralnie zarządzane i mają zastosowanie do wielu wystąpień. Pracownicy IT ustanawiają podstawowe zasady, podczas gdy pracownicy devOps dodają zlokalizowane mechanizmy kontroli. - centralne zarządzanie usługą Azure Firewall - zestawami reguł polityki usługi Azure Firewall |
Następne kroki
Skonfiguruj usługi Microsoft Cloud Services dla modelu dojrzałości CISA Zero Trust.