Estratégia de Confiança Zero do DoD para o pilar de rede

O DoD Confiança Zero Strategy and Roadmap descreve um caminho para os parceiros do Departamento de Defesa e da Base Industrial de Defesa (DIB) adotarem uma nova estrutura de segurança cibernética com base em princípios Confiança Zero. Confiança Zero elimina perímetros tradicionais e suposições de confiança, permitindo uma arquitetura mais eficiente que aprimora a segurança, as experiências do usuário e o desempenho da missão.

Este guia tem recomendações para as 152 atividades da Confiança Zero no Roteiro de execução da funcionalidade de Confiança Zero do DoD. As seções correspondem aos sete pilares do modelo de Confiança Zero do DoD.

Use os links a seguir para acessar as seções do guia.

5 Rede

Esta seção tem diretrizes e recomendações da Microsoft para atividades de Confiança Zero do Departamento de Defesa (DoD) no pilar de rede. Para saber mais, consulte Secure networks with Confiança Zero for more information.

5.1 Mapeamento de fluxo de dados

O serviço Rede Virtual do Azure é um bloco de construção em sua rede privada em Azure. Em redes virtuais Azure os recursos se comunicam entre si, com a Internet e com os recursos locais.

Quando você implanta uma topologia de rede de múltiplos hubs e spokes no Azure, o Firewall do Azure realiza o roteamento do tráfego entre redes virtuais. Além disso, Firewall do Azure Premium inclui recursos de segurança, como inspeção do TLS (Trasport-Layer Security), intrusão de rede, IDPS (sistema de detecção e prevenção), filtragem de URL e filtragem de conteúdo.

Azure ferramentas de rede, como Observador de Rede do Azure e Azure Monitor Network Insights, ajudam você a mapear e visualizar o fluxo de tráfego de rede. A integração do Microsoft Sentinel permite visibilidade e controle sobre o tráfego de rede organizacional, com pastas de trabalho, automação e recursos de detecção.

Descrição e resultado da atividade do DoD Microsoft diretrizes e recomendações

Target 5.1.1 Definir regras e políticas de acesso de controle granulares – Parte 1
A empresa DoD que trabalha com as organizações cria regras e políticas de acesso de rede granulares. O ConOps (Conceito associado de operações) é desenvolvido em alinhamento com as políticas de acesso e garante suporte futuro. Uma vez acordado, as Organizações do DoD implementarão essas políticas de acesso em tecnologias de rede existentes (por exemplo, Firewalls de Próxima Geração, Sistemas de Prevenção de Intrusão etc.) para melhorar os níveis de risco iniciais.

Resultados:
- Fornecer padrões técnicos
– desenvolver conceito de operações
– identificar comunidades de interesse Firewall do Azure Premium
Use Rede Virtual do Azure e Firewall do Azure Premium para controlar a comunicação e o roteamento entre recursos de nuvem, recursos de nuvem e locais e a Internet. O Firewall do Azure Premium tem funcionalidades de inteligência contra ameaças, detecção de ameaças e prevenção de intrusão para proteger o tráfego.
- Estratégia de segmentação
- Rotear uma topologia de vários hubs e spoke
- Recursos Premium do Firewall do Azure

Usar Análise de Política do Firewall do Azure para gerenciar regras de firewall, habilitar a visibilidade do fluxo de tráfego e realizar análises detalhadas das regras de firewall.
- Análise de Política do Firewall do Azure

Link Privado do Azure
Usar o Link Privado do Azure para acessar a PaaS (plataforma como serviço) do Azure em um ponto de extremidade em uma rede virtual. Use pontos de extremidade privados para proteger recursos críticos do Azure somente para redes virtuais. O tráfego da rede virtual para o Azure permanece na rede de backbone Azure. Não é necessário expor a rede virtual à Internet pública para consumir serviços de PaaS do Azure.
- Redes seguras: limite de serviço paaS
- práticas recomendadas de segurança de rede

grupos de segurança de rede
Habilitar o registro em log de fluxo em grupos de segurança de rede ( NSGs) para obter a atividade de tráfego. Visualizar dados de atividade no Observador de Rede.
- logs de fluxo NSG

Gerenciador de Rede Virtual do Azure
Usar o Gerenciador de Rede Virtual do Azure para configurações centralizadas de conectividade e segurança para redes virtuais entre assinaturas.
- Gerenciador de Rede Virtual do Azure

Gerenciador de Firewall do Azure
O Gerenciador de Firewall do Azure é um serviço de gerenciamento de segurança para política de segurança centralizada e gerenciamento de rotas para perímetros de segurança baseados em nuvem.
- Gerenciador de Firewall do Azure

Política do Azure
Usar o Azure Policy para impor padrões de rede, como túnel forçado de tráfego para o Firewall do Azure ou outros dispositivos de rede. Proibir IPs públicos ou impor o uso seguro de protocolos de criptografia.
- Definições para serviços de rede do Azure

Azure Monitor
Observador de Rede do Azure e o Azure Monitor Network Insights para uma representação abrangente e visual da sua rede.
- Observador de Rede
- Insights de rede

Target 5.1.2 Definir regras e políticas de acesso de controle granulares – Parte 2
As organizações DoD utilizam padrões de marcação e classificação de dados para desenvolver filtros de dados para acesso à API à Infraestrutura da SDN. Os Pontos de Decisão da API são formalizados na arquitetura do SDN e implementados com aplicativos e serviços críticos não essenciais de missão/tarefa.

Resultado:
- Definir filtros de marcação de dados para infraestrutura de API Usam grupos de segurança de aplicativos para configurar a segurança de rede como uma extensão da estrutura do aplicativo. Agrupar VMs (máquinas virtuais) e definir políticas de segurança de rede, com base nos grupos.
- Grupos de segurança de aplicativos

Tags de serviço do Azure
Use tags de serviço para VMs do Azure e redes virtuais do Azure para restringir o acesso à rede a serviços do Azure em uso. Azure mantém endereços IP associados a cada tag.
- Azure marcas de serviço

Firewall do Azure
Gerenciador de Firewall do Azure é um serviço de gerenciamento de segurança para política de segurança centralizada e gerenciamento de rotas para perímetros de segurança baseados em nuvem (firewall, DDoS, WAF). Use grupos de IP para gerenciar endereços IP para regras do Firewall do Azure.
- Gerenciador de Firewall do Azure
- grupos de IP

Gerenciador de Rede Virtual do Azure
Gerenciador de Rede Virtual do Azure é um serviço de gerenciamento para agrupar, configurar, implantar, visualizar e gerenciar redes virtuais globalmente entre assinaturas.
- Casos de uso comuns

Observador de Rede do Azure
Habilitar o Observador de Rede para monitorar, diagnosticar e exibir métricas. Habilite ou desabilite logs para recursos de IaaS do Azure. Use Observador de Rede para monitorar e reparar a integridade da rede de produtos IaaS, como VMs, VNets, gateways de aplicativo, balanceadores de carga e mais.
- Observador de Rede do Azure

Descrição e resultado da atividade do DoD	Microsoft diretrizes e recomendações
`Target` 5.1.1 Definir regras e políticas de acesso de controle granulares – Parte 1 A empresa DoD que trabalha com as organizações cria regras e políticas de acesso de rede granulares. O ConOps (Conceito associado de operações) é desenvolvido em alinhamento com as políticas de acesso e garante suporte futuro. Uma vez acordado, as Organizações do DoD implementarão essas políticas de acesso em tecnologias de rede existentes (por exemplo, Firewalls de Próxima Geração, Sistemas de Prevenção de Intrusão etc.) para melhorar os níveis de risco iniciais. Resultados: - Fornecer padrões técnicos – desenvolver conceito de operações – identificar comunidades de interesse	Firewall do Azure Premium Use Rede Virtual do Azure e Firewall do Azure Premium para controlar a comunicação e o roteamento entre recursos de nuvem, recursos de nuvem e locais e a Internet. O Firewall do Azure Premium tem funcionalidades de inteligência contra ameaças, detecção de ameaças e prevenção de intrusão para proteger o tráfego. - Estratégia de segmentação - Rotear uma topologia de vários hubs e spoke - Recursos Premium do Firewall do Azure Usar Análise de Política do Firewall do Azure para gerenciar regras de firewall, habilitar a visibilidade do fluxo de tráfego e realizar análises detalhadas das regras de firewall. - Análise de Política do Firewall do Azure Link Privado do Azure Usar o Link Privado do Azure para acessar a PaaS (plataforma como serviço) do Azure em um ponto de extremidade em uma rede virtual. Use pontos de extremidade privados para proteger recursos críticos do Azure somente para redes virtuais. O tráfego da rede virtual para o Azure permanece na rede de backbone Azure. Não é necessário expor a rede virtual à Internet pública para consumir serviços de PaaS do Azure. - Redes seguras: limite de serviço paaS - práticas recomendadas de segurança de rede grupos de segurança de rede Habilitar o registro em log de fluxo em grupos de segurança de rede ( NSGs) para obter a atividade de tráfego. Visualizar dados de atividade no Observador de Rede. - logs de fluxo NSG Gerenciador de Rede Virtual do Azure Usar o Gerenciador de Rede Virtual do Azure para configurações centralizadas de conectividade e segurança para redes virtuais entre assinaturas. - Gerenciador de Rede Virtual do Azure Gerenciador de Firewall do Azure O Gerenciador de Firewall do Azure é um serviço de gerenciamento de segurança para política de segurança centralizada e gerenciamento de rotas para perímetros de segurança baseados em nuvem. - Gerenciador de Firewall do Azure Política do Azure Usar o Azure Policy para impor padrões de rede, como túnel forçado de tráfego para o Firewall do Azure ou outros dispositivos de rede. Proibir IPs públicos ou impor o uso seguro de protocolos de criptografia. - Definições para serviços de rede do Azure Azure Monitor Observador de Rede do Azure e o Azure Monitor Network Insights para uma representação abrangente e visual da sua rede. - Observador de Rede - Insights de rede
`Target` 5.1.2 Definir regras e políticas de acesso de controle granulares – Parte 2 As organizações DoD utilizam padrões de marcação e classificação de dados para desenvolver filtros de dados para acesso à API à Infraestrutura da SDN. Os Pontos de Decisão da API são formalizados na arquitetura do SDN e implementados com aplicativos e serviços críticos não essenciais de missão/tarefa. Resultado: - Definir filtros de marcação de dados para infraestrutura de API	Usam grupos de segurança de aplicativos para configurar a segurança de rede como uma extensão da estrutura do aplicativo. Agrupar VMs (máquinas virtuais) e definir políticas de segurança de rede, com base nos grupos. - Grupos de segurança de aplicativos Tags de serviço do Azure Use tags de serviço para VMs do Azure e redes virtuais do Azure para restringir o acesso à rede a serviços do Azure em uso. Azure mantém endereços IP associados a cada tag. - Azure marcas de serviço Firewall do Azure Gerenciador de Firewall do Azure é um serviço de gerenciamento de segurança para política de segurança centralizada e gerenciamento de rotas para perímetros de segurança baseados em nuvem (firewall, DDoS, WAF). Use grupos de IP para gerenciar endereços IP para regras do Firewall do Azure. - Gerenciador de Firewall do Azure - grupos de IP Gerenciador de Rede Virtual do Azure Gerenciador de Rede Virtual do Azure é um serviço de gerenciamento para agrupar, configurar, implantar, visualizar e gerenciar redes virtuais globalmente entre assinaturas. - Casos de uso comuns Observador de Rede do Azure Habilitar o Observador de Rede para monitorar, diagnosticar e exibir métricas. Habilite ou desabilite logs para recursos de IaaS do Azure. Use Observador de Rede para monitorar e reparar a integridade da rede de produtos IaaS, como VMs, VNets, gateways de aplicativo, balanceadores de carga e mais. - Observador de Rede do Azure

5.2 Rede definida pelo software

As redes virtuais são a base de redes privadas no Azure. Com uma rede virtual (VNet), uma organização controla a comunicação entre os recursos do Azure e os ambientes locais. Filtre e roteie o tráfego e integre-se a outros serviços Azure, como Firewall do Azure, Azure Front Door, Gateway de Aplicativo do Azure, Gateway de VPN do Azure e Azure ExpressRoute.

Descrição e resultado da atividade do DoD	Microsoft diretrizes e recomendações
`Target` 5.2.1 Definir APIs da SDN A empresa DoD trabalha com as organizações para definir as APIs necessárias e outras interfaces programáticas a fim de habilitar funcionalidades da SDN (rede definida pelo software). Essas APIs habilitarão o Ponto de Decisão de Autenticação, o Proxy de Controle de Entrega de Aplicativos e a automação de Gateways de Segmentação. Resultados: - AS APIs do SDN são padronizadas e implementadas – as APIs são funcionais para o Ponto de Decisão do AuthN, o Proxy de Controle de Entrega de Aplicativo e os Gateways de Segmentação	Azure Resource Manager Implantar e configurar redes do Azure usando APIs ARM (Azure Resource Manager). Azure ferramentas de gerenciamento: Azure portal, Azure PowerShell, CLI (Interface Azure Command-Line) e modelos usam as mesmas APIs ARM para autenticar e autorizar solicitações. - Azure Resource Manager - Referências da API REST do Azure Funções do Azure Atribuir funções internas do Azure para gerenciamento de recursos de rede. Siga os princípios de privilégio mínimo e atribua funções just-in-time (JIT) via PIM. - Funções internas do Azure
`Target` 5.2.2 Implementar a infraestrutura programável da SDN Seguindo os padrões de API, os requisitos e as funcionalidades da API da SDN, as organizações DoD implementarão a infraestrutura da SDN (rede definida pelo software) para habilitar tarefas de automação. Os Gateways de Segmentação e os Pontos de Decisão de Autenticação são integrados à infraestrutura do SDN, juntamente com o log de saída em um repositório padronizado (por exemplo, SIEM, Log Analytics) para monitoramento e alertas. Resultados: –Implementação do proxy de controle de entrega de aplicativos – Atividades de registro de SIEM estabelecidas – Implementação do monitoramento da atividade do usuário (UAM) – Integrado ao Ponto de Decisão de Autenticação	Recursos de rede do Azure Garanta acesso seguro para aplicativos hospedados em uma rede virtual (VNet) com: Azure Front Door (AFD), Gateway de Aplicativo do Azure ou Firewall do Azure. AFD e o Gateway de Aplicações oferecem recursos de balanceamento de carga e segurança para o Top 10 do Open Web Application Security Project (OWASP) e bots. Você pode criar regras personalizadas. Firewall do Azure tem filtragem de inteligência contra ameaças na Camada 4. - Filtragem nativa em nuvem e proteção para ameaças conhecidas - Design de arquitetura de Networking Microsoft Sentinel Firewall do Azure, Gateway de Aplicação, ADF e Azure Bastion exportam logs para o Sentinel ou outros sistemas SIEM (Gerenciamento de Eventos e Informações de Segurança) para análise. Use conectores no Sentinel ou no Azure Policy para impor esse requisito em um ambiente. - Firewall do Azure com o Sentinel - Conector do Firewall do Aplicativo Web do Azure ao Sentinel - Localizar conectores de dados do Sentinel Proxy de aplicativo do Microsoft Entra Implantar proxy de aplicativo para publicar e forneça aplicativos privados em sua rede local. Integre soluções de parceiro SHA (acesso híbrido seguro). - Proxy de aplicativo - Implantar proxy de aplicativo - Integrações de parceiro SHA Proteção de Microsoft Entra IDs Implantar a Proteção contra Microsoft Entra IDs e trazer sinais de risco de entrada para o Condicional Acesso. Consulte as diretrizes da Microsoft 1.3.3 no Usuário. Microsoft Defender para Aplicativos de Nuvem Usar o Defender para Aplicativos de Nuvem para monitorar sessões de aplicativo Web arriscadas. - Defender para Aplicativos de Nuvem
`Target` 5.2.3 Fluxos de segmento no painel de controle, no plano de gerenciamento e no plano de dados A infraestrutura e os fluxos de rede são segmentados física ou logicamente no painel de controle, no plano de gerenciamento e no plano de dados. A segmentação básica usando abordagens IPv6/VLAN é implementada para organizar melhor o tráfego entre planos de dados. A análise e o NetFlow da infraestrutura atualizada são automaticamente alimentados em Ferramentas de Análise e Centros de Operações. Resultados: - Segmentação IPv6 – Habilitar o Relatório de Informações do NetOps Automatizado – Garantir o controle de configuração em toda a empresa - Integrado ao SOAR	Azure Resource Manager Azure Resource Manager é um serviço de implantação e gerenciamento com uma camada de gerenciamento para criar, atualizar e excluir recursos em uma conta Azure. - Planos de controle e dados do Azure - Planos de controle multitenant - Segurança operacional do Azure Microsoft Sentinel Conectar a infraestrutura de rede do Azure ao Sentinel. Configure conectores de dados do Sentinel para soluções de rede não Azure. Use consultas de análise personalizadas para disparar a automação. - Resposta de ameaças com guias estratégicos - Detecção e resposta para o Firewall do Azure com aplicativos lógicosDetecção e resposta para o Firewall do Azure com aplicativos lógicos Consulte as diretrizes da Microsoft em 5.2.2.
`Advanced` 5.2.4 Descoberta e otimização de ativos de rede As organizações DoD automatizam a descoberta de ativos de rede por meio da infraestrutura da SDN, limitando o acesso a dispositivos de acordo com abordagens metódicas baseadas em risco. A otimização é realizada com base na análise do SDN para melhorar o desempenho geral, juntamente com o acesso aprovado necessário aos recursos. Resultados: – atualização técnica/de evolução da tecnologia – fornecer controles de otimização/desempenho	Azure Monitor Use insights de rede do Azure Monitor para ver uma representação visual abrangente dos recursos de rede, incluindo topologia, integridade e métricas. Veja as orientações da Microsoft em 5.1.1. Microsoft Defender para Nuvem O Defender para Nuvem descobre e lista um inventário de recursos provisionados no Azure, em outras nuvens e no local. - Ambiente multinuvem - Gerencie a postura de segurança de recursos Microsoft Defender para Ponto de Extremidade Integre pontos de extremidade e configure a descoberta de dispositivos para coletar, investigar ou verificar sua rede para descobrir dispositivos não gerenciados. - Visão geral da descoberta de dispositivos
`Advanced` 5.2.5 Decisões de acesso em tempo real A infraestrutura da SDN utiliza fontes de dados entre pilares, como Monitoramento de Atividades do Usuário, Monitoramento de Atividades de Entidade, Perfis de Segurança Empresarial, entre outros, para decisões de acesso em tempo real. O aprendizado de máquina é usado para ajudar na tomada de decisões com base na análise de rede avançada (captura completa de pacotes, etc.). As políticas são implementadas consistentemente em toda a Empresa usando padrões de acesso unificados. Resultados: – Analisar logs de SIEM com o mecanismo de análise para fornecer decisões de acesso a políticas em tempo real – Suporte ao envio de pacotes capturados, fluxos de dados/rede e outros logs específicos para análise – Segmentar fluxos de rede de transporte de ponta a ponta – Auditar políticas de segurança para consistência em toda a empresa	Complete atividades 5.2.1 - 5.2.4. Microsoft Sentinel Detecte ameaças enviando logs de rede para análise no Sentinel. Use recursos como inteligência contra ameaças, detecção de ataque de vários estágios avançados, busca de ameaças e consultas internas. A automação do Sentinel permite que os operadores bloqueiem endereços IP mal-intencionados. - Detectar ameaças com regras de análise - Conector do Firewall do Azure para Sentinel Observador de rede do Azure Usar o Observador de Rede do Azure para capturar o tráfego de rede de VMs (máquinas virtuais) e Conjuntos de Dimensionamento de Máquinas Virtuais. - Captura de pacotes Microsoft Defender para Nuvem O Defender para Nuvem avalia a conformidade com os controles de segurança de rede prescritos em estruturas, como o Microsoft Cloud Security Benchmark, o Nível de Impacto do DoD 4 (IL4) e IL5, e National Institute of Standards and Technology (NIST) 800-53 R4/R5. - Controle de segurança: segurança de rede acesso condicional Pasta de trabalho de relatórios e insights de Acesso Condicional para entender os efeitos das políticas de Acesso Condicional organizacional. - Insights e relatórios

Macrosegmentação

Assinaturas do Azure são construtos de alto nível que separam recursos do Azure. A comunicação entre recursos em assinaturas diferentes é explicitamente provisionada. Os recursos de rede virtual (VNet) em uma assinatura fornecem a contenção de recursos no nível da rede. Por padrão, as VNets não podem se comunicar com outras VNets. Para habilitar a comunicação de rede entre VNets, emparelhe-as e use Firewall do Azure para controlar e monitorar o tráfego.

Para saber mais, confira proteger e gerenciar cargas de trabalho com segmentação no nível da rede.

Descrição e resultado da atividade do DoD Microsoft diretrizes e recomendações

Target 5.3.1 Segmentação de macros do datacenter
As organizações DoD implementam a segmentação de macros focada no data center usando arquiteturas tradicionais em camadas (Web, aplicativo, BD) e/ou baseadas em serviço. As verificações de proxy e/ou de fiscalização são integradas à solução(ões) SDN com base nas características e no comportamento do dispositivo.

Resultados:
– Registrar ações no SIEM
– Estabelecer verificações de proxy/imposição de atributos do dispositivo, comportamento e outros dados
– Analisar atividades com o motor de análise Rede do Azure
Desenhar e implementar serviços de rede do Azure, com base em arquiteturas estabelecidas, como zonas de destino em escala corporativa. Segmente redes virtuais do Azure (VNets) e siga as práticas recomendadas de segurança de rede do Azure. Use controles de segurança de rede à medida que pacotes cruzam vários limites de VNet.
- Melhores práticas para segurança de rede
- Soberania e Zonas de destino do Azure
- Topologia de rede e conectividade
- Recomendações de rede e conectividade

Microsoft Entra ID Protection
Implante o Microsoft Entra ID Protection e use sinais de dispositivo e risco no seu conjunto de políticas de Acesso Condicional.

Veja as orientações da Microsoft 1.3.3 em Usuário e 2.1.4 em Dispositivo.

Microsoft Sentinel
Use conectores para consumir logs do Microsoft Entra ID e enviar recursos de rede ao Microsoft Sentinel para auditoria, busca de ameaças, detecção e resposta. Habilite a UEBA (Análise de Comportamento da Entidade de Usuário) no Sentinel.

Consulte as diretrizes da Microsoft em 5.2.2 e 1.6.2 no Usuário.

Microsoft Defender XDR
Integrar o Microsoft Defender para Ponto de Extremidade ao Microsoft Defender para Aplicativos de Nuvem e bloqueia o acesso a aplicativos não sancionados.
- Integrar o Defender para Aplicativos de Nuvem ao Defender para Ponto de Extremidade
- Descobrir e bloquear shadow IT

Target 5.3.2 Segmentação de macros B/C/P/S
As organizações DoD implementam segmentação de macros base, camp, post e estação usando zonas de rede lógicas que limitam o movimento lateral. As verificações de proxy e/ou de fiscalização são integradas à solução(ões) SDN com base nas características e no comportamento do dispositivo.

Resultados:
– Estabelecer verificações de proxy/imposição de atributos de dispositivo, comportamento e outros dados
– Registrar ações no SIEM
– Analisar atividades com o Mecanismo de Análise
– Utilizar o SOAR para fornecer decisões de acesso à política em tempo real Complete a atividade 5.3.1.

Microsoft Sentinel
Utilize o Firewall do Azure para visualizar as atividades do firewall, detectar ameaças com as capacidades de investigação de IA, correlacionar atividades e automatizar ações de resposta.
- Firewall do Azure

Descrição e resultado da atividade do DoD	Microsoft diretrizes e recomendações
`Target` 5.3.1 Segmentação de macros do datacenter As organizações DoD implementam a segmentação de macros focada no data center usando arquiteturas tradicionais em camadas (Web, aplicativo, BD) e/ou baseadas em serviço. As verificações de proxy e/ou de fiscalização são integradas à solução(ões) SDN com base nas características e no comportamento do dispositivo. Resultados: – Registrar ações no SIEM – Estabelecer verificações de proxy/imposição de atributos do dispositivo, comportamento e outros dados – Analisar atividades com o motor de análise	Rede do Azure Desenhar e implementar serviços de rede do Azure, com base em arquiteturas estabelecidas, como zonas de destino em escala corporativa. Segmente redes virtuais do Azure (VNets) e siga as práticas recomendadas de segurança de rede do Azure. Use controles de segurança de rede à medida que pacotes cruzam vários limites de VNet. - Melhores práticas para segurança de rede - Soberania e Zonas de destino do Azure - Topologia de rede e conectividade - Recomendações de rede e conectividade Microsoft Entra ID Protection Implante o Microsoft Entra ID Protection e use sinais de dispositivo e risco no seu conjunto de políticas de Acesso Condicional. Veja as orientações da Microsoft 1.3.3 em Usuário e 2.1.4 em Dispositivo. Microsoft Sentinel Use conectores para consumir logs do Microsoft Entra ID e enviar recursos de rede ao Microsoft Sentinel para auditoria, busca de ameaças, detecção e resposta. Habilite a UEBA (Análise de Comportamento da Entidade de Usuário) no Sentinel. Consulte as diretrizes da Microsoft em 5.2.2 e 1.6.2 no Usuário. Microsoft Defender XDR Integrar o Microsoft Defender para Ponto de Extremidade ao Microsoft Defender para Aplicativos de Nuvem e bloqueia o acesso a aplicativos não sancionados. - Integrar o Defender para Aplicativos de Nuvem ao Defender para Ponto de Extremidade - Descobrir e bloquear shadow IT
`Target` 5.3.2 Segmentação de macros B/C/P/S As organizações DoD implementam segmentação de macros base, camp, post e estação usando zonas de rede lógicas que limitam o movimento lateral. As verificações de proxy e/ou de fiscalização são integradas à solução(ões) SDN com base nas características e no comportamento do dispositivo. Resultados: – Estabelecer verificações de proxy/imposição de atributos de dispositivo, comportamento e outros dados – Registrar ações no SIEM – Analisar atividades com o Mecanismo de Análise – Utilizar o SOAR para fornecer decisões de acesso à política em tempo real	Complete a atividade 5.3.1. Microsoft Sentinel Utilize o Firewall do Azure para visualizar as atividades do firewall, detectar ameaças com as capacidades de investigação de IA, correlacionar atividades e automatizar ações de resposta. - Firewall do Azure

5.4 Micro segmentação

Os NSGs (grupos de segurança de rede) e os grupos de segurança de aplicativos (ASG) fornecem micro segmentação de segurança de rede para redes Azure. Os ASGs simplificam a filtragem de tráfego, com base nos padrões do aplicativo. Implante vários aplicativos na mesma sub-rede e isole o tráfego com base nos ASGs.

Para saber mais, confira proteger e gerenciar cargas de trabalho com segmentação no nível da rede.

Descrição e resultado da atividade do DoD	Microsoft diretrizes e recomendações
`Target` 5.4.1 Implementar a microssegmentação As organizações DoD implementam a infraestrutura de microssegmentação no ambiente da SDN, permitindo a segmentação básica de componentes de serviço (por exemplo, Web, aplicativo, BD), portas e protocolos. A automação básica é aceita para alterações de política, incluindo a tomada de decisões da API. Os ambientes de hospedagem virtual implementam a micro segmentação no nível de host/contêiner. Resultados: – Aceitar alterações de política automatizadas – Implementar pontos de decisão da API – Implementar agente NGF/Micro FW/Agente de Endpoint no ambiente de hospedagem virtual	Conclua a atividade 5.3.1. Firewall do Azure Premium Use Firewall do Azure Premium como o Firewall NextGen (NGF) em sua estratégia de segmentação de rede Azure. Consulte as orientações da Microsoft em 5.1.1. Grupos de segurança de aplicativo Em grupos de segurança de rede (NSGs), você pode usar grupos de segurança de aplicativo para configurar a segurança de rede como uma extensão da estrutura do aplicativo. Simplifique as políticas de segurança de rede associando recursos Azure para o mesmo aplicativo usando grupos de segurança de aplicativos. - Secure e governe cargas de trabalho com segmentação em nível de rede - Application security groups Serviço de Kubernetes do Azure Exigir Azure CNI Azure (Interface de Rede de Contêiner) para aplicativos em AKS (Serviço de Kubernetes do Azure) usando definições internas em Azure Policy. Implemente a micro-segmentação em nível de contêiner para contêineres no AKS usando políticas de rede. - Conceitos de rede para o AKS - Configurar a rede de sobreposição de CNI - Tráfego seguro entre pods usando políticas de rede - Referência de política do AKS Microsoft Defender para servidores Integrar VMs (máquinas virtuais) do Azure, VMs em outros ambientes de hospedagem de nuvem e servidores locais para o Defender para servidores. A proteção de rede no Microsoft Defender para Endpoint bloqueia processos no nível do host de se comunicarem com domínios específicos, nomes de host ou endereços IP que correspondem a Indicadores de Comprometimento (IoC). - Planeje sua implantação do Defender para Servidores - Proteja sua rede - Crie indicadores
`Target` 5.4.2 Microssegmentação de aplicativo e dispositivo As organizações DoD utilizam soluções de SDN (rede definida pelo software) para estabelecer a infraestrutura que atenda às funcionalidades de destino ZT: zonas de rede lógicas, função, atributo e controle de acesso condicional para usuários e dispositivos, serviços de gerenciamento de acesso privilegiado para recursos de rede e controle baseado em política no acesso à API. Outcomes: - Atribuir Controle de Acesso Baseado em Função, Atributo e Condição para usuários e dispositivos - Fornecer serviços de Gerenciamento de Acesso Privilegiado - Limitar o acesso com base na identidade para usuários e dispositivos - Criar zonas de rede lógicas	Microsoft Entra ID Integrate aplicativos com Microsoft Entra ID. Governe o acesso com funções de aplicativo, grupos de segurança e pacotes de acesso. Consulte as diretrizes da Microsoft 1.2 no Usuário. Acesso condicional Projete conjuntos de políticas de acesso condicional para autorização dinâmica com base em usuário, função, grupo, dispositivo, aplicativo cliente, risco de identidade e recurso de aplicativo. Use contextos de autenticação para criar zonas de rede lógicas, com base nas condições do usuário e do ambiente. Consulte as diretrizes da Microsoft 1.8.3 no Usuário. Gerenciador de identidades privilegiadas Configura o PIM para acesso just-in-time (JIT) a funções privilegiadas e grupos de segurança do Microsoft Entra. Consulte as diretrizes da Microsoft 1.4.2 no Usuário. Máquinas Virtuais do Azure e bancos de dados SQL do Azure Configuram máquinas virtuais do Azure e instâncias SQL para usar identidades do Microsoft Entra para entrada do usuário. - Entrar no Windows no Azure - Entrar na máquina virtual do Linuz no Azure - Autenticação com o SQL do Azure Azure Bastion Use Bastion para se conectar com segurança a VMs do Azure com endereços IP privados do portal do Azure ou usando o SSH (shell seguro nativo) ou um cliente RDP (protocolo de área de trabalho remota). - Bastion Microsoft Defender para servidor usa o acesso JIT (just-In-time) às VMs para protegê-las contra acesso de rede não autorizado. - Habilitar o acesso JIT em VMs
`Advanced` 5.4.3 Microssegmentação de processo As organizações DoD utilizam a microssegmentação existente e a infraestrutura de automação da SDN habilitando a microssegmentação de processo. Os processos no nível do host são segmentados com base em políticas de segurança e o acesso é concedido usando a tomada de decisão de acesso em tempo real. Resultados: – Segmentar processos de nível de host para políticas de segurança – Dar suporte a decisões de acesso em tempo real e alterações de política – Suporte ao descarregamento de logs para análise e automação – Suporte à implantação dinâmica da política de segmentação	Concluir a atividade 5.4.2. Microsoft Defender para Ponto de Extremidade Habilitar a proteção de rede no Defender para Ponto de Extremidade para bloquear a conexão de processos e aplicativos de nível de host a domínios de rede mal-intencionados. Consulte as diretrizes da Microsoft 4.5.1. Avaliação de acesso contínuo CAE (avaliação de acesso contínuo) permite que serviços como Exchange Online, SharePoint Online e Microsoft Teams assinem eventos do Microsoft Entra, como desabilitação de conta e detecções de alto risco na Proteção do Microsoft Entra ID. Consulte as diretrizes da Microsoft 1.8.3 no Usuário. Microsoft Sentinel Usar conectores para consumir logs do Microsoft Entra ID e recursos de rede para enviar ao Microsoft Sentinel para auditoria, busca de ameaças, detecção e resposta. Consulte as diretrizes da Microsoft no 5.2.2 e 1.6.2 no Usuário.
`Target` 5.4.4 Proteger dados em trânsito Com base nos mapeamentos e monitoramento do fluxo de dados, as políticas são habilitadas pelas organizações DoD para exigir a proteção de dados em trânsito. Casos de uso comuns, como Compartilhamento de Informações da Coalizão, Compartilhamento entre Limites do Sistema e Proteção entre Componentes Arquitetônicos, estão incluídos em políticas de proteção. Resultados: – proteger dados em trânsito durante o compartilhamento de informações de coalizão – Proteger dados em trânsito entre limites altos do sistema – Integrar dados na proteção de trânsito entre componentes de arquitetura	Microsoft 365 Use Microsoft 365 para colaboração do DoD. Os serviços do Microsoft 365 criptografam dados em repouso e em trânsito. - Criptografia no Microsoft 365 ID externa do Microsoft Entra O Microsoft 365 e o Microsoft Entra ID aprimoram o compartilhamento de coalizão com fácil integração e gerenciamento de acesso para usuários em outros locatários do DoD. - Colaboração B2B - Compartilhamento de convidado seguro Configurar o acesso entre locatários e as configurações de nuvem da Microsoft para controlar como os usuários colaboram com organizações externas. - Acesso entre locatários - Configurações de nuvem da Microsoft Governança de Microsoft Entra ID Governar ciclos de vida de acesso de usuário externo com o gerenciamento de direitos. - Acesso externo com gerenciamento de direitos Acesso externo com gerenciamento de direitos Use o Defender para Nuvem para continuamente avaliar e impor protocolos de transporte seguro para recursos de nuvem. - Gerenciamento de postura de segurança de nuvem

Próximas etapas

Configure Microsoft serviços de nuvem para a Estratégia de Confiança Zero do DoD:

Comentários

Esta página foi útil?

Last updated on 2026-04-20