Стратегия DoD "Никому не доверяй" для сетевого столпа

Стратегия и дорожная карта DoD "Никому не доверяй" описывает путь для компонентов Министерства обороны и партнеров промышленной базы обороны (DIB) к принятию новой структуры кибербезопасности на основе принципов "Никому не доверяй". "Никому не доверяй" устраняет традиционные предположения периметра и доверия, что обеспечивает более эффективную архитектуру, которая повышает безопасность, взаимодействие с пользователями и производительность миссий.

В этом руководстве приведены рекомендации по 152 мероприятиям "Никому не доверяй" в DoD "Никому не доверяй" Capability Execution Roadmap. Разделы соответствуют семи основным элементам модели DoD "Никому не доверяй".

Чтобы перейти к разделам руководства, воспользуйтесь приведенными ниже ссылками.

5 Сеть

В этом разделе приводятся рекомендации Майкрософт и предложения по действиям "Никому не доверяй" для Министерства обороны в рамках сетевой подсистемы. Дополнительные сведения см. в разделе Secure networks with "Никому не доверяй".

Сопоставление потока данных 5.1

Служба Azure Virtual Network — это стандартный блок в частной сети в Azure. В виртуальных сетях Azure ресурсы взаимодействуют друг с другом, Интернетом и локальными ресурсами.

При развертывании многоуровневой топологии сети в Azure Брандмауэр Azure обрабатывает трафик маршрутизации между виртуальными сетями. Кроме того, Брандмауэр Azure Premium включает такие функции безопасности, как проверка безопасности транспортного уровня (TLS), система обнаружения и предотвращения сетевых вторжений (IDPS), фильтрация URL-адресов и фильтрация содержимого.

Azure сетевые средства, такие как Azure Network Watcher и Azure Monitor Network Insights, помогают сопоставлять и визуализировать поток сетевого трафика. Microsoft Sentinel Integration обеспечивает видимость и контроль сетевого трафика организации, с помощью рабочих книг, автоматизации и возможностями обнаружения.

Описание и результат действия DoD Майкрософт руководство и рекомендации
Target 5.1.1 Определение правил гранулярного контроля доступа и политик Pt1
DoD Enterprise, работая с организациями, создает гранулярные правила и политики доступа к сети. Связанная концепция операций (ConOps) разрабатывается в соответствии с политиками доступа и обеспечивает поддержку в будущем. После согласования организации DoD будут реализовывать эти политики доступа в существующие сетевые технологии (например, брандмауэры следующего поколения, системы предотвращения вторжений и т. д.) для улучшения начальных уровней риска.

Результаты:
- Предоставление технических стандартов
- разработка концепции операций
— выявление заинтересованных общин
Брандмауэр Azure Premium
Use Azure Virtual Network и Брандмауэр Azure Premium для управления обменом данными и маршрутизацией между облачными ресурсами, облачными и локальными ресурсами и Интернетом. Брандмауэр Azure Premium имеет разведку угроз, обнаружение угроз и возможности защиты от вторжений для защиты трафика.
- Segmentation strategy
- Организуйте топологию с несколькими концентраторами и периферийными устройствами
- Брандмауэр Azure Premium

Используйте Аналитику политик Брандмауэр Azure для управления правилами брандмауэра, включения видимости потока трафика и выполнения подробной аналитики правил брандмауэра.
- Аналитика политик Брандмауэр Azure

Приватный канал Azure
Используйте Приватный канал Azure для доступа к платформе Azure как услуге (PaaS) через частную конечную точку в виртуальной сети. Используйте частные конечные точки для защиты критически важных ресурсов Azure в пределах виртуальных сетей. Трафик из виртуальной сети в Azure остается в магистральной сети Azure. Не обязательно предоставлять виртуальную сеть общедоступному Интернету для использования услуг Azure PaaS.
- Secure networks: граница службы PaaS
- Рекомендации по обеспечению сетевой безопасности

Группы безопасности сети
Включите ведение журнала потока в группах безопасности сети (NSG) для получения данных о действиях трафика. Визуализация данных активности в Наблюдатель за сетями.
- Журналы потоков NSG

Диспетчер виртуальных сетей Azure
Используйте Диспетчер виртуальных сетей Azure для централизованных конфигураций подключения и безопасности для виртуальных сетей в подписках.
- Диспетчер виртуальных сетей Azure

Диспетчер брандмауэра Azure
Диспетчер брандмауэра Azure — это служба управления безопасностью для централизованной политики безопасности и управления маршрутизацией для периметров безопасности на основе облака.
- Диспетчер брандмауэра Azure

Политика Azure
Используйте Политика Azure для обеспечения соблюдения сетевых стандартов, таких как принудительное туннелирование трафика к Брандмауэр Azure или другим сетевым устройствам. Запретить общедоступные IP-адреса или обеспечить безопасное использование протоколов шифрования.
- Definitions для сетевых служб Azure

Azure Monitor
Use Azure Network Watcher и Azure Monitor Network Insights для комплексного и визуального представления сети.
- Наблюдатель за сетями
- Network insights

Target 5.1.2 Определите правила доступа к сегментированному контролю и политики Часть 2
Организации Министерства обороны США используют стандарты тегирования и классификации данных для разработки фильтров данных для доступа к API инфраструктуры SDN. Точки принятия решений API формализованы в архитектуре SDN и реализуются с некритически важными для задач/миссий приложениями и службами.

Результат.
— Определение фильтров тегов данных для инфраструктуры API
Группы
безопасности приложений используют группы безопасности приложений для настройки сетевой безопасности в качестве расширения структуры приложения. Группировать виртуальные машины (ВМ) и определять политики безопасности сети на основе групп. Группы безопасности приложений Azure Служебные теги Использовать служебные теги для виртуальных машин Azure и виртуальных сетей Azure, чтобы ограничить доступ к службам Azure в использовании. Azure поддерживает IP-адреса, связанные с каждым тегом.
- Azure теги службы

Брандмауэр Azure
Диспетчер брандмауэра Azure — это служба управления безопасностью для централизованной политики безопасности и управления маршрутизацией для периметров безопасности на основе облака (брандмауэр, DDoS, WAF). Используйте группы IP для управления IP-адресами в правилах Брандмауэр Azure.
- Диспетчер брандмауэра Azure
- IP группы

Диспетчер виртуальных сетей Azure
Virtual Network Manager — это служба управления, предназначенная для группировки, настройки, развертывания, просмотра и управления виртуальными сетями во всех подписках глобально.
- Общие варианты использования

Azure Network Watcher
Включите Наблюдатель за сетями для мониторинга, диагностики и просмотра метрик. Включение или отключение журналов для ресурсов инфраструктуры как службы (IaaS) Azure. Используйте Наблюдатель за сетями для отслеживания и восстановления работоспособности сети продуктов IaaS, таких как виртуальные машины, виртуальные сети, шлюзы приложений, подсистемы балансировки нагрузки и другие
- Azure Network Watcher

5.2 Программно-определяемые сети

Виртуальные сети являются основой частных сетей в Azure. С помощью виртуальной сети организация управляет взаимодействием между Azure ресурсами и локальными сетями. Фильтрация и маршрутизация трафика и интеграция с другими службами Azure, такими как Брандмауэр Azure, Azure Front Door, Шлюз приложений Azure, Azure VPN Gateway и Azure ExpressRoute.

Описание и результат действия DoD Майкрософт руководство и рекомендации
Target 5.2.1 Определение API
SDNКомпания DoD работает с организациями, чтобы определить необходимые API и другие программные интерфейсы для включения функций ПРОГРАММНО-определяемой сети (SDN). Эти API позволяют включить точку принятия решений проверки подлинности, прокси-сервер управления доставкой приложений и автоматизацию шлюзов сегментации.

Результаты:
- API SDN стандартизированы и реализованы
. API-интерфейсы работают для точки принятия решений AuthN, прокси-сервера управления доставкой приложений и шлюзов сегментации
Azure Resource Manager
Разверните и настройте сети Azure с помощью API Azure Resource Manager (ARM). средства управления Azure: портал Azure, Azure PowerShell, интерфейс командной строки Azure, и шаблоны используют те же API ARM для проверки подлинности и авторизации запросов.
- Azure Resource Manager
- Azure REST API справочники

Azure роли
Назначьте встроенные роли Azure для управления сетевыми ресурсами. Следуйте принципам наименьших привилегий и назначьте роли JIT через PIM.
- встроенные роли Azure

Target 5.2.2 Реализация программируемой инфраструктуры
SDNСледуя стандартам, требованиям и функциям API SDN, DoD Organizations реализует инфраструктуру программно-определяемой сети (SDN) для включения задач автоматизации. Шлюзы сегментации и точки принятия решений по аутентификации интегрируются в инфраструктуру SDN, с последующей регистрацией результатов в стандартизированный репозиторий (например, SIEM, Log Analytics) для мониторинга и оповещения.

Результаты:
- Реализован прокси-контроля доставки приложений
- Установлен ведение журнала SIEM
- Реализован мониторинг активности пользователей (UAM)
- Интеграция с точкой принятия решений проверки подлинности.
Azure сетевые ресурсы
Обеспечьте безопасный внешний доступ к приложениям, размещенным в виртуальной сети, с использованием: Azure Front Door (AFD), Шлюз приложений Azure или Брандмауэр Azure. AFD и Шлюз приложений имеют функции балансировки нагрузки и безопасности для Открытого проекта по безопасности веб-приложений (OWASP) Top 10 и ботов. Можно создать настраиваемые правила. Брандмауэр Azure имеет фильтрацию аналитики угроз на уровне 4.
- Облачная фильтрация и защита от известных угроз
- Проектирование сетевой архитектуры

Microsoft Sentinel
Брандмауэр Azure, Шлюз приложений, ADF и Бастион Azure экспортируют журналы в Sentinel или другие системы управления безопасностью и событиями (SIEM) для анализа. Используйте соединители в Microsoft Sentinel или Политика Azure для применения этого требования в среде.
- Брандмауэр Azure с Microsoft Sentinel
- соединитель брандмауэра веб-приложений Azure к Microsoft Sentinel
- Найдите соединители данных Sentinel

прикладной прокси Microsoft Entra
Разверните прокси приложения для публикации и доставки частных приложений в вашей локальной сети. Интеграция решений партнеров безопасного гибридного доступа.
- Прокси-сервер приложений
- Развертывание прокси сервера приложений
- Интеграции с партнерами по SHA

Защита Microsoft Entra ID
Развертывание Защита Microsoft Entra ID и передача сигналов риска входа для условного доступа.

См. руководство Майкрософт 1.3.3 в разделе Пользователи.

Майкрософт Defender для облачных приложений
Используйте Defender для облачных приложений для мониторинга сеансов рискованных веб-приложений.
- Defender для облачных приложений

Target 5.2.3 Сегментирование потоков на плоскости управления, менеджмента и данных
Сетевая инфраструктура и потоки сегментируются физически или логически на плоскости управления, менеджмента и данных. Базовая сегментация с помощью подходов IPv6/VLAN реализуется для более эффективного упорядочения трафика между плоскостями данных. Аналитика и NetFlow из обновленной инфраструктуры автоматически передаются в центры операций и средства аналитики.

Результаты:
- Сегментация IPv6
. Включение автоматического отчета NetOps
— обеспечение контроля конфигурации по всему предприятию;
интеграция с SOAR
Azure Resource Manager
Azure Resource Manager — это служба развертывания и управления с уровнем управления для создания, обновления и удаления ресурсов в учетной записи Azure.
- Контрольные и информационные плоскости Azure
- Контрольные плоскости с многопользовательской поддержкой
- Операционная безопасность Azure

Microsoft Sentinel
Подключите сетевую инфраструктуру Azure к Sentinel. Настройте соединители данных Sentinel для сетевых решений, отличных от Azure. Используйте пользовательские запросы аналитики для запуска автоматики Sentinel SOAR.
- Ответ на угрозы с помощью плейбуков
- Обнаружение и реагирование для Брандмауэр Azure с Logic Apps

См. руководство Майкрософт в разделе 5.2.2.

Advanced 5.2.4 Обнаружение и оптимизация сетевых активов
Организации Министерства обороны автоматизируют обнаружение сетевых активов с помощью инфраструктуры SDN, которая ограничивает доступ к устройствам на основе методических подходов, основанных на уровне риска. Оптимизация проводится на основе аналитики SDN, чтобы повысить общую производительность вместе с обеспечением необходимого утвержденного доступа к ресурсам.

Результаты:
- Техническое обновление/развитие
технологий— обеспечение элементов управления оптимизацией и производительностью
Azure Monitor
Используйте инструменты анализа сети Azure Monitor, чтобы получить комплексное визуальное представление сетевых ресурсов, включая топологию, работоспособность и метрики.

См. руководство Майкрософт в разделе 5.1.1.

Microsoft Defender для облака
Defender для облака обнаруживает и составляет список подготовленных ресурсов в Azure, других облаках и в локальной среде.
- Мультиоблачная среда
- Управление показателями безопасности ресурсов

Майкрософт Defender для конечных точек
Подключайте конечные точки и настраивайте обнаружение устройств для сбора, проверки или сканирования сети для обнаружения неуправляемых устройств.
- Обзор обнаружения устройств
Advanced 5.2.5 Решения
о доступе в режиме реального времениИнфраструктура SDN использует межуровневые источники данных, такие как мониторинг активности пользователей, мониторинг активности сущностей, профили безопасности предприятия и многое другое для принятия решений о доступе в режиме реального времени. Машинное обучение используется для принятия решений на основе расширенной сетевой аналитики (полный сбор пакетов и т. д.). Политики последовательно реализуются на предприятии с помощью унифицированных стандартов доступа.

Результаты:
- Анализ журналов SIEM с помощью подсистемы Аналитики для принятия решений о доступе к политикам в режиме реального времени.
- Поддержка отправки захваченных пакетов, потоков данных и сетевых потоков, а также других конкретных журналов для аналитики.
- Сегментация сквозных потоков транспортной сети.
- Аудит политик безопасности для согласованности в корпоративной среде.
Выполните задания 5.2.1 – 5.2.4. Обнаруживайте угрозы, отправляя сетевые журналы в Microsoft Sentinel для анализа. Используйте такие возможности, как аналитика угроз, обнаружение расширенных многофакторных атак, поиск угроз и встроенные запросы. Автоматизация Sentinel позволяет операторам блокировать вредоносные IP-адреса.
- Обнаружение угроз с помощью правил аналитики
- Соединитель Брандмауэр Azure для Sentinel

Azure Network Watcher
Используйте Azure Network Watcher для отслеживания сетевого трафика на виртуальные машины и из них, а также в наборах масштабирования виртуальных машин.
- Перехват пакетов

Microsoft Defender для облака
Defender для облака оценивает соответствие требованиям средств безопасности сети, предписанных в платформах, таких как Microsoft Cloud Security Benchmark, уровень воздействия DoD 4 (IL4) и IL5, а также Национальный институт стандартов и технологий (NIST) 800-53 R4/R5.
- Контроль безопасности: Сетевая безопасность

Условный доступ
Используйте рабочую книгу сведений и отчетов об условном доступе, чтобы понять последствия политик условного доступа в организации.
- Сведения и отчеты

Сегментация макросов 5.3

Azure подписки — это высокоуровневые конструкции, которые разделяют ресурсы Azure. Коммуникация между ресурсами в разных подписках явно настраивается. Ресурсы виртуальной сети (VNet) в подписке обеспечивают изоляцию ресурсов на уровне сети. По умолчанию виртуальные сети не могут взаимодействовать с другими виртуальными сетями. Чтобы обеспечить сетевую связь между виртуальными сетями, установите одноранговое подключение и используйте Брандмауэр Azure для управления и мониторинга трафика.

Дополнительные сведения см. в статье о безопасных рабочих нагрузках и управлении ими с помощью сегментации на уровне сети.

Описание и результат действия DoD Рекомендации и руководства Майкрософт
Target Сегментация
макросов центра обработки данных 5.3.1Организации DoD реализуют сегментацию макросов центра обработки данных с использованием традиционных многоуровневых архитектур (веб-приложений, баз данных) и (или) на основе служб. Проверки прокси и/или контроля внедряются в решения SDN, исходя из атрибутов и поведения устройства.

Результаты:
- Сохранение действий в журнал SIEM
— Установка прокси-сервера/проверки атрибутов устройств, поведения и других данных
— Анализ деятельности с помощью аналитической системы
Azure сети
Проектируйте и реализуйте сетевые службы Azure на основе установленных архитектур, таких как посадочные зоны корпоративного масштаба. Сегментируйте Azure виртуальные сети и следуйте Azure рекомендациям по обеспечению безопасности сети. Используйте элементы управления безопасностью сети по мере прохождения пакетов через различные границы виртуальных сетей.
- Лучшие практики для сетевой безопасности
- Суверенитет и целевые зоны Azure
- Сетевые топологии и подключения
- Рекомендации по сетям и подключению

Защита Microsoft Entra ID
Разверните Защита Microsoft Entra ID и используйте сигналы устройства и риска в наборах политик условного доступа.

Смотрите руководство Майкрософт 1.3.3 в разделе User и 2.1.4 в разделе Device.

Microsoft Sentinel
Используйте соединители для получения журналов из Microsoft Entra ID, чтобы отправить их в Microsoft Sentinel для аудита, охоты на угрозы, обнаружения и реагирования. Включение аналитики поведения сущностей пользователей (UEBA) в Sentinel.

См. руководство Майкрософт в 5.2.2 и 1.6.2 в User.

Microsoft Defender XDR
Интегрировать Майкрософт Defender для конечной точки с Майкрософт Defender для облачных приложений и блокировать доступ к неуправляемым приложениям.
- Интегрировать Defender для облачных приложений с Defender для конечной точки
- Обнаруживать и блокировать теневое ИТ

Target 5.3.2 B/C/P/S макросегментация
DoD организации реализуют макросегментацию баз, лагерей, постов и станций с помощью зон логических сетей, ограничивающие боковое перемещение. Проверки прокси и/или контроля внедряются в решения SDN, исходя из атрибутов и поведения устройства.

Результаты.
- Проверка прокси/применение проверок атрибутов устройства, поведения и других данных
- Журналирование действий в SIEM
- Анализ активности с помощью аналитической системы
- Использование SOAR для принятия решений о предоставлении доступ к политике RT

Завершите задание 5.3.1.

Microsoft Sentinel
Используйте Брандмауэр Azure для визуализации действий брандмауэра, обнаружения угроз с использованием возможностей ИИ для исследования, сопоставления действий и автоматизации реагирования.
- Брандмауэр Azure

5.4 Микро сегментация

Группы безопасности сети (NSG) и группы безопасности приложений (ASG) обеспечивают сегментацию сетевой безопасности для Azure сетей. ASG упрощают фильтрацию трафика на основе шаблонов приложений. Разверните несколько приложений в одной подсети и изолируйте трафик на основе ASG.

Дополнительные сведения см. в статье о безопасных рабочих нагрузках и управлении ими с помощью сегментации на уровне сети.

Описание и результат действия DoD Майкрософт руководство и рекомендации
Target 5.4.1 Реализация микро сегментации
Организации DoD реализуют инфраструктуру микросегации в среду SDN, обеспечивая базовую сегментацию компонентов службы (например, веб-приложения, базы данных), портов и протоколов. Базовая автоматизация принимается для изменений политики, включая принятие решений API. Среды виртуального размещения реализуют микро-сегментацию на уровне узла или контейнера.

Результаты:
- Принятие автоматических изменений политики
- Реализация точек принятия решений API
- Реализация агента NGF/Micro FW/Endpoint в среде виртуального хостинга
Завершите задание 5.3.1.

Брандмауэр Azure Premium
Используйте Брандмауэр Azure Premium в качестве брандмауэра следующего поколения (NGF) в вашей стратегии сегментации сети Azure.

См. руководство Майкрософт в разделе 5.1.1.

Группы безопасности приложений
В группах безопасности сети (NSG) можно использовать группы безопасности приложений для настройки сетевой безопасности в качестве расширения структуры приложений. Упростите политики безопасности сети, связывая ресурсы Azure для одного приложения с помощью групп безопасности приложений.
- Защищайте и управляйте рабочими нагрузками с сегментацией на уровне сети
- Группы безопасности приложений

Служба Kubernetes Azure
Требуйте использования сетевого интерфейса контейнера Azure (Azure CNI) для приложений в службе Azure Kubernetes (AKS) с помощью встроенных определений в Политика Azure. Реализуйте микросегментацию уровня контейнера для контейнеров в AKS с помощью политик сети.
основные понятия - Сетевые концепции для AKS
- Настройка наложенной сети Azure CNI
- Обеспечьте безопасность трафика между модулями pod, используя сетевые политики
- Справочник по политикам AKS

Microsoft Defender для серверов
Подключите виртуальные машины Azure, виртуальные машины в других облачных средах размещения и локальные серверы к Defender для серверов. Защита сети в Microsoft Defender для конечной точки блокирует процессы уровня узла от взаимодействия с определенными доменами, именами узлов или IP-адресами, соответствующими индикаторам компрометации (IoC).
- Спланируйте развертывание Defender для серверов
- Защитите вашу сеть
- Создайте индикаторы
Target 5.4.2 Микросегментация приложений и устройств
Организации DoD используют решения SDN для создания инфраструктуры, соответствующей функциям целевой архитектуре ZT: зоны логической сети, ролевая, атрибутная и условная база управления доступом для пользователей и устройств, привилегированные службы управления доступом для сетевых ресурсов, и управление доступом через политику.

Outcomes:
- Назначение роли, атрибутов и условий для управления доступом на основе ролей и условий пользователя и устройства
- Предоставление управления привилегированным доступом
- Ограничение доступа на основе каждого удостоверения для пользователей и устройств
- Создание логических зон сети
Интегрируйте приложения с Microsoft Entra ID
. Управление доступом с помощью ролей приложения, групп безопасности и пакетов доступа.

Смотрите руководство Майкрософт 1.2 в разделе Пользователь.

Условный доступ
Разработка политики условного доступа для динамической авторизации на основе пользователя, роли, группы, устройства, клиентского приложения, риска идентичности и ресурса приложения. Используйте контексты проверки подлинности для создания зон логической сети на основе пользовательских условий и условий среды.См. рекомендации Майкрософт 1.8.3 в User.Privileged Identity ManagerНастройте PIM для JIT-доступа к привилегированным ролям и группам безопасности Microsoft Entra.См. рекомендации Майкрософт 1.4.2 в User.Виртуальные машины Azure и базах данных SQLНастройте виртуальные машины Azure и экземпляры SQL для использования идентификаций Microsoft Entra для входа пользователей.Войти в Windows на AzureВойти в виртуальную машину Linux на AzureАутентификация с Azure SQLБастион AzureИспользуйте Бастион Azure для безопасного подключения к виртуальным машинам Azure с частными IP-адресами из портала Azure, либо с помощью встроенной защищенной оболочки (SSH), либо клиента протокола удаленного рабочего стола (RDP).BastionMicrosoft Defender для сервераИспользуйте JIT-доступ к виртуальным машинам для защиты от несанкционированного доступа к сети.Включить JIT-доступ на виртуальных машинах
Advanced 5.4.3 Сегментация микропроцесса
Организации DoD используют существующую микросекционную инфраструктуру и инфраструктуру автоматизации SDN, которая позволяет выполнять микро-сегментацию процессов. Процессы уровня узла сегментируются на основе политик безопасности и доступ предоставляется с помощью принятия решений о доступе в режиме реального времени.

Результаты:
- Сегментирование процессов на уровне узла для политик
безопасности— поддержка решений о доступе в режиме реального времени и изменений
политики— поддержка разгрузки журналов для аналитики и автоматизации
. Поддержка динамического развертывания политики сегментации
действие Выполните задание 5.4.2.

Майкрософт Defender для конечной точки
Включите сетевую защиту в Defender для конечной точки, чтобы блокировать процессы и приложения на уровне узла от подключения к вредоносным доменам сети, IP-адресам или скомпрометированным именам узлов.

См. руководство Майкрософт 4.5.1.

Непрерывная оценка доступа
Непрерывная оценка доступа (CAE) позволяет таким службам, как Exchange Online, SharePoint Online и Microsoft Teams, подписываться на события Microsoft Entra, такие как отключение учетной записи и обнаружение высокого риска в Защита Microsoft Entra ID.

См. руководство Майкрософт 1.8.3 в User.

Microsoft Sentinel
Используйте соединители для передачи журналов из Microsoft Entra ID и сетевые ресурсы в Microsoft Sentinel для аудита, поиска угроз, обнаружения и реагирования.

См. руководство Майкрософт в 5.2.2 и 1.6.2 в User.
Target 5.4.4 Защита данных в процессе передачи
На основе сопоставлений потоков данных и мониторинга политики, организации Министерства обороны США вводят обязательные меры по защите данных в процессе передачи. Распространенные варианты использования, такие как совместное использование информации коалиции, совместное использование между системными границами и защита между компонентами архитектуры, включаются в политики защиты.

Результаты:
- Защита данных при передаче во время совместного использования информации коалиции
- Защита данных при передаче через высокие границы системы
- Интеграция средств защиты данных при передаче в компоненты архитектуры
Microsoft 365
Использовать Microsoft 365 для совместной работы DoD. службы Microsoft 365 шифруют данные в состоянии покоя и в транзите.
- Шифрование в Microsoft 365

Внешняя идентификация Microsoft Entra
Microsoft 365 и Microsoft Entra ID улучшают совместное использование коалиции с помощью простого подключения и управления доступом для пользователей в других клиентах DoD.
- Сотрудничество B2B
- Безопасный гостевой доступ

Настройте параметры доступа между клиентами и параметры облака Майкрософт для управления взаимодействием пользователей с внешними организациями.
- Доступ между клиентами
- Параметры облака Майкрософт

Управление Microsoft Entra ID
Организуйте жизненные циклы доступа внешних пользователей с помощью управления правами.
- Внешний доступ с управлением правами

Microsoft Defender для облака
Используйте Defender для облака для непрерывной оценки и применения безопасных транспортных протоколов для облачных ресурсов.
- Управление состоянием безопасности облака

Следующие шаги

Настройте облачные службы Майкрософт для стратегии "Никому не доверяй" DoD: