DoD 网络支柱零信任策略

DoD 零信任战略和路线图概述了国防部各部门和国防工业基地 (DIB) 合作伙伴采用基于零信任原则的新网络安全框架的路径。 零信任消除了传统的边界和信任假设,从而实现了更高效的体系结构,增强了安全性、用户体验和任务性能。

本指南针对 DoD 零信任功能执行路线图中的 152 项零信任活动提出了建议。 这些部分与 DoD 零信任模型的七大支柱相对应。

使用以下各链接,转到指导的各节。

5 网络

本节包含 Microsoft 对网络支柱中 DoD 零信任活动的指导和建议。 若要了解详细信息,请参阅使用零信任保护网络

5.1 数据流映射

Azure 虚拟网络服务是 Azure 专用网络中的一个构建基块。 在虚拟网络中,Azure 资源彼此通信、与 Internet 通信并与本地资源通信。

在 Azure 中部署多个中心辐射型网络拓扑时,Azure 防火墙将处理虚拟网络之间的路由流量。 此外,Azure 防火墙高级版还包括传输层安全性 (TLS) 检查、网络入侵、检测和防护系统 (IDPS)、URL 筛选及内容筛选等安全功能。

Azure 网络观察程序和 Azure Monitor 网络见解等 Azure 网络工具可以帮助你映射和可视化网络流量流。 Microsoft Sentinel 集成通过工作簿、自动化和检测功能,实现了对组织网络流量的可见性和控制。

DoD 活动说明和结果 Microsoft 指导和建议
Target 5.1.1 定义精细的控制访问规则和策略 pt1
与各组织合作的 DoD 企业制定了精细的网络访问规则和策略。 相关的操作概念 (ConOps) 是根据访问策略制定的,并确保未来的可支持性。 达成一致后,DoD 组织会将这些访问策略实施到现有网络技术(例如下一代防火墙、入侵防护系统等)中,以提高初始风险水平。

结果
- 提供技术标准
- 制定操作概念
- 确定相关社区
Azure 防火墙高级版使用 Azure 虚拟网络和 Azure 防火墙高级版来控制云资源、云和本地资源以及 Internet 之间的通信和路由
。 Azure 防火墙高级版具有威胁情报、威胁检测和入侵防护功能以保护流量。
- 分段策略
- 路由多中心辐射型拓扑
- Azure 防火墙高级版功能

使用 Azure 防火墙策略分析来管理防火墙规则,启用对流量流的可见性,并针对防火墙规则执行详细的分析。
- Azure 防火墙策略分析

Azure 专用链接
使用 Azure 专用链接通过虚拟网络中的专用终结点访问 Azure 平台即服务 (PaaS)。 使用专用终结点来确保关键 Azure 资源仅用于虚拟网络。 从虚拟网络到 Azure 的流量仍保留在 Azure 主干网络上。 无需向公共 Internet 公开虚拟网络以使用 Azure PaaS 服务。
- 安全网络:PaaS 服务边界
- 网络安全最佳做法

网络安全组
对网络安全组 (NSG) 启用流日志记录以获取流量活动。 在网络观察程序中可视化活动数据。
- NSG 流日志

Azure Virtual Network Manager
使用 Azure Virtual Network Manager 跨订阅为虚拟网络进行集中连接和安全配置。
- Azure Virtual Network Manager

Azure 防火墙管理器
Azure 防火墙管理器是一项安全管理服务,用于基于云的安全外围的集中式安全策略和路由管理。
- Azure 防火墙管理器

Azure Policy
使用 Azure Policy 强制实施网络标准,例如将流量强制通过隧道传输到 Azure 防火墙或其他网络设备。 禁止公共 IP 或强制安全使用加密协议。
- Azure 网络服务的定义

Azure Monitor
使用 Azure 网络观察程序和 Azure Monitor 网络见解,以全面直观地表示网络。
- 网络观察程序
- 网络见解

Target 5.1.2 定义精细的控制访问规则和策略 Pt2
DoD 组织利用数据标记和分类标准,为 API 访问 SDN 基础结构开发数据过滤器。 API 决策点在 SDN 体系结构中正式确定,并通过非任务/任务关键型应用和服务实施。

结果
- 为 API 基础结构定义数据标记筛选器
应用程序安全组
使用应用程序安全组,将网络安全配置为应用程序结构的扩展。 根据组对虚拟机 (VM) 进行分组并定义网络安全策略。
- 应用程序安全组

Azure 服务标记
使用 Azure VM 和 Azure 虚拟网络的服务标记,限制对正在使用的 Azure 服务的网络访问。 Azure 维护与每个标记关联的 IP 地址。
- Azure 服务标记

Azure 防火墙
Azure 防火墙管理器是一项安全管理服务,用于基于云的安全外围(防火墙、DDoS、WAF)的集中式安全策略和路由管理。 使用 IP 组管理 Azure 防火墙规则的 IP 地址。
- Azure 防火墙管理器
- IP 组

Azure Virtual Network Manager
Virtual Network Manager 是一项管理服务,用于跨订阅对虚拟网络进行全局分组、配置、部署、查看和管理。
- 常见用例

Azure 网络观察程序
启用网络观察程序以监视、诊断和查看指标。 启用或禁用 Azure 基础结构即服务 (IaaS) 资源的日志。 使用网络观察程序监视和修复 IaaS 产品(例如 VM、VNet、应用程序网关、负载均衡器等)的网络运行状况。
- Azure 网络观察程序

5.2 软件定义的网络

虚拟网络是 Azure 中专用网络的基础。 使用虚拟网络 (VNet),组织可控制 Azure 资源与本地之间的通信。 筛选和路由流量,并与 Azure 防火墙、Azure Front Door、Azure 应用程序网关、Azure VPN 网关和 Azure ExpressRoute 等其他 Azure 服务集成。

DoD 活动说明和结果 Microsoft 指导和建议
Target 5.2.1 定义 SDN API
DoD 企业与各组织合作,定义必要的 API 和其他编程接口,以启用软件定义的网络 (SDN) 功能。 这些 API 将启用身份验证决策点、应用程序交付控制代理和分段网关自动化。

结果
- SDN API 已标准化并实施
- API 可用于身份验证决策点、应用交付控制代理和分段网关
Azure 资源管理器
使用 Azure 资源管理器 (ARM) API 部署并配置 Azure 网络。 Azure 管理工具:Azure 门户、Azure PowerShell、Azure 命令行接口 (CLI) 和模板使用相同的 ARM API 对请求进行身份验证和授权。
- Azure 资源管理器
- Azure REST API 参考

Azure 角色
分配内置 Azure 角色进行网络资源管理。 遵循最小特权原则,并通过 PIM 实时 (JIT) 分配角色。
- Azure 内置角色

Target 5.2.2 实现 SDN 可编程基础结构
根据 API 标准、要求和 SDN API 功能,DoD 组织将实施软件定义的网络 (SDN) 基础结构以启用自动化任务。 分段网关和身份验证决策点集成到 SDN 基础结构中,同时将日志记录输出到标准化存储库(例如 SIEM、Log Analytics)中以进行监视和警报。

结果
- 已实施应用程序交付控制代理
- 已建立 SIEM 日志记录活动
- 已实施用户活动监视 (UAM)
- 已与身份验证决策点集成
Azure 网络资源
通过 Azure Front Door (AFD)、Azure 应用程序网关或 Azure 防火墙保护对虚拟网络 (VNet) 中托管的应用程序的外部访问。 AFD 和应用程序网关具有用于 Open Web Application Security Project (OWASP) Top 10 和机器人的负载均衡和安全功能。 可创建自定义规则。 Azure 防火墙在第 4 层具有威胁情报筛选功能。
- 针对已知威胁的云原生筛选和保护
- 网络体系结构设计

Microsoft Sentinel
Azure 防火墙、应用程序网关、ADF 和 Azure Bastion 将日志导出到 Sentinel 或其他安全信息和事件管理 (SIEM) 系统进行分析。 使用 Sentinel 或 Azure Policy 中的连接器,在整个环境中强制实施此要求。
- 使用 Sentinel 的 Azure 防火墙
- Azure Web 应用防火墙与 Sentinel 的连接器
- 查找 Sentinel 数据连接器

Microsoft Entra 应用程序代理
部署应用程序代理以在本地网络上发布和交付专用应用程序。 集成安全混合访问 (SHA) 合作伙伴解决方案。
- 应用程序代理
- 部署应用程序代理
- SHA 合作伙伴集成

Microsoft Entra ID 保护
部署 Microsoft Entra ID 保护并将登录风险信号引入条件访问。

查看“用户”中的 Microsoft 指导 1.3.3。

Microsoft Defender for Cloud Apps
使用 Defender for Cloud Apps 监视有风险的 Web 应用程序会话。
- Defender for Cloud Apps

Target 5.2.3 将流分段为控制平面、管理平面和数据平面
网络基础结构和流在物理上或逻辑上被分段为控制平面、管理平面和数据平面。 实施了使用 IPv6/VLAN 方法的基本分段,以更好地跨数据平面组织流量。 更新的基础结构中的分析和 NetFlow 会自动馈送到操作中心和分析工具中。

结果
- IPv6 分段
- 启用自动化 NetOps 信息报告
- 确保整个企业的配置控制
- 已与 SOAR 集成
Azure 资源管理器
Azure 资源管理器是一项部署和管理服务,其中包含一个管理层,用于在 Azure 帐户中创建、更新和删除资源。
- Azure 控制平面和数据平面
- 多租户控制平面
- Azure 操作安全性

Microsoft Sentinel
将 Azure 网络基础结构连接到 Sentinel。 为非 Azure 网络解决方案配置 Sentinel 数据连接器。 使用自定义分析查询,触发 Sentinel SOAR 自动化。
- 使用 playbook 的威胁响应
- 使用逻辑应用的 Azure 防火墙检测和响应

参阅第 5.2.2 节中的 Microsoft 指导。

Advanced 5.2.4 网络资产发现和优化
DoD 组织通过 SDN 基础结构自动执行网络资产发现,从而根据基于风险的方法限制对设备的访问。 优化基于 SDN 分析进行,以提高整体性能,同时提供对资源的必要经批准的访问权限。

结果
- 技术更新/技术演变
- 提供优化/性能控制
Azure Monitor
使用 Azure Monitor 网络见解查看网络资源的全面可视化表示形式(包括拓扑、运行状况和指标)。

查看第 5.1.1 节中的 Microsoft 指导。

Microsoft Defender for Cloud
Defender for Cloud 发现并列出 Azure、其他云和本地的预配资源清单。
- 多云环境
- 管理资源安全态势

Microsoft Defender for Endpoint
加入终结点并配置设备发现来收集、探测或扫描你的网络以发现未托管的设备。
- 设备发现概述
Advanced 5.2.5 实时访问决策
SDN 基础结构利用跨支柱数据源(如用户活动监视、实体活动监视、企业安全配置文件等)进行实时访问决策。 机器学习用于根据高级网络分析(完整数据包捕获等)协助决策制定。 使用统一访问标准在整个企业中一致地实施策略。

结果
- 使用分析引擎分析 SIEM 日志以提供实时策略访问决策
- 支持发送捕获的数据包、数据/网络流和其他特定日志进行分析
- 对端到端传输网络流进行分段
- 审核安全策略以实现整个企业的一致性
完成活动 5.2.1 - 5.2.4。

Microsoft Sentinel
通过将网络日志发送到 Sentinel 进行分析来检测威胁。 使用威胁情报、高级多阶段攻击检测、威胁搜寻和内置查询等功能。 通过 Sentinel 自动化,操作员能够阻止恶意 IP 地址。
- 使用分析规则检测威胁
- 用于 Sentinel 的 Azure 防火墙连接器

Azure 网络观察程序
使用 Azure 网络观察程序捕获传入和传出虚拟机 (VM) 和虚拟机规模集的网络流量。
- 数据包捕获

Microsoft Defender for Cloud
Defender for Cloud 评估对框架(如 Microsoft 云安全基准、DoD 影响级别 4 (IL4) 和 IL5 及国家标准与技术研究所 (NIST) 800-53 R4/R5)中规定的网络安全控制的合规性。
- 安全控制:网络安全

条件访问
使用条件访问见解和报告工作簿,了解组织条件访问策略的影响。
- 见解和报告

5.3 宏观分段

Azure 订阅是用于分隔 Azure 资源的高级构造。 显式预配了不同订阅中资源之间的通信。 订阅中的虚拟网络 (VNet) 资源提供网络级资源包含。 默认情况下,VNet 无法与其他 VNet 通信。 若要在 VNet 之间启用网络通信,请对 VNet 进行对等互连并使用 Azure 防火墙控制和监视流量。

若要了解详细信息,请参阅通过网格级分段保护和治理工作负载

DoD 活动说明和结果 Microsoft 指导和建议
Target 5.3.1 数据中心宏观分段
DoD 组织使用传统分层的(Web、应用、db)和/或基于服务的体系结构实施以数据中心为中心的宏观分段。 基于设备特性和行为,代理和/或强制检查与 SDN 解决方案集成。

结果
- 将操作记录到 SIEM
- 建立对设备特性、行为和其他数据的代理/强制检查
- 使用分析引擎分析活动
Azure 网络
基于已建立的体系结构(例如企业规模登陆区域),设计和实施 Azure 网络服务。 对 Azure 虚拟网络 (VNet) 进行分段,并遵循 Azure 网络安全最佳做法。 当数据包跨越各种 VNet 边界时,使用网络安全控制。
- 网络安全最佳做法
- 主权和 Azure 登陆区域
- 网络拓扑和连接
- 网络和连接建议

Microsoft Entra ID 保护
部署 Microsoft Entra ID 保护,并在条件访问策略集中使用设备和风险信号。

查看“用户”中的 Microsoft 指导 1.3.3 和“设备”中的 2.1.4。

Microsoft Sentinel
使用连接器以使用 Microsoft Entra ID 中的日志及网络资源,以发送到 Microsoft Sentinel 进行审核、威胁搜寻、检测和响应。 在 Sentinel 中启用用户实体行为分析 (UEBA)。

查看用户中第 5.2.2 节和第 1.6.2 节中的 Microsoft 指导。

Microsoft Defender XDR
将 Microsoft Defender for Endpoint 与 Microsoft Defender for Cloud Apps 集成,并阻止访问未批准的应用。
- 将 Defender for Cloud Apps 与 Defender for Endpoint 集成
- 发现并阻止影子 IT

Target 5.3.2 B/C/P/S 宏观分段
DoD 组织使用限制横向移动的逻辑网络区域,实施基地、营地、哨所和车站的宏观分段。 基于设备特性和行为,代理和/或强制检查与 SDN 解决方案集成。

结果
- 建立对设备特性、行为和其他数据的代理/强制检查
- 将操作记录到 SIEM
- 使用分析引擎分析活动
- 利用 SOAR 提供 RT 策略访问决策

完成活动 5.3.1。

Microsoft Sentinel
使用 Azure 防火墙可视化防火墙活动、通过 AI 调查功能检测威胁、关联活动并自动执行响应操作。
- Azure 防火墙

5.4 微观分段

网络安全组 (NSG) 和应用程序安全组 (ASG) 为 Azure 网络提供网络安全微观分段。 ASG 根据应用程序模式简化流量筛选。 在同一子网中部署多个应用程序,并根据 ASG 隔离流量。

若要了解详细信息,请参阅通过网格级分段保护和治理工作负载

DoD 活动说明和结果 Microsoft 指导和建议
Target 5.4.1 实施微观分段
DoD 组织在 SDN 环境中实施微观分段基础结构,从而实现服务组件(例如 Web、应用、db)、端口和协议的基本分段。 对于包括 API 决策制定在内的策略更改,接受基本自动化。 虚拟托管环境在主机/容器级别实施微观分段。

结果
- 接受自动化策略更改
- 实施 API 决策点
- 在虚拟托管环境中实施 NGF/微观 FW/终结点代理
完成活动 5.3.1。

Azure 防火墙高级版
使用 Azure 防火墙高级版作为 Azure 网络分段策略中的 NextGen 防火墙 (NGF)。

请参阅 5.1.1 中的 Microsoft 指南。

应用程序安全组
在网络安全组 (NSG) 中,可以使用应用程序安全组将网络安全性配置为应用程序结构的扩展。 使用应用程序安全组为同一应用程序关联 Azure 资源,从而简化网络安全策略。
- 通过网络级分段保护和管理工作负载
- 应用程序安全组

Azure Kubernetes 服务
对于 Azure Kubernetes 服务 (AKS) 中使用 Azure Policy 中的内置定义的应用程序,需要 Azure 容器网络接口 (Azure CNI)。 使用网络策略为 AKS 中的容器实现容器级微分段。
- AKS 的网络概念
- 配置 Azure CNI 覆盖网络
- 使用网络策略来保护 Pod 之间的流量
- AKS 策略定义

Microsoft Defender for Servers
将 Azure 虚拟机 (VM)、其他云托管环境中的 VM 以及本地服务器加入 Defender for Servers。 Microsoft Defender for Endpoint 中的网络保护会阻止主机级进程与匹配威胁指标 (IoC) 的特定域、主机名或 IP 地址通信。
- 规划 Defender for Servers 部署
- 保护网络
- 创建指标
Target 5.4.2 应用程序与设备微观分段
DoD 组织利用软件定义的网络 (SDN) 解决方案来建立满足 ZT 目标功能的基础结构:针对用户和设备的逻辑网络区域、角色、特性和基于条件的访问控制,针对网络资源的特权访问管理服务,以及针对 API 访问的基于策略的控制。

结果
- 向用户和设备分配角色、特性和基于条件的访问控制
- 提供 Privileged Access Management 服务
- 根据用户和设备的标识限制访问
- 创建逻辑网络区域
Microsoft Entra ID
将应用程序与 Microsoft Entra ID 集成。 使用应用角色、安全组和访问包管理访问。

查看“用户”中的 Microsoft 指导 1.2。

条件访问
根据用户、角色、组、设备、客户端应用、标识风险和应用程序资源,为动态授权设计条件访问策略集。 根据用户和环境条件,使用身份验证上下文创建逻辑网络区域。

查看“用户”中的 Microsoft 指导 1.8.3。

Privileged Identity Manager
配置 PIM 以便对特权角色和 Microsoft Entra 安全组进行实时 (JIT) 访问。

查看“用户”中的 Microsoft 指导 1.4.2。

Azure 虚拟机和 SQL 数据库
将 Azure 虚拟机和 SQL 实例配置为使用 Microsoft Entra 标识进行用户登录。
- 在 Azure 中登录 Windows
- 在 Azure 中登录 Linux VM
- 使用 Azure SQL 进行身份验证

Azure Bastion
使用 Bastion 从 Azure 门户通过专用 IP 地址或通过使用本机安全外壳 (SSH) 或远程桌面协议 (RDP) 客户端,安全地连接到 Azure 虚拟机。
- Bastion

Microsoft Defender for Server
对虚拟机使用即时 (JIT) 访问,以保护它们免于未经授权的网络访问。
- 在 VM 上启用 JIT 访问
Advanced 5.4.3 流程微观分段
DoD 组织利用现有的微观分段和 SDN 自动化基础结构,实施了流程微观分段。 主机级流程根据安全策略进行分段,并使用实时访问决策制定授予访问权限。

结果
- 对安全策略的主机级流程进行分段
- 支持实时访问决策和策略更改
- 支持卸载日志以进行分析和自动化
- 支持动态部署分段策略
完成活动 5.4.2。

Microsoft Defender for Endpoint
在 Defender for Endpoint 中启用网络保护,以阻止主机级进程和应用程序连接到恶意网络域、IP 地址或遭入侵的主机名。

请参阅 Microsoft 指南 4.5.1。

持续访问评估
持续访问评估 (CAE) 使 Exchange Online、SharePoint Online 和 Microsoft Teams 等服务能够订阅 Microsoft Entra 事件,例如 Microsoft Entra ID 保护中的帐户禁用和高风险检测。

请参阅“用户”中的 Microsoft 指南 1.8.3。

Microsoft Sentinel
通过连接器使用来自 Microsoft Entra ID 的日志、要发送到 Microsoft Sentinel 以进行审核、威胁搜寻、检测和响应的网络资源。

请参阅“用户”中 5.2.2 和 1.6.2 中的 Microsoft 指南。
Target 5.4.4 保护传输中的数据
基于数据流映射和监视,DoD 组织启用策略以强制保护传输中的数据。 保护策略中包括联盟信息共享、跨系统边界共享和跨体系结构组件保护等常见用例。

结果
- 在联盟信息共享期间保护传输中的数据
- 跨系统高边界保护传输中的数据
- 跨体系结构组件集成传输中的数据保护
Microsoft 365
使用 Microsoft 365 进行 DoD 协作。 Microsoft 365 服务对静态和传输中的数据进行加密。
- Microsoft 365 中的加密

Microsoft Entra 外部 ID
Microsoft 365 和 Microsoft Entra ID 增强了联盟共享,方便其他 DoD 租户的用户加入和管理访问。
- B2B 协作
- 保护来宾共享

配置跨租户访问和 Microsoft 云设置,以控制用户与外部组织的协作方式。
- 跨租户访问
- Microsoft 云设置

Microsoft Entra ID Governance
通过权利管理来管理外部用户访问生命周期。
- 使用权利管理的外部访问

Microsoft Defender for Cloud
使用 Defender for Cloud 持续评估并强制执行云资源的安全传输协议。
- 云安全态势管理

后续步骤

为 DoD 零信任策略配置 Microsoft 云服务: