DoD-Zero Trust Strategie für die Netzwerksäule

Die DoD Zero Trust Strategie und Roadmap beschreibt einen Weg für Komponenten des Verteidigungsministeriums und Partner der Verteidigungsindustrie, um ein neues Cybersicherheits-Framework basierend auf Zero-Trust-Prinzipien einzuführen. Zero Trust beseitigt herkömmliche Umkreise und Vertrauensannahmen, wodurch eine effizientere Architektur ermöglicht wird, die Sicherheit, Benutzererfahrung und Unternehmensleistung verbessert.

Dieser Leitfaden enthält Empfehlungen für die 152 Zero Trust-Aktivitäten im DoD Zero Trust Fähigkeitsumsetzungsplan. Die Abschnitte entsprechen den sieben Säulen des DoD-Zero Trust-Modells.

Über die folgenden Links gelangen Sie zu den entsprechenden Abschnitten des Leitfadens.

5 Netzwerk

Dieser Abschnitt enthält Microsoft Anleitungen und Empfehlungen für DoD-Zero Trust Aktivitäten in der Netzwerksäule. Weitere Informationen finden Sie unter Secure networks with Zero Trust.

5.1 Datenflusszuordnung

Der Azure Virtual Network-Dienst ist ein Baustein in Ihrem privaten Netzwerk in Azure. In virtuellen Netzwerken kommunizieren Azure-Ressourcen miteinander, mit dem Internet und mit lokalen Ressourcen.

Beim Bereitstellen einer Topologie mit mehreren Hub-and-Spoke-Netzwerken in Azure übernimmt die Azure Firewall das Routing von Datenverkehr zwischen virtuellen Netzwerken. Darüber hinaus umfasst Azure Firewall Premium Sicherheitsfeatures wie Trasport-Layer Security (TLS)-Inspektion, Netzwerkangriffs-, Erkennungs- und Präventionssystem (IDPS), URL-Filterung und Inhaltsfilterung.

Azure Netzwerktools wie Azure Network Watcher und Azure Monitor Network Insights helfen Ihnen beim Zuordnen und Visualisieren des Netzwerkdatenverkehrsflusses. Microsoft Sentinel Integration ermöglicht die Sichtbarkeit und Kontrolle über den Netzwerkdatenverkehr der Organisation mit Arbeitsmappen, Automatisierungs- und Erkennungsfunktionen.

Beschreibung und Ergebnis der DoD-Aktivität Microsoft Anleitungen und Empfehlungen

Target 5.1.1 Definieren von granularen Zugriffssteuerungsregeln und -richtlinien Teil 1
Die DoD-Organisation erstellt in Zusammenarbeit mit den Organisationen detaillierte Regeln und Richtlinien für den Netzwerkzugriff. Das zugehörige Betriebskonzept (CONOPS) wird in Übereinstimmung mit den Zugriffsrichtlinien entwickelt und stellen die zukünftige Unterstützung sicher. Sobald eine Einigung erzielt wurde, implementieren die DoD-Organisationen diese Zugriffsrichtlinien in vorhandene Netzwerktechnologien (z. B. Firewalls der nächsten Generation, Angriffsschutzsysteme usw.), um die anfänglichen Risikostufen zu verbessern.

Ergebnisse:
– Bereitstellung von technischen Standards
– Entwicklung eines Betriebskonzepts
– Identifizierung von Interessengemeinschaften Azure Firewall Premium
Nutzung Azure Virtual Network und Azure Firewall Premium zur Steuerung der Kommunikation und des Routings zwischen Cloudressourcen, Cloud- und lokalen Ressourcen und dem Internet. Azure Firewall Premium verfügt über Bedrohungsintelligenz, Bedrohungserkennung und Angriffsschutzfunktionen zum Sichern von Datenverkehr.
- Segmentationsstrategie
- Route eine Multi-Hub-und-Speichen-Topologie
- Azure Firewall Premium-Funktionen

Verwenden Sie Azure Firewall Richtlinienanalyse zum Verwalten von Firewallregeln, Aktivieren der Sichtbarkeit des Datenverkehrsflusses und Durchführen detaillierter Analysen zu Firewallregeln.
- Azure Firewall Policy Analytics

Azure Private Link
Verwenden Sie Azure Private Link, um auf die Azure Plattform als Dienst (PaaS) über einen privaten Endpunkt in einem virtuellen Netzwerk zuzugreifen. Verwenden Sie private Endpunkte, um wichtige Azure Ressourcen ausschließlich für virtuelle Netzwerke zu sichern. Datenverkehr von virtuellem Netzwerk zu Azure verbleibt im Azure Backbone-Netzwerk. Es ist nicht erforderlich, virtuelle Netzwerke für das öffentliche Internet verfügbar zu machen, um Azure PaaS-Dienste zu nutzen.
- Sichere Netzwerke: PaaS-Dienstgrenze
- Netzwerksicherheit: Beste Praktiken

Netzwerksicherheitsgruppen
Aktivieren Sie die Flow-Protokollierung in Netzwerksicherheitsgruppen (NSGs), um Verkehrsaktivitäten zu erfassen. Visualisieren von Aktivitätsdaten in Network Watcher.
- NSG-Flussprotokollen

Azure Virtual Network Manager
Use Azure Virtual Network Manager für zentralisierte Konnektivitäts- und Sicherheitskonfigurationen für virtuelle Netzwerke über Abonnements hinweg.
- Azure Virtual Network Manager

Azure Firewall Manager
Azure Firewall Manager ist ein Sicherheitsverwaltungsdienst für zentrale Sicherheitsrichtlinien und die Routenverwaltung für cloudbasierte Sicherheitsperimeter.
- Azure Firewall Manager

Azure Policy
Verwenden Sie Azure Policy, um Netzwerkstandards zu erzwingen, z. B. erzwungenes Tunneln von Datenverkehr zu Azure Firewall oder anderen Netzwerkgeräten. Verbieten öffentlicher IPs oder erzwingen sie die sichere Verwendung von Verschlüsselungsprotokollen.
- Definitions für Azure Netzwerkdienste

Azure Monitor
Use Azure Network Watcher and Azure Monitor Network Insights für eine umfassende und visuelle Darstellung Ihres Netzwerks.
- Network Watcher
- Network insights

Target 5.1.2 Definieren von granularen Zugriffsregelungen und Richtlinien Teil 2
DoD-Organisationen verwenden Standards zur Datenkennzeichnung und Klassifizierung, um Datenfilter für den API-Zugriff auf die SDN-Infrastruktur zu entwickeln. API-Entscheidungspunkte werden innerhalb der SDN-Architektur formalisiert und mit nicht auftrags-/aufgabenkritischen Anwendungen und Diensten implementiert.

Ergebnis-:
– Definieren von Datentaggingfiltern für API-Infrastruktur Anwendungssicherheitsgruppen
Verwenden von Anwendungssicherheitsgruppen zum Konfigurieren der Netzwerksicherheit als Erweiterung der Anwendungsstruktur. Gruppieren Sie virtuelle Maschinen (VMs) und definieren Sie Netzwerksicherheitsrichtlinien basierend auf den Gruppen.
- Anwendungs-Sicherheitsgruppen

Azure Service-Tags
Verwenden Sie Service-Tags für Azure-VMs und Azure Virtual Networks, um den Netzwerkzugriff auf die verwendeten Azure-Dienste zu beschränken. Azure verwaltet IP-Adressen, die jedem Tag.
- Azure Diensttags zugeordnet sind

Azure Firewall
Azure Firewall Manager ist ein Sicherheitsverwaltungsdienst für zentralisierte Sicherheitsrichtlinien und Routenverwaltung für cloudbasierte Sicherheitsperimeter (Firewall, DDoS, WAF). Verwenden von IP-Gruppen zum Verwalten von IP-Adressen für Azure Firewall rules.
- Azure Firewall Manager
- IP groups

Azure Virtual Network Manager
Virtual Network Manager ist ein Verwaltungsdienst zum Gruppieren, Konfigurieren, Bereitstellen, Anzeigen und Verwalten virtueller Netzwerke global über Abonnements hinweg.
- Gängige Anwendungsfälle

Azure Network Watcher
Aktivieren Sie Network Watcher, um es zur Überwachung, Diagnose und Anzeige von Metriken zu verwenden. Aktivieren oder Deaktivieren von Protokollen für Azure-Infrastruktur-als-einen-Service (IaaS)-Ressourcen. Verwenden Sie Network Watcher, um den Netzwerkstatus von IaaS-Produkten wie VMs, VNets, Anwendungsgateways, Lastenausgleichsmodulen und mehr zu überwachen und zu reparieren.
- Azure Network Watcher

Beschreibung und Ergebnis der DoD-Aktivität	Microsoft Anleitungen und Empfehlungen
`Target` 5.1.1 Definieren von granularen Zugriffssteuerungsregeln und -richtlinien Teil 1 Die DoD-Organisation erstellt in Zusammenarbeit mit den Organisationen detaillierte Regeln und Richtlinien für den Netzwerkzugriff. Das zugehörige Betriebskonzept (CONOPS) wird in Übereinstimmung mit den Zugriffsrichtlinien entwickelt und stellen die zukünftige Unterstützung sicher. Sobald eine Einigung erzielt wurde, implementieren die DoD-Organisationen diese Zugriffsrichtlinien in vorhandene Netzwerktechnologien (z. B. Firewalls der nächsten Generation, Angriffsschutzsysteme usw.), um die anfänglichen Risikostufen zu verbessern. Ergebnisse: – Bereitstellung von technischen Standards – Entwicklung eines Betriebskonzepts – Identifizierung von Interessengemeinschaften	Azure Firewall Premium Nutzung Azure Virtual Network und Azure Firewall Premium zur Steuerung der Kommunikation und des Routings zwischen Cloudressourcen, Cloud- und lokalen Ressourcen und dem Internet. Azure Firewall Premium verfügt über Bedrohungsintelligenz, Bedrohungserkennung und Angriffsschutzfunktionen zum Sichern von Datenverkehr. - Segmentationsstrategie - Route eine Multi-Hub-und-Speichen-Topologie - Azure Firewall Premium-Funktionen Verwenden Sie Azure Firewall Richtlinienanalyse zum Verwalten von Firewallregeln, Aktivieren der Sichtbarkeit des Datenverkehrsflusses und Durchführen detaillierter Analysen zu Firewallregeln. - Azure Firewall Policy Analytics Azure Private Link Verwenden Sie Azure Private Link, um auf die Azure Plattform als Dienst (PaaS) über einen privaten Endpunkt in einem virtuellen Netzwerk zuzugreifen. Verwenden Sie private Endpunkte, um wichtige Azure Ressourcen ausschließlich für virtuelle Netzwerke zu sichern. Datenverkehr von virtuellem Netzwerk zu Azure verbleibt im Azure Backbone-Netzwerk. Es ist nicht erforderlich, virtuelle Netzwerke für das öffentliche Internet verfügbar zu machen, um Azure PaaS-Dienste zu nutzen. - Sichere Netzwerke: PaaS-Dienstgrenze - Netzwerksicherheit: Beste Praktiken Netzwerksicherheitsgruppen Aktivieren Sie die Flow-Protokollierung in Netzwerksicherheitsgruppen (NSGs), um Verkehrsaktivitäten zu erfassen. Visualisieren von Aktivitätsdaten in Network Watcher. - NSG-Flussprotokollen Azure Virtual Network Manager Use Azure Virtual Network Manager für zentralisierte Konnektivitäts- und Sicherheitskonfigurationen für virtuelle Netzwerke über Abonnements hinweg. - Azure Virtual Network Manager Azure Firewall Manager Azure Firewall Manager ist ein Sicherheitsverwaltungsdienst für zentrale Sicherheitsrichtlinien und die Routenverwaltung für cloudbasierte Sicherheitsperimeter. - Azure Firewall Manager Azure Policy Verwenden Sie Azure Policy, um Netzwerkstandards zu erzwingen, z. B. erzwungenes Tunneln von Datenverkehr zu Azure Firewall oder anderen Netzwerkgeräten. Verbieten öffentlicher IPs oder erzwingen sie die sichere Verwendung von Verschlüsselungsprotokollen. - Definitions für Azure Netzwerkdienste Azure Monitor Use Azure Network Watcher and Azure Monitor Network Insights für eine umfassende und visuelle Darstellung Ihres Netzwerks. - Network Watcher - Network insights
`Target` 5.1.2 Definieren von granularen Zugriffsregelungen und Richtlinien Teil 2 DoD-Organisationen verwenden Standards zur Datenkennzeichnung und Klassifizierung, um Datenfilter für den API-Zugriff auf die SDN-Infrastruktur zu entwickeln. API-Entscheidungspunkte werden innerhalb der SDN-Architektur formalisiert und mit nicht auftrags-/aufgabenkritischen Anwendungen und Diensten implementiert. Ergebnis-: – Definieren von Datentaggingfiltern für API-Infrastruktur	Anwendungssicherheitsgruppen Verwenden von Anwendungssicherheitsgruppen zum Konfigurieren der Netzwerksicherheit als Erweiterung der Anwendungsstruktur. Gruppieren Sie virtuelle Maschinen (VMs) und definieren Sie Netzwerksicherheitsrichtlinien basierend auf den Gruppen. - Anwendungs-Sicherheitsgruppen Azure Service-Tags Verwenden Sie Service-Tags für Azure-VMs und Azure Virtual Networks, um den Netzwerkzugriff auf die verwendeten Azure-Dienste zu beschränken. Azure verwaltet IP-Adressen, die jedem Tag. - Azure Diensttags zugeordnet sind Azure Firewall Azure Firewall Manager ist ein Sicherheitsverwaltungsdienst für zentralisierte Sicherheitsrichtlinien und Routenverwaltung für cloudbasierte Sicherheitsperimeter (Firewall, DDoS, WAF). Verwenden von IP-Gruppen zum Verwalten von IP-Adressen für Azure Firewall rules. - Azure Firewall Manager - IP groups Azure Virtual Network Manager Virtual Network Manager ist ein Verwaltungsdienst zum Gruppieren, Konfigurieren, Bereitstellen, Anzeigen und Verwalten virtueller Netzwerke global über Abonnements hinweg. - Gängige Anwendungsfälle Azure Network Watcher Aktivieren Sie Network Watcher, um es zur Überwachung, Diagnose und Anzeige von Metriken zu verwenden. Aktivieren oder Deaktivieren von Protokollen für Azure-Infrastruktur-als-einen-Service (IaaS)-Ressourcen. Verwenden Sie Network Watcher, um den Netzwerkstatus von IaaS-Produkten wie VMs, VNets, Anwendungsgateways, Lastenausgleichsmodulen und mehr zu überwachen und zu reparieren. - Azure Network Watcher

5.2 Softwaredefiniertes Netzwerk

Virtuelle Netzwerke sind die Grundlage privater Netzwerke in Azure. Mit einem virtuellen Netzwerk (VNet) steuert eine Organisation die Kommunikation zwischen Azure-Ressourcen und lokalen Umgebungen. Filtern und Weiterleiten von Datenverkehr und Integration in andere Azure Dienste wie Azure Firewall, Azure Front Door, Azure Application Gateway, Azure VPN Gateway und Azure ExpressRoute.

Beschreibung und Ergebnis der DoD-Aktivität	Microsoft Anleitungen und Empfehlungen
`Target` 5.2.1 Definieren von SDN-APIs Das DoD-Unternehmen arbeitet mit den Organisationen zusammen, um die erforderlichen APIs und andere programmgesteuerten Benutzerschnittstellen zu definieren, um SDN-Funktionen (Softwaredefiniertes Netzwerk) zu ermöglichen. Diese APIs aktivieren einen Authentifizierungsentscheidungspunkt, einen Proxy zur Steuerung der Anwendungsbereitstellung und die Automatisierung von Segmentierungsgateways. Ergebnisse: – SDN-APIs sind standardisiert und implementiert – APIs sind für den Authentifizierungsentscheidungspunkt, den Proxy zur Steuerung der App-Bereitstellung und Segmentierungsgateways funktionsfähig	Azure Resource Manager Deploy und Konfigurieren von Azure Netzwerken mithilfe von AZURE RESOURCE MANAGER(ARM)-APIs. Azure Verwaltungstools: Azure Portal, Azure PowerShell, Azure Command-Line Schnittstelle (CLI) und Vorlagen verwenden dieselben ARM-APIs zum Authentifizieren und Autorisieren von Anforderungen. - Azure Resource Manager - Azure REST-API-Verweise Azure-Rollen Weisen Sie integrierte Azure-Rollen für die Verwaltung von Netzwerkressourcen zu. Befolgen Sie die Prinzipien der geringsten Rechte und weisen Sie Rollen just-in-time (JIT) über PIM zu. - Azure eingebaute Rollen
`Target` 5.2.2 Implementieren der programmierbaren SDN-Infrastruktur Gemäß den API-Standards, Anforderungen und SDN-API-Funktionen implementieren DoD-Organisationen eine SDN-Infrastruktur (Softwaredefiniertes Netzwerk), um Automatisierungsaufgaben zu ermöglichen. Segmentierungsgateways und Authentifizierungsentscheidungspunkte werden zusammen mit der Ausgabeprotokollierung in ein standardisiertes Repository (z. B. SIEM, Log Analytics) zur Überwachung und Warnung integriert. Ergebnisse: – Proxy zur Steuerung der Anwendungsbereitstellung implementiert – SIEM-Protokollierungsaktivitäten eingerichtet – Benutzeraktivitätsüberwachung (User Activity Monitoring, UAM) implementiert – Integration mit Authentifizierungsentscheidungspunkt	Azure Netzwerkressourcen Sichern Sie den externen Zugriff auf Anwendungen, die in einem virtuellen Netzwerk (VNet) gehostet werden, mit Hilfe von: Azure Front Door (AFD), Azure Application Gateway oder Azure Firewall. AFD und Application Gateway verfügen über Load-Balancing- und Sicherheitsfunktionen für das Open Web Application Security Project (OWASP) Top 10 und Bots. Sie können benutzerdefinierte Regeln erstellen. Azure Firewall verfügt über die Bedrohungsintelligenz-Filterung auf Layer 4. - Cloud native Filterung und Schutz für bekannte Bedrohungen - Netzwerkarchitekturdesign Microsoft Sentinel Azure Firewall, Application Gateway, ADF und Azure Bastion exportieren Protokolle in Sentinel oder andere SIEM-Systeme (Security Information and Event Management) zur Analyse. Verwenden Sie Konnektoren in Sentinel oder Azure Policy, um diese Anforderung in einer Umgebung zu erzwingen. - Azure Firewall mit Sentinel - Azure Web App Firewall-Konnektor zu Sentinel - Finden Sie Sentinel-Datenkonnektoren Microsoft Entra Anwendungsproxy Setzen Sie den Anwendungsproxy ein, um private Anwendungen in Ihrem lokalen Netzwerk zu veröffentlichen und bereitzustellen. Integrieren Sie Partnerlösungen für den sicheren Hybridzugriff (SHA). - Anwendungsproxy - Bereitstellen von Anwendungsproxy - SHA-Partnerintegrationen Microsoft Entra ID Protection Bereitstellen von Microsoft Entra ID Protection und bringen Sie Anmelderisikosignale zum bedingten Zugriff. Siehe Microsoft-Anleitung 1.3.3 in Benutzer. Microsoft Defender für Cloud-Apps Verwenden Sie Defender für Cloud-Apps, um riskante Webanwendungssitzungen zu überwachen. - Defender für Cloud-Apps
`Target` 5.2.3 Segmentflows in Steuerungs-, Verwaltungs- und Datenebenen Netzwerkinfrastruktur und -flows werden physisch oder logisch in Steuerungs-, Verwaltungs- und Datenebenen segmentiert. Die grundlegende Segmentierung mit IPv6/VLAN-Ansätzen wird implementiert, um den Datenverkehr über Datenebenen besser zu organisieren. Analysen und NetFlow aus der aktualisierten Infrastruktur werden automatisch in Operations Centers und Analysetools eingespeist. Ergebnisse: – IPv6-Segmentierung – Aktivieren der automatisierten NetOps-Informationsberichte – Sicherstellen der unternehmensweiten Konfigurationssteuerung – Integration mit SOAR	Azure Resource Manager Azure Resource Manager ist ein Bereitstellungs- und Verwaltungsdienst mit einer Verwaltungsebene zum Erstellen, Aktualisieren und Löschen von Ressourcen in einem Azure-Konto. - Azure Verwaltungs- und Datenebenen - Multitenant-Steuerebenen - Azure Betriebssicherheit Microsoft Sentinel Verbinden Sie die Azure-Netzwerkinfrastruktur mit Sentinel. Konfigurieren Sie Sentinel-Daten-Connectoren für Nicht-Azure-Netzwerklösungen. Verwenden Sie benutzerdefinierte Analyseabfragen, um Sentinel SOAR-Automatisierung auszulösen. - Bedrohungsreaktion mit Playbooks - Erkennung und Reaktion für Azure Firewall mit Logik-Apps Siehe Microsoft-Anleitung in 5.2.2.
`Advanced` 5.2.4 Ermittlung und Optimierung von Netzwerkressourcen DoD-Organisationen automatisieren die Ermittlung von Netzwerkressourcen über die SDN-Infrastruktur, die den Zugriff auf Geräte basierend auf risikobasierten methodischen Ansätzen beschränkt. Die Optimierung wird basierend auf den SDN-Analysen durchgeführt, um die Gesamtleistung zu verbessern, sowie den erforderlichen genehmigten Zugriff auf Ressourcen zu ermöglichen. Ergebnisse: – Technische Aktualisierung/technologische Entwicklung – Bereitstellung von Optimierungs-/Leistungskontrollen	Azure Monitor Verwenden Sie Azure Monitor Network Insights, um eine umfassende visuelle Darstellung von Netzwerkressourcen zu sehen, einschließlich Topologie, Integrität und Metrik. Siehe die Microsoft-Leitlinien in 5.1.1. Microsoft Defender for Cloud Defender for Cloud ermittelt und listet einen Bestand der bereitgestellten Ressourcen in Azure auf, sowie andere Clouds und lokale Umgebungen. - Multicloud-Umgebung - Verwalten Sie den Sicherheitsstatus der Ressourcen Microsoft Defender for Endpoint Integrieren Sie Endpunkte und konfigurieren Sie die Geräteermittlung, um Ihr Netzwerk zu erfassen, zu untersuchen oder zu scannen und nicht verwaltete Geräte zu ermitteln. - Device discovery overview
`Advanced` 5.2.5 Zugriffsentscheidungen in Echtzeit SDN-Infrastruktur verwendet säulenübergreifende Datenquellen wie Aktivitätsüberwachung für Benutzer und Entitäten, Unternehmenssicherheitsprofile und mehr für Zugriffsentscheidungen in Echtzeit. Maschinelles Lernen wird verwendet, um die Entscheidungsfindung basierend auf erweiterten Netzwerkanalysen (vollständige Paketerfassung usw.) zu unterstützen. Richtlinien werden im gesamten Unternehmen unter Verwendung einheitlicher Zugriffsstandards konsistent implementiert. Ergebnisse: – Analyse von SIEM-Protokollen mit dem Analysemodul, um richtlinienbasierte Zugriffsentscheidungen in Echtzeit bereitzustellen – Unterstützen des Sendens erfasster Pakete, Daten-/Netzwerkflüsse und anderer spezifischer Protokolle zur Analyse- – Segmentieren von End-to-End-Transportnetzwerkflüssen – Überprüfung von Sicherheitsrichtlinien auf Konsistenz im gesamten Unternehmen	Vervollständigen Sie Aktivitäten 5.2.1 - 5.2.4. Microsoft Sentinel Erkennen Sie Bedrohungen, indem Sie Netzwerkprotokolle zur Analyse an Sentinel senden. Verwenden von Funktionen wie Threat Intelligence, erweiterte Erkennung von mehrstufigen Angriffen, Bedrohungssuche und integrierte Abfragen. Die Sentinel-Automatisierung ermöglicht es Operatoren, bösartige IP-Adressen zu blockieren. - Bedrohungen mit Analyseregeln erkennen - Azure Firewall-Connector für Sentinel Azure Network Watcher Verwenden Sie Azure Network Watcher, um Netzwerkdatenverkehr zu und von virtuellen Computern (VMs) und Virtual Machine Scale Sets zu erfassen. - Packet Capture Microsoft Defender für Cloud Defender für Cloud bewertet die Einhaltung der in Frameworks vorgeschriebenen Netzwerksicherheitskontrollen, z. B. Microsoft Cloud Security Benchmark, DoD Impact Level 4 (IL4) und IL5 und National Institute of Standards and Technology (NIST) 800-53 R4/R5. - Security Control: Netzwerksicherheit Conditional Access Verwenden Sie die Conditional Access-Insights und das Berichtsarbeitsbuch, um die Auswirkungen von bedingten Zugriffsrichtlinien der Organisation zu verstehen. - Einblicke und Berichterstattung

5.3 Makrosegmentierung

Azure Abonnements sind übergeordnete Konstrukte, die Azure-Ressourcen trennen. Die Kommunikation zwischen Ressourcen in verschiedenen Abonnements wird explizit bereitgestellt. VNet-Ressourcen in einem Abonnement bieten Ressourceneinschließung auf Netzwerkebene. Standardmäßig können VNets nicht mit anderen VNets kommunizieren. Um die Netzwerkkommunikation zwischen VNets zu ermöglichen, verbinden Sie diese und verwenden Sie Azure Firewall, um den Datenverkehr zu steuern und zu überwachen.

Weitere Informationen finden Sie unter Sichern und Steuern von Workloads mit Segmentierung auf Netzwerkebene.

Beschreibung und Ergebnis der DoD-Aktivität Microsoft Anleitungen und Empfehlungen

Target 5.3.1 Makrosegmentierung für Rechenzentren
DoD-Organisationen implementieren rechenzentrumsorientierte Makrosegmentierung mithilfe von herkömmlichen mehrstufigen Architekturen (Web, App, DB) und/oder dienstbasierten Architekturen. Proxy- und/oder Erzwingungsprüfungen werden basierend auf Geräteattributen und Verhalten in die SDN-Lösung(en) integriert.

Ergebnisse:
– Protokollieren von Aktionen bei SIEM
– Einrichten von Proxy-/Erzwingungsprüfungen von Geräteattributen, Verhalten und anderen Daten
– Analysieren von Aktivitäten mit der Analyse-Engine Azure Networking
Design und implementieren Sie Azure Netzwerkdienste auf Basis etablierter Architekturen, wie unternehmensweite Landezonen. Segmentieren Sie Azure-Virtualnetzwerke (VNets) und befolgen Sie die bewährten Methoden von Azure für die Netzwerksicherheit. Verwenden Sie Netzwerksicherheitskontrollen, wenn Pakete verschiedene VNet-Grenzen überqueren.
- Best Practices für die Netzwerksicherheit
- Souveränität und Azure-Landezonen
- Netzwerktopologie und Konnektivität
- Networking- und Konnektivitätsempfehlungen

Microsoft Entra ID Protection
Implementieren Sie Microsoft Entra ID Protection und nutzen Sie Geräte- und Risikosignale in Ihrer Richtlinie für bedingten Zugriff.

Siehe Microsoft-Anleitung 1.3.3 in Benutzer und 2.1.4 in Gerät.

Microsoft Sentinel
Verwenden Sie Connectors, um Protokolle von Microsoft Entra ID und Netzwerkressourcen an Microsoft Sentinel zu senden, um Auditierung, Bedrohungssuche, Erkennung und Reaktion zu ermöglichen. Aktivieren Sie User Entity Behavior Analytics (UEBA) in Sentinel.

Siehe Microsoft-Richtlinien in 5.2.2 und 1.6.2 in User.

Microsoft Defender XDR
Integrieren Sie Microsoft Defender for Endpoint mit Microsoft Defender for Cloud Apps und blockieren Sie den Zugriff auf nicht genehmigte Apps.
- Integrieren Sie Defender for Cloud Apps mit Defender für Endpunkt
- Erkennen und Blockieren von Schatten-IT

Target 5.3.2 B/C/P/S-Makrosegmentierung
DoD-Organisationen implementieren Makrosegmentierung für Stützpunkte, Lager, Posten und Stationierungen mit logischen Netzwerkzonen, die Lateral Movement einschränken. Proxy- und/oder Erzwingungsprüfungen werden basierend auf Geräteattributen und Verhalten in die SDN-Lösung(en) integriert.

Ergebnisse:
– Einrichten von Proxy-/Erzwingungsprüfungen von Geräteattributen, Verhalten und anderen Daten
– Protokollieren von Aktionen bei SIEM
– Analysieren von Aktivitäten mit der Analyse-Engine
– Bereitstellen von richtlinienbasierten Zugriffsentscheidungen in Echtzeit mithilfe von SOAR Complete activity 5.3.1.

Microsoft Sentinel
Use Azure Firewall zum Visualisieren von Firewallaktivitäten, Erkennen von Bedrohungen mit KI-Untersuchungsfunktionen, Korrelieren von Aktivitäten und Automatisieren von Reaktionsaktionen.
- Azure Firewall

Beschreibung und Ergebnis der DoD-Aktivität	Microsoft Anleitungen und Empfehlungen
`Target` 5.3.1 Makrosegmentierung für Rechenzentren DoD-Organisationen implementieren rechenzentrumsorientierte Makrosegmentierung mithilfe von herkömmlichen mehrstufigen Architekturen (Web, App, DB) und/oder dienstbasierten Architekturen. Proxy- und/oder Erzwingungsprüfungen werden basierend auf Geräteattributen und Verhalten in die SDN-Lösung(en) integriert. Ergebnisse: – Protokollieren von Aktionen bei SIEM – Einrichten von Proxy-/Erzwingungsprüfungen von Geräteattributen, Verhalten und anderen Daten – Analysieren von Aktivitäten mit der Analyse-Engine	Azure Networking Design und implementieren Sie Azure Netzwerkdienste auf Basis etablierter Architekturen, wie unternehmensweite Landezonen. Segmentieren Sie Azure-Virtualnetzwerke (VNets) und befolgen Sie die bewährten Methoden von Azure für die Netzwerksicherheit. Verwenden Sie Netzwerksicherheitskontrollen, wenn Pakete verschiedene VNet-Grenzen überqueren. - Best Practices für die Netzwerksicherheit - Souveränität und Azure-Landezonen - Netzwerktopologie und Konnektivität - Networking- und Konnektivitätsempfehlungen Microsoft Entra ID Protection Implementieren Sie Microsoft Entra ID Protection und nutzen Sie Geräte- und Risikosignale in Ihrer Richtlinie für bedingten Zugriff. Siehe Microsoft-Anleitung 1.3.3 in Benutzer und 2.1.4 in Gerät. Microsoft Sentinel Verwenden Sie Connectors, um Protokolle von Microsoft Entra ID und Netzwerkressourcen an Microsoft Sentinel zu senden, um Auditierung, Bedrohungssuche, Erkennung und Reaktion zu ermöglichen. Aktivieren Sie User Entity Behavior Analytics (UEBA) in Sentinel. Siehe Microsoft-Richtlinien in 5.2.2 und 1.6.2 in User. Microsoft Defender XDR Integrieren Sie Microsoft Defender for Endpoint mit Microsoft Defender for Cloud Apps und blockieren Sie den Zugriff auf nicht genehmigte Apps. - Integrieren Sie Defender for Cloud Apps mit Defender für Endpunkt - Erkennen und Blockieren von Schatten-IT
`Target` 5.3.2 B/C/P/S-Makrosegmentierung DoD-Organisationen implementieren Makrosegmentierung für Stützpunkte, Lager, Posten und Stationierungen mit logischen Netzwerkzonen, die Lateral Movement einschränken. Proxy- und/oder Erzwingungsprüfungen werden basierend auf Geräteattributen und Verhalten in die SDN-Lösung(en) integriert. Ergebnisse: – Einrichten von Proxy-/Erzwingungsprüfungen von Geräteattributen, Verhalten und anderen Daten – Protokollieren von Aktionen bei SIEM – Analysieren von Aktivitäten mit der Analyse-Engine – Bereitstellen von richtlinienbasierten Zugriffsentscheidungen in Echtzeit mithilfe von SOAR	Complete activity 5.3.1. Microsoft Sentinel Use Azure Firewall zum Visualisieren von Firewallaktivitäten, Erkennen von Bedrohungen mit KI-Untersuchungsfunktionen, Korrelieren von Aktivitäten und Automatisieren von Reaktionsaktionen. - Azure Firewall

5.4 Mikrosegmentierung

Netzwerksicherheitsgruppen (NSGs) und Anwendungssicherheitsgruppen (Application Security Groups, ASG) bieten Netzwerksicherheits-Mikrosegmentierung für Azure Netzwerke. ASGs vereinfachen die Datenverkehrsfilterung basierend auf Anwendungsmustern. Stellen Sie mehrere Anwendungen im selben Subnetz bereit, und isolieren Sie Datenverkehr basierend auf den ASGs.

Weitere Informationen finden Sie unter Sichern und Steuern von Workloads mit Segmentierung auf Netzwerkebene.

Beschreibung und Ergebnis der DoD-Aktivität	Microsoft Anleitungen und Empfehlungen
`Target` 5.4.1 Implementieren von Mikrosegmentierung DoD-Organisationen implementieren die Mikrosegmentierungsinfrastruktur in die SDN-Umgebung, um die grundlegende Segmentierung von Dienstkomponenten (z. B. Web, App, DB), Ports und Protokollen zu ermöglichen. Die grundlegende Automatisierung wird für Richtlinienänderungen einschließlich der API-Entscheidungsfindung akzeptiert. Virtuelle Hostingumgebungen implementieren Mikrosegmentierung auf Host-/Containerebene. Ergebnisse: – Akzeptieren von automatisierten Richtlinienänderungen – Implementieren von API-Entscheidungspunkten – Implementieren von NGF/Micro FW/Endpunkt-Agent in der virtuellen Hostumgebung	Aktivität 5.3.1 abschließen. Azure Firewall Premium Verwenden Sie Azure Firewall Premium als NextGen Firewall (NGF) in Ihrer Azure-Netzwerksegmentierungsstrategie. Siehe Microsoft-Richtlinien in 5.1.1. Anwendungssicherheitsgruppen In Netzwerksicherheitsgruppen (NSGs) können Sie Anwendungssicherheitsgruppen verwenden, um die Netzwerksicherheit als Erweiterung der Anwendungsstruktur zu konfigurieren. Vereinfachen Sie Netzwerksicherheitsrichtlinien, indem Sie Azure-Ressourcen für dieselbe Anwendung mithilfe von Anwendungssicherheitsgruppen zuordnen. - Absichern und Verwalten von Workloads mit Segmentierung auf Netzwerkebene - Anwendungssicherheitsgruppen Azure Kubernetes Service Die Azure Containernetzwerkschnittstelle (Azure CNI) ist erforderlich für Anwendungen in Azure Kubernetes Service (AKS) unter Verwendung integrierter Definitionen in Azure Policy. Implementieren Sie die Mikrosegmentierung auf Containerebene für Container in AKS mithilfe von Netzwerkrichtlinien. - Networking-Konzepte für AKS - Azure CNI Overlay-Netzwerk konfigurieren - Datenverkehr zwischen Pods mithilfe von Netzwerkrichtlinien sichern - AKS-Richtlinienreferenz Microsoft Defender für Server Azure-VMs, VMs in anderen Cloud-Hosting-Umgebungen und lokale Server in Defender für Server einbinden. Netzwerkschutz in Microsoft Defender for Endpoint blockiert Prozesse auf Hostebene von der Kommunikation mit bestimmten Domänen, Hostnamen oder IP-Adressen, die Indikatoren für Kompromittierung (IoC) entsprechen. - Planen Sie Ihre Defender für die Serverbereitstellung - Schutz ihres Netzwerks - Anzeigen erstellen
`Target` 5.4.2 Mikrosegmentierung für Anwendungen und Geräte DoD-Organisationen nutzen SDN-Lösungen (Softwaredefiniertes Netzwerk), um eine Infrastruktur einzurichten, die die ZT-Zielfunktionalitäten erfüllt: logische Netzwerkzonen, rollen-, attribut- und bedingungsbasierte Zugriffssteuerung für Benutzer und Geräte, Dienste von Privileged Access Management für Netzwerkressourcen und richtlinienbasierte Steuerung des API-Zugriffs. Ergebnisse: - Rollen-, Attribut- und bedingungsbasierte Zugriffskontrolle zuweisen für Benutzer und Geräte - Privilegierte Zugriffsverwaltungdienste bereitstellen - Zugriff auf identitätsbezogener Basis für Benutzer und Gerät beschränken - Logische Netzwerke zonen erstellen	Microsoft Entra ID Anwendungen mit Microsoft Entra ID integrieren. Zugriff steuern mit App-Rollen, Sicherheitsgruppen und Zugriffspaketen. Siehe Microsoft-Leitfaden 1.2 in Benutzer. Bedingter Zugriff Design von Richtliniensätzen für bedingten Zugriff für die dynamische Autorisierung basierend auf Benutzer, Rolle, Gruppe, Gerät, Client-App, Identitätsrisiko und Ressourcen der Anwendung. Verwenden Sie Authentifizierungskontexte zum Erstellen logischer Netzwerkzonen, basierend auf Benutzer- und Umgebungsbedingungen.Siehe Microsoft Leitfaden 1.8.3 in Benutzer.Privileged Identity ManagerKonfigurieren Sie PIM für just-in-time (JIT)-Zugriff auf privilegierte Rollen und Microsoft Entra-Sicherheitsgruppen.Siehe Microsoft Anleitung 1.4.2 in Benutzer.Azure Virtual Machines und SQL-DatenbankenKonfigurieren Sie Azure Virtual Machines und SQL-Instanzen zur Verwendung von Microsoft Entra-Identitäten für die Benutzeranmeldung.Anmeldung bei Windows in AzureAnmeldung bei Linux-VM in AzureAuthentifizierung mit Azure SQLAzure BastionVerwenden Sie Bastion, um eine sichere Verbindung mit Azure-VMs mit privaten IP-Adressen aus dem Azure-Portal herzustellen, oder mit systemeigener Secure Shell (SSH) oder einem RDP-Client (Remote Desktop-Protokoll).BastionMicrosoft Defender für ServerVerwenden Sie Just-in-Time (JIT)-Zugriff auf VMs, um sie vor unautorisiertem Netzwerkzugriff zu schützen.Aktivieren Sie JIT-Zugriff auf VMs
`Advanced` 5.4.3 Mikrosegmentierung für Prozesse DoD-Organisationen nutzen eine vorhandene Mikrosegmentierungs- und SDN-Automatisierungsinfrastruktur, die Mikrosegmentierung für Prozesse ermöglicht. Prozesse auf Hostebene werden basierend auf Sicherheitsrichtlinien segmentiert, und der Zugriff wird mithilfe von Zugriffsentscheidungen in Echtzeit gewährt. Ergebnisse: – Segmentieren von Prozessen auf Hostebene für Sicherheitsrichtlinien – Unterstützung von Zugriffsentscheidungen in Echtzeit und Richtlinienänderungen – Unterstützung der Abladung von Protokollen für Analyse und Automatisierung – Unterstützung der dynamischen Bereitstellung von Segmentierungsrichtlinien	Führen Sie Aktivität 5.4.2 aus. Microsoft Defender for Endpoint Aktivieren Sie den Netzwerkschutz in Defender for Endpoint, um zu verhindern, dass Host-Prozesse und Anwendungen mit bösartigen Netzwerkdomänen, IP-Adressen oder kompromittierten Hostnamen verbinden. Siehe Microsoft-Anleitung 4.5.1. Stetige Zugriffsbewertung Die stetige Zugriffsbewertung (CAE) erlaubt es Diensten wie Exchange Online, SharePoint Online und Microsoft Teams, Microsoft Entra-Ereignisse wie das Deaktivieren von Konten und Hochrisikoerkennungen in Microsoft Entra ID-Schutz zu abonnieren. Siehe Microsoft-Anleitung 1.8.3 in User. Microsoft Sentinel Nutzen Sie Connectoren, um Protokolle von Microsoft Entra ID und Netzwerkressourcen zur Überwachung, Bedrohungssuche, Erkennung und Reaktion an Microsoft Sentinel zu senden. Siehe Microsoft-Anleitung in 5.2.2 und 1.6.2 in User.
`Target` 5.4.4 Schutz von Daten während der Übertragung Basierend auf den Datenflusszuordnungen und der Überwachung erstellen DoD-Organisationen Richtlinien, um den Schutz von Daten während der Übertragung sicherzustellen. Häufige Anwendungsfälle wie die gemeinsame Nutzung von Informationen durch Zusammenschlüsse, die gemeinsame Nutzung über Systemgrenzen hinweg und der Schutz über Architekturkomponenten hinweg sind in Schutzrichtlinien enthalten. Ergebnisse: – Schützen von Daten während der Übertragung bei gemeinsamer Nutzung von Informationen durch Zusammenschlüsse – Schützen von Daten während der Übertragung über hohe Systemgrenzen hinweg – Integrieren des Schutzes von Daten während der Übertragung über Architekturkomponenten hinweg	Microsoft 365 Verwenden von Microsoft 365 für die DoD-Zusammenarbeit. Microsoft 365-Dienste verschlüsseln ruhende Daten und Daten in der Übertragung. - Encryption in Microsoft 365 Microsoft Entra External ID Microsoft 365 und Microsoft Entra ID verbessern die gemeinsame Nutzung durch Koalitionen mit einfacher Integration und Verwaltung des Zugriffs für Benutzer in anderen DoD-Mandanten. - B2B-Zusammenarbeit - Sicheres Gast-Sharing Konfigurieren Sie den übergreifenden Mandantenzugriff und die Microsoft-Cloud-Einstellungen, um zu steuern, wie Benutzer mit externen Organisationen zusammenarbeiten. - Übergreifender Mandantenzugriff - Microsoft-Cloud-Einstellungen Microsoft Entra ID Governance Verwalten Sie die Zugriffslifecycles externer Benutzer mit der Berechtigungsverwaltung. - Externer Zugriff mit Berechtigungsverwaltung Microsoft Defender für Cloud Verwenden Sie Defender für Cloud, um sichere Transportprotokolle für Cloudressourcen kontinuierlich zu bewerten und durchzusetzen. - Cloud-Sicherheitsstatusverwaltung

Nächste Schritte

Konfigurieren sie Microsoft Clouddienste für die DoD-Zero Trust-Strategie:

Feedback

War diese Seite hilfreich?

Last updated on 2026-04-14