Estrategia de Confianza cero DoD para el pilar de red

El DoD Confianza cero Strategy and Roadmap describe una ruta para que los componentes del Departamento de Defensa y socios de la Base Industrial de Defensa (DIB) adopten un nuevo marco de ciberseguridad basado en principios de Confianza cero. Confianza cero elimina los perímetros tradicionales y las suposiciones de confianza, lo que permite una arquitectura más eficaz que mejora la seguridad, las experiencias del usuario y el rendimiento de la misión.

En esta guía se incluyen recomendaciones para las 152 actividades de Confianza cero en el DoD Confianza cero Hoja de Ruta de Ejecución de Capacidades. Las secciones corresponden a los siete pilares del modelo de Confianza cero doD.

Use los vínculos siguientes para ir a las secciones de la guía.

Introducción
Usuario
Dispositivo
Aplicaciones y cargas de trabajo
Datos
Red
Automatización y orquestación
Visibilidad y análisis

5 Red

En esta sección se incluyen instrucciones y recomendaciones de Microsoft para las actividades de Confianza cero del DoD en el pilar de red. Para más información, consulte Redes seguras con Confianza cero para obtener más información.

5.1 Mapeo de flujo de datos

El servicio Azure Virtual Network es un bloque de creación de la red privada en Azure. En las redes virtuales, los recursos de Azure se comunican entre sí, con Internet y con los recursos locales.

Al implementar una topología de red hub-and-spoke en Azure, Azure Firewall se encarga de enrutar el tráfico entre redes virtuales. Además, Azure Firewall Premium incluye características de seguridad como la inspección de seguridad de Trasport-Layer (TLS), la intrusión de red, la detección y el sistema de prevención (IDPS), el filtrado de direcciones URL y el filtrado de contenido.

Las herramientas de red de Azure, como Azure Network Watcher y Azure Monitor Network Insights, le ayudan a mapear y visualizar el flujo de tráfico de red. La integración de Microsoft Sentinel permite la visibilidad y el control sobre del tráfico de la red organizacional, con libros de trabajo, automatización y capacidades de detección.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
5.1.1 Definición de reglas y políticas de acceso de control granular, parte 1La empresa de DoD trabajando con las organizaciones crea directivas y reglas de acceso de red granulares. El concepto asociado de operaciones (ConOps) se desarrolla en consonancia con las directivas de acceso y garantiza la compatibilidad futura. Una vez acordado, las organizaciones de DoD implementarán estas directivas de acceso en tecnologías de red existentes (por ejemplo, firewalls de próxima generación, sistemas de prevención de intrusiones, etc.) para mejorar los niveles de riesgo iniciales. resultados:- Proporcionar estándares técnicos- Desarrollar concepto de operaciones- Identificar comunidades de interés	Azure Firewall Premium Use Azure Virtual Network y Azure Firewall Premium para controlar la comunicación y el enrutamiento entre los recursos en la nube, la nube y los recursos locales e Internet. Azure Firewall Premium tiene capacidades de inteligencia sobre amenazas, detección de amenazas y prevención de intrusiones para proteger el tráfico. - Estrategia de segmentación - Rutar una topología de múltiples hubs y spokes - Características de Azure Firewall Premium Use Azure Firewall Policy Analytics para administrar las reglas del firewall, habilitar la visibilidad en el flujo de tráfico y realizar análisis detallados de las reglas del firewall. - Azure Firewall Policy Analytics Azure Private Link Use Azure Private Link para acceder a la plataforma de Azure como servicio (PaaS) a través de un punto de conexión privado en una red virtual. Utilice puntos de conexión privados para proteger los recursos críticos de Azure únicamente a redes virtuales. El tráfico de la red virtual a Azure permanece en la red troncal de Azure. No es necesario exponer la red virtual a la red pública de Internet para consumir los servicios PaaS de Azure. - Redes seguras: límite de servicio PaaS - Mejores prácticas de seguridad de red Grupos de seguridad de red (NSG) Habilitar el registro de flujo en grupos de seguridad de red (NSG) para obtener la actividad del tráfico. Visualización de datos de actividad en Network Watcher. - Registros de flujo de NSG Azure Virtual Network Manager Use Azure Virtual Network Manager para configuraciones de seguridad y conectividad centralizadas para redes virtuales entre suscripciones. - Azure Virtual Network Manager Azure Firewall Manager Azure Firewall Manager es un servicio de administración de seguridad para la administración centralizada de directivas de seguridad y rutas para perímetros de seguridad basados en la nube. - Azure Firewall Manager Azure Policy Use Azure Policy para aplicar estándares de red, como la forzada de tunelización del tráfico a Azure Firewall o a otros appliances de red. Prohibir direcciones IP públicas o aplicar el uso seguro de protocolos de cifrado. - Definitions para servicios de red de Azure Azure Monitor Use Azure Network Watcher y Azure Monitor Network Insights para obtener una representación visual y completa de la red. - Network Watcher - Network insights
5.1.2 Definición de reglas y políticas de control de acceso granular, Parte 2Las organizaciones del DoD utilizan estándares de etiquetado y clasificación de datos para desarrollar filtros para datos para el acceso del API a la infraestructura SDN. Los puntos de decisión de API se formalizan dentro de la arquitectura de SDN y se implementan con aplicaciones y servicios críticos para tareas y no misión. resultado:- Definir filtros de etiquetado de datos para la infraestructura de API	Grupos de seguridad de aplicacionesUsar grupos de seguridad de aplicaciones para configurar la seguridad de red como una extensión de la estructura de aplicaciones. Agrupar máquinas virtuales (VM) y definir directivas de seguridad de red basadas en grupos. - Grupos de seguridad de aplicaciones Etiquetas de servicio de Azure Utilice etiquetas de servicio para máquinas virtuales de Azure y redes virtuales de Azure para restringir el acceso de red a los servicios de Azure en uso. Azure mantiene las direcciones IP asociadas a cada etiqueta. - Azure etiquetas de servicio Azure Firewall Azure Firewall Manager es un servicio de administración de seguridad para la directiva de seguridad centralizada y la administración de rutas para perímetros de seguridad basados en la nube (firewall, DDoS, WAF). Usa grupos IP para administrar direcciones IP para las reglas de Azure Firewall. - Azure Firewall Manager - grupos IP Azure Virtual Network Manager Azure Virtual Network Manager es un servicio de administración para agrupar, configurar, implementar, ver y administrar redes virtuales globalmente a través de suscripciones. - Casos de uso comunes Azure Network Watcher Habilite Network Watcher para supervisar, diagnosticar y ver métricas. Habilite o deshabilite los registros para los recursos de infraestructura como servicio de Azure (IaaS). Use Network Watcher para supervisar y reparar el estado de red de productos iaaS como máquinas virtuales, redes virtuales, puertas de enlace de aplicaciones, equilibradores de carga y más. - Azure Network Watcher

Descripción y resultado de la actividad de DoD

Guía y recomendaciones de Microsoft

5.1.1 Definición de reglas y políticas de acceso de control granular, parte 1La empresa de DoD trabajando con las organizaciones crea directivas y reglas de acceso de red granulares. El concepto asociado de operaciones (ConOps) se desarrolla en consonancia con las directivas de acceso y garantiza la compatibilidad futura. Una vez acordado, las organizaciones de DoD implementarán estas directivas de acceso en tecnologías de red existentes (por ejemplo, firewalls de próxima generación, sistemas de prevención de intrusiones, etc.) para mejorar los niveles de riesgo iniciales. resultados:- Proporcionar estándares técnicos- Desarrollar concepto de operaciones- Identificar comunidades de interés

Azure Firewall Premium
Use Azure Virtual Network y Azure Firewall Premium para controlar la comunicación y el enrutamiento entre los recursos en la nube, la nube y los recursos locales e Internet. Azure Firewall Premium tiene capacidades de inteligencia sobre amenazas, detección de amenazas y prevención de intrusiones para proteger el tráfico.
- Estrategia de segmentación
- Rutar una topología de múltiples hubs y spokes
- Características de Azure Firewall Premium

Use Azure Firewall Policy Analytics para administrar las reglas del firewall, habilitar la visibilidad en el flujo de tráfico y realizar análisis detallados de las reglas del firewall.
- Azure Firewall Policy Analytics

Azure Private Link
Use Azure Private Link para acceder a la plataforma de Azure como servicio (PaaS) a través de un punto de conexión privado en una red virtual. Utilice puntos de conexión privados para proteger los recursos críticos de Azure únicamente a redes virtuales. El tráfico de la red virtual a Azure permanece en la red troncal de Azure. No es necesario exponer la red virtual a la red pública de Internet para consumir los servicios PaaS de Azure.
- Redes seguras: límite de servicio PaaS
- Mejores prácticas de seguridad de red

Grupos de seguridad de red (NSG)
Habilitar el registro de flujo en grupos de seguridad de red (NSG) para obtener la actividad del tráfico. Visualización de datos de actividad en Network Watcher.
- Registros de flujo de NSG

Azure Virtual Network Manager
Use Azure Virtual Network Manager para configuraciones de seguridad y conectividad centralizadas para redes virtuales entre suscripciones.
- Azure Virtual Network Manager

Azure Firewall Manager
Azure Firewall Manager es un servicio de administración de seguridad para la administración centralizada de directivas de seguridad y rutas para perímetros de seguridad basados en la nube.
- Azure Firewall Manager

Azure Policy
Use Azure Policy para aplicar estándares de red, como la forzada de tunelización del tráfico a Azure Firewall o a otros appliances de red. Prohibir direcciones IP públicas o aplicar el uso seguro de protocolos de cifrado.
- Definitions para servicios de red de Azure

Azure Monitor
Use Azure Network Watcher y Azure Monitor Network Insights para obtener una representación visual y completa de la red.
- Network Watcher
- Network insights

5.1.2 Definición de reglas y políticas de control de acceso granular, Parte 2Las organizaciones del DoD utilizan estándares de etiquetado y clasificación de datos para desarrollar filtros para datos para el acceso del API a la infraestructura SDN. Los puntos de decisión de API se formalizan dentro de la arquitectura de SDN y se implementan con aplicaciones y servicios críticos para tareas y no misión. resultado:- Definir filtros de etiquetado de datos para la infraestructura de API

Grupos de seguridad de aplicacionesUsar grupos de seguridad de aplicaciones para configurar la seguridad de red como una extensión de la estructura de aplicaciones. Agrupar máquinas virtuales (VM) y definir directivas de seguridad de red basadas en grupos.
- Grupos de seguridad de aplicaciones

Etiquetas de servicio de Azure
Utilice etiquetas de servicio para máquinas virtuales de Azure y redes virtuales de Azure para restringir el acceso de red a los servicios de Azure en uso. Azure mantiene las direcciones IP asociadas a cada etiqueta.
- Azure etiquetas de servicio

Azure Firewall
Azure Firewall Manager es un servicio de administración de seguridad para la directiva de seguridad centralizada y la administración de rutas para perímetros de seguridad basados en la nube (firewall, DDoS, WAF). Usa grupos IP para administrar direcciones IP para las reglas de Azure Firewall.
- Azure Firewall Manager
- grupos IP

Azure Virtual Network Manager
Azure Virtual Network Manager es un servicio de administración para agrupar, configurar, implementar, ver y administrar redes virtuales globalmente a través de suscripciones.
- Casos de uso comunes

Azure Network Watcher
Habilite Network Watcher para supervisar, diagnosticar y ver métricas. Habilite o deshabilite los registros para los recursos de infraestructura como servicio de Azure (IaaS). Use Network Watcher para supervisar y reparar el estado de red de productos iaaS como máquinas virtuales, redes virtuales, puertas de enlace de aplicaciones, equilibradores de carga y más.
- Azure Network Watcher

5.2 Red definida por software

Las redes virtuales son la base de las redes privadas en Azure. Con una red virtual (VNet), una organización controla la comunicación entre los recursos de Azure y el entorno local. Filtre y enrute el tráfico e integre con otros servicios de Azure, como Azure Firewall, Azure Front Door, Azure Application Gateway, Azure VPN Gateway y Azure ExpressRoute.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
5.2.1 Definición de las API de SDNLa empresa del DoD trabaja con las organizaciones para definir las API necesarias y otras interfaces programáticas que permitan las funcionalidades de redes definidas por software (SDN). Estas APIs habilitarán la automatización del Punto de Decisión de Autenticación, el Proxy de Control de Entrega de Aplicaciones y las Puertas de Enlace de Segmentación. Resultados:- Las API de SDN están estandarizadas e implementadas- Las API son funcionales para el punto de decisión de autenticación, el proxy de control de entrega de aplicaciones y las puertas de enlace de segmentación.	Azure Resource Manager Desplegar y configurar redes de Azure mediante las APIs de Azure Resource Manager (ARM). herramientas de administración de Azure: Azure portal, Azure PowerShell, Interfaz de Línea de Comandos de Azure (CLI) y plantillas usan las mismas API de ARM para autenticar y autorizar solicitudes. - Azure Resource Manager - API REST de Azure Roles de Azure Asignar roles integrados de Azure para la administración de recursos de red. Siga los principios de privilegios mínimos y asigne roles Just-In-Time (JIT) a través de PIM. - roles integrados de Azure
5.2.2 Implementación de la infraestructura programable de SDNSiguiendo los estándares de API, los requisitos y las funcionalidades de la API de SDN, las organizaciones de DoD implementarán la infraestructura de redes definidas por software (SDN) para habilitar tareas de automatización. Las puertas de enlace de segmentación y los puntos de decisión de autenticación se integran en la infraestructura de SDN junto con el registro de salida en un repositorio estandarizado (por ejemplo, SIEM, Log Analytics) para la supervisión y las alertas. Resultados:- Implementación del proxy de control de entrega de aplicaciones- Actividades de registro de SIEM establecidas- Implementación de la supervisión de actividad del usuario (UAM)- Integrado con el punto de decisión de autenticación	Recursos de red de Azure Asegure el acceso externo a las aplicaciones hospedadas en una red virtual (VNet) con: Azure Front Door (AFD), Azure Application Gateway, o Azure Firewall. AFD y Application Gateway tienen características de equilibrio de carga y seguridad para Open Web Application Security Project (OWASP) Top 10 y bots. Puede crear reglas personalizadas. Azure Firewall tiene filtrado de inteligencia sobre amenazas en capa 4.Filtrado y protección nativos de la nube para amenazas conocidasDiseño de la arquitectura de redMicrosoft SentinelAzure Firewall, Application Gateway, ADF y Azure Bastion exportan registros a Sentinel u otros sistemas de administración de eventos e información de seguridad (SIEM) para su análisis. Use conectores en Sentinel o Azure Policy para aplicar este requisito en un entorno. - Azure Firewall con Sentinel - Conector de Azure Web App Firewall para Sentinel - Conectores de datos de Sentinel Microsoft Entra proxy de aplicación Implemente el proxy de aplicación para publicar y entregar aplicaciones privadas en su red local. Integre soluciones de asociados de acceso híbrido seguro (SHA). - Proxy de aplicación - Implementar proxy de aplicación - Integraciones de socios SHA Protección de Microsoft Entra ID Desplegar Protección de Microsoft Entra ID y traer señales de riesgo de inicio de sesión al acceso condicional. Consulte la guía de Microsoft 1.3.3 en Usuario. Microsoft Defender for Cloud Apps Utilice Defender for Cloud Apps para supervisar sesiones de aplicaciones web de riesgo. - Defender for Cloud Apps
5.2.3 Flujos de segmento en los planos de control, administración y datosLos flujos de infraestructura y de red se segmentan física o lógicamente en planos de control, administración y datos. La segmentación básica mediante enfoques IPv6/VLAN se implementa para organizar mejor el tráfico entre planos de datos. El análisis y NetFlow de la infraestructura actualizada se insertan automáticamente en centros de operaciones y herramientas de análisis. resultados:: Segmentación IPv6- Habilitar informes de información de NetOps automatizados- Garantizar el control de configuración en empresa- Integrado con SOAR	Azure Resource Manager Azure Resource Manager es un servicio de implementación y administración con un nivel de administración para crear, actualizar y eliminar recursos en una cuenta de Azure. - Planos de control y de datos de Azure - Planes de control multitenant - Seguridad operativa de Azure Microsoft Sentinel Conectar la infraestructura de red de Azure a Sentinel. Configure conectores de datos de Sentinel para soluciones de red que no son de Azure. Use consultas de análisis personalizadas para desencadenar la automatización de SOAR de Sentinel. - Respuesta a amenazas con playbooks - Detección y respuesta para Azure Firewall con Logic Apps Consulte la guía de Microsoft en 5.2.2.
5.2.4 Descubrimiento y optimización de recursos de redLas organizaciones de DoD automatizan la detección de recursos de red a través de la infraestructura SDN limitando el acceso a los dispositivos en función de los enfoques métodos basados en riesgos. La optimización se realiza en función del análisis de SDN para mejorar el rendimiento general junto con proporcionar acceso aprobado necesario a los recursos. Resultados:- Actualización técnica/evolución de la tecnología- Proporcionar controles de optimización y rendimiento	Azure MonitorUtilice las perspectivas de red de Azure Monitor para ver una representación visual completa de los recursos de red, incluida la topología, el estado y las métricas.Consulte la guía de Microsoft en 5.1.1.Microsoft Defender for CloudDefender for Cloud detecta y enumera un inventario de recursos aprovisionados en Azure, otras nubes y local.Entorno multinubeGestionar la postura de seguridad de los recursosMicrosoft Defender para punto de conexiónIncorpore puntos de conexión y configure la detección de dispositivos para recopilar, sondear o examinar la red para detectar dispositivos no administrados.Descripción general de la detección de dispositivos
5.2.5 Decisiones de acceso en tiempo realLa infraestructura de SDN utiliza orígenes de datos entre pilares, como la supervisión de la actividad de usuario, la supervisión de la actividad de entidad, los perfiles de seguridad empresarial y mucho más para tomar decisiones de acceso en tiempo real. El aprendizaje automático se usa para ayudar a tomar decisiones en función del análisis de red avanzado (captura completa de paquetes, etc.). Las directivas se implementan de forma coherente en la empresa mediante estándares de acceso unificados. Resultados:- Analizar registros SIEM con el motor de análisis para proporcionar decisiones de acceso a directivas en tiempo real- Compatibilidad con el envío de paquetes capturados, flujos de datos y de red y otros registros específicos para el análisis:- Segmentación de flujos de red de transporte de un extremo a otro- Auditoría de directivas de seguridad para la coherencia en toda la empresa	Completa las actividades 5.2.1 - 5.2.4. Microsoft Sentinel Detecta amenazas enviando registros de red a Sentinel para su análisis. Use funcionalidades como la inteligencia sobre amenazas, la detección de ataques de varias fases avanzadas, la búsqueda de amenazas y las consultas integradas. La automatización de Sentinel permite a los operadores bloquear direcciones IP maliciosas. - Detecta amenazas con reglas de análisis - Conector Azure Firewall para Sentinel Azure Network Watcher Use Azure Network Watcher para capturar el tráfico de red hacia y desde máquinas virtuales (VM) y Virtual Machine Scale Sets. - Captura de paquetes Microsoft Defender for Cloud Defender for Cloud evalúa el cumplimiento de los controles de seguridad de red prescritos en marcos, como Microsoft Cloud Security Benchmark, Nivel de Impacto del DoD 4 (IL4) e IL5, y el Instituto Nacional de Estándares y Tecnología (NIST) 800-53 R4/R5. - Control de seguridad: Seguridad de red Acceso condicional Use la información de acceso condicional y el libro de informes para comprender los efectos de las directivas de acceso condicional de la organización. - Información e informes

5.3 Macrosegmentación

Las suscripciones de Azure son estructuras de alto nivel que separan los recursos de Azure. La comunicación entre recursos en suscripciones diferentes se provisiona explícitamente. Los recursos de red virtual (VNet) de una suscripción proporcionan contención de recursos de nivel de red. De forma predeterminada, los VNets no pueden comunicarse con otros VNets. Para habilitar la comunicación de red entre VNets, emparejarlas entre sí y usar Azure Firewall para controlar y supervisar el tráfico.

Para más información, consulte Protección y control de cargas de trabajo con segmentación de nivel de red.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
5.3.1 Macrosegmentación del centro de datosLas organizaciones de DoD implementan la macrosegmentación centrada en el centro de datos mediante arquitecturas tradicionales basadas en niveles (web, aplicación o base de datos) o basadas en servicios. Las comprobaciones de proxy y/o cumplimiento se integran con las soluciones de SDN basadas en los atributos y el comportamiento del dispositivo. Resultados:- Registrar acciones en SIEM- Establecer comprobaciones de proxy o cumplimiento de atributos de dispositivo, comportamiento y otros datos- Análisis de actividades con motor de análisis	Redes de Azure Diseñar e implementar servicios de redes de Azure, en función de las arquitecturas establecidas, como las zonas de aterrizaje a escala empresarial. Segmente las redes virtuales de Azure (VNets) y siga los procedimientos recomendados de seguridad de la red de Azure. Use controles de seguridad de red a medida que los paquetes cruzan varios límites de red virtual. - Mejores prácticas para la seguridad de red - Soberanía y zonas de aterrizaje de Azure - Conectividad y topología de red - Recomendaciones de red y conectividad Protección de Microsoft Entra ID Desplegar Protección de Microsoft Entra ID y usar señales de dispositivo y riesgo en la directiva de acceso condicional. Ver Microsoft guidance 1.3.3 en Usuario y 2.1.4 en Dispositivo. Microsoft Sentinel Use los conectores para consumir registros de Microsoft Entra ID, recursos de red que se enviarán a Microsoft Sentinel para la auditoría, la búsqueda de amenazas, la detección y la respuesta. Habilitar el análisis de comportamiento de entidades de usuario (UEBA) en Sentinel. Consulte la guía de Microsoft en 5.2.2 y 1.6.2 en User. Microsoft Defender XDR Integrar Microsoft Defender para Punto de Conexión con Microsoft Defender para Aplicaciones en la Nube y bloquear el acceso a aplicaciones no autorizadas. - Integrar Defender para Aplicaciones en la Nube con Defender para Punto de Conexión - Detectar y bloquear shadow IT
5.3.2 Macrosegmentación B/C/P/SLas organizaciones de DoD implementan la macrosegmentación base, camp, post y station mediante zonas de red lógicas que limitan el movimiento lateral. Las comprobaciones de proxy y/o cumplimiento se integran con las soluciones de SDN basadas en los atributos y el comportamiento del dispositivo. Resultados:- Establecer comprobaciones de proxy/cumplimiento de atributos de dispositivos, comportamiento y otros datos- Registrar acciones en SIEM- Analizar actividades con motor de análisis- Utilizar SOAR para proporcionar decisiones de acceso a políticas en tiempo real	Complete la actividad 5.3.1. Microsoft Sentinel Utilice Azure Firewall para visualizar actividades de firewall, detectar amenazas con funcionalidades de investigación de IA, correlacionar actividades y automatizar acciones de respuesta. - Azure Firewall

Descripción y resultado de la actividad de DoD

Guía y recomendaciones de Microsoft

5.3.1 Macrosegmentación del centro de datosLas organizaciones de DoD implementan la macrosegmentación centrada en el centro de datos mediante arquitecturas tradicionales basadas en niveles (web, aplicación o base de datos) o basadas en servicios. Las comprobaciones de proxy y/o cumplimiento se integran con las soluciones de SDN basadas en los atributos y el comportamiento del dispositivo. Resultados:- Registrar acciones en SIEM- Establecer comprobaciones de proxy o cumplimiento de atributos de dispositivo, comportamiento y otros datos- Análisis de actividades con motor de análisis

Redes de Azure
Diseñar e implementar servicios de redes de Azure, en función de las arquitecturas establecidas, como las zonas de aterrizaje a escala empresarial. Segmente las redes virtuales de Azure (VNets) y siga los procedimientos recomendados de seguridad de la red de Azure. Use controles de seguridad de red a medida que los paquetes cruzan varios límites de red virtual.
- Mejores prácticas para la seguridad de red
- Soberanía y zonas de aterrizaje de Azure
- Conectividad y topología de red
- Recomendaciones de red y conectividad

Protección de Microsoft Entra ID
Desplegar Protección de Microsoft Entra ID y usar señales de dispositivo y riesgo en la directiva de acceso condicional.

Ver Microsoft guidance 1.3.3 en Usuario y 2.1.4 en Dispositivo.

Microsoft Sentinel
Use los conectores para consumir registros de Microsoft Entra ID, recursos de red que se enviarán a Microsoft Sentinel para la auditoría, la búsqueda de amenazas, la detección y la respuesta. Habilitar el análisis de comportamiento de entidades de usuario (UEBA) en Sentinel.

Consulte la guía de Microsoft en 5.2.2 y 1.6.2 en User.

Microsoft Defender XDR
Integrar Microsoft Defender para Punto de Conexión con Microsoft Defender para Aplicaciones en la Nube y bloquear el acceso a aplicaciones no autorizadas.
- Integrar Defender para Aplicaciones en la Nube con Defender para Punto de Conexión
- Detectar y bloquear shadow IT

5.3.2 Macrosegmentación B/C/P/SLas organizaciones de DoD implementan la macrosegmentación base, camp, post y station mediante zonas de red lógicas que limitan el movimiento lateral. Las comprobaciones de proxy y/o cumplimiento se integran con las soluciones de SDN basadas en los atributos y el comportamiento del dispositivo. Resultados:- Establecer comprobaciones de proxy/cumplimiento de atributos de dispositivos, comportamiento y otros datos- Registrar acciones en SIEM- Analizar actividades con motor de análisis- Utilizar SOAR para proporcionar decisiones de acceso a políticas en tiempo real

Complete la actividad 5.3.1.

Microsoft Sentinel
Utilice Azure Firewall para visualizar actividades de firewall, detectar amenazas con funcionalidades de investigación de IA, correlacionar actividades y automatizar acciones de respuesta.
- Azure Firewall

5.4 Microsegmentación

Los grupos de seguridad de red (NSG) y los grupos de seguridad de aplicaciones (ASG) proporcionan microsegmentación de seguridad de red para redes Azure. Los ASG simplifican el filtrado del tráfico, en función de los patrones de aplicación. Implemente varias aplicaciones en la misma subred y aísle el tráfico en función de los ASG.

Para más información, consulte Protección y control de cargas de trabajo con segmentación de nivel de red.

Descripción y resultado de la actividad de DoD	Guía y recomendaciones de Microsoft
5.4.1 Implementar microsegmentaciónLas organizaciones de DoD implementan la infraestructura de microsegmentación en el entorno de SDN, lo que permite la segmentación básica de componentes de servicio (por ejemplo: web, aplicación o base de datos), puertos y protocolos. La automatización básica se acepta para los cambios de directiva, incluida la toma de decisiones de API. Los entornos de hospedaje virtual implementan la microsegmentación en el nivel de host o contenedor. Resultados:- Aceptar cambios de directiva automatizadas- Implementación de puntos de decisión de API- Implementación de NGF/Micro FW/Endpoint Agent en el entorno de hospedaje virtual	Actividad 5.3.1. Azure Firewall Premium Utilice Azure Firewall Premium como Firewall de Próxima Generación (NGF) en su estrategia de segmentación de red de Azure. Consulte la guía de Microsoft en 5.1.1. Grupos de seguridad de aplicaciones En los grupos de seguridad de red (NSG), puede utilizar los grupos de seguridad de aplicaciones para configurar la seguridad de red como una extensión de la estructura de aplicaciones. Simplifique las directivas de seguridad de red asociando Azure recursos para la misma aplicación mediante grupos de seguridad de aplicaciones. - Secure y controle las cargas de trabajo con segmentación de nivel de red - Application security groups Azure Kubernetes Service Requerir Azure interfaz de red de contenedor (Azure CNI) para las aplicaciones de Azure Kubernetes Service (AKS) mediante definiciones integradas en Azure Policy. Implemente la microsegmentación de nivel de contenedor para contenedores en AKS mediante directivas de red. Conceptos de redes para AKSConfigurar redes de superposición de CNI de Azure Asegurar el tráfico entre pods mediante políticas de redReferencia de políticas de AKSMicrosoft Defender para ServidoresIncorporar máquinas virtuales (VM) de Azure, máquinas virtules en otros entornos de hospedaje en la nube y servidores locales en Defender para Servidores. La protección de red en Microsoft Defender para punto de conexión bloquea los procesos a nivel de host de la comunicación con dominios específicos, nombres de host o direcciones IP que coinciden con Indicadores de Compromiso (IoC). - Planificar la implementación de Defender para servidores - Protege tu red - Crear indicadores
5.4.2 Microsegmentación de aplicaciones y dispositivosLas organizaciones de DoD utilizan soluciones de redes definidas por software (SDN) para establecer soluciones de infraestructura que cumplan las funcionalidades de ZT Target: zonas de red lógicas, roles, atributos y control de acceso condicional para usuarios y dispositivos, servicios de administración de acceso con privilegios para recursos de red y control basado en directivas en el acceso a la API. Outcomes: - Asignar rol, atributo y control de acceso basado en condiciones para el usuario y los dispositivos - Proporcionar servicios de administración de acceso con privilegios - Limitar el acceso basado en identidad para Usuarios y Dispositivos - Crear zonas de red lógicas	Microsoft Entra ID Integrate aplicaciones con Microsoft Entra ID. Controlar el acceso con roles de aplicación, grupos de seguridad y paquetes de acceso.Consulte la guía de Microsoft 1.2 en Usuario.Acceso condicionalDiseñar conjuntos de directivas de acceso condicional para la autorización dinámica basada en el usuario, el rol, el grupo, el dispositivo, la aplicación cliente, el riesgo de identidad y el recurso de aplicación. Utilice contextos de autenticación para crear zonas de red lógicas, basadas en condiciones de usuario y entorno.Consulte la guía de Microsoft 1.8.3 en Usuario.Administrador de Identidad con PrivilegiosConfigure PIM para acceso Just-In-Time (JIT) a roles con privilegios y grupos de seguridad de Microsoft Entra.Consulte la guía de Microsoft 1.4.2 en Usuario.Máquinas Virtuales de Azure y bases de datos SQLConfigure las Máquinas Virtuales de Azure e instancias de SQL para usar identidades de Microsoft Entra para el inicio de sesión de usuario.Inicie sesión en Windows en AzureInicie sesión en máquinas virtuales Linux en AzureAutenticación con Azure SQLAzure BastionUse Bastion para conectarse de forma segura a máquinas virtuales de Azure con direcciones IP privadas desde el portal de Azure, o mediante el shell seguro nativo (SSH) o un cliente de protocolo de escritorio remoto (RDP).BastionMicrosoft Defender para servidoresUse el acceso Just-In-Time (JIT) a las máquinas virtuales para protegerlas contra el acceso de red no autorizado.Habilitar el acceso JIT en máquinas virtuales
Microsegmentación de procesos 5.4.3Las organizaciones de DoD usan la microsegmentación existente y la infraestructura de automatización de SDN que habilita la microsegmentación de procesos. Los procesos de nivel de host se segmentan en función de las directivas de seguridad y el acceso se concede mediante la toma de decisiones de acceso en tiempo real. Resultados:- Segmentación de procesos de nivel de host para directivas de seguridad- Admitir decisiones de acceso en tiempo real y cambios de directiva- Compatibilidad con la descarga de registros para análisis y automatización- Compatibilidad con la implementación dinámica de la directiva de segmentación	Complete la actividad 5.4.2. Microsoft Defender para punto de conexión Habilite la protección de red en Defender for Endpoint para impedir que las aplicaciones y procesos de nivel de host se conecten a dominios de red malintencionados, direcciones IP o nombres de host comprometidos. Consulte la guía de Microsoft 4.5.1. Evaluación continua de acceso La Evaluación continua de acceso (CAE) permite a servicios como Exchange Online, SharePoint Online y Microsoft Teams suscribirse a eventos de Microsoft Entra como la deshabilitación de cuentas y las detecciones de alto riesgo en Protección de Microsoft Entra ID. Consulte la guía de Microsoft 1.8.3 en Usuario. Microsoft Sentinel Use conectores para consumir registros de Microsoft Entra ID, enviarlos a Microsoft Sentinel para la auditoría, la búsqueda de amenazas, la detección y la respuesta. Consulte la guía de Microsoft en 5.2.2 y 1.6.2 en Usuario.
5.4.4 Proteger datos en tránsitoEn función de las asignaciones y la supervisión de flujos de datos, las organizaciones del DoD habilitan políticas para exigir la protección de los datos en tránsito. Los casos de uso comunes, como el uso compartido de información de la coalición, el uso compartido entre límites del sistema y la protección entre componentes arquitectónicos se incluyen en las directivas de protección. Resultados:- Proteger los datos en tránsito durante el uso compartido de información de la coalición- Proteger los datos en tránsito a través de límites altos del sistema- Integrar datos en la protección de tránsito entre componentes de arquitectura	Microsoft 365 Use Microsoft 365 para la colaboración del Departamento de Defensa (DoD). Microsoft 365 servicios cifran los datos en reposo y en tránsito. - Cifrado en Microsoft 365 Id. externa de Microsoft Entra Microsoft 365 y Microsoft Entra ID mejoran el uso compartido de coaliciones con fácil incorporación y administración del acceso para los usuarios de otros inquilinos de DoD. - Colaboración B2B - Uso compartido seguro para invitados Configurar el acceso entre inquilinos y la configuración de la nube de Microsoft para controlar cómo colaboran los usuarios con organizaciones externas. - Acceso entre inquilinos - Configuración en la nube de Microsoft Gobernanza de Microsoft Entra ID Gestionar ciclos de vida de acceso de usuarios externos con la administración de derechos. - Acceso externo con administración de derechos Microsoft Defender for Cloud Use Defender for Cloud para evaluar continuamente y aplicar protocolos de transporte seguros para recursos en la nube. - Administración de la postura de seguridad de la nube

Pasos siguientes

Configura los servicios en la nube de Microsoft para la estrategia de Confianza cero del DoD.

Introducción
Usuario
Dispositivo
Aplicaciones y cargas de trabajo
Datos
Red
Automatización y orquestación
Visibilidad y análisis

Comentarios

¿Le ha resultado útil esta página?

Last updated on 2026-03-06