Модель зрелости нулевого доверия CISA для столпа сетей

В этом разделе содержатся рекомендации и указания корпорации Майкрософт по модели CISA Zero Trust Maturity Model в сети. Дополнительные сведения см. в разделе Безопасные сети на основе Zero Trust.

3 сети

Агентство по кибербезопасности и безопасности инфраструктуры (CISA) & определяет сеть как открытую среду для коммуникации, включая типичные каналы. Примеры включают внутренние сети агентства, беспроводные сети и Интернет. Кроме того, определение ссылается на потенциальные каналы, такие как сотовые и

Чтобы перейти к разделам руководства, воспользуйтесь приведенными ниже ссылками.

3.1 Функция: сегментация сети

описание этапа CISA ZTMM рекомендации и руководство Microsoft
начальное состояние зрелости

агентство начинает развертывать сетевую архитектуру с изоляцией критически важных рабочих нагрузок, с ограничением подключения в соответствии с принципом минимальной функциональности и переходом к взаимодействиям, специфичным для отдельных служб.
Azure Front Door, Azure Firewall, Azure Virtual Network, Azure Kubernetes Service
Используйте рекомендации по архитектуре для разработки критически важных рабочих задач со строгими сетевыми элементами управления, которые изолируют задачи, ограничивают подключение и позволяют осуществить переход к взаимодействиям, специфичным для служб.
- Защищенные сети с нулевым доверием
- Основная архитектура для критически важных функций на Azure
- Основная архитектура с сетевыми средствами управления
- Сетевые решения для критически важных рабочих нагрузок

Расширенное состояние зрелости

Агентство масштабирует внедрение механизмов изоляции конечных точек и профилей приложений для большего охвата сетевой архитектуры с помощью микро-периметров и межсоединений, конкретных для службы.
Брандмауэр Azure Premium
Используйте виртуальную сеть Azure и Брандмауэр Azure Premium с фильтрацией трафика уровня сетевого приложения для управления входящим и исходящим трафиком между облачными ресурсами, облачными и локально размещенными ресурсами и Интернетом.стратегия сегментации
-
- наборы правил политики брандмауэра Azure
- многоузловая и зонтичная топология
- функции премиум-брандмауэра
- безопасные и управляемые рабочие нагрузки

Azure Private Link
Azure Private Link обеспечивает доступ к платформе Azure как услуге (PaaS) через конечную точку в частной сети, в виртуальной сети. Используйте частные конечные точки для защиты ресурсов Azure в виртуальных сетях. Трафик из виртуальной сети в Azure остается в магистральной сети Azure. Чтобы использовать службы Azure PaaS, не предоставляйте виртуальную сеть общедоступному Интернету.
- граница службы PaaS
- рекомендации по обеспечению безопасности сети

группы безопасности сети
NSG — это механизм управления доступом для управления трафиком между ресурсами в виртуальной сети в качестве брандмауэра уровня 4. ГБС управляет трафиком с внешними сетями, такими как Интернет, другие виртуальные сети и т. д.
Обзор ГБС

Группы безопасности приложений
Механизм управления ГБП аналогичен ГБС, но ссылается на контекст приложения. Используйте ASG для группировки виртуальных машин с тегом приложения. Определение правил трафика, применяемых к базовым виртуальным машинам.
обзор ASG

Оптимальный статус зрелости

Архитектура сети агентства состоит из полностью распределенных микро-периметров для входа/выхода и обширной микросегментации, основанной на профилях приложений, с динамическим подключением по запросу и достаточною связью для конкретных межсервисных соединений.
Microsoft Defender для Облака, доступ к виртуальной машине по принципу just-in-time
методами и целями кибербезопасности для уменьшения поверхности атак. Уменьшите количество открытых портов, особенно портов управления. Ваши законные пользователи используют эти порты, поэтому закрыть их было бы непрактично. Используйте Microsoft Defender для cloud JIT, чтобы заблокировать входящий трафик на виртуальные машины. Это действие снижает уязвимость к атакам при сохранении доступа к виртуальным машинам.
JIT-доступ к виртуальной машине

Azure Бастион
использовать управляемую платформу Azure бастиона как услуга (PaaS) для безопасного подключения к виртуальным машинам по протоколу TLS. Установите подключение с портала Azure или через собственный клиент к частному IP-адресу на виртуальной машине.
- Бастион Azure
- включение JIT-доступа на виртуальных машинах

3.2 Функция: управление сетевым трафиком

описание этапа CISA ZTMM рекомендации и руководство Microsoft
начальное состояние зрелости

агентство устанавливает профили приложений с различными функциями управления трафиком и начинает сопоставлять все приложения с этими профилями. Агентство расширяет применение статических правил ко всем приложениям и выполняет периодические аудиты профилей приложений.
Политика Azure
Используйте Политику Azure для соблюдения сетевых стандартов, таких как принудительное туннелирование трафика через брандмауэр Azure или другие сетевые устройства. Запретить общедоступные IP-адреса или обеспечить безопасное использование протоколов шифрования.
определения сетевых служб Azure

Шлюз приложений Azure
Требовать использование шлюза приложений для веб-приложений, развернутых в Azure.
- Обзор шлюза приложений
- интеграция шлюза приложений

теги служб Azure
Используйте теги служб для виртуальных машин Azure и виртуальных сетей Azure, чтобы ограничить сетевой доступ к службам Azure. Azure поддерживает IP-адреса, связанные с каждым тегом.
теги службы

Azure Firewall Manager
Включите эту службу управления безопасностью для централизованной политики и управления маршрутизацией для периметров безопасности на основе облака: брандмауэр, распределённая атака отказа в обслуживании (DDoS) и брандмауэр веб-приложения. Используйте группы IP-адресов для управления IP-адресами для правил брандмауэра Azure.
- Firewall Manager
- Группы интернет-протоколов (IP) в Azure Firewall

Группы безопасности приложений
Используйте ASG для настройки сетевой безопасности как расширение структуры приложения. Группировать виртуальные машины и определять политики безопасности сети на основе групп.
ASG и группы безопасности сети

защиты от атак DDoS Azure
Ограничить ресурсы общедоступным IP-адресом. Развертывание распределенной защиты от отказов в обслуживании (DDoS) для ресурсов Azure с общедоступным IP-адресом.
- защита от DDoS-атак уровня приложения (уровень 7)
- защита от DDoS-атак

Расширенное состояние зрелости

Агентство реализует динамические сетевые правила и конфигурации для оптимизации ресурсов, которые периодически адаптируются на основе автоматизированных оценок профилей приложений с учетом рисков и реагирования на риски.

Azure Monitor
эта служба постоянно отслеживает сеть и приложения, предоставляя аналитические сведения и оповещения на основе метрик производительности и безопасности. Динамически настраивайте правила сети для оптимизации использования ресурсов и повышения безопасности. Обзор Azure Monitor.


Оптимальное состояние зрелости

Агентство внедряет динамические сетевые правила и конфигурации, которые постоянно развиваются, чтобы соответствовать потребностям профиля приложения и переприоритизируют приложения на основе критической важности задачи, риска и т. д.
Microsoft Entra доступ в Интернет
Настройка политики условного доступа для защиты профилей трафика. Определите допустимый риск входа.
- Global Secure Access
- Universal Conditional Access

Azure Virtual Network Manager
Определение и управление членством динамических сетевых групп с помощью условных инструкций политики Azure. Сетевые группы включают или исключают виртуальные сети на основе определенных условий.
- Virtual Network Manager
- членство в динамической группе сети

Azure Firewall, Microsoft Sentinel
интеграция Azure Firewall и Microsoft Sentinel предлагает непрерывный мониторинг, обнаружение угроз с помощью ИИ, автоматизированные ответы и обновления конфигурации безопасности на основе риска. Сценарии Sentinel динамически реагируют на выявленные угрозы, изменяя конфигурации сети для защиты критически важных приложений.
Azure Firewall с Sentinel

группы сетевой безопасности
группы сетевой безопасности (NSG) имеют правила безопасности, которые фильтруют сетевой трафик в ресурсы Azure и из них. Включите динамические обновления правил для разрешения или запрета трафика на основе состояния сети и требований безопасности.
обзор NSG

Azure Virtual Network Manager
Эта служба управления упрощает группирование, настройку, развертывание и управление виртуальными сетями между подписками и арендаторами. Определите сетевые группы для сегментирования виртуальных сетей. Установите и примените конфигурации подключения и безопасности для выбранных виртуальных сетей в этих группах.
Диспетчер виртуальных сетей

3.3 Функция: шифрование трафика

описание этапа CISA ZTMM рекомендации и руководство Microsoft
начальное состояние зрелости

агентство начинает шифровать весь трафик во внутренние приложения, предпочитать шифрование трафика во внешние приложения, формализировать политики управления ключами и защищать ключи шифрования сервера или службы.
Облачные службы Microsoft
для передачи данных клиентов, облачные службы Microsoft используют безопасные транспортные протоколы, такие как протоколы защиты интернет-протокола (IPSec) и безопасности транспортного уровня (TLS), между центрами обработки данных Microsoft, а также между пользовательскими устройствами и центрами обработки данных Microsoft.
Шифрование в облачном сервисе

Microsoft Entra Application Proxy
Для публикации внутренних приложений через зашифрованные каналы разворачивайте соединители прокси приложения.
Публикация локальных приложений

Расширенное состояние зрелости

Агентство обеспечивает шифрование для всех применимых внутренних и внешних протоколов трафика. Управляет выдачой и сменой ключей и сертификатов и начинает внедрять рекомендации по криптографической гибкости.

Azure Key Vault
эта облачная служба помогает защитить криптографические ключи и секреты, используемые облачными приложениями и службами. Безопасное хранилище, управление доступом и аудит гарантируют, что конфиденциальная информация защищена и управляется эффективно. Централизованное управление ключами для упрощения соответствия стандартам безопасности. Повышение общего состояния безопасности приложений.
Azure Key Vault
оптимальное состояние зрелости

Агентство продолжает шифровать трафик соответствующим образом, применяет принципы наименьших привилегий для управления безопасными ключами на уровне предприятия и включает рекомендации по криптографической гибкости как можно более широко.
управление ключами в Azure
Службы управления ключами Azure безопасно хранят криптографические ключи в облаке, включая Azure Key Vault, модель безопасности управляемого оборудования Azure (HSM) и выделенный HSM Azure. Выберите из ключей, управляемых платформой, и ключей, управляемых клиентом. Обеспечение гибкого соблюдения требований и управления накладными расходами. Централизация управления ключами. Azure повышает безопасность, упрощает управление доступом, поддерживает приложения и защищает конфиденциальные данные.
управление ключами

Azure Key Vault
принудительно применять минимальные привилегии с помощью управления доступом на основе ролей (RBAC). Назначьте определенные разрешения пользователям и приложениям на основе ролей. Включите детализированное управление доступом. Задайте разрешения для ключей, секретов и сертификатов. Убедитесь, что доступ к конфиденциальной информации имеют только авторизованные лица.
- Рекомендации по использованию Azure Key Vault
- предоставление приложениям разрешений на доступ к Azure Key Vault

Microsoft Entra Privileged Identity Management
интеграция Azure Key Vault с PIM для JIT-доступа. При необходимости предоставьте временные разрешения.Обзор
- PIM
- PIM для групп

3.4 Функция: устойчивость сети

описание этапа CISA ZTMM рекомендации и руководство Microsoft
первоначальное состояние зрелости

Агентство начинает настраивать сетевые возможности для управления требованиями доступности для дополнительных приложений и расширения механизмов устойчивости для рабочих нагрузок, не считающихся критически важными для выполнения задач.
виртуальные сети Azure
Использовать Azure для удовлетворения требований к доступности, используя глобальную сеть центров обработки данных и сервисов.
- Виртуальная сеть Azure
- Обзор надежности Azure

Зоны доступности
Для обеспечения доступности приложений, даже если в одной зоне произошел сбой, используйте зоны доступности для изоляции сбоя в регионе.
Зоны доступности Azure

Azure ExpressRoute
ExpressRoute — это служба гибридного подключения, используемая для обеспечения низкой задержки, высокой устойчивости и пропускной способности для частного подключения между локальной сетью и рабочими нагрузками Azure.
ExpressRoute для обеспечения устойчивости

Расширенное состояние зрелости

агентство настроило сетевые возможности для динамического управления требованиями доступности и механизмами устойчивости для большинства своих приложений.
Диспетчер трафика Azure
динамически распределяет трафик между регионами и центрами обработки данных. Обеспечение оптимальной производительности и высокой доступности; адаптироваться к изменению шаблонов запросов пользователей.
- диспетчер трафика
- надежность диспетчера трафика

Azure Front Door
улучшить глобальное подключение и безопасность с помощью динамической балансировки нагрузки HTTP/S и служб брандмауэра веб-приложений. Служба направляет трафик и адаптируется к требованиям или угрозам в реальном времени.
шлюзы виртуальной сети ExpressRoute, учитывающие зоны доступности Azure Front Door


шлюзы с избыточностью между зонами, динамически распределяют сетевой трафик между зонами доступности. Сохраняйте бесперебойное подключение, если в одной зоне произошел сбой.
избыточные шлюзы виртуальной сети в зонах доступности

Оптимальное состояние зрелости

Агентство интегрирует интегрированную доставку и осведомленность для адаптации к изменениям в требованиях к доступности всех рабочих нагрузок и обеспечивает соответствующую устойчивость.
Azure Load Balancer
настройте пробы работоспособности Azure Load Balancer для отслеживания состояния экземпляра приложения. Пробы обнаруживают сбои приложений, управляют нагрузкой и адаптируются к изменениям спроса на доступность.
- пробы работоспособности Load Balancer
- Управление пробами работоспособности

Шлюз приложений Azure
динамически управлять требованиями к доступности и устойчивости, распределяя трафик между несколькими внутренними пулами и зонами доступности. Убедитесь в высокой доступности и отказоустойчивости, которые автоматически перенаправляют трафик при сбоях в зоне.
- Шлюз приложений Azure версии 2
- хорошо спроектированная перспектива

брандмауэра Azure
улучшить автоматическое масштабирование путем автоматической настройки ресурсов в соответствии с требованиями трафика. Обеспечение безопасности и производительности при высокой нагрузке. Возможности защиты от угроз и фильтрации URL-адресов динамически масштабируются на основе пропускной способности и использования ЦП.
- функции "Премиум"
- часто задаваемые вопросы о брандмауэре Azure
- Производительность брандмауэра Azure

Azure ExpressRoute
настроить Обнаружение Двухнаправленной Пересылки (BFD) для улучшения отработки отказа ExpressRoute. Используйте быстрое обнаружение сбоев связи и включите практически мгновенное переключение на резервные подключения. Минимизируйте время простоя и обеспечьте высокий уровень доступности, одновременно повышая устойчивость и надежность сети.
Настройка BFD

3.5 Функция: видимость и аналитика

описание этапа CISA ZTMM рекомендации и руководство Microsoft
Начальное состояние зрелости

Агентство использует возможности мониторинга сети на основе известных индикаторов компрометации (включая перечисление сети) для разработки ситуационной осведомленности в каждой среде и начинает сопоставлять данные телеметрии между типами трафика и средами для анализа и охоты на угрозы.
Azure Monitor
Используйте Azure Network Watcher и Azure Monitor Network Insights для комплексного и визуального представления сети. Включите журналы потоков виртуальной сети для регистрации IP-трафика. Используйте монитор подключений для отслеживания надежности важных потоков. Прикрепите уведомления к потокам, чтобы соответствующие группы были уведомлены о нарушениях.
- Network Watcher
- Network insights
- журналы потоков VNet
- Мониторинг соединений

Анализ трафика
Используйте решение анализа трафика для обеспечения видимости активности пользователей и приложений в облачных сетях. Аналитика трафика проверяет журналы потоков Наблюдателя за сетями Azure для предоставления аналитических сведений о потоке в облаке Azure.
Аналитика трафика

Расширенное состояние зрелости

Агентство развертывает возможности обнаружения аномалий на основе сети для разработки осведомленности о ситуации во всех средах, начинает коррелировать данные телеметрии из нескольких источников для анализа и включает автоматизированные процессы для надежных действий по поиску угроз.
Microsoft Sentinel
Брандмауэр Azure, Шлюз приложений, Фабрика данных и бастион экспортируют логовые данные в Sentinel или другие системы управления информацией и событиями безопасности (SIEM). Чтобы применить требования на уровне среды, используйте соединители в Sentinel или политике Azure.
- Брандмауэр Azure с Sentinel
- Модуль защиты веб-приложений с Sentinel
- Найдите соединители данных Sentinel

Глобальный безопасный доступ
В журналах глобального безопасного доступа найдите информацию о сетевом трафике. Чтобы понять и проанализировать детали при мониторинге среды, ознакомьтесь с тремя уровнями журналов и их корреляцией.
- Журналы и мониторинг
- Журналы сетевого трафика
- Обогащенные журналы Microsoft 365
- Журналы работоспособности удаленной сети

оптимальное состояние зрелости

Агентство обеспечивает видимость связи между всеми сетями и средами агентства, обеспечивая возможность корпоративной ситуационной осведомленности и расширенные возможности мониторинга, которые автоматизируют корреляцию телеметрии во всех источниках обнаружения.
мониторинг архитектур безопасности нулевого доверия с помощью Microsoft Sentinel
решение «Нулевое доверие» (TIC 3.0) обеспечивает видимость и ситуационную осведомленность для требований к управлению с использованием технологий Microsoft в преимущественно облачных средах. Взаимодействие с клиентами зависит от пользователя. Для некоторых пользовательских интерфейсов может потребоваться конфигурация и изменение запроса.
Мониторинг архитектур безопасности Zero Trust (TIC 3.0)

3.6 Автоматизация и оркестрация

описание этапа CISA ZTMM рекомендации и руководство Microsoft
начальное состояние зрелости

Агентство начинает использовать автоматизированные методы для управления конфигурацией и жизненным циклом ресурсов для некоторых сетей или сред агентства и гарантирует, что все ресурсы имеют определенное время существования на основе политик и телеметрии.
Azure Virtual Network Manager
Централизуйте подключение и конфигурации безопасности для виртуальных сетей во всех подписках.
Диспетчер виртуальных сетей

Политике Azure
Применяйте сетевые стандарты, такие как принудительное туннелирование трафика в брандмауэр Azure или другие сетевые устройства. Запретить общедоступные IP-адреса или применить протоколы шифрования.
определения сетевых служб Azure

диспетчер брандмауэра Azure
эта служба предназначена для централизованной политики безопасности и управления маршрутами периметра безопасности на основе облака. Он управляет политиками для брандмауэра Azure, защиты от атак DDoS Azure и брандмауэра веб-приложений Azure.
- обзор политики диспетчера брандмауэра Azure
-

монитор производительности сети
мониторинг решений Azure, анализ, оповещение и визуализация сетевого подключения. Чтобы активировать автоматическое масштабирование или переключение при отказе, используйте оповещения Azure Monitor.
мониторинг сети

Azure DevOps
Используйте эту службу для настройки конвейеров непрерывной интеграции и непрерывной доставки (CI/CD) для конфигураций сети. Методики DevOps повысят разрыв между обычным управлением инфраструктурой и современным, гибким подходом к обеспечению соответствия сетевым средам.
Azure DevOps

Azure Blueprints
определить повторяющиеся ресурсы Azure, которые соответствуют вашим стандартам, шаблонам и требованиям. Создавайте и запускайте новые среды при обеспечении соответствия требованиям.
Azure Blueprints

Microsoft Sentinel Insecure Protocol Workbook
Используйте книгу небезопасных протоколов для получения аналитических сведений о небезопасном трафике протоколов. Он собирает и анализирует события безопасности из продуктов Майкрософт. Просмотрите аналитику и определите источники устаревшего трафика протоколов, таких как NT LAN Manager (NTLM) Server Message Block версии 1 (SMBv1), WDigest, слабые шифры и устаревшая проверка подлинности в Active Directory.
Рабочая книга по небезопасным протоколам

Microsoft Sentinel
Подключите сетевую инфраструктуру Azure к Sentinel. Настройте соединители данных Sentinel для сетевых решений, отличных от Azure. Используйте пользовательские аналитические запросы для активации оркестрации безопасности, автоматизации и реагирования (SOAR) в Sentinel.
- ответ на угрозы с плейбуками
- обнаружение и реагирование с помощью Logic Apps

Global Secure Access
API доступа к сети создают платформу для перенаправления или фильтрации трафика и связанных правил.
безопасный доступ с помощью API доступа к сети Graph

Расширенное состояние зрелости

Агентство использует автоматизированные методы управления изменениями (например, CI/CD) для управления конфигурацией и жизненным циклом ресурсов для всех сетей и сред агентства, реагирования на политики и защиту от предполагаемых рисков.
Azure DevOps
для автоматизации изменений конфигурации сети и управления ресурсами, реализации конвейеров непрерывной интеграции и непрерывной доставки (CI/CD).
Azure DevOps

службы автоматизации Azure
управлять конфигурацией сети и задачами жизненного цикла, такими как обновления и принудительное применение соответствия требованиям.
службы автоматизации Azure

Microsoft Sentinel
разрешить Sentinel отслеживать сетевые среды и применять политики. Его автоматизированные ответы решают предполагаемые риски.
Расширенный мониторинг

Политика Azure
Автоматизация обеспечения соответствия и применения политики для сетевых ресурсов.
Политика Azure

оптимальное состояние зрелости

сети и среды агентства определяются с помощью инфраструктуры как кода, управляемого методами автоматического управления изменениями, включая автоматическое инициирование и истечение срока действия в соответствии с изменяющимися потребностями.
Azure Resource Manager
использовать шаблоны ARM для определения сетевой инфраструктуры как кода и управления ими. Включите автоматическое развертывание и обновления.
Обзор ARM

Используйте Terraform в Azure
, чтобы автоматизировать процессы создания, управления и масштабирования сетевых ресурсов, внедряя инфраструктуру как код.
Terraform и Azure

Azure DevOps
Используйте конвейеры непрерывной интеграции и доставки (CI/CD), чтобы автоматизировать изменения и управление жизненным циклом. Обеспечьте соответствие динамическим требованиям сети.
Advanced CD/IC

Microsoft Sentinel
Оркеструйте и автоматизируйте операции безопасности сети. Sentinel интегрируется с практиками инфраструктуры как кода для комплексного управления.
Автоматизация с помощью Sentinel

службы автоматизации Azure
использовать возможности для управления жизненным циклом, включая автоматический запуск и истечение срока действия сетевых ресурсов.
расширенной автоматизации

3.7 Функция: управление

описание этапа CISA ZTMM рекомендации и руководство Microsoft
Начальный уровень зрелости

Агентство определяет и начинает реализовывать политики, адаптированные к отдельным сегментам сети и ресурсам, наследуя корпоративные общие правила, где это уместно.

Определите и реализуйте политики безопасности сети Azure для сегментов и ресурсов.
сетевой безопасности Azure

брандмауэр Azure Premium
маршрутите исходящий и входящий трафик через брандмауэр Azure. Реализуйте политики для сетевых сегментов и ресурсов.
- функции брандмауэра "Премиум"
- входящего и исходящего подключения к Интернету
- настройка брандмауэра Azure на портале Azure
- политики Azure для защиты развертываний брандмауэра Azure
- наборов правил политики брандмауэра Azure

Microsoft Sentinel
Мониторинг и обеспечение соблюдения сетевых политик, чтобы убедиться, что они соответствуют правилам на уровне предприятия.
Sentinel

Microsoft Defender для облака
Начните с управления и безопасности сетевых ресурсов и сегментов.
Defender для облака

Расширенное состояние зрелости

Агентство интегрирует автоматизацию в реализацию адаптированных политик и облегчает переход от периметрально-ориентированной защиты.
Azure Firewall
Автоматизируйте применение сетевых политик и переходите от подхода на основе периметра к более детализированным мерам безопасности.
- Брандмауэр Azure
- Брандмауэр Azure вместе с Sentinel

Сетевые группы безопасности
Используйте группы безопасности сети для автоматизации управления сетевым трафиком и динамического применения политик.
Сетевые группы безопасности Azure

Sentinel
Повышайте автоматизацию применения политик и отслеживайте переход от традиционных моделей безопасности к динамическим.
Расширенный мониторинг

Оптимальное состояние зрелости

Агентство реализует политики сети на уровне предприятия, которые позволяют адаптировать, локальные элементы управления; динамические обновления; и безопасные внешние подключения на основе рабочих процессов приложений и пользователей.
Политика Azure
Реализуйте и управляйте сетевыми политиками на уровне предприятия с динамическими обновлениями и локальными элементами управления.
Политика Azure

Azure Virtual WAN
Обеспечьте безопасные, динамические внешние подключения и оптимизируйте производительность сети в зависимости от потребностей приложений и пользователей.
Azure Virtual Wide Area Network (WAN)

Sentinel
Используйте Sentinel для комплексной автоматизации и интеграции сетевых политик с безопасными внешними подключениями.
Автоматизация с помощью Sentinel

Microsoft Defender для облака
Обеспечьте полное управление сетью с автоматизированными, динамическими обновлениями и надежной безопасностью сетевых ресурсов.
Расширенная сетевая безопасность

Azure Firewall, Диспетчер брандмауэра
Создавайте сетевые политики на уровне предприятия. Использование настраиваемых правил сети и приложений для сегментов и ресурсов; обеспечить необходимую безопасность на уровне сети. С помощью менеджера брандмауэра Azure политики централизованно управляются и применяются к нескольким экземплярам. ИТ-сотрудники устанавливают основные политики, а сотрудники DevOps добавляют локализованные элементы управления.
- централизованное управление брандмауэром Azure
- наборы правил политик брандмауэра Azure

Дальнейшие действия

Настройте облачные службы Майкрософт для модели зрелости нулевого доверия CISA.