Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Стратегия и стратегия нулевого доверия DoD описывает путь для партнеров Министерства обороны и промышленной базы обороны (DIB) для внедрения новой платформы кибербезопасности на основе принципов нулевого доверия. Нулевое доверие устраняет традиционные предположения периметра и доверия, обеспечивая более эффективную архитектуру, которая повышает безопасность, взаимодействие с пользователями и производительность миссий.
В этом руководстве приведены рекомендации по 152 действиям по нулю доверия в схеме выполнения возможностей doD Zero Trusty. Разделы соответствуют семи основным элементам модели DoD Zero Trust.
Чтобы перейти к разделам руководства, воспользуйтесь приведенными ниже ссылками.
- Введение
- Пользователь
- Устройство
- Приложения и рабочие нагрузки
- Данные
- Network
- Автоматизация и оркестрация
- Видимость и аналитика
5 Сеть
В этом разделе содержатся рекомендации и рекомендации Майкрософт по действиям DoD Zero Trust в сетевой основе. Дополнительные сведения см. в разделе "Безопасные сети с нулевым доверием".
Сопоставление потока данных 5.1
Служба Azure виртуальная сеть — это стандартный блок в частной сети в Azure. В виртуальных сетях ресурсы Azure взаимодействуют друг с другом, Интернетом и локальными ресурсами.
При развертывании многоуровневой сетевой топологии в Azure Брандмауэр Azure обрабатывает трафик маршрутизации между виртуальными сетями. Кроме того, Брандмауэр Azure Premium включает такие функции безопасности, как проверка trasport-Layer Security (TLS), сетевое вторжение, обнаружение и предотвращение (IDPS), фильтрация URL-адресов и фильтрация содержимого.
Сетевые средства Azure, такие как Azure Наблюдатель за сетями и Azure Monitor Network Insights, помогают сопоставлять и визуализировать поток сетевого трафика. Интеграция Microsoft Sentinel обеспечивает видимость и управление сетевым трафиком организации с помощью книг, автоматизации и обнаружения.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target5.1.1 Определение правил доступа к детализированному контролю и политик Pt1DoD Enterprise, работающая с организациями, создает детализированные правила и политики доступа к сети. Связанная концепция операций (ConOps) разрабатывается в соответствии с политиками доступа и обеспечивает поддержку в будущем. После согласования организации DoD будут реализовывать эти политики доступа в существующие сетевые технологии (например, брандмауэры следующего поколения, системы предотвращения вторжений и т. д.) для улучшения начальных уровней риска. Результаты: - Предоставление технических стандартов - разработка концепции операций — выявление заинтересованных общин |
Брандмауэр Azure Premium Используйте Azure виртуальная сеть и Брандмауэр Azure Premium для управления обменом данными и маршрутизацией между облачными ресурсами, облачными и локальными ресурсами и Интернетом. Брандмауэр Azure Premium имеет возможности аналитики угроз, обнаружения угроз и предотвращения вторжений для защиты трафика. - Стратегия - сегментации маршрутизации много концентраторов и периферийных топологий - Брандмауэр Azure функции Premium используют Брандмауэр Azure Аналитику политик для управления правилами брандмауэра, включения видимости потока трафика и подробной аналитики правил брандмауэра. - аналитика политик Брандмауэр Azure Приватный канал Azure Использовать Приватный канал Azure для доступа к платформе Azure как службе (PaaS) через частную конечную точку в виртуальной сети. Используйте частные конечные точки для защиты критически важных ресурсов Azure исключительно для виртуальных сетей. Трафик из виртуальной сети в Azure остается в магистральной сети Azure. Не обязательно предоставлять виртуальную сеть общедоступному Интернету для использования служб Azure PaaS. - Безопасные сети. Рекомендации по обеспечению безопасности сети службы - PaaS позволяют группам безопасности сети включить ведение журнала потоков в группах безопасности сети (NSG) для получения активности трафика. Визуализация данных действий в Наблюдатель за сетями. - Журналы потоков NSG Azure виртуальная сеть Manager используют Диспетчер виртуальная сеть Azure для централизованного подключения и конфигураций безопасности для виртуальных сетей в подписках. - Диспетчер виртуальная сеть Azure Брандмауэр Azure Manager Брандмауэр Azure — это служба управления безопасностью для централизованной политики безопасности и управления маршрутизацией для периметров безопасности на основе облака. - Диспетчер Брандмауэр Azure Политика Azure использовать Политика Azure для применения сетевых стандартов, таких как принудительное туннелирование трафика в Брандмауэр Azure или другие сетевые устройства. Запретить общедоступные IP-адреса или обеспечить безопасное использование протоколов шифрования. - Определения для сетевых служб Azure Monitor Используют Azure Наблюдатель за сетями и Azure Monitor Network Insights для комплексного и визуального представления сети. - - аналитика Наблюдатель за сетями Network |
Target5.1.2 Определение правил доступа к детализированному контролю и политик Pt2Организации DoD используют стандарты тегов и классификации данных для разработки фильтров данных для доступа API к инфраструктуре SDN. Точки принятия решений API формализованы в архитектуре SDN и реализуются с критически важными приложениями и службами, не миссии или задачи. Результат. — Определение фильтров тегов данных для инфраструктуры API |
Группы безопасности приложений используют группы безопасности приложений для настройки сетевой безопасности в качестве расширения структуры приложения. Группировать виртуальные машины и определять политики безопасности сети на основе групп. - Теги службы безопасности приложений Azure используют теги служб для виртуальных машин Azure и виртуальная сеть Azure для ограничения сетевого доступа к службам Azure. Azure поддерживает IP-адреса, связанные с каждым тегом. - Теги службы Azure Брандмауэр Azure Брандмауэр Azure Manager — это служба управления безопасностью для централизованной политики безопасности и управления маршрутизацией для облачных периметров безопасности (брандмауэр, DDoS, WAF). Используйте группы IP-адресов для управления IP-адресами для правил Брандмауэр Azure. - Диспетчер- Брандмауэр AzureДиспетчер IP-адресов Azure виртуальная сеть Manager виртуальная сеть — это служба управления для группировки, настройки, развертывания, просмотра и управления виртуальными сетями глобально в разных подписках. - Распространенные варианты использования Azure Наблюдатель за сетями Enable Наблюдатель за сетями для мониторинга, диагностики и просмотра метрик. Включение или отключение журналов для ресурсов инфраструктуры Azure как службы (IaaS). Используйте Наблюдатель за сетями для мониторинга и восстановления работоспособности сети продуктов IaaS, таких как виртуальные машины, виртуальные сети, шлюзы приложений, подсистемы балансировки нагрузки и многое другое. - Azure Наблюдатель за сетями |
5.2 Программное обеспечение определенных сетей
Виртуальные сети являются основой частных сетей в Azure. С помощью виртуальной сети организация управляет взаимодействием между ресурсами Azure и локальной сетью. Фильтрация и маршрутизация трафика и интеграция с другими службами Azure, такими как Брандмауэр Azure, Azure Front Door, Шлюз приложений Azure, Azure VPN-шлюз и Azure ExpressRoute.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target5.2.1 Определение APISDNКомпания DoD работает с организациями, чтобы определить необходимые API и другие программные интерфейсы для включения функций ПРОГРАММНО-определяемой сети (SDN). Эти API позволяют включить точку принятия решений проверки подлинности, прокси-сервер управления доставкой приложений и автоматизацию шлюзов сегментации. Результаты: - API SDN стандартизированы и реализованы . API-интерфейсы работают для точки принятия решений AuthN, прокси-сервера управления доставкой приложений и шлюзов сегментации |
Развертывание и настройка сетей Azure Resource Manager с помощью API Azure Resource Manager (ARM). Средства управления Azure: портал Azure, Azure PowerShell, интерфейс командной строки Azure (CLI) и шаблоны используют те же API ARM для проверки подлинности и авторизации запросов. - Azure Resource Manager - Azure REST API ссылается на роли Azure: назначение встроенных ролей Azure для управления сетевыми ресурсами. Следуйте принципам наименьших привилегий и назначьте роли JIT через PIM. - Встроенные роли Azure |
Target5.2.2 Реализация программируемой инфраструктурыSDNСледуя стандартам, требованиям и функциям API SDN, DoD Organizations реализует инфраструктуру программно-определяемой сети (SDN) для включения задач автоматизации. Шлюзы сегментации и точки принятия решений проверки подлинности интегрируются в инфраструктуру SDN, а также вход в стандартизированный репозиторий (например, SIEM, Log Analytics) для мониторинга и оповещения. Результаты: - Реализован прокси-сервер управления доставкой приложений— установленные действия ведения журнала SIEM— реализован мониторинг активности пользователей (UAM) — интегрированная с точкой принятия решений проверки подлинности. |
Сетевые ресурсы Azure обеспечивают внешний доступ к приложениям, размещенным в виртуальной сети ( виртуальной сети) с помощью Azure Front Door (AFD), Шлюз приложений Azure или Брандмауэр Azure. AFD и Шлюз приложений имеют функции балансировки нагрузки и безопасности для open Web Application Security Project (OWASP) Top 10 и bots. Можно создать настраиваемые правила. Брандмауэр Azure имеет фильтрацию аналитики угроз на уровне 4. - Встроенная фильтрация и защита от известных угроз- в архитектуре Networkng для разработки Microsoft Sentinel Брандмауэр Azure, Шлюз приложений, ADF и Бастиона Azure экспортируют журналы в Sentinel или другие системы управления безопасностью и событиями (SIEM) для анализа. Используйте соединители в Sentinel или Политика Azure для применения этого требования в среде. - Брандмауэр Azure с Sentinel - Соединитель брандмауэра веб-приложений Azure для Соединителя данных Sentinel Find Sentinel - позволяет развернуть прокси приложения Microsoft Entra для публикации и доставки частных приложений в локальной сети. Интеграция решений партнеров по безопасному гибридному доступу (SHA). - Интеграция партнеров SHA прокси-сервера приложения для прокси-сервера- - приложений Защита идентификации Microsoft Entra Deploy Защита идентификации Microsoft Entra и передача сигналов риска входа в условный доступ. См. руководство Майкрософт 1.3.3 в user. приложения Microsoft Defender для облакаИспользуйте Defender для облака Приложения для мониторинга рискованных сеансов веб-приложений. - приложения Defender для облака |
Target5.2.3 Сегментирование потоков в плоскости управления, управления и данныхСетевая инфраструктура и потоки сегментируются физически или логически в области управления, управления и плоскостей данных. Базовая сегментация с помощью подходов IPv6/VLAN реализуется для более эффективного упорядочения трафика между плоскостями данных. Аналитика и NetFlow из обновленной инфраструктуры автоматически передаются в центры операций и средства аналитики. Результаты: - Сегментация IPv6. Включение автоматизированных отчетов NetOps Information Reporting — обеспечение управления конфигурацией в корпоративной среде, интегрированной с SOAR |
Azure Resource Manager Azure Resource Manager— это служба развертывания и управления с уровнем управления для создания, обновления и удаления ресурсов в учетной записи Azure. - Плоскости управления Azure и плоскости - данных Многотенантные плоскости управления плоскостями - управления Безопасностью Azure Microsoft Sentinel Connect для сети Sentinel в Sentinel. Настройте соединители данных Sentinel для сетевых решений, отличных от Azure. Используйте пользовательские запросы аналитики для активации автоматизации SOAR Sentinel. - Ответ на угрозы с помощью схем - обнаружения и реагирования на Брандмауэр Azure с помощью Logic Apps см. в руководстве Майкрософт по версии 5.2.2. |
Advanced5.2.4 Обнаружение сетевых активов и оптимизацияDoD Organizations автоматизирует обнаружение сетевых ресурсов с помощью инфраструктуры SDN, ограничивающей доступ к устройствам на основе методов на основе рисков. Оптимизация проводится на основе аналитики SDN, чтобы повысить общую производительность вместе с обеспечением необходимого утвержденного доступа к ресурсам. Результаты: - Техническое обновление/развитие технологий— обеспечение элементов управления оптимизацией и производительностью |
Azure Monitor использует аналитику сети Azure Monitor для просмотра комплексного визуального представления сетевых ресурсов, включая топологию, работоспособность и метрики. См. руководство майкрософт в версии 5.1.1. Microsoft Defender для облака Defender для облака обнаруживает и перечисляет список подготовленных ресурсов в Azure, других облаках и локальной среде. - Среда Multicloud- Manage resource security posture Microsoft Defender для конечной точки Onboard endpoints and configure device discovery to collect, probe или scan your network to discover unmanaged devices. - Обзор обнаружения устройств |
Advanced5.2.5 Решенияо доступе в режиме реального времениИнфраструктура SDN использует межуровневые источники данных, такие как мониторинг активности пользователей, мониторинг активности сущностей, профили безопасности предприятия и многое другое для принятия решений о доступе в режиме реального времени. Машинное обучение используется для принятия решений на основе расширенной сетевой аналитики (полный сбор пакетов и т. д.). Политики последовательно реализуются на предприятии с помощью унифицированных стандартов доступа. Результаты. Анализ журналов SIEM с помощью подсистемы Аналитики для предоставления решений о доступе к политике в режиме реального времени. Поддержка отправки захваченных пакетов, потоков данных и сетевых потоков и других конкретных журналов для аналитики — сквозные потоки транспортной сети— аудит политик безопасности для согласованности в корпоративной среде |
Выполните действия 5.2.1 – 5.2.4. Microsoft Sentinel Обнаруживает угрозы, отправляя сетевые журналы в Sentinel для анализа. Используйте такие возможности, как аналитика угроз, обнаружение расширенных многофакторных атак, поиск угроз и встроенные запросы. Автоматизация Sentinel позволяет операторам блокировать вредоносные IP-адреса. - Обнаружение угроз с помощью правил- аналитики Брандмауэр Azure соединитель для Azure Наблюдатель за сетями Использовать Azure Наблюдатель за сетями для записи сетевого трафика на виртуальные машины и с виртуальных машин и Масштабируемые наборы виртуальных машин. - Сбор пакетов Microsoft Defender для облака Defender для облака оценивает соответствие требованиям средств безопасности сети, предписанных в платформах, таких как Microsoft Cloud Security Benchmark, DoD Impact Level 4 (IL4) и IL5, а также Национальный институт стандартов и технологий (NIST) 800-53 R4/R5. - Управление безопасностью: безопасность сетиУсловный доступ использует аналитические сведения об условном доступе и книгу отчетов для понимания последствий политик условного доступа организации. - Аналитические сведения и отчеты |
Сегментация макросов 5.3
Подписки Azure — это высокоуровневые конструкции, которые разделяют ресурсы Azure. Обмен данными между ресурсами в разных подписках подготавливается явным образом. Ресурсы виртуальной сети в подписке содержат ресурсы уровня сети. По умолчанию виртуальные сети не могут взаимодействовать с другими виртуальными сетями. Чтобы включить сетевое взаимодействие между виртуальными сетями, одноранговые сети и использовать Брандмауэр Azure для управления трафиком и мониторинга трафика.
Дополнительные сведения см. в статье о безопасных рабочих нагрузках и управлении ими с помощью сегментации на уровне сети.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
TargetСегментациямакросов центра обработки данных 5.3.1Организации DoD реализуют сегментацию макросов центра обработки данных с использованием традиционных многоуровневых архитектур (веб-приложений, баз данных) и (или) на основе служб. Проверки прокси-сервера и (или) принудительного применения интегрируются с решениями SDN на основе атрибутов и поведения устройства. Результаты. - Действия журнала в SIEM — установка проверки прокси-сервера или принудительного применения атрибутов устройств, поведения и других данных — анализ действий с помощью подсистемы аналитики |
Проектирование сетей Azure и реализация сетевых служб Azure на основе установленных архитектур, таких как целевые зоны корпоративного масштаба. Сегментируйте виртуальные сети Azure и следуйте рекомендациям по обеспечению безопасности сети Azure. Используйте элементы управления безопасностью сети в качестве пакетов, пересекая различные границы виртуальной сети. - Рекомендации по обеспечению безопасности сети- и топологии целевых зон - Azure и рекомендации по подключению- к сети и подключению Защита идентификации Microsoft Entra Deploy Защита идентификации Microsoft Entra и использовать сигналы о рисках устройства и риска в наборе политик условного доступа. См. рекомендации Майкрософт 1.3.3 в user и 2.1.4 на устройстве. Microsoft Sentinel Использует соединители для использования журналов из идентификатора Microsoft Entra ID, сетевых ресурсов для отправки в Microsoft Sentinel для аудита, поиска угроз, обнаружения и ответа. Включите аналитику поведения сущностей пользователей (UEBA) в Sentinel. Инструкции Майкрософт см. в разделе 5.2.2 и 1.6.2 в user. Интеграция XDR в Microsoft Defender с Microsoft Defender для конечной точки с приложениями Microsoft Defender для облака и блокировка доступа к неуправляемыми приложениям. - Интеграция приложений Defender для облака с Defender для обнаружения конечных точек - и блокирования теневых ИТ-специалистов |
TargetСегментациямакросов B/C/P/S 5.3.2DoD Организации реализуют базовые, лагерь, пост и макрос-сегментацию станции с помощью зон логических сетей, ограничивающих боковое движение. Проверки прокси-сервера и (или) принудительного применения интегрируются с решениями SDN на основе атрибутов и поведения устройства. Результаты. - Установка проверок атрибутов устройства, поведения и других действий журнала данных в SIEM — анализ действий с помощью подсистемы аналитики— использование SOAR для предоставления решений о доступе к политике RT |
Завершите действие 5.3.1. Microsoft Sentinel использует Брандмауэр Azure для визуализации действий брандмауэра, обнаружения угроз с возможностями исследования ИИ, сопоставления действий и автоматизации действий реагирования. - Брандмауэр Azure |
5.4 Микро сегментация
Группы безопасности сети (NSG) и группы безопасности приложений (ASG) обеспечивают микросегрегацию безопасности сети для сетей Azure. ASG упрощают фильтрацию трафика на основе шаблонов приложений. Разверните несколько приложений в одной подсети и изолируйте трафик на основе ASG.
Дополнительные сведения см. в статье о безопасных рабочих нагрузках и управлении ими с помощью сегментации на уровне сети.
| Описание и результат действия DoD | Рекомендации и рекомендации Майкрософт |
|---|---|
Target5.4.1 Реализация микро сегментацииОрганизации DoD реализуют инфраструктуру микросегации в среду SDN, обеспечивая базовую сегментацию компонентов службы (например, веб-приложения, базы данных), портов и протоколов. Базовая автоматизация принимается для изменений политики, включая принятие решений API. Среды виртуального размещения реализуют микро-сегментацию на уровне узла или контейнера. Результаты. - Принятие изменений автоматической политики— реализация точек принятия решений API— реализация агента NGF/Micro FW/Endpoint в виртуальной среде размещения |
Завершите действие 5.3.1. Брандмауэр Azure Premium Используйте Брандмауэр Azure Premium в качестве брандмауэра NextGen (NGF) в стратегии сегментации сети Azure. См. руководство майкрософт в версии 5.1.1. Группы безопасности приложений в группах безопасности сети (NSG) можно использовать группы безопасности приложений для настройки сетевой безопасности в качестве расширения структуры приложения. Упрощение политик безопасности сети путем связывания ресурсов Azure для одного приложения с помощью групп безопасности приложений. - Защита рабочих нагрузок и управление ими с помощью групп безопасности приложений на - уровне сети Служба Azure Kubernetes Require Azure Container Network Interface (Azure CNI) для приложений в Служба Azure Kubernetes (AKS) с помощью встроенных определений в Политика Azure. Реализуйте микросегментацию уровня контейнера для контейнеров в AKS с помощью политик сети. - Основные понятия сети для AKS- Configure Azure CNI Overlay network - Secure traffic между модулями pod с помощью политики - AKS сети ссылаться на Microsoft Defender для серверов onboard Azure virtual machines (виртуальные машины), виртуальные машины в других облачных средах размещения и локальные серверы в Defender для серверов. Защита сети в Microsoft Defender для конечной точки блокирует процессы уровня узла от взаимодействия с определенными доменами, именами узлов или IP-адресами, соответствующими индикаторам компрометации (IoC). - Планирование развертывания- Defender для серверов защищает индикаторы создания сети - |
TargetСегментацияприложений и устройств 5.4.2Организации DoD используют решения SDN для создания инфраструктуры, которые соответствуют функциям целевого объекта ZT: зонам логической сети, роли, атрибутам и условному управлению доступом для пользователей и устройств, привилегированным службам управления доступом для сетевых ресурсов и управления доступом на основе политик. Результаты. Назначение роли, атрибута и условий на основе контроль доступа пользователям и устройствам . Предоставление привилегированных служб управления доступом на основе удостоверений для пользователей и устройств — создание логических сетевых зон |
Идентификатор Microsoft Entra ID Интегрирует приложения с идентификатором Microsoft Entra. Управление доступом с помощью ролей приложения, групп безопасности и пакетов доступа. См. руководство Майкрософт 1.2 в user. Наборы политик условного доступа условного доступа для условного доступа для динамической авторизации на основе пользователей, роли, группы, устройства, клиентского приложения, риска идентификации и ресурса приложения. Используйте контексты проверки подлинности для создания зон логической сети на основе условий пользователя и среды. См. руководство Майкрософт 1.8.3 в user. Привилегированный диспетчер удостоверений настраивает PIM для JIT-доступа к привилегированным ролям и группам безопасности Microsoft Entra. См. руководство Майкрософт 1.4.2 в user. Базы данныхAzure Виртуальные машины и SQL Настраивают экземпляры Azure Виртуальные машины и SQL для использования удостоверений Microsoft Entra для входа пользователей. - Войдите в Windows в Azure войдите на виртуальную машину Linuz в Службе проверки подлинности Azure - - с помощью бастиона Azure SQL Azure с помощью бастиона с помощью бастиона Azure для безопасного подключения к виртуальным машинам Azure с частными IP-адресами из портал Azure или с помощью собственной защищенной оболочки (SSH) или клиента протокола удаленного рабочего стола (RDP). - Бастион Microsoft Defender для сервера использует JIT-доступ к виртуальным машинам, чтобы защитить их от несанкционированного доступа к сети. - Включение JIT-доступа на виртуальных машинах |
Advanced5.4.3 Сегментация микропроцессаОрганизации DoD используют существующую микросекционную инфраструктуру и инфраструктуру автоматизации SDN, которая позволяет выполнять микро-сегментацию процессов. Процессы уровня узла сегментируются на основе политик безопасности и доступ предоставляется с помощью принятия решений о доступе в режиме реального времени. Результаты: - Сегментирование процессов на уровне узла для политик безопасности— поддержка решений о доступе в режиме реального времени и изменений политики— поддержка разгрузки журналов для аналитики и автоматизации . Поддержка динамического развертывания политики сегментации |
Завершение действия 5.4.2. Microsoft Defender для конечной точки Защита сети в Defender для конечной точки для блокировки процессов и приложений на уровне узла от подключения к вредоносным сетевым доменам, IP-адресам или скомпрометированных имен узлов. См. руководство Майкрософт 4.5.1. Оценка непрерывного доступа (CAE) позволяет службам Exchange Online, SharePoint Online и Microsoft Teams подписаться на события Microsoft Entra, такие как отключение учетной записи и обнаружение высокого риска в Защита идентификации Microsoft Entra. См. руководство Майкрософт 1.8.3 в user. Microsoft Sentinel Использует соединители для использования журналов из идентификатора Microsoft Entra ID, сетевых ресурсов для отправки в Microsoft Sentinel для аудита, поиска угроз, обнаружения и ответа. Инструкции Майкрософт см. в разделе 5.2.2 и 1.6.2 в user. |
Target5.4.4 Защита данных в транзитном режимеВ зависимости от сопоставлений потоков данных и мониторинга политики организации DoD поддерживают защиту передаваемых данных. Распространенные варианты использования, такие как совместное использование информации коалиции, совместное использование между системными границами и защита между компонентами архитектуры, включаются в политики защиты. Результаты. - Защита передаваемых данных во время совместного использования информации коалиции— защита данных в транзитном режиме через высокие границы системы— интеграция данных в транзитную защиту между компонентами архитектуры |
Microsoft 365 использует Microsoft 365 для совместной работы DoD. Службы Microsoft 365 шифруют неактивных и передаваемых данных. - Шифрование в Microsoft 365 Внешняя идентификация Microsoft Entra Microsoft 365 и Microsoft Entra ID повышают совместное использование коалиций с простым подключением и управлением доступом для пользователей в других клиентах DoD. - Безопасный гостевой общий доступ B2B- : настройка межтенантного доступа и параметров облака Майкрософт для управления взаимодействием пользователей с внешними организациями. - Межтенантный доступ к - облачным параметрам Майкрософт Управление идентификацией Microsoft Entra Govern внешних жизненных циклов доступа пользователей с помощью управления правами. - Внешний доступ с помощью управления правами Microsoft Defender для облака Использовать Defender для облака для непрерывной оценки и применения безопасных транспортных протоколов для облачных ресурсов. - Управление безопасностью облака |
Следующие шаги
Настройте облачные службы Майкрософт для стратегии нулевого доверия DoD: