Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Стратегия и дорожная карта DoD "Никому не доверяй" описывает путь для компонентов Министерства обороны и партнеров промышленной базы обороны (DIB) к принятию новой структуры кибербезопасности на основе принципов "Никому не доверяй". "Никому не доверяй" устраняет традиционные предположения периметра и доверия, что обеспечивает более эффективную архитектуру, которая повышает безопасность, взаимодействие с пользователями и производительность миссий.
В этом руководстве приведены рекомендации по 152 мероприятиям "Никому не доверяй" в DoD "Никому не доверяй" Capability Execution Roadmap. Разделы соответствуют семи основным элементам модели DoD "Никому не доверяй".
Чтобы перейти к разделам руководства, воспользуйтесь приведенными ниже ссылками.
- Введение
- User
- Device
- Приложения и рабочие нагрузки
- Данные
- Сеть
- Автоматизация и оркестрация
- Видимость и аналитика
5 Сеть
В этом разделе приводятся рекомендации Майкрософт и предложения по действиям "Никому не доверяй" для Министерства обороны в рамках сетевой подсистемы. Дополнительные сведения см. в разделе Secure networks with "Никому не доверяй".
Сопоставление потока данных 5.1
Служба Azure Virtual Network — это стандартный блок в частной сети в Azure. В виртуальных сетях Azure ресурсы взаимодействуют друг с другом, Интернетом и локальными ресурсами.
При развертывании многоуровневой топологии сети в Azure Брандмауэр Azure обрабатывает трафик маршрутизации между виртуальными сетями. Кроме того, Брандмауэр Azure Premium включает такие функции безопасности, как проверка безопасности транспортного уровня (TLS), система обнаружения и предотвращения сетевых вторжений (IDPS), фильтрация URL-адресов и фильтрация содержимого.
Azure сетевые средства, такие как Azure Network Watcher и Azure Monitor Network Insights, помогают сопоставлять и визуализировать поток сетевого трафика. Microsoft Sentinel Integration обеспечивает видимость и контроль сетевого трафика организации, с помощью рабочих книг, автоматизации и возможностями обнаружения.
| Описание и результат действия DoD | Майкрософт руководство и рекомендации |
|---|---|
Target
5.1.1 Определение правил гранулярного контроля доступа и политик Pt1DoD Enterprise, работая с организациями, создает гранулярные правила и политики доступа к сети. Связанная концепция операций (ConOps) разрабатывается в соответствии с политиками доступа и обеспечивает поддержку в будущем. После согласования организации DoD будут реализовывать эти политики доступа в существующие сетевые технологии (например, брандмауэры следующего поколения, системы предотвращения вторжений и т. д.) для улучшения начальных уровней риска. Результаты: - Предоставление технических стандартов - разработка концепции операций — выявление заинтересованных общин |
Брандмауэр Azure Premium Use Azure Virtual Network и Брандмауэр Azure Premium для управления обменом данными и маршрутизацией между облачными ресурсами, облачными и локальными ресурсами и Интернетом. Брандмауэр Azure Premium имеет разведку угроз, обнаружение угроз и возможности защиты от вторжений для защиты трафика. - Segmentation strategy - Организуйте топологию с несколькими концентраторами и периферийными устройствами - Брандмауэр Azure Premium Используйте Аналитику политик Брандмауэр Azure для управления правилами брандмауэра, включения видимости потока трафика и выполнения подробной аналитики правил брандмауэра. - Аналитика политик Брандмауэр Azure Приватный канал Azure Используйте Приватный канал Azure для доступа к платформе Azure как услуге (PaaS) через частную конечную точку в виртуальной сети. Используйте частные конечные точки для защиты критически важных ресурсов Azure в пределах виртуальных сетей. Трафик из виртуальной сети в Azure остается в магистральной сети Azure. Не обязательно предоставлять виртуальную сеть общедоступному Интернету для использования услуг Azure PaaS. - Secure networks: граница службы PaaS - Рекомендации по обеспечению сетевой безопасности Группы безопасности сети Включите ведение журнала потока в группах безопасности сети (NSG) для получения данных о действиях трафика. Визуализация данных активности в Наблюдатель за сетями. - Журналы потоков NSG Диспетчер виртуальных сетей Azure Используйте Диспетчер виртуальных сетей Azure для централизованных конфигураций подключения и безопасности для виртуальных сетей в подписках. - Диспетчер виртуальных сетей Azure Диспетчер брандмауэра Azure Диспетчер брандмауэра Azure — это служба управления безопасностью для централизованной политики безопасности и управления маршрутизацией для периметров безопасности на основе облака. - Диспетчер брандмауэра Azure Политика Azure Используйте Политика Azure для обеспечения соблюдения сетевых стандартов, таких как принудительное туннелирование трафика к Брандмауэр Azure или другим сетевым устройствам. Запретить общедоступные IP-адреса или обеспечить безопасное использование протоколов шифрования. - Definitions для сетевых служб Azure Azure Monitor Use Azure Network Watcher и Azure Monitor Network Insights для комплексного и визуального представления сети. - Наблюдатель за сетями - Network insights |
Target
5.1.2 Определите правила доступа к сегментированному контролю и политики Часть 2Организации Министерства обороны США используют стандарты тегирования и классификации данных для разработки фильтров данных для доступа к API инфраструктуры SDN. Точки принятия решений API формализованы в архитектуре SDN и реализуются с некритически важными для задач/миссий приложениями и службами. Результат. — Определение фильтров тегов данных для инфраструктуры API |
Группы безопасности приложений используют группы безопасности приложений для настройки сетевой безопасности в качестве расширения структуры приложения. Группировать виртуальные машины (ВМ) и определять политики безопасности сети на основе групп. Группы безопасности приложений Azure Служебные теги Использовать служебные теги для виртуальных машин Azure и виртуальных сетей Azure, чтобы ограничить доступ к службам Azure в использовании. Azure поддерживает IP-адреса, связанные с каждым тегом. - Azure теги службы Брандмауэр Azure Диспетчер брандмауэра Azure — это служба управления безопасностью для централизованной политики безопасности и управления маршрутизацией для периметров безопасности на основе облака (брандмауэр, DDoS, WAF). Используйте группы IP для управления IP-адресами в правилах Брандмауэр Azure. - Диспетчер брандмауэра Azure - IP группы Диспетчер виртуальных сетей Azure Virtual Network Manager — это служба управления, предназначенная для группировки, настройки, развертывания, просмотра и управления виртуальными сетями во всех подписках глобально. - Общие варианты использования Azure Network Watcher Включите Наблюдатель за сетями для мониторинга, диагностики и просмотра метрик. Включение или отключение журналов для ресурсов инфраструктуры как службы (IaaS) Azure. Используйте Наблюдатель за сетями для отслеживания и восстановления работоспособности сети продуктов IaaS, таких как виртуальные машины, виртуальные сети, шлюзы приложений, подсистемы балансировки нагрузки и другие - Azure Network Watcher |
5.2 Программно-определяемые сети
Виртуальные сети являются основой частных сетей в Azure. С помощью виртуальной сети организация управляет взаимодействием между Azure ресурсами и локальными сетями. Фильтрация и маршрутизация трафика и интеграция с другими службами Azure, такими как Брандмауэр Azure, Azure Front Door, Шлюз приложений Azure, Azure VPN Gateway и Azure ExpressRoute.
| Описание и результат действия DoD | Майкрософт руководство и рекомендации |
|---|---|
Target
5.2.1 Определение APISDNКомпания DoD работает с организациями, чтобы определить необходимые API и другие программные интерфейсы для включения функций ПРОГРАММНО-определяемой сети (SDN). Эти API позволяют включить точку принятия решений проверки подлинности, прокси-сервер управления доставкой приложений и автоматизацию шлюзов сегментации. Результаты: - API SDN стандартизированы и реализованы . API-интерфейсы работают для точки принятия решений AuthN, прокси-сервера управления доставкой приложений и шлюзов сегментации |
Azure Resource Manager Разверните и настройте сети Azure с помощью API Azure Resource Manager (ARM). средства управления Azure: портал Azure, Azure PowerShell, интерфейс командной строки Azure, и шаблоны используют те же API ARM для проверки подлинности и авторизации запросов. - Azure Resource Manager - Azure REST API справочники Azure роли Назначьте встроенные роли Azure для управления сетевыми ресурсами. Следуйте принципам наименьших привилегий и назначьте роли JIT через PIM. - встроенные роли Azure |
Target
5.2.2 Реализация программируемой инфраструктурыSDNСледуя стандартам, требованиям и функциям API SDN, DoD Organizations реализует инфраструктуру программно-определяемой сети (SDN) для включения задач автоматизации. Шлюзы сегментации и точки принятия решений по аутентификации интегрируются в инфраструктуру SDN, с последующей регистрацией результатов в стандартизированный репозиторий (например, SIEM, Log Analytics) для мониторинга и оповещения. Результаты: - Реализован прокси-контроля доставки приложений - Установлен ведение журнала SIEM - Реализован мониторинг активности пользователей (UAM) - Интеграция с точкой принятия решений проверки подлинности. |
Azure сетевые ресурсы Обеспечьте безопасный внешний доступ к приложениям, размещенным в виртуальной сети, с использованием: Azure Front Door (AFD), Шлюз приложений Azure или Брандмауэр Azure. AFD и Шлюз приложений имеют функции балансировки нагрузки и безопасности для Открытого проекта по безопасности веб-приложений (OWASP) Top 10 и ботов. Можно создать настраиваемые правила. Брандмауэр Azure имеет фильтрацию аналитики угроз на уровне 4. - Облачная фильтрация и защита от известных угроз - Проектирование сетевой архитектуры Microsoft Sentinel Брандмауэр Azure, Шлюз приложений, ADF и Бастион Azure экспортируют журналы в Sentinel или другие системы управления безопасностью и событиями (SIEM) для анализа. Используйте соединители в Microsoft Sentinel или Политика Azure для применения этого требования в среде. - Брандмауэр Azure с Microsoft Sentinel - соединитель брандмауэра веб-приложений Azure к Microsoft Sentinel - Найдите соединители данных Sentinel прикладной прокси Microsoft Entra Разверните прокси приложения для публикации и доставки частных приложений в вашей локальной сети. Интеграция решений партнеров безопасного гибридного доступа. - Прокси-сервер приложений - Развертывание прокси сервера приложений - Интеграции с партнерами по SHA Защита Microsoft Entra ID Развертывание Защита Microsoft Entra ID и передача сигналов риска входа для условного доступа. См. руководство Майкрософт 1.3.3 в разделе Пользователи. Майкрософт Defender для облачных приложений Используйте Defender для облачных приложений для мониторинга сеансов рискованных веб-приложений. - Defender для облачных приложений |
Target
5.2.3 Сегментирование потоков на плоскости управления, менеджмента и данныхСетевая инфраструктура и потоки сегментируются физически или логически на плоскости управления, менеджмента и данных. Базовая сегментация с помощью подходов IPv6/VLAN реализуется для более эффективного упорядочения трафика между плоскостями данных. Аналитика и NetFlow из обновленной инфраструктуры автоматически передаются в центры операций и средства аналитики. Результаты: - Сегментация IPv6 . Включение автоматического отчета NetOps — обеспечение контроля конфигурации по всему предприятию; интеграция с SOAR |
Azure Resource Manager Azure Resource Manager — это служба развертывания и управления с уровнем управления для создания, обновления и удаления ресурсов в учетной записи Azure. - Контрольные и информационные плоскости Azure - Контрольные плоскости с многопользовательской поддержкой - Операционная безопасность Azure Microsoft Sentinel Подключите сетевую инфраструктуру Azure к Sentinel. Настройте соединители данных Sentinel для сетевых решений, отличных от Azure. Используйте пользовательские запросы аналитики для запуска автоматики Sentinel SOAR. - Ответ на угрозы с помощью плейбуков - Обнаружение и реагирование для Брандмауэр Azure с Logic Apps См. руководство Майкрософт в разделе 5.2.2. |
Advanced
5.2.4 Обнаружение и оптимизация сетевых активовОрганизации Министерства обороны автоматизируют обнаружение сетевых активов с помощью инфраструктуры SDN, которая ограничивает доступ к устройствам на основе методических подходов, основанных на уровне риска. Оптимизация проводится на основе аналитики SDN, чтобы повысить общую производительность вместе с обеспечением необходимого утвержденного доступа к ресурсам. Результаты: - Техническое обновление/развитие технологий— обеспечение элементов управления оптимизацией и производительностью |
Azure Monitor Используйте инструменты анализа сети Azure Monitor, чтобы получить комплексное визуальное представление сетевых ресурсов, включая топологию, работоспособность и метрики. См. руководство Майкрософт в разделе 5.1.1. Microsoft Defender для облака Defender для облака обнаруживает и составляет список подготовленных ресурсов в Azure, других облаках и в локальной среде. - Мультиоблачная среда - Управление показателями безопасности ресурсов Майкрософт Defender для конечных точек Подключайте конечные точки и настраивайте обнаружение устройств для сбора, проверки или сканирования сети для обнаружения неуправляемых устройств. - Обзор обнаружения устройств |
Advanced
5.2.5 Решенияо доступе в режиме реального времениИнфраструктура SDN использует межуровневые источники данных, такие как мониторинг активности пользователей, мониторинг активности сущностей, профили безопасности предприятия и многое другое для принятия решений о доступе в режиме реального времени. Машинное обучение используется для принятия решений на основе расширенной сетевой аналитики (полный сбор пакетов и т. д.). Политики последовательно реализуются на предприятии с помощью унифицированных стандартов доступа. Результаты: - Анализ журналов SIEM с помощью подсистемы Аналитики для принятия решений о доступе к политикам в режиме реального времени. - Поддержка отправки захваченных пакетов, потоков данных и сетевых потоков, а также других конкретных журналов для аналитики. - Сегментация сквозных потоков транспортной сети. - Аудит политик безопасности для согласованности в корпоративной среде. |
Выполните задания 5.2.1 – 5.2.4. Обнаруживайте угрозы, отправляя сетевые журналы в Microsoft Sentinel для анализа. Используйте такие возможности, как аналитика угроз, обнаружение расширенных многофакторных атак, поиск угроз и встроенные запросы. Автоматизация Sentinel позволяет операторам блокировать вредоносные IP-адреса. - Обнаружение угроз с помощью правил аналитики - Соединитель Брандмауэр Azure для Sentinel Azure Network Watcher Используйте Azure Network Watcher для отслеживания сетевого трафика на виртуальные машины и из них, а также в наборах масштабирования виртуальных машин. - Перехват пакетов Microsoft Defender для облака Defender для облака оценивает соответствие требованиям средств безопасности сети, предписанных в платформах, таких как Microsoft Cloud Security Benchmark, уровень воздействия DoD 4 (IL4) и IL5, а также Национальный институт стандартов и технологий (NIST) 800-53 R4/R5. - Контроль безопасности: Сетевая безопасность Условный доступ Используйте рабочую книгу сведений и отчетов об условном доступе, чтобы понять последствия политик условного доступа в организации. - Сведения и отчеты |
Сегментация макросов 5.3
Azure подписки — это высокоуровневые конструкции, которые разделяют ресурсы Azure. Коммуникация между ресурсами в разных подписках явно настраивается. Ресурсы виртуальной сети (VNet) в подписке обеспечивают изоляцию ресурсов на уровне сети. По умолчанию виртуальные сети не могут взаимодействовать с другими виртуальными сетями. Чтобы обеспечить сетевую связь между виртуальными сетями, установите одноранговое подключение и используйте Брандмауэр Azure для управления и мониторинга трафика.
Дополнительные сведения см. в статье о безопасных рабочих нагрузках и управлении ими с помощью сегментации на уровне сети.
| Описание и результат действия DoD | Рекомендации и руководства Майкрософт |
|---|---|
Target
Сегментациямакросов центра обработки данных 5.3.1Организации DoD реализуют сегментацию макросов центра обработки данных с использованием традиционных многоуровневых архитектур (веб-приложений, баз данных) и (или) на основе служб. Проверки прокси и/или контроля внедряются в решения SDN, исходя из атрибутов и поведения устройства. Результаты: - Сохранение действий в журнал SIEM — Установка прокси-сервера/проверки атрибутов устройств, поведения и других данных — Анализ деятельности с помощью аналитической системы |
Azure сети Проектируйте и реализуйте сетевые службы Azure на основе установленных архитектур, таких как посадочные зоны корпоративного масштаба. Сегментируйте Azure виртуальные сети и следуйте Azure рекомендациям по обеспечению безопасности сети. Используйте элементы управления безопасностью сети по мере прохождения пакетов через различные границы виртуальных сетей. - Лучшие практики для сетевой безопасности - Суверенитет и целевые зоны Azure - Сетевые топологии и подключения - Рекомендации по сетям и подключению Защита Microsoft Entra ID Разверните Защита Microsoft Entra ID и используйте сигналы устройства и риска в наборах политик условного доступа. Смотрите руководство Майкрософт 1.3.3 в разделе User и 2.1.4 в разделе Device. Microsoft Sentinel Используйте соединители для получения журналов из Microsoft Entra ID, чтобы отправить их в Microsoft Sentinel для аудита, охоты на угрозы, обнаружения и реагирования. Включение аналитики поведения сущностей пользователей (UEBA) в Sentinel. См. руководство Майкрософт в 5.2.2 и 1.6.2 в User. Microsoft Defender XDR Интегрировать Майкрософт Defender для конечной точки с Майкрософт Defender для облачных приложений и блокировать доступ к неуправляемым приложениям. - Интегрировать Defender для облачных приложений с Defender для конечной точки - Обнаруживать и блокировать теневое ИТ |
Target
5.3.2 B/C/P/S макросегментацияDoD организации реализуют макросегментацию баз, лагерей, постов и станций с помощью зон логических сетей, ограничивающие боковое перемещение. Проверки прокси и/или контроля внедряются в решения SDN, исходя из атрибутов и поведения устройства. Результаты. - Проверка прокси/применение проверок атрибутов устройства, поведения и других данных - Журналирование действий в SIEM - Анализ активности с помощью аналитической системы - Использование SOAR для принятия решений о предоставлении доступ к политике RT |
Завершите задание 5.3.1. Microsoft Sentinel Используйте Брандмауэр Azure для визуализации действий брандмауэра, обнаружения угроз с использованием возможностей ИИ для исследования, сопоставления действий и автоматизации реагирования. - Брандмауэр Azure |
5.4 Микро сегментация
Группы безопасности сети (NSG) и группы безопасности приложений (ASG) обеспечивают сегментацию сетевой безопасности для Azure сетей. ASG упрощают фильтрацию трафика на основе шаблонов приложений. Разверните несколько приложений в одной подсети и изолируйте трафик на основе ASG.
Дополнительные сведения см. в статье о безопасных рабочих нагрузках и управлении ими с помощью сегментации на уровне сети.
| Описание и результат действия DoD | Майкрософт руководство и рекомендации |
|---|---|
Target
5.4.1 Реализация микро сегментацииОрганизации DoD реализуют инфраструктуру микросегации в среду SDN, обеспечивая базовую сегментацию компонентов службы (например, веб-приложения, базы данных), портов и протоколов. Базовая автоматизация принимается для изменений политики, включая принятие решений API. Среды виртуального размещения реализуют микро-сегментацию на уровне узла или контейнера. Результаты: - Принятие автоматических изменений политики - Реализация точек принятия решений API - Реализация агента NGF/Micro FW/Endpoint в среде виртуального хостинга |
Завершите задание 5.3.1. Брандмауэр Azure Premium Используйте Брандмауэр Azure Premium в качестве брандмауэра следующего поколения (NGF) в вашей стратегии сегментации сети Azure. См. руководство Майкрософт в разделе 5.1.1. Группы безопасности приложений В группах безопасности сети (NSG) можно использовать группы безопасности приложений для настройки сетевой безопасности в качестве расширения структуры приложений. Упростите политики безопасности сети, связывая ресурсы Azure для одного приложения с помощью групп безопасности приложений. - Защищайте и управляйте рабочими нагрузками с сегментацией на уровне сети - Группы безопасности приложений Служба Kubernetes Azure Требуйте использования сетевого интерфейса контейнера Azure (Azure CNI) для приложений в службе Azure Kubernetes (AKS) с помощью встроенных определений в Политика Azure. Реализуйте микросегментацию уровня контейнера для контейнеров в AKS с помощью политик сети. основные понятия - Сетевые концепции для AKS - Настройка наложенной сети Azure CNI - Обеспечьте безопасность трафика между модулями pod, используя сетевые политики - Справочник по политикам AKS Microsoft Defender для серверов Подключите виртуальные машины Azure, виртуальные машины в других облачных средах размещения и локальные серверы к Defender для серверов. Защита сети в Microsoft Defender для конечной точки блокирует процессы уровня узла от взаимодействия с определенными доменами, именами узлов или IP-адресами, соответствующими индикаторам компрометации (IoC). - Спланируйте развертывание Defender для серверов - Защитите вашу сеть - Создайте индикаторы |
Target
5.4.2 Микросегментация приложений и устройствОрганизации DoD используют решения SDN для создания инфраструктуры, соответствующей функциям целевой архитектуре ZT: зоны логической сети, ролевая, атрибутная и условная база управления доступом для пользователей и устройств, привилегированные службы управления доступом для сетевых ресурсов, и управление доступом через политику. Outcomes: - Назначение роли, атрибутов и условий для управления доступом на основе ролей и условий пользователя и устройства - Предоставление управления привилегированным доступом - Ограничение доступа на основе каждого удостоверения для пользователей и устройств - Создание логических зон сети |
Интегрируйте приложения с Microsoft Entra ID . Управление доступом с помощью ролей приложения, групп безопасности и пакетов доступа. Смотрите руководство Майкрософт 1.2 в разделе Пользователь. Условный доступ Разработка политики условного доступа для динамической авторизации на основе пользователя, роли, группы, устройства, клиентского приложения, риска идентичности и ресурса приложения. Используйте контексты проверки подлинности для создания зон логической сети на основе пользовательских условий и условий среды. |
Advanced
5.4.3 Сегментация микропроцессаОрганизации DoD используют существующую микросекционную инфраструктуру и инфраструктуру автоматизации SDN, которая позволяет выполнять микро-сегментацию процессов. Процессы уровня узла сегментируются на основе политик безопасности и доступ предоставляется с помощью принятия решений о доступе в режиме реального времени. Результаты: - Сегментирование процессов на уровне узла для политик безопасности— поддержка решений о доступе в режиме реального времени и изменений политики— поддержка разгрузки журналов для аналитики и автоматизации . Поддержка динамического развертывания политики сегментации |
действие Выполните задание 5.4.2. Майкрософт Defender для конечной точки Включите сетевую защиту в Defender для конечной точки, чтобы блокировать процессы и приложения на уровне узла от подключения к вредоносным доменам сети, IP-адресам или скомпрометированным именам узлов. См. руководство Майкрософт 4.5.1. Непрерывная оценка доступа Непрерывная оценка доступа (CAE) позволяет таким службам, как Exchange Online, SharePoint Online и Microsoft Teams, подписываться на события Microsoft Entra, такие как отключение учетной записи и обнаружение высокого риска в Защита Microsoft Entra ID. См. руководство Майкрософт 1.8.3 в User. Microsoft Sentinel Используйте соединители для передачи журналов из Microsoft Entra ID и сетевые ресурсы в Microsoft Sentinel для аудита, поиска угроз, обнаружения и реагирования. См. руководство Майкрософт в 5.2.2 и 1.6.2 в User. |
Target
5.4.4 Защита данных в процессе передачиНа основе сопоставлений потоков данных и мониторинга политики, организации Министерства обороны США вводят обязательные меры по защите данных в процессе передачи. Распространенные варианты использования, такие как совместное использование информации коалиции, совместное использование между системными границами и защита между компонентами архитектуры, включаются в политики защиты. Результаты: - Защита данных при передаче во время совместного использования информации коалиции - Защита данных при передаче через высокие границы системы - Интеграция средств защиты данных при передаче в компоненты архитектуры |
Microsoft 365 Использовать Microsoft 365 для совместной работы DoD. службы Microsoft 365 шифруют данные в состоянии покоя и в транзите. - Шифрование в Microsoft 365 Внешняя идентификация Microsoft Entra Microsoft 365 и Microsoft Entra ID улучшают совместное использование коалиции с помощью простого подключения и управления доступом для пользователей в других клиентах DoD. - Сотрудничество B2B - Безопасный гостевой доступ Настройте параметры доступа между клиентами и параметры облака Майкрософт для управления взаимодействием пользователей с внешними организациями. - Доступ между клиентами - Параметры облака Майкрософт Управление Microsoft Entra ID Организуйте жизненные циклы доступа внешних пользователей с помощью управления правами. - Внешний доступ с управлением правами Microsoft Defender для облака Используйте Defender для облака для непрерывной оценки и применения безопасных транспортных протоколов для облачных ресурсов. - Управление состоянием безопасности облака |
Следующие шаги
Настройте облачные службы Майкрософт для стратегии "Никому не доверяй" DoD: