Freigeben über

Implementieren von TIC 3.0-Compliance

Azure Firewall
Azure Application Gateway
Azure Front Door
Azure Log Analytics
Azure Event Hubs

In diesem Artikel wird beschrieben, wie Sie TIC 3.0-Compliance (Trusted Internet Connections) für Azure-Anwendungen und -Dienste mit Internetzugriff erreichen. Dieser Artikel enthält Lösungen und Ressourcen, die Behörden bei der Einhaltung von TIC 3.0 unterstützen. Es wird auch beschrieben, wie die erforderlichen Ressourcen bereitgestellt und Lösungen in vorhandene Systeme integriert werden.

Hinweis

Microsoft stellt diese Informationen im Rahmen einer vorgeschlagenen Konfiguration für Abteilungen und Behörden der Federal Civilian Executive Branch (FCEB) bereit, um die Teilnahme an der CLAW-Funktion (Cloud Log Aggregation Warehouse) der CISA (Cybersecurity and Infrastructure Security Agency) zu erleichtern. Die vorgeschlagenen Konfigurationen werden von Microsoft verwaltet und können geändert werden.

Aufbau

Diagramm, das eine TIC 3.0-Compliancearchitektur zeigt.

Laden Sie eine Visio-Datei dieser Architektur herunter.

Datenfluss

  1. Firewall
    • Die Firewall kann eine beliebige Firewall der Ebene 3 oder 7 sein.
      • Azure Firewall und einige Firewalls von Drittanbietern, die auch als Network Virtual Appliances (NVAs) bezeichnet werden, sind Firewalls der Ebene 3.
      • Azure-Anwendungsgateway mit Webanwendungsfirewall und Azure Front Door mit Webanwendungsfirewall sind Layer 7 Firewalls.
      • Dieser Artikel enthält Bereitstellungslösungen für Azure Firewall, Anwendungsgateway mit Webanwendungsfirewall und Azure Front Door mit Webanwendungsfirewall-Bereitstellungen.
    • Die Firewall erzwingt Richtlinien, erfasst Metriken und protokolliert Verbindungstransaktionen zwischen Webdiensten und den Benutzer*innen und Diensten, die auf die Webdienste zugreifen.
  2. Firewallprotokolle
    • Azure Firewall, Anwendungsgateway mit Webanwendungsfirewall und Azure Front Door mit Webanwendungsfirewall senden Protokolle an den Log Analytics-Arbeitsbereich.
    • Firewalls von Drittanbietern senden Protokolle im Syslog-Format über einen virtuellen Syslog-Weiterleitungscomputer an den Log Analytics-Arbeitsbereich.
  3. Log Analytics-Arbeitsbereich
    • Der Log Analytics-Arbeitsbereich ist ein Repository für Protokolle.
    • Er kann einen Dienst hosten, der eine benutzerdefinierte Analyse der Daten zum Netzwerkdatenverkehr von der Firewall bereitstellt.
  4. Dienstprinzipal (registrierte Anwendung)
  5. Azure Event Hubs Standard
  6. CISA TALON

Komponenten

  • Firewall: Verwenden Sie eine oder mehrere der folgenden Firewalls in Ihrer Architektur. Weitere Informationen finden Sie unter Alternativen.

    • Azure Firewall ist ein Sicherheitsdienst für Netzwerkfirewalls, der einen verbesserten Bedrohungsschutz für Cloudworkloads bietet, die auf Azure ausgeführt werden. Es ist eine zustandsbehaftete verwaltete Firewall, die integrierte hohe Verfügbarkeit und uneingeschränkte Cloudskalierbarkeit aufweist. Es enthält Standard- und Premium-Leistungsstufen. Azure Firewall Premium umfasst die Funktionalität von Azure Firewall Standard und bietet zusätzliche Features wie transport Layer Security (TLS)-Inspektion und ein Angriffserkennungs- und Präventionssystem (IDPS). In dieser Architektur kann Azure Firewall als Layer-3-Firewall dienen, die Richtlinien erzwingt, Datenverkehr überprüft und Transaktionen protokolliert, um die TIC 3.0-Compliance zu unterstützen.

    • Anwendungsgateway mit Webanwendungsfirewall ist ein regionaler Lastenausgleich für Webdatenverkehr, der eine Webanwendungsfirewall enthält. Die Webanwendungsfirewall bietet einen verbesserten zentralisierten Schutz von Webanwendungen. In dieser Architektur kann das Anwendungsgateway eingehenden Webdatenverkehr verwalten und sichern, wodurch Anwendungen vor häufigen Exploits geschützt und Datenverkehr für die Compliance protokolliert werden.

    • Azure Front Door mit Webanwendungsfirewall ist ein globaler Lastenausgleich für den Webdatenverkehr, der Netzwerkfunktionen für die Inhaltsübermittlung und die integrierte Webanwendungsfirewall umfasst. In dieser Architektur kann Azure Front Door den globalen Anwendungszugriff beschleunigen und sichern, während der Datenverkehr für zentralisierte Analysen und Compliance protokolliert wird. Die Webanwendungsfirewall bietet einen verbesserten zentralen Schutz Ihrer Webanwendungen vor gängigen Exploits und Sicherheitsrisiken.

    • Eine Nicht-Microsoft-Firewall ist ein NVA, der auf einem virtuellen Azure-Computer ausgeführt wird und Firewalldienste von Partneranbietern verwendet. Microsoft unterstützt ein großes Ökosystem von Partneranbietern, die Firewalldienste bereitstellen. In dieser Architektur kann eine Nicht-Microsoft-Firewall anpassbare Firewalldienste bereitstellen und Protokolle über Syslog auf einen virtuellen Weiterleitungscomputer exportieren, um sie in den Log Analytics-Arbeitsbereich aufzunehmen.

  • Protokollierung und Authentifizierung:

    • Log Analytics ist ein zentrales Repository zum Sammeln und Analysieren von Protokolldaten. In dieser Architektur werden Firewall- und Identitätsprotokolle gespeichert, die benutzerdefinierte Abfragen und Weiterleitungen an Event Hubs für DIE CISA CLAW-Erfassung ermöglichen.

    • Azure Monitor ist eine Überwachungslösung zum Sammeln, Analysieren und Handeln von Telemetrie. In dieser Architektur sammelt Azure Monitor Leistungs- und Diagnosedaten aus Netzwerk- und Identitätskomponenten.

    • Microsoft Entra ID ist ein Identitäts- und Zugriffsdienst, der Identitätsfeatures, einmaliges Anmelden und mehrstufige Authentifizierung über Azure-Workloads hinweg bereitstellt. In dieser Architektur sichert es den Zugriff auf Azure-Ressourcen und generiert Identitätsprotokolle für die Complianceüberwachung.

    • Event Hubs Standard ist eine Big Data Streaming-Plattform und ein Ereignisaufnahmedienst. In dieser Architektur empfängt sie Protokolle von Log Analytics und streamt sie zur zentralisierten Analyse an CISA TALON.

    • CISA TALON ist ein zentralisierter Protokollaggregationsdienst, der von CISA betrieben wird, der Telemetriedaten aus Cloudumgebungen für die Cybersicherheitsüberwachung und Compliance erfasst. In dieser Architektur authentifiziert SICH TALON mithilfe eines von CISA bereitgestellten Zertifikats und sammelt Protokolle von Event Hubs. Sie ruft die Protokolle in das CLAW-System ein, um die TIC 3.0-Compliance und die zentrale Sichtbarkeit zu unterstützen.

Alternativen

Es gibt einige Alternativen, die Sie in diesen Lösungen verwenden können:

  • Sie können die Protokollsammlung in Zuständigkeitsbereiche aufteilen. Beispielsweise können Sie Microsoft Entra-Protokolle an einen Log Analytics-Arbeitsbereich senden, der von einem Identitätsteam verwaltet wird, und Sie können Netzwerkprotokolle an einen anderen Log Analytics-Arbeitsbereich senden, der vom Netzwerkteam verwaltet wird.
  • Die Beispiele in diesem Artikel verwenden jeweils eine einzelne Firewall, aber einige Organisationsanforderungen oder Architekturen erfordern zwei oder mehr. Beispielsweise kann eine Architektur eine Azure Firewall-Instanz und eine Anwendungsgatewayinstanz mit der Webanwendungsfirewall enthalten. Protokolle für jede Firewall müssen gesammelt und zur Verfügung gestellt werden, damit CISA TALON erfasst werden kann.
  • Wenn Ihre Umgebung den Internetausgang von Azure-basierten virtuellen Computern erfordert, können Sie eine Lösung der Ebene 3 wie Azure Firewall oder eine Firewall eines Drittanbieters verwenden, um den ausgehenden Datenverkehr zu überwachen und zu protokollieren.

Szenariodetails

TIC 3.0 erweitert TIC von der lokalen Datensammlung auf einen cloudbasierten Ansatz, der moderne Anwendungen und Systeme besser unterstützt. Diese Version bietet eine bessere Leistung, da Sie direkt auf Azure-Anwendungen zugreifen können. Mit TIC 2.x müssen Sie über ein TIC 2.x Managed Trusted Internet Protocol Service (MTIPS)-Gerät auf Azure-Anwendungen zugreifen, was die Antwort verlangsamt.

Das Routing des Anwendungsverkehrs durch eine Firewall und die Protokollierung dieses Verkehrs ist die Kernfunktionalität, die in den hier vorgestellten Lösungen demonstriert wird. Die Firewall kann Azure Firewall, Azure Front Door mit Webanwendungsfirewall, Anwendungsgateway mit Webanwendungsfirewall oder NVA eines Drittanbieters sein. Die Firewall hilft beim Schützen des Cloudperimeters und speichert Protokolle jeder Transaktion. Unabhängig von der Firewallschicht erfordert die Protokollsammlungs- und Übermittlungslösung einen Log Analytics-Arbeitsbereich, eine registrierte Anwendung und einen Event Hub. Der Log Analytics-Arbeitsbereich sendet Protokolle an den Event Hub.

CLAW ist ein von CISA verwalteter Dienst. Ende 2022 veröffentlichte CISA TALON. TALON ist ein von CISA verwalteter Dienst, der native Azure-Funktionen verwendet. Eine Instanz von TALON wird in jeder Azure-Region ausgeführt. TALON stellt eine Verbindung mit Event Hubs her, die von Behörden verwaltet werden, um die Agenturfirewall und Microsoft Entra-Protokolle in CISA CLAW zu pullen.

Weitere Informationen zu CLAW, TIC 3.0 und MTIPS finden Sie unter:

Mögliche Anwendungsfälle

TIC 3.0-konforme Lösungen werden am häufigsten von Bundes- und Regierungsbehörden implementieren für ihre Azure-basierten Webanwendungen und API-Dienste verwendet.

Überlegungen

Diese Überlegungen bilden die Säulen des Azure Well-Architected Framework, einer Reihe von Leitprinzipien, die Sie zur Verbesserung der Qualität eines Workloads verwenden können. Weitere Informationen finden Sie unter Well-Architected Framework.

  • Bewerten Sie Ihre aktuelle Architektur, um zu ermitteln, welche der hier vorgestellten Lösungen den besten Ansatz für die TIC 3.0-Compliance bietet.
  • Wenden Sie sich an Ihren CISA-Vertreter, um den Zugriff auf CLAW anzufordern.

Zuverlässigkeit

Zuverlässigkeit trägt dazu bei, dass Ihre Anwendung die Verpflichtungen erfüllen kann, die Sie für Ihre Kunden vornehmen. Weitere Informationen finden Sie in der Prüfliste zur Entwurfsüberprüfung für Zuverlässigkeit.

  • Azure Firewall Standard und Premium können in Verfügbarkeitszonen integriert werden, um die Verfügbarkeit zu erhöhen.
  • Application Gateway v2 unterstützt automatische Skalierung und Verfügbarkeitszonen, um die Zuverlässigkeit zu erhöhen.
  • Implementierungen in mehreren Regionen, die Lastenausgleichsdienste wie Azure Front Door enthalten, können die Zuverlässigkeit und Resilienz verbessern.
  • Event Hubs Standard und Premium bieten Kopplungen für die georedundante Notfallwiederherstellung, die es einem Namespace ermöglicht, ein Failover auf eine sekundäre Region durchzuführen.

Sicherheit

Sicherheit bietet Sicherheitsmaßnahmen gegen bewusste Angriffe und den Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie in der Prüfliste zur Entwurfsüberprüfung für Sicherheit.

  • Wenn Sie eine Unternehmensanwendung registrieren, wird ein Dienstprinzipal erstellt. Verwenden Sie ein Benennungsschema für Dienstprinzipale, das den Zweck für jeden einzelnen angibt.
  • Führen Sie Überwachungen durch, um die Aktivität von Dienstprinzipalen und den Status der Besitzer*innen von Dienstprinzipalen zu bestimmen.
  • Azure Firewall verfügt über Standardrichtlinien. Webanwendungsfirewalls (WAFs), die mit Dem Anwendungsgateway verknüpft sind, und Azure Front Door verfügen über verwaltete Regelsätze, um Ihren Webdienst zu sichern. Verwenden Sie diese Regelsätze als Ausgangspunkt, und erstellen Sie im Lauf der Zeit Organisationsrichtlinien basierend auf Branchenanforderungen, bewährten Methoden und behördlichen Vorschriften.
  • Der Event Hubs-Zugriff wird über verwaltete Microsoft Entra-Identitäten und ein von CISA bereitgestelltes Zertifikat autorisiert.

Kostenoptimierung

Die Kostenoptimierung konzentriert sich auf Möglichkeiten, unnötige Ausgaben zu reduzieren und die betriebliche Effizienz zu verbessern. Weitere Informationen finden Sie in der Prüfliste für die Entwurfsüberprüfung für die Kostenoptimierung.

Die Kosten für jede Lösung werden mit zunehmenden Ressourcen herunterskaliert. Das Preisbeispielszenario in diesem Azure-Preisrechner basiert auf der Azure Firewall-Lösung. Wenn Sie die Konfiguration ändern, können die Kosten steigen. Bei einigen Plänen steigen die Kosten, wenn die Anzahl der erfassten Protokolle zunimmt.

Hinweis

Verwenden Sie den Azure-Preisrechner , um up-to-Datumspreise abzurufen, die auf den Ressourcen basieren, die für die ausgewählte Lösung bereitgestellt werden.

Operative Exzellenz

„Optimaler Betrieb“ deckt die Betriebsprozesse ab, die für die Bereitstellung einer Anwendung und deren Ausführung in der Produktion sorgen. Weitere Informationen finden Sie in der Prüfliste zur Entwurfsüberprüfung für Operational Excellence.

  • Azure Monitor-Warnungen sind in die Lösungen integriert, die Sie benachrichtigen, wenn ein Upload keine Protokolle an CLAW übermittelt. Sie müssen in diesem Fall den Schweregrad der Warnungen und die Reaktion darauf bestimmen.
  • Sie können Azure Resource Manager (ARM), Bicep- oder Terraform-Vorlagen verwenden, um die Bereitstellung von TIC 3.0-Architekturen für neue Anwendungen zu beschleunigen.

Leistungseffizienz

Die Leistungseffizienz bezieht sich auf die Fähigkeit Ihrer Workload, die Anforderungen der Benutzer effizient zu erfüllen. Weitere Informationen finden Sie in der Prüfliste zur Entwurfsüberprüfung für Die Leistungseffizienz.

  • Die Leistung von Azure Firewall, Anwendungsgateway, Azure Front Door und Event Hubs wird skaliert, wenn die Nutzung zunimmt.
  • Azure Firewall Premium ermöglicht mehr TCP-Verbindungen als der Standard-Tarif und bietet eine höhere Bandbreite.
  • Application Gateway v2 stellt automatisch sicher, dass neue Instanzen über Fehlerdomänen und Updatedomänen hinweg verteilt werden.
  • Azure Front Door bietet Zwischenspeicherung, Komprimierung, Datenverkehrsbeschleunigung und TLS-Beendigung, um die Leistung zu verbessern.
  • Event Hubs Standard und Premium bieten eine automatische Vergrößerung, um bei steigender Auslastung hochzuskalieren.

Bereitstellen einer Azure Firewall-Lösung

Hinweis

Für diese Lösung werden keine Bereitstellungsressourcen bereitgestellt. Sie ist nur als Anleitung enthalten.

Durch die Bereitstellung von Azure Firewall in Ihrer Netzwerkarchitektur können Sie den Datenverkehr in Ihre Azure-Anwendungsumgebung effektiv verwalten und schützen. Diese Lösung bietet umfassende Anleitungen zum Sammeln und Bereitstellen von Protokollen an das Cloud Log Aggregation Warehouse (CISA) Cloud Log Aggregation Warehouse (CLAW), um die Einhaltung der Anforderungen von Trusted Internet Connections (TIC) 3.0 sicherzustellen. Die Bereitstellung kann mithilfe von ARM-, Bicep- oder Terraform-Vorlagen automatisiert werden, um den Einrichtungsprozess zu optimieren und die bewährten Methoden für Infrastruktur-as-Code einzuhalten.

Diagramm, das eine TIC 3.0-Compliancearchitektur zeigt. Azure Firewall lädt Protokolle in CLAW hoch.

Die Lösung beinhaltet Folgendes:

  • Ein virtuelles Netzwerk, das über separate Subnetze für die Firewall und die Server verfügt.
  • Einen Log Analytics-Arbeitsbereich
  • Azure Firewall mit einer Netzwerkrichtlinie für den Internetzugriff
  • Azure Firewall-Diagnoseeinstellungen, die Protokolle an den Log Analytics-Arbeitsbereich senden
  • Eine Routingtabelle, die der Ressourcengruppe der Anwendung zugeordnet ist, um die App Service-Instanz für die generierten Protokolle an die Firewall weiterzuleiten.
  • Eine registrierte Anwendung.
  • Ein Event Hub.
  • Eine Warnungsregel, die bei einem Auftragsfehler eine E-Mail sendet

Bereitstellen einer Lösung, die Application Gateway mit WAF verwendet

Hinweis

Für diese Lösung werden keine Bereitstellungsressourcen bereitgestellt. Sie ist nur als Anleitung enthalten.

Durch die Bereitstellung des Anwendungsgateways mit der Webanwendungsfirewall (WEB Application Firewall, WAF) in Ihrer Netzwerkarchitektur können Sie den Webdatenverkehr in Ihre Azure-Anwendungsumgebung effektiv verwalten und sichern. Diese Lösung bietet umfassende Anleitungen zum Sammeln und Bereitstellen von Protokollen an das Cloud Log Aggregation Warehouse (CISA) Cloud Log Aggregation Warehouse (CLAW), um die Einhaltung der Anforderungen von Trusted Internet Connections (TIC) 3.0 sicherzustellen. Die Bereitstellung kann mithilfe von ARM-, Bicep- oder Terraform-Vorlagen automatisiert werden, um den Einrichtungsprozess zu optimieren und bewährte Methoden zur Infrastruktur als Code einzuhalten.

Diagramm, das eine TIC 3.0-Compliancearchitektur zeigt. Anwendungsgateway mit WAF lädt Protokolle in CLAW hoch.

Die Lösung beinhaltet Folgendes:

  • Ein virtuelles Netzwerk, das über separate Subnetze für die Firewall und die Server verfügt.
  • Einen Log Analytics-Arbeitsbereich
  • Eine Application Gateway v2-Instanz mit WAF. Die WAF wird mit Richtlinien konfiguriert, die von Bots und Microsoft verwaltet werden.
  • Application Gateway v2-Diagnoseeinstellungen, die Protokolle an den Log Analytics-Arbeitsbereich senden.
  • Eine registrierte Anwendung.
  • Ein Event Hub.
  • Eine Warnungsregel, die bei einem Auftragsfehler eine E-Mail sendet

Bereitstellen einer Lösung, die Azure Front Door mit WAF verwendet

Hinweis

Für diese Lösung werden keine Bereitstellungsressourcen bereitgestellt. Sie ist nur als Anleitung enthalten.

Die folgende Lösung verwendet Azure Front Door mit WAF, um globalen Webdatenverkehr in Ihre Azure-Anwendungsumgebung zu verwalten und zu sichern. Diese Lösung bietet umfassende Anleitungen zum Generieren, Sammeln und Bereitstellen von Protokollen an das CISA Cloud Log Aggregation Warehouse (CLAW), um die Einhaltung der Anforderungen von Trusted Internet Connections (TIC) 3.0 sicherzustellen. Die Bereitstellung kann mithilfe von ARM-, Bicep- oder Terraform-Vorlagen automatisiert werden, um den Einrichtungsprozess zu optimieren und bewährte Methoden zur Infrastruktur als Code einzuhalten.

Diagramm, das eine TIC 3.0-Compliancearchitektur zeigt. Azure Front Door mit WAF lädt Protokolle in CLAW hoch.

Die Lösung beinhaltet Folgendes:

  • Ein virtuelles Netzwerk, das über separate Subnetze für die Firewall und die Server verfügt.
  • Einen Log Analytics-Arbeitsbereich
  • Eine Azure Front Door-Instanz mit WAF. Die WAF wird mit Richtlinien konfiguriert, die von Bots und Microsoft verwaltet werden.
  • Azure Front Door-Diagnoseeinstellungen, die Protokolle an den Log Analytics-Arbeitsbereich senden.
  • Eine registrierte Anwendung.
  • Ein Event Hub.
  • Eine Warnungsregel, die bei einem Auftragsfehler eine E-Mail sendet

Firewalllösung von Drittanbietern (NVA)

Hinweis

Für diese Lösung werden keine Bereitstellungsressourcen bereitgestellt. Sie ist nur als Anleitung enthalten.

Die folgende Lösung veranschaulicht, wie Sie eine Firewall eines Drittanbieters verwenden können, um Datenverkehr in Ihre Azure-Anwendungsumgebung zu verwalten und TIC 3.0-Compliance zu implementieren. Firewalls von Drittanbietern erfordern die Verwendung eines virtuellen Syslog-Weiterleitungscomputers. Die Agents müssen im Log Analytics-Arbeitsbereich registriert werden. Die Firewall eines Drittanbieters ist so konfiguriert, dass ihre Protokolle im Syslog-Format auf den virtuellen Syslog-Weiterleitungscomputer exportiert werden. Der Agent ist so konfiguriert, dass er seine Protokolle an den Log Analytics-Arbeitsbereich sendet. Nachdem sich die Protokolle im Log Analytics-Arbeitsbereich befinden, werden sie an Event Hubs gesendet und wie in den anderen in diesem Artikel beschriebenen Lösungen verarbeitet.

Diagramm, das eine TIC 3.0-Compliancearchitektur zeigt. Eine Firewall von Drittanbietern lädt Protokolle in CLAW hoch.

Aufgaben nach der Bereitstellung

Nach der Bereitstellung führt Ihre Umgebung die Firewallfunktionen aus und protokolliert Verbindungen. Um die Konformität mit TIC 3.0-Richtlinien für die Sammlung von Netzwerktelemetriedaten zu erfüllen, müssen Sie sicherstellen, dass die Protokolle in CISA CLAW eintreffen. Mit den Schritten nach der Bereitstellung werden die Aufgaben zum Aktivieren der Compliance abgeschlossen. Um diese Schritte auszuführen, müssen Sie sich mit CISA abstimmen, da CISA ein Zertifikat bereitstellen muss, das Ihrem Dienstprinzipal zugeordnet werden kann.

Sie müssen die folgenden Aufgaben nach der Bereitstellung manuell ausführen. Sie können sie nicht mithilfe einer ARM-Vorlage abschließen.

  • Rufen Sie ein Zertifikat für einen öffentlichen Schlüssel von CISA ab.
  • Erstellen Sie einen Dienstprinzipal (Anwendungsregistrierung).
  • Fügen Sie der Anwendungsregistrierung das Zertifikat für den öffentlichen Schlüssel hinzu.
  • Weisen Sie der Anwendung die Rolle Azure Event Hubs-Datenempfänger im Event Hubs-Namespacebereich zu.
  • Aktivieren Sie den Feed, indem Sie die Azure-Mandanten-ID, die Anwendungs-ID (Client-ID), den Event Hub-Namespacenamen, den Event Hub-Namen und den Namen der Consumergruppe an CISA senden.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautor:

Andere Mitwirkende:

Um nicht öffentliche LinkedIn-Profile anzuzeigen, melden Sie sich bei LinkedIn an.

Nächste Schritte