Implementar el cumplimiento de TIC 3.0

En este artículo se describe cómo lograr la conformidad con las conexiones de confianza a Internet (TIC) 3.0 para las aplicaciones y los servicios Azure orientados a Internet. Proporciona soluciones y recursos para ayudar a las organizaciones gubernamentales a cumplir con TIC 3.0. También describe cómo implementar los activos necesarios y cómo incorporar las soluciones a los sistemas existentes.

Arquitectura

Descargue un archivo de Visio de esta arquitectura.

Flujo de datos

1. Cortafuegos
   • El firewall puede ser cualquiera de capa 3 o de capa 7.
     • Azure Firewall y algunos firewalls de terceros, también conocidos como Network Virtual Appliances (NVAs), son firewalls de capa 3.
     • Azure Application Gateway con Firewall de aplicaciones web y Azure Front Door con Firewall de aplicaciones web son firewalls de nivel 7.
     • En este artículo se proporcionan soluciones de implementación para Azure Firewall, Application Gateway con firewall de aplicaciones web y Azure Front Door con implementaciones de Firewall de aplicaciones web.
   • El firewall aplica directivas, recopila métricas y registra las transacciones de conexión entre los servicios web y los usuarios y servicios que acceden a los servicios web.
2. Registros de firewall
   • Azure Firewall, Application Gateway con Web Application Firewall y Azure Front Door con Web Application Firewall envían registros al área de trabajo de Log Analytics.
   • Los firewalls de terceros envían los registros en formato Syslog al área de trabajo Log Analytics a través de una máquina virtual Syslog forwarder.
3. Área de trabajo de Log Analytics
   • El área de trabajo de Log Analytics es un repositorio de registros.
   • Puede hospedar un servicio que proporciona un análisis personalizado de los datos del tráfico de red del firewall.
4. Entidad de servicio (aplicación registrada)
5. Azure Event Hubs Estándar
6. CISA TALON

Componentes

• Cortafuegos: Use uno o varios de los siguientes firewalls en la arquitectura. Para obtener más información, consulte Alternativas.

  • Azure Firewall es un servicio de seguridad de firewall de red que proporciona protección contra amenazas mejorada para cargas de trabajo en la nube que se ejecutan en Azure. Es un firewall administrado con estado que tiene alta disponibilidad integrada y escalabilidad de nube sin restricciones. Incluye los niveles de rendimiento Estándar y Premium. Azure Firewall Premium incluye la funcionalidad de Azure Firewall Estándar y proporciona características adicionales, como la inspección de seguridad de la capa de transporte (TLS) y un sistema de detección y prevención de intrusiones (IDPS). En esta arquitectura, Azure Firewall puede servir como firewall de nivel 3 que aplica directivas, inspecciona el tráfico y registra las transacciones para admitir el cumplimiento de TIC 3.0.

  • Application Gateway con firewall de aplicaciones web es un equilibrador de carga de tráfico web regional que incluye un firewall de aplicaciones web. Web Application Firewall proporciona una protección centralizada mejorada de las aplicaciones web. En esta arquitectura, Application Gateway puede administrar y proteger el tráfico web entrante, que protege las aplicaciones frente a vulnerabilidades de seguridad comunes y registra el tráfico para el cumplimiento.

  • Azure Front Door con firewall de aplicaciones web es un equilibrador de carga de tráfico web global que incluye funcionalidades de red de entrega de contenido y firewall de aplicaciones web integrado. En esta arquitectura, Azure Front Door puede acelerar y proteger el acceso a las aplicaciones globales al tiempo que registra el tráfico para el análisis y el cumplimiento centralizados. El firewall de aplicaciones web proporciona una protección centralizada mejorada de las aplicaciones web frente a vulnerabilidades y vulnerabilidades comunes.

  • Un firewall que no es de Microsoft es una aplicación virtual de red que se ejecuta en una máquina virtual de Azure y usa servicios de firewall de proveedores asociados. Microsoft admite un gran ecosistema de proveedores de asociados que proporcionan servicios de firewall. En esta arquitectura, un firewall que no es de Microsoft puede proporcionar servicios de firewall personalizables y exportar registros a través de Syslog a una máquina virtual reenviadora para la ingesta en el área de trabajo de Log Analytics.

• Registro y autenticación:

  • Log Analytics es un repositorio centralizado para recopilar y analizar datos de registro. En esta arquitectura, almacena los registros de firewall e identidad, lo que permite las consultas personalizadas y el reenvío a Event Hubs para la ingesta de CISA CLAW.

  • Azure Monitor es una solución de supervisión para recopilar, analizar y actuar sobre la telemetría. En esta arquitectura, Azure Monitor recopila datos de rendimiento y diagnóstico de los componentes de red e identidad.

  • Microsoft Entra ID es un servicio de identidad y acceso que proporciona características de identidad, inicio de sesión único y autenticación multifactor en cargas de trabajo de Azure. En esta arquitectura, protege el acceso a los recursos de Azure y genera registros de identidad para la supervisión del cumplimiento.

  • Event Hubs Standard es una plataforma de streaming de macrodatos y un servicio de ingesta de eventos. En esta arquitectura, recibe registros de Log Analytics y los transmite a CISA TALON para el análisis centralizado.

  • CISA TALON es un servicio de agregación de registros centralizado operado por CISA que ingiere datos de telemetría de entornos en la nube para la supervisión y el cumplimiento de la ciberseguridad. En esta arquitectura, TALON se autentica mediante un certificado proporcionado por CISA y recopila registros de Event Hubs. Extrae los registros en el sistema CLAW para admitir el cumplimiento de TIC 3.0 y la visibilidad centralizada.

Alternativas

Hay algunas alternativas que puede usar en estas soluciones:

• Puede separar la recopilación de registros en áreas de responsabilidad. Por ejemplo, puede enviar los registros de Microsoft Entra a un área de trabajo de Log Analytics administrada por el equipo de identidades y enviar los registros de red a otra área de trabajo de Log Analytics administrada por el equipo de red.
• Los ejemplos de este artículo utilizan un único firewall, pero algunos requisitos organizativos o arquitecturas requieren dos o más. Por ejemplo, una arquitectura puede incluir una instancia de Azure Firewall y una instancia de Application Gateway con El firewall de aplicaciones web. Los registros de cada firewall deben recopilarse y ponerse a disposición de CISA TALON para su recopilación.
• Si el entorno requiere salida a Internet desde máquinas virtuales basadas en Azure, puede utilizar una solución de capa 3 como Azure Firewall o un firewall de terceros para supervisar y registrar el tráfico saliente.

Detalles del escenario

TIC 3.0 traslada TIC de la recopilación de datos local a un enfoque basado en la nube que admite mejor las aplicaciones y los sistemas modernos. Mejora el rendimiento porque puede acceder directamente a las aplicaciones Azure. Con TIC 2.x, es necesario acceder a las aplicaciones Azure a través de un dispositivo de Servicio administrado de protocolo de Internet de confianza (MTIPS) de TIC 2.x, lo que ralentiza la respuesta.

Enrutar el tráfico de aplicaciones a través de un firewall y registrar ese tráfico es la funcionalidad principal demostrada en las soluciones presentadas aquí. El firewall puede ser Azure Firewall, Azure Front Door con firewall de aplicaciones web, Application Gateway con firewall de aplicaciones web o una aplicación virtual de red de terceros. El firewall ayuda a proteger el perímetro de la nube y guarda registros de cada transacción. Independientemente de la capa del firewall, la solución de recopilación y entrega de registros requiere un área de trabajo de Log Analytics, una aplicación registrada y un centro de eventos. El área de trabajo de Log Analytics envía los registros al centro de eventos.

CLAW es un servicio administrado por CISA. A finales de 2022, CISA lanzó TALON. TALON es un servicio administrado por CISA que utiliza capacidades nativas de Azure. Una instancia de TALON se ejecuta en cada región de Azure. TALON se conecta a concentradores de eventos administrados por organismos gubernamentales para extraer registros de firewalls de organismos y Microsoft Entra e introducirlos en CISA CLAW.

Para más información sobre CLAW, TIC 3.0 y MTIPS, consulte:

• Guía de conexiones de Internet de confianza
• Documentos básicos de orientación de TIC 3.0
• Documentos del Sistema nacional de protección de ciberseguridad (NCPS)
• EINSTEIN
• Servicios administrados de protocolo de Internet de confianza (MTIPS)

Posibles casos de uso

Las soluciones de conformidad TIC 3.0 son utilizadas habitualmente por organizaciones federales y agencias gubernamentales para sus aplicaciones web y servicios API basados en Azure.

Consideraciones

Estas consideraciones implementan los pilares del Azure Well-Architected Framework, que es un conjunto de principios rectores que puede utilizar para mejorar la calidad de una carga de trabajo. Para obtener más información, consulte Well-Architected Framework.

• Evalúe su arquitectura actual para determinar cuál de las soluciones presentadas aquí proporciona el mejor enfoque para el cumplimiento de las TIC 3.0.
• Póngase en contacto con su representante de CISA para solicitar acceso a CLAW.

Confiabilidad

La confiabilidad ayuda a garantizar que la aplicación pueda cumplir los compromisos que realice para sus clientes. Para obtener más información, consulte Lista de comprobación de revisión de diseño para confiabilidad.

• Azure Firewall Standard y Premium se integran con zonas de disponibilidad para aumentar la disponibilidad.
• Application Gateway v2 admite autoescalado y zonas de disponibilidad para aumentar la fiabilidad.
• Las implementaciones de varias regiones que incluyen servicios de equilibrio de carga como Azure Front Door pueden mejorar la confiabilidad y la resistencia.
• Event Hubs Standard y Premium proporcionan un emparejamiento de recuperación ante desastres geográficos que permite que un espacio de nombres conmute por error a una región secundaria.

Seguridad

La seguridad proporciona garantías contra ataques deliberados y el uso indebido de sus valiosos datos y sistemas. Para obtener más información, consulte Lista de comprobación de revisión de diseño para seguridad.

• Cuando se registra una aplicación empresarial, se crea una entidad de seguridad de servicio. Utilice un esquema de nomenclatura para las entidades de seguridad que indique la finalidad de cada una.
• Realice auditorías para determinar la actividad de las entidades de servicio y el estado de los propietarios de la entidad de servicio.
• Azure Firewall tiene directivas estándar. los firewalls de aplicaciones web (WAF) asociados a Application Gateway y Azure Front Door tienen conjuntos de reglas administrados para ayudar a proteger el servicio web. Comience con estos conjuntos de reglas y cree directivas organizativas con el tiempo en función de los requisitos del sector, las prácticas recomendadas y las normativas gubernamentales.
• El acceso a Event Hubs se autoriza mediante identidades administradas por Microsoft Entra y un certificado proporcionado por CISA.

Optimización de costos

La optimización de costos se centra en formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para obtener más información, consulte Lista de comprobación de revisión de diseño para la optimización de costos.

El coste de cada solución se reduce a medida que aumentan los recursos. Los precios de este escenario de ejemplo de calculadora de precios de Azure se basan en la solución azure Firewall. Si cambia la configuración, los costes podrían aumentar. Con algunos planes, los costos aumentan a medida que aumenta el número de registros ingeridos.

Excelencia operativa

La excelencia operativa abarca los procesos de las operaciones que implementan una aplicación y la mantienen en ejecución en producción. Para obtener más información, consulte Lista de comprobación de revisión de diseño para la excelencia operativa.

• Las alertas de Azure Monitor están integradas en las soluciones para notificarle cuando una carga no puede entregar registros a CLAW. Debe determinar la gravedad de las alertas y cómo responder.
• Puede usar plantillas de Azure Resource Manager (ARM), Bicep o Terraform para acelerar la implementación de arquitecturas tic 3.0 para nuevas aplicaciones.

Eficiencia del rendimiento

La eficiencia del rendimiento hace referencia a la capacidad de escalado de la carga de trabajo para satisfacer las demandas de los usuarios de forma eficaz. Para obtener más información, vea Lista de comprobación de revisión de diseño para la eficiencia del rendimiento.

• El rendimiento de Azure Firewall, Application Gateway, Azure Front Door y Event Hubs se escala a medida que aumenta el uso.
• Azure Firewall Premium permite más conexiones TCP que Standard y proporciona un mayor ancho de banda.
• Application Gateway v2 garantiza automáticamente que las nuevas instancias se distribuyan entre los dominios de error y los dominios de actualización.
• Azure Front Door proporciona almacenamiento en caché, compresión, aceleración del tráfico y terminación TLS para mejorar el rendimiento.
• Event Hubs Standard y Premium proporcionan inflado automático para escalar a medida que aumenta la carga.

Implementación de una solución de Azure Firewall

La implementación de Azure Firewall en la arquitectura de red le permite administrar y proteger eficazmente el tráfico que entra en el entorno de aplicación de Azure. Esta solución proporciona instrucciones completas para recopilar y entregar registros a los requisitos de almacenamiento de agregación de registros en la nube (CLAW) de la Agencia de seguridad de ciberseguridad e infraestructura (CISA), lo que garantiza el cumplimiento de los requisitos de conexiones de Internet de confianza (TIC) 3.0. La implementación se puede automatizar mediante plantillas de ARM, Bicep o Terraform que simplifican el proceso de instalación y se adhieren a los procedimientos recomendados de infraestructura como código.

La solución incluye:

• Una red virtual que tiene subredes separadas para el firewall y los servidores.
• Un área de trabajo de Log Analytics.
• Azure Firewall con una directiva de red para el acceso a Internet.
• Una configuración de diagnóstico de Azure Firewall que envía los registros al área de trabajo de Log Analytics.
• Una tabla de rutas que está asociada con el grupo de recursos de la aplicación para enrutar el servicio de la aplicación al firewall para los registros que genera.
• Una aplicación registrada.
• Un centro de eventos.
• Una regla de alertas que envía un correo electrónico si se produce un error en un trabajo.

Implementación de una solución que utiliza Application Gateway con WAF

La implementación de Application Gateway con firewall de aplicaciones web (WAF) en la arquitectura de red le permite administrar y proteger eficazmente el tráfico web que entra en el entorno de aplicación de Azure. Esta solución proporciona una guía completa para recopilar y entregar registros a los requisitos de Almacenamiento de agregación de registros en la nube (CISA) cloud Log Aggregation Warehouse (CISA), lo que garantiza el cumplimiento de los requisitos de Conexiones de Internet de confianza (TIC) 3.0. La implementación se puede automatizar mediante plantillas de ARM, Bicep o Terraform, lo que simplifica el proceso de configuración y se adhiere a los procedimientos recomendados de infraestructura como código.

La solución incluye:

• Una red virtual que tiene subredes separadas para el firewall y los servidores.
• Un área de trabajo de Log Analytics.
• Una instancia de Application Gateway v2 con WAF. El WAF se configura con directivas administradas por bot y Microsoft.
• Configuración de diagnóstico de Application Gateway v2 que envía registros al área de trabajo de Log Analytics.
• Una aplicación registrada.
• Un centro de eventos.
• Una regla de alertas que envía un correo electrónico si se produce un error en un trabajo.

Implementación de una solución que usa Azure Front Door con WAF

La siguiente solución usa Azure Front Door con WAF para administrar y proteger el tráfico web global que entra en el entorno de aplicación de Azure. Esta solución proporciona una guía completa para generar, recopilar y entregar registros al almacén de agregación de registros en la nube (CLAW) de CISA, lo que garantiza el cumplimiento de los requisitos de conexiones de Internet de confianza (TIC) 3.0. La implementación se puede automatizar mediante plantillas de ARM, Bicep o Terraform, lo que simplifica el proceso de configuración y se adhiere a los procedimientos recomendados de infraestructura como código.

La solución incluye:

• Una red virtual que tiene subredes separadas para el firewall y los servidores.
• Un área de trabajo de Log Analytics.
• Una instancia de Azure Front Door con WAF. El WAF se configura con directivas administradas por bot y Microsoft.
• Configuración de diagnóstico de Azure Front Door que envía registros al área de trabajo de Log Analytics.
• Una aplicación registrada.
• Un centro de eventos.
• Una regla de alertas que envía un correo electrónico si se produce un error en un trabajo.

Solución de firewall de terceros (NVA)

La siguiente solución ilustra cómo puede utilizar un firewall de terceros para administrar el tráfico que entra en su entorno de aplicaciones Azure e implementar el cumplimiento de TIC 3.0. Los firewalls de terceros requieren el uso de una máquina de redireccionamiento virtual Syslog. Sus agentes deben estar registrados en el área de trabajo de Log Analytics. El firewall de terceros está configurado para exportar sus registros en formato Syslog a la máquina de redireccionamiento virtual Syslog. El agente se configura para enviar sus registros al área de trabajo de Log Analytics. Una vez que los logs están en el área de trabajo de Log Analytics, se envían a Event Hubs y se procesan como en las otras soluciones descritas en este artículo.

Tareas posteriores a la implementación

Después de la implementación, su entorno realiza las funciones de firewall y registro de conexiones. Para cumplir con las directivas TIC 3.0 para la recopilación de telemetría de red, debe asegurarse de que los registros lleguen a CISA CLAW. Los pasos posteriores a la implementación finalizan las tareas para permitir el cumplimiento. Para completar estos pasos, debe coordinarse con CISA porque CISA necesita suministrar un certificado para asociarlo con su entidad de seguridad de servicio.

Debe realizar manualmente las siguientes tareas después de la implementación. No puede completarlas utilizando una plantilla ARM.

• Obtener un certificado de clave pública de CISA.
• Cree una entidad de seguridad de servicio (registro de aplicación).
• Añada el certificado de clave pública al registro de la aplicación.
• Asigne a la aplicación la función Receptor de datos de Azure Event Hubs en el ámbito del espacio de nombres de Event Hubs.
• Active la fuente mediante el envío del ID de arrendatario de Azure, el ID de aplicación (cliente), el nombre del espacio de nombres del centro de eventos, el nombre del centro de eventos y el nombre del grupo de consumidores a CISA.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Autor principal:

• Paul Lizer | Arquitecto sénior de soluciones en la nube

Otro colaborador:

• Mick Alberts | Escritor técnico

Para ver perfiles de LinkedIn no públicos, inicie sesión en LinkedIn.

Pasos siguientes

• Documentos básicos de orientación de TIC 3.0
• Documentos del Sistema nacional de protección de ciberseguridad (NCPS)
• EINSTEIN
• Servicios administrados de protocolo de Internet de confianza (MTIPS)
• Conexión a Internet de confianza de Azure: extendida
• Federal App Innovation - TIC 3.0
• ¿Qué es Azure Firewall?
• Documentación de Azure Firewall
• ¿Qué es Azure Application Gateway?
• Puerta de entrada de Azure
• Introducción a Azure WAF
• Introducción a Log Analytics en Azure Monitor
• ¿Qué es Azure Event Hubs?
• Introducción a las alertas en Azure
• Objetos de aplicación y entidad de servicio en microsoft Entra ID
• Uso del portal para crear una aplicación de Microsoft Entra y una entidad de servicio que puedan acceder a los recursos
• Registro de una aplicación con la plataforma de identidad de Microsoft
• Asignación de roles de Azure mediante Azure Portal
• Creación de grupos de recursos
• Cómo buscar el identificador de inquilino de Microsoft Entra
• Recopilación de orígenes de datos de Syslog con el agente de Log Analytics
• Análisis de datos de texto en registros de Azure Monitor
• Introducción al registro de flujo para grupos de seguridad de red
• ¿Qué son las identidades administradas para los recursos de Azure?
• Implementación y configuración de Azure Firewall mediante Azure Portal

Recursos relacionados

• Implementación de una red híbrida segura
• Aplicaciones web administradas de forma segura
• Acceso de seguridad mejorado a aplicaciones web multiinquilino desde una red local