Implementowanie zgodności ze standardem TIC 3.0

W tym artykule opisano sposób zapewniania zgodności zaufanych połączeń internetowych (TIC) 3.0 dla internetowych aplikacji i usług platformy Azure. Zapewnia ona rozwiązania i zasoby ułatwiające organizacjom rządowym spełnienie wymagań zgodności TIC 3.0. Opisano w nim również sposób wdrażania wymaganych zasobów i sposobu dołączania rozwiązań do istniejących systemów.

Architektura

Pobierz plik programu Visio tej architektury.

Przepływ danych

1. Zapora
   • Zapora może być dowolną zaporą warstwy 3 lub 7.
     • Usługa Azure Firewall i niektóre zapory innych firm, nazywane również wirtualnymi urządzeniami sieciowymi (WUS), są zaporami warstwy 3.
     • Usługa Azure Application Gateway z zaporą aplikacji internetowej i usługą Azure Front Door z zaporą aplikacji internetowej to zapory warstwy 7.
     • Ten artykuł zawiera rozwiązania wdrażania dla usługi Azure Firewall, usługi Application Gateway z zaporą aplikacji internetowej i usługą Azure Front Door z wdrożeniami zapory aplikacji internetowej.
   • Zapora wymusza zasady, zbiera metryki i rejestruje transakcje połączeń między usługami internetowymi a użytkownikami i usługami, które uzyskują dostęp do usług internetowych.
2. Dzienniki zapory
   • Usługa Azure Firewall, usługa Application Gateway z zaporą aplikacji internetowej i usługa Azure Front Door z zaporą aplikacji internetowej wysyła dzienniki do obszaru roboczego usługi Log Analytics.
   • Zapory innych firm wysyłają dzienniki w formacie dziennika systemowego do obszaru roboczego usługi Log Analytics za pośrednictwem maszyny wirtualnej usługi przesyłania dalej syslog.
3. Obszar roboczy usługi Log Analytics
   • Obszar roboczy usługi Log Analytics to repozytorium dzienników.
   • Może hostować usługę, która zapewnia niestandardową analizę danych ruchu sieciowego z zapory.
4. Jednostka usługi (zarejestrowana aplikacja)
5. Azure Event Hubs w warstwie Standardowa
6. CISA TALON

Składniki

• Zapora: Użyj co najmniej jednej z następujących zapór w architekturze. Aby uzyskać więcej informacji, zobacz Alternatywy.

  • Azure Firewall to usługa zabezpieczeń zapory sieciowej, która zapewnia rozszerzoną ochronę przed zagrożeniami dla obciążeń w chmurze uruchamianych na platformie Azure. Jest to stanowa, zarządzana zapora, która ma wbudowaną wysoką dostępność i nieograniczoną skalowalność chmury. Obejmuje ona warstwy wydajności Standardowa i Premium. Usługa Azure Firewall Premium obejmuje funkcje usługi Azure Firewall w warstwie Standardowa i udostępnia dodatkowe funkcje, takie jak inspekcja protokołu Transport Layer Security (TLS) oraz system wykrywania i zapobiegania włamaniom (IDPS). W tej architekturze usługa Azure Firewall może służyć jako zapora warstwy 3, która wymusza zasady, sprawdza ruch i rejestruje transakcje w celu obsługi zgodności TIC 3.0.

  • Usługa Application Gateway z zaporą aplikacji internetowej to regionalny moduł równoważenia obciążenia ruchu internetowego, który obejmuje zaporę aplikacji internetowej. Zapora aplikacji internetowej zapewnia rozszerzoną scentralizowaną ochronę aplikacji internetowych. W tej architekturze usługa Application Gateway może zarządzać przychodzącym ruchem internetowym i zabezpieczać go, co chroni aplikacje przed typowymi programami wykorzystującymi luki i rejestruje ruch pod kątem zgodności.

  • Usługa Azure Front Door z zaporą aplikacji internetowej to globalny moduł równoważenia obciążenia ruchu internetowego, który obejmuje możliwości sieci dostarczania zawartości i zintegrowaną zaporę aplikacji internetowej. W tej architekturze usługa Azure Front Door może przyspieszyć i zabezpieczyć globalny dostęp do aplikacji podczas rejestrowania ruchu w celu scentralizowanej analizy i zgodności. Zapora aplikacji internetowej zapewnia rozszerzoną scentralizowaną ochronę aplikacji internetowych przed typowymi programami wykorzystującymi luki w zabezpieczeniach i lukami w zabezpieczeniach.

  • Zapora firmy innej niż Microsoft to urządzenie WUS działające na maszynie wirtualnej platformy Azure i korzystające z usług zapory od dostawców partnerów. Firma Microsoft obsługuje duży ekosystem dostawców partnerów, którzy zapewniają usługi zapory. W tej architekturze zapora firmy innej niż Microsoft może zapewnić dostosowywalne usługi zapory i wyeksportować dzienniki za pośrednictwem dziennika systemowego do maszyny wirtualnej usługi przesyłania dalej na potrzeby pozyskiwania do obszaru roboczego usługi Log Analytics.

• Rejestrowanie i uwierzytelnianie:

  • Log Analytics to scentralizowane repozytorium do zbierania i analizowania danych dziennika. W tej architekturze przechowuje dzienniki zapory i tożsamości, które umożliwiają wykonywanie zapytań niestandardowych i przekazywanie do usługi Event Hubs na potrzeby pozyskiwania danych CLAW CISA.

  • Usługa Azure Monitor to rozwiązanie do monitorowania służące do zbierania, analizowania i działania na podstawie danych telemetrycznych. W tej architekturze usługa Azure Monitor zbiera dane dotyczące wydajności i diagnostyki ze składników sieci i tożsamości.

  • Microsoft Entra ID to usługa tożsamości i dostępu, która zapewnia funkcje tożsamości, logowanie jednokrotne i uwierzytelnianie wieloskładnikowe w obciążeniach platformy Azure. W tej architekturze zabezpiecza ona dostęp do zasobów platformy Azure i generuje dzienniki tożsamości na potrzeby monitorowania zgodności.

  • Event Hubs Standard to platforma przesyłania strumieniowego danych big data i usługa pozyskiwania zdarzeń. W tej architekturze odbiera dzienniki z usługi Log Analytics i przesyła je strumieniowo do CISA TALON w celu scentralizowanej analizy.

  • CISA TALON to scentralizowana usługa agregacji dzienników obsługiwana przez CISA, która pozyskuje dane telemetryczne ze środowisk chmury na potrzeby monitorowania i zgodności cyberbezpieczeństwa. W tej architekturze taLON uwierzytelnia się przy użyciu certyfikatu dostarczonego przez ciSA i zbiera dzienniki z usługi Event Hubs. Pobiera dzienniki do systemu CLAW, aby obsługiwać zgodność ze standardem TIC 3.0 i scentralizowaną widoczność.

Alternatywy

Istnieje kilka alternatyw, których można użyć w następujących rozwiązaniach:

• Zbieranie dzienników można oddzielić od obszarów odpowiedzialności. Możesz na przykład wysłać dzienniki firmy Microsoft Entra do obszaru roboczego usługi Log Analytics zarządzanego przez zespół tożsamości i wysłać dzienniki sieciowe do innego obszaru roboczego usługi Log Analytics zarządzanego przez zespół sieciowy.
• Przykłady w tym artykule używają pojedynczej zapory, ale niektóre wymagania organizacyjne lub architektury wymagają co najmniej dwóch. Na przykład architektura może zawierać wystąpienie usługi Azure Firewall i wystąpienie usługi Application Gateway z zaporą aplikacji internetowej. Dzienniki dla każdej zapory należy zebrać i udostępnić ciSA TALON do zbierania.
• Jeśli środowisko wymaga ruchu wychodzącego z Internetu z maszyn wirtualnych opartych na platformie Azure, możesz użyć rozwiązania warstwy 3, takiego jak usługa Azure Firewall lub zapora innej firmy, aby monitorować i rejestrować ruch wychodzący.

Szczegóły scenariusza

Program TIC 3.0 przenosi TIC z lokalnej kolekcji danych do opartego na chmurze podejścia, które lepiej obsługuje nowoczesne aplikacje i systemy. Poprawia wydajność, ponieważ można bezpośrednio uzyskiwać dostęp do aplikacji platformy Azure. W przypadku usługi TIC 2.x należy uzyskać dostęp do aplikacji platformy Azure za pośrednictwem urządzenia zarządzanej zaufanego protokołu internetowego (MTIPS) TIC 2.x, co spowalnia odpowiedź.

Kierowanie ruchu aplikacji przez zaporę i rejestrowanie, że ruch jest podstawową funkcją pokazaną w przedstawionych tutaj rozwiązaniach. Zaporą może być usługa Azure Firewall, usługa Azure Front Door z zaporą aplikacji internetowej, usługa Application Gateway z zaporą aplikacji internetowej lub urządzenie WUS innej firmy. Zapora pomaga zabezpieczyć obwód chmury i zapisuje dzienniki każdej transakcji. Niezależnie od warstwy zapory rozwiązanie zbierania dzienników i dostarczania wymaga obszaru roboczego usługi Log Analytics, zarejestrowanej aplikacji i centrum zdarzeń. Obszar roboczy usługi Log Analytics wysyła dzienniki do centrum zdarzeń.

CLAW to usługa zarządzana CISA. Pod koniec 2022 r. CISA wydała TALON. TALON to usługa zarządzana CISA, która korzysta z natywnych funkcji platformy Azure. Wystąpienie FUNKCJI TALON działa w każdym regionie świadczenia usługi Azure. TALON łączy się z centrami zdarzeń zarządzanymi przez agencje rządowe w celu ściągnięcia zapory agencji i firmy Microsoft Entra loguje się do CLAW CISA.

Aby uzyskać więcej informacji na temat CLAW, TIC 3.0 i MTIPS, zobacz:

• Wskazówki dotyczące zaufanych połączeń internetowych
• Dokumenty dotyczące podstawowych wskazówek dotyczących TIC 3.0
• Krajowe dokumenty systemu ochrony cyberbezpieczeństwa (NCPS)
• EINSTEIN
• Zarządzane zaufane usługi protokołu internetowego (MTIPS)

Potencjalne przypadki użycia

Rozwiązania zgodności TIC 3.0 są często używane przez organizacje federalne i agencje rządowe na potrzeby aplikacji internetowych i usług interfejsu API opartych na platformie Azure.

Kwestie wymagające rozważenia

Te zagadnienia implementują filary platformy Azure Well-Architected Framework, która jest zestawem wytycznych, których można użyć do poprawy jakości obciążenia. Aby uzyskać więcej informacji, zobacz Well-Architected Framework.

• Oceń bieżącą architekturę, aby określić, które z przedstawionych tutaj rozwiązań zapewnia najlepsze podejście do zgodności ze standardem TIC 3.0.
• Skontaktuj się z przedstawicielem CISA, aby poprosić o dostęp do aplikacji CLAW.

Niezawodność

Niezawodność pomaga zapewnić, że aplikacja może spełnić zobowiązania podjęte przez klientów. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotycząca niezawodności.

• Usługa Azure Firewall w warstwie Standardowa i Premium integruje się ze strefami dostępności, aby zwiększyć dostępność.
• Usługa Application Gateway w wersji 2 obsługuje skalowanie automatyczne i strefy dostępności w celu zwiększenia niezawodności.
• Implementacje w wielu regionach, które obejmują usługi równoważenia obciążenia, takie jak Azure Front Door, mogą zwiększyć niezawodność i odporność.
• Usługi Event Hubs w warstwie Standardowa i Premium zapewniają parowanie odzyskiwania po awarii geograficznej, które umożliwia przełączanie przestrzeni nazw w tryb failover do regionu pomocniczego.

Zabezpieczenia

Zabezpieczenia zapewniają ochronę przed celowymi atakami i nieprawidłowym użyciem cennych danych i systemów. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotycząca zabezpieczeń.

• Podczas rejestrowania aplikacji dla przedsiębiorstw zostanie utworzona jednostka usługi. Użyj schematu nazewnictwa dla jednostek usługi, które wskazują cel każdego z nich.
• Przeprowadzaj inspekcje w celu określenia aktywności jednostek usługi i stanu właścicieli jednostki usługi.
• Usługa Azure Firewall ma standardowe zasady. Zapory aplikacji internetowej (WAFs) skojarzone z usługą Application Gateway i usługą Azure Front Door mają zarządzane zestawy reguł, które ułatwiają zabezpieczanie usługi internetowej. Zacznij od tych zestawów reguł i twórz zasady organizacyjne w miarę upływu czasu na podstawie wymagań branżowych, najlepszych rozwiązań i przepisów rządowych.
• Dostęp do usługi Event Hubs jest autoryzowany za pośrednictwem tożsamości zarządzanych firmy Microsoft Entra i certyfikatu udostępnianego przez ciSA.

Optymalizacja kosztów

Optymalizacja kosztów koncentruje się na sposobach zmniejszenia niepotrzebnych wydatków i poprawy wydajności operacyjnej. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu dotycząca optymalizacji kosztów.

Koszt każdego rozwiązania jest skalowany w dół w miarę wzrostu zasobów. Cennik w tym przykładowym scenariuszu kalkulatora cen platformy Azure jest oparty na rozwiązaniu usługi Azure Firewall. Jeśli zmienisz konfigurację, koszty mogą wzrosnąć. W przypadku niektórych planów koszty rosną wraz ze wzrostem liczby pozyskanych dzienników.

Doskonałość operacyjna

Doskonałość operacyjna obejmuje procesy operacyjne, które wdrażają aplikację i działają w środowisku produkcyjnym. Aby uzyskać więcej informacji, zobacz Lista kontrolna projektu dotycząca doskonałości operacyjnej.

• Alerty usługi Azure Monitor są wbudowane w rozwiązania do powiadamiania, gdy przekazywanie nie może dostarczyć dzienników do usługi CLAW. Należy określić ważność alertów i sposób reagowania.
• Za pomocą szablonów usługi Azure Resource Manager (ARM), Bicep lub Terraform można przyspieszyć wdrażanie architektur TIC 3.0 dla nowych aplikacji.

Efektywność operacyjna

Wydajność odnosi się do możliwości skalowania obciążenia w celu efektywnego zaspokojenia wymagań użytkowników. Aby uzyskać więcej informacji, zobacz Lista kontrolna przeglądu projektu pod kątem wydajności.

• Usługi Azure Firewall, Application Gateway, Azure Front Door i Event Hubs są skalowane w miarę wzrostu użycia.
• Usługa Azure Firewall Premium zezwala na więcej połączeń TCP niż w warstwie Standardowa i zapewnia zwiększoną przepustowość.
• Usługa Application Gateway w wersji 2 automatycznie zapewnia, że nowe wystąpienia są rozmieszczone w domenach błędów i domenach aktualizacji.
• Usługa Azure Front Door zapewnia buforowanie, kompresję, przyspieszanie ruchu i kończenie żądań TLS w celu zwiększenia wydajności.
• Usługi Event Hubs w warstwie Standardowa i Premium zapewniają automatyczne zwiększanie skali w górę w miarę wzrostu obciążenia.

Wdrażanie rozwiązania usługi Azure Firewall

Wdrażanie usługi Azure Firewall w ramach architektury sieci umożliwia efektywne zarządzanie ruchem i zabezpieczanie go w środowisku aplikacji platformy Azure. To rozwiązanie zawiera kompleksowe wskazówki dotyczące zbierania i dostarczania dzienników do magazynu agregacji dzienników w chmurze (CISA) Cyberbezpieczeństwa i infrastruktury (CISA) Cloud Log Aggregation Warehouse (CLAW), zapewniając zgodność z wymaganiami zaufanych połączeń internetowych (TIC) 3.0. Wdrażanie można zautomatyzować przy użyciu szablonów ARM, Bicep lub Terraform, które usprawnią proces instalacji i przestrzegają najlepszych rozwiązań infrastruktury jako kodu.

Rozwiązanie obejmuje:

• Sieć wirtualna, która ma oddzielne podsieci dla zapory i serwerów.
• Obszar roboczy usługi Log Analytics.
• Usługa Azure Firewall z zasadami sieciowymi na potrzeby dostępu do Internetu.
• Ustawienia diagnostyczne usługi Azure Firewall, które wysyłają dzienniki do obszaru roboczego usługi Log Analytics.
• Tabela tras skojarzona z grupą zasobów aplikacji w celu kierowania usługi app service do zapory dla generowanych dzienników.
• Zarejestrowana aplikacja.
• Centrum zdarzeń.
• Reguła alertu, która wysyła wiadomość e-mail w przypadku niepowodzenia zadania.

Wdrażanie rozwiązania korzystającego z usługi Application Gateway z zaporą aplikacji internetowej

Wdrażanie usługi Application Gateway za pomocą zapory aplikacji internetowej (WAF) w ramach architektury sieci umożliwia efektywne zarządzanie i zabezpieczanie ruchu internetowego w środowisku aplikacji platformy Azure. To rozwiązanie zawiera kompleksowe wskazówki dotyczące zbierania i dostarczania dzienników do magazynu agregacji dzienników w chmurze (CISA) Cyberbezpieczeństwa i infrastruktury (CISA) Cloud Log Aggregation Warehouse (CLAW), zapewniając zgodność z wymaganiami zaufanych połączeń internetowych (TIC) 3.0. Wdrażanie można zautomatyzować przy użyciu szablonów ARM, Bicep lub Terraform, usprawniając proces instalacji i stosując się do najlepszych rozwiązań dotyczących infrastruktury jako kodu.

Rozwiązanie obejmuje:

• Sieć wirtualna, która ma oddzielne podsieci dla zapory i serwerów.
• Obszar roboczy usługi Log Analytics.
• Wystąpienie usługi Application Gateway w wersji 2 z zaporą aplikacji internetowej. Zapora aplikacji internetowej jest konfigurowana przy użyciu botów i zasad zarządzanych przez firmę Microsoft.
• Ustawienia diagnostyczne usługi Application Gateway w wersji 2, które wysyłają dzienniki do obszaru roboczego usługi Log Analytics.
• Zarejestrowana aplikacja.
• Centrum zdarzeń.
• Reguła alertu, która wysyła wiadomość e-mail w przypadku niepowodzenia zadania.

Wdrażanie rozwiązania korzystającego z usługi Azure Front Door z zaporą aplikacji internetowej

Poniższe rozwiązanie używa usługi Azure Front Door z zaporą aplikacji internetowej do zarządzania globalnym ruchem internetowym i zabezpieczania go w środowisku aplikacji platformy Azure. To rozwiązanie zawiera kompleksowe wskazówki dotyczące generowania, zbierania i dostarczania dzienników do magazynu agregacji dzienników w chmurze CISA (CLAW), zapewniając zgodność z wymaganiami zaufanych połączeń internetowych (TIC) 3.0. Wdrażanie można zautomatyzować przy użyciu szablonów ARM, Bicep lub Terraform, usprawniając proces instalacji i stosując się do najlepszych rozwiązań dotyczących infrastruktury jako kodu.

Rozwiązanie obejmuje:

• Sieć wirtualna, która ma oddzielne podsieci dla zapory i serwerów.
• Obszar roboczy usługi Log Analytics.
• Wystąpienie usługi Azure Front Door z zaporą aplikacji internetowej. Zapora aplikacji internetowej jest konfigurowana przy użyciu botów i zasad zarządzanych przez firmę Microsoft.
• Ustawienia diagnostyczne usługi Azure Front Door, które wysyłają dzienniki do obszaru roboczego usługi Log Analytics.
• Zarejestrowana aplikacja.
• Centrum zdarzeń.
• Reguła alertu, która wysyła wiadomość e-mail w przypadku niepowodzenia zadania.

Rozwiązanie zapory innej firmy (WUS)

Poniższe rozwiązanie ilustruje sposób używania zapory innej firmy do zarządzania ruchem wchodzącym do środowiska aplikacji platformy Azure i implementowania zgodności TIC 3.0. Zapory innych firm wymagają użycia maszyny wirtualnej usługi przesyłania dalej syslog. Jego agenci muszą być zarejestrowani w obszarze roboczym usługi Log Analytics. Zapora innej firmy jest skonfigurowana do eksportowania dzienników w formacie dziennika systemowego do maszyny wirtualnej usługi przesyłania dalej syslog. Agent jest skonfigurowany do wysyłania dzienników do obszaru roboczego usługi Log Analytics. Gdy dzienniki znajdują się w obszarze roboczym usługi Log Analytics, są one wysyłane do usługi Event Hubs i przetwarzane zgodnie z innymi rozwiązaniami opisanymi w tym artykule.

Zadania po wdrożeniu

Po wdrożeniu środowisko wykonuje możliwości zapory i połączenia rejestrowania. Aby zapewnić zgodność z zasadami TIC 3.0 dla zbierania danych telemetrycznych sieci, należy upewnić się, że dzienniki są zgodne z zasadami ciSA CLAW. Kroki po wdrożeniu zakończą zadania w celu włączenia zgodności. Aby wykonać te kroki, należy koordynować pracę z ciSA, ponieważ ciSA musi dostarczyć certyfikat do skojarzenia z jednostką usługi.

Po wdrożeniu należy ręcznie wykonać następujące zadania. Nie można ich ukończyć przy użyciu szablonu usługi ARM.

• Uzyskaj certyfikat klucza publicznego z usługi CISA.
• Utwórz jednostkę usługi (rejestrację aplikacji).
• Dodaj certyfikat klucza publicznego do rejestracji aplikacji.
• Przypisz aplikację rolę Odbiornik danych usługi Azure Event Hubs w zakresie przestrzeni nazw usługi Event Hubs.
• Aktywuj kanał informacyjny, wysyłając identyfikator dzierżawy platformy Azure, identyfikator aplikacji (klienta), nazwę przestrzeni nazw centrum zdarzeń, nazwę centrum zdarzeń i nazwę grupy odbiorców do usługi CISA.

Współautorzy

Ten artykuł jest obsługiwany przez firmę Microsoft. Pierwotnie został napisany przez następujących współautorów.

Główny autor:

• Paul Lizer | Starszy architekt rozwiązań w chmurze

Inny współautor:

• Mick Alberts | Składnik zapisywania technicznego

Aby wyświetlić niepubalne profile serwisu LinkedIn, zaloguj się do serwisu LinkedIn.

Następne kroki

• Dokumenty dotyczące podstawowych wskazówek dotyczących TIC 3.0
• Krajowe dokumenty systemu ochrony cyberbezpieczeństwa (NCPS)
• EINSTEIN
• Zarządzane zaufane usługi protokołu internetowego (MTIPS)
• Zaufane połączenie internetowe platformy Azure — rozszerzone
• Federal App Innovation — TIC 3.0
• Co to jest usługa Azure Firewall?
• Dokumentacja usługi Azure Firewall
• Co to jest usługa Azure Application Gateway?
• Azure Front Door
• Wprowadzenie do zapory aplikacji internetowej platformy Azure
• Omówienie usługi Log Analytics w usłudze Azure Monitor
• Co to jest usługa Azure Event Hubs?
• Omówienie alertów na platformie Azure
• Obiekty aplikacji i jednostki usługi w identyfikatorze Entra firmy Microsoft
• Użyj portalu, aby utworzyć aplikację Firmy Microsoft Entra i jednostkę usługi, która może uzyskiwać dostęp do zasobów
• Rejestrowanie aplikacji za pomocą platformy tożsamości firmy Microsoft
• Przypisywanie ról platformy Azure przy użyciu witryny Azure Portal
• Tworzenie grup zasobów
• Jak znaleźć identyfikator dzierżawy usługi Microsoft Entra
• Zbieranie źródeł danych dziennika systemowego za pomocą agenta usługi Log Analytics
• Analizowanie danych tekstowych w dziennikach usługi Azure Monitor
• Wprowadzenie do rejestrowania przepływów dla sieciowych grup zabezpieczeń
• Co to są tożsamości zarządzane dla zasobów platformy Azure?
• Wdrażanie i konfigurowanie usługi Azure Firewall przy użyciu witryny Azure Portal

Powiązane zasoby

• Implementowanie bezpiecznej sieci hybrydowej
• Bezpieczne zarządzane aplikacje internetowe
• Ulepszony dostęp zabezpieczeń do wielodostępnych aplikacji internetowych z sieci lokalnej