Implementar el cumplimiento de TIC 3.0

Azure Firewall

Azure Application Gateway

Azure Front Door

Azure Log Analytics

Azure Event Hubs

En este artículo se describe cómo lograr la conformidad con las conexiones de confianza a Internet (TIC) 3.0 para las aplicaciones y los servicios Azure orientados a Internet. Proporciona soluciones y recursos para ayudar a las organizaciones gubernamentales a cumplir con TIC 3.0. También describe cómo implementar los activos necesarios y cómo incorporar las soluciones a los sistemas existentes.

Nota

Microsoft proporciona esta información a los departamentos y agencias de la Rama Ejecutiva Civil Federal (FCEB) como parte de una configuración sugerida para facilitar la participación en la capacidad del Almacén de Agregación de Registros en la Nube (CLAW) de la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA). Las configuraciones sugeridas las mantiene Microsoft y están sujetas a cambios.

Architecture

Descargue un archivo Visio de esta arquitectura.

Flujo de datos

Firewall
- El firewall puede ser cualquiera de capa 3 o de capa 7.
  - Azure Firewall y algunos firewalls de terceros, también conocidos como Network Virtual Appliances (NVAs), son firewalls de capa 3.
  - Azure Application Gateway con Web Application Firewall (WAF) y Azure Front Door con WAF son firewalls de capa 7.
  - En este artículo se ofrecen soluciones de implementación para Azure Firewall, Application Gateway con WAF y Azure Front Door con WAF.
- El firewall aplica directivas, recopila métricas y registra las transacciones de conexión entre los servicios web y los usuarios y servicios que acceden a los servicios web.
Registros de firewall
- Azure Firewall, Application Gateway con WAF y Azure Front Door con WAF envían registros al área de trabajo de Log Analytics.
- Los firewalls de terceros envían los registros en formato Syslog al área de trabajo Log Analytics a través de una máquina virtual Syslog forwarder.
Área de trabajo de Log Analytics
- El área de trabajo de Log Analytics es un repositorio de registros.
- Puede hospedar un servicio que proporciona un análisis personalizado de los datos del tráfico de red del firewall.
Entidad de servicio (aplicación registrada)
Azure Event Hubs Estándar
CISA TALON

Componentes

Firewall. Su arquitectura utilizará uno o más de los siguientes firewalls. (Para más información, consulte la sección Alternativas de este artículo).
- Azure Firewall es un servicio de seguridad de firewall de red inteligente, nativo de la nube, que proporciona protección mejorada contra amenazas para cargas de trabajo en la nube que se ejecutan en Azure. Se trata de un firewall como servicio con estado completo que incorpora alta disponibilidad y escalabilidad a la nube sin restricciones. Está disponible en dos niveles de rendimiento: Estándar y Premium. Azure Firewall Premium incluye toda la funcionalidad de Azure Firewall Standard y proporciona funciones adicionales como la inspección de seguridad de la capa de transporte (TLS) y un sistema de detección y prevención de intrusiones (IDPS).
- Application Gateway con WAF es un equilibrador de carga de tráfico web regional que le permite administrar el tráfico de sus aplicaciones web. WAF proporciona una protección centralizada mejorada de sus aplicaciones web frente a vulnerabilidades y vulnerabilidad de seguridad comunes.
- Azure Front Door con WAF es un equilibrador de carga de tráfico web global que le permite administrar el tráfico de sus aplicaciones web. Proporciona funciones de red de entrega de contenido (CDN) para acelerar y modernizar sus aplicaciones. WAF proporciona una protección centralizada mejorada de sus aplicaciones web frente a vulnerabilidades y vulnerabilidad de seguridad comunes.
- Un firewall de terceros es un NVA que se ejecuta en una máquina virtual Azure y utiliza servicios de firewall de proveedores ajenos a Microsoft. Microsoft admite un gran ecosistema de proveedores externos que proporcionan servicios de firewall.
Registro y autenticación.
- Log Analytics es una herramienta disponible en el Azure Portal que puede utilizar para editar y ejecutar consultas de registro contra los registros de Azure Monitor. Para más información, consulte Introducción a Log Analytics en Azure Monitor.
- Azure Monitor es una solución completa para recopilar telemetría, analizarla y actuar en función de ella.
- Microsoft Entra ID: servicios de identidad, inicio de sesión único y autenticación multifactor entre cargas de trabajo de Azure.
- Una entidad de servicio (aplicación registrada) es una entidad que define la directiva de acceso y los permisos para un usuario o aplicación en un inquilino de Microsoft Entra.
- Event Hubs Standard es una moderna plataforma de streaming de big data y servicio de ingesta de eventos.
- CISA TALON es un servicio operado por CISA que se ejecuta en Azure. TALON se conecta a su servicio Event Hubs, se autentica mediante el uso de un certificado suministrado por CISA que está asociado con su servicio principal, y recoge los registros para el consumo de CLAW.

Alternativas

Hay algunas alternativas que puede usar en estas soluciones:

Puede separar la recopilación de registros en áreas de responsabilidad. Por ejemplo, puede enviar los registros de Microsoft Entra a un área de trabajo de Log Analytics administrada por el equipo de identidades y enviar los registros de red a otra área de trabajo de Log Analytics administrada por el equipo de red.
Los ejemplos de este artículo utilizan un único firewall, pero algunos requisitos organizativos o arquitecturas requieren dos o más. Por ejemplo, una arquitectura puede incluir una instancia de Azure Firewall y una instancia de Application Gateway con WAF. Los registros de cada firewall deben recopilarse y ponerse a disposición de CISA TALON para su recopilación.
Si el entorno requiere salida a Internet desde máquinas virtuales basadas en Azure, puede utilizar una solución de capa 3 como Azure Firewall o un firewall de terceros para supervisar y registrar el tráfico saliente.

Detalles del escenario

TIC 3.0 traslada TIC de la recopilación de datos local a un enfoque basado en la nube que admite mejor las aplicaciones y los sistemas modernos. Mejora el rendimiento porque puede acceder directamente a las aplicaciones Azure. Con TIC 2.x, es necesario acceder a las aplicaciones Azure a través de un dispositivo de Servicio administrado de protocolo de Internet de confianza (MTIPS) de TIC 2.x, lo que ralentiza la respuesta.

Enrutar el tráfico de aplicaciones a través de un firewall y registrar ese tráfico es la funcionalidad principal demostrada en las soluciones presentadas aquí. El firewall puede ser Azure Firewall, Azure Front Door con WAF, Application Gateway con WAF o un NVA de terceros. El firewall ayuda a proteger el perímetro de la nube y guarda registros de cada transacción. Independientemente de la capa del firewall, la solución de recopilación y entrega de registros requiere un área de trabajo de Log Analytics, una aplicación registrada y un centro de eventos. El área de trabajo de Log Analytics envía los registros al centro de eventos.

CLAW es un servicio administrado por CISA. A finales de 2022, CISA lanzó TALON. TALON es un servicio administrado por CISA que utiliza capacidades nativas de Azure. Una instancia de TALON se ejecuta en cada región de Azure. TALON se conecta a concentradores de eventos administrados por organismos gubernamentales para extraer registros de firewalls de organismos y Microsoft Entra e introducirlos en CISA CLAW.

Para más información sobre CLAW, TIC 3.0 y MTIPS, consulte:

Posibles casos de uso

Las soluciones de conformidad TIC 3.0 son utilizadas habitualmente por organizaciones federales y agencias gubernamentales para sus aplicaciones web y servicios API basados en Azure.

Consideraciones

Estas consideraciones implementan los pilares del Azure Well-Architected Framework, que es un conjunto de principios rectores que puede utilizar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.

Evalúe su arquitectura actual para determinar cuál de las soluciones presentadas aquí proporciona el mejor enfoque para el cumplimiento de las TIC 3.0.
Póngase en contacto con su representante de CISA para solicitar acceso a CLAW.
Utilice los botones Implementar en Azure de este artículo para implementar una o más de las soluciones en un entorno de prueba. Esto le ayudará a familiarizarse con el proceso y los recursos implementados.
Consulte Cumplimiento de TIC 3.0 para aplicaciones orientadas a Internet, un artículo complementario que proporciona más detalles y recursos para TIC 3.0:
- Información adicional sobre cómo lograr el cumplimiento.
- Plantillas de ARM para simplificar la implementación.
- Información para ayudar a integrar los recursos existentes en la solución.
- Los tipos de registros recopilados para cada capa de servicio y las consultas de Kusto para revisar los registros recopilados por CISA. Puede utilizar las consultas para los requisitos de seguridad de su organización.

Confiabilidad

La confiabilidad garantiza que la aplicación pueda cumplir los compromisos contraídos con los clientes. Para más información, consulte Resumen del pilar de fiabilidad.

Azure Firewall Standard y Premium se integran con zonas de disponibilidad para aumentar la disponibilidad.
Application Gateway v2 admite autoescalado y zonas de disponibilidad para aumentar la fiabilidad.
Las implementaciones de varias regiones que incluyen servicios de equilibrio de carga como Azure Front Door pueden mejorar la confiabilidad y la resistencia.
Event Hubs Standard y Premium proporcionan un emparejamiento de recuperación ante desastres geográficos que permite que un espacio de nombres conmute por error a una región secundaria.

Seguridad

La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para más información, consulte Introducción al pilar de seguridad.

Cuando se registra una aplicación empresarial, se crea una entidad de seguridad de servicio. Utilice un esquema de nomenclatura para las entidades de seguridad que indique la finalidad de cada una.
Realice auditorías para determinar la actividad de las entidades de servicio y el estado de los propietarios de la entidad de servicio.
Azure Firewall tiene directivas estándar. Los WAF asociados con Application Gateway y Azure Front Door tienen conjuntos de reglas administradas para ayudar a proteger su servicio web. Comience con estos conjuntos de reglas y cree directivas organizativas con el tiempo en función de los requisitos del sector, las prácticas recomendadas y las normativas gubernamentales.
El acceso a Event Hubs se autoriza mediante identidades administradas por Microsoft Entra y un certificado proporcionado por CISA.

Optimización de costos

La optimización de costos trata de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para más información, vea Información general del pilar de optimización de costos.

El coste de cada solución se reduce a medida que aumentan los recursos. Los precios de este Escenario de ejemplo de la calculadora de precios de Azure se basan en la solución Azure Firewall. Si cambia la configuración, los costes podrían aumentar. Con algunos planes, los costos aumentan a medida que aumenta el número de registros ingeridos.

Nota:

Utilice la calculadora de precios de Azure para obtener precios actualizados basados en los recursos implementados para la solución seleccionada.

Excelencia operativa

La excelencia operativa abarca los procesos de las operaciones que implementan una aplicación y la mantienen en ejecución en producción. Para más información, consulte Introducción al pilar de excelencia operativa.

Las alertas de Azure Monitor están integradas en las soluciones para notificarle cuando una carga no logra entregar registros a CLAW. Debe determinar la gravedad de las alertas y cómo responder.
Puede utilizar plantillas ARM para acelerar la implementación de arquitecturas TIC 3.0 para nuevas aplicaciones.

Eficiencia del rendimiento

La eficiencia del rendimiento es la capacidad de la carga de trabajo para escalar con el fin de satisfacer de manera eficiente las demandas que los usuarios hayan ejercido sobre ella. Para obtener más información, vea Resumen del pilar de eficiencia del rendimiento.

El rendimiento de Azure Firewall, Application Gateway, Azure Front Door y Event Hubs se escala a medida que aumenta el uso.
Azure Firewall Premium permite más conexiones TCP que Standard y proporciona un mayor ancho de banda.
Application Gateway v2 garantiza automáticamente que las nuevas instancias se distribuyan entre los dominios de error y los dominios de actualización.
Azure Front Door proporciona almacenamiento en caché, compresión, aceleración del tráfico y terminación TLS para mejorar el rendimiento.
Event Hubs Standard y Premium proporcionan inflado automático para escalar a medida que aumenta la carga.

Implementación de una solución de Azure Firewall

La siguiente solución utiliza Azure Firewall para administrar el tráfico que entra en su entorno de aplicaciones Azure. La solución incluye todos los recursos para generar, recopilar y entregar registros a CLAW. También incluye un servicio de aplicación para rastrear los tipos de telemetría recopilados por el firewall.

La solución incluye:

Una red virtual que tiene subredes separadas para el firewall y los servidores.
Un área de trabajo de Log Analytics.
Azure Firewall con una directiva de red para el acceso a Internet.
Una configuración de diagnóstico de Azure Firewall que envía los registros al área de trabajo de Log Analytics.
Una tabla de rutas que está asociada con el grupo de recursos de la aplicación para enrutar el servicio de la aplicación al firewall para los registros que genera.
Una aplicación registrada.
Un centro de eventos.
Una regla de alertas que envía un correo electrónico si se produce un error en un trabajo.

Por motivos de simplicidad, todos los recursos se implementan en una única suscripción y red virtual. Puede implementar los recursos en cualquier combinación de grupos de recursos o en varias redes virtuales.

Tareas posteriores a la implementación

Después de la implementación, su entorno realiza las funciones de firewall y registro de conexiones. Para cumplir con las directivas TIC 3.0 para la recopilación de telemetría de red, debe asegurarse de que los registros lleguen a CISA CLAW. Los pasos posteriores a la implementación finalizan las tareas para permitir el cumplimiento. Para completar estos pasos, debe coordinarse con CISA porque CISA necesita suministrar un certificado para asociarlo con su entidad de seguridad de servicio. Para obtener detalles paso a paso, consulte Tareas posteriores a la implementación.

Debe realizar manualmente las siguientes tareas después de la implementación. No puede completarlas utilizando una plantilla ARM.

Obtener un certificado de clave pública de CISA.
Cree una entidad de seguridad de servicio (registro de aplicación).
Añada el certificado de clave pública al registro de la aplicación.
Asigne a la aplicación la función Receptor de datos de Azure Event Hubs en el ámbito del espacio de nombres de Event Hubs.
Active la fuente mediante el envío del ID de arrendatario de Azure, el ID de aplicación (cliente), el nombre del espacio de nombres del centro de eventos, el nombre del centro de eventos y el nombre del grupo de consumidores a CISA.

Implementación de una solución que utiliza Application Gateway con WAF

La siguiente solución utiliza Application Gateway con WAF para administrar el tráfico que entra en su entorno de aplicaciones Azure. La solución incluye todos los recursos para generar, recopilar y entregar registros a CLAW. También incluye un servicio de aplicación para rastrear los tipos de telemetría recopilados por el firewall.

La solución incluye:

Una red virtual que tiene subredes separadas para el firewall y los servidores.
Un área de trabajo de Log Analytics.
Una instancia de Application Gateway v2 con WAF. El WAF se configura con directivas administradas por bot y Microsoft.
Configuración de diagnóstico de Application Gateway v2 que envía registros al área de trabajo de Log Analytics.
Una aplicación registrada.
Un centro de eventos.
Una regla de alertas que envía un correo electrónico si se produce un error en un trabajo.

Tareas posteriores a la implementación

Debe realizar manualmente las siguientes tareas después de la implementación. No puede completarlas utilizando una plantilla ARM.

Obtener un certificado de clave pública de CISA.
Cree una entidad de seguridad de servicio (registro de aplicación).
Añada el certificado de clave pública al registro de la aplicación.
Asigne a la aplicación la función Receptor de datos de Azure Event Hubs en el ámbito del espacio de nombres de Event Hubs.
Active la fuente mediante el envío del ID de arrendatario de Azure, el ID de aplicación (cliente), el nombre del espacio de nombres del centro de eventos, el nombre del centro de eventos y el nombre del grupo de consumidores a CISA.

Implementación de una solución que usa Azure Front Door con WAF

La siguiente solución utiliza Azure Front Door con WAF para administrar el tráfico que entra en su entorno de aplicaciones Azure. La solución incluye todos los recursos para generar, recopilar y entregar registros a CLAW. También incluye un servicio de aplicación para rastrear los tipos de telemetría recopilados por el firewall.

La solución incluye:

Una red virtual que tiene subredes separadas para el firewall y los servidores.
Un área de trabajo de Log Analytics.
Una instancia de Azure Front Door con WAF. El WAF se configura con directivas administradas por bot y Microsoft.
Configuración de diagnóstico de Azure Front Door que envía registros al área de trabajo de Log Analytics.
Una aplicación registrada.
Un centro de eventos.
Una regla de alertas que envía un correo electrónico si se produce un error en un trabajo.

Tareas posteriores a la implementación

Debe realizar manualmente las siguientes tareas después de la implementación. No puede completarlas utilizando una plantilla ARM.

Obtener un certificado de clave pública de CISA.
Cree una entidad de seguridad de servicio (registro de aplicación).
Añada el certificado de clave pública al registro de la aplicación.
Asigne a la aplicación la función Receptor de datos de Azure Event Hubs en el ámbito del espacio de nombres de Event Hubs.
Active la fuente mediante el envío del ID de arrendatario de Azure, el ID de aplicación (cliente), el nombre del espacio de nombres del centro de eventos, el nombre del centro de eventos y el nombre del grupo de consumidores a CISA.

Solución de firewall de terceros (NVA)

Nota

No se proporcionan recursos de implementación para esta solución. Se incluye solo para proporcionar orientación.

La siguiente solución ilustra cómo puede utilizar un firewall de terceros para administrar el tráfico que entra en su entorno de aplicaciones Azure e implementar el cumplimiento de TIC 3.0. Los firewalls de terceros requieren el uso de una máquina de redireccionamiento virtual Syslog. Sus agentes deben estar registrados en el área de trabajo de Log Analytics. El firewall de terceros está configurado para exportar sus registros en formato Syslog a la máquina de redireccionamiento virtual Syslog. El agente se configura para enviar sus registros al área de trabajo de Log Analytics. Una vez que los logs están en el área de trabajo de Log Analytics, se envían a Event Hubs y se procesan como en las otras soluciones descritas en este artículo.

Tareas posteriores a la implementación

Debe realizar manualmente las siguientes tareas después de la implementación. No puede completarlas utilizando una plantilla ARM.

Obtener un certificado de clave pública de CISA.
Cree una entidad de seguridad de servicio (registro de aplicación).
Añada el certificado de clave pública al registro de la aplicación.
Asigne a la aplicación la función Receptor de datos de Azure Event Hubs en el ámbito del espacio de nombres de Event Hubs.
Active la fuente mediante el envío del ID de arrendatario de Azure, el ID de aplicación (cliente), el nombre del espacio de nombres del centro de eventos, el nombre del centro de eventos y el nombre del grupo de consumidores a CISA.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Autor principal:

Paul Lizer | Arquitecto sénior de soluciones en la nube

Otro colaborador:

Mick Alberts | Escritor técnico

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Compartir a través de

Implementar el cumplimiento de TIC 3.0