編集

次の方法で共有

TIC 3.0 コンプライアンスの実装

Azure Firewall
Azure Application Gateway
Azure Front Door
Azure Log Analytics
Azure Event Hubs

この記事では、インターネットに接続する Azure アプリケーションとサービスに対して信頼できるインターネット接続 (TIC) 3.0 コンプライアンスを実現する方法について説明します。 政府機関が TIC 3.0 へのコンプライアンスに準拠するためのソリューションとリソースを提供します。 また、必要な資産をデプロイし、既存のシステムにソリューションを組み込む方法についても説明します。

注意

Microsoft は、サイバーセキュリティ インフラストラクチャ セキュリティ庁 (CISA) の Cloud Log Aggregation Warehouse (CLAW) 機能への参加を容易にするための推奨構成の一部として、連邦民間行政部 (FCEB) の部門および機関にこの情報を提供しています。 推奨する構成は Microsoft によって管理されており、変更される可能性があります。

アーキテクチャ

TIC 3.0 のコンプライアンス アーキテクチャを示す図。

このアーキテクチャの Visio ファイルをダウンロードします。

データフロー

  1. ファイアウォール
    • ファイアウォールには、任意のレイヤー 3 またはレイヤー 7 のファイアウォールを指定できます。
      • Azure Firewall および一部のサードパーティ製ファイアウォール (ネットワーク仮想アプライアンス (NVA) とも呼ばれます) は、レイヤー 3 ファイアウォールです。
      • Web Application Firewall (WAF) を使用した Azure Application Gateway と、WAF を使用した Azure Front Door はレイヤー 7 ファイアウォールです。
      • この記事では、Azure Firewall、WAF を使用した Application Gateway、WAF がデプロイされた Azure Front Door のデプロイ ソリューションについて説明します。
    • ファイアウォールは、ポリシーを適用し、メトリクスを収集し、Web サービスとそれにアクセスするユーザーおよびサービスの間の接続トランザクションのログを記録します。
  2. ファイアウォール ログ
    • Azure Firewall、WAF を使用した Application Gateway、WAF を使用した Azure Front Door によって Log Analytics ワークスペースにログが送信されます。
    • サードパーティのファイアウォールは、Syslog フォワーダー仮想マシンを介して Log Analytics ワークスペースに Syslog 形式のログを送信します。
  3. Log Analytics ワークスペース
    • Log Analytics ワークスペースは、ログのリポジトリです。
    • ファイアウォールから提供されたネットワーク トラフィック データのカスタム分析を提供するサービスをホストできます。
  4. サービス プリンシパル (登録済みアプリケーション)
  5. Azure Event Hubs Standard
  6. CISA TALON

Components

  • ファイアウォール。 アーキテクチャでは、次のファイアウォールのうち 1 つ以上が使用されます。 (詳細については、この記事の「代替手段」セクションをご覧ください。)
    • Azure Firewall は、Azure で実行されているクラウド ワークロードに対する脅威保護を強化する、クラウドネイティブでインテリジェントなネットワーク ファイアウォールのセキュリティ サービスです。 組み込みの高可用性とクラウドの無制限のスケーラビリティを備えた、完全にステートフルなサービスとしてのファイアウォールです。 Standard と Premium の 2 つのパフォーマンス レベルが用意されています。 Azure Firewall Premium には、Azure Firewall Standard のすべての機能に加えて、トランスポート層セキュリティ (TLS) 検査や侵入の検出と防止システム (IDPS) などの追加機能が用意されています。
    • WAF を使用する Application Gateway は、リージョンの Web トラフィック ロード バランサーで、Web アプリケーションへのトラフィックを管理する機能を提供します。 WAF では、一般的な悪用や脆弱性からの Web アプリケーションの一元的な保護が強化されます。
    • WAF を使用する Azure Front Door は、グローバルの Web トラフィック ロード バランサーで、Web アプリケーションへのトラフィックを管理する機能を提供します。 アプリケーションを高速化および最新化するためのコンテンツ配信ネットワーク (CDN) 機能を提供します。 WAF では、一般的な悪用や脆弱性からの Web アプリケーションの一元的な保護が強化されます。
    • サード パーティ製のファイアウォールは、Azure 仮想マシン上で実行され、Microsoft 以外のベンダーからのファイアウォール サービスを使用する NVA です。 Microsoft は、ファイアウォール サービスを提供するサードパーティ ベンダーの大規模なエコシステムをサポートしています。
  • ログと認証。
    • Log Analytics は、Azure portal で使用できるツールであり、Azure Monitor ログに対するログ クエリの編集と実行に使用できます。 詳細については、「Azure Monitor の Log Analytics の概要」を参照してください。
    • Azure Monitor は、テレメトリを収集、分析して対応する、包括的なソリューションです。
    • Microsoft Entra ID: Azure ワークロード全体に対する ID サービス、シングル サインオン、および多要素認証を提供します。
    • サービス プリンシパル (登録済みアプリケーション) は、Microsoft Entra テナント内のユーザーまたはアプリケーションのアクセス ポリシーとアクセス許可を定義するエンティティです。
    • Event Hubs Standard は、最新のビッグ データ ストリーム プラットフォームであり、イベント インジェスト サービスです。
    • CISA TALON は、CISA が運用し、Azure 上で実行されるサービスです。 TALON は Event Hubs サービスに接続し、サービス プリンシパルに関連付けられている CISA 提供の証明書を使用して認証を行い、CLAW を使用するためのログを収集します。

代替

以下のソリューションでは、いくつかの代替手段を使用できます:

  • ログの収集は、複数の責任の範囲に分割することができます。 たとえば、ID チームによって管理されている Log Analytics ワークスペースに Microsoft Entra ログを送信し、ネットワーク チームによって管理されている別の Log Analytics ワークスペースにネットワーク ログを送信できます。
  • この記事の例では、それぞれ 1 つのファイアウォールを使用していますが、一部の組織の要件またはアーキテクチャでは 2 つ以上が必要です。 たとえば、アーキテクチャには、Azure Firewall インスタンスと WAF を使用したApplication Gateway インスタンスを含めることができます。 各ファイアウォールのログを収集し、CISA TALON で収集できるようにする必要があります。
  • お客様の環境で Azure ベースの仮想マシンからのインターネット エグレスが必要な場合は、Azure Firewall やサードパーティのファイアウォールなどのレイヤー 3 ソリューションを使用して、送信トラフィックを監視およびログできます。

シナリオの詳細

TIC 3.0 では、オンプレミスのデータ収集にとどまらず、最新のアプリケーションとシステムにより適したクラウドベースのアプローチでの TIC が実現されます。 Azure アプリケーションに直接アクセスできるようになり、パフォーマンスが向上します。 TIC 2.x では、TIC 2.x Managed Trusted Internet Protocol Service (MTIPS) デバイスを介して Azure アプリケーションにアクセスする必要があります。これにより、応答が遅くなります。

ここで示すソリューションで示されているコア機能は、ファイアウォール経由でアプリケーション トラフィックをルーティングし、トラフィックをログする機能です。 ファイアウォールには、Azure Firewall、WAF を使用した Azure Front Door、WAF を使用した Application Gateway、またはサードパーティの NVA を使用できます。 ファイアウォールは、クラウド境界をセキュリティで保護し、各トランザクションのログを保存するのに役立ちます。 ファイアウォール層とは別に、ログの収集と配信のソリューションには、Log Analytics ワークスペース、登録済みアプリケーション、およびイベント ハブが必要です。 Log Analytics ワークスペースは、イベント ハブにログを送信します。

CLAW は CISA の管理サービスです。 2022 年後半、CISA は TALON をリリースしました。 TALON は、Azure ネイティブ機能を使用する CISA の管理サービスです。 TALON のインスタンスは、各 Azure リージョンで実行されます。 TALON は、政府機関が管理するイベント ハブに接続して、機関ファイアウォールと Microsoft Entra ログを CISA CLAW にプルします。

CLAW、TIC 3.0、MTIPS の詳細については、次を参照してください。

考えられるユース ケース

TIC 3.0 コンプライアンス ソリューションは、一般に連邦政府および政府機関が Azure ベースの Web アプリや API サービスに対して使用します。

考慮事項

これらの考慮事項は、ワークロードの品質向上に使用できる一連の基本原則である Azure Well-Architected Framework の要素を組み込んでいます。 詳細については、「Microsoft Azure Well-Architected Framework」を参照してください。

  • 現在のアーキテクチャを評価して、ここに示すソリューションから TIC 3.0 への準拠に最適なアプローチを決定します。
  • CLAW へのアクセスを要求するには、CISA の担当者にお問い合わせください。
  • 1 つまたは複数のソリューションをテスト環境にデプロイするには、この記事の [Azure へのデプロイ] ボタンを使用します。 これを使用すると、プロセスとデプロイされたリソースを理解するのに役立ちます。
  • TIC 3.0 の詳細と資産を提供する補完的な記事「インターネットに接続されたアプリケーションの TIC 3.0 へのコンプライアンス」をご覧ください。
    • コンプライアンスの実現に関する追加情報。
    • デプロイを簡略化するための ARM テンプレート。
    • ソリューションへの既存のリソースの統合に役立つ情報。
    • 各サービス層で収集されるログの種類と、CISA によって収集されたログを確認するための Kusto クエリ。 組織のセキュリティ要件に対してクエリを使用できます。

[信頼性]

信頼性により、顧客に確約したことをアプリケーションで確実に満たせるようにします。 詳細については、「信頼性の重要な要素の概要」を参照してください。

  • Azure Firewall Standard と Premium が可用性ゾーンと統合されることにより、可用性が向上します。
  • Application Gateway v2 では、信頼性を向上させるために、自動スケーリングと可用性ゾーンがサポートされています。
  • Azure Front Door のような負荷分散サービスを含む複数リージョンの実装により、信頼性と回復性を向上させることができます。
  • Event Hubs Standard と Premium では、名前空間をセカンダリ リージョンにフェールオーバーできるようにする geo ディザスター リカバリー ペアリングが提供されます。

セキュリティ

セキュリティは、重要なデータやシステムの意図的な攻撃や悪用に対する保証を提供します。 詳細については、「セキュリティの重要な要素の概要」を参照してください。

  • エンタープライズ アプリケーションを登録すると、サービス プリンシパルが作成されます。 各サービス プリンシパルの目的を示す名前付けスキームを使用します。
  • 監査を実行して、サービス プリンシパルのアクティビティとサービス プリンシパル所有者の状態を確認します。
  • Azure Firewall には標準のポリシーがあります。 Application Gateway と Azure Front Door に関連付けられている WAF には、Web サービスをセキュリティで保護するためのマネージド ルール セットがあります。 まず、それらのルール セットを設定し、業界の要件、ベスト プラクティス、政府の規制に基づいて組織のポリシーを構築します。
  • Event Hubs へのアクセスは、Microsoft Entra マネージド ID と CISA によって提供される証明書を介して承認されます。

コストの最適化

コストの最適化とは、不要な費用を削減し、運用効率を向上させることです。 詳しくは、コスト最適化の柱の概要に関する記事をご覧ください。

各ソリューションのコストは、リソースの増加に伴ってスケールダウンします。 Azure 料金計算ツールのサンプル シナリオの料金は、Azure Firewall ソリューションの既定の設定に基づいたものです。 構成を変更すると、コストが増加する可能性があります。 一部のプランでは、取り込まれたログの数が増えるほどコストが増加します。

Note

Azure 料金計算ツールを使用して、選択したソリューションにデプロイされたリソースに基づく最新の料金を取得します。

オペレーショナル エクセレンス

オペレーショナル エクセレンスは、アプリケーションをデプロイし、それを運用環境で実行し続ける運用プロセスをカバーします。 詳細については、「オペレーショナル エクセレンスの重要な要素の概要」を参照してください。

  • Azure Monitor アラートは、CLAW にログを配信するためのアップロードが失敗したときに通知を行う目的で、ソリューションに組み込まれています。 アラートの重要度と応答方法を決定する必要があります。
  • ARM テンプレートを使用して、新しいアプリケーション用の TIC 3.0 アーキテクチャのデプロイを高速化できます。

パフォーマンス効率

パフォーマンス効率とは、ユーザーによって行われた要求に合わせて効率的な方法でワークロードをスケーリングできることです。 詳細については、「パフォーマンス効率の柱の概要」を参照してください。

  • Azure FirewallApplication GatewayAzure Front DoorEvent Hubs のパフォーマンスは、使用量の増加に合わせてスケーリングされます。
  • Azure Firewall Premium では、Standard よりも多くの TCP 接続が許可され、より広い帯域幅が実現します。
  • Application Gateway v2 では、新しいインスタンスが障害ドメインと更新ドメインに自動的に分散されるようにします。
  • Azure Front Door では、パフォーマンスを向上させるために、キャッシュ、圧縮、トラフィックの高速化、TLS 終端が提供されます。
  • Event Hubs Standard と Premium では、負荷の増加に合わせてスケールアップするための自動インフレが提供されます。

Azure Firewall ソリューションのデプロイ

次のソリューションでは、Azure Firewall を使用して、Azure アプリケーション環境へのトラフィックを管理します。 このソリューションには、ログを生成、収集、および CLAW に配信するためのすべてのリソースが含まれています。 また、ファイアウォールによって収集されたテレメトリの種類を追跡するアプリ サービスも含まれています。

TIC 3.0 のコンプライアンス アーキテクチャを示す図。Azure Firewall がログを CLAW にアップロードします。

このソリューションの内容は次のとおりです。

  • ファイアウォールとサーバー用の個別のサブネットを備えた仮想ネットワーク。
  • Log Analytics ワークスペース。
  • インターネット アクセス用のネットワーク ポリシーを備える Azure Firewall。
  • Log Analytics ワークスペースにログを送信する Azure Firewall の診断設定。
  • ログの生成のためにアプリ サービスをファイアウォールにルーティングする、アプリケーション リソース グループに関連付けられたルート テーブル。
  • 登録済みアプリケーション。
  • イベント ハブ。
  • ジョブが失敗した場合にメールを送信するアラート ルール。

わかりやすくするために、すべてのリソースは 1 つのサブスクリプションおよび仮想ネットワークにデプロイされます。 リソースは、任意のリソース グループと組み合わせることも、複数の仮想ネットワークにわたってデプロイすることもできます。

Azure へのデプロイ

Azure Government へのデプロイ

デプロイ後タスク

デプロイ後、環境はファイアウォール機能とログ接続を実行します。 ネットワーク テレメトリ収集の TIC 3.0 ポリシーのコンプライアンス要件を満たすには、ログが CISA CLAW に確実に送信されるようにする必要があります。 デプロイ後の手順では、コンプライアンスを有効にするためのタスクを完了します。 CISA がサービス プリンシパルに関連付ける証明書を提供する必要があるため、これらの手順を完了するには CISA と調整する必要があります。 詳細な手順については、「デプロイ後のタスク」をご覧ください。

デプロイ後、次のタスクを手動で実行する必要があります。 ARM テンプレートを使用してタスクを完了することはできません。

  • CISA から公開キー証明書を取得します。
  • サービス プリンシパルを作成します (アプリケーションの登録)。
  • 公開キー証明書をアプリケーションの登録に追加します。
  • Event Hubs 名前空間スコープで、アプリケーションに Azure Event Hubs データ受信者ロールを割り当てます。
  • Azure テナント ID、アプリケーション (クライアント) ID、イベント ハブ名前空間名、イベント ハブ名、コンシューマー グループ名を CISA に送信して、フィードをアクティブにします。

WAF を使用した Application Gateway を使用するソリューションをデプロイする

次のソリューションでは、WAF を使用した Application Gateway を使用して、Azure アプリケーション環境へのトラフィックを管理します。 このソリューションには、ログを生成、収集、および CLAW に配信するためのすべてのリソースが含まれています。 また、ファイアウォールによって収集されたテレメトリの種類を追跡するアプリ サービスも含まれています。

TIC 3.0 のコンプライアンス アーキテクチャを示す図。WAF を使用した Application Gateway がログを CLAW にアップロードします。

このソリューションの内容は次のとおりです。

  • ファイアウォールとサーバー用の個別のサブネットを備えた仮想ネットワーク。
  • Log Analytics ワークスペース。
  • WAF を使用した Application Gateway v2 インスタンス。 WAF は、ボットと Microsoft マネージド ポリシーで構成されます。
  • Log Analytics ワークスペースにログを送信する Application Gateway v2 の診断設定。
  • 登録済みアプリケーション。
  • イベント ハブ。
  • ジョブが失敗した場合にメールを送信するアラート ルール。

わかりやすくするために、すべてのリソースは 1 つのサブスクリプションおよび仮想ネットワークにデプロイされます。 リソースは、任意のリソース グループと組み合わせることも、複数の仮想ネットワークにわたってデプロイすることもできます。

Azure へのデプロイ

Azure Government へのデプロイ

デプロイ後タスク

デプロイ後、環境はファイアウォール機能とログ接続を実行します。 ネットワーク テレメトリ収集の TIC 3.0 ポリシーのコンプライアンス要件を満たすには、ログが CISA CLAW に確実に送信されるようにする必要があります。 デプロイ後の手順では、コンプライアンスを有効にするためのタスクを完了します。 CISA がサービス プリンシパルに関連付ける証明書を提供する必要があるため、これらの手順を完了するには CISA と調整する必要があります。 詳細な手順については、「デプロイ後のタスク」をご覧ください。

デプロイ後、次のタスクを手動で実行する必要があります。 ARM テンプレートを使用してタスクを完了することはできません。

  • CISA から公開キー証明書を取得します。
  • サービス プリンシパルを作成します (アプリケーションの登録)。
  • 公開キー証明書をアプリケーションの登録に追加します。
  • Event Hubs 名前空間スコープで、アプリケーションに Azure Event Hubs データ受信者ロールを割り当てます。
  • Azure テナント ID、アプリケーション (クライアント) ID、イベント ハブ名前空間名、イベント ハブ名、コンシューマー グループ名を CISA に送信して、フィードをアクティブにします。

WAF を使用した Azure Front Door を使用するソリューションをデプロイする

次のソリューションでは、WAF を使用した Azure Front Door を使用して、Azure アプリケーション環境へのトラフィックを管理します。 このソリューションには、ログを生成、収集、および CLAW に配信するためのすべてのリソースが含まれています。 また、ファイアウォールによって収集されたテレメトリの種類を追跡するアプリ サービスも含まれています。

TIC 3.0 のコンプライアンス アーキテクチャを示す図。WAF を使用した Azure Front Door がログを CLAW にアップロードします。

このソリューションの内容は次のとおりです。

  • ファイアウォールとサーバー用の個別のサブネットを備えた仮想ネットワーク。
  • Log Analytics ワークスペース。
  • WAF を使用した Azure Front Door インスタンス。 WAF は、ボットと Microsoft マネージド ポリシーで構成されます。
  • Log Analytics ワークスペースにログを送信する Azure Front Door の診断設定。
  • 登録済みアプリケーション。
  • イベント ハブ。
  • ジョブが失敗した場合にメールを送信するアラート ルール。

わかりやすくするために、すべてのリソースは 1 つのサブスクリプションおよび仮想ネットワークにデプロイされます。 リソースは、任意のリソース グループと組み合わせることも、複数の仮想ネットワークにわたってデプロイすることもできます。

Azure へのデプロイ

Azure Government へのデプロイ

デプロイ後タスク

デプロイ後、環境はファイアウォール機能とログ接続を実行します。 ネットワーク テレメトリ収集の TIC 3.0 ポリシーのコンプライアンス要件を満たすには、ログが CISA CLAW に確実に送信されるようにする必要があります。 デプロイ後の手順では、コンプライアンスを有効にするためのタスクを完了します。 CISA がサービス プリンシパルに関連付ける証明書を提供する必要があるため、これらの手順を完了するには CISA と調整する必要があります。 詳細な手順については、「デプロイ後のタスク」をご覧ください。

デプロイ後、次のタスクを手動で実行する必要があります。 ARM テンプレートを使用してタスクを完了することはできません。

  • CISA から公開キー証明書を取得します。
  • サービス プリンシパルを作成します (アプリケーションの登録)。
  • 公開キー証明書をアプリケーションの登録に追加します。
  • Event Hubs 名前空間スコープで、アプリケーションに Azure Event Hubs データ受信者ロールを割り当てます。
  • Azure テナント ID、アプリケーション (クライアント) ID、イベント ハブ名前空間名、イベント ハブ名、コンシューマー グループ名を CISA に送信して、フィードをアクティブにします。

サードパーティ ファイアウォール (NVA) ソリューション

注意

このソリューションにデプロイ リソースは用意されていません。 ガイダンスを提供するためだけに含まれています。

次のソリューションは、サードパーティのファイアウォールを使用して、Azure アプリケーション環境に入るトラフィックを管理し、TIC 3.0 コンプライアンスを実装する方法を示しています。 サードパーティのファイアウォールでは、Syslog フォワーダー仮想マシンを使用する必要があります。 そのエージェントを Log Analytics ワークスペースに登録する必要があります。 サードパーティのファイアウォールは、Syslog 形式でログを Syslog フォワーダー仮想マシンにエクスポートするように構成されています。 エージェントは、ログを Log Analytics ワークスペースに送信するように構成されています。 ログが Log Analytics ワークスペースに保存されると、Event Hubs に送信され、この記事で説明されている他のソリューションと同様に処理されます。

TIC 3.0 のコンプライアンス アーキテクチャを示す図。サードパーティのファイアウォールがログを CLAW にアップロードします。

デプロイ後タスク

デプロイ後、環境はファイアウォール機能とログ接続を実行します。 ネットワーク テレメトリ収集の TIC 3.0 ポリシーのコンプライアンス要件を満たすには、ログが CISA CLAW に確実に送信されるようにする必要があります。 デプロイ後の手順では、コンプライアンスを有効にするためのタスクを完了します。 CISA がサービス プリンシパルに関連付ける証明書を提供する必要があるため、これらの手順を完了するには CISA と調整する必要があります。 詳細な手順については、「デプロイ後のタスク」をご覧ください。

デプロイ後、次のタスクを手動で実行する必要があります。 ARM テンプレートを使用してタスクを完了することはできません。

  • CISA から公開キー証明書を取得します。
  • サービス プリンシパルを作成します (アプリケーションの登録)。
  • 公開キー証明書をアプリケーションの登録に追加します。
  • Event Hubs 名前空間スコープで、アプリケーションに Azure Event Hubs データ受信者ロールを割り当てます。
  • Azure テナント ID、アプリケーション (クライアント) ID、イベント ハブ名前空間名、イベント ハブ名、コンシューマー グループ名を CISA に送信して、フィードをアクティブにします。

共同作成者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

プリンシパル作成者:

  • Paul Lizer | シニア クラウド ソリューション アーキテクト

その他の共同作成者:

パブリックでない LinkedIn プロファイルを表示するには、LinkedIn にサインインします。

次の手順