TIC 3.0 규정 준수 구현

Azure Firewall

Azure Application Gateway

Azure Front Door

Azure Log Analytics

Azure Event Hubs

이 문서에서는 인터넷 연결 Azure 애플리케이션 및 서비스에 대한 TIC(신뢰할 수 있는 인터넷 연결) 3.0 규정 준수를 달성하는 방법을 설명합니다. 정부 조직이 TIC 3.0 규정 준수를 충족하는 데 도움이 되는 솔루션 및 리소스를 제공합니다. 또한 필요한 자산을 배포하는 방법과 솔루션을 기존 시스템에 통합하는 방법에 대해서도 설명합니다.

참고 항목

Microsoft는 CISA(사이버 보안 및 인프라 보안 기관) CLAW(클라우드 로그 집계 웨어하우스) 기능에 쉽게 참여할 수 있도록 권장 구성의 일환으로 FCEB(Federal Civilian Executive Branch) 부서 및 기관에 이 정보를 제공합니다. 제안된 구성은 Microsoft에서 유지 관리하며 변경될 수 있습니다.

아키텍처

이 아키텍처의 Visio 파일을 다운로드합니다.

데이터 흐름

방화벽
- 방화벽은 모든 계층 3 또는 계층 7 방화벽일 수 있습니다.
  - Azure Firewall 및 NVA(네트워크 가상 어플라이언스)라고도 하는 일부 타사 방화벽은 계층 3 방화벽입니다.
  - WAF(웹 애플리케이션 방화벽)를 사용하는 Azure 애플리케이션 게이트웨이와 WAF가 있는 Azure Front Door는 계층 7 방화벽입니다.
  - 이 문서에서는 WAF 배포를 사용하는 Azure Firewall, WAF를 사용하는 Application Gateway 및 Azure Front Door에 대한 배포 솔루션을 제공합니다.
- 방화벽은 웹 서비스와 웹 서비스에 액세스하는 사용자 및 서비스 간에 정책을 적용하고, 메트릭을 수집하고, 연결 트랜잭션을 로그합니다.
방화벽 로그
- Azure Firewall, WAF를 사용하는 Application Gateway 및 WAF가 있는 Azure Front Door는 Log Analytics 작업 영역으로 로그를 보냅니다.
- 타사 방화벽은 Syslog 전달자 가상 머신을 통해 Log Analytics 작업 영역에 Syslog 형식의 로그를 보냅니다.
Log Analytics 작업 영역
- Log Analytics 작업 영역은 로그에 대한 리포지토리입니다.
- 방화벽의 네트워크 트래픽 데이터에 대한 사용자 지정 분석을 제공하는 서비스를 호스트할 수 있습니다.
서비스 주체(등록된 애플리케이션)
Azure Event Hubs 표준
CISA TALON

구성 요소

방화벽. 아키텍처는 다음 방화벽 중 하나 이상을 사용합니다. (자세한 내용은 다음을 참조하세요 .이 문서의 대체 섹션입니다 .)
- Azure Firewall 은 Azure에서 실행되는 클라우드 워크로드에 대해 향상된 위협 방지 기능을 제공하는 클라우드 네이티브 지능형 네트워크 방화벽 보안 서비스입니다. 고가용성 및 무제한 클라우드 확장성이 내장되어 있는 서비스 형태의 완전한 상태 저장 방화벽입니다. 표준 및 프리미엄의 두 가지 성능 계층에서 사용할 수 있습니다. Azure Firewall Premium은 Azure Firewall Standard의 모든 기능을 포함하며 TLS(전송 계층 보안) 검사 및 IDPS(침입 감지 및 방지 시스템)와 같은 추가 기능을 제공합니다.
- WAF 를 사용하는 Application Gateway는 웹 애플리케이션에 대한 트래픽을 관리할 수 있는 지역 웹 트래픽 부하 분산 장치입니다. WAF는 일반적인 악용 및 취약성으로부터 웹 애플리케이션의 향상된 중앙 집중식 보호를 제공합니다.
- WAF 를 사용하는 Azure Front Door는 웹 애플리케이션에 대한 트래픽을 관리할 수 있는 글로벌 웹 트래픽 부하 분산 장치입니다. 애플리케이션의 속도를 향상시키고 현대화하는 CDN(콘텐츠 배달 네트워크) 기능을 제공합니다. WAF는 일반적인 악용 및 취약성으로부터 웹 애플리케이션의 향상된 중앙 집중식 보호를 제공합니다.
- 타사 방화벽은 Azure 가상 머신에서 실행되고 타사 공급업체의 방화벽 서비스를 사용하는 NVA입니다. Microsoft는 방화벽 서비스를 제공하는 타사 공급업체의 대규모 에코시스템을 지원합니다.
로깅 및 인증.
- Log Analytics는 Azure Portal에서 사용할 수 있는 도구로, Azure Monitor 로그에 대해 로그 쿼리를 편집하고 실행하는 데 사용할 수 있습니다. 자세한 내용은 Azure Monitor의 Log Analytics 개요를 참조하세요.
- Azure Monitor는 원격 분석을 수집, 분석 및 실행하기 위한 포괄적인 솔루션입니다.
- Microsoft Entra ID 는 Azure 워크로드에서 ID 서비스, Single Sign-On 및 다단계 인증을 제공합니다.
- 서비스 주체(등록된 애플리케이션)는 Microsoft Entra 테넌트에서 사용자 또는 애플리케이션에 대한 액세스 정책 및 권한을 정의하는 엔터티입니다.
- Event Hubs Standard 는 최신 빅 데이터 스트리밍 플랫폼 및 이벤트 수집 서비스입니다.
- CISA TALON은 Azure에서 실행되는 CISA 운영 서비스입니다. TALON은 Event Hubs 서비스에 연결하고, 서비스 주체와 연결된 CISA 제공 인증서를 사용하여 인증하고, CLAW 사용에 대한 로그를 수집합니다.

대안

이러한 솔루션에서 사용할 수 있는 몇 가지 대안이 있습니다.

로그 수집을 책임 영역으로 구분할 수 있습니다. 예를 들어 Microsoft Entra 로그를 ID 팀에서 관리하는 Log Analytics 작업 영역으로 보내고 네트워크 팀이 관리하는 다른 Log Analytics 작업 영역으로 네트워크 로그를 보낼 수 있습니다.
이 문서의 예제에서는 각각 단일 방화벽을 사용하지만 일부 조직 요구 사항 또는 아키텍처에는 둘 이상이 필요합니다. 예를 들어 아키텍처에는 AZURE Firewall 인스턴스와 WAF가 있는 Application Gateway 인스턴스가 포함될 수 있습니다. 각 방화벽에 대한 로그를 수집하여 CISA TALON에서 수집할 수 있도록 해야 합니다.
환경에 Azure 기반 가상 머신에서 인터넷 송신이 필요한 경우 Azure Firewall과 같은 계층 3 솔루션 또는 타사 방화벽을 사용하여 아웃바운드 트래픽을 모니터링하고 기록할 수 있습니다.

시나리오 정보

TIC 3.0은 TIC를 온-프레미스 데이터 수집에서 최신 애플리케이션 및 시스템을 더 잘 지원하는 클라우드 기반 접근 방식으로 이동합니다. Azure 애플리케이션에 직접 액세스할 수 있으므로 성능이 향상됩니다. TIC 2.x를 사용하면 TIC 2.x MTIPS(Managed Trusted Internet Protocol Service) 디바이스를 통해 Azure 애플리케이션에 액세스해야 하므로 응답 속도가 느려집니다.

방화벽을 통해 애플리케이션 트래픽 라우팅 및 트래픽 로깅은 여기에 제시된 솔루션에 설명된 핵심 기능입니다. 방화벽은 Azure Firewall, WAF가 있는 Azure Front Door, WAF를 사용하는 Application Gateway 또는 타사 NVA일 수 있습니다. 방화벽은 클라우드 경계를 보호하고 각 트랜잭션의 로그를 저장하는 데 도움이 됩니다. 방화벽 계층과 독립적으로 로그 수집 및 배달 솔루션에는 Log Analytics 작업 영역, 등록된 애플리케이션 및 이벤트 허브가 필요합니다. Log Analytics 작업 영역은 이벤트 허브에 로그를 보냅니다.

CLAW는 CISA 관리 서비스입니다. 2022년 말, CISA는 TALON을 출시했습니다. TALON은 Azure 네이티브 기능을 사용하는 CISA 관리 서비스입니다. TALON 인스턴스는 각 Azure 지역에서 실행됩니다. TALON은 정부 기관에서 관리하는 이벤트 허브에 연결하여 기관 방화벽 및 Microsoft Entra 로그를 CISA CLAW로 끌어옵니다.

CLAW, TIC 3.0 및 MTIPS에 대한 자세한 내용은 다음을 참조하세요.

잠재적인 사용 사례

TIC 3.0 규정 준수 솔루션은 일반적으로 Azure 기반 웹 애플리케이션 및 API 서비스에 대해 연방 조직 및 정부 기관에서 사용됩니다.

고려 사항

이러한 고려 사항은 워크로드의 품질을 향상시키는 데 사용할 수 있는 일련의 기본 원칙인 Azure Well-Architected Framework의 핵심 요소를 구현합니다. 자세한 내용은 Microsoft Azure Well-Architected Framework를 참조하세요.

현재 아키텍처를 평가하여 여기에 제시된 솔루션 중 TIC 3.0 규정 준수에 가장 적합한 방법을 제공하는 솔루션을 결정합니다.
CISA 담당자에게 문의하여 CLAW에 대한 액세스를 요청합니다.
이 문서의 Azure에 배포 단추를 사용하여 테스트 환경에서 하나 이상의 솔루션을 배포합니다. 이렇게 하면 프로세스 및 배포된 리소스에 익숙해지는 데 도움이 됩니다.
TIC 3.0에 대한 자세한 내용과 자산을 제공하는 보완 문서인 인터넷 연결 애플리케이션에 대한 TIC 3.0 규정 준수를 참조하세요.
- 규정 준수를 달성하는 방법에 대한 추가 정보.
- 배포를 간소화하는 ARM 템플릿.
- 기존 리소스를 솔루션에 통합하는 데 도움이 되는 정보.
- CISA에서 수집한 로그를 검토하기 위해 각 서비스 계층 및 Kusto 쿼리에 대해 수집된 로그 유형입니다. 조직의 보안 요구 사항에 대한 쿼리를 사용할 수 있습니다.

안정성

안정성은 애플리케이션이 고객에 대한 약속을 충족할 수 있도록 합니다. 자세한 내용은 안정성 핵심 요소 개요를 참조하세요.

Azure Firewall 표준 및 프리미엄은 가용성 영역을 통합하여 가용성을 높입니다.
Application Gateway v2는 안정성을 높이기 위해 자동 크기 조정 및 가용성 영역을 지원합니다.
Azure Front Door와 같은 부하 분산 서비스를 포함하는 다중 지역 구현은 안정성과 복원력을 개선할 수 있습니다.
Event Hubs 표준 및 프리미엄은 네임스페이스가 보조 지역으로 장애 조치(failover)할 수 있도록 하는 지역 재해 복구 페어링을 제공합니다.

보안

우수한 보안은 중요한 데이터 및 시스템에 대한 고의적인 공격과 악용을 방어합니다. 자세한 내용은 보안 요소의 개요를 참조하세요.

엔터프라이즈 애플리케이션을 등록하면 서비스 주체가 만들어집니다. 각 서비스 주체의 용도를 나타내는 이름 지정 체계를 사용합니다.
감사를 수행하여 서비스 주체의 활동 작업과 서비스 주체 소유자의 상태를 확인합니다.
Azure Firewall에는 표준 정책이 있습니다. Application Gateway 및 Azure Front Door와 연결된 WAF에는 웹 서비스를 보호하는 데 도움이 되는 관리되는 규칙 집합이 있습니다. 이러한 규칙 집합부터 시작하여 업계 요구 사항, 모범 사례 및 정부 규정에 따라 시간이 지남에 따라 조직 정책을 빌드합니다.
Event Hubs 액세스 권한은 Microsoft Entra 관리 ID 및 CISA에서 제공하는 인증서를 통해 부여됩니다.

비용 최적화

비용 최적화는 불필요한 비용을 줄이고 운영 효율성을 높이는 것입니다. 자세한 내용은 비용 최적화 핵심 요소 개요를 참조하세요.

리소스가 증가함에 따라 각 솔루션의 비용이 축소됩니다. 이 Azure 가격 계산기 예제 시나리오 의 가격 책정은 Azure Firewall 솔루션을 기반으로 합니다. 구성을 변경하면 비용이 증가할 수 있습니다. 일부 플랜에서는 수집된 로그 수가 증가함에 따라 비용이 증가합니다.

참고 항목

Azure 가격 계산기를 사용하여 선택한 솔루션에 대해 배포된 리소스를 기반으로 하는 최신 가격 책정을 가져옵니다.

운영 우수성

운영 우수성은 애플리케이션을 배포하고 프로덕션에서 계속 실행하는 운영 프로세스를 다룹니다. 자세한 내용은 운영 우수성 핵심 요소 개요를 참조하세요.

Azure Monitor 경고는 업로드가 CLAW에 로그를 배달하지 못할 때 사용자에게 알리기 위해 솔루션에 기본 제공됩니다. 경고의 심각도와 대응 방법을 결정해야 합니다.
ARM 템플릿을 사용하여 새 애플리케이션에 대한 TIC 3.0 아키텍처의 배포 속도를 높일 수 있습니다.

성능 효율성

성능 효율성은 사용자가 배치된 요구 사항을 효율적인 방식으로 충족하기 위해 워크로드의 크기를 조정할 수 있는 기능입니다. 자세한 내용은 성능 효율성 핵심 요소 개요를 참조하세요.

Azure Firewall, Application Gateway, Azure Front Door 및 Event Hubs 성능은 사용량이 증가함에 따라 확장됩니다.
Azure Firewall Premium은 표준보다 더 많은 TCP 연결을 허용하며 증가된 대역폭을 제공합니다.
Application Gateway v2는 새 인스턴스가 장애 도메인 및 업데이트 도메인에 분산되도록 자동으로 보장합니다.
Azure Front Door는 성능을 향상시키기 위해 캐싱, 압축, 트래픽 가속 및 TLS 종료를 제공합니다.
Event Hubs 표준 및 프리미엄은 부하가 증가함에 따라 스케일 업하도록 자동 확장을 제공합니다.

Azure Firewall 솔루션 배포

다음 솔루션은 Azure Firewall을 사용하여 Azure 애플리케이션 환경에 들어오는 트래픽을 관리합니다. 솔루션에는 로그를 생성, 수집 및 CLAW에 배달하기 위한 모든 리소스가 포함됩니다. 또한 방화벽에서 수집한 원격 분석 유형을 추적하는 앱 서비스도 포함되어 있습니다.

솔루션에는 다음이 포함됩니다.

방화벽 및 서버에 대한 별도의 서브넷이 있는 가상 네트워크입니다.
Log Analytics 작업 영역.
인터넷 액세스를 위한 네트워크 정책이 있는 Azure Firewall.
Log Analytics 작업 영역에 로그를 보내는 Azure Firewall 진단 설정.
애플리케이션 리소스 그룹과 연결된 경로 테이블로, 생성되는 로그에 대해 앱 서비스를 방화벽으로 라우팅합니다.
등록된 애플리케이션입니다.
이벤트 허브입니다.
작업이 실패할 경우 메일을 보내는 경고 규칙.

간단히 하기 위해 모든 리소스는 단일 구독 및 가상 네트워크에 배포됩니다. 리소스 그룹을 조합하거나 여러 가상 네트워크에 걸쳐 리소스를 배포할 수 있습니다.

배포 후 작업

배포 후 환경은 방화벽 기능 및 로깅 연결을 수행합니다. 네트워크 원격 분석 수집에 대한 TIC 3.0 정책 준수를 충족하려면 로그가 CISA CLAW에 있는지 확인해야 합니다. 배포 후 단계는 준수를 사용하도록 작업을 완료합니다. 이러한 단계를 완료하려면 CISA가 서비스 주체와 연결할 인증서를 제공해야 하므로 CISA와 조정해야 합니다. 단계별 세부 정보는 배포 후 작업을 참조 하세요.

배포 후 다음 작업을 수동으로 수행해야 합니다. ARM 템플릿을 사용하여 완료할 수 없습니다.

CISA에서 공개 키 인증서를 가져옵니다.
서비스 주체(애플리케이션 등록)를 만듭니다.
애플리케이션 등록에 공개 키 인증서를 추가합니다.
Event Hubs 네임스페이스 범위에서 애플리케이션에 Azure Event Hubs 데이터 수신기 역할을 할당합니다.
Azure 테넌트 ID, 애플리케이션(클라이언트) ID, 이벤트 허브 네임스페이스 이름, 이벤트 허브 이름 및 소비자 그룹 이름을 CISA로 전송하여 피드를 활성화합니다.

WAF에서 Application Gateway를 사용하는 솔루션 배포

다음 솔루션은 WAF와 함께 Application Gateway를 사용하여 Azure 애플리케이션 환경에 들어오는 트래픽을 관리합니다. 솔루션에는 로그를 생성, 수집 및 CLAW에 배달하기 위한 모든 리소스가 포함됩니다. 또한 방화벽에서 수집한 원격 분석 유형을 추적하는 앱 서비스도 포함되어 있습니다.

솔루션에는 다음이 포함됩니다.

방화벽 및 서버에 대한 별도의 서브넷이 있는 가상 네트워크입니다.
Log Analytics 작업 영역
WAF를 사용하는 Application Gateway v2 인스턴스입니다. WAF는 봇 및 Microsoft 관리 정책을 사용하여 구성됩니다.
Log Analytics 작업 영역에 로그를 보내는 Application Gateway v2 진단 설정입니다.
등록된 애플리케이션입니다.
이벤트 허브입니다.
작업이 실패할 경우 메일을 보내는 경고 규칙.

배포 후 작업

배포 후 다음 작업을 수동으로 수행해야 합니다. ARM 템플릿을 사용하여 완료할 수 없습니다.

CISA에서 공개 키 인증서를 가져옵니다.
서비스 주체(애플리케이션 등록)를 만듭니다.
애플리케이션 등록에 공개 키 인증서를 추가합니다.
Event Hubs 네임스페이스 범위에서 애플리케이션에 Azure Event Hubs 데이터 수신기 역할을 할당합니다.
Azure 테넌트 ID, 애플리케이션(클라이언트) ID, 이벤트 허브 네임스페이스 이름, 이벤트 허브 이름 및 소비자 그룹 이름을 CISA로 전송하여 피드를 활성화합니다.

WAF에서 Azure Front Door를 사용하는 솔루션 배포

다음 솔루션은 WAF와 함께 Azure Front Door를 사용하여 Azure 애플리케이션 환경으로 들어오는 트래픽을 관리합니다. 솔루션에는 로그를 생성, 수집 및 CLAW에 배달하기 위한 모든 리소스가 포함됩니다. 또한 방화벽에서 수집한 원격 분석 유형을 추적하는 앱 서비스도 포함되어 있습니다.

솔루션에는 다음이 포함됩니다.

방화벽 및 서버에 대한 별도의 서브넷이 있는 가상 네트워크입니다.
Log Analytics 작업 영역
WAF를 사용하는 Azure Front Door 인스턴스입니다. WAF는 봇 및 Microsoft 관리 정책을 사용하여 구성됩니다.
Log Analytics 작업 영역으로 로그를 보내는 Azure Front Door 진단 설정입니다.
등록된 애플리케이션입니다.
이벤트 허브입니다.
작업이 실패할 경우 메일을 보내는 경고 규칙.

배포 후 작업

배포 후 다음 작업을 수동으로 수행해야 합니다. ARM 템플릿을 사용하여 완료할 수 없습니다.

CISA에서 공개 키 인증서를 가져옵니다.
서비스 주체(애플리케이션 등록)를 만듭니다.
애플리케이션 등록에 공개 키 인증서를 추가합니다.
Event Hubs 네임스페이스 범위에서 애플리케이션에 Azure Event Hubs 데이터 수신기 역할을 할당합니다.
Azure 테넌트 ID, 애플리케이션(클라이언트) ID, 이벤트 허브 네임스페이스 이름, 이벤트 허브 이름 및 소비자 그룹 이름을 CISA로 전송하여 피드를 활성화합니다.

타사 방화벽(NVA) 솔루션

참고 항목

이 솔루션에는 배포 리소스가 제공되지 않습니다. 지침을 제공하기 위해서만 포함됩니다.

다음 솔루션에서는 타사 방화벽을 사용하여 Azure 애플리케이션 환경에 들어오는 트래픽을 관리하고 TIC 3.0 규정 준수를 구현하는 방법을 보여 줍니다. 타사 방화벽에는 Syslog 전달자 가상 머신을 사용해야 합니다. 해당 에이전트는 Log Analytics 작업 영역에 등록해야 합니다. 타사 방화벽은 Syslog 형식의 로그를 Syslog 전달자 가상 머신으로 내보내도록 구성됩니다. 에이전트는 로그를 Log Analytics 작업 영역으로 보내도록 구성됩니다. 로그가 Log Analytics 작업 영역에 있으면 Event Hubs로 전송되고 이 문서에 설명된 다른 솔루션에 있는 것처럼 처리됩니다.

배포 후 작업

배포 후 다음 작업을 수동으로 수행해야 합니다. ARM 템플릿을 사용하여 완료할 수 없습니다.

CISA에서 공개 키 인증서를 가져옵니다.
서비스 주체(애플리케이션 등록)를 만듭니다.
애플리케이션 등록에 공개 키 인증서를 추가합니다.
Event Hubs 네임스페이스 범위에서 애플리케이션에 Azure Event Hubs 데이터 수신기 역할을 할당합니다.
Azure 테넌트 ID, 애플리케이션(클라이언트) ID, 이벤트 허브 네임스페이스 이름, 이벤트 허브 이름 및 소비자 그룹 이름을 CISA로 전송하여 피드를 활성화합니다.

참가자

Microsoft에서 이 문서를 유지 관리합니다. 원래 다음 기여자가 작성했습니다.

보안 주체 작성자:

Paul Lizer | 선임 클라우드 솔루션 설계자

기타 기여자:

Mick Alberts | 테크니컬 라이터

비공개 LinkedIn 프로필을 보려면 LinkedIn에 로그인하세요.

다음을 통해 공유

TIC 3.0 규정 준수 구현