Naleving van TIC 3.0 implementeren

Azure Firewall

Azure Application Gateway

Azure Front Door

Azure Log Analytics

Azure Event Hubs

In dit artikel wordt beschreven hoe u naleving van vertrouwde internetverbindingen (TIC) 3.0 kunt bereiken voor internetgerichte Azure-toepassingen en -services. Het biedt oplossingen en bronnen om overheidsorganisaties te helpen voldoen aan TIC 3.0-naleving. Ook wordt beschreven hoe u de vereiste assets implementeert en hoe u de oplossingen in bestaande systemen kunt opnemen.

Notitie

Microsoft biedt deze informatie aan afdelingen en agentschappen van de Federal Civilian Executive Branch (FCEB) als onderdeel van een voorgestelde configuratie om deelname aan de functie Cybersecurity and Infrastructure Security Agency (CISA) Cloud Log Aggregation Warehouse (CLAW) te vergemakkelijken. De voorgestelde configuraties worden onderhouden door Microsoft en kunnen worden gewijzigd.

Architectuur

Een Visio-bestand van deze architectuur downloaden.

Gegevensstroom

Firewall
- De firewall kan elke firewall van laag 3 of laag 7 zijn.
  - Azure Firewall en sommige firewalls van derden, ook wel NVA's (Network Virtual Appliances) genoemd, zijn laag 3 firewalls.
  - Azure-toepassing Gateway met Web Application Firewall (WAF) en Azure Front Door met WAF zijn firewalls van laag 7.
  - Dit artikel bevat implementatieoplossingen voor Azure Firewall, Application Gateway met WAF en Azure Front Door met WAF-implementaties.
- De firewall dwingt beleidsregels af, verzamelt metrische gegevens en registreert verbindingstransacties tussen webservices en de gebruikers en services die toegang hebben tot de webservices.
Firewalllogboeken
- Azure Firewall, Application Gateway met WAF en Azure Front Door met WAF verzenden logboeken naar de Log Analytics-werkruimte.
- Firewalls van derden verzenden logboeken in syslog-indeling naar de Log Analytics-werkruimte via een virtuele machine van de Syslog-doorstuurserver.
Log Analytics-werkruimte
- De Log Analytics-werkruimte is een opslagplaats voor logboeken.
- Het kan een service hosten die aangepaste analyse biedt van de netwerkverkeersgegevens van de firewall.
Service-principal (geregistreerde toepassing)
Azure Event Hubs Standard
CISA TALON

Onderdelen

Firewall. Uw architectuur gebruikt een of meer van de volgende firewalls. (Zie voor meer informatie de Sectie Alternatieven van dit artikel.)
- Azure Firewall is een cloudeigen, intelligente netwerkfirewallbeveiligingsservice die verbeterde bedreigingsbeveiliging biedt voor cloudworkloads die worden uitgevoerd in Azure. Het is een volledige stateful firewall als een service met ingebouwde hoge beschikbaarheid en onbeperkte cloudschaalbaarheid. Deze is beschikbaar in twee prestatielagen: Standard en Premium. Azure Firewall Premium bevat alle functionaliteit van Azure Firewall Standard en biedt aanvullende functies zoals TLS-inspectie (Transport Layer Security) en een inbraakdetectie- en preventiesysteem (IDPS).
- Application Gateway met WAF is een load balancer voor regionaal webverkeer waarmee u verkeer naar uw webtoepassingen kunt beheren. WAF biedt verbeterde gecentraliseerde beveiliging van uw webtoepassingen tegen veelvoorkomende aanvallen en beveiligingsproblemen.
- Azure Front Door met WAF is een wereldwijde load balancer voor webverkeer waarmee u verkeer naar uw webtoepassingen kunt beheren. Het biedt mogelijkheden voor contentleveringsnetwerk (CDN) om uw toepassingen sneller te versnellen en te moderniseren. WAF biedt verbeterde gecentraliseerde beveiliging van uw webtoepassingen tegen veelvoorkomende aanvallen en beveiligingsproblemen.
- Een firewall van derden is een NVA die wordt uitgevoerd op een virtuele Azure-machine en firewallservices van niet-Microsoft-leveranciers gebruikt. Microsoft ondersteunt een groot ecosysteem van externe leveranciers die firewallservices bieden.
Logboekregistratie en verificatie.
- Log Analytics is een hulpprogramma dat beschikbaar is in Azure Portal waarmee u logboekquery's kunt bewerken en uitvoeren op Azure Monitor-logboeken. Zie Overzicht van Log Analytics in Azure Monitor voor meer informatie.
- Azure Monitor is een uitgebreide oplossing voor het verzamelen, analyseren en uitvoeren van telemetrie.
- Microsoft Entra ID biedt identiteitsservices, eenmalige aanmelding en meervoudige verificatie in Azure-workloads.
- Een service-principal (geregistreerde toepassing) is een entiteit die het toegangsbeleid en de machtigingen voor een gebruiker of toepassing in een Microsoft Entra-tenant definieert.
- Event Hubs Standard is een modern streamingplatform voor big data en een service voor gebeurtenisopname.
- CISA TALON is een door CISA beheerde service die wordt uitgevoerd in Azure. TALON maakt verbinding met uw Event Hubs-service, verifieert met behulp van een door CISA geleverd certificaat dat is gekoppeld aan uw service-principal en verzamelt logboeken voor CLAW-verbruik.

Alternatieven

Er zijn enkele alternatieven die u in deze oplossingen kunt gebruiken:

U kunt logboekverzameling scheiden in gebieden van verantwoordelijkheid. U kunt bijvoorbeeld Microsoft Entra-logboeken verzenden naar een Log Analytics-werkruimte die wordt beheerd door het identiteitsteam en netwerklogboeken verzenden naar een andere Log Analytics-werkruimte die wordt beheerd door het netwerkteam.
In de voorbeelden in dit artikel wordt elk één firewall gebruikt, maar voor sommige organisatievereisten of architecturen zijn twee of meer vereisten vereist. Een architectuur kan bijvoorbeeld een Azure Firewall-exemplaar en een Application Gateway-exemplaar met WAF bevatten. Logboeken voor elke firewall moeten worden verzameld en beschikbaar worden gesteld om CISA TALON te kunnen verzamelen.
Als uw omgeving internetuitgang van virtuele Azure-machines vereist, kunt u een laag 3-oplossing zoals Azure Firewall of een firewall van derden gebruiken om het uitgaande verkeer te bewaken en te registreren.

Scenariodetails

TIC 3.0 verplaatst TIC van on-premises gegevensverzameling naar een cloudbenadering die moderne toepassingen en systemen beter ondersteunt. Dit verbetert de prestaties omdat u rechtstreeks toegang hebt tot Azure-toepassingen. Met TIC 2.x moet u toegang krijgen tot Azure-toepassingen via een TIC 2.x MTIPS-apparaat (Managed Trusted Internet Protocol Service), waardoor het antwoord wordt vertraagd.

Toepassingsverkeer routeren via een firewall en logboekregistratie dat verkeer de kernfunctionaliteit is die wordt gedemonstreerd in de oplossingen die hier worden gepresenteerd. De firewall kan Azure Firewall, Azure Front Door zijn met WAF, Application Gateway met WAF of een NVA van derden. De firewall helpt bij het beveiligen van de cloudperimeter en slaat logboeken van elke transactie op. Los van de firewalllaag vereist de oplossing voor het verzamelen en leveren van logboeken een Log Analytics-werkruimte, een geregistreerde toepassing en een Event Hub. De Log Analytics-werkruimte verzendt logboeken naar de Event Hub.

CLAW is een door CISA beheerde service. Eind 2022 bracht CISA TALON uit. TALON is een door CISA beheerde service die gebruikmaakt van systeemeigen mogelijkheden van Azure. Een exemplaar van TALON wordt uitgevoerd in elke Azure-regio. TALON maakt verbinding met Event Hubs die worden beheerd door overheidsinstanties om de firewall van het agentschap en Microsoft Entra-logboeken op te halen in CISA CLAW.

Zie voor meer informatie over CLAW, TIC 3.0 en MTIPS:

Potentiële gebruikscases

TIC 3.0-nalevingsoplossingen worden vaak gebruikt door federale organisaties en overheidsinstanties voor hun op Azure gebaseerde webtoepassingen en API-services.

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die u kunt gebruiken om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Evalueer uw huidige architectuur om te bepalen welke van de hier gepresenteerde oplossingen de beste benadering biedt voor TIC 3.0-naleving.
Neem contact op met uw CISA-vertegenwoordiger om toegang tot CLAW aan te vragen.
Gebruik de knoppen Implementeren in Azure in dit artikel om een of meer van de oplossingen in een testomgeving te implementeren. Dit moet u helpen vertrouwd te raken met het proces en de geïmplementeerde resources.
Zie TIC 3.0-naleving voor internetgerichte toepassingen, een aanvullend artikel met meer informatie en assets voor TIC 3.0:
- Aanvullende informatie over het bereiken van naleving.
- ARM-sjablonen om de implementatie te vereenvoudigen.
- Informatie voor het integreren van bestaande resources in de oplossing.
- De typen logboeken die worden verzameld voor elke servicelaag en Kusto-query's voor het controleren van logboeken die zijn verzameld door CISA. U kunt de query's gebruiken voor de beveiligingsvereisten van uw organisatie.

Betrouwbaarheid

Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie Overzicht van de betrouwbaarheidspijler voor meer informatie.

Azure Firewall Standard en Premium kunnen worden geïntegreerd met beschikbaarheidszones om de beschikbaarheid te vergroten.
Application Gateway v2 ondersteunt automatisch schalen en beschikbaarheidszones om de betrouwbaarheid te verhogen.
Implementaties in meerdere regio's met taakverdelingsservices zoals Azure Front Door kunnen de betrouwbaarheid en tolerantie verbeteren.
Event Hubs Standard en Premium bieden koppelen voor geo-noodherstel waarmee een naamruimte een failover naar een secundaire regio kan uitvoeren.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.

Wanneer u een bedrijfstoepassing registreert, wordt er een service-principal gemaakt. Gebruik een naamgevingsschema voor service-principals die het doel van elke principal aangeeft.
Voer controles uit om de activiteit van service-principals en de status van eigenaren van service-principals te bepalen.
Azure Firewall heeft standaardbeleid. WAF's die zijn gekoppeld aan Application Gateway en Azure Front Door hebben beheerde regelsets om uw webservice te beveiligen. Begin met deze regelsets en bouw organisatiebeleid in de loop van de tijd op basis van branchevereisten, best practices en overheidsvoorschriften.
Event Hubs-toegang is geautoriseerd via door Microsoft Entra beheerde identiteiten en een certificaat dat wordt geleverd door CISA.

Kostenoptimalisatie

Kostenoptimalisatie gaat over het verminderen van onnodige uitgaven en het verbeteren van operationele efficiëntie. Zie Overzicht van de pijler kostenoptimalisatie voor meer informatie.

De kosten van elke oplossing worden omlaag geschaald naarmate de resources toenemen. De prijzen in dit voorbeeldscenario van de Azure-prijscalculator zijn gebaseerd op de Azure Firewall-oplossing. Als u de configuratie wijzigt, kunnen de kosten toenemen. Bij sommige abonnementen nemen de kosten toe naarmate het aantal opgenomen logboeken toeneemt.

Notitie

Gebruik de Azure-prijscalculator om actuele prijzen op te halen die zijn gebaseerd op de resources die zijn geïmplementeerd voor de geselecteerde oplossing.

Operationele uitmuntendheid

Operationele uitmuntendheid omvat de operationele processen die een toepassing implementeren en deze in productie houden. Zie Overzicht van de operationele uitmuntendheidpijler voor meer informatie.

Azure Monitor-waarschuwingen zijn ingebouwd in de oplossingen om u op de hoogte te stellen wanneer het uploaden van logboeken niet kan worden geleverd aan CLAW. U moet de ernst van de waarschuwingen bepalen en hoe u moet reageren.
U kunt ARM-sjablonen gebruiken om de implementatie van TIC 3.0-architecturen voor nieuwe toepassingen te versnellen.

Prestatie-efficiëntie

Prestatie-efficiëntie is de mogelijkheid om op efficiënte wijze uw werkbelasting te schalen om te voldoen aan de vereisten die gebruikers eraan stellen. Zie overzicht van de pijler Prestatie-efficiëntie voor meer informatie.

Prestaties van Azure Firewall, Application Gateway, Azure Front Door en Event Hubs worden geschaald naarmate het gebruik toeneemt.
Azure Firewall Premium staat meer TCP-verbindingen toe dan Standard en biedt meer bandbreedte.
Application Gateway v2 zorgt er automatisch voor dat nieuwe exemplaren worden verdeeld over foutdomeinen en updatedomeinen.
Azure Front Door biedt caching, compressie, verkeersversnelling en TLS-beëindiging om de prestaties te verbeteren.
Event Hubs Standard en Premium bieden automatisch vergroten om omhoog te schalen naarmate de belasting toeneemt.

Een Azure Firewall-oplossing implementeren

De volgende oplossing maakt gebruik van Azure Firewall om verkeer in uw Azure-toepassingsomgeving te beheren. De oplossing bevat alle resources voor het genereren, verzamelen en leveren van logboeken aan CLAW. Het bevat ook een app-service om de typen telemetrie bij te houden die door de firewall worden verzameld.

De oplossing omvat:

Een virtueel netwerk met afzonderlijke subnetten voor de firewall en servers.
Een Log Analytics-werkruimte.
Azure Firewall met een netwerkbeleid voor internettoegang.
Diagnostische instellingen van Azure Firewall waarmee logboeken naar de Log Analytics-werkruimte worden verzonden.
Een routetabel die is gekoppeld aan de resourcegroep van de toepassing om de app-service naar de firewall te routeren voor de logboeken die worden gegenereerd.
Een geregistreerde toepassing.
Een Event Hub.
Een waarschuwingsregel waarmee een e-mailbericht wordt verzonden als een taak mislukt.

Om het eenvoudig te houden, worden alle resources geïmplementeerd in één abonnement en virtueel netwerk. U kunt de resources in elke combinatie van resourcegroepen of in meerdere virtuele netwerken implementeren.

Taken na implementatie

Na de implementatie voert uw omgeving de firewallmogelijkheden en logboekregistratieverbindingen uit. Als u wilt voldoen aan het TIC 3.0-beleid voor netwerktelemetrieverzameling, moet u ervoor zorgen dat de logboeken deze naar CISA CLAW maken. Met de stappen na de implementatie worden de taken voltooid om naleving in te schakelen. Als u deze stappen wilt uitvoeren, moet u samenwerken met CISA, omdat CISA een certificaat moet opgeven om aan uw service-principal te koppelen. Zie Taken na de implementatie voor stapsgewijze informatie.

U moet de volgende taken na de implementatie handmatig uitvoeren. U kunt ze niet voltooien met behulp van een ARM-sjabloon.

Haal een openbaar sleutelcertificaat op van CISA.
Een service-principal maken (toepassingsregistratie).
Voeg het certificaat van de openbare sleutel toe aan de toepassingsregistratie.
Wijs de toepassing toe aan de rol Azure Event Hubs-gegevensontvanger in het bereik van de Event Hubs-naamruimte.
Activeer de feed door de Azure-tenant-id, toepassings-id (client), naamruimtenaam van event hub, event hub-naam en naam van consumentengroep naar CISA te verzenden.

Een oplossing implementeren die gebruikmaakt van Application Gateway met WAF

De volgende oplossing maakt gebruik van Application Gateway met WAF om verkeer in uw Azure-toepassingsomgeving te beheren. De oplossing bevat alle resources voor het genereren, verzamelen en leveren van logboeken aan CLAW. Het bevat ook een app-service om de typen telemetrie bij te houden die door de firewall worden verzameld.

De oplossing omvat:

Een virtueel netwerk met afzonderlijke subnetten voor de firewall en servers.
Een Log Analytics-werkruimte.
Een Application Gateway v2-exemplaar met WAF. De WAF is geconfigureerd met bot en door Microsoft beheerd beleid.
Diagnostische instellingen van Application Gateway v2 waarmee logboeken worden verzonden naar de Log Analytics-werkruimte.
Een geregistreerde toepassing.
Een Event Hub.
Een waarschuwingsregel waarmee een e-mailbericht wordt verzonden als een taak mislukt.

Taken na implementatie

U moet de volgende taken na de implementatie handmatig uitvoeren. U kunt ze niet voltooien met behulp van een ARM-sjabloon.

Haal een openbaar sleutelcertificaat op van CISA.
Een service-principal maken (toepassingsregistratie).
Voeg het certificaat van de openbare sleutel toe aan de toepassingsregistratie.
Wijs de toepassing toe aan de rol Azure Event Hubs-gegevensontvanger in het bereik van de Event Hubs-naamruimte.
Activeer de feed door de Azure-tenant-id, toepassings-id (client), naamruimtenaam van event hub, event hub-naam en naam van consumentengroep naar CISA te verzenden.

Een oplossing implementeren die gebruikmaakt van Azure Front Door met WAF

De volgende oplossing maakt gebruik van Azure Front Door met WAF voor het beheren van verkeer dat uw Azure-toepassingsomgeving binnenkomt. De oplossing bevat alle resources voor het genereren, verzamelen en leveren van logboeken aan CLAW. Het bevat ook een app-service om de typen telemetrie bij te houden die door de firewall worden verzameld.

De oplossing omvat:

Een virtueel netwerk met afzonderlijke subnetten voor de firewall en servers.
Een Log Analytics-werkruimte.
Een Azure Front Door-exemplaar met WAF. De WAF is geconfigureerd met bot en door Microsoft beheerd beleid.
Diagnostische instellingen van Azure Front Door waarmee logboeken naar de Log Analytics-werkruimte worden verzonden.
Een geregistreerde toepassing.
Een Event Hub.
Een waarschuwingsregel waarmee een e-mailbericht wordt verzonden als een taak mislukt.

Taken na implementatie

U moet de volgende taken na de implementatie handmatig uitvoeren. U kunt ze niet voltooien met behulp van een ARM-sjabloon.

Haal een openbaar sleutelcertificaat op van CISA.
Een service-principal maken (toepassingsregistratie).
Voeg het certificaat van de openbare sleutel toe aan de toepassingsregistratie.
Wijs de toepassing toe aan de rol Azure Event Hubs-gegevensontvanger in het bereik van de Event Hubs-naamruimte.
Activeer de feed door de Azure-tenant-id, toepassings-id (client), naamruimtenaam van event hub, event hub-naam en naam van consumentengroep naar CISA te verzenden.

NVA-oplossing (Third-Party Firewall)

Notitie

Implementatiebronnen worden niet geleverd voor deze oplossing. Het is alleen inbegrepen om richtlijnen te bieden.

De volgende oplossing illustreert hoe u een firewall van derden kunt gebruiken om verkeer te beheren dat uw Azure-toepassingsomgeving binnenkomt en naleving van TIC 3.0 implementeert. Firewalls van derden vereisen het gebruik van een virtuele machine van de Syslog-doorstuurserver. De agents moeten worden geregistreerd bij de Log Analytics-werkruimte. De firewall van derden is geconfigureerd voor het exporteren van de logboeken in syslog-indeling naar de virtuele machine van de Syslog-doorstuurserver. De agent is geconfigureerd om de logboeken naar de Log Analytics-werkruimte te verzenden. Nadat de logboeken zich in de Log Analytics-werkruimte bevinden, worden ze verzonden naar Event Hubs en verwerkt zoals ze zich in de andere oplossingen bevinden die in dit artikel worden beschreven.

Taken na implementatie

U moet de volgende taken na de implementatie handmatig uitvoeren. U kunt ze niet voltooien met behulp van een ARM-sjabloon.

Haal een openbaar sleutelcertificaat op van CISA.
Een service-principal maken (toepassingsregistratie).
Voeg het certificaat van de openbare sleutel toe aan de toepassingsregistratie.
Wijs de toepassing toe aan de rol Azure Event Hubs-gegevensontvanger in het bereik van de Event Hubs-naamruimte.
Activeer de feed door de Azure-tenant-id, toepassings-id (client), naamruimtenaam van event hub, event hub-naam en naam van consumentengroep naar CISA te verzenden.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Hoofdauteur:

Paul Lizer | Senior Cloud Solution Architect

Andere inzender:

Mick Alberts | Technische schrijver

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Delen via

Naleving van TIC 3.0 implementeren