Implementera TIC 3.0-efterlevnad

Azure Firewall

Azure Application Gateway

Azure Front Door

Azure Log Analytics

Azure Event Hubs

Den här artikeln beskriver hur du uppnår TIC 3.0-efterlevnad (Trusted Internet Anslut ions) för Internetuppkopplade Azure-program och -tjänster. Den tillhandahåller lösningar och resurser som hjälper myndigheter att uppfylla TIC 3.0-efterlevnad. Den beskriver också hur du distribuerar nödvändiga tillgångar och hur du införlivar lösningarna i befintliga system.

Kommentar

Microsoft tillhandahåller denna information till FCEB-avdelningar (Federal Civil Executive Branch) som en del av en föreslagen konfiguration för att underlätta deltagandet i CISA-funktionen (Cybersecurity and Infrastructure Security Agency) Cloud Log Aggregation Warehouse (CLAW). De föreslagna konfigurationerna underhålls av Microsoft och kan komma att ändras.

Arkitektur

Ladda ned en Visio-fil med den här arkitekturen.

Dataflöde

Brandvägg
- Brandväggen kan vara valfri layer 3- eller layer 7-brandvägg.
  - Azure Firewall och vissa brandväggar från tredje part, även kallade virtuella nätverksinstallationer (NVA) är layer 3-brandväggar.
  - Azure Application Gateway med Web Application Firewall (WAF) och Azure Front Door med WAF är brandväggar på nivå 7.
  - Den här artikeln innehåller distributionslösningar för Azure Firewall, Application Gateway med WAF och Azure Front Door med WAF-distributioner.
- Brandväggen tillämpar principer, samlar in mått och loggar anslutningstransaktioner mellan webbtjänster och de användare och tjänster som har åtkomst till webbtjänsterna.
Brandväggsloggar
- Azure Firewall, Application Gateway med WAF och Azure Front Door med WAF skickar loggar till Log Analytics-arbetsytan.
- Brandväggar från tredje part skickar loggar i Syslog-format till Log Analytics-arbetsytan via en virtuell Syslog-vidarebefordrare.
Log Analytics-arbetsyta
- Log Analytics-arbetsytan är en lagringsplats för loggar.
- Den kan vara värd för en tjänst som tillhandahåller anpassad analys av nätverkstrafikdata från brandväggen.
Tjänstens huvudnamn (registrerat program)
Azure Event Hubs Standard
CISA TALON

Komponenter

Brandvägg. Arkitekturen använder en eller flera av följande brandväggar. (Mer information finns i Alternativavsnittet i den här artikeln.)
- Azure Firewall är en molnbaserad, intelligent nätverksbrandväggssäkerhetstjänst som ger förbättrat skydd mot hot för molnarbetsbelastningar som körs i Azure. Det är en helt tillståndskänslig brandvägg som en tjänst med inbyggd hög tillgänglighet och obegränsad molnskalbarhet. Den är tillgänglig på två prestandanivåer: Standard och Premium. Azure Firewall Premium innehåller alla funktioner i Azure Firewall Standard och innehåller ytterligare funktioner som TLS-inspektion (Transport Layer Security) och ett system för intrångsidentifiering och skydd (IDPS).
- Application Gateway med WAF är en regional lastbalanserare för webbtrafik som gör att du kan hantera trafik till dina webbprogram. WAF ger förbättrat centraliserat skydd av dina webbprogram mot vanliga sårbarheter och sårbarheter.
- Azure Front Door med WAF är en global lastbalanserare för webbtrafik som gör att du kan hantera trafik till dina webbprogram. Den tillhandahåller funktioner för innehållsleveransnätverk (CDN) för att påskynda och modernisera dina program. WAF ger förbättrat centraliserat skydd av dina webbprogram mot vanliga sårbarheter och sårbarheter.
- En brandvägg från tredje part är en NVA som körs på en virtuell Azure-dator och som använder brandväggstjänster från icke-Microsoft-leverantörer. Microsoft har stöd för ett stort ekosystem med tredjepartsleverantörer som tillhandahåller brandväggstjänster.
Loggning och autentisering.
- Log Analytics är ett verktyg som är tillgängligt i Azure-portalen som du kan använda för att redigera och köra loggfrågor mot Azure Monitor-loggar. Mer information finns i Översikt över Log Analytics i Azure Monitor.
- Azure Monitor är en omfattande lösning för att samla in, analysera och agera på telemetri.
- Microsoft Entra ID tillhandahåller identitetstjänster, enkel inloggning och multifaktorautentisering i Azure-arbetsbelastningar.
- Ett huvudnamn för tjänsten (registrerat program) är en entitet som definierar åtkomstprincipen och behörigheterna för en användare eller ett program i en Microsoft Entra-klientorganisation.
- Event Hubs Standard är en modern plattform för stordataströmning och händelseinmatning.
- CISA TALON är en CISA-hanterad tjänst som körs på Azure. TALON ansluter till din Event Hubs-tjänst, autentiserar med hjälp av ett CISA-certifikat som är associerat med tjänstens huvudnamn och samlar in loggar för CLAW-förbrukning.

Alternativ

Det finns några alternativ som du kan använda i dessa lösningar:

Du kan dela upp logginsamlingen i ansvarsområden. Du kan till exempel skicka Microsoft Entra-loggar till en Log Analytics-arbetsyta som hanteras av identitetsteamet och skicka nätverksloggar till en annan Log Analytics-arbetsyta som hanteras av nätverksteamet.
Exemplen i den här artikeln använder var och en en brandvägg, men vissa organisatoriska krav eller arkitekturer kräver två eller flera. En arkitektur kan till exempel innehålla en Azure Firewall-instans och en Application Gateway-instans med WAF. Loggar för varje brandvägg måste samlas in och göras tillgängliga för CISA TALON att samla in.
Om din miljö kräver utgående Internet från Azure-baserade virtuella datorer kan du använda en layer 3-lösning som Azure Firewall eller en brandvägg från tredje part för att övervaka och logga utgående trafik.

Information om scenario

TIC 3.0 flyttar TIC från lokal datainsamling till en molnbaserad metod som bättre stöder moderna program och system. Det förbättrar prestanda eftersom du kan komma åt Azure-program direkt. Med TIC 2.x måste du komma åt Azure-program via en MTIPS-enhet (TIC 2.x Managed Trusted Internet Protocol Service), vilket gör svaret långsammare.

Routning av programtrafik via en brandvägg och loggning av att trafik är kärnfunktionerna som visas i lösningarna som presenteras här. Brandväggen kan vara Azure Firewall, Azure Front Door med WAF, Application Gateway med WAF eller en NVA från tredje part. Brandväggen hjälper till att skydda molnperimetern och sparar loggar för varje transaktion. Oberoende av brandväggslagret kräver loggsamlings- och leveranslösningen en Log Analytics-arbetsyta, ett registrerat program och en händelsehubb. Log Analytics-arbetsytan skickar loggar till händelsehubben.

CLAW är en CISA-hanterad tjänst. I slutet av 2022 släppte CISA TALON. TALON är en CISA-hanterad tjänst som använder inbyggda Azure-funktioner. En instans av TALON körs i varje Azure-region. TALON ansluter till händelsehubbar som hanteras av myndigheter för att hämta agenturens brandvägg och Microsoft Entra-loggar till CISA CLAW.

Mer information om CLAW, TIC 3.0 och MTIPS finns i:

Potentiella användningsfall

TIC 3.0-efterlevnadslösningar används ofta av federala organisationer och myndigheter för deras Azure-baserade webbprogram och API-tjänster.

Att tänka på

Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som du kan använda för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.

Utvärdera din aktuella arkitektur för att avgöra vilka av lösningarna som presenteras här som den bästa metoden för TIC 3.0-efterlevnad.
Kontakta din CISA-representant för att begära åtkomst till CLAW.
Använd knapparna Distribuera till Azure i den här artikeln för att distribuera en eller flera av lösningarna i en testmiljö. Detta bör hjälpa dig att bekanta dig med processen och de distribuerade resurserna.
Se TIC 3.0-efterlevnad för internetanslutna program, en kompletterande artikel som innehåller mer information och tillgångar för TIC 3.0:
- Ytterligare information om hur du uppnår efterlevnad.
- ARM-mallar för att förenkla distributionen.
- Information som hjälper dig att integrera befintliga resurser i lösningen.
- De typer av loggar som samlas in för varje tjänstlager och Kusto-frågor för granskning av loggar som samlas in av CISA. Du kan använda frågorna för organisationens säkerhetskrav.

Tillförlitlighet

Tillförlitlighet säkerställer att ditt program kan uppfylla de åtaganden du gör gentemot dina kunder. Mer information finns i Översikt över tillförlitlighetspelare.

Azure Firewall Standard och Premium integreras med tillgänglighetszoner för att öka tillgängligheten.
Application Gateway v2 stöder automatisk skalning och tillgänglighetszoner för att öka tillförlitligheten.
Implementeringar i flera regioner som omfattar belastningsutjämningstjänster som Azure Front Door kan förbättra tillförlitligheten och motståndskraften.
Event Hubs Standard och Premium tillhandahåller geo-haveriberedskapspar som gör att ett namnområde kan redundansväxla till en sekundär region.

Säkerhet

Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i Översikt över säkerhetspelare.

När du registrerar ett företagsprogram skapas ett huvudnamn för tjänsten. Använd ett namngivningsschema för tjänstens huvudnamn som anger syftet med var och en.
Utför granskningar för att fastställa aktiviteten för tjänstens huvudnamn och statusen för tjänstens huvudnamnsägare.
Azure Firewall har standardprinciper. WAFs som är associerade med Application Gateway och Azure Front Door har hanterade regeluppsättningar för att skydda din webbtjänst. Börja med dessa regeluppsättningar och skapa organisationsprinciper över tid baserat på branschkrav, bästa praxis och myndighetsregler.
Åtkomst till Event Hubs auktoriseras via Microsoft Entra-hanterade identiteter och ett certifikat som tillhandahålls av CISA.

Kostnadsoptimering

Kostnadsoptimering handlar om att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i Översikt över kostnadsoptimeringspelare.

Kostnaden för varje lösning skalas ned när resurserna ökar. Prissättningen i det här exemplet på Azure-priskalkylatorn baseras på Azure Firewall-lösningen. Om du ändrar konfigurationen kan kostnaderna öka. Med vissa planer ökar kostnaderna i takt med att antalet inmatade loggar ökar.

Kommentar

Använd Priskalkylatorn för Azure för att få uppdaterade priser som baseras på de resurser som distribueras för den valda lösningen.

Driftsäkerhet

Driftskvalitet omfattar de driftsprocesser som distribuerar ett program och håller det igång i produktion. Mer information finns i Översikt över grundpelare för driftskvalitet.

Azure Monitor-aviseringar är inbyggda i lösningarna för att meddela dig när en uppladdning misslyckas med att leverera loggar till CLAW. Du måste fastställa allvarlighetsgraden för aviseringarna och hur du ska svara.
Du kan använda ARM-mallar för att påskynda distributionen av TIC 3.0-arkitekturer för nya program.

Prestandaeffektivitet

Prestandaeffektivitet handlar om att effektivt skala arbetsbelastningen baserat på användarnas behov. Mer information finns i Översikt över grundpelare för prestandaeffektivitet.

Prestanda för Azure Firewall, Application Gateway, Azure Front Door och Event Hubs skalas när användningen ökar.
Azure Firewall Premium tillåter fler TCP-anslutningar än Standard och ger ökad bandbredd.
Application Gateway v2 säkerställer automatiskt att nya instanser sprids över feldomäner och uppdateringsdomäner.
Azure Front Door tillhandahåller cachelagring, komprimering, trafikacceleration och TLS-avslutning för att förbättra prestanda.
Event Hubs Standard och Premium ger automatisk uppskalning när belastningen ökar.

Distribuera en Azure Firewall-lösning

Följande lösning använder Azure Firewall för att hantera trafik som kommer in i din Azure-programmiljö. Lösningen innehåller alla resurser för att generera, samla in och leverera loggar till CLAW. Den innehåller också en apptjänst för att spåra de typer av telemetri som samlas in av brandväggen.

Lösningen innehåller:

Ett virtuellt nätverk som har separata undernät för brandväggen och servrarna.
En Log Analytics-arbetsyta.
Azure Firewall med en nätverksprincip för internetåtkomst.
Diagnostikinställningar för Azure Firewall som skickar loggar till Log Analytics-arbetsytan.
En routningstabell som är associerad med programresursgruppen för att dirigera apptjänsten till brandväggen för loggarna som genereras.
Ett registrerat program.
En händelsehubb.
En aviseringsregel som skickar ett e-postmeddelande om ett jobb misslyckas.

För enkelhetens skull distribueras alla resurser till en enda prenumeration och ett virtuellt nätverk. Du kan distribuera resurserna i valfri kombination av resursgrupper eller i flera virtuella nätverk.

Uppgifter efter distributionen

Efter distributionen utför din miljö brandväggsfunktionerna och loggningsanslutningarna. För att uppfylla efterlevnaden av TIC 3.0-principer för insamling av nätverkstelemetri måste du se till att loggarna tar sig till CISA CLAW. Stegen efter distributionen slutför uppgifterna för att aktivera efterlevnad. För att slutföra de här stegen måste du samordna med CISA eftersom CISA måste ange ett certifikat som ska associeras med tjänstens huvudnamn. Stegvis information finns i Uppgifter efter distribution.

Du måste utföra följande uppgifter manuellt efter distributionen. Du kan inte slutföra dem med hjälp av en ARM-mall.

Hämta ett offentligt nyckelcertifikat från CISA.
Skapa ett huvudnamn för tjänsten (programregistrering).
Lägg till certifikatet för offentlig nyckel i programregistreringen.
Tilldela programmet rollen Azure Event Hubs Data Receiver i Event Hubs-namnområdesomfånget.
Aktivera flödet genom att skicka Azure-klientorganisations-ID, program-ID (klient)-ID, namn på händelsehubbnamn, händelsehubbnamn och konsumentgruppsnamn till CISA.

Distribuera en lösning som använder Application Gateway med WAF

Följande lösning använder Application Gateway med WAF för att hantera trafik som kommer in i din Azure-programmiljö. Lösningen innehåller alla resurser för att generera, samla in och leverera loggar till CLAW. Den innehåller också en apptjänst för att spåra de typer av telemetri som samlas in av brandväggen.

Lösningen innehåller:

Ett virtuellt nätverk som har separata undernät för brandväggen och servrarna.
En Log Analytics-arbetsyta.
En Application Gateway v2-instans med WAF. WAF har konfigurerats med robot- och Microsoft-hanterade principer.
Diagnostikinställningar för Application Gateway v2 som skickar loggar till Log Analytics-arbetsytan.
Ett registrerat program.
En händelsehubb.
En aviseringsregel som skickar ett e-postmeddelande om ett jobb misslyckas.

Uppgifter efter distributionen

Du måste utföra följande uppgifter manuellt efter distributionen. Du kan inte slutföra dem med hjälp av en ARM-mall.

Hämta ett offentligt nyckelcertifikat från CISA.
Skapa ett huvudnamn för tjänsten (programregistrering).
Lägg till certifikatet för offentlig nyckel i programregistreringen.
Tilldela programmet rollen Azure Event Hubs Data Receiver i Event Hubs-namnområdesomfånget.
Aktivera flödet genom att skicka Azure-klientorganisations-ID, program-ID (klient)-ID, namn på händelsehubbnamn, händelsehubbnamn och konsumentgruppsnamn till CISA.

Distribuera en lösning som använder Azure Front Door med WAF

Följande lösning använder Azure Front Door med WAF för att hantera trafik som kommer in i din Azure-programmiljö. Lösningen innehåller alla resurser för att generera, samla in och leverera loggar till CLAW. Den innehåller också en apptjänst för att spåra de typer av telemetri som samlas in av brandväggen.

Lösningen innehåller:

Ett virtuellt nätverk som har separata undernät för brandväggen och servrarna.
En Log Analytics-arbetsyta.
En Azure Front Door-instans med WAF. WAF har konfigurerats med robot- och Microsoft-hanterade principer.
Diagnostikinställningar för Azure Front Door som skickar loggar till Log Analytics-arbetsytan.
Ett registrerat program.
En händelsehubb.
En aviseringsregel som skickar ett e-postmeddelande om ett jobb misslyckas.

Uppgifter efter distributionen

Du måste utföra följande uppgifter manuellt efter distributionen. Du kan inte slutföra dem med hjälp av en ARM-mall.

Hämta ett offentligt nyckelcertifikat från CISA.
Skapa ett huvudnamn för tjänsten (programregistrering).
Lägg till certifikatet för offentlig nyckel i programregistreringen.
Tilldela programmet rollen Azure Event Hubs Data Receiver i Event Hubs-namnområdesomfånget.
Aktivera flödet genom att skicka Azure-klientorganisations-ID, program-ID (klient)-ID, namn på händelsehubbnamn, händelsehubbnamn och konsumentgruppsnamn till CISA.

Brandväggslösning från tredje part (NVA)

Kommentar

Distributionsresurser tillhandahålls inte för den här lösningen. Det ingår bara för att ge vägledning.

Följande lösning visar hur du kan använda en brandvägg från tredje part för att hantera trafik som kommer in i din Azure-programmiljö och implementera TIC 3.0-efterlevnad. Brandväggar från tredje part kräver användning av en virtuell Syslog-vidarebefordrare. Dess agenter måste registreras med Log Analytics-arbetsytan. Brandväggen från tredje part har konfigurerats för att exportera loggarna i Syslog-format till den virtuella datorn Syslog-vidarebefordraren. Agenten är konfigurerad för att skicka loggarna till Log Analytics-arbetsytan. När loggarna finns på Log Analytics-arbetsytan skickas de till Event Hubs och bearbetas som de är i de andra lösningarna som beskrivs i den här artikeln.

Uppgifter efter distributionen

Du måste utföra följande uppgifter manuellt efter distributionen. Du kan inte slutföra dem med hjälp av en ARM-mall.

Hämta ett offentligt nyckelcertifikat från CISA.
Skapa ett huvudnamn för tjänsten (programregistrering).
Lägg till certifikatet för offentlig nyckel i programregistreringen.
Tilldela programmet rollen Azure Event Hubs Data Receiver i Event Hubs-namnområdesomfånget.
Aktivera flödet genom att skicka Azure-klientorganisations-ID, program-ID (klient)-ID, namn på händelsehubbnamn, händelsehubbnamn och konsumentgruppsnamn till CISA.

Deltagare

Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.

Huvudförfattare:

Paul Lizer | Senior Cloud Solution Architect

Annan deltagare:

Mick Alberts | Teknisk författare

Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.

Dela via

Implementera TIC 3.0-efterlevnad