本文介绍如何为面向 Internet 的 Azure 应用程序和服务实现受信任 Internet 连接 (TIC) 3.0 合规性。 它提供了解决方案和资源,可帮助政府组织遵守 TIC 3.0 合规性。 它还将介绍如何部署所需资产,以及如何将解决方案合并到现有系统中。
注意
Microsoft 将此信息作为建议配置的一部分提供给联邦民事行政部门 (FCEB) 的相关部门和机构,以促进参与网络安全和基础结构安全局 (CISA) 的云日志聚合仓库 (CLAW) 功能。 建议的配置由 Microsoft 维护,并且可能会发生更改。
体系结构
下载此体系结构的 Visio 文件。
数据流
- 防火墙
- 防火墙可以是任何第 3 层或第 7 层防火墙。
- Azure 防火墙和某些第三方防火墙(也称为网络虚拟设备 (NVA))是第 3 层防火墙。
- 具有 Web 应用程序防火墙 (WAF) 的 Azure 应用程序网关和具有 WAF 的 Azure Front Door 是第 7 层防火墙。
- 本文针对 Azure 防火墙、具有 WAF 的应用程序网关以及具有 WAF 的 Azure Front Door 提供部署解决方案。
- 防火墙会强制实施策略、收集指标,以及记录 Web 服务与访问 Web 服务的用户和服务之间的连接事务。
- 防火墙可以是任何第 3 层或第 7 层防火墙。
- 防火墙日志
- Azure 防火墙、具有 WAF 的应用程序网关以及具有 WAF 的 Azure Front Door 会将日志发送到 Log Analytics 工作区。
- 第三方防火墙通过 Syslog 转发器虚拟机以 Syslog 格式将日志发送到 Log Analytics 工作区。
- Log Analytics 工作区
- Log Analytics 工作区是日志存储库。
- 它可以托管一项服务,这项服务可对来自防火墙的网络流量数据进行自定义分析。
- 服务主体(已注册的应用程序)
- Azure 事件中心标准层
- CISA TALON
组件
- 防火墙。 你的体系结构将使用以下一个或多个防火墙。 (有关详细信息,请参阅本文的替代方案部分。)
- Azure 防火墙是一种云原生的智能网络防火墙安全服务,用于为 Azure 中运行的云工作负载提供增强的威胁防护。 它是一个服务形式的完全有状态防火墙,具有内置的高可用性和不受限制的云可伸缩性。 它提供两个性能层:标准层和高级层。 Azure 防火墙高级层包括 Azure 防火墙标准层的所有功能,同时还提供其他功能,例如传输层安全性 (TLS) 检查以及入侵检测和防护系统 (IDPS)。
- 具有 WAF 的应用程序网关是一种区域性的 Web 流量负载均衡器,可用于管理 Web 应用程序的流量。 WAF 可在出现常见攻击和漏洞时为 Web 应用程序提供增强的集中保护。
- 具有 WAF 的 Azure Front Door 是一种全局性的 Web 流量负载均衡器,可用于管理 Web 应用程序的流量。 它提供内容分发网络 (CDN) 功能来加速和现代化你的应用程序。 WAF 可在出现常见攻击和漏洞时为 Web 应用程序提供增强的集中保护。
- 第三方防火墙是一种 NVA,它在 Azure 虚拟机上运行并使用非 Microsoft 供应商提供的防火墙服务。 Microsoft 支持提供防火墙服务的第三方供应商的大型生态系统。
- 日志记录和身份验证。
- Log Analytics 是 Azure 门户中提供的一款工具,用于编辑和针对 Azure Monitor 日志运行日志查询。 有关详细信息,请参阅 Azure Monitor 中的 Log Analytics 概述。
- Azure Monitor 是一个全面的解决方案,可用于收集、分析和使用遥测数据。
- Microsoft Entra ID 提供跨 Azure 工作负载提供标识服务、单一登录和多重身份验证。
- 服务主体(已注册的应用程序)是一个实体,用于定义 Microsoft Entra 租户中用户或应用程序的访问策略和权限。
- 事件中心标准层是新式的大数据流式处理平台和事件引入服务。
- CISA TALON 是在 Azure 上运行的由 CISA 运营的服务。 TALON 可连接到事件中心服务,使用与服务主体关联的 CISA 提供的证书进行身份验证,并收集 CLAW 消耗日志。
备选方法
可以在这些解决方案中使用一些替代方案:
- 可为日志收集划分责任范围。 例如,可以将 Microsoft Entra 日志发送到由标识团队管理的 Log Analytics 工作区,并将网络日志发送到由网络团队管理的其他 Log Analytics 工作区。
- 本文中的每个示例都使用一个防火墙,但某些组织要求或体系结构需要两个或更多防火墙。 例如,体系结构可以包含 Azure 防火墙实例和具有 WAF 的应用程序网关实例。 必须收集每个防火墙的日志,并且可供 CISA TALON 收集。
- 如果环境需要来自基于 Azure 的虚拟机的 Internet 出口流量,则可以使用第 3 层解决方案(例如 Azure 防火墙或第三方防火墙)来监视和记录出站流量。
方案详细信息
TIC 3.0 将 TIC 从本地数据集合转变为基于云的方法,以便更好地支持新式应用程序和系统。 它提高了性能,因为你可以直接访问 Azure 应用程序。 对于 TIC 2.x,需要通过 TIC 2.x 托管的受信任 Internet 协议服务 (MTIPS) 设备访问 Azure 应用程序,这会减慢响应速度。
通过防火墙路由应用程序流量并记录该流量是此处提供的解决方案中演示的核心功能。 防火墙可以是 Azure 防火墙、具有 WAF 的 Azure Front Door、具有 WAF 的应用程序网关或第三方 NVA。 防火墙有助于保护云外围并保存每个事务的日志。 独立于防火墙层,日志收集和传递解决方案需要 Log Analytics 工作区、已注册的应用程序和事件中心。 Log Analytics 工作区会将日志发送到事件中心。
CLAW 是一项 CISA 托管服务。 2022 年底,CISA 发布了 TALON。 TALON 是使用 Azure 本机功能的 CISA 托管服务。 TALON 的实例可在每个 Azure 区域中运行。 TALON 连接到由政府机构管理的事件中心,以将机构防火墙和 Microsoft Entra 日志拉取到 CISA CLAW。
有关 CLAW、TIC 3.0 和 MTIPS 的详细信息,请参阅:
可能的用例
联邦组织和政府机构通常将 TIC 3.0 合规性解决方案用于其基于 Azure 的 Web 应用程序和 API 服务。
注意事项
这些注意事项实施 Azure 架构良好的框架的支柱原则,即一套可用于改进工作负载质量的指导原则。 有关详细信息,请参阅 Microsoft Azure 架构良好的框架。
- 评估当前体系结构,确定此处介绍的哪种解决方案提供了实现 TIC 3.0 合规性的最佳方法。
- 请联系 CISA 代表以请求访问 CLAW。
- 使用本文中的“部署到 Azure”按钮,在测试环境中部署一个或多个解决方案。 这样做应有助于你熟悉流程和已部署的资源。
- 请参阅面向 Internet 的应用程序的 TIC 3.0 合规性,这是一篇提供有关 TIC 3.0 的更多详细信息和资产的补充文章:
- 有关实现合规性的其他信息。
- 用于简化部署的 ARM 模板。
- 有助于将现有资源集成到解决方案中的信息。
- 为每个服务层收集的日志类型,以及用于查看 CISA 收集的日志的 Kusto 查询。 可以使用这些查询来满足组织的安全要求。
可靠性
可靠性可确保应用程序符合你对客户的承诺。 有关详细信息,请参阅可靠性支柱概述。
- Azure 防火墙标准层和高级层可与可用性区域集成,以提高可用性。
- 应用程序网关 v2 支持自动缩放和可用性区域以提高可靠性。
- 包含负载均衡服务(如 Azure Front Door)的多区域实现可以提高可靠性和复原能力。
- 事件中心标准层和高级层提供异地灾难恢复配对,这使命名空间能够故障转移到次要区域。
安全性
安全性针对蓄意攻击及滥用宝贵数据和系统提供保障措施。 有关详细信息,请参阅安全性支柱概述。
- 当注册企业应用程序时,系统会创建一个服务主体。 为服务主体使用一个命名方案,指明每个主体的用途。
- 执行审核以确定服务主体的活动和服务主体所有者的状态。
- Azure 防火墙具有标准策略。 与应用程序网关和 Azure Front Door 关联的 WAF 具有托管规则集,可帮助保护 Web 服务。 从这些规则集开始,然后根据行业要求、最佳做法和政府法规逐步构建组织策略。
- 事件中心访问是通过 Microsoft Entra 托管标识和 CISA 提供的证书进行授权的。
成本优化
成本优化就是减少不必要的费用和提高运营效率。 有关详细信息,请参阅成本优化支柱概述。
随着资源增加,每种解决方案的成本会降低。 Azure 定价计算器示例方案中的定价基于 Azure 防火墙解决方案。 如果更改此配置,则成本可能会增加。 对于某些计划,成本会随着引入日志数的增加而增加。
注意
使用 Azure 定价计算器获取最新定价,该定价基于为所选解决方案部署的资源。
卓越运营
卓越运营涵盖了部署应用程序并使其在生产环境中保持运行的运营流程。 有关详细信息,请参阅卓越运营支柱概述。
- Azure Monitor 警报内置于解决方案中,用于在无法将日志上传到 CLAW 时通知你。 需要确定警报的严重性以及响应方式。
- 可以使用 ARM 模板加快为新应用程序部署 TIC 3.0 体系结构的速度。
性能效率
性能效率是指工作负载能够以高效的方式扩展以满足用户对它的需求。 有关详细信息,请参阅性能效率要素概述。
- Azure 防火墙、应用程序网关、Azure Front Door 和事件中心的性能会随着使用量的增加而扩展。
- 与标准层相比,Azure 防火墙高级层支持更多 TCP 连接,并提供更高的带宽。
- 应用程序网关 v2 可以自动确保新实例分布到各个容错域和更新域中。
- Azure Front Door 提供缓存、压缩、流量加速和 TLS 终止来提高性能。
- 事件中心标准层和高级层提供自动膨胀功能,以随着负载的增加而纵向扩展。
部署 Azure 防火墙解决方案
以下解决方案使用 Azure 防火墙来管理进入 Azure 应用程序环境的流量。 该解决方案包括用于生成、收集和将日志传送到 CLAW 的所有资源。 其中还包括一项应用服务,用于跟踪防火墙收集的遥测类型。
该解决方案包括:
- 为防火墙和服务器提供单独子网的虚拟网络。
- Log Analytics 工作区。
- 具有针对 Internet 访问的网络策略的 Azure 防火墙。
- 将日志发送到 Log Analytics 工作区的 Azure 防火墙诊断设置。
- 与应用程序资源组关联的路由表,用于将应用服务路由到针对其生成的日志的防火墙。
- 已注册的应用程序。
- 事件中心。
- 预警规则(作业失败时将发送电子邮件)。
为了简单起见,所有资源都部署在单个订阅和虚拟网络中。 可以以任何资源组的组合形式部署资源,或跨多个虚拟网络进行部署。
部署后任务
部署后,你的环境将执行防火墙功能和日志记录连接。 为了满足 TIC 3.0 网络遥测收集策略的合规性,需要确保日志到达 CISA CLAW。 部署后步骤用于完成实现合规性的任务。 若要完成这些步骤,需要与 CISA 协调,因为 CISA 需要提供与服务主体关联的证书。 有关分步详细信息,请参阅部署后任务。
部署后,需要手动执行以下任务。 无法使用 ARM 模板完成这些操作。
- 从 CISA 获取公钥证书。
- 创建服务主体(应用程序注册)。
- 将公钥证书添加到应用程序注册。
- 在事件中心命名空间范围内,为应用程序分配 Azure 事件中心数据接收方角色。
- 通过将 Azure 租户 ID、应用程序(客户端)ID、事件中心命名空间名称、事件中心名称和使用者组名称发送到 CISA 来激活源。
部署解决方案(使用具有 WAF 的应用程序网关)
以下解决方案使用具有 WAF 的应用程序网关来管理进入 Azure 应用程序环境的流量。 该解决方案包括用于生成、收集和将日志传送到 CLAW 的所有资源。 其中还包括一项应用服务,用于跟踪防火墙收集的遥测类型。
该解决方案包括:
- 为防火墙和服务器提供单独子网的虚拟网络。
- Log Analytics 工作区。
- 具有 WAF 的应用程序网关 v2 实例。 WAF 配置了机器人和 Microsoft 托管策略。
- 将日志发送到 Log Analytics 工作区的应用程序网关 v2 诊断设置。
- 已注册的应用程序。
- 事件中心。
- 预警规则(作业失败时将发送电子邮件)。
为了简单起见,所有资源都部署在单个订阅和虚拟网络中。 可以以任何资源组的组合形式部署资源,或跨多个虚拟网络进行部署。
部署后任务
部署后,你的环境将执行防火墙功能和日志记录连接。 为了满足 TIC 3.0 网络遥测收集策略的合规性,需要确保日志到达 CISA CLAW。 部署后步骤用于完成实现合规性的任务。 若要完成这些步骤,需要与 CISA 协调,因为 CISA 需要提供与服务主体关联的证书。 有关分步详细信息,请参阅部署后任务。
部署后,需要手动执行以下任务。 无法使用 ARM 模板完成这些操作。
- 从 CISA 获取公钥证书。
- 创建服务主体(应用程序注册)。
- 将公钥证书添加到应用程序注册。
- 在事件中心命名空间范围内,为应用程序分配 Azure 事件中心数据接收方角色。
- 通过将 Azure 租户 ID、应用程序(客户端)ID、事件中心命名空间名称、事件中心名称和使用者组名称发送到 CISA 来激活源。
部署解决方案(使用具有 WAF 的 Azure Front Door)
以下解决方案使用具有 WAF 的 Azure Front Door 来管理进入 Azure 应用程序环境的流量。 该解决方案包括用于生成、收集和将日志传送到 CLAW 的所有资源。 其中还包括一项应用服务,用于跟踪防火墙收集的遥测类型。
该解决方案包括:
- 为防火墙和服务器提供单独子网的虚拟网络。
- Log Analytics 工作区。
- 具有 WAF 的 Azure Front Door 实例。 WAF 配置了机器人和 Microsoft 托管策略。
- 将日志发送到 Log Analytics 工作区的 Azure Front Door 诊断设置。
- 已注册的应用程序。
- 事件中心。
- 预警规则(作业失败时将发送电子邮件)。
为了简单起见,所有资源都部署在单个订阅和虚拟网络中。 可以以任何资源组的组合形式部署资源,或跨多个虚拟网络进行部署。
部署后任务
部署后,你的环境将执行防火墙功能和日志记录连接。 为了满足 TIC 3.0 网络遥测收集策略的合规性,需要确保日志到达 CISA CLAW。 部署后步骤用于完成实现合规性的任务。 若要完成这些步骤,需要与 CISA 协调,因为 CISA 需要提供与服务主体关联的证书。 有关分步详细信息,请参阅部署后任务。
部署后,需要手动执行以下任务。 无法使用 ARM 模板完成这些操作。
- 从 CISA 获取公钥证书。
- 创建服务主体(应用程序注册)。
- 将公钥证书添加到应用程序注册。
- 在事件中心命名空间范围内,为应用程序分配 Azure 事件中心数据接收方角色。
- 通过将 Azure 租户 ID、应用程序(客户端)ID、事件中心命名空间名称、事件中心名称和使用者组名称发送到 CISA 来激活源。
第三方防火墙 (NVA) 解决方案
注意
未为此解决方案提供部署资源。 它仅用于提供指导。
以下解决方案演示了如何使用第三方防火墙来管理进入 Azure 应用程序环境的流量,并实现 TIC 3.0 合规性。 第三方防火墙需要使用 Syslog 转发器虚拟机。 其代理需要注册到 Log Analytics 工作区。 第三方防火墙配置为将其 Syslog 格式的日志导出到 Syslog 转发器虚拟机。 代理配置为将其日志发送到 Log Analytics 工作区。 当日志进入 Log Analytics 工作区后,它们会发送到事件中心,并像本文中描述的其他解决方案一样进行处理。
部署后任务
部署后,你的环境将执行防火墙功能和日志记录连接。 为了满足 TIC 3.0 网络遥测收集策略的合规性,需要确保日志到达 CISA CLAW。 部署后步骤用于完成实现合规性的任务。 若要完成这些步骤,需要与 CISA 协调,因为 CISA 需要提供与服务主体关联的证书。 有关分步详细信息,请参阅部署后任务。
部署后,需要手动执行以下任务。 无法使用 ARM 模板完成这些操作。
- 从 CISA 获取公钥证书。
- 创建服务主体(应用程序注册)。
- 将公钥证书添加到应用程序注册。
- 在事件中心命名空间范围内,为应用程序分配 Azure 事件中心数据接收方角色。
- 通过将 Azure 租户 ID、应用程序(客户端)ID、事件中心命名空间名称、事件中心名称和使用者组名称发送到 CISA 来激活源。
作者
本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。
首席作者:
- Paul Lizer | 高级云解决方案架构师
其他参与者:
- Mick Alberts | 技术文档撰写人
若要查看非公开的 LinkedIn 个人资料,请登录到 LinkedIn。
后续步骤
- TIC 3.0 核心指南文档
- 国家网络安全保护系统 (NCPS) 文档
- EINSTEIN
- 托管的受信任 Internet 协议服务 (MTIPS)
- Azure 受信任的 Internet 连接 - 已扩展
- 联邦应用创新 - TIC 3.0
- 什么是 Azure 防火墙?
- Azure 防火墙文档
- 什么是 Azure 应用程序网关?
- Azure Front Door
- Azure WAF 简介
- Azure Monitor 中的 Log Analytics 概述
- 什么是 Azure 事件中心?
- Azure 中的警报概述
- Microsoft Entra ID 中的应用程序和服务主体对象
- 使用门户创建可访问资源的 Microsoft Entra ID 应用程序和服务主体
- 将应用程序注册到 Microsoft 标识平台
- 使用 Azure 门户分配 Azure 角色
- 创建资源组
- 如何查找 Microsoft Entra 租户 ID
- 使用 Log Analytics 代理收集 Syslog 数据源
- 分析 Azure Monitor 日志中的文本数据
- 针对网络安全组进行流日志记录简介
- 什么是 Azure 资源的托管标识?
- 使用 Azure 门户部署和配置 Azure 防火墙