安全 Azure 運算架構 (SACA)

將工作負載部署至 Azure 的美國國防部 (DoD) 客戶已要求指導來設定安全的虛擬網路，並設定 DoD 標準和做法規定的安全性工具和服務。

2017 年，美國國防資訊系統機構 (DISA) 發佈安全雲端運算架構 (SCCA) 功能需求文件 (FRD)。 SCCA 描述保護防禦資訊系統網路 (DISN) 和商業雲端提供者連接點的功能目標。 SCCA 也會說明任務擁有者如何在連線界限保護雲端應用程式。 連線到商業雲端的每個 DoD 實體都必須遵循 SCCA FRD 中規定的指導方針。

SCCA 有四個元件：

• 界限雲端存取點 (BCAP)
• 虛擬資料中心安全性堆疊 (VDSS)
• 虛擬資料中心受控服務 (VDMS)
• 受信任的雲端認證管理員 (TCCM)

Microsoft 已開發解決方案，可協助您滿足在 Azure 中執行的 DoD IL4 和 DoD IL5 工作負載的 SCCA 需求。 此 Azure 特定解決方案稱為安全 Azure 運算架構 (SACA)，可協助您遵守 SCCA FRD。 它可讓您在連線之後將工作負載移至 Azure。

SCCA 指引和架構專屬於 DoD 客戶，但也協助平民客戶遵守 受信任的因特網連線 (TIC) 指引，並協助想要實作安全的 DMZ 來保護其 Azure 環境的商業客戶。

安全雲端運算架構元件

界限雲端存取點 (BCAP)

BCAP 的目的是保護 DISN 免於來自雲端環境的攻擊。 BCAP 會執行入侵檢測和預防。 還會篩選掉未經授權的流量。 此元件可以與 SCCA 的其他元件共置。 建議您使用實體硬體來部署此元件。 下表列出 BCAP 安全性需求。

BCAP 安全性需求

虛擬資料中心安全性堆疊 (VDSS)

VDSS 的目的是保護裝載在 Azure 中的 DoD 任務擁有者應用程式。 VDSS 會在 SCCA 中執行大量安全性作業。 它會進行流量檢查，以保護在 Azure 中執行的應用程式。 可以在 Azure 環境中提供此元件。

VDSS 安全性需求

虛擬資料中心受控服務 (VDMS)

VDMS 的目的是提供主機安全性和共享資料中心服務。 VDMS 的功能可以在 SCCA 的中樞內執行，任務擁有者也可以在自己的 Azure 訂用帳戶中部署 VDMS 的部分功能。 可以在 Azure 環境中提供此元件。

VDMS 安全性需求

受信任的雲端認證管理員 (TCCM)

TCCM 是商務角色。 此人負責管理 SCCA。 其職責是：

• 規定帳戶存取雲端環境的方案和原則。
• 確定身分識別與存取管理正常運作。
• 維護雲端認證管理方案。

此人由授權官員任命。 BCAP、VDSS 和 VDMS 提供了 TCCM 執行其工作所需的功能。

TCCM 安全性需求

SACA 元件和規劃考慮

SACA 參考架構的設計目的是在 Azure 中部署 VDSS 和 VDMS 元件，並啟用 TCCM。 此架構是模組化的。 VDSS 和 VDMS 的所有部分都可以存在於集中式中樞中，也可以存在於多個虛擬網路中。 某些控制件可以在任務擁有者空間或甚至是內部部署中達成。 下圖說明此架構：

當您規劃 SCCA 合規性策略和技術架構時，請考慮從頭開始閱讀下列主題，因為這些主題會影響每個客戶。 下列問題已向 DoD 客戶提出，且通常會讓規劃和執行速度變慢。

貴組織將使用哪一個 BCAP？

• DISA BCAP：
  • DISA 有兩個第 2 代 BCAP，他們目前運作和維護，有三個新的 Gen 3 BCAP 即將上線。
  • DISA 的 BCAP 全都有 Azure ExpressRoute 線路至 Azure，可供美國政府部門和國防部客戶用於連線。
  • DISA 有企業層級的 Microsoft 對等互連會話，適用於想要訂閱 Microsoft 軟體即服務 (SaaS) 工具 (例如 Microsoft 365) 的客戶。 藉由使用 DISA BCAP，您可以啟用 SACA 執行個體的連線和對等互連。
  • 我們建議您使用 DISA BCAP。 此選項已可供使用、具有內建備援，並且具有目前在生產環境中運作的客戶。
• 建置您自己的 BCAP：
  • 此選項會要求您在共置的資料中心租用空間，並將 ExpressRoute 線路設定為 Azure。
  • 此選項需要 DoD CIO 的額外核准。
  • 由於額外的核准和實體建置，此選項需要的時間最長，而且很難實現。
• DoD 可路由傳送的 IP 空間：
  • 您必須在邊緣使用 DoD 可路由傳送的 IP 空間。 您可以使用 NAT 將這些空間連線到 Azure 中的私人 IP 空間的選項。
  • 請連絡 DoD 網路資訊中心 (NIC) 以取得 IP 空間。 您需要將 IP 空間包含在系統/網路核准程式 (SNAP) 中，與 DISA 一起提交。
  • 如果您打算使用 NAT 來連線 Azure 中的私人地址空間，則需要從 NIC 中為計劃部署 SACA 的每個區域分配至少一個/24 位址空間子網路。
• 備援性：
  • 將 SACA 執行個體部署到至少兩個區域以實現容錯移轉功能。
  • 透過獨立的 ExpressRoute 線路連線到至少兩個 BCAP。 然後，這兩個 ExpressRoute 連線都可以連結至每個區域的 SACA 執行個體。
• DoD 元件特定需求：
  • 您的組織是否有 SCCA 需求以外的任何特定需求？ 某些組織有特定的 IPS 需求。
• SACA 是模組化架構：
  • 只使用環境所需的元件。
    • 在單一層或多層中部署網路虛擬設備。
    • 使用雲端原生 IPS 或自備 IPS。

您將使用哪一個自動化解決方案來部署 VDSS？

如先前所述，您可以使用各種設備和 Azure 服務來建置 SACA 參考。 Microsoft 具有自動化解決方案範本，可透過原生服務或 Palo Alto Networks、F5 和 Citrix 等合作夥伴的解決方案來部署 SACA。 以下各節將說明這些解決方案。

您將使用哪些 Azure 服務？

• 有 Azure 服務可以符合記錄分析、主機型保護和 IDS 功能的需求。 某些服務可能還沒有在 Microsoft Azure DoD 區域中正式推出。 在此情況下，如果這些 Azure 服務無法符合您的需求，您可能需要使用第三方工具。 查看您熟悉的工具，以及使用 Azure 原生工具的可行性。

• 我們建議您盡可能使用盡可能多的 Azure 原生工具。 它們內建了雲端安全性，並與 Azure 平台的其餘部分緊密整合。 使用下列清單中的 Azure 原生工具，以符合各種 SCCA 需求：

  • Azure 監視器
  • 適用於雲端的 Microsoft Defender
  • 網路監看員
  • Azure Key Vault
  • Microsoft Entra ID
  • 應用程式閘道
  • Azure 防火牆
  • Azure Front Door
  • 網路安全性群組
  • Azure DDoS 保護
  • Microsoft Sentinel

• 調整大小

  • 必須完成調整大小練習。 查看您可能透過 SACA 執行個體獲得的並行連線數目以及網路輸送量需求。
  • 此步驟至關重要。 它有助於調整 VM、ExpressRoute 線路的大小，並識別您在 SACA 部署中使用的各種廠商所需的授權。
  • 如果沒有完成重設大小練習，就無法進行透徹的成本分析。 正確重設大小也可讓您獲得最佳效能。

最常見的部署案例

數個 Microsoft 客戶已完成其 SACA 環境的完整部署或至少規劃階段。 其體驗揭示了對最常見部署案例的深入解析。 下圖顯示最常見架構：

如圖表所示，客戶通常會訂閱兩個 DISA BCAP。 每個 DISA BCAP 位置都會啟用 ExpressRoute 私人對等互連至 Azure。 接著，這些 ExpressRoute 對等會連結至每個 Azure 區域中的虛擬網路閘道。 所有輸入和輸出流量都會流經 SACA，透過 ExpressRoute 連線到 DISA BCAP。

然後，任務擁有者會選擇他們計劃部署其應用程式的 Azure 區域。 他們會使用虛擬網路對等互連，將應用程式的虛擬網路連線到 SACA 虛擬網路。 然後，他們會強制透過 VDSS 執行個體傳送所有流量。

建議您使用此架構，因為它符合 SCCA 需求。 其具備高可用性，可輕鬆調整，並且簡化了部署和管理。

自動 SACA 部署選項

如先前所述，Microsoft 已與廠商合作建立自動化 SACA 基礎結構範本。 這些範本會部署下列 Azure 元件：

• SACA 虛擬網路
  • VDMS 子網路
    • 此子網路中部署用於 VDMS 的 VM 和服務，包括 jump box VM。
  • 不受信任、受信任、管理或 AzureFirewallSubnet 子網路
    • 這些子網路中部署了虛擬設備或 Azure 防火牆的部署。
• 管理 jump box 虛擬機器
  • 它們用於環境的頻外管理。
• 網路虛擬設備
• Azure Bastion
  • 可以使用 Bastion 透過 SSL 安全地連線到 VM
• 公用 IP
  • 它們會用於前端，直到 ExpressRoute 上線為止。 這些 IP 會轉譯為後端 Azure 私人地址空間。
• 路由表
  • 在自動化期間套用路由表，路由表會透過內部負載平衡器強制透過虛擬設備傳送所有流量。
• Azure Load Balancer - 標準 SKU
  • 用於平衡跨第三方設備流量的負載。
• 網路安全性群組
  • 可用於控制哪些類型的流量可以周游至特定端點。

Azure SACA 部署

根據環境的需求，您可以使用「任務登陸區域」部署範本來部署至一或多個訂用帳戶。 它會使用內建的 Azure 服務，這些服務沒有第三方授權的相依性。 此範本會使用 Azure 防火牆和其他安全性服務來部署符合 SCCA 規範的架構。

如需 Azure 文件和部署腳本，請參閱任務登陸區域。

Palo Alto Networks SACA 部署

Palo Alto Networks 部署範本會將一個部署至多個 VM 系列設備，以及 VDMS 預備和路由，以啟用一層式 VDSS 相容架構。 此架構符合 SCCA 需求。

如需 Palo Alto Networks 檔和部署腳本，請參閱 Azure 上 Palo Alto Networks 的 SACA 實作。

F5 Networks SACA 部署

兩個獨立的 F5 部署範本涵蓋兩個不同的架構。 第一個範本在主動-主動高可用性組態中只有一層 F5 設備。 此架構符合 SCCA 需求。 第二個範本會新增第二層主動-主動高可用性 F5。 第二層可讓您在 F5 層次之間將自己的 IPS 與 F5 分開。 並非所有 DoD 元件都有規定用途的特定 IPS。 如果出現這種情況，F5 設備的單一層適用於大部分，因為該架構包含 F5 裝置上的 IPS。

如需 F5 文件和部署腳本，請參閱 F5 和 Azure SACA。

Citrix SACA 部署

Citrix 部署範本會部署兩層高可用性 Citrix ADC 設備。 此架構符合 VDSS 需求。

如需 Citrix 檔和部署腳本，請參閱 SACA 型部署。

下一步

• 取得和存取 Azure Government
• Azure Government 概觀
• Azure Government 安全性
• Azure Government 合規性
• 與 Azure 之間的受信任網際網路連線 (TIC)
• Azure 安全隔離指引
• FedRAMP 高等級
• DoD 影響等級 4
• DoD 影響等級 5
• DoD 影響等級 6 (英文)
• Azure 和其他 Microsoft 雲端服務合規性範圍
• Azure 原則概觀
• Azure 原則法規合規性內建計畫
• 使用 Azure 登陸區域的安全性控制對應