En este artículo se describe cómo lograr la conformidad con las conexiones de confianza a Internet (TIC) 3.0 para las aplicaciones y los servicios Azure orientados a Internet. Proporciona soluciones y recursos para ayudar a las organizaciones gubernamentales a cumplir con TIC 3.0. También describe cómo implementar los activos necesarios y cómo incorporar las soluciones a los sistemas existentes.
Nota
Microsoft proporciona esta información a los departamentos y agencias de la Rama Ejecutiva Civil Federal (FCEB) como parte de una configuración sugerida para facilitar la participación en la capacidad del Almacén de Agregación de Registros en la Nube (CLAW) de la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA). Las configuraciones sugeridas las mantiene Microsoft y están sujetas a cambios.
Architecture
Descargue un archivo Visio de esta arquitectura.
Flujo de datos
- Firewall
- El firewall puede ser cualquiera de capa 3 o de capa 7.
- Azure Firewall y algunos firewalls de terceros, también conocidos como Network Virtual Appliances (NVAs), son firewalls de capa 3.
- Azure Application Gateway con Web Application Firewall (WAF) y Azure Front Door con WAF son firewalls de capa 7.
- En este artículo se ofrecen soluciones de implementación para Azure Firewall, Application Gateway con WAF y Azure Front Door con WAF.
- El firewall aplica directivas, recopila métricas y registra las transacciones de conexión entre los servicios web y los usuarios y servicios que acceden a los servicios web.
- El firewall puede ser cualquiera de capa 3 o de capa 7.
- Registros de firewall
- Azure Firewall, Application Gateway con WAF y Azure Front Door con WAF envían registros al área de trabajo de Log Analytics.
- Los firewalls de terceros envían los registros en formato Syslog al área de trabajo Log Analytics a través de una máquina virtual Syslog forwarder.
- Área de trabajo de Log Analytics
- El área de trabajo de Log Analytics es un repositorio de registros.
- Puede hospedar un servicio que proporciona un análisis personalizado de los datos del tráfico de red del firewall.
- Entidad de servicio (aplicación registrada)
- Azure Event Hubs Estándar
- CISA TALON
Componentes
- Firewall. Su arquitectura utilizará uno o más de los siguientes firewalls. (Para más información, consulte la sección Alternativas de este artículo).
- Azure Firewall es un servicio de seguridad de firewall de red inteligente, nativo de la nube, que proporciona protección mejorada contra amenazas para cargas de trabajo en la nube que se ejecutan en Azure. Se trata de un firewall como servicio con estado completo que incorpora alta disponibilidad y escalabilidad a la nube sin restricciones. Está disponible en dos niveles de rendimiento: Estándar y Premium. Azure Firewall Premium incluye toda la funcionalidad de Azure Firewall Standard y proporciona funciones adicionales como la inspección de seguridad de la capa de transporte (TLS) y un sistema de detección y prevención de intrusiones (IDPS).
- Application Gateway con WAF es un equilibrador de carga de tráfico web regional que le permite administrar el tráfico de sus aplicaciones web. WAF proporciona una protección centralizada mejorada de sus aplicaciones web frente a vulnerabilidades y vulnerabilidad de seguridad comunes.
- Azure Front Door con WAF es un equilibrador de carga de tráfico web global que le permite administrar el tráfico de sus aplicaciones web. Proporciona funciones de red de entrega de contenido (CDN) para acelerar y modernizar sus aplicaciones. WAF proporciona una protección centralizada mejorada de sus aplicaciones web frente a vulnerabilidades y vulnerabilidad de seguridad comunes.
- Un firewall de terceros es un NVA que se ejecuta en una máquina virtual Azure y utiliza servicios de firewall de proveedores ajenos a Microsoft. Microsoft admite un gran ecosistema de proveedores externos que proporcionan servicios de firewall.
- Registro y autenticación.
- Log Analytics es una herramienta disponible en el Azure Portal que puede utilizar para editar y ejecutar consultas de registro contra los registros de Azure Monitor. Para más información, consulte Introducción a Log Analytics en Azure Monitor.
- Azure Monitor es una solución completa para recopilar telemetría, analizarla y actuar en función de ella.
- Microsoft Entra ID: servicios de identidad, inicio de sesión único y autenticación multifactor entre cargas de trabajo de Azure.
- Una entidad de servicio (aplicación registrada) es una entidad que define la directiva de acceso y los permisos para un usuario o aplicación en un inquilino de Microsoft Entra.
- Event Hubs Standard es una moderna plataforma de streaming de big data y servicio de ingesta de eventos.
- CISA TALON es un servicio operado por CISA que se ejecuta en Azure. TALON se conecta a su servicio Event Hubs, se autentica mediante el uso de un certificado suministrado por CISA que está asociado con su servicio principal, y recoge los registros para el consumo de CLAW.
Alternativas
Hay algunas alternativas que puede usar en estas soluciones:
- Puede separar la recopilación de registros en áreas de responsabilidad. Por ejemplo, puede enviar los registros de Microsoft Entra a un área de trabajo de Log Analytics administrada por el equipo de identidades y enviar los registros de red a otra área de trabajo de Log Analytics administrada por el equipo de red.
- Los ejemplos de este artículo utilizan un único firewall, pero algunos requisitos organizativos o arquitecturas requieren dos o más. Por ejemplo, una arquitectura puede incluir una instancia de Azure Firewall y una instancia de Application Gateway con WAF. Los registros de cada firewall deben recopilarse y ponerse a disposición de CISA TALON para su recopilación.
- Si el entorno requiere salida a Internet desde máquinas virtuales basadas en Azure, puede utilizar una solución de capa 3 como Azure Firewall o un firewall de terceros para supervisar y registrar el tráfico saliente.
Detalles del escenario
TIC 3.0 traslada TIC de la recopilación de datos local a un enfoque basado en la nube que admite mejor las aplicaciones y los sistemas modernos. Mejora el rendimiento porque puede acceder directamente a las aplicaciones Azure. Con TIC 2.x, es necesario acceder a las aplicaciones Azure a través de un dispositivo de Servicio administrado de protocolo de Internet de confianza (MTIPS) de TIC 2.x, lo que ralentiza la respuesta.
Enrutar el tráfico de aplicaciones a través de un firewall y registrar ese tráfico es la funcionalidad principal demostrada en las soluciones presentadas aquí. El firewall puede ser Azure Firewall, Azure Front Door con WAF, Application Gateway con WAF o un NVA de terceros. El firewall ayuda a proteger el perímetro de la nube y guarda registros de cada transacción. Independientemente de la capa del firewall, la solución de recopilación y entrega de registros requiere un área de trabajo de Log Analytics, una aplicación registrada y un centro de eventos. El área de trabajo de Log Analytics envía los registros al centro de eventos.
CLAW es un servicio administrado por CISA. A finales de 2022, CISA lanzó TALON. TALON es un servicio administrado por CISA que utiliza capacidades nativas de Azure. Una instancia de TALON se ejecuta en cada región de Azure. TALON se conecta a concentradores de eventos administrados por organismos gubernamentales para extraer registros de firewalls de organismos y Microsoft Entra e introducirlos en CISA CLAW.
Para más información sobre CLAW, TIC 3.0 y MTIPS, consulte:
- Guía de conexiones a Internet de confianza
- Documentos de orientación básicos deTIC 3.0
- Documentos del Sistema Nacional de Protección de la Ciberseguridad (NCPS)
- EINSTEIN
- Servicios administrados de protocolo de Internet de confianza (MTIPS)
Posibles casos de uso
Las soluciones de conformidad TIC 3.0 son utilizadas habitualmente por organizaciones federales y agencias gubernamentales para sus aplicaciones web y servicios API basados en Azure.
Consideraciones
Estas consideraciones implementan los pilares del Azure Well-Architected Framework, que es un conjunto de principios rectores que puede utilizar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.
- Evalúe su arquitectura actual para determinar cuál de las soluciones presentadas aquí proporciona el mejor enfoque para el cumplimiento de las TIC 3.0.
- Póngase en contacto con su representante de CISA para solicitar acceso a CLAW.
Confiabilidad
La confiabilidad garantiza que la aplicación pueda cumplir los compromisos contraídos con los clientes. Para más información, consulte Resumen del pilar de fiabilidad.
- Azure Firewall Standard y Premium se integran con zonas de disponibilidad para aumentar la disponibilidad.
- Application Gateway v2 admite autoescalado y zonas de disponibilidad para aumentar la fiabilidad.
- Las implementaciones de varias regiones que incluyen servicios de equilibrio de carga como Azure Front Door pueden mejorar la confiabilidad y la resistencia.
- Event Hubs Standard y Premium proporcionan un emparejamiento de recuperación ante desastres geográficos que permite que un espacio de nombres conmute por error a una región secundaria.
Seguridad
La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para más información, consulte Introducción al pilar de seguridad.
- Cuando se registra una aplicación empresarial, se crea una entidad de seguridad de servicio. Utilice un esquema de nomenclatura para las entidades de seguridad que indique la finalidad de cada una.
- Realice auditorías para determinar la actividad de las entidades de servicio y el estado de los propietarios de la entidad de servicio.
- Azure Firewall tiene directivas estándar. Los WAF asociados con Application Gateway y Azure Front Door tienen conjuntos de reglas administradas para ayudar a proteger su servicio web. Comience con estos conjuntos de reglas y cree directivas organizativas con el tiempo en función de los requisitos del sector, las prácticas recomendadas y las normativas gubernamentales.
- El acceso a Event Hubs se autoriza mediante identidades administradas por Microsoft Entra y un certificado proporcionado por CISA.
Optimización de costos
La optimización de costos trata de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para más información, vea Información general del pilar de optimización de costos.
El coste de cada solución se reduce a medida que aumentan los recursos. Los precios de este Escenario de ejemplo de la calculadora de precios de Azure se basan en la solución Azure Firewall. Si cambia la configuración, los costes podrían aumentar. Con algunos planes, los costos aumentan a medida que aumenta el número de registros ingeridos.
Nota:
Utilice la calculadora de precios de Azure para obtener precios actualizados basados en los recursos implementados para la solución seleccionada.
Excelencia operativa
La excelencia operativa abarca los procesos de las operaciones que implementan una aplicación y la mantienen en ejecución en producción. Para más información, consulte Introducción al pilar de excelencia operativa.
- Las alertas de Azure Monitor están integradas en las soluciones para notificarle cuando una carga no logra entregar registros a CLAW. Debe determinar la gravedad de las alertas y cómo responder.
- Puede usar plantillas de Azure Resource Manager (ARM), Bicep o Terraform para acelerar la implementación de arquitecturas tic 3.0 para nuevas aplicaciones.
Eficiencia del rendimiento
La eficiencia del rendimiento es la capacidad de la carga de trabajo para escalar con el fin de satisfacer de manera eficiente las demandas que los usuarios hayan ejercido sobre ella. Para obtener más información, vea Resumen del pilar de eficiencia del rendimiento.
- El rendimiento de Azure Firewall, Application Gateway, Azure Front Door y Event Hubs se escala a medida que aumenta el uso.
- Azure Firewall Premium permite más conexiones TCP que Standard y proporciona un mayor ancho de banda.
- Application Gateway v2 garantiza automáticamente que las nuevas instancias se distribuyan entre los dominios de error y los dominios de actualización.
- Azure Front Door proporciona almacenamiento en caché, compresión, aceleración del tráfico y terminación TLS para mejorar el rendimiento.
- Event Hubs Standard y Premium proporcionan inflado automático para escalar a medida que aumenta la carga.
Implementación de una solución de Azure Firewall
Nota:
No se proporcionan recursos de implementación para esta solución. Se incluye solo para proporcionar orientación.
La implementación de Azure Firewall en la arquitectura de red le permite administrar y proteger eficazmente el tráfico que entra en el entorno de aplicación de Azure. Esta solución proporciona instrucciones completas para recopilar y entregar registros a los requisitos de almacenamiento de agregación de registros en la nube (CLAW) de la Agencia de seguridad de ciberseguridad e infraestructura (CISA), lo que garantiza el cumplimiento de los requisitos de conexiones de Internet de confianza (TIC) 3.0. La implementación se puede automatizar mediante plantillas de ARM, Bicep o Terraform que simplifican el proceso de instalación y se adhieren a los procedimientos recomendados de infraestructura como código.
La solución incluye:
- Una red virtual que tiene subredes separadas para el firewall y los servidores.
- Un área de trabajo de Log Analytics.
- Azure Firewall con una directiva de red para el acceso a Internet.
- Una configuración de diagnóstico de Azure Firewall que envía los registros al área de trabajo de Log Analytics.
- Una tabla de rutas que está asociada con el grupo de recursos de la aplicación para enrutar el servicio de la aplicación al firewall para los registros que genera.
- Una aplicación registrada.
- Un centro de eventos.
- Una regla de alertas que envía un correo electrónico si se produce un error en un trabajo.
Implementación de una solución que utiliza Application Gateway con WAF
Nota:
No se proporcionan recursos de implementación para esta solución. Se incluye solo para proporcionar orientación.
La implementación de Application Gateway con firewall de aplicaciones web (WAF) en la arquitectura de red le permite administrar y proteger eficazmente el tráfico web que entra en el entorno de aplicación de Azure. Esta solución proporciona una guía completa para recopilar y entregar registros a los requisitos de Almacenamiento de agregación de registros en la nube (CISA) cloud Log Aggregation Warehouse (CISA), lo que garantiza el cumplimiento de los requisitos de Conexiones de Internet de confianza (TIC) 3.0. La implementación se puede automatizar mediante plantillas de ARM, Bicep o Terraform, lo que simplifica el proceso de configuración y se adhiere a los procedimientos recomendados de infraestructura como código.
La solución incluye:
- Una red virtual que tiene subredes separadas para el firewall y los servidores.
- Un área de trabajo de Log Analytics.
- Una instancia de Application Gateway v2 con WAF. El WAF se configura con directivas administradas por bot y Microsoft.
- Configuración de diagnóstico de Application Gateway v2 que envía registros al área de trabajo de Log Analytics.
- Una aplicación registrada.
- Un centro de eventos.
- Una regla de alertas que envía un correo electrónico si se produce un error en un trabajo.
Implementación de una solución que usa Azure Front Door con WAF
Nota:
No se proporcionan recursos de implementación para esta solución. Se incluye solo para proporcionar orientación.
La siguiente solución usa Azure Front Door con WAF para administrar y proteger el tráfico web global que entra en el entorno de aplicación de Azure. Esta solución proporciona una guía completa para generar, recopilar y entregar registros al almacén de agregación de registros en la nube (CLAW) de CISA, lo que garantiza el cumplimiento de los requisitos de conexiones de Internet de confianza (TIC) 3.0. La implementación se puede automatizar mediante plantillas de ARM, Bicep o Terraform, lo que simplifica el proceso de configuración y se adhiere a los procedimientos recomendados de infraestructura como código.
La solución incluye:
- Una red virtual que tiene subredes separadas para el firewall y los servidores.
- Un área de trabajo de Log Analytics.
- Una instancia de Azure Front Door con WAF. El WAF se configura con directivas administradas por bot y Microsoft.
- Configuración de diagnóstico de Azure Front Door que envía registros al área de trabajo de Log Analytics.
- Una aplicación registrada.
- Un centro de eventos.
- Una regla de alertas que envía un correo electrónico si se produce un error en un trabajo.
Solución de firewall de terceros (NVA)
Nota
No se proporcionan recursos de implementación para esta solución. Se incluye solo para proporcionar orientación.
La siguiente solución ilustra cómo puede utilizar un firewall de terceros para administrar el tráfico que entra en su entorno de aplicaciones Azure e implementar el cumplimiento de TIC 3.0. Los firewalls de terceros requieren el uso de una máquina de redireccionamiento virtual Syslog. Sus agentes deben estar registrados en el área de trabajo de Log Analytics. El firewall de terceros está configurado para exportar sus registros en formato Syslog a la máquina de redireccionamiento virtual Syslog. El agente se configura para enviar sus registros al área de trabajo de Log Analytics. Una vez que los logs están en el área de trabajo de Log Analytics, se envían a Event Hubs y se procesan como en las otras soluciones descritas en este artículo.
Tareas posteriores a la implementación
Después de la implementación, su entorno realiza las funciones de firewall y registro de conexiones. Para cumplir con las directivas TIC 3.0 para la recopilación de telemetría de red, debe asegurarse de que los registros lleguen a CISA CLAW. Los pasos posteriores a la implementación finalizan las tareas para permitir el cumplimiento. Para completar estos pasos, debe coordinarse con CISA porque CISA necesita suministrar un certificado para asociarlo con su entidad de seguridad de servicio.
Debe realizar manualmente las siguientes tareas después de la implementación. No puede completarlas utilizando una plantilla ARM.
- Obtener un certificado de clave pública de CISA.
- Cree una entidad de seguridad de servicio (registro de aplicación).
- Añada el certificado de clave pública al registro de la aplicación.
- Asigne a la aplicación la función Receptor de datos de Azure Event Hubs en el ámbito del espacio de nombres de Event Hubs.
- Active la fuente mediante el envío del ID de arrendatario de Azure, el ID de aplicación (cliente), el nombre del espacio de nombres del centro de eventos, el nombre del centro de eventos y el nombre del grupo de consumidores a CISA.
Colaboradores
Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.
Autor principal:
- Paul Lizer | Arquitecto sénior de soluciones en la nube
Otro colaborador:
- Mick Alberts | Escritor técnico
Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.
Pasos siguientes
- Documentos de orientación básicos deTIC 3.0
- Documentos del Sistema Nacional de Protección de la Ciberseguridad (NCPS)
- EINSTEIN
- Servicios administrados de protocolo de Internet de confianza (MTIPS)
- Conexión a Internet de confianza de Azure- Ampliada
- Innovación de aplicaciones federales - TIC 3.0
- ¿Qué es Azure Firewall?
- Documentación sobre Azure Firewall
- ¿Qué es Azure Application Gateway?
- Azure Front Door
- Introducción a Azure WAF
- Introducción a Log Analytics en Azure Monitor
- ¿Qué es Azure Event Hubs?
- Información general sobre las alertas en Azure
- Objetos de aplicación y de entidad de servicio en Microsoft Entra ID
- Uso del portal para crear una aplicación de Microsoft Entra ID y una entidad de servicio con acceso a los recursos
- Registro de una aplicación con la plataforma de identidad de Microsoft
- Asignación de roles de Azure mediante Azure Portal
- Crear grupos de recursos
- Búsqueda del identificador de inquilino de Microsoft Entra
- Recopilación de orígenes de datos de Syslog con el agente de Log Analytics
- Análisis de datos de texto en registros de Azure Monitor
- Introducción al registro de flujo de grupos de seguridad de red
- ¿Qué son las identidades administradas de recursos de Azure?
- Implementación y configuración de Azure Firewall mediante Azure Portal