Este artigo descreve como obter a conformidade com TIC (Trusted Internet Connection) 3.0 para aplicativos e serviços do Azure voltados para a Internet. Ele apresenta soluções e recursos para ajudar organizações governamentais a cumprir a conformidade com a TIC 3.0. Ele também descreve como implantar os ativos necessários e incorporar as soluções aos sistemas existentes.
Observação
A Microsoft fornece essas informações aos departamentos e agências do FCEB (Federal Civilian Executive Branch) como parte de uma configuração sugerida para facilitar a participação na funcionalidade CLAW (Cloud Log Aggregation Warehouse) da CISA (Agência de Segurança Cibernética e de Segurança de Infraestrutura) dos EUA. As configurações sugeridas são mantidas pela Microsoft e estão sujeitas a alterações.
Arquitetura
Baixe um Arquivo Visio dessa arquitetura.
Fluxo de dados
- Firewall
- O firewall pode ser qualquer firewall da camada 3 ou camada 7.
- O Firewall do Azure e alguns firewalls de terceiros, também conhecidos como soluções de virtualização de rede (NVAs), são firewalls da camada 3.
- O Gateway de Aplicativo do Azure com Firewall de Aplicativo Web (WAF) e o Azure Front Door com WAF são firewalls da camada 7.
- Este artigo apresenta soluções de implantação para implantações do Firewall do Azure, Gateway de Aplicativo com WAF e Azure Front Door com WAF.
- O firewall impõe políticas, coleta métricas e registra transações de conexão entre os serviços Web e os usuários e os serviços que acessam os serviços Web.
- O firewall pode ser qualquer firewall da camada 3 ou camada 7.
- Logs de firewall
- O Firewall do Azure, o Gateway de Aplicativo com WAF e o Azure Front Door com WAF enviam logs para o espaço de trabalho do Log Analytics.
- Os firewalls de terceiros enviam logs no formato Syslog para o espaço de trabalho do Log Analytics por meio de uma máquina virtual encaminhadora do Syslog.
- Espaço de Trabalho do Log Analytics
- O espaço de trabalho do Log Analytics é um repositório de logs.
- Ele pode hospedar um serviço que fornece análise personalizada dos dados de tráfego de rede do firewall.
- Entidade de serviço (aplicativo registrado)
- Hubs de Eventos do Azure Standard
- CISA TALON
Componentes
- Firewall. Sua arquitetura usará um ou mais dos firewalls a seguir. (Para obter mais informações, consulte a seção Alternativas deste artigo.)
- O Firewall do Azure: é um serviço de segurança de firewall de rede inteligente e nativo de nuvem que fornece proteção avançada contra ameaças para cargas de trabalho de nuvem executadas no Azure. É um firewall como serviço totalmente com estado com alta disponibilidade interna e escalabilidade de nuvem irrestrita. Ele está disponível em dois níveis de desempenho: Standard e Premium. O Firewall do Azure Premium inclui todas as funcionalidades do Firewall do Azure Standard e fornece recursos adicionais, como inspeção TLS e um sistema de detecção e prevenção de invasões (IDPS).
- O Gateway de Aplicativo com WAF é um balanceador de carga de tráfego da Web regional que permite que você gerencie o tráfego para seus aplicativos Web. O WAF fornece proteção centralizada e avançada de seus aplicativos Web contra vulnerabilidades e explorações comuns.
- O Azure Front Door com WAF é um balanceador de carga de tráfego da Web global que permite que você gerencie o tráfego para seus aplicativos Web. Ele tem funcionalidades de rede de distribuição de conteúdo (CDN) para acelerar e modernizar seus aplicativos. O WAF fornece proteção centralizada e avançada de seus aplicativos Web contra vulnerabilidades e explorações comuns.
- Um firewall de terceiros é uma NVA executada em uma máquina virtual do Azure e usa serviços de firewall de outros fornecedores que não a Microsoft. A Microsoft dá suporte para um grande ecossistema de fornecedores de terceiros que fornecem serviços de firewall.
- Registro em log e autenticação.
- O Log Analytics é uma ferramenta disponível no portal do Azure que você pode usar para editar e executar consultas de log em Logs do Azure Monitor. Para saber mais, consulte Visão geral do Log Analytics no Azure Monitor.
- O Azure Monitor é uma solução abrangente para coleta, análise e tomada de decisões de telemetria.
- O Microsoft Entra ID fornece serviços de identidade, logon único e autenticação multifator entre cargas de trabalho do Azure.
- Uma entidade de serviço (aplicativo registrado) é uma entidade que define as permissões e a política de acesso para um usuário ou aplicativo em um locatário do Microsoft Entra.
- Os Hubs de Eventos Standard são uma plataforma moderna de streaming de Big Data e um serviço de ingestão de eventos.
- O CISA TALON é um serviço operado pela CISA que é executado no Azure. O TALON se conecta ao serviço dos Hubs de Eventos, é autenticado usando um certificado fornecido pela CISA associado à entidade de serviço e coleta logs de consumo de CLAW.
Alternativas
Existem algumas alternativas que você pode usar nestas soluções:
- Você pode separar a coleta de logs em áreas de responsabilidade. Por exemplo, você pode enviar logs do Microsoft Entra para um espaço de trabalho do Log Analytics gerenciado pela equipe de identidade e enviar logs de rede para um espaço de trabalho diferente do Log Analytics gerenciado pela equipe de rede.
- Os exemplos mencionados neste artigo usam um único firewall, mas alguns requisitos organizacionais ou arquiteturas exigem dois ou mais. Por exemplo, uma arquitetura pode incluir uma instância do Firewall do Azure e uma instância do Gateway de Aplicativo com WAF. Os logs de cada firewall devem ser coletados e disponibilizados para coleta pelo CISA TALON.
- Se o seu ambiente exigi saída da Internet de máquinas virtuais baseadas no Azure, você poderá usar uma solução da camada 3 como o Firewall do Azure ou um firewall de terceiros para monitorar e registrar o tráfego de saída em logs.
Detalhes do cenário
A TIC 3.0 muda a TIC da coleta de dados local para uma abordagem baseada em nuvem, que oferece melhor suporte a aplicativos e sistemas modernos. Ela melhora o desempenho porque você pode acessar os aplicativos do Azure diretamente. Com a TIC 2.x, você precisa acessar os aplicativos do Azure por meio de um dispositivo MTIPS da TIC 2.x, o que torna a resposta mais lenta.
Encaminhar o tráfego do aplicativo por um firewall e registrar esse tráfego em log é a funcionalidade principal demonstrada nas soluções apresentadas aqui. O firewall pode ser o Firewall do Azure, o Azure Front Door com WAF, o Gateway de Aplicativo com WAF ou uma NVA de terceiros. O firewall ajuda a proteger o perímetro da nuvem e salva os logs de cada transação. Independentemente da camada de firewall, a solução de coleta e entrega de logs requer um espaço de trabalho do Log Analytics, um aplicativo registrado e um hub de eventos. O espaço de trabalho do Log Analytics envia os logs para o hub de eventos.
O CLAW é um serviço gerenciado pela CISA. No final de 2022, a CISA lançou o TALON. O TALON é um serviço gerenciado pela CISA que usa funcionalidades nativas do Azure. Uma instância do TALON é executada em cada região do Azure. O TALON conecta-se a hubs de eventos gerenciados por agências governamentais para enviar logs dos firewalls das agências e do Microsoft Entra para o CISA CLAW.
Para obter mais informações sobre o CLAW, a TIC 3.0 e o MTIPS, consulte:
- Diretrizes de Conexão Confiável com a Internet
- Documentação principal de orientação sobre a TIC 3.0
- Documentação sobre o NCPS (National Cybersecurity Protection System)
- EINSTEIN
- MTIPS (Managed Trusted Internet Protocol Services)
Possíveis casos de uso
As soluções de conformidade com a TIC 3.0 normalmente são usadas por organizações federais e agências governamentais para seus aplicativos Web e serviços de API baseados no Azure.
Considerações
Essas considerações implementam os pilares do Azure Well-Architected Framework, um conjunto de princípios orientadores que você pode usar para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.
- Avalie sua arquitetura atual para determinar qual das soluções apresentadas aqui tem a melhor abordagem de conformidade com a TIC 3.0.
- Entre em contato com o representante da CISA para solicitar acesso ao CLAW.
Confiabilidade
A confiabilidade garante que seu aplicativo possa cumprir os compromissos que você assume com seus clientes. Para obter mais informações, confira Visão geral do pilar de confiabilidade.
- As camadas Standard e Premium do Firewall do Azure integram-se às zonas de disponibilidade para aumentar a disponibilidade.
- O Gateway de Aplicativo v2 oferece suporte a zonas de dimensionamento automático e de disponibilidade para aumentar a confiabilidade.
- Implementações em várias regiões que incluem serviços de balanceamento de carga, como o Azure Front Door, podem melhorar a confiabilidade e a resiliência.
- Os Hubs de Eventos Standard e Premium contam com o emparelhamento de recuperação de desastre geográfico, que permite que um namespace faça failover para uma região secundária.
Segurança
A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para saber mais, confira Visão geral do pilar de segurança.
- Quando você registra um aplicativo corporativo, é criada uma entidade de serviço. Use um esquema de nomenclatura para entidades de serviço que indique a finalidade de cada uma.
- Faça auditorias para determinar a atividade das entidades de serviço e o status dos proprietários delas.
- O Firewall do Azure tem políticas padrão. Os WAFs associados ao Gateway de Aplicativo e ao Azure Front Door têm conjuntos de regras gerenciados para ajudar a proteger o serviço Web. Comece com esses conjuntos de regras e, ao longo do tempo, crie políticas organizacionais baseadas em requisitos do setor, práticas recomendadas e regulamentações governamentais.
- O acesso aos Hubs de Eventos é autorizado por meio de identidades gerenciadas do Microsoft Entra e de um certificado fornecido pela CISA.
Otimização de custo
A otimização de custos consiste em reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, confira Visão geral do pilar de otimização de custo.
O custo de cada solução diminui à medida que os recursos aumentam. O preço neste cenário de exemplo da calculadora de preços do Azure é baseado na solução Firewall do Azure. Se você alterar a configuração, os custos poderão aumentar. Em alguns planos, os custos aumentam à medida que aumenta o número de logs ingeridos.
Observação
Use a calculadora de preços do Azure para obter preços atualizados com base nos recursos implantados para a solução escolhida.
Excelência operacional
A excelência operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, confira Visão geral do pilar de excelência operacional.
- Alertas do Azure Monitor são incorporados às soluções para notificar você quando um carregamento não consegue entregar logs ao CLAW. É necessário determinar a gravidade dos alertas e como responder.
- Você pode usar modelos do ARM (Azure Resource Manager), Bicep ou Terraform para acelerar a implantação de arquiteturas TIC 3.0 para novos aplicativos.
Eficiência de desempenho
A eficiência do desempenho é a capacidade de dimensionar sua carga de trabalho para atender às demandas colocadas por usuários de maneira eficiente. Para obter mais informações, consulte Visão geral do pilar de eficiência de desempenho.
- O desempenho do Firewall do Azure, do Gateway de Aplicativo, do Azure Front Door e dos Hubs de Eventos é dimensionado conforme o uso aumenta.
- O Firewall do Azure Premium permite mais conexões TCP do que o Standard e fornece maior largura de banda.
- O Gateway de Aplicativo v2 garante automaticamente que as novas instâncias sejam distribuídas entre domínios de falha e domínios de atualização.
- O Azure Front Door fornece armazenamento em cache, compactação, aceleração do tráfego e terminação TLS para melhorar o desempenho.
- Os Hubs de Eventos Standard e Premium fornecem ampliação automática para escalar verticalmente conforme a carga aumenta.
Implantar uma solução do Firewall do Azure
Observação
Recursos de implantação não são fornecidos para esta solução. Ela só foi incluída para fins de orientação.
A implantação do Firewall do Azure em sua arquitetura de rede permite que você gerencie e proteja efetivamente o tráfego que entra no ambiente de aplicativos do Azure. Essa solução fornece diretrizes abrangentes para coletar e entregar logs ao Cloud Log Aggregation Warehouse (CLAW) da Agência de Segurança Cibernética e Infraestrutura (CISA), garantindo a conformidade com os requisitos de Conexões Confiáveis com a Internet (TIC) 3.0. A implantação pode ser automatizada usando modelos ARM, Bicep ou Terraform, simplificando o processo de configuração e aderindo às práticas recomendadas de infraestrutura como código.
Essa solução inclui:
- Uma rede virtual que tem sub-redes separadas para o firewall e os servidores.
- Um espaço de trabalho do Log Analytics.
- Firewall do Azure com uma política de rede para acesso à internet.
- Configurações de diagnóstico do Firewall do Azure que enviam logs para o espaço de trabalho do Log Analytics.
- Uma tabela de rotas associada ao grupo de recursos do aplicativo para encaminhar o serviço de aplicativo até o firewall para obter os logs gerados.
- Um aplicativo registrado.
- Um hub de eventos.
- Uma regra de alerta que envia um email se um trabalho falhar.
Implantar uma solução que usa o Gateway de Aplicativo com WAF
Observação
Recursos de implantação não são fornecidos para esta solução. Ela só foi incluída para fins de orientação.
A implantação do Gateway de Aplicativo com o WAF (Firewall de Aplicativo Web) em sua arquitetura de rede permite que você gerencie e proteja com eficiência o tráfego da Web que entra no ambiente de aplicativos do Azure. Essa solução fornece diretrizes abrangentes para coletar e entregar logs ao Cloud Log Aggregation Warehouse (CLAW) da Agência de Segurança Cibernética e Infraestrutura (CISA), garantindo a conformidade com os requisitos de Conexões Confiáveis com a Internet (TIC) 3.0. A implantação pode ser automatizada usando modelos ARM, Bicep ou Terraform, simplificando o processo de configuração e aderindo às práticas recomendadas de infraestrutura como código.
Essa solução inclui:
- Uma rede virtual que tem sub-redes separadas para o firewall e os servidores.
- Um espaço de trabalho do Log Analytics.
- Uma instância do Gateway de Aplicativo v2 com WAF. O WAF é configurado com políticas de bot e políticas gerenciadas pela Microsoft.
- Configurações de diagnóstico do Gateway de Aplicativo v2 que enviam logs para o espaço de trabalho do Log Analytics.
- Um aplicativo registrado.
- Um hub de eventos.
- Uma regra de alerta que envia um email se um trabalho falhar.
Implantar uma solução que usa o Azure Front Door com o WAF
Observação
Recursos de implantação não são fornecidos para esta solução. Ela só foi incluída para fins de orientação.
A solução a seguir usa o Azure Front Door com WAF para gerenciar e proteger o tráfego global da Web que entra no ambiente de aplicativos do Azure. Essa solução fornece orientação abrangente para gerar, coletar e entregar logs ao CISA Cloud Log Aggregation Warehouse (CLAW), garantindo a conformidade com os requisitos do Trusted Internet Connections (TIC) 3.0. A implantação pode ser automatizada usando modelos ARM, Bicep ou Terraform, simplificando o processo de configuração e aderindo às práticas recomendadas de infraestrutura como código.
Essa solução inclui:
- Uma rede virtual que tem sub-redes separadas para o firewall e os servidores.
- Um espaço de trabalho do Log Analytics.
- Uma instância do Azure Front Door com WAF. O WAF é configurado com políticas de bot e políticas gerenciadas pela Microsoft.
- Configurações de diagnóstico do Azure Front Door que enviam logs para o espaço de trabalho do Log Analytics.
- Um aplicativo registrado.
- Um hub de eventos.
- Uma regra de alerta que envia um email se um trabalho falhar.
Solução de firewall de terceiros (NVA)
Observação
Recursos de implantação não são fornecidos para esta solução. Ela só foi incluída para fins de orientação.
A solução a seguir ilustra como usar um firewall de terceiros para gerenciar o tráfego que entra no ambiente de aplicativos do Azure e implementar a conformidade com a TIC 3.0. Firewalls de terceiros exigem o uso de uma máquina virtual encaminhadora do Syslog. Seus agentes precisam estar registrados no espaço de trabalho do Log Analytics. O firewall de terceiros está configurado para exportar os logs no formato Syslog para a máquina virtual encaminhadora do Syslog. O agente está configurado para enviar os logs para o espaço de trabalho do Log Analytics. Depois que os logs estão no espaço de trabalho do Log Analytics, eles são enviados para os Hubs de Eventos e processados como nas outras soluções descritas neste artigo.
Tarefas de pós-implantação
Após a implantação, seu ambiente executa as funcionalidades de firewall e as conexões para registro de log. Para estar em conformidade com as políticas de TIC 3.0 para a coleta de telemetria de rede, você precisa garantir que os logs cheguem ao CLAW CISA. As etapas pós-implantação concluem as tarefas para habilitar a conformidade. Para concluir essas etapas, você precisa coordenar com a CISA, uma vez que ela precisa fornecer um certificado para fazer a associação com sua entidade de serviço.
Você precisa executar as tarefas a seguir manualmente após a implantação. Não é possível concluí-las usando um modelo do ARM.
- Obtenha um certificado de chave pública da CISA.
- Crie uma entidade de serviço (registro do aplicativo).
- Adicione o certificado de chave pública ao registro do aplicativo.
- Atribua ao aplicativo a função Receptor de Dados dos Hubs de Eventos do Azure no escopo do namespace dos Hubs de Eventos.
- Ative o feed enviando a ID do locatário do Azure, a ID do aplicativo (cliente), o nome do namespace do hub de eventos, o nome do hub de eventos e o nome do grupo de consumidores para o CISA.
Colaboradores
Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.
Autor principal:
- Paul Lizer | Arquiteto de Soluções de Nuvem Sênior
Outro colaborador:
- Mick Alberts | Escritor técnico
Para ver perfis não públicos do LinkedIn, entre no LinkedIn.
Próximas etapas
- Documentação principal de orientação sobre a TIC 3.0
- Documentação sobre o NCPS (National Cybersecurity Protection System)
- EINSTEIN
- MTIPS (Managed Trusted Internet Protocol Services)
- TIC do Azure - Estendida
- Federal App Innovation - TIC 3.0
- O que é o Firewall do Azure?
- Documentação do Firewall do Azure
- O que é o Gateway de Aplicativo do Azure?
- Azure Front Door
- Introdução ao WAF do Azure
- Visão geral do Log Analytics no Azure Monitor
- O que são os Hubs de Eventos do Azure?
- Visão geral dos Alertas no Azure
- Objetos de entidade de serviço e aplicativo no Microsoft Entra ID
- Use o portal para criar um aplicativo do Microsoft Entra e uma entidade de serviço que possa acessar recursos
- Registrar um aplicativo na plataforma de identidade da Microsoft
- Atribuir funções do Azure usando o portal do Azure
- Criar grupos de recursos
- Como encontrar a ID de locatário do seu Microsoft Entra
- Coletar fontes de dados do Syslog com o agente do Log Analytics
- Analisar dados de texto nos logs do Azure Monitor
- Introdução ao log de fluxo dos grupos de segurança de rede
- O que são identidades gerenciadas para recursos do Azure?
- Implantar e configurar o Firewall do Azure usando o portal do Azure