I den här artikeln beskrivs hur du uppnår TIC(Trusted Internet Connections) 3.0-efterlevnad för Internetuppkopplade Azure-program och -tjänster. Den tillhandahåller lösningar och resurser som hjälper myndigheter att uppfylla TIC 3.0-efterlevnad. Den beskriver också hur du distribuerar nödvändiga tillgångar och hur du införlivar lösningarna i befintliga system.
Kommentar
Microsoft tillhandahåller denna information till FCEB-avdelningar (Federal Civil Executive Branch) som en del av en föreslagen konfiguration för att underlätta deltagandet i CISA-funktionen (Cybersecurity and Infrastructure Security Agency) Cloud Log Aggregation Warehouse (CLAW). De föreslagna konfigurationerna underhålls av Microsoft och kan komma att ändras.
Arkitektur
Ladda ned en Visio-fil med den här arkitekturen.
Dataflöde
- Brandvägg
- Brandväggen kan vara valfri layer 3- eller layer 7-brandvägg.
- Azure Firewall och vissa brandväggar från tredje part, även kallade virtuella nätverksinstallationer (NVA) är layer 3-brandväggar.
- Azure Application Gateway med Web Application Firewall (WAF) och Azure Front Door med WAF är brandväggar på nivå 7.
- Den här artikeln innehåller distributionslösningar för Azure Firewall, Application Gateway med WAF och Azure Front Door med WAF-distributioner.
- Brandväggen tillämpar principer, samlar in mått och loggar anslutningstransaktioner mellan webbtjänster och de användare och tjänster som har åtkomst till webbtjänsterna.
- Brandväggen kan vara valfri layer 3- eller layer 7-brandvägg.
- Brandväggsloggar
- Azure Firewall, Application Gateway med WAF och Azure Front Door med WAF skickar loggar till Log Analytics-arbetsytan.
- Brandväggar från tredje part skickar loggar i Syslog-format till Log Analytics-arbetsytan via en virtuell Syslog-vidarebefordrare.
- Log Analytics-arbetsyta
- Log Analytics-arbetsytan är en lagringsplats för loggar.
- Den kan vara värd för en tjänst som tillhandahåller anpassad analys av nätverkstrafikdata från brandväggen.
- Tjänstens huvudnamn (registrerat program)
- Azure Event Hubs Standard
- CISA TALON
Komponenter
- Brandvägg. Arkitekturen använder en eller flera av följande brandväggar. (Mer information finns i Alternativavsnittet i den här artikeln.)
- Azure Firewall är en molnbaserad, intelligent nätverksbrandväggssäkerhetstjänst som ger förbättrat skydd mot hot för molnarbetsbelastningar som körs i Azure. Det är en helt tillståndskänslig brandvägg som en tjänst med inbyggd hög tillgänglighet och obegränsad molnskalbarhet. Den är tillgänglig på två prestandanivåer: Standard och Premium. Azure Firewall Premium innehåller alla funktioner i Azure Firewall Standard och innehåller ytterligare funktioner som TLS-inspektion (Transport Layer Security) och ett system för intrångsidentifiering och skydd (IDPS).
- Application Gateway med WAF är en regional lastbalanserare för webbtrafik som gör att du kan hantera trafik till dina webbprogram. WAF ger förbättrat centraliserat skydd av dina webbprogram mot vanliga sårbarheter och sårbarheter.
- Azure Front Door med WAF är en global lastbalanserare för webbtrafik som gör att du kan hantera trafik till dina webbprogram. Den tillhandahåller funktioner för innehållsleveransnätverk (CDN) för att påskynda och modernisera dina program. WAF ger förbättrat centraliserat skydd av dina webbprogram mot vanliga sårbarheter och sårbarheter.
- En brandvägg från tredje part är en NVA som körs på en virtuell Azure-dator och som använder brandväggstjänster från icke-Microsoft-leverantörer. Microsoft har stöd för ett stort ekosystem med tredjepartsleverantörer som tillhandahåller brandväggstjänster.
- Loggning och autentisering.
- Log Analytics är ett verktyg som är tillgängligt i Azure Portal som du kan använda för att redigera och köra loggfrågor mot Azure Monitor-loggar. Mer information finns i Azure Well-Architected Framework-perspektiv på Log Analytics.
- Azure Monitor är en omfattande lösning för att samla in, analysera och agera på telemetri.
- Microsoft Entra ID tillhandahåller identitetstjänster, enkel inloggning och multifaktorautentisering i Azure-arbetsbelastningar.
- Ett huvudnamn för tjänsten (registrerat program) är en entitet som definierar åtkomstprincipen och behörigheterna för en användare eller ett program i en Microsoft Entra-klientorganisation.
- Event Hubs Standard är en modern plattform för stordataströmning och händelseinmatning.
- CISA TALON är en CISA-hanterad tjänst som körs på Azure. TALON ansluter till din Event Hubs-tjänst, autentiserar med hjälp av ett CISA-certifikat som är associerat med tjänstens huvudnamn och samlar in loggar för CLAW-förbrukning.
Alternativ
Det finns några alternativ som du kan använda i dessa lösningar:
- Du kan dela upp logginsamlingen i ansvarsområden. Du kan till exempel skicka Microsoft Entra-loggar till en Log Analytics-arbetsyta som hanteras av identitetsteamet och skicka nätverksloggar till en annan Log Analytics-arbetsyta som hanteras av nätverksteamet.
- Exemplen i den här artikeln använder var och en en brandvägg, men vissa organisatoriska krav eller arkitekturer kräver två eller flera. En arkitektur kan till exempel innehålla en Azure Firewall-instans och en Application Gateway-instans med WAF. Loggar för varje brandvägg måste samlas in och göras tillgängliga för CISA TALON att samla in.
- Om din miljö kräver utgående Internet från Azure-baserade virtuella datorer kan du använda en layer 3-lösning som Azure Firewall eller en brandvägg från tredje part för att övervaka och logga utgående trafik.
Information om scenario
TIC 3.0 flyttar TIC från lokal datainsamling till en molnbaserad metod som bättre stöder moderna program och system. Det förbättrar prestanda eftersom du kan komma åt Azure-program direkt. Med TIC 2.x måste du komma åt Azure-program via en MTIPS-enhet (TIC 2.x Managed Trusted Internet Protocol Service), vilket gör svaret långsammare.
Routning av programtrafik via en brandvägg och loggning av att trafik är kärnfunktionerna som visas i lösningarna som presenteras här. Brandväggen kan vara Azure Firewall, Azure Front Door med WAF, Application Gateway med WAF eller en NVA från tredje part. Brandväggen hjälper till att skydda molnperimetern och sparar loggar för varje transaktion. Oberoende av brandväggslagret kräver loggsamlings- och leveranslösningen en Log Analytics-arbetsyta, ett registrerat program och en händelsehubb. Log Analytics-arbetsytan skickar loggar till händelsehubben.
CLAW är en CISA-hanterad tjänst. I slutet av 2022 släppte CISA TALON. TALON är en CISA-hanterad tjänst som använder inbyggda Azure-funktioner. En instans av TALON körs i varje Azure-region. TALON ansluter till händelsehubbar som hanteras av myndigheter för att hämta agenturens brandvägg och Microsoft Entra-loggar till CISA CLAW.
Mer information om CLAW, TIC 3.0 och MTIPS finns i:
- Vägledning för betrodda Internetanslutningar
- Grundläggande vägledningsdokument för TIC 3.0
- Ncps-dokument (National Cybersecurity Protection System)
- EINSTEIN
- Managed Trusted Internet Protocol Services (MTIPS)
Potentiella användningsfall
TIC 3.0-efterlevnadslösningar används ofta av federala organisationer och myndigheter för deras Azure-baserade webbprogram och API-tjänster.
Att tänka på
Dessa överväganden implementerar grundpelarna i Azure Well-Architected Framework, som är en uppsättning vägledande grundsatser som du kan använda för att förbättra kvaliteten på en arbetsbelastning. Mer information finns i Microsoft Azure Well-Architected Framework.
- Utvärdera din aktuella arkitektur för att avgöra vilka av lösningarna som presenteras här som den bästa metoden för TIC 3.0-efterlevnad.
- Kontakta din CISA-representant för att begära åtkomst till CLAW.
Tillförlitlighet
Tillförlitlighet säkerställer att ditt program kan uppfylla de åtaganden du gör gentemot dina kunder. Mer information finns i Översikt över tillförlitlighetspelare.
- Azure Firewall Standard och Premium integreras med tillgänglighetszoner för att öka tillgängligheten.
- Application Gateway v2 stöder automatisk skalning och tillgänglighetszoner för att öka tillförlitligheten.
- Implementeringar i flera regioner som omfattar belastningsutjämningstjänster som Azure Front Door kan förbättra tillförlitligheten och motståndskraften.
- Event Hubs Standard och Premium tillhandahåller geo-haveriberedskapspar som gör att ett namnområde kan redundansväxla till en sekundär region.
Säkerhet
Säkerhet ger garantier mot avsiktliga attacker och missbruk av dina värdefulla data och system. Mer information finns i Översikt över säkerhetspelare.
- När du registrerar ett företagsprogram skapas ett huvudnamn för tjänsten. Använd ett namngivningsschema för tjänstens huvudnamn som anger syftet med var och en.
- Utför granskningar för att fastställa aktiviteten för tjänstens huvudnamn och statusen för tjänstens huvudnamnsägare.
- Azure Firewall har standardprinciper. WAFs som är associerade med Application Gateway och Azure Front Door har hanterade regeluppsättningar för att skydda din webbtjänst. Börja med dessa regeluppsättningar och skapa organisationsprinciper över tid baserat på branschkrav, bästa praxis och myndighetsregler.
- Åtkomst till Event Hubs auktoriseras via Microsoft Entra-hanterade identiteter och ett certifikat som tillhandahålls av CISA.
Kostnadsoptimering
Kostnadsoptimering handlar om att minska onödiga utgifter och förbättra drifteffektiviteten. Mer information finns i Översikt över kostnadsoptimeringspelare.
Kostnaden för varje lösning skalas ned när resurserna ökar. Prissättningen i det här exemplet på Azure-priskalkylatorn baseras på Azure Firewall-lösningen. Om du ändrar konfigurationen kan kostnaderna öka. Med vissa planer ökar kostnaderna i takt med att antalet inmatade loggar ökar.
Kommentar
Använd Priskalkylatorn för Azure för att få uppdaterade priser som baseras på de resurser som distribueras för den valda lösningen.
Driftsäkerhet
Driftskvalitet omfattar de driftsprocesser som distribuerar ett program och håller det igång i produktion. Mer information finns i Översikt över grundpelare för driftskvalitet.
- Azure Monitor-aviseringar är inbyggda i lösningarna för att meddela dig när en uppladdning misslyckas med att leverera loggar till CLAW. Du måste fastställa allvarlighetsgraden för aviseringarna och hur du ska svara.
- Du kan använda Azure Resource Manager (ARM), Bicep eller Terraform-mallar för att påskynda distributionen av TIC 3.0-arkitekturer för nya program.
Prestandaeffektivitet
Prestandaeffektivitet handlar om att effektivt skala arbetsbelastningen baserat på användarnas behov. Mer information finns i Översikt över grundpelare för prestandaeffektivitet.
- Prestanda för Azure Firewall, Application Gateway, Azure Front Door och Event Hubs skalas när användningen ökar.
- Azure Firewall Premium tillåter fler TCP-anslutningar än Standard och ger ökad bandbredd.
- Application Gateway v2 säkerställer automatiskt att nya instanser sprids över feldomäner och uppdateringsdomäner.
- Azure Front Door tillhandahåller cachelagring, komprimering, trafikacceleration och TLS-avslutning för att förbättra prestanda.
- Event Hubs Standard och Premium ger automatisk uppskalning när belastningen ökar.
Distribuera en Azure Firewall-lösning
Kommentar
Distributionsresurser tillhandahålls inte för den här lösningen. Det ingår bara för att ge vägledning.
När du distribuerar Azure Firewall i nätverksarkitekturen kan du effektivt hantera och skydda trafiken till din Azure-programmiljö. Den här lösningen ger omfattande vägledning för att samla in och leverera loggar till CISA (Cybersecurity and Infrastructure Security Agency) Cloud Log Aggregation Warehouse (CLAW), vilket säkerställer kompatibilitet med TIC 3.0-krav (Trusted Internet Connections). Distributionen kan automatiseras med ARM-, Bicep- eller Terraform-mallar som effektiviserar konfigurationsprocessen och följer metodtipsen för infrastruktur som kod.
Lösningen innehåller:
- Ett virtuellt nätverk som har separata undernät för brandväggen och servrarna.
- En Log Analytics-arbetsyta.
- Azure Firewall med en nätverksprincip för internetåtkomst.
- Diagnostikinställningar för Azure Firewall som skickar loggar till Log Analytics-arbetsytan.
- En routningstabell som är associerad med programresursgruppen för att dirigera apptjänsten till brandväggen för loggarna som genereras.
- Ett registrerat program.
- En händelsehubb.
- En aviseringsregel som skickar ett e-postmeddelande om ett jobb misslyckas.
Distribuera en lösning som använder Application Gateway med WAF
Kommentar
Distributionsresurser tillhandahålls inte för den här lösningen. Det ingår bara för att ge vägledning.
Genom att distribuera Application Gateway med brandväggen för webbaserade program (WAF) i nätverksarkitekturen kan du effektivt hantera och skydda webbtrafik som kommer in i din Azure-programmiljö. Den här lösningen ger omfattande vägledning för att samla in och leverera loggar till CISA (Cybersecurity and Infrastructure Security Agency) Cloud Log Aggregation Warehouse (CLAW), vilket säkerställer kompatibilitet med TIC 3.0-krav (Trusted Internet Connections). Distributionen kan automatiseras med ARM-, Bicep- eller Terraform-mallar, effektivisera konfigurationsprocessen och följa metodtipsen för infrastruktur som kod.
Lösningen innehåller:
- Ett virtuellt nätverk som har separata undernät för brandväggen och servrarna.
- En Log Analytics-arbetsyta.
- En Application Gateway v2-instans med WAF. WAF har konfigurerats med robot- och Microsoft-hanterade principer.
- Diagnostikinställningar för Application Gateway v2 som skickar loggar till Log Analytics-arbetsytan.
- Ett registrerat program.
- En händelsehubb.
- En aviseringsregel som skickar ett e-postmeddelande om ett jobb misslyckas.
Distribuera en lösning som använder Azure Front Door med WAF
Kommentar
Distributionsresurser tillhandahålls inte för den här lösningen. Det ingår bara för att ge vägledning.
Följande lösning använder Azure Front Door med WAF för att hantera och skydda global webbtrafik som kommer in i din Azure-programmiljö. Den här lösningen ger omfattande vägledning för att generera, samla in och leverera loggar till CISA Cloud Log Aggregation Warehouse (CLAW), vilket säkerställer kompatibilitet med TIC 3.0-krav (Trusted Internet Connections). Distributionen kan automatiseras med ARM-, Bicep- eller Terraform-mallar, effektivisera konfigurationsprocessen och följa metodtipsen för infrastruktur som kod.
Lösningen innehåller:
- Ett virtuellt nätverk som har separata undernät för brandväggen och servrarna.
- En Log Analytics-arbetsyta.
- En Azure Front Door-instans med WAF. WAF har konfigurerats med robot- och Microsoft-hanterade principer.
- Diagnostikinställningar för Azure Front Door som skickar loggar till Log Analytics-arbetsytan.
- Ett registrerat program.
- En händelsehubb.
- En aviseringsregel som skickar ett e-postmeddelande om ett jobb misslyckas.
Brandväggslösning från tredje part (NVA)
Kommentar
Distributionsresurser tillhandahålls inte för den här lösningen. Det ingår bara för att ge vägledning.
Följande lösning visar hur du kan använda en brandvägg från tredje part för att hantera trafik som kommer in i din Azure-programmiljö och implementera TIC 3.0-efterlevnad. Brandväggar från tredje part kräver användning av en virtuell Syslog-vidarebefordrare. Dess agenter måste registreras med Log Analytics-arbetsytan. Brandväggen från tredje part har konfigurerats för att exportera loggarna i Syslog-format till den virtuella datorn Syslog-vidarebefordraren. Agenten är konfigurerad för att skicka loggarna till Log Analytics-arbetsytan. När loggarna finns på Log Analytics-arbetsytan skickas de till Event Hubs och bearbetas som de är i de andra lösningarna som beskrivs i den här artikeln.
Uppgifter efter distributionen
Efter distributionen utför din miljö brandväggsfunktionerna och loggningsanslutningarna. För att uppfylla efterlevnaden av TIC 3.0-principer för insamling av nätverkstelemetri måste du se till att loggarna tar sig till CISA CLAW. Stegen efter distributionen slutför uppgifterna för att aktivera efterlevnad. För att slutföra de här stegen måste du samordna med CISA eftersom CISA måste ange ett certifikat som ska associeras med tjänstens huvudnamn.
Du måste utföra följande uppgifter manuellt efter distributionen. Du kan inte slutföra dem med hjälp av en ARM-mall.
- Hämta ett offentligt nyckelcertifikat från CISA.
- Skapa ett huvudnamn för tjänsten (programregistrering).
- Lägg till certifikatet för offentlig nyckel i programregistreringen.
- Tilldela programmet rollen Azure Event Hubs Data Receiver i Event Hubs-namnområdesomfånget.
- Aktivera flödet genom att skicka Azure-klientorganisations-ID, program-ID (klient)-ID, namn på händelsehubbnamn, händelsehubbnamn och konsumentgruppsnamn till CISA.
Deltagare
Den här artikeln underhålls av Microsoft. Det har ursprungligen skrivits av följande medarbetare.
Huvudförfattare:
- Paul Lizer | Senior Cloud Solution Architect
Annan deltagare:
- Mick Alberts | Teknisk författare
Om du vill se icke-offentliga LinkedIn-profiler loggar du in på LinkedIn.
Nästa steg
- Grundläggande vägledningsdokument för TIC 3.0
- Ncps-dokument (National Cybersecurity Protection System)
- EINSTEIN
- Managed Trusted Internet Protocol Services (MTIPS)
- Azure Trusted Internet Connection – utökad
- Federal App Innovation – TIC 3.0
- Vad är Azure Firewall?
- Dokumentation om Azure Firewall
- Vad är Azure Application Gateway?
- Azure Front Door
- Introduktion till Azure WAF
- Översikt över Log Analytics i Azure Monitor
- Vad är Azure Event Hubs?
- Översikt över aviseringar i Azure
- Översikt över program- och tjänstobjekt i Microsoft Entra ID
- Använd portalen för att skapa ett Microsoft Entra-program och tjänstens huvudnamn som kan komma åt resurser
- Registrera en app på Microsoft Identity Platform
- Tilldela Azure-roller med hjälp av Azure-portalen
- Skapa resursgrupper
- Så här hittar du ditt Klient-ID för Microsoft Entra
- Samla in Syslog-datakällor med Log Analytics-agenten
- Parsa textdata i Azure Monitor-loggar
- Introduktion till flödesloggning för nätverkssäkerhetsgrupper
- Vad är hanterade identiteter för Azure-resurser?
- Distribuera och konfigurera Azure Firewall med hjälp av Azure-portalen