Questo articolo descrive come ottenere la conformità TIC (Trusted Internet Connections) 3.0 per applicazioni e servizi di Azure con connessione Internet. Fornisce soluzioni e risorse per aiutare le organizzazioni governative a soddisfare la conformità TIC 3.0. Descrive anche come distribuire gli asset necessari e come incorporare le soluzioni nei sistemi esistenti.
Nota
Microsoft fornisce queste informazioni ai reparti e alle agenzie fcEB (Federal Civilian Executive Branch) nell'ambito di una configurazione suggerita per facilitare la partecipazione alla funzionalità CiSA (Cloud Log Aggregation Warehouse) cisa (CISA) cloud log aggregation warehouse (CLAW). Le configurazioni suggerite vengono gestite da Microsoft e sono soggette a modifiche.
Architettura
Scaricare un file di Visio di questa architettura.
Flusso di dati
- Firewall
- Il firewall può essere qualsiasi firewall di livello 3 o di livello 7.
- Firewall di Azure e alcuni firewall di terze parti, noti anche come appliance virtuali di rete ,sono firewall di livello 3.
- app Azure gateway di comunicazione con Web Application Firewall (WAF) e Frontdoor di Azure con WAF sono firewall di livello 7.
- Questo articolo fornisce soluzioni di distribuzione per Firewall di Azure, gateway applicazione con WAF e Frontdoor di Azure con distribuzioni WAF.
- Il firewall applica i criteri, raccoglie le metriche e registra le transazioni di connessione tra i servizi Web e gli utenti e i servizi che accedono ai servizi Web.
- Il firewall può essere qualsiasi firewall di livello 3 o di livello 7.
- Log del firewall
- Firewall di Azure, gateway applicazione con WAF e Frontdoor di Azure con WAF inviano log all'area di lavoro Log Analytics.
- I firewall di terze parti inviano i log in formato Syslog all'area di lavoro Log Analytics tramite una macchina virtuale del server d'inoltro Syslog.
- Area di lavoro Log Analytics
- L'area di lavoro Log Analytics è un repository per i log.
- Può ospitare un servizio che fornisce un'analisi personalizzata dei dati del traffico di rete dal firewall.
- Entità servizio (applicazione registrata)
- Hub eventi di Azure Standard
- CISA TALON
Componenti
- Firewall. L'architettura userà uno o più dei firewall seguenti. Per altre informazioni, vedere Sezione Alternative di questo articolo.
- Firewall di Azure è un servizio di sicurezza del firewall di rete intelligente nativo del cloud che fornisce una protezione avanzata dalle minacce per i carichi di lavoro cloud eseguiti in Azure. È un firewall con stato completo distribuito come servizio con disponibilità elevata e scalabilità cloud senza limiti. È disponibile in due livelli di prestazioni: Standard e Premium. Firewall di Azure Premium include tutte le funzionalità di Firewall di Azure Standard e offre funzionalità aggiuntive come l'ispezione tls (Transport Layer Security) e un sistema di rilevamento e prevenzione delle intrusioni (IDPS).
- gateway applicazione con WAF è un servizio di bilanciamento del carico del traffico Web a livello di area che consente di gestire il traffico verso le applicazioni Web. WAF offre una protezione centralizzata avanzata delle applicazioni Web da exploit e vulnerabilità comuni.
- Frontdoor di Azure con WAF è un servizio di bilanciamento del carico del traffico Web globale che consente di gestire il traffico verso le applicazioni Web. Offre funzionalità di rete per la distribuzione di contenuti (RETE CDN) per velocizzare e modernizzare le applicazioni. WAF offre una protezione centralizzata avanzata delle applicazioni Web da exploit e vulnerabilità comuni.
- Un firewall di terze parti è un'appliance virtuale di rete che viene eseguita in una macchina virtuale di Azure e usa i servizi firewall di fornitori non Microsoft. Microsoft supporta un ampio ecosistema di fornitori di terze parti che forniscono servizi firewall.
- Registrazione e autenticazione.
- Log Analytics è uno strumento disponibile nella portale di Azure che è possibile usare per modificare ed eseguire query di log sui log di Monitoraggio di Azure. Per altre informazioni, vedere Panoramica di Log Analytics in Monitoraggio di Azure.
- Monitoraggio di Azure è una soluzione completa per la raccolta, l'analisi e l'esecuzione di operazioni sui dati di telemetria.
- Microsoft Entra ID fornisce servizi di identità, single sign-on e autenticazione a più fattori tra carichi di lavoro di Azure.
- Un'entità servizio (applicazione registrata) è un'entità che definisce i criteri di accesso e le autorizzazioni per un utente o un'applicazione in un tenant di Microsoft Entra.
- Hub eventi Standard è una piattaforma di streaming di Big Data moderna e un servizio di inserimento di eventi.
- CISA TALON è un servizio gestito da CISA eseguito in Azure. TALON si connette al servizio Hub eventi, esegue l'autenticazione usando un certificato fornito da CISA associato all'entità servizio e raccoglie i log per il consumo CLAW.
Alternative
Esistono alcune alternative che è possibile usare in queste soluzioni:
- È possibile separare la raccolta di log in aree di responsabilità. Ad esempio, è possibile inviare i log di Microsoft Entra a un'area di lavoro Log Analytics gestita dal team di identità e inviare i log di rete a un'area di lavoro Log Analytics diversa gestita dal team di rete.
- Gli esempi in questo articolo usano un singolo firewall, ma alcuni requisiti o architetture dell'organizzazione richiedono due o più architetture. Ad esempio, un'architettura può includere un'istanza di Firewall di Azure e un'istanza di gateway applicazione con WAF. I log per ogni firewall devono essere raccolti e resi disponibili per la raccolta di CISA TALON.
- Se l'ambiente richiede l'uscita internet dalle macchine virtuali basate su Azure, è possibile usare una soluzione di livello 3, ad esempio Firewall di Azure o un firewall di terze parti per monitorare e registrare il traffico in uscita.
Dettagli dello scenario
TIC 3.0 sposta il TIC dalla raccolta dati locale a un approccio basato sul cloud che supporta meglio applicazioni e sistemi moderni. Migliora le prestazioni perché è possibile accedere direttamente alle applicazioni di Azure. Con TIC 2.x, è necessario accedere alle applicazioni Di Azure tramite un dispositivo TIC 2.x Managed Trusted Internet Protocol Service (MTIPS), che rallenta la risposta.
Instradare il traffico delle applicazioni attraverso un firewall e registrare che il traffico è la funzionalità di base illustrata nelle soluzioni presentate qui. Il firewall può essere Firewall di Azure, Frontdoor di Azure con WAF, gateway applicazione con WAF o un'appliance virtuale di rete di terze parti. Il firewall consente di proteggere il perimetro del cloud e di salvare i log di ogni transazione. Indipendentemente dal livello del firewall, la soluzione di raccolta e recapito dei log richiede un'area di lavoro Log Analytics, un'applicazione registrata e un hub eventi. L'area di lavoro Log Analytics invia i log all'hub eventi.
CLAW è un servizio gestito CISA. Alla fine del 2022, CISA ha rilasciato TALON. TALON è un servizio gestito CISA che usa funzionalità native di Azure. Un'istanza di TALON viene eseguita in ogni area di Azure. TALON si connette agli hub eventi gestiti dalle agenzie governative per eseguire il pull del firewall dell'agenzia e i log di Microsoft Entra in CISA CLAW.
Per altre informazioni su CLAW, TIC 3.0 e MTIPS, vedere:
- Indicazioni sulle connessioni Internet attendibili
- Documenti di linee guida di base TIC 3.0
- Documenti di National Cybersecurity Protection System (NCPS)
- EINSTEIN
- Managed Trusted Internet Protocol Services (MTIPS)
Potenziali casi d'uso
Le soluzioni di conformità TIC 3.0 vengono comunemente usate dalle organizzazioni federali e dalle agenzie governative per le applicazioni Web basate su Azure e i servizi API.
Considerazioni
Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Microsoft Azure Well-Architected Framework.
- Valutare l'architettura corrente per determinare quale delle soluzioni presentate qui offre l'approccio migliore alla conformità TIC 3.0.
- Contattare il rappresentante CISA per richiedere l'accesso a CLAW.
Affidabilità
L'affidabilità garantisce che l'applicazione possa soddisfare gli impegni che l'utente ha preso con i clienti. Per altre informazioni, vedere Panoramica del pilastro dell'affidabilità.
- Firewall di Azure Standard e Premium si integrano con le zone di disponibilità per aumentare la disponibilità.
- gateway applicazione v2 supporta la scalabilità automatica e le zone di disponibilità per aumentare l'affidabilità.
- Le implementazioni in più aree che includono servizi di bilanciamento del carico come Frontdoor di Azure possono migliorare l'affidabilità e la resilienza.
- Hub eventi Standard e Premium forniscono l'associazione di ripristino di emergenza geografico che consente a uno spazio dei nomi di eseguire il failover in un'area secondaria.
Sicurezza
La sicurezza offre garanzie contro attacchi intenzionali e l'abuso di dati e sistemi preziosi. Per altre informazioni, vedere Panoramica del pilastro della sicurezza.
- Quando si registra un'applicazione aziendale, viene creata un'entità servizio. Usare uno schema di denominazione per le entità servizio che indica lo scopo di ognuno di essi.
- Eseguire controlli per determinare l'attività delle entità servizio e lo stato dei proprietari dell'entità servizio.
- Firewall di Azure dispone di criteri standard. I WAF associati a gateway applicazione e Frontdoor di Azure hanno set di regole gestite per proteggere il servizio Web. Iniziare con questi set di regole e creare criteri aziendali nel tempo in base ai requisiti del settore, alle procedure consigliate e alle normative governative.
- L'accesso a Hub eventi è autorizzato tramite le identità gestite di Microsoft Entra e un certificato fornito da CISA.
Ottimizzazione dei costi
L'ottimizzazione dei costi riguarda la riduzione delle spese non necessarie e il miglioramento dell'efficienza operativa. Per altre informazioni, vedere Panoramica del pilastro di ottimizzazione dei costi.
Il costo di ogni soluzione aumenta man mano che aumentano le risorse. I prezzi in questo scenario di esempio di calcolatore prezzi di Azure si basano sulla soluzione Firewall di Azure. Se si modifica la configurazione, i costi potrebbero aumentare. Con alcuni piani, i costi aumentano man mano che aumenta il numero di log inseriti.
Nota
Usare il calcolatore prezzi di Azure per ottenere prezzi aggiornati basati sulle risorse distribuite per la soluzione selezionata.
Eccellenza operativa
L'eccellenza operativa copre i processi operativi che distribuiscono un'applicazione e la mantengono in esecuzione nell'ambiente di produzione. Per altre informazioni, vedere Panoramica del pilastro dell'eccellenza operativa.
- Gli avvisi di Monitoraggio di Azure sono integrati nelle soluzioni per notificare quando un caricamento non riesce a recapitare i log a CLAW. È necessario determinare la gravità degli avvisi e come rispondere.
- È possibile usare modelli di Azure Resource Manager (ARM), Bicep o Terraform per velocizzare la distribuzione delle architetture TIC 3.0 per le nuove applicazioni.
Efficienza prestazionale
L'efficienza delle prestazioni è la capacità di dimensionare il carico di lavoro per soddisfare in modo efficiente le richieste poste dagli utenti. Per altre informazioni, vedere Panoramica del pilastro dell'efficienza delle prestazioni.
- le prestazioni di Firewall di Azure, gateway applicazione, Frontdoor di Azure e Hub eventi aumentano con l'aumento dell'utilizzo.
- Firewall di Azure Premium consente più connessioni TCP rispetto a Standard e offre una maggiore larghezza di banda.
- gateway applicazione v2 garantisce automaticamente che le nuove istanze vengano distribuite tra domini di errore e domini di aggiornamento.
- Frontdoor di Azure offre memorizzazione nella cache, compressione, accelerazione del traffico e terminazione TLS per migliorare le prestazioni.
- Hub eventi Standard e Premium offrono un aumento automatico delle prestazioni in caso di aumento del carico.
Distribuire una soluzione Firewall di Azure
Nota
Le risorse di distribuzione non vengono fornite per questa soluzione. È incluso solo per fornire indicazioni.
La distribuzione di Firewall di Azure all'interno dell'architettura di rete consente di gestire e proteggere efficacemente il traffico che entra nell'ambiente dell'applicazione Azure. Questa soluzione fornisce indicazioni complete per la raccolta e la distribuzione dei log al Cloud Log Aggregation Warehouse (CISA) di Cybersecurity and Infrastructure Security Agency (CLAW), garantendo la conformità ai requisiti di Trusted Internet Connections (TIC) 3.0. La distribuzione può essere automatizzata usando modelli ARM, Bicep o Terraform semplificando il processo di installazione e rispettando le procedure consigliate per l'infrastruttura come codice.
Questa soluzione comprende:
- Una rete virtuale con subnet separate per il firewall e i server.
- Un'area di lavoro Log Analytics.
- Firewall di Azure con criteri di rete per l'accesso a Internet.
- Firewall di Azure impostazioni di diagnostica che inviano log all'area di lavoro Log Analytics.
- Tabella di route associata al gruppo di risorse dell'applicazione per instradare il servizio app al firewall per i log generati.
- Applicazione registrata.
- Un hub eventi.
- Regola di avviso che invia un messaggio di posta elettronica in caso di errore di un processo.
Distribuire una soluzione che usa gateway applicazione con WAF
Nota
Le risorse di distribuzione non vengono fornite per questa soluzione. È incluso solo per fornire indicazioni.
La distribuzione di gateway applicazione con Web Application Firewall (WAF) all'interno dell'architettura di rete consente di gestire e proteggere efficacemente il traffico Web nell'ambiente dell'applicazione Azure. Questa soluzione fornisce indicazioni complete per la raccolta e il recapito dei log al Cloud Log Aggregation Warehouse (CISA) Cloud Log Aggregation Warehouse (CISA), garantendo la conformità ai requisiti TIC (Trusted Internet Connections) 3.0. La distribuzione può essere automatizzata usando modelli ARM, Bicep o Terraform, semplificando il processo di installazione e rispettando le procedure consigliate per l'infrastruttura come codice.
Questa soluzione comprende:
- Una rete virtuale con subnet separate per il firewall e i server.
- Un'area di lavoro Log Analytics.
- Istanza di gateway applicazione v2 con WAF. WAF è configurato con bot e criteri gestiti da Microsoft.
- gateway applicazione impostazioni di diagnostica v2 che inviano log all'area di lavoro Log Analytics.
- Applicazione registrata.
- Un hub eventi.
- Regola di avviso che invia un messaggio di posta elettronica in caso di errore di un processo.
Distribuire una soluzione che usa Frontdoor di Azure con WAF
Nota
Le risorse di distribuzione non vengono fornite per questa soluzione. È incluso solo per fornire indicazioni.
La soluzione seguente usa Frontdoor di Azure con WAF per gestire e proteggere il traffico Web globale che entra nell'ambiente dell'applicazione Azure. Questa soluzione fornisce indicazioni complete per la generazione, la raccolta e il recapito dei log al CISA Cloud Log Aggregation Warehouse (CLAW), garantendo la conformità ai requisiti TIC (Trusted Internet Connections) 3.0. La distribuzione può essere automatizzata usando modelli ARM, Bicep o Terraform, semplificando il processo di installazione e rispettando le procedure consigliate per l'infrastruttura come codice.
Questa soluzione comprende:
- Una rete virtuale con subnet separate per il firewall e i server.
- Un'area di lavoro Log Analytics.
- Istanza di Frontdoor di Azure con WAF. WAF è configurato con bot e criteri gestiti da Microsoft.
- Impostazioni di diagnostica di Frontdoor di Azure che inviano log all'area di lavoro Log Analytics.
- Applicazione registrata.
- Un hub eventi.
- Regola di avviso che invia un messaggio di posta elettronica in caso di errore di un processo.
Soluzione firewall di terze parti
Nota
Le risorse di distribuzione non vengono fornite per questa soluzione. È incluso solo per fornire indicazioni.
La soluzione seguente illustra come usare un firewall di terze parti per gestire il traffico che entra nell'ambiente dell'applicazione Azure e implementare la conformità TIC 3.0. I firewall di terze parti richiedono l'uso di una macchina virtuale del server d'inoltro Syslog. Gli agenti devono essere registrati nell'area di lavoro Log Analytics. Il firewall di terze parti è configurato per esportare i log in formato Syslog nella macchina virtuale del server d'inoltro Syslog. L'agente è configurato per inviare i log all'area di lavoro Log Analytics. Dopo che i log si trovano nell'area di lavoro Log Analytics, vengono inviati a Hub eventi ed elaborati mentre si trovano nelle altre soluzioni descritte in questo articolo.
Attività di post-distribuzione
Dopo la distribuzione, l'ambiente esegue le funzionalità del firewall e le connessioni di registrazione. Per soddisfare la conformità ai criteri TIC 3.0 per la raccolta di dati di telemetria di rete, è necessario assicurarsi che i log lo facciano in CISA CLAW. I passaggi successivi alla distribuzione completano le attività per abilitare la conformità. Per completare questi passaggi, è necessario coordinarsi con CISA perché CISA deve fornire un certificato da associare all'entità servizio.
È necessario eseguire manualmente le attività seguenti dopo la distribuzione. Non è possibile completarli usando un modello di Resource Manager.
- Ottenere un certificato di chiave pubblica da CISA.
- Creare un'entità servizio (registrazione dell'applicazione).
- Aggiungere il certificato di chiave pubblica alla registrazione dell'applicazione.
- Assegnare all'applicazione il ruolo ricevitore di dati Hub eventi di Azure nell'ambito dello spazio dei nomi di Hub eventi.
- Attivare il feed inviando l'ID tenant di Azure, l'ID applicazione (client), il nome dello spazio dei nomi dell'hub eventi, il nome dell'hub eventi e il nome del gruppo di consumer a CISA.
Collaboratori
Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.
Autore principale:
- Paul Lizer | Senior Cloud Solution Architect
Altro collaboratore:
- Mick Alberts | Writer tecnico
Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.
Passaggi successivi
- Documenti di linee guida di base TIC 3.0
- Documenti di National Cybersecurity Protection System (NCPS)
- EINSTEIN
- Managed Trusted Internet Protocol Services (MTIPS)
- Connessione Internet attendibile di Azure - Estesa
- Federal App Innovation - TIC 3.0
- Cos'è Firewall di Azure?
- Documentazione su Firewall di Azure
- Cos'è il gateway applicazione di Azure?
- Frontdoor di Azure
- Introduzione ad Azure WAF
- Panoramica di Log Analytics in Monitoraggio di Azure
- Che cos'è l'hub di eventi di Azure?
- Panoramica degli avvisi in Azure
- Oggetti applicazione ed entità servizio in Microsoft Entra ID
- Usare il portale per creare un'applicazione e un'entità servizio Microsoft Entra in grado di accedere alle risorse
- Registrare un'applicazione con Microsoft Identity Platform
- Assegnare ruoli di Azure usando il portale di Azure
- Creare gruppi di risorse
- Come trovare l'ID tenant di Microsoft Entra
- Raccogliere origini dati Syslog con l'agente di Log Analytics
- Analizzare i dati di testo nei log di Monitoraggio di Azure
- Introduzione alla registrazione dei flussi per i gruppi di sicurezza di rete
- Cosa sono le identità gestite per le risorse di Azure?
- Distribuire e configurare Firewall di Azure usando il portale di Azure