實作 TIC 3.0 合規性

Azure 防火牆
Azure 應用程式閘道
Azure Front Door
Azure Log Analytics
Azure 事件中樞

本文說明如何達到因特網面向 Azure 應用程式和服務的受信任因特網連線 (TIC) 3.0 合規性。 它提供解決方案和資源,協助政府組織符合 TIC 3.0 合規性。 它也描述如何部署必要的資產,以及如何將解決方案納入現有的系統。

注意

Microsoft將此資訊提供給聯邦文職行政部門(FCEB)部門和機構,作為建議組態的一部分,以促進參與網路安全和基礎結構安全機構(CISA)雲端記錄匯總倉儲(CLAW)功能。 建議的組態會由Microsoft維護,而且可能會變更。

架構

顯示 TIC 3.0 合規性架構的圖表。

下載此架構的 Visio 檔案

資料流程

  1. 防火牆
    • 防火牆可以是任何第 3 層或第 7 層防火牆。
      • Azure 防火牆 和一些第三方防火牆,也稱為網路虛擬設備(NVA),是第 3 層防火牆。
      • Azure 應用程式閘道 搭配 Web 應用程式防火牆 (WAF) 和具有 WAF 的 Azure Front Door 是第 7 層防火牆。
      • 本文提供適用於 #DD7FDE8E36B0040478BF773C8F429E8E2、使用 WAF 應用程式閘道,以及使用 WAF 部署的 Azure Front Door 部署部署解決方案。
    • 防火牆會強制執行原則、收集計量,以及記錄 Web 服務與存取 Web 服務的使用者和服務之間的連線交易。
  2. 防火牆記錄
    • Azure 防火牆、使用 WAF 應用程式閘道,以及搭配 WAF 的 Azure Front Door 將記錄傳送至 Log Analytics 工作區。
    • 第三方防火牆會透過 Syslog 轉寄站虛擬機,將 Syslog 格式的記錄傳送至 Log Analytics 工作區。
  3. Log Analytics 工作區
    • Log Analytics 工作區是記錄的存放庫。
    • 它可以裝載服務,提供來自防火牆的網路流量數據的自定義分析。
  4. 服務主體(已註冊的應用程式)
  5. Azure 事件中樞 標準
  6. CISA TALON

元件

  • 防火牆。 您的架構將會使用下列一或多個防火牆。 (如需詳細資訊,請參閱本文的替代部分。)
    • Azure 防火牆 是雲端原生智慧型手機網路防火牆安全性服務,可為在 Azure 上執行的雲端工作負載提供增強的威脅防護。 這是完全具狀態的防火牆即服務,具有內建的高可用性和不受限制的雲端延展性。 這兩個效能層級提供:標準和進階。 Azure 防火牆 Premium 包含標準 Azure 防火牆 的所有功能,並提供其他功能,例如傳輸層安全性(TLS)檢查和入侵檢測和預防系統(IDPS)。
    • 應用程式閘道 WAF 是區域 Web 流量負載平衡器,可讓您管理 Web 應用程式的流量。 WAF 提供增強的 Web 應用程式集中式保護,免於常見的惡意探索和弱點。
    • Azure Front Door with WAF 是全域 Web 流量負載平衡器,可讓您管理 Web 應用程式的流量。 它提供內容傳遞網路 (CDN) 功能,以加速和現代化您的應用程式。 WAF 提供增強的 Web 應用程式集中式保護,免於常見的惡意探索和弱點。
    • 第三方防火牆是在 Azure 虛擬機上執行的 NVA,並使用來自非Microsoft廠商的防火牆服務。 Microsoft支援提供防火牆服務的第三方廠商的大型生態系統。
  • 記錄和驗證。
    • Log Analytics 是 Azure 入口網站 中可用的工具,可用來編輯和執行 Azure 監視器記錄的記錄查詢。 如需詳細資訊,請參閱 Azure 監視器中的 Log Analytics 概觀
    • Azure 監視器 是收集、分析及處理遙測的完整解決方案。
    • Microsoft Entra ID 提供跨 Azure 工作負載的身分識別服務、單一登錄和多重要素驗證。
    • 服務主體(已註冊的應用程式)是一個實體,定義Microsoft Entra 租用戶中使用者或應用程式的存取原則和許可權。
    • 事件中樞標準 是現代化巨量數據串流平臺和事件擷取服務。
    • CISA TALON 是在 Azure 上執行的 CISA 操作服務。 TALON 會連線到事件中樞服務、使用與服務主體相關聯的 CISA 提供的憑證進行驗證,並收集用於 CLAW 耗用量的記錄。

替代項目

您可以在這些解決方案中使用幾個替代方案:

  • 您可以將記錄收集分成責任區域。 例如,您可以將Microsoft Entra 記錄傳送至由身分識別小組管理的Log Analytics工作區,並將網路記錄傳送至由網路小組管理的不同Log Analytics工作區。
  • 本文中的範例各使用單一防火牆,但某些組織需求或架構需要兩個以上。 例如,架構可以包含 Azure 防火牆 實例和具有 WAF 的 應用程式閘道 實例。 必須收集每個防火牆的記錄,並可供 CISA TALON 收集。
  • 如果您的環境需要來自 Azure 型虛擬機的因特網輸出,您可以使用第 3 層解決方案,例如 Azure 防火牆 或第三方防火牆來監視和記錄輸出流量。

案例詳細資料

TIC 3.0 會將 TIC 從內部部署資料收集移至雲端式方法,以更好地支援新式應用程式和系統。 它可改善效能,因為您可以直接存取 Azure 應用程式。 使用 TIC 2.x,您必須透過 TIC 2.x 受控的因特網通訊協定服務 (MTIPS) 裝置來存取 Azure 應用程式,這會減緩回應的速度。

透過防火牆路由傳送應用程式流量,並記錄流量是此處所說明解決方案中示範的核心功能。 防火牆可以是 Azure 防火牆、使用 WAF 的 Azure Front Door、使用 WAF 應用程式閘道 或第三方 NVA。 防火牆有助於保護雲端周邊,並儲存每個交易的記錄。 與防火牆層無關,記錄收集與傳遞解決方案需要Log Analytics工作區、已註冊的應用程式和事件中樞。 Log Analytics 工作區會將記錄傳送至事件中樞。

CLAW 是 CISA 受控服務。 2022年底,CISA發佈了TALON。 TALON 是使用 Azure 原生功能的 CISA 受控服務。 TALON 實例會在每個 Azure 區域中執行。 TALON 會連線到政府機構所管理的事件中樞,以提取機構防火牆,並Microsoft Entra 記錄到 CISA CLAW。

如需 CLAW、TIC 3.0 和 MTIPS 的詳細資訊,請參閱:

潛在使用案例

TIC 3.0 合規性解決方案通常供聯邦組織和政府機構用於其以 Azure 為基礎的 Web 應用程式和 API 服務。

考量

這些考慮會實作 Azure Well-Architected Framework 的支柱,這是一組指導原則,可用來改善工作負載的品質。 如需詳細資訊,請參閱 Microsoft Azure Well-Architected Framework (部分機器翻譯)。

  • 評估您目前的架構,以判斷此處呈現的解決方案,提供 TIC 3.0 合規性的最佳方法。
  • 請連絡 CISA 代表以要求存取 CLAW。
  • 使用本文中的 [ 部署至 Azure ] 按鈕,在測試環境中部署一或多個解決方案。 這麼做應該可協助您熟悉程式與已部署的資源。
  • 請參閱 因特網面向應用程式的 TIC 3.0 合規性,這是一篇補充文章,提供 TIC 3.0 的詳細數據和資產:
    • 達成合規性的其他資訊。
    • 用來簡化部署的 ARM 範本。
    • 協助將現有資源整合到解決方案中的資訊。
    • 針對每個服務層級收集的記錄類型,以及用於檢閱 CISA 所收集記錄的 Kusto 查詢。 您可以針對組織的安全性需求使用查詢。

可靠性

可靠性可確保您的應用程式符合您對客戶的承諾。 如需詳細資訊,請參閱可靠性要素的概觀 (部分機器翻譯)。

  • Azure 防火牆 標準和進階與可用性區域整合,以提高可用性。
  • 應用程式閘道 v2 支援自動調整和可用性區域,以提高可靠性。
  • 包含 Azure Front Door 等負載平衡服務的多重區域實作可以改善可靠性和復原能力。
  • 事件中樞標準和進階版提供異地災害復原配對,可讓命名空間故障轉移至次要區域。

安全性

安全性可提供保證,以避免刻意攻擊和濫用您寶貴的資料和系統。 如需詳細資訊,請參閱安全性要素的概觀

  • 當您註冊企業應用程式時,會建立服務主體。 針對指出每個主體用途的服務主體使用命名配置。
  • 執行稽核,以判斷服務主體的活動和服務主體擁有者的狀態。
  • Azure 防火牆 具有標準原則。 與 應用程式閘道 和 Azure Front Door 相關聯的 WAF 有受控規則集,可協助保護您的 Web 服務。 從這些規則集開始,並根據產業需求、最佳做法和政府法規,隨時間建立組織原則。
  • 事件中樞存取權是透過 Microsoft Entra 受控識別和 CISA 提供的憑證來授權。

成本最佳化

成本優化是減少不必要的費用,並提升營運效率。 如需詳細資訊,請參閱成本最佳化要素的概觀

隨著資源增加,每個解決方案的成本會相應減少。 此 Azure 定價計算器範例案例中的定價是以 Azure 防火牆 解決方案為基礎。 如果您變更設定,成本可能會增加。 透過某些方案,隨著內嵌記錄數目增加而增加成本。

注意

使用 Azure 定價計算機來取得以針對所選解決方案部署的資源為基礎的最新定價。

卓越營運

卓越營運涵蓋部署應用程式並使其持續在生產環境中執行的作業流程。 如需詳細資訊,請參閱卓越營運要素的概觀 (部分機器翻譯)。

  • Azure 監視器警示 內建於解決方案中,可在上傳無法將記錄傳送至 CLAW 時通知您。 您必須判斷警示的嚴重性,以及如何回應。
  • 您可以使用 ARM 範本來加速為新應用程式部署 TIC 3.0 架構。

效能效益

效能效率可讓您的工作負載進行調整,以有效率的方式符合使用者對其放置的需求。 如需詳細資訊,請參閱效能效率要件概觀

  • Azure 防火牆、應用程式閘道Azure Front Door事件中樞效能隨著使用量增加而調整。
  • Azure 防火牆 Premium 允許比標準更多的 TCP 連線,並提供更高的頻寬。
  • 應用程式閘道 v2 會自動確保新的實例會分散到容錯網域和更新網域。
  • Azure Front Door 提供快取、壓縮、流量加速和 TLS 終止,以改善效能。
  • 事件中樞標準和進階版提供自動擴充,以隨著負載增加而相應增加。

部署 Azure 防火牆解決方案

下列解決方案會使用 Azure 防火牆 來管理進入 Azure 應用程式環境的流量。 解決方案包含產生、收集及傳遞記錄至 CLAW 的所有資源。 它也包含App Service來追蹤防火牆收集的遙測類型。

顯示 TIC 3.0 合規性架構的圖表。Azure 防火牆 將記錄上傳至 CLAW。

此解決方案包括:

  • 具有防火牆和伺服器的個別子網的虛擬網路。
  • Log Analytics 工作區。
  • Azure 防火牆 具有因特網存取的網路原則。
  • Azure 防火牆 將記錄傳送至 Log Analytics 工作區的診斷設定。
  • 與應用程式資源群組相關聯的路由表,將應用程式服務路由至其產生的記錄防火牆。
  • 已註冊的應用程式。
  • 事件中樞。
  • 警示規則,會在作業失敗時傳送電子郵件。

為了簡單起見,所有資源都會部署到單一訂用帳戶和虛擬網路。 您可以使用任何資源群組或跨多個虛擬網路的組合來部署資源。

部署至 Azure

部署至 Azure Government

部署後工作

部署之後,您的環境會執行防火牆功能和記錄連線。 若要符合網路遙測收集的 TIC 3.0 原則合規性,您必須確定記錄會將其設為 CISA CLAW。 部署後步驟會完成啟用合規性的工作。 若要完成這些步驟,您必須與 CISA 協調,因為 CISA 必須提供憑證來與您的服務主體產生關聯。 如需逐步詳細數據,請參閱 部署後工作

您必須在部署之後手動執行下列工作。 您無法使用 ARM 範本來完成它們。

  • 從 CISA 取得公鑰憑證。
  • 建立服務主體(應用程式註冊)。
  • 將公鑰憑證新增至應用程式註冊。
  • 在事件中樞命名空間範圍中,將 Azure 事件中樞 數據接收者角色指派給應用程式。
  • 將 Azure 租使用者識別碼、應用程式(用戶端)標識碼、事件中樞命名空間名稱、事件中樞名稱和取用者組名傳送至 CISA,以啟用摘要。

部署搭配 WAF 使用 應用程式閘道 的解決方案

下列解決方案會使用 應用程式閘道 與 WAF 來管理進入 Azure 應用程式環境的流量。 解決方案包含產生、收集及傳遞記錄至 CLAW 的所有資源。 它也包含App Service來追蹤防火牆收集的遙測類型。

顯示 TIC 3.0 合規性架構的圖表。應用程式閘道 WAF 會將記錄上傳至 CLAW。

此解決方案包括:

  • 具有防火牆和伺服器的個別子網的虛擬網路。
  • Log Analytics 工作區。
  • 具有 WAF 的 應用程式閘道 v2 實例。 WAF 是使用 Bot 和 Microsoft Managed 原則來設定。
  • 應用程式閘道 v2 診斷設定,將記錄傳送至 Log Analytics 工作區。
  • 已註冊的應用程式。
  • 事件中樞。
  • 警示規則,會在作業失敗時傳送電子郵件。

為了簡單起見,所有資源都會部署到單一訂用帳戶和虛擬網路。 您可以使用任何資源群組或跨多個虛擬網路的組合來部署資源。

部署至 Azure

部署至 Azure Government

部署後工作

部署之後,您的環境會執行防火牆功能和記錄連線。 若要符合網路遙測收集的 TIC 3.0 原則合規性,您必須確定記錄會將其設為 CISA CLAW。 部署後步驟會完成啟用合規性的工作。 若要完成這些步驟,您必須與 CISA 協調,因為 CISA 必須提供憑證來與您的服務主體產生關聯。 如需逐步詳細數據,請參閱 部署後工作

您必須在部署之後手動執行下列工作。 您無法使用 ARM 範本來完成它們。

  • 從 CISA 取得公鑰憑證。
  • 建立服務主體(應用程式註冊)。
  • 將公鑰憑證新增至應用程式註冊。
  • 在事件中樞命名空間範圍中,將 Azure 事件中樞 數據接收器角色指派給應用程式。
  • 將 Azure 租使用者識別碼、應用程式(用戶端)標識碼、事件中樞命名空間名稱、事件中樞名稱和取用者組名傳送至 CISA,以啟用摘要。

部署搭配 WAF 使用 Azure Front Door 的解決方案

下列解決方案使用 Azure Front Door 搭配 WAF 來管理進入 Azure 應用程式環境的流量。 解決方案包含產生、收集及傳遞記錄至 CLAW 的所有資源。 它也包含App Service來追蹤防火牆收集的遙測類型。

顯示 TIC 3.0 合規性架構的圖表。具有 WAF 的 Azure Front Door 會將記錄上傳至 CLAW。

此解決方案包括:

  • 具有防火牆和伺服器的個別子網的虛擬網路。
  • Log Analytics 工作區。
  • 具有 WAF 的 Azure Front Door 實例。 WAF 是使用 Bot 和 Microsoft Managed 原則來設定。
  • 將記錄傳送至 Log Analytics 工作區的 Azure Front Door 診斷設定。
  • 已註冊的應用程式。
  • 事件中樞。
  • 警示規則,會在作業失敗時傳送電子郵件。

為了簡單起見,所有資源都會部署到單一訂用帳戶和虛擬網路。 您可以使用任何資源群組或跨多個虛擬網路的組合來部署資源。

部署至 Azure

部署至 Azure Government

部署後工作

部署之後,您的環境會執行防火牆功能和記錄連線。 若要符合網路遙測收集的 TIC 3.0 原則合規性,您必須確定記錄會將其設為 CISA CLAW。 部署後步驟會完成啟用合規性的工作。 若要完成這些步驟,您必須與 CISA 協調,因為 CISA 必須提供憑證來與您的服務主體產生關聯。 如需逐步詳細數據,請參閱 部署後工作

您必須在部署之後手動執行下列工作。 您無法使用 ARM 範本來完成它們。

  • 從 CISA 取得公鑰憑證。
  • 建立服務主體(應用程式註冊)。
  • 將公鑰憑證新增至應用程式註冊。
  • 在事件中樞命名空間範圍中,將 Azure 事件中樞 數據接收者角色指派給應用程式。
  • 將 Azure 租使用者識別碼、應用程式(用戶端)標識碼、事件中樞命名空間名稱、事件中樞名稱和取用者組名傳送至 CISA,以啟用摘要。

第三方防火牆 (NVA) 解決方案

注意

此解決方案未提供部署資源。 只包含提供指引。

下列解決方案說明如何使用第三方防火牆來管理進入 Azure 應用程式環境的流量,並實作 TIC 3.0 合規性。 第三方防火牆需要使用 Syslog 轉寄站虛擬機。 其代理程序必須向Log Analytics工作區註冊。 第三方防火牆設定為將其記錄以 Syslog 格式匯出至 Syslog 轉寄站虛擬機。 代理程式已設定為將其記錄傳送至 Log Analytics 工作區。 記錄位於 Log Analytics 工作區之後,系統會將記錄傳送至事件中樞,並在本文所述的其他解決方案中處理記錄。

顯示 TIC 3.0 合規性架構的圖表。第三方防火牆會將記錄上傳至 CLAW。

部署後工作

部署之後,您的環境會執行防火牆功能和記錄連線。 若要符合網路遙測收集的 TIC 3.0 原則合規性,您必須確定記錄會將其設為 CISA CLAW。 部署後步驟會完成啟用合規性的工作。 若要完成這些步驟,您必須與 CISA 協調,因為 CISA 必須提供憑證來與您的服務主體產生關聯。 如需逐步詳細數據,請參閱 部署後工作

您必須在部署之後手動執行下列工作。 您無法使用 ARM 範本來完成它們。

  • 從 CISA 取得公鑰憑證。
  • 建立服務主體(應用程式註冊)。
  • 將公鑰憑證新增至應用程式註冊。
  • 在事件中樞命名空間範圍中,將 Azure 事件中樞 數據接收者角色指派給應用程式。
  • 將 Azure 租使用者識別碼、應用程式(用戶端)標識碼、事件中樞命名空間名稱、事件中樞名稱和取用者組名傳送至 CISA,以啟用摘要。

參與者

本文由 Microsoft 維護。 原始投稿人如下。

主體作者:

其他參與者:

若要查看非公開的 LinkedIn 設定檔,請登入 LinkedIn。

下一步