通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

实现 TIC 3.0 合规性

Azure 防火墙
Azure 应用程序网关
Azure Front Door
Azure Log Analytics
Azure 事件中心

本文介绍如何为面向 Internet 的 Azure 应用程序和服务实现受信任 Internet 连接 (TIC) 3.0 合规性。 它提供了解决方案和资源,可帮助政府组织遵守 TIC 3.0 合规性。 它还将介绍如何部署所需资产,以及如何将解决方案合并到现有系统中。

注意

Microsoft 将此信息作为建议配置的一部分提供给联邦民事行政部门 (FCEB) 的相关部门和机构,以促进参与网络安全和基础结构安全局 (CISA) 的云日志聚合仓库 (CLAW) 功能。 建议的配置由 Microsoft 维护,并且可能会发生更改。

体系结构

显示 TIC 3.0 符合性体系结构的关系图。

下载此体系结构的 Visio 文件

数据流

  1. 防火墙
    • 防火墙可以是任何第 3 层或第 7 层防火墙。
      • Azure 防火墙和某些第三方防火墙(也称为网络虚拟设备 (NVA))是第 3 层防火墙。
      • 具有 Web 应用程序防火墙的 Azure 应用程序网关和具有 Web 应用程序防火墙的 Azure Front Door 是第 7 层防火墙。
      • 本文提供适用于 Azure 防火墙的部署解决方案、具有 Web 应用程序防火墙的应用程序网关,以及使用 Web 应用程序防火墙部署的 Azure Front Door。
    • 防火墙会强制实施策略、收集指标,以及记录 Web 服务与访问 Web 服务的用户和服务之间的连接事务。
  2. 防火墙日志
    • Azure 防火墙、具有 Web 应用程序防火墙的应用程序网关和具有 Web 应用程序防火墙的 Azure Front Door 将日志发送到 Log Analytics 工作区。
    • 第三方防火墙通过 Syslog 转发器虚拟机以 Syslog 格式将日志发送到 Log Analytics 工作区。
  3. Log Analytics 工作区
    • Log Analytics 工作区是日志存储库。
    • 它可以托管一项服务,这项服务可对来自防火墙的网络流量数据进行自定义分析。
  4. 服务主体(已注册的应用程序)
  5. Azure 事件中心标准层
  6. CISA TALON

组件

  • 防火墙: 在体系结构中使用以下一个或多个防火墙。 有关详细信息,请参阅 “替代项”。

    • Azure 防火墙 是一种网络防火墙安全服务,可为在 Azure 上运行的云工作负荷提供增强的威胁防护。 它是具有内置高可用性和不受限制的云可伸缩性的有状态托管防火墙。 它包括标准层和高级性能层。 Azure 防火墙高级版包括 Azure 防火墙标准的功能,并提供额外的功能,如传输层安全性(TLS)检查和入侵检测和防护系统(IDPS)。 在此体系结构中,Azure 防火墙可以充当第 3 层防火墙,该防火墙强制实施策略、检查流量和记录事务以支持 TIC 3.0 符合性。

    • 具有 Web 应用程序防火墙的应用程序网关是包含 Web 应用程序防火墙的区域 Web 流量负载均衡器。 Web 应用程序防火墙为 Web 应用程序提供增强的集中保护。 在此体系结构中,应用程序网关可以管理和保护入站 Web 流量,从而保护应用程序免受常见攻击和记录流量的符合性。

    • 具有 Web 应用程序防火墙Azure Front Door 是一个全局 Web 流量负载均衡器,其中包括内容分发网络功能和集成的 Web 应用程序防火墙。 在此体系结构中,Azure Front Door 可以加速和保护全局应用程序访问,同时记录流量以集中分析和符合性。 Web 应用程序防火墙为 Web 应用程序提供增强的集中保护,防止常见的攻击和漏洞。

    • 非Microsoft防火墙是在 Azure 虚拟机上运行的 NVA,并使用合作伙伴供应商提供的防火墙服务。 Microsoft支持提供防火墙服务的合作伙伴供应商的大型生态系统。 在此体系结构中,非Microsoft防火墙可以提供可自定义的防火墙服务,并通过 Syslog 将日志导出到转发器虚拟机,以便引入 Log Analytics 工作区。

  • 日志记录和身份验证:

    • Log Analytics 是一个集中存储库,用于收集和分析日志数据。 在此体系结构中,它存储防火墙和标识日志,该日志允许自定义查询并转发到用于 CISA CLAW 引入的事件中心。

    • Azure Monitor 是一种监视解决方案,用于收集、分析和处理遥测数据。 在此体系结构中,Azure Monitor 从网络和标识组件收集性能和诊断数据。

    • Microsoft Entra ID 是一种标识和访问服务,提供跨 Azure 工作负荷的标识功能、单一登录和多重身份验证。 在此体系结构中,它保护对 Azure 资源的访问,并生成标识日志用于合规性监视。

    • 事件中心标准 版是一个大数据流式处理平台和事件引入服务。 在此体系结构中,它会从 Log Analytics 接收日志并将其流式传输到 CISA TALON 进行集中分析。

    • CISA TALON 是 CISA 运营的集中式日志聚合服务,它从云环境中引入遥测数据,以便进行网络安全监视和符合性。 在此体系结构中,TALON 使用 CISA 提供的证书进行身份验证,并从事件中心收集日志。 它将日志提取到 CLAW 系统中,以支持 TIC 3.0 符合性和集中可见性。

备选方法

可以在这些解决方案中使用一些替代方案:

  • 可为日志收集划分责任范围。 例如,可以将 Microsoft Entra 日志发送到由标识团队管理的 Log Analytics 工作区,并将网络日志发送到由网络团队管理的其他 Log Analytics 工作区。
  • 本文中的每个示例都使用一个防火墙,但某些组织要求或体系结构需要两个或更多防火墙。 例如,体系结构可以包括 Azure 防火墙实例和具有 Web 应用程序防火墙的应用程序网关实例。 必须收集每个防火墙的日志,并且可供 CISA TALON 收集。
  • 如果环境需要来自基于 Azure 的虚拟机的 Internet 出口流量,则可以使用第 3 层解决方案(例如 Azure 防火墙或第三方防火墙)来监视和记录出站流量。

方案详细信息

TIC 3.0 将 TIC 从本地数据集合转变为基于云的方法,以便更好地支持新式应用程序和系统。 它提高了性能,因为你可以直接访问 Azure 应用程序。 对于 TIC 2.x,需要通过 TIC 2.x 托管的受信任 Internet 协议服务 (MTIPS) 设备访问 Azure 应用程序,这会减慢响应速度。

通过防火墙路由应用程序流量并记录该流量是此处提供的解决方案中演示的核心功能。 防火墙可以是 Azure 防火墙、具有 Web 应用程序防火墙的 Azure Front Door、具有 Web 应用程序防火墙的应用程序网关或第三方 NVA。 防火墙有助于保护云外围并保存每个事务的日志。 独立于防火墙层,日志收集和传递解决方案需要 Log Analytics 工作区、已注册的应用程序和事件中心。 Log Analytics 工作区会将日志发送到事件中心。

CLAW 是一项 CISA 托管服务。 2022 年底,CISA 发布了 TALON。 TALON 是使用 Azure 本机功能的 CISA 托管服务。 TALON 的实例可在每个 Azure 区域中运行。 TALON 连接到由政府机构管理的事件中心,以将机构防火墙和 Microsoft Entra 日志拉取到 CISA CLAW。

有关 CLAW、TIC 3.0 和 MTIPS 的详细信息,请参阅:

可能的用例

联邦组织和政府机构通常将 TIC 3.0 合规性解决方案用于其基于 Azure 的 Web 应用程序和 API 服务。

注意事项

这些注意事项实施 Azure 架构良好的框架的支柱原则,即一套可用于改进工作负荷质量的指导原则。 有关详细信息,请参阅 Well-Architected Framework

  • 评估当前体系结构,确定此处介绍的哪种解决方案提供了实现 TIC 3.0 合规性的最佳方法。
  • 请联系 CISA 代表以请求访问 CLAW。

可靠性

可靠性有助于确保应用程序能够履行对客户的承诺。 有关详细信息,请参阅 可靠性设计评审清单

  • Azure 防火墙标准层和高级层可与可用性区域集成,以提高可用性。
  • 应用程序网关 v2 支持自动缩放和可用性区域以提高可靠性。
  • 包含负载均衡服务(如 Azure Front Door)的多区域实现可以提高可靠性和复原能力。
  • 事件中心标准层和高级层提供异地灾难恢复配对,这使命名空间能够故障转移到次要区域。

安全性

安全性提供针对故意攻击和滥用宝贵数据和系统的保证。 有关详细信息,请参阅 安全设计评审清单

  • 当注册企业应用程序时,系统会创建一个服务主体。 为服务主体使用一个命名方案,指明每个主体的用途。
  • 执行审核以确定服务主体的活动和服务主体所有者的状态。
  • Azure 防火墙具有标准策略。 与应用程序网关和 Azure Front Door 关联的 Web 应用程序防火墙(WAF)具有托管规则集来帮助保护 Web 服务。 从这些规则集开始,然后根据行业要求、最佳做法和政府法规逐步构建组织策略。
  • 事件中心访问是通过 Microsoft Entra 托管标识和 CISA 提供的证书进行授权的。

成本优化

成本优化侧重于减少不必要的开支和提高运营效率的方法。 有关详细信息,请参阅 成本优化的设计评审清单

随着资源增加,每种解决方案的成本会降低。 此 Azure 定价计算器示例方案中的定价 基于 Azure 防火墙解决方案。 如果更改此配置,则成本可能会增加。 对于某些计划,成本会随着引入日志数的增加而增加。

注意

使用 Azure 定价计算器 获取基于为所选解决方案部署的资源的 up-to日期定价。

卓越运营

卓越运营涵盖了部署应用程序并使其在生产环境中保持运行的运营流程。 有关详细信息,请参阅 针对卓越运营的设计评审清单

  • Azure Monitor 警报 内置于解决方案中,用于在上传无法将日志传送到 CLAW 时通知你。 需要确定警报的严重性以及响应方式。
  • 可以使用 Azure 资源管理器(ARM)、Bicep 或 Terraform 模板来加快新应用程序的 TIC 3.0 体系结构的部署速度。

性能效率

性能效率是指工作负荷能够高效地缩放以满足用户需求。 有关详细信息,请参阅 性能效率的设计评审清单

  • 随着使用量的增加,Azure 防火墙应用程序网关Azure Front Door事件中心的性能会随着使用量的增加而缩放。
  • 与标准层相比,Azure 防火墙高级层支持更多 TCP 连接,并提供更高的带宽。
  • 应用程序网关 v2 可以自动确保新实例分布到各个容错域和更新域中。
  • Azure Front Door 提供缓存、压缩、流量加速和 TLS 终止来提高性能。
  • 事件中心标准层和高级层提供自动膨胀功能,以随着负载的增加而纵向扩展。

部署 Azure 防火墙解决方案

注意

未为此解决方案提供部署资源。 它仅用于提供指导。

在网络体系结构中部署Azure 防火墙可以有效地管理和保护进入 Azure 应用程序环境的流量。 此解决方案提供全面的指南,用于收集日志并将其传送到网络安全和基础结构安全机构(CISA)云日志聚合仓库(CLAW),确保符合受信任的 Internet 连接(TIC)3.0 要求。 可以使用 ARM、Bicep 或 Terraform 模板自动部署,从而简化设置过程并遵循基础结构即代码最佳做法。

显示 TIC 3.0 符合性体系结构的关系图。Azure 防火墙将日志上传到 CLAW。

该解决方案包括:

  • 为防火墙和服务器提供单独子网的虚拟网络。
  • Log Analytics 工作区。
  • 具有针对 Internet 访问的网络策略的 Azure 防火墙。
  • 将日志发送到 Log Analytics 工作区的 Azure 防火墙诊断设置。
  • 与应用程序资源组关联的路由表,用于将应用服务路由到针对其生成的日志的防火墙。
  • 已注册的应用程序。
  • 事件中心。
  • 预警规则(作业失败时将发送电子邮件)。

部署解决方案(使用具有 WAF 的应用程序网关)

注意

未为此解决方案提供部署资源。 它仅用于提供指导。

使用网络体系结构中的Web 应用程序防火墙(WAF)部署应用程序网关,可以有效地管理和保护进入 Azure 应用程序环境的 Web 流量。 此解决方案提供全面的指导,用于收集日志并将其传送到网络安全和基础结构安全机构(CISA)云日志聚合仓库(CLAW),确保符合受信任的 Internet 连接(TIC)3.0 要求。 可以使用 ARM、Bicep 或 Terraform 模板自动部署,简化设置过程并遵循基础结构即代码最佳做法。

显示 TIC 3.0 符合性体系结构的关系图。将日志上传到 CLAW 的应用程序网关。

该解决方案包括:

  • 为防火墙和服务器提供单独子网的虚拟网络。
  • Log Analytics 工作区。
  • 具有 WAF 的应用程序网关 v2 实例。 WAF 配置了机器人和 Microsoft 托管策略。
  • 将日志发送到 Log Analytics 工作区的应用程序网关 v2 诊断设置。
  • 已注册的应用程序。
  • 事件中心。
  • 预警规则(作业失败时将发送电子邮件)。

部署解决方案(使用具有 WAF 的 Azure Front Door)

注意

未为此解决方案提供部署资源。 它仅用于提供指导。

以下解决方案将 Azure Front Door 与 WAF 配合使用来管理和保护进入 Azure 应用程序环境的全局 Web 流量。 此解决方案提供了有关生成、收集和传送日志到 CISA 云日志聚合仓库(CLAW)的综合指南,确保符合受信任的 Internet 连接 (TIC) 3.0 要求。 可以使用 ARM、Bicep 或 Terraform 模板自动部署,简化设置过程并遵循基础结构即代码最佳做法。

显示 TIC 3.0 符合性体系结构的关系图。将日志上传到 CLAW 的 Azure Front Door。

该解决方案包括:

  • 为防火墙和服务器提供单独子网的虚拟网络。
  • Log Analytics 工作区。
  • 具有 WAF 的 Azure Front Door 实例。 WAF 配置了机器人和 Microsoft 托管策略。
  • 将日志发送到 Log Analytics 工作区的 Azure Front Door 诊断设置。
  • 已注册的应用程序。
  • 事件中心。
  • 预警规则(作业失败时将发送电子邮件)。

第三方防火墙 (NVA) 解决方案

注意

未为此解决方案提供部署资源。 它仅用于提供指导。

以下解决方案演示了如何使用第三方防火墙来管理进入 Azure 应用程序环境的流量,并实现 TIC 3.0 合规性。 第三方防火墙需要使用 Syslog 转发器虚拟机。 其代理需要注册到 Log Analytics 工作区。 第三方防火墙配置为将其 Syslog 格式的日志导出到 Syslog 转发器虚拟机。 代理配置为将其日志发送到 Log Analytics 工作区。 当日志进入 Log Analytics 工作区后,它们会发送到事件中心,并像本文中描述的其他解决方案一样进行处理。

显示 TIC 3.0 符合性体系结构的关系图。第三方防火墙将日志上传到 CLAW。

部署后任务

部署后,你的环境将执行防火墙功能和日志记录连接。 为了满足 TIC 3.0 网络遥测收集策略的合规性,需要确保日志到达 CISA CLAW。 部署后步骤用于完成实现合规性的任务。 要完成这些步骤,需要与 CISA 协调,因为 CISA 需要提供与服务主体关联的证书。

部署后,需要手动执行以下任务。 无法使用 ARM 模板完成这些操作。

  • 从 CISA 获取公钥证书。
  • 创建服务主体(应用程序注册)。
  • 将公钥证书添加到应用程序注册。
  • 在事件中心命名空间范围内,为应用程序分配 Azure 事件中心数据接收方角色。
  • 通过将 Azure 租户 ID、应用程序(客户端)ID、事件中心命名空间名称、事件中心名称和使用者组名称发送到 CISA 来激活源。

作者

本文由 Microsoft 维护, 它最初是由以下贡献者撰写的。

首席作者:

其他参与者:

若要查看非公共LinkedIn配置文件,请登录到LinkedIn。

后续步骤