TIC 3.0 コンプライアンスの実装

この記事では、インターネットに接続するAzureアプリケーションとサービスに対して、信頼されたインターネット接続 (TIC) 3.0 のコンプライアンスを実現する方法について説明します。 政府機関が TIC 3.0 へのコンプライアンスに準拠するためのソリューションとリソースを提供します。 また、必要な資産をデプロイし、既存のシステムにソリューションを組み込む方法についても説明します。

アーキテクチャ

このアーキテクチャのVisio ファイルをダウンロードします。

データ フロー

次のデータ フローは、前の図に対応しています。

1. ファイアウォール
   • ファイアウォールには、任意のレイヤー 3 またはレイヤー 7 のファイアウォールを指定できます。
     • Azure Firewallおよび一部のサード パーティ製ファイアウォール (ネットワーク仮想アプライアンス (NVA) とも呼ばれます) は、レイヤー 3 のファイアウォールです。
     • Web Application Firewallを使用するAzure Application GatewayとWeb Application Firewallを使用するAzure Front Doorは、レイヤー 7 のファイアウォールです。
     • この記事では、Azure Firewall、Web Application Firewallを使用する Application Gateway、および Web Application Firewall デプロイを使用したAzure Front Doorの展開ソリューションについて説明します。
   • ファイアウォールは、ポリシーを適用し、メトリクスを収集し、Web サービスとそれにアクセスするユーザーおよびサービスの間の接続トランザクションのログを記録します。
2. ファイアウォール ログ
   • Azure Firewall、Web Application Firewallを使用したApplication Gateway、およびWeb Application Firewallを使用したAzure Front Doorは、ログをLog Analyticsワークスペースに送信します。
   • サード パーティ製のファイアウォールは、Syslog フォワーダー仮想マシンを介して syslog 形式のログを Log Analytics ワークスペースに送信します。
3. Log Analytics ワークスペース
   • Log Analytics ワークスペースは、ログのリポジトリです。
   • ファイアウォールから提供されたネットワーク トラフィック データのカスタム分析を提供するサービスをホストできます。
4. サービス プリンシパル (登録済みアプリケーション)
5. Azure Event Hubs Standard
6. CISA TALON

コンポーネント

• ファイアウォール： アーキテクチャでは、次の 1 つ以上のファイアウォールを使用します。 詳細については、「 代替」を参照してください。

  • Azure Firewall は、Azureで実行されるクラウド ワークロードに対して強化された脅威保護を提供するネットワーク ファイアウォール セキュリティ サービスです。 これは、組み込みの高可用性と無制限のクラウド スケーラビリティを備えたステートフルなマネージド ファイアウォールです。 これには、Standard および Premium のパフォーマンス レベルが含まれます。 Azure Firewall Premium には、Azure Firewall Standard の機能が含まれており、トランスポート層セキュリティ (TLS) 検査や侵入検出および防止システム (IDPS) などの追加機能が提供されます。 このアーキテクチャでは、Azure Firewallは、ポリシーを適用し、トラフィックを検査し、トランザクションをログに記録して TIC 3.0 コンプライアンスをサポートするレイヤー 3 ファイアウォールとして機能できます。

  • Application Gateway と Web Application Firewall は、web application firewallを含むリージョン Web トラフィック ロード バランサーです。 Web Application Firewallは、Web アプリケーションの強化された一元的な保護を提供します。 このアーキテクチャでは、Application Gateway は受信 Web トラフィックを管理およびセキュリティで保護できます。これにより、アプリケーションは一般的な悪用から保護され、コンプライアンスのためにトラフィックがログに記録されます。

  • Azure Front DoorWeb Application Firewall は、コンテンツ配信ネットワーク機能と統合されたWeb Application Firewallを含むグローバル Web トラフィック ロード バランサーです。 このアーキテクチャでは、Azure Front Doorは、一元的な分析とコンプライアンスのためにトラフィックをログに記録しながら、グローバル アプリケーション アクセスを高速化し、セキュリティで保護できます。 Web Application Firewallは、一般的な悪用や脆弱性から Web アプリケーションを一元的に保護します。

  • Microsoft以外のファイアウォールは、Azure仮想マシン上で実行され、パートナー ベンダーのファイアウォール サービスを使用する NVA です。 Microsoftは、ファイアウォール サービスを提供するパートナー ベンダーの大規模なエコシステムをサポートします。 このアーキテクチャでは、Microsoft以外のファイアウォールは、カスタマイズ可能なファイアウォール サービスを提供し、Syslog を介してフォワーダー仮想マシンにログをエクスポートして、Log Analytics ワークスペースに取り込むことができます。

• ログ記録と認証:

  • Log Analytics は、ログ データを収集および分析するための一元化されたリポジトリです。 このアーキテクチャでは、ファイアウォールと ID ログを格納します。これにより、カスタム クエリを有効にし、CISA のクロー インジェストのために Event Hubs に転送できます。

  • Azure Monitor は、テレメトリを収集、分析、および操作するための監視ソリューションです。 このアーキテクチャでは、Azure Monitorはネットワークおよび ID コンポーネントからパフォーマンスと診断データを収集します。

  • Microsoft Entra ID は、AZURE ワークロード全体で ID 機能、シングル サインオン、多要素認証を提供する ID およびアクセス サービスです。 このアーキテクチャでは、Azure リソースへのアクセスをセキュリティで保護し、コンプライアンス監視用の ID ログを生成します。

  • Event Hubs Standard は、ビッグ データ ストリーミング プラットフォームおよびイベント インジェスト サービスです。 このアーキテクチャでは、Log Analyticsからログを受信し、一元的な分析のために CISA TALON にストリーム配信します。

  • CISA TALON は、サイバーセキュリティの監視とコンプライアンスのためにクラウド環境からテレメトリ データを取り込む CISA によって運用される一元的なログ集計サービスです。 このアーキテクチャでは、TALON は CISA が提供する証明書を使用して認証を行い、Event Hubs からログを収集します。 TIC 3.0 のコンプライアンスと一元化された可視性をサポートするために、ログをクロー システムに取り込みます。

代替案

以下のソリューションでは、いくつかの代替手段を使用できます:

• ログの収集は、複数の責任の範囲に分割することができます。 たとえば、id チームによって管理されているLog Analytics ワークスペースにMicrosoft Entraログを送信し、ネットワーク チームによって管理されている別のLog Analytics ワークスペースにネットワーク ログを送信できます。

• この記事の例では、それぞれ 1 つのファイアウォールを使用していますが、一部の組織の要件またはアーキテクチャでは 2 つ以上が必要です。 たとえば、アーキテクチャには、Azure Firewall インスタンスと、Web Application Firewallを持つ Application Gateway インスタンスを含めることができます。 各ファイアウォールのログを収集し、CISA TALON で収集できるようにする必要があります。

• 環境でAzureベースの仮想マシンからのインターネットエグレスが必要な場合は、Azure Firewallやサードパーティのファイアウォールなどのレイヤー 3 ソリューションを使用して、送信トラフィックを監視およびログに記録できます。

  ファイアウォールはソース ネットワーク アドレス変換 (SNAT) を適用するため、ワークロードの IP アドレスではなくファイアウォールのパブリック IP アドレスの 1 つが、TIC ログやインターネットの宛先にソースとして表示される可能性があります。 Azure Firewallは、送信フローごとにアタッチされたパブリック IP のいずれかを使用できるため、セット全体を環境のエグレス ID として文書化します。 接続されているパブリック IP アドレスの数によって、SNAT ポートの予算も設定されるため、すべてのエグレス ワークロードに対する同時送信接続の上限が設定されます。

シナリオの詳細

TIC 3.0 では、オンプレミスのデータ収集にとどまらず、最新のアプリケーションとシステムにより適したクラウドベースのアプローチでの TIC が実現されます。 Azureアプリケーションに直接アクセスできるため、パフォーマンスが向上します。 TIC 2.x では、TIC 2.x Managed Trusted Internet Protocol Service (MTIPS) デバイスを介してAzure アプリケーションにアクセスする必要があり、応答が遅くなります。

ここで示すソリューションで示されているコア機能は、ファイアウォール経由でアプリケーション トラフィックをルーティングし、トラフィックをログする機能です。 ファイアウォールは、Azure Firewall、Web Application Firewallを使用したAzure Front Door、Web Application Firewallを使用する Application Gateway、またはサードパーティの NVA にすることができます。 ファイアウォールは、クラウド境界をセキュリティで保護し、各トランザクションのログを保存するのに役立ちます。 ログ収集と配信ソリューションには、ファイアウォールレイヤーとは別に、Log Analyticsワークスペース、登録済みアプリケーション、およびイベント ハブが必要です。 Log Analytics ワークスペースは、イベント ハブにログを送信します。

CLAW は CISA の管理サービスです。 2022 年後半、CISA は TALON をリリースしました。 TALON は、Azureネイティブ機能を使用する CISA マネージド サービスです。 TALON のインスタンスは、各Azureリージョンで実行されます。 TALON は、政府機関が管理するイベントハブに接続し、機関のファイアウォールやMicrosoft EntraのログをCISA CLAWに取り込むことができます。

CLAW、TIC 3.0、MTIPS の詳細については、次を参照してください。

• 信頼されたインターネット接続のガイダンス
• TIC 3.0 のコア ガイダンス ドキュメント
• 国家サイバーセキュリティ保護システム (NCPS) のドキュメント
• アインシュタイン
• マネージド信頼済みインターネット プロトコル サービス (MTIPS)

考えられるユース ケース

TIC 3.0 コンプライアンス ソリューションは、Azureベースの Web アプリケーションと API サービスのために連邦組織や政府機関によって一般的に使用されます。

考慮事項

これらの考慮事項は、Azure Well-Architected Framework の柱を実装します。これは、ワークロードの品質を向上させるために使用できる一連の基本原則です。 詳細については、「 Well-Architected Framework」を参照してください。

• 現在のアーキテクチャを評価して、ここに示すソリューションから TIC 3.0 への準拠に最適なアプローチを決定します。
• CLAW へのアクセスを要求するには、CISA の担当者にお問い合わせください。

[信頼性]

信頼性は、アプリケーションが顧客に対して行ったコミットメントを確実に満たすことができるのに役立ちます。 詳細については、「信頼性の 設計レビュー チェックリスト」を参照してください。

• Azure Firewall Standard と Premium は可用性ゾーンと統合され、可用性が向上します。
• Application Gateway v2 では、信頼性を向上させるために、自動スケーリングと可用性ゾーンがサポートされています。
• Azure Front Doorなどの負荷分散サービスを含む複数リージョンの実装により、信頼性と回復性が向上します。
• Event Hubs Standard と Premium では、名前空間をセカンダリ リージョンにフェールオーバーできるようにする geo ディザスター リカバリー ペアリングが提供されます。

セキュリティ

セキュリティは、意図的な攻撃や貴重なデータとシステムの誤用に対する保証を提供します。 詳細については、「セキュリティの 設計レビューチェックリスト」を参照してください。

• エンタープライズ アプリケーションを登録すると、サービス プリンシパルが作成されます。 各サービス プリンシパルの目的を示す名前付けスキームを使用します。
• 監査を実行して、サービス プリンシパルのアクティビティとサービス プリンシパル所有者の状態を確認します。
• Azure Firewallには標準ポリシーがあります。 Application Gateway とAzure Front Doorに関連付けられている Web アプリケーション ファイアウォール (WAF) には、Web サービスをセキュリティで保護するための管理された規則セットがあります。 まず、それらのルール セットを設定し、業界の要件、ベスト プラクティス、政府の規制に基づいて組織のポリシーを構築します。
• Event Hubs アクセスは、Microsoft Entraマネージド ID と CISA によって提供される証明書を介して承認されます。

コストの最適化

コストの最適化では、不要な経費を削減し、運用効率を向上させる方法に重点を置いています。 詳細については、「 コストの最適化」のデザイン レビュー チェックリストを参照してください。

各ソリューションのコストは、リソースの増加に伴ってスケールダウンします。 この Azure 料金計算ツールのシナリオ例 の価格は、Azure Firewall ソリューションに基づいています。 構成を変更すると、コストが増加する可能性があります。 一部のプランでは、取り込まれたログの数が増えるほどコストが増加します。

オペレーショナル エクセレンス

オペレーショナル エクセレンスは、アプリケーションをデプロイし、それを運用環境で実行し続ける運用プロセスをカバーします。 詳細については、「 オペレーショナル エクセレンスの設計レビュー チェックリスト」を参照してください。

• Azure Monitorアラートは、アップロードがCLAWにログを配信しなかった場合に通知する機能としてソリューションに組み込まれています。 アラートの重要度と応答方法を決定する必要があります。
• Azure Resource Manager (ARM)、Bicep、または Terraform テンプレートを使用して、新しいアプリケーション用の TIC 3.0 アーキテクチャのデプロイを高速化できます。

パフォーマンス効率

パフォーマンス効率とは、ユーザーの要求を効率的に満たすためにスケーリングするワークロードの能力を指します。 詳細については、 パフォーマンス効率のデザイン レビュー チェックリストを参照してください。

• Azure Firewall、Application Gateway、Azure Front Door、および Event Hubs のパフォーマンスは、使用量の増加に応じてスケーリングされます。
• Azure Firewall Premium では、Standard よりも多くの TCP 接続が許可され、帯域幅が増加します。
• Application Gateway v2 では、新しいインスタンスが障害ドメインと更新ドメインに自動的に分散されるようにします。
• Azure Front Doorでは、パフォーマンスを向上させるために、キャッシュ、圧縮、トラフィック高速化、TLS 終了が提供されます。
• Event Hubs Standard と Premium では、負荷の増加に合わせてスケールアップするための自動インフレが提供されます。

Azure Firewall ソリューションをデプロイする

ネットワーク アーキテクチャ内にAzure Firewallをデプロイすると、Azure アプリケーション環境に入るトラフィックを効果的に管理し、セキュリティで保護することができます。 このソリューションでは、サイバーセキュリティおよびインフラストラクチャ セキュリティ機関 (CISA) クラウド ログ集約ウェアハウス (クロー) にログを収集して配信するための包括的なガイダンスを提供し、信頼されたインターネット接続 (TIC) 3.0 の要件に準拠していることを確認します。 ARM、Bicep、または Terraform テンプレートを使用してデプロイを自動化し、セットアップ プロセスを合理化し、コードとしてのインフラストラクチャのベスト プラクティスに従うことができます。

このソリューションの内容は次のとおりです。

• ファイアウォールとサーバー用の個別のサブネットを備えた仮想ネットワーク。
• Log Analytics ワークスペース。
• インターネット アクセス用のネットワーク ポリシーを適用したAzure Firewall。
• Azure Firewall の診断設定で、ログを Log Analytics ワークスペースに送信します。
• ログの生成のためにアプリ サービスをファイアウォールにルーティングする、アプリケーション リソース グループに関連付けられたルート テーブル。
• 登録済みアプリケーション。
• イベント ハブ。
• ジョブが失敗した場合にメールを送信するアラート ルール。

WAF を使用した Application Gateway を使用するソリューションをデプロイする

ネットワーク アーキテクチャ内に Web Application Firewall (WAF) を使用して Application Gateway をデプロイすると、Azure アプリケーション環境に入る Web トラフィックを効果的に管理し、セキュリティで保護することができます。 このソリューションでは、サイバーセキュリティおよびインフラストラクチャ セキュリティ機関 (CISA) クラウド ログ集約ウェアハウス (クロー) にログを収集して配信するための包括的なガイダンスを提供し、信頼されたインターネット接続 (TIC) 3.0 の要件に準拠していることを確認します。 ARM、Bicep、または Terraform テンプレートを使用してデプロイを自動化し、セットアップ プロセスを合理化し、コードとしてのインフラストラクチャのベスト プラクティスに従うことができます。

このソリューションの内容は次のとおりです。

• ファイアウォールとサーバー用の個別のサブネットを備えた仮想ネットワーク。
• Log Analytics ワークスペース。
• WAF を使用した Application Gateway v2 インスタンス。 WAF は、ボットとMicrosoft管理ポリシーで構成されます。
• Log Analytics ワークスペースにログを送信する Application Gateway v2 診断設定。
• 登録済みアプリケーション。
• イベント ハブ。
• ジョブが失敗した場合にメールを送信するアラート ルール。

WAF でAzure Front Doorを使用するソリューションをデプロイする

次のソリューションでは、WAF でAzure Front Doorを使用して、Azure アプリケーション環境に入るグローバル Web トラフィックを管理およびセキュリティで保護します。 このソリューションは、CISA Cloud Log Aggregation Warehouse (CLAW) にログを生成、収集、配信するための包括的なガイダンスを提供し、信頼されたインターネット接続 (TIC) 3.0 の要件に準拠していることを確認します。 ARM、Bicep、または Terraform テンプレートを使用してデプロイを自動化し、セットアップ プロセスを合理化し、コードとしてのインフラストラクチャのベスト プラクティスに従うことができます。

このソリューションの内容は次のとおりです。

• ファイアウォールとサーバー用の個別のサブネットを備えた仮想ネットワーク。
• Log Analytics ワークスペース。
• WAF を使用するAzure Front Door インスタンス。 WAF は、ボットとMicrosoft管理ポリシーで構成されます。
• Azure Front Door の診断設定で、ログを Log Analytics ワークスペースに送信します。
• 登録済みアプリケーション。
• イベント ハブ。
• ジョブが失敗した場合にメールを送信するアラート ルール。

サードパーティ ファイアウォール (NVA) ソリューション

次のソリューションは、サードパーティのファイアウォールを使用して、Azure アプリケーション環境に入るトラフィックを管理し、TIC 3.0 コンプライアンスを実装する方法を示しています。 サードパーティのファイアウォールでは、Syslog フォワーダー仮想マシンを使用する必要があります。 そのエージェントは、Log Analytics ワークスペースに登録する必要があります。 サードパーティのファイアウォールは、Syslog 形式でログを Syslog フォワーダー仮想マシンにエクスポートするように構成されています。 エージェントは、Log Analytics ワークスペースにログを送信するように構成されています。 ログが Log Analytics ワークスペースに入ると、イベント ハブに送信され、この記事で説明されている他のソリューションと同様に処理されます。

デプロイ後タスク

デプロイ後、環境はファイアウォール機能とログ接続を実行します。 ネットワーク テレメトリ収集の TIC 3.0 ポリシーのコンプライアンス要件を満たすには、ログが CISA CLAW に確実に送信されるようにする必要があります。 デプロイ後の手順では、コンプライアンスを有効にするためのタスクを完了します。 CISA がサービス プリンシパルに関連付ける証明書を提供する必要があるため、これらの手順を完了するには CISA と調整する必要があります。

デプロイ後、次のタスクを手動で実行する必要があります。 ARM テンプレートを使用してタスクを完了することはできません。

• CISA から公開キー証明書を取得します。
• サービス プリンシパルを作成します (アプリケーションの登録)。
• 公開キー証明書をアプリケーションの登録に追加します。
• Event Hubs 名前空間スコープで、アプリケーションに Azure Event Hubs Data Receiver ロールを割り当てます。
• Azureテナント ID、アプリケーション (クライアント) ID、イベント ハブ名前空間名、イベント ハブ名、コンシューマー グループ名を CISA に送信して、フィードをアクティブにします。

寄稿者

この記事は、Microsoftによって管理されています。 当初の寄稿者は以下のとおりです。

主著者:

• ポール・ライザー |シニア クラウド ソリューション アーキテクト

パブリックでないLinkedIn プロファイルを表示するには、LinkedIn.

次の手順

• TIC 3.0 のコア ガイダンス ドキュメント
• 国家サイバーセキュリティ保護システム (NCPS) のドキュメント
• アインシュタイン
• マネージド信頼済みインターネット プロトコル サービス (MTIPS)
• Azure Trusted Internet Connection - Extended
• Azure Firewallですか?
• Azure Firewall ドキュメント
• Azure Application Gatewayですか?
• Azure Front Door
• AZURE WAF への導入
• Azure Monitor の Log Analytics の概要
• Azure Event Hubsですか?
• Azure のアラートの概要
• Microsoft Entra ID のアプリケーションオブジェクトとサービスプリンシパルオブジェクト
• リソースにアクセスできるMicrosoft Entra アプリケーションとサービス プリンシパルを作成するには、ポータルを使用します
• Microsoft ID プラットフォーム
• Azure ポータルを使用してAzureロールを割り当
• リソース グループを作成する
• Microsoft Entraテナント ID を検索する方法
• Log Analytics エージェントを使用して Syslog データ ソースを収集します
• Azure Monitor ログ内のテキスト データを解析します
• ネットワーク セキュリティ グループのフロー ログの概要
• Azure リソースのマネージド ID は何ですか?
• Azure ポータルを使用してAzure Firewallをデプロイして構成します

関連リソース

• セキュリティで保護されたハイブリッド ネットワークを実装する
• 安全に管理された Web アプリケーション
• オンプレミス ネットワークからのマルチテナント Web アプリへのセキュリティ アクセスの向上