Arquitectura de informática segura de Azure (SACA)

Los clientes del Departamento de Defensa (DoD) de EE. UU. que implementan cargas de trabajo en Azure han solicitado instrucciones para configurar redes virtuales seguras y configurar las herramientas y servicios de seguridad que estipulan los estándares y prácticas de DoD.

En 2017, la Agencia del Sistema de Información de Defensa (DISA) publicó el Documento de requisitos funcionales de arquitectura de informática en la nube segura (SCCA) (FRD). SCCA describe los objetivos funcionales para proteger los puntos de conexión de la red del sistema de información de defensa (DISN) y del proveedor de nube comercial. SCCA también describe cómo los responsables de misión protegen las aplicaciones en la nube en la frontera de conexión. Todas las entidades doD que se conectan a la nube comercial deben seguir las directrices establecidas en SCCA FRD.

La SCCA tiene cuatro componentes:

• Punto de Acceso Perimetral en la Nube (BCAP)
• Stack de seguridad del datacenter virtual (VDSS)
• Virtual Datacenter Managed Services (VDMS)
• Administrador de credenciales en la nube de confianza (TCCM)

Microsoft ha desarrollado una solución que le ayuda a cumplir los requisitos de SCCA para las cargas de trabajo DoD IL4 y DoD IL5 que se ejecutan en Azure. Esta solución específica de Azure se denomina Arquitectura de informática segura de Azure (SACA) y puede ayudarle a cumplir con SCCA FRD. Puede permitirle mover cargas de trabajo a Azure después de conectarse.

Las instrucciones y arquitecturas de SCCA son específicas de los clientes de DoD, pero también ayudan a los clientes civiles a cumplir con las instrucciones de Conexiones de Internet de confianza (TIC) y ayudan a los clientes comerciales que desean implementar una red perimetral segura para proteger sus entornos de Azure.

Componentes de la arquitectura de informática en la nube segura

Punto de Acceso Perimetral en la Nube (BCAP)

El propósito de BCAP es proteger el DISN de los ataques que se originan en el entorno de nube. BCAP realiza la detección y prevención de intrusiones. También filtra el tráfico no autorizado. Este componente se puede ubicar junto a otros componentes de la SCCA. Se recomienda implementar este componente mediante hardware físico. Los requisitos de seguridad de BCAP se enumeran en la tabla siguiente.

Requisitos de seguridad de BCAP

Stack de seguridad del datacenter virtual (VDSS)

El propósito del VDSS es proteger las aplicaciones de los propietarios de misiones del DoD hospedadas en Azure. VDSS realiza la mayor parte de las operaciones de seguridad en la SCCA. Realiza la inspección del tráfico para proteger las aplicaciones que se ejecutan en Azure. Este componente se puede proporcionar en el entorno de Azure.

Requisitos de seguridad de VDSS

Virtual Datacenter Managed Services (VDMS)

El propósito de VDMS es proporcionar servicios de centro de datos compartidos y seguridad de host. Las funciones de VDMS se pueden ejecutar en el centro de SCCA o el propietario de la misión puede implementar partes de VDMS en su propia suscripción de Azure. Este componente se puede proporcionar en el entorno de Azure.

Requisitos de seguridad de VDMS

Administrador de credenciales en la nube de confianza (TCCM)

TCCM es un rol empresarial. Este individuo es responsable de administrar la SCCA. Sus deberes son:

• Establezca planes y directivas para el acceso de la cuenta al entorno de nube.
• Asegúrese de que la administración de identidades y acceso funciona correctamente.
• Mantenga el plan de administración de credenciales en la nube.

Esta persona es designada por el funcionario de autorización. BCAP, VDSS y VDMS proporcionan las funcionalidades que el TCCM necesita para realizar su trabajo.

Requisitos de seguridad de TCCM

Consideraciones de planificación y componentes de SACA

La arquitectura de referencia de SACA está diseñada para implementar los componentes VDSS y VDMS en Azure y para habilitar el TCCM. Esta arquitectura es modular. Todas las partes de VDSS y VDMS pueden residir en un centro centralizado o en varias redes virtuales. Algunos de los controles se pueden cumplir en el espacio del propietario de la misión o incluso en el entorno local. En el siguiente diagrama se muestra esta arquitectura:

Al planear la estrategia de cumplimiento de SCCA y la arquitectura técnica, tenga en cuenta los temas siguientes desde el principio porque afectan a todos los clientes. Los siguientes problemas han llegado a los clientes de DoD y tienden a ralentizar el planeamiento y la ejecución.

¿Qué BCAP usará su organización?

• DISA BCAP:
  • DISA tiene dos BCAP gen 2 que actualmente operan y mantienen, con tres nuevos BCAP gen 3 próximamente en línea.
  • Todos los BCAP de DISA tienen circuitos Azure ExpressRoute hacia Azure, que los clientes del DoD y del Gobierno pueden usar para la conectividad.
  • DISA tiene una sesión de emparejamiento de Microsoft de nivel empresarial para los clientes que quieran suscribirse a herramientas de software como servicio (SaaS) de Microsoft, como Microsoft 365. Al usar DISA BCAP, puede habilitar la conectividad y el peering con su instancia de SACA.
  • Se recomienda usar DISA BCAP. Esta opción está disponible fácilmente, tiene redundancia integrada y tiene clientes que operan en él hoy en producción.
• Cree su propio BCAP:
  • Esta opción requiere que alquile espacio en un centro de datos coubicado y que configure un circuito de ExpressRoute en Azure.
  • Esta opción requiere aprobación adicional del CIO de DoD.
  • Debido a la aprobación adicional y un desarrollo físico, esta opción requiere más tiempo y es difícil de lograr.
• Espacio IP enrutable de DoD:
  • Debe usar el espacio de IP enrutable del DoD en su perímetro. La opción de usar NAT para conectar esos espacios al espacio IP privado en Azure está disponible.
  • Póngase en contacto con el Centro de información de red (NIC) de DoD para obtener espacio ip. Se necesita como parte del envío del proceso de aprobación de la red o del sistema (SNAP) con DISA.
  • Si planea usar NAT para conectar el espacio de direcciones privadas en Azure, necesita un mínimo de una subred /24 del espacio de direcciones asignado desde la NIC para cada región donde planee implementar SACA.
• Redundancia:
  • Implemente una instancia de SACA en al menos dos regiones para las funcionalidades de conmutación por error.
  • Conéctese a al menos dos BCAP a través de circuitos ExpressRoute independientes. Después, ambas conexiones de ExpressRoute se pueden vincular a la instancia SACA de cada región.
• Requisitos Específicos del Componente DoD:
  • ¿Su organización tiene algún requisito específico fuera de los requisitos de SCCA? Algunas organizaciones tienen requisitos específicos de IPS.
• SACA es una arquitectura modular:
  • Use solo los componentes que necesita para su entorno.
    • Implemente aplicaciones virtuales de red en un solo nivel o en varios niveles.
    • Utilice IPS nativo de nube o use su propio IPS.

¿Qué solución automatizada usará para implementar VDSS?

Como se mencionó anteriormente, puede crear la referencia de SACA mediante una variedad de dispositivos y servicios de Azure. Microsoft tiene plantillas de solución automatizadas para implementar SACA con servicios nativos o con soluciones de asociados como Palo Alto Networks, F5 y Citrix. Estas soluciones se tratan en la sección siguiente.

¿Qué servicios de Azure usará?

• Hay servicios de Azure que pueden cumplir los requisitos de log analytics, protección basada en host y funcionalidad de IDS. Es posible que algunos servicios no estén disponibles con carácter general en las regiones de Microsoft Azure DoD. En este caso, es posible que tenga que usar herramientas de terceros si estos servicios de Azure no pueden cumplir sus requisitos. Examine las herramientas con las que se siente cómodo y la viabilidad del uso de herramientas nativas de Azure.

• Se recomienda usar tantas herramientas nativas de Azure como sea posible. Se crean teniendo en cuenta la seguridad en la nube y se integran perfectamente con el resto de la plataforma Azure. Use las herramientas nativas de Azure en la lista siguiente para cumplir varios requisitos de SCCA:

  • Azure Monitor
  • Microsoft Defender for Cloud
  • Network Watcher
  • Azure Key Vault
  • Microsoft Entra ID
  • Puerta de enlace de aplicaciones
  • Azure Firewall
  • Azure Front Door
  • Grupos de seguridad de red
  • Protección contra DDoS de Azure
  • Microsoft Sentinel

• Dimensionamiento

  • Se debe completar un ejercicio de ajuste de tamaño. Examine el número de conexiones simultáneas que puede tener a través de la instancia de SACA y los requisitos de rendimiento de red.
  • Este paso es crítico. Ayuda a ajustar el tamaño de las máquinas virtuales, los circuitos ExpressRoute e identificar las licencias necesarias de los distintos proveedores que use en la implementación de SACA.
  • No se puede realizar un buen análisis de costos sin el ejercicio de dimensionamiento. El ajuste de tamaño correcto también permite un mejor rendimiento.

Escenario de implementación más común

Varios clientes de Microsoft han pasado por la implementación completa o al menos las fases de planificación de sus entornos SACA. Sus experiencias han revelado información sobre el escenario de implementación más común. En el diagrama siguiente se muestra la arquitectura más común:

Como puede ver en el diagrama, los clientes normalmente se suscriben a dos de los BCAP de DISA. En cada ubicación de DISA BCAP, se establece un emparejamiento privado de ExpressRoute con Azure. Estos peers de ExpressRoute se vinculan a la puerta de enlace de red virtual en cada región de Azure. Todo el tráfico de entrada y salida fluye a través de SACA, a través de la conexión de ExpressRoute a DISA BCAP.

Después, los propietarios de la misión eligen las regiones de Azure en las que planean implementar sus aplicaciones. Usan el emparejamiento de redes virtuales para conectar la red virtual de su aplicación a la red virtual SACA. Después fuerzan a tunelizar todo su tráfico a través de la instancia VDSS.

Se recomienda esta arquitectura porque cumple los requisitos de SCCA. Es de alta disponibilidad, se escala fácilmente y simplifica la implementación y la administración.

Opciones automatizadas de implementación de SACA

Como se mencionó anteriormente, Microsoft se ha asociado con proveedores para crear plantillas automatizadas de infraestructura de SACA. Estas plantillas implementan los siguientes componentes de Azure:

• Red virtual SACA
  • Subred de VDMS
    • Esta subred es donde se implementan máquinas virtuales y servicios utilizados para VDMS, incluidas las máquinas virtuales de jump box.
  • Subredes no confiables, confiables, de administración o AzureFirewallSubnet
    • Estas subredes son donde se implementan aplicaciones virtuales o Azure Firewall.
• Máquinas virtuales de cuadro de salto de administración
  • Se utilizan para la gestión fuera de banda del entorno.
• Aplicaciones virtuales de red
• Azure Bastion
  • Bastion se usa para conectarse de forma segura a las máquinas virtuales a través de SSL
• Direcciones IP públicas
  • Se usan para el front-end hasta que ExpressRoute se pone en línea. Estas direcciones IP se traducen al espacio de direcciones privadas de backend de Azure.
• Tablas de rutas
  • Aplicadas durante la automatización, estas tablas de enrutamiento fuerzan el túnel de todo el tráfico a través del dispositivo virtual mediante el equilibrador de carga interno.
• Equilibradores de carga de Azure: SKU estándar
  • Se usan para equilibrar la carga del tráfico en los dispositivos de terceros.
• Grupos de seguridad de red
  • Se usan para controlar qué tipos de tráfico pueden llegar a determinados destinos.

Implementación de AZURE SACA

Puede usar la plantilla de implementación de la zona de aterrizaje de Misión para implementar en una o varias suscripciones, en función de los requisitos de su entorno. Usa servicios integrados de Azure que no tienen dependencias en licencias de terceros. La plantilla usa Azure Firewall y otros servicios de seguridad para implementar una arquitectura compatible con SCCA.

Para obtener la documentación de Azure y los scripts de implementación, consulte Mission Landing Zone.

Implementación de Palo Alto Networks SACA

La plantilla de implementación de Palo Alto Networks despliega uno o varios dispositivos de la serie VM, así como la preparación y el enrutamiento de VDMS para habilitar una arquitectura de un solo nivel compatible con VDSS. Esta arquitectura cumple los requisitos de SCCA.

Para obtener la documentación y el script de implementación de Palo Alto Networks, consulte Implementación de SACA para Palo Alto Networks en Azure.

Implementación de SACA de F5 Networks

Dos plantillas de implementación F5 independientes abarcan dos arquitecturas diferentes. La primera plantilla tiene solo una capa de dispositivos F5 en una configuración de alta disponibilidad activa-activa. Esta arquitectura cumple los requisitos de SCCA. La segunda plantilla agrega una segunda capa de F5 de alta disponibilidad de activo-activo. Esta segunda capa le permite agregar su propio IPS independiente de F5 entre las capas F5. No todos los componentes del DoD tienen un IPS específico indicado para su uso. Si ese es el caso, una única capa de dispositivos F5 funciona para la mayoría de los casos porque esa arquitectura incluye IPS en los dispositivos F5.

Para obtener la documentación de F5 y el script de implementación, consulte F5 y Azure SACA.

Implementación de Citrix SACA

Una plantilla de implementación de Citrix implementa dos capas de dispositivos Citrix ADC de alta disponibilidad. Esta arquitectura cumple los requisitos de VDSS.

Para obtener la documentación de Citrix y el script de implementación, consulte Implementación basada en SACA.

Pasos siguientes

• Adquirir y tener acceso a Azure Government
• información general de Azure Government
• Seguridad de Azure Government
• Cumplimiento de Azure Government
• Conexiones de Internet de confianza (TIC) con Azure
• Guía de Azure para el aislamiento seguro
• Nivel de impacto alto de FedRAMP
• Nivel de impacto de DoD 4
• Nivel de impacto de DoD 5
• Nivel de impacto de DoD 6
• Ámbito de cumplimiento de servicios en la nube de Azure y otros servicios en la nube de Microsoft
• Introducción a Azure Policy.
• Iniciativas integradas de cumplimiento normativo de Azure Policy
• Mapeo de control de seguridad con zonas de aterrizaje de Azure