Přehled zabezpečení služby Azure Monitor a pokyny
Tento článek obsahuje pokyny zabezpečení pro Azure Monitor jako součást architektury Azure Well-Architected Framework.
Pokyny k zabezpečení služby Azure Monitor vám pomůžou pochopit funkce zabezpečení služby Azure Monitor a jak je nakonfigurovat tak, aby optimalizovaly zabezpečení na základě těchto možností:
- Architektura přechodu na cloud, která poskytuje pokyny k zabezpečení pro týmy, které spravují technologickou infrastrukturu.
- Dobře navržená architektura Azure, která poskytuje osvědčené postupy architektury pro vytváření zabezpečených aplikací.
- Srovnávací test zabezpečení cloudu Microsoftu (MCSB), který popisuje dostupné funkce zabezpečení a doporučené optimální konfigurace.
- nulová důvěra (Zero Trust) principů zabezpečení, které poskytují pokyny pro týmy zabezpečení k implementaci technických schopností pro podporu nulová důvěra (Zero Trust) iniciativy modernizace.
Pokyny v tomto článku vycházejí z modelu odpovědnosti za zabezpečení Microsoftu. V rámci tohoto modelu sdílené odpovědnosti microsoft poskytuje zákazníkům služby Azure Monitor tato bezpečnostní opatření:
- Zabezpečení infrastruktury Azure
- Ochrana zákaznických dat Azure
- Šifrování přenášených dat během příjmu dat
- Šifrování neaktivních uložených dat pomocí spravovaných klíčů Microsoftu
- Ověřování Microsoft Entra pro přístup k rovině dat
- Ověřování agenta Služby Azure Monitor a Application Insights pomocí spravovaných identit
- Privilegovaný přístup k akcím roviny dat pomocí řízení přístupu na základě role (Azure RBAC)
- Dodržování oborových standardů a předpisů
Příjem protokolů a úložiště
Kontrolní seznam návrhu
- Nakonfigurujte přístup pro různé typy dat v pracovním prostoru vyžadovaných pro různé role ve vaší organizaci.
- Pomocí privátního propojení Azure můžete odebrat přístup k vašemu pracovnímu prostoru z veřejných sítí.
- Nakonfigurujte auditování dotazů protokolu, abyste mohli sledovat, kteří uživatelé spouštět dotazy.
- Zajistěte neměnnost dat auditu.
- Určete strategii filtrování nebo obfukování citlivých dat v pracovním prostoru.
- Vyprázdnění citlivých dat, která byla náhodně shromážděna.
- Propojte pracovní prostor s vyhrazeným clusterem pro vylepšené funkce zabezpečení, včetně dvojitého šifrování pomocí klíčů spravovaných zákazníkem a customer Lockboxu pro Microsoft Azure ke schválení nebo odmítnutí žádostí o přístup k datům Microsoftu.
- K odesílání dat do pracovního prostoru pomocí agentů, konektorů a rozhraní API pro příjem protokolů použijte protokol TLS (Transport Layer Security) 1.2 nebo vyšší.
Doporučení pro konfiguraci
| Doporučení | Výhoda |
|---|---|
| Nakonfigurujte přístup pro různé typy dat v pracovním prostoru vyžadovaných pro různé role ve vaší organizaci. | Nastavte režim řízení přístupu pro pracovní prostor tak, aby používal oprávnění prostředku nebo pracovního prostoru, aby vlastníci prostředků mohli používat kontext prostředků pro přístup k datům bez udělení explicitního přístupu k pracovnímu prostoru. To zjednodušuje konfiguraci pracovního prostoru a pomáhá zajistit, aby uživatelé nemohli přistupovat k datům, která by neměli. Přiřaďte odpovídající integrovanou roli , která správcům udělí oprávnění k pracovnímu prostoru na úrovni předplatného, skupiny prostředků nebo pracovního prostoru v závislosti na rozsahu zodpovědností. Použijte řízení přístupu na úrovni tabulky pro uživatele, kteří vyžadují přístup k sadě tabulek napříč několika prostředky. Uživatelé s oprávněními tabulky mají přístup ke všem datům v tabulce bez ohledu na jejich oprávnění k prostředkům. Podrobnosti o různých možnostech udělení přístupu k datům v pracovním prostoru najdete v tématu Správa přístupu k pracovním prostorům služby Log Analytics. |
| Pomocí privátního propojení Azure můžete odebrat přístup k vašemu pracovnímu prostoru z veřejných sítí. | Připojení k veřejným koncovým bodům jsou zabezpečená pomocí kompletního šifrování. Pokud potřebujete privátní koncový bod, můžete pomocí privátního propojení Azure povolit prostředkům připojení k pracovnímu prostoru služby Log Analytics prostřednictvím autorizovaných privátních sítí. Privátní propojení se dá použít také k vynucení příjmu dat pracovního prostoru přes ExpressRoute nebo VPN. Přečtěte si téma Návrh nastavení služby Azure Private Link pro určení nejlepší topologie sítě a DNS pro vaše prostředí. |
| Nakonfigurujte auditování dotazů protokolu, abyste mohli sledovat, kteří uživatelé spouštět dotazy. | Auditování dotazů protokolu zaznamenává podrobnosti pro každý dotaz, který se spouští v pracovním prostoru. Zachází s daty auditu jako s daty zabezpečení a odpovídajícím způsobem zabezpečte tabulku LAQueryLogs . Nakonfigurujte protokoly auditu pro každý pracovní prostor, který se má odeslat do místního pracovního prostoru, nebo konsolidovat do vyhrazeného pracovního prostoru zabezpečení, pokud oddělíte provozní a bezpečnostní data. Pomocí přehledů pracovního prostoru služby Log Analytics pravidelně kontrolujte tato data a zvažte vytvoření pravidel upozornění prohledávání protokolů, která vás proaktivně upozorní, pokud se neoprávnění uživatelé pokoušejí spouštět dotazy. |
| Zajistěte neměnnost dat auditu. | Azure Monitor je datová platforma určená jen pro připojení, ale obsahuje ustanovení pro odstranění dat pro účely dodržování předpisů. Zámek v pracovním prostoru služby Log Analytics můžete nastavit tak, aby blokovaly všechny aktivity, které by mohly odstranit data: vyprázdnění, odstranění tabulky a změny uchovávání dat na úrovni tabulky nebo pracovního prostoru. Tento zámek je ale možné přesto odebrat. Pokud potřebujete plně zfalšované řešení, doporučujeme exportovat data do neměnného řešení úložiště. Export dat můžete použít k odesílání dat do účtu úložiště Azure se zásadami neměnnosti, které chrání před manipulací s daty. Ne každý typ protokolů má stejnou důležitost pro dodržování předpisů, auditování nebo zabezpečení, takže určete konkrétní datové typy, které by se měly exportovat. |
| Určete strategii filtrování nebo obfukování citlivých dat v pracovním prostoru. | Možná shromažďujete data, která obsahují citlivé informace. Filtrování záznamů, které by se neměly shromažďovat pomocí konfigurace pro konkrétní zdroj dat. Transformace použijte, pokud by měly být odebrány nebo obfuskovány pouze konkrétní sloupce v datech. Pokud máte standardy, které vyžadují, aby původní data byla nezměněná, můžete v dotazech KQL použít literál "h" k obfuscate výsledkům dotazu zobrazeným v sešitech. |
| Vyprázdnění citlivých dat, která byla náhodně shromážděna. | Pravidelně kontrolujte soukromá data, která se můžou v pracovním prostoru náhodně shromažďovat, a pomocí vyprázdnění dat je odeberte. Data v tabulkách s pomocným plánem se momentálně nedají vyprázdnit. |
| Propojte pracovní prostor s vyhrazeným clusterem pro vylepšené funkce zabezpečení, včetně dvojitého šifrování pomocí klíčů spravovaných zákazníkem a customer Lockboxu pro Microsoft Azure ke schválení nebo odmítnutí žádostí o přístup k datům Microsoftu. | Azure Monitor šifruje všechna neaktivní uložená data a uložené dotazy pomocí klíčů spravovaných Microsoftem (MMK). Pokud shromažďujete dostatek dat pro vyhrazený cluster, použijte: - Klíče spravované zákazníkem pro větší flexibilitu a řízení životního cyklu klíčů Pokud používáte Microsoft Sentinel, ujistěte se, že znáte důležité informace o nastavení klíče spravovaného zákazníkem služby Microsoft Sentinel. - Customer Lockbox pro Microsoft Azure umožňuje kontrolovat a schvalovat nebo odmítat žádosti o přístup k datům zákazníků. Customer Lockbox se používá, když technik Microsoftu potřebuje získat přístup k zákaznickým datům, ať už v reakci na lístek podpory iniciovaný zákazníkem nebo k problému zjištěnému Microsoftem. Lockbox se momentálně nedá použít u tabulek s pomocným plánem. |
| K odesílání dat do pracovního prostoru pomocí agentů, konektorů a rozhraní API pro příjem protokolů použijte protokol TLS (Transport Layer Security) 1.2 nebo vyšší. | K zajištění zabezpečení přenášených dat do služby Azure Monitor použijte protokol TLS (Transport Layer Security) 1.2 nebo vyšší. Ve starších verzích protokolu TLS/Secure Sockets Layer (SSL) se zjistilo, že jsou ohrožené a v současné době stále pracují na zajištění zpětné kompatibility, nedoporučuje se a odvětví rychle přechází na opuštění podpory těchto starších protokolů. Rada bezpečnostních standardů PCI nastavila lhůtu 30. června 2018, aby zakázala starší verze protokolu TLS/SSL a upgradovala na bezpečnější protokoly. Jakmile Azure zahodí podporu starší verze, nebudete moct odesílat data do protokolů služby Azure Monitor, pokud vaši agenti nemůžou komunikovat přes protokoly TLS 1.3. Doporučujeme, abyste explicitně nenastavili agenta tak, aby používal pouze protokol TLS 1.3, pokud to není nutné. Lepší je umožnit agentu automaticky zjišťovat, vyjednávat a využívat budoucí standardy zabezpečení. Jinak byste mohli vynechat přidané zabezpečení novějších standardů a případně se setkáte s problémy, pokud je protokol TLS 1.3 někdy zastaralý ve prospěch těchto novějších standardů. |
Výstrahy
Kontrolní seznam návrhu
- Klíče spravované zákazníkem použijte, pokud potřebujete vlastní šifrovací klíč k ochraně dat a uložených dotazů ve vašich pracovních prostorech.
- Použití spravovaných identit ke zvýšení zabezpečení řízením oprávnění
- Přiřazení role čtenáře monitorování všem uživatelům, kteří nepotřebují oprávnění ke konfiguraci
- Použití zabezpečených akcí webhooku
- Při použití skupin akcí, které používají privátní propojení, použijte akce centra událostí.
Doporučení pro konfiguraci
| Doporučení | Výhoda |
|---|---|
| Klíče spravované zákazníkem použijte, pokud potřebujete vlastní šifrovací klíč k ochraně dat a uložených dotazů ve vašich pracovních prostorech. | Azure Monitor zajišťuje, že všechna data a uložené dotazy jsou v klidovém stavu zašifrované pomocí klíčů spravovaných Microsoftem (MMK). Pokud potřebujete vlastní šifrovací klíč a shromažďujete dostatek dat pro vyhrazený cluster, používejte klíče spravované zákazníkem pro větší flexibilitu a kontrolu životního cyklu klíčů. Pokud používáte Microsoft Sentinel, ujistěte se, že znáte důležité informace o nastavení klíče spravovaného zákazníkem služby Microsoft Sentinel. |
| Pokud chcete řídit oprávnění pro pravidla upozornění prohledávání protokolu, použijte spravované identity pro pravidla upozornění prohledávání protokolu. | Běžnou výzvou pro vývojáře je správa tajných kódů, přihlašovacích údajů, certifikátů a klíčů používaných pro zabezpečení komunikace mezi službami. Spravované identity eliminují potřebu vývojářů spravovat tyto přihlašovací údaje. Nastavení spravované identity pro pravidla upozornění prohledávání protokolu vám dává kontrolu a přehled o přesných oprávněních pravidla upozornění. Kdykoli můžete zobrazit oprávnění k dotazům pravidla a přidat nebo odebrat oprávnění přímo z jeho spravované identity. Kromě toho se vyžaduje použití spravované identity, pokud dotaz pravidla přistupuje k Azure Data Exploreru (ADX) nebo Azure Resource Graphu (ARG). Viz Spravované identity. |
| Přiřaďte roli čtenáře monitorování všem uživatelům, kteří nepotřebují oprávnění ke konfiguraci. | Zvyšte zabezpečení tím, že uživatelům poskytnete nejnižší množství oprávnění vyžadovaných pro svou roli. Viz Role, oprávnění a zabezpečení ve službě Azure Monitor. |
| Pokud je to možné, použijte zabezpečené akce webhooku. | Pokud vaše pravidlo upozornění obsahuje skupinu akcí, která používá akce webhooku, preferujte použití zabezpečených akcí webhooku pro další ověřování. Viz Konfigurace ověřování pro zabezpečený webhook. |
Monitorování virtuálních počítačů
Kontrolní seznam návrhu
- K monitorování zabezpečení virtuálních počítačů použijte další služby.
- Zvažte použití privátního propojení Azure pro virtuální počítače pro připojení ke službě Azure Monitor pomocí privátního koncového bodu.
Doporučení pro konfiguraci
| Doporučení | Popis |
|---|---|
| K monitorování zabezpečení virtuálních počítačů použijte další služby. | Azure Monitor sice dokáže shromažďovat události zabezpečení z vašich virtuálních počítačů, ale není určená k monitorování zabezpečení. Azure obsahuje několik služeb, jako je Microsoft Defender for Cloud a Microsoft Sentinel , které společně poskytují kompletní řešení pro monitorování zabezpečení. Porovnání těchto služeb najdete v tématu Monitorování zabezpečení. |
| Zvažte použití privátního propojení Azure pro virtuální počítače pro připojení ke službě Azure Monitor pomocí privátního koncového bodu. | Připojení k veřejným koncovým bodům jsou zabezpečená pomocí kompletního šifrování. Pokud potřebujete privátní koncový bod, můžete pomocí privátního propojení Azure povolit virtuálním počítačům připojení ke službě Azure Monitor prostřednictvím autorizovaných privátních sítí. Privátní propojení se dá použít také k vynucení příjmu dat pracovního prostoru přes ExpressRoute nebo VPN. Přečtěte si téma Návrh nastavení služby Azure Private Link pro určení nejlepší topologie sítě a DNS pro vaše prostředí. |
Monitorování kontejnerů
Kontrolní seznam návrhu
- Pro připojení ke službě Container Insights použijte ověřování spravovaných identit pro váš cluster.
- Zvažte použití privátního propojení Azure pro cluster pro připojení k pracovnímu prostoru služby Azure Monitor pomocí privátního koncového bodu.
- Analýza provozu slouží k monitorování síťového provozu do a z clusteru.
- Povolte pozorovatelnost sítě.
- Zajistěte zabezpečení pracovního prostoru služby Log Analytics podporujícího přehledy kontejnerů.
Doporučení pro konfiguraci
| Doporučení | Výhoda |
|---|---|
| Pro připojení ke službě Container Insights použijte ověřování spravovaných identit pro váš cluster. | Ověřování spravované identity je výchozím nastavením pro nové clustery. Pokud používáte starší ověřování, měli byste migrovat na spravovanou identitu , abyste odebrali místní ověřování založené na certifikátech. |
| Zvažte použití privátního propojení Azure pro cluster pro připojení k pracovnímu prostoru služby Azure Monitor pomocí privátního koncového bodu. | Spravovaná služba Azure pro Prometheus ukládá data do pracovního prostoru služby Azure Monitor, který ve výchozím nastavení používá veřejný koncový bod. Připojení k veřejným koncovým bodům jsou zabezpečená pomocí kompletního šifrování. Pokud potřebujete privátní koncový bod, můžete pomocí privátního propojení Azure umožnit clusteru připojit se k pracovnímu prostoru prostřednictvím autorizovaných privátních sítí. Privátní propojení se dá použít také k vynucení příjmu dat pracovního prostoru přes ExpressRoute nebo VPN. Podrobnosti o konfiguraci clusteru pro privátní propojení najdete v tématu Povolení privátního propojení pro monitorování Kubernetes ve službě Azure Monitor . Podrobnosti o dotazování na data pomocí privátního propojení najdete v tématu Použití privátních koncových bodů pro spravovaný pracovní prostor Prometheus a Azure Monitoru. |
| Analýza provozu slouží k monitorování síťového provozu do a z clusteru. | Analýzy provozu analyzují protokoly toku NSG služby Azure Network Watcher, aby poskytovaly přehled o toku provozu ve vašem cloudu Azure. Tento nástroj vám umožní zajistit, aby pro váš cluster nedošlo k exfiltraci dat, a zjistit, jestli jsou vystavené nějaké nepotřebné veřejné IP adresy. |
| Povolte pozorovatelnost sítě. | Doplněk pozorovatelnosti sítě pro AKS poskytuje pozorovatelnost napříč několika vrstvami v zásobníku sítí Kubernetes. monitorování a sledování přístupu mezi službami v clusteru (provoz east-west). |
| Zajistěte zabezpečení pracovního prostoru služby Log Analytics podporujícího přehledy kontejnerů. | Přehledy kontejnerů závisí na pracovním prostoru služby Log Analytics. Informace o zabezpečení pracovního prostoru najdete v doporučených postupech pro protokoly služby Azure Monitor. |