Übersicht und Richtlinien für Azure Monitor-Sicherheit
In diesem Artikel werden Sicherheitsrichtlinien für Azure Monitor als Teil des Azure Well-Architected Framework bereitgestellt.
Die Sicherheitsrichtlinien von Azure Monitor helfen Ihnen, die Sicherheitsfeatures von Azure Monitor zu verstehen und zu konfigurieren, um die Sicherheit basierend auf Folgendem zu optimieren:
- Cloud Adoption Framework: Stellt einen Sicherheitsleitfaden für Teams bereit, die die Technologieinfrastruktur verwalten.
- Azure Well-Architected Framework: Stellt bewährte Methoden für die Architektur zum Erstellen sicherer Anwendungen bereit.
- Microsoft Cloud Security Benchmark (MCSB, Microsoft-Benchmark für Cloudsicherheit): Beschreibt die verfügbaren Sicherheitsfeatures und die empfohlenen optimalen Konfigurationen.
- Zero Trust-Sicherheitsprinzipien: Enthält Anleitungen für Sicherheitsteams zur Implementierung technischer Funktionen zur Unterstützung einer Zero Trust-Modernisierungsinitiative.
Die Richtlinien in diesem Artikel basieren auf dem Microsoft-Modell für Sicherheitszuständigkeiten. Im Rahmen dieses Modells der gemeinsamen Verantwortung stellt Microsoft die folgenden Sicherheitsmaßnahmen für Azure Monitor-Kunden bereit:
- Sicherheit der Azure-Infrastruktur
- Schutz der Azure-Kundendaten
- Verschlüsselung der in Übertragung begriffenen Daten während der Datenerfassung
- Verschlüsselung ruhender Daten mit von Microsoft verwalteten Schlüsseln
- Microsoft Entra-Authentifizierung für den Datenebenenzugriff
- Authentifizierung von Azure Monitor-Agent und Application Insights mithilfe von verwalteten Identitäten
- Privilegierter Zugriff auf Datenebenenaktionen mithilfe der rollenbasierten Zugriffssteuerung (Azure RBAC)
- Einhaltung von Branchenstandards und -vorschriften
Protokollerfassung und Speicherung
Prüfliste für den Entwurf
- Konfigurieren Sie den Zugriff für verschiedene Datentypen im Arbeitsbereich, die für verschiedene Rollen in Ihrer Organisation erforderlich sind.
- Verwenden Sie Azure Private Link, um den Zugriff auf Ihren Arbeitsbereich aus öffentlichen Netzwerken zu entfernen.
- Konfigurieren Sie die Protokollabfrageüberwachung, um nachzuverfolgen, welche Benutzer Abfragen ausführen.
- Stellen Sie die Unveränderlichkeit von Überwachungsdaten sicher.
- Bestimmen Sie eine Strategie zum Filtern oder Verschleiern vertraulicher Daten in Ihrem Arbeitsbereich.
- Löschen Sie vertrauliche Daten, die versehentlich gesammelt wurden.
- Verknüpfen Sie Ihren Arbeitsbereich mit einem dedizierten Cluster für erweiterte Sicherheitsfeatures, einschließlich Mehrfachverschlüsselung mithilfe von kundenseitig verwalteten Schlüsseln und einer Kunden-Lockbox für Microsoft Azure, um Microsoft-Datenzugriffsanforderungen zu genehmigen oder abzulehnen.
- Verwenden Sie Transport Layer Security (TLS) 1.2 oder höher, um Daten mithilfe von Agents, Connectors und der Protokollerfassungs-API an Ihren Arbeitsbereich zu senden.
Konfigurationsempfehlungen
| Empfehlung | Vorteil |
|---|---|
| Konfigurieren Sie den Zugriff für verschiedene Datentypen im Arbeitsbereich, die für verschiedene Rollen in Ihrer Organisation erforderlich sind. | Legen Sie den Zugriffssteuerungsmodus für den Arbeitsbereich auf Ressourcen- oder Arbeitsbereichsberechtigungen verwenden fest, um Ressourcenbesitzern die Verwendung des Ressourcenkontexts für den Zugriff auf ihre Daten zu ermöglichen, ohne expliziten Zugriff auf den Arbeitsbereich zu erhalten. Dies vereinfacht Ihre Arbeitsbereichskonfiguration und hilft sicherzustellen, dass Benutzer nicht auf Daten zugreifen können, auf die sie keinen Zugriff haben. Weisen Sie die geeignete integrierte Rolle zu, um Administratoren je nach ihrem Zuständigkeitsbereich Arbeitsbereichsberechtigungen auf Abonnement-, Ressourcengruppen- oder Arbeitsbereichsebene zu erteilen. Wenden Sie RBAC auf Tabellenebene für Benutzende an, die Zugriff auf eine Gruppe von Tabellen über mehrere Ressourcen hinweg benötigen. Benutzer mit Tabellenberechtigungen haben Zugriff auf alle Daten in der Tabelle, unabhängig von ihren Ressourcenberechtigungen. Details über die verschiedenen Optionen zum Gewähren des Zugriffs auf Daten im Arbeitsbereich finden Sie unter Verwalten des Zugriffs auf Log Analytics-Arbeitsbereiche. |
| Verwenden Sie Azure Private Link, um den Zugriff auf Ihren Arbeitsbereich aus öffentlichen Netzwerken zu entfernen. | Verbindungen mit öffentlichen Endpunkten sind mit End-to-End-Verschlüsselung gesichert. Wenn Sie einen privaten Endpunkt benötigen, können Sie Azure Private Link verwenden, um Ressourcen das Herstellen einer Verbindung mit Ihrem Log Analytics-Arbeitsbereich über autorisierte private Netzwerke zu ermöglichen. Private Link kann auch verwendet werden, um die Arbeitsbereichsdatenerfassung über ExpressRoute oder ein VPN zu erzwingen. Informationen zum Bestimmen der besten Netzwerk- und DNS-Topologie für Ihre Umgebung finden Sie unter Entwerfen Ihres Azure Private Link-Setups. |
| Konfigurieren Sie die Protokollabfrageüberwachung, um nachzuverfolgen, welche Benutzer Abfragen ausführen. | Die Protokollabfrageüberwachung zeichnet die Details jeder Abfrage auf, die in einem Arbeitsbereich ausgeführt wird. Behandeln Sie diese Überwachungsdaten als Sicherheitsdaten, und sichern Sie die LAQueryLogs-Tabelle entsprechen. Konfigurieren Sie die Überwachungsprotokolle für jeden Arbeitsbereich, um sie an den lokalen Arbeitsbereich zu senden, oder konsolidieren Sie diese in einem dedizierten Sicherheitsarbeitsbereich, wenn Sie Ihre Betriebs- und Sicherheitsdaten trennen. Verwenden Sie Erkenntnisse des Log Analytics-Arbeitsbereichs, um diese Daten regelmäßig zu überprüfen, und erwägen Sie die Erstellung von Warnungsregeln für die Protokollsuche, damit Sie proaktiv benachrichtigt werden, wenn nicht autorisierte Benutzer oder Benutzerinnen versuchen, Abfragen auszuführen. |
| Stellen Sie die Unveränderlichkeit von Überwachungsdaten sicher. | Azure Monitor ist eine Append-only-Datenplattform (es kann nur angefügt werden), die allerdings Bestimmungen zum Löschen von Daten für Compliancezwecke enthält. Sie können eine Sperre für Ihren Log Analytics-Arbeitsbereich festlegen, um alle Aktivitäten zu blockieren, die Daten löschen könnten: Bereinigen, Löschen von Tabellen und Änderungen der Datenaufbewahrung auf Arbeitsbereichsebene. Diese Sperre kann allerdings dennoch entfernt werden. Wenn Sie eine vollständig manipulationssichere Lösung benötigen, empfehlen wir, Ihre Daten in eine Lösung mit unveränderlichem Speicher zu exportieren. Verwenden Sie den Datenexport , um Daten an ein Azure-Speicherkonto zu senden, mit Unveränderbarkeitsrichtlinien zum Schutz vor Datenmanipulation. Nicht jede Art von Protokollen hat die gleiche Relevanz hinsichtlich Compliance, Überwachung oder Sicherheit, legen Sie daher die spezifischen Datentypen fest, die exportiert werden sollen. |
| Bestimmen Sie eine Strategie zum Filtern oder Verschleiern vertraulicher Daten in Ihrem Arbeitsbereich. | Möglicherweise sammeln Sie Daten, die vertrauliche Informationen enthalten. Filtern Sie Datensätze, die nicht gesammelt werden sollten, mittels der Konfiguration für die jeweilige Datenquelle. Verwenden Sie eine Transformation, wenn nur bestimmte Spalten in den Daten entfernt oder verschleiert werden sollen. Wenn Sie über Standards verfügen, die eine Unveränderbarkeit der ursprünglichen Daten erfordern, können Sie das „h“-Literal in KQL-Abfragen verwenden, um Abfrageergebnisse zu verschleiern, die in Arbeitsmappen angezeigt werden. |
| Löschen Sie vertrauliche Daten, die versehentlich gesammelt wurden. | Überprüfen Sie in regelmäßigen Abständen, ob in Ihrem Arbeitsbereich versehentlich private Daten gesammelt wurden, und verwenden Sie die Datenlöschung, um sie zu entfernen. Daten in Tabellen mit dem Hilfsplan können derzeit nicht bereinigt werden. |
| Verknüpfen Sie Ihren Arbeitsbereich mit einem dedizierten Cluster für erweiterte Sicherheitsfeatures, einschließlich Mehrfachverschlüsselung mithilfe von kundenseitig verwalteten Schlüsseln und einer Kunden-Lockbox für Microsoft Azure, um Microsoft-Datenzugriffsanforderungen zu genehmigen oder abzulehnen. | Azure Monitor verschlüsselt alle ruhenden Daten und gespeicherten Abfragen mit von Microsoft verwalteten Schlüsseln (Microsoft Managed Keys, MMKs). Wenn Sie genügend Daten für einen dedizierten Cluster sammeln, verwenden Sie Folgendes: - Kundenseitig verwaltete Schlüssel für mehr Flexibilität und wichtige Lebenszyklussteuerung. Wenn Sie Microsoft Sentinel verwenden, stellen Sie sicher, dass Sie mit den Überlegungen unter Einrichten des kundenseitig verwalteten Microsoft Sentinel-Schlüssels vertraut sind. - Kunden-Lockbox für Microsoft Azure, um Anfragen zum Zugriff auf Kundendaten zu überprüfen und zu genehmigen oder abzulehnen. Kunden-Lockbox wird verwendet, wenn eine technische Microsoft-Fachkraft beispielsweise im Rahmen eines kundeninitiierten Supporttickets oder aufgrund eines von Microsoft identifizierten Problems auf Kundendaten zugreifen muss. Lockbox kann derzeit nicht auf Tabellen mit dem Hilfsplan angewendet werden. |
| Verwenden Sie Transport Layer Security (TLS) 1.2 oder höher, um Daten mithilfe von Agents, Connectors und der Protokollerfassungs-API an Ihren Arbeitsbereich zu senden. | Verwenden Sie Transport Layer Security (TLS) 1.2 oder höher, um die Sicherheit der Daten bei der Übertragung zu Azure Monitor zu gewährleisten. Bei älteren Versionen von TLS/Secure Sockets Layer (SSL) wurde ein Sicherheitsrisiko festgestellt. Sie funktionieren aus Gründen der Abwärtskompatibilität zwar noch, werden jedoch nicht empfohlen, und die Industrie ist bestrebt, diese älteren Protokolle schnell auszumustern. Das PCI Security Standards Council hat den 30. Juni 2018 als Termin für die Deaktivierung älterer Versionen von TLS/SSL und das Upgrade auf sicherere Protokolle festgelegt. Sobald Azure keine Legacy-Unterstützung mehr anbietet und wenn Ihre Agents nicht mindestens über TLS 1.3 kommunizieren können, ist das Senden von Daten an Azure Monitor-Protokolle nicht möglich. Es wird empfohlen, den Agent NICHT explizit so zu konfigurieren, dass nur TLS 1.3 verwendet wird, es sei denn, dies ist erforderlich. Dem Agent sollte stattdessen besser das automatische Erkennen, Aushandeln und Nutzen zukünftiger Sicherheitsstandards ermöglicht werden. Andernfalls könnten Sie die zusätzliche Sicherheit neuerer Standards verpassen und möglicherweise Probleme bekommen, wenn TLS 1.3 zugunsten dieser neueren Standards veraltet werden sollte. |
Alerts
Prüfliste für den Entwurf
- Verwenden Sie kundenseitig verwaltete Schlüssel, wenn Sie Ihren eigenen Verschlüsselungsschlüssel benötigen, um Daten und gespeicherte Abfragen in Ihren Arbeitsbereichen zu schützen
- Verwenden von verwalteten Identitäten zum Erhöhen der Sicherheit durch Steuern von Berechtigungen
- Zuweisen der Rolle "Überwachungsleser" für alle Benutzer, die keine Konfigurationsberechtigungen benötigen
- Verwenden von sicheren Webhookaktionen
- Wenn Sie Aktionsgruppen verwenden, die private Verbindungen verwenden, verwenden Sie Event Hub-Aktionen.
Konfigurationsempfehlungen
| Empfehlung | Vorteil |
|---|---|
| Verwenden Sie kundenseitig verwaltete Schlüssel, wenn Sie Ihren eigenen Verschlüsselungsschlüssel benötigen, um Daten und gespeicherte Abfragen in Ihren Arbeitsbereichen zu schützen | Mit Azure Monitor wird sichergestellt, dass alle Daten und gespeicherten Abfragen im Ruhezustand mit von Microsoft verwalteten Schlüsseln (MMK) verschlüsselt werden. Wenn Sie Ihren eigenen Verschlüsselungsschlüssel benötigen und genügend Daten für einen dedizierten Cluster sammeln, verwenden Sie einen kundenseitig verwalteten Schlüssel für größere Flexibilität und Kontrolle des Schlüssellebenszyklus. Wenn Sie Microsoft Sentinel verwenden, stellen Sie sicher, dass Sie mit den Überlegungen unter Einrichten des kundenseitig verwalteten Microsoft Sentinel-Schlüssels vertraut sind. |
| Verwenden Sie verwaltete Identitäten für Ihre Warnungsregeln für die Protokollsuche, um die Berechtigungen für diese zu steuern. | Die Verwaltung von Geheimnissen, Anmeldeinformationen, Zertifikaten und Schlüsseln für eine sichere Kommunikation zwischen verschiedenen Diensten stellt für Entwickler eine häufige Herausforderung dar. Dank verwalteter Identitäten müssen Entwickler keine Anmeldeinformationen mehr verwalten. Wenn Sie eine verwaltete Identität für Ihre Warnungsregeln für die Protokollsuche festlegen, erhalten Sie die Kontrolle und Einsicht in die genauen Berechtigungen Ihrer Warnungsregel. Sie können jederzeit die Abfrageberechtigungen Ihrer Regel anzeigen und Berechtigungen direkt aus der verwalteten Identität hinzufügen oder entfernen. Darüber hinaus ist die Verwendung einer verwalteten Identität erforderlich, wenn die Abfrage Ihrer Regel auf Azure Daten-Explorer (ADX) oder Azure Resource Graph (ARG) zugreift. Siehe Verwaltete Identitäten. |
| Weisen Sie allen Benutzern, die keine Konfigurationsberechtigungen benötigen, die Rolle „Überwachungsleser“ zu. | Erhöhen Sie die Sicherheit, indem Sie Benutzern die geringste Menge an Berechtigungen zuweisen, die für ihre Rolle erforderlich sind. Siehe Rollen, Berechtigungen und Sicherheit in Azure Monitor. |
| Verwenden Sie nach Möglichkeit sichere Webhook-Aktionen. | Wenn Ihre Warnungsregel eine Aktionsgruppe enthält, die Webhook-Aktionen verwendet, sollten Sie sichere Webhook-Aktionen für die zusätzliche Authentifizierung verwenden. Weitere Informationen finden Sie unter Konfigurieren der Authentifizierung für den sicheren Webhook |
Überwachung virtueller Computer
Prüfliste für den Entwurf
- Verwenden Sie andere Dienste für die Sicherheitsüberwachung Ihrer VMs.
- Erwägen Sie die Verwendung eines privaten Azure-Links für VMs, um eine Verbindung mit Azure Monitor über einen privaten Endpunkt herzustellen.
Konfigurationsempfehlungen
| Empfehlung | BESCHREIBUNG |
|---|---|
| Verwenden Sie andere Dienste für die Sicherheitsüberwachung Ihrer VMs. | Azure Monitor kann zwar Sicherheitsereignisse von Ihren VMs erfassen, ist jedoch nicht für die Sicherheitsüberwachung vorgesehen. Azure umfasst mehrere Dienste wie Microsoft Defender for Cloud und Microsoft Sentinel, die zusammen eine vollständige Sicherheitsüberwachungslösung bieten. Einen Vergleich dieser Dienste finden Sie unter Sicherheitsüberwachung. |
| Erwägen Sie die Verwendung eines privaten Azure-Links für VMs, um eine Verbindung mit Azure Monitor über einen privaten Endpunkt herzustellen. | Verbindungen mit öffentlichen Endpunkten sind mit End-to-End-Verschlüsselung gesichert. Wenn Sie einen privaten Endpunkt benötigen, können Sie Azure Private Link verwenden, um Ihren VMs das Herstellen einer Verbindung mit Azure Monitor über autorisierte private Netzwerke zu ermöglichen. Private Link kann auch verwendet werden, um die Arbeitsbereichsdatenerfassung über ExpressRoute oder ein VPN zu erzwingen. Informationen zum Bestimmen der besten Netzwerk- und DNS-Topologie für Ihre Umgebung finden Sie unter Entwerfen Ihres Azure Private Link-Setups. |
Containerüberwachung
Prüfliste für den Entwurf
- Verwenden Sie die Authentifizierung mit verwalteten Identitäten für Ihren Cluster, um eine Verbindung mit Container Insights herzustellen.
- Erwägen Sie die Verwendung von Azure Private Link für Ihren Cluster, um mithilfe eines privaten Endpunkts eine Verbindung mit Ihrem Azure Monitor-Arbeitsbereich herzustellen.
- Verwenden Sie Datenverkehrsanalysen, um den Netzwerkdatenverkehr zu und von Ihrem Cluster zu überwachen.
- Aktivieren Sie Netzwerkeinblicke.
- Stellen Sie sicher, dass der Log Analytics-Arbeitsbereich Container Insights unterstützt.
Konfigurationsempfehlungen
| Empfehlung | Vorteil |
|---|---|
| Verwenden Sie die Authentifizierung mit verwalteten Identitäten für Ihren Cluster, um eine Verbindung mit Container Insights herzustellen. | Die Authentifizierung mit verwalteten Identitäten ist die Standardeinstellung für neue Cluster. Wenn Sie die Legacyauthentifizierung verwenden, sollten Sie zu verwalteten Identitäten migrieren und die zertifikatbasierte lokale Authentifizierung deaktivieren. |
| Erwägen Sie die Verwendung von Azure Private Link für Ihren Cluster, um mithilfe eines privaten Endpunkts eine Verbindung mit Ihrem Azure Monitor-Arbeitsbereich herzustellen. | Der verwaltete Azure-Dienst für Prometheus speichert seine Daten in einem Azure Monitor-Arbeitsbereich, der standardmäßig einen öffentlichen Endpunkt verwendet. Verbindungen mit öffentlichen Endpunkten sind mit End-to-End-Verschlüsselung gesichert. Wenn Sie einen privaten Endpunkt benötigen, können Sie Azure Private Link verwenden, um Ihrem Cluster das Herstellen einer Verbindung mit dem Arbeitsbereich über autorisierte private Netzwerke zu ermöglichen. Private Link kann auch verwendet werden, um die Arbeitsbereichsdatenerfassung über ExpressRoute oder ein VPN zu erzwingen. Weitere Informationen zum Konfigurieren Ihres Clusters für Private Link finden Sie unter Aktivieren von Private Link für die Kubernetes-Überwachung in Azure Monitor. Einzelheiten zum Abfragen Ihrer Daten mithilfe von Private Link finden Sie unter Verwenden privater Endpunkte für Managed Prometheus und Azure Monitor-Arbeitsbereiche. |
| Verwenden Sie Datenverkehrsanalysen, um den Netzwerkdatenverkehr zu und von Ihrem Cluster zu überwachen. | Mit Traffic Analytics analysiert Azure Network Watcher die NSG-Datenflussprotokolle, um Erkenntnisse zum Datenfluss in Ihrer Azure-Cloud bereitzustellen. Verwenden Sie dieses Tool, um sicherzustellen, dass in Ihrem Cluster keine Datenexfiltration auftritt, und um zu erkennen, falls öffentliche IP-Adressen unnötigerweise verfügbar gemacht werden. |
| Aktivieren Sie Netzwerkeinblicke. | Das AKS-Add-On für Netzwerkeinblicke bietet Einblicke in die verschiedenen Ebenen im Kubernetes-Netzwerkstapel, um den Zugriff zwischen den Diensten im Cluster (Ost-West-Datenverkehr) zu überwachen und zu beobachten. |
| Stellen Sie sicher, dass der Log Analytics-Arbeitsbereich Container Insights unterstützt. | Container Insights erfordert einen Log Analytics-Arbeitsbereich. In den bewährten Methoden für Azure Monitor-Protokolle finden Sie Empfehlungen, um die Sicherheit des Arbeitsbereichs sicherzustellen. |