Compartir a través de


Procedimientos recomendados de seguridad en Azure Monitor

La seguridad es uno de los aspectos más importantes de cualquier arquitectura. Azure Monitor proporciona características para emplear el principio de privilegios mínimos y la defensa en profundidad. Use la siguiente información para supervisar la seguridad de las máquinas virtuales.

En este artículo se describe la seguridad para Azure Monitor como parte del Marco de buena arquitectura de Azure. El marco de buena arquitectura de Azure es un conjunto de principios guía que se pueden usar para mejorar la calidad de una carga de trabajo. El marco consta de cinco pilares de excelencia arquitectónica:

  • Confiabilidad
  • Seguridad
  • Optimización de costos
  • Excelencia operativa
  • Eficiencia del rendimiento

Registros de Azure Monitor

Diseño de una lista de comprobación

  • Determine si desea combinar sus datos operativos y sus datos de seguridad en la misma área de trabajo de Log Analytics.
  • Configure el acceso para distintos tipos de datos en el área de trabajo necesaria para distintos roles de la organización.
  • Considere la posibilidad de usar Azure Private Link para quitar el acceso al área de trabajo desde redes públicas.
  • Use claves administradas por el cliente si necesita su propia clave de cifrado para proteger los datos y las consultas guardadas en las áreas de trabajo.
  • Exporte los datos de auditoría para la retención a largo plazo o la inmutabilidad.
  • Configure la auditoría de consultas de registro para realizar un seguimiento de las consultas que ejecutan los usuarios.
  • Determine una estrategia para filtrar u ofuscar datos confidenciales en el área de trabajo.
  • Purgue los datos confidenciales que se recopilaron accidentalmente.
  • Habilite la Caja de seguridad del cliente para que Microsoft Azure apruebe o rechace las solicitudes de acceso a datos de Microsoft.

Recomendaciones para la configuración

Recomendación Prestación
Determine si desea combinar sus datos operativos y sus datos de seguridad en la misma área de trabajo de Log Analytics. La decisión de combinar estos datos depende de sus requisitos de seguridad concretos. Combinarlos en una sola área de trabajo proporciona una mejor visibilidad en todos los datos, aunque el equipo de seguridad puede requerir un área de trabajo dedicada. Vea Diseño de una estrategia de área de trabajo de Log Analytics para obtener más información sobre cómo tomar esta decisión para el entorno y equilibrarla con los criterios de otros pilares.

Compensación: hay posibles implicaciones en los costos al habilitar Sentinel en el área de trabajo. Vea más detalles en Diseñar una arquitectura de área de trabajo de Log Analytics.
Configure el acceso para distintos tipos de datos en el área de trabajo necesaria para distintos roles de la organización. Establezca el modo de control de acceso del área de trabajo en Usar permisos de recurso o área de trabajo para permitir que los propietarios de recursos usen el contexto de recursos para acceder a sus datos sin conceder acceso explícito al área de trabajo. Esto simplifica la configuración del área de trabajo y ayuda a garantizar que los usuarios no podrán acceder a los datos que no deberían.

Asigne el rol integrado adecuado para conceder permisos de área de trabajo a los administradores en el nivel de suscripción, grupo de recursos o área de trabajo en función de su ámbito de responsabilidades.

Aproveche RBAC de nivel de tabla para los usuarios que requieren acceso a un conjunto de tablas en varios recursos. Los usuarios con permisos de tabla tienen acceso a todos los datos de la tabla independientemente de sus permisos de recursos.

Consulte Administración del acceso a áreas de trabajo de Log Analytics para obtener más información sobre las distintas opciones para conceder acceso a los datos del área de trabajo.
Considere la posibilidad de usar Azure Private Link para quitar el acceso al área de trabajo desde redes públicas. Las conexiones a puntos de conexión públicos se protegen con cifrado de un extremo a otro. Si necesita un punto de conexión privado, puede usar Azure Private Link para permitir que los recursos se conecten al área de trabajo de Log Analytics a través de redes privadas autorizadas. Private Link también se puede usar para forzar la ingesta de datos del área de trabajo a través de ExpressRoute o una VPN. Consulte Diseño de la configuración de Azure Private Link para determinar la mejor topología de red y DNS para su entorno.
Use claves administradas por el cliente si necesita su propia clave de cifrado para proteger los datos y las consultas guardadas en las áreas de trabajo. Azure Monitor garantiza que todos los datos y las consultas guardadas se cifren en reposo mediante claves administradas por Microsoft (MMK). Si necesita su propia clave de cifrado y recopila suficientes datos para un clúster dedicado, use la clave administrada por el cliente para mayor flexibilidad y control del ciclo de vida de las claves. Si usa Microsoft Sentinel, asegúrese de que está familiarizado con las consideraciones de configuración de la clave administrada por el cliente de Microsoft Sentinel.
Exporte los datos de auditoría para la retención a largo plazo o la inmutabilidad. Es posible que haya recopilado datos de auditoría en el área de trabajo sujetos a normativas que requieren su retención a largo plazo. Los datos de un área de trabajo de Log Analytics no se pueden modificar, pero se pueden purgar. Use la exportación de datos para enviar datos a una cuenta de almacenamiento de Azure con directivas de inmutabilidad para protegerse contra la alteración de datos. No todos los tipos de registros tienen la misma relevancia para el cumplimiento, la auditoría o la seguridad, por lo que debe determinar los tipos de datos específicos que se deben exportar.
Configure la auditoría de consultas de registro para realizar un seguimiento de las consultas que ejecutan los usuarios. La auditoría de consultas de registro registra los detalles de cada consulta que se ejecuta en un área de trabajo. Trate estos datos de auditoría como datos de seguridad y proteja correctamente la tabla LAQueryLogs. Configure los registros de auditoría de cada área de trabajo que se enviarán al área de trabajo local o consolídelos en un área de trabajo de seguridad dedicada si separa los datos operativos y de seguridad. Use Información del área de trabajo de Log Analytics para revisar periódicamente estos datos y considerar la posibilidad de crear reglas de alertas de búsqueda de registros para notificarle de forma proactiva si los usuarios no autorizados intentan ejecutar consultas.
Determine una estrategia para filtrar u ofuscar datos confidenciales en el área de trabajo. Es posible que recopile datos que incluyen información confidencial. Filtre los registros que no se deben recopilar mediante la configuración del origen de datos determinado. Use una transformación si solo se deben quitar u ofuscar columnas concretas de los datos.

Si tiene estándares que requieren que los datos originales no se modifiquen, puede usar el estándar "h" literal en las consultas KQL para ofuscar los resultados de la consulta mostrados en los libros.
Purgue los datos confidenciales que se recopilaron accidentalmente. Compruebe periódicamente los datos privados que pueden haberse recopilado accidentalmente en el área de trabajo y use la purga de datos para quitarlos.
Habilite la Caja de seguridad del cliente para que Microsoft Azure apruebe o rechace las solicitudes de acceso a datos de Microsoft. La Caja de seguridad del cliente de Microsoft Azure proporciona una interfaz para revisar y aprobar o rechazar las solicitudes de acceso de datos de cliente. Se usa en los casos en que un ingeniero de Microsoft necesita acceder a los datos del cliente, ya sea en respuesta a una incidencia de soporte técnico iniciada por el cliente o a un problema identificado por Microsoft. Para habilitar caja de seguridad del cliente, necesita un clúster dedicado.
Lockbox no se puede aplicar actualmente a tablas con el plan auxiliar.

Alertas

Diseño de una lista de comprobación

  • Usar claves administradas por el cliente si necesita su propia clave de cifrado para proteger los datos y las consultas guardadas en las áreas de trabajo
  • Usar identidades administradas para aumentar la seguridad mediante el control de permisos
  • Asignar el rol de lector de supervisión para todos los usuarios que no necesitan privilegios de configuración
  • Usar acciones de webhook seguro
  • Al usar grupos de acciones que usan vínculos privados, usar acciones del centro de eventos

Recomendaciones para la configuración

Recomendación Prestación
Usar claves administradas por el cliente si necesita su propia clave de cifrado para proteger los datos y las consultas guardadas en las áreas de trabajo. Azure Monitor garantiza que todos los datos y las consultas guardadas se cifren en reposo mediante claves administradas por Microsoft (MMK). Si necesita su propia clave de cifrado y recopila suficientes datos para un clúster dedicado, use la clave administrada por el cliente para mayor flexibilidad y control del ciclo de vida de las claves. Si usa Microsoft Sentinel, asegúrese de que está familiarizado con las consideraciones de configuración de la clave administrada por el cliente de Microsoft Sentinel.
Para controlar los permisos de las reglas de alertas de búsqueda de registros, use identidades administradas para las reglas de alertas de búsqueda de registros. Un desafío común para los desarrolladores es la administración de secretos, credenciales, certificados, claves, etc. que se usan para proteger la comunicación entre servicios. Las identidades administradas eliminan la necesidad de administrar las credenciales para los desarrolladores. Establecer una identidad administrada para las reglas de alertas de búsqueda de registros proporciona control y visibilidad sobre los permisos exactos de la regla de alertas. Siempre que lo desee, puede ver los permisos de consulta de la regla y agregar o quitar permisos directamente de su identidad administrada. Además, se requiere el uso de una identidad administrada si la consulta de la regla accede a Azure Data Explorer (ADX) o Azure Resource Graph (ARG). Consulte Identidades administradas.
Asignar el rol de lector de supervisión para todos los usuarios que no necesitan privilegios de configuración. Mejore la seguridad proporcionando a los usuarios la menor cantidad de privilegios necesarios para su rol. Consulte Roles, permisos y seguridad en Azure Monitor.
Siempre que sea posible, use acciones de webhook seguro. Si la regla de alerta contiene un grupo de acciones que usa acciones de webhook, opte por usar acciones de webhook seguro para la autenticación adicional. Consulte Configuración de la autenticación para webhook seguro.

Máquinas virtuales

Diseño de una lista de comprobación

  • Use otros servicios para la supervisión de la seguridad de las máquinas virtuales.
  • Considere la posibilidad de usar Azure Private Link para que las máquinas virtuales se conecten a Azure Monitor mediante un punto de conexión privado.

Recomendaciones para la configuración

Recomendación Descripción
Use otros servicios para la supervisión de la seguridad de las máquinas virtuales. Aunque Azure Monitor puede recopilar eventos de seguridad de las máquinas virtuales, no está pensado para su uso para la supervisión de la seguridad. Azure incluye varios servicios, como Microsoft Defender for Cloud y Microsoft Sentinel, que proporcionan una solución de supervisión de seguridad completa. Consulte Supervisión de seguridad para ver una comparación de estos servicios.
Considere la posibilidad de usar Azure Private Link para que las máquinas virtuales se conecten a Azure Monitor mediante un punto de conexión privado. Las conexiones a puntos de conexión públicos se protegen con cifrado de un extremo a otro. Si necesita un punto de conexión privado, puede usar Azure Private Link para permitir que las máquinas virtuales se conecten a Azure Monitor a través de redes privadas autorizadas. Private Link también se puede usar para forzar la ingesta de datos del área de trabajo a través de ExpressRoute o una VPN. Consulte Diseño de la configuración de Azure Private Link para determinar la mejor topología de red y DNS para su entorno.

Contenedores

Diseño de una lista de comprobación

  • Use la autenticación de identidad administrada para que el clúster se conecte a Container Insights.
  • Considere la posibilidad de usar Azure Private Link para que el clúster se conecte al área de trabajo de Azure Monitor mediante un punto de conexión privado.
  • Use análisis de tráfico para supervisar el tráfico de red hacia y desde el clúster.
  • Habilite la observabilidad de red.
  • Garantice la seguridad del área de trabajo de Log Analytics que admite Container Insights.

Recomendaciones para la configuración

Recomendación Prestación
Use la autenticación de identidad administrada para que el clúster se conecte a Container Insights. La autenticación de identidad administrada es el valor predeterminado para los nuevos clústeres. Si usa la autenticación heredada, debe migrar a la identidad administrada para quitar la autenticación local basada en certificados.
Considere la posibilidad de usar Azure Private Link para que el clúster se conecte al área de trabajo de Azure Monitor mediante un punto de conexión privado. El servicio administrado de Azure para Prometheus almacena sus datos en un área de trabajo de Azure Monitor que usa un punto de conexión público de forma predeterminada. Las conexiones a puntos de conexión públicos se protegen con cifrado de un extremo a otro. Si necesita un punto de conexión privado, puede usar Azure Private Link para permitir que el clúster se conecte al área de trabajo a través de redes privadas autorizadas. Private Link también se puede usar para forzar la ingesta de datos del área de trabajo a través de ExpressRoute o una VPN.

Consulte Habilitación del vínculo privado para la supervisión de Kubernetes en Azure Monitor para más información sobre cómo configurar el clúster para el vínculo privado. Consulte Uso de puntos de conexión privados para Prometheus administrado y el área de trabajo de Azure Monitor para obtener más información sobre la consulta de los datos mediante Private Link.
Use análisis de tráfico para supervisar el tráfico de red hacia y desde el clúster. El análisis de tráfico analiza los registros de flujo de grupo de seguridad de red de Azure Network Watcher para proporcionar información sobre el flujo de tráfico en la nube de Azure. Use esta herramienta para garantizar que no se filtren datos para el clúster y detectar si se expone alguna dirección IP pública innecesaria.
Habilite la observabilidad de red. El complemento Observabilidad de red para AKS proporciona observabilidad en las distintas capas de la pila de red de Kubernetes. Supervise y observe el acceso entre los servicios del clúster (tráfico este-oeste).
Garantice la seguridad del área de trabajo de Log Analytics que admite Container Insights. Container Insights se basa en un área de trabajo de Log Analytics. Consulte Procedimientos recomendados para registros de Azure Monitor para ver las recomendaciones para garantizar la seguridad del área de trabajo.

Paso siguiente