Información general y directrices de seguridad de Azure Monitor
En este artículo se proporcionan instrucciones de seguridad para Azure Monitor como parte del Marco de buena arquitectura de Azure.
Las directrices de seguridad de Azure Monitor le ayudan a comprender las características de seguridad de Azure Monitor y a configurarlas para optimizar la seguridad en función de:
- Cloud Adoption Framework, que proporciona instrucciones de seguridad para los equipos que administran la infraestructura tecnológica.
- Marco de buena arquitectura de Azure, que proporciona procedimientos recomendados de arquitectura para crear aplicaciones seguras.
- Microsoft Cloud Security Benchmark (MCSB), que describe las características de seguridad disponibles y las configuraciones óptimas recomendadas.
- Principios de seguridad de confianza cero, que proporciona instrucciones para que los equipos de seguridad implementen funcionalidades técnicas para admitir una iniciativa de modernización de confianza cero.
Las directrices de este artículo se basan en el modelo de responsabilidad de seguridad de Microsoft. Como parte de este modelo de responsabilidad compartida, Microsoft proporciona estas medidas de seguridad para los clientes de Azure Monitor:
- Seguridad de la infraestructura de Azure
- Protección de datos de cliente de Azure
- Cifrado de datos en tránsito durante la ingesta de datos
- Cifrado de datos en reposo con claves administradas de Microsoft
- Autenticación de Microsoft Entra para el acceso al plano de datos
- Autenticación del agente de Azure Monitor y Application Insights mediante identidades administradas
- Acceso con privilegios a acciones del plano de datos mediante el control de acceso basado en rol (RBAC de Azure)
- Cumplimiento de estándares y reglamentos del sector
Ingesta y almacenamiento de registros
Diseño de una lista de comprobación
- Configure el acceso para distintos tipos de datos en el área de trabajo necesaria para distintos roles de la organización.
- Use Azure Private Link para quitar el acceso al área de trabajo desde redes públicas.
- Configure la auditoría de consultas de registro para realizar un seguimiento de las consultas que ejecutan los usuarios.
- Garantice la inmutabilidad de los datos de auditoría.
- Determine una estrategia para filtrar u ofuscar datos confidenciales en el área de trabajo.
- Purgue los datos confidenciales que se recopilaron accidentalmente.
- Vincule su área de trabajo a un clúster dedicado para obtener características de seguridad mejoradas, como el doble cifrado mediante claves administradas por el cliente y la caja de seguridad del cliente para Microsoft Azure para aprobar o rechazar las solicitudes de acceso a los datos de Microsoft.
- Use la seguridad de la capa de transporte (TLS) 1.2 o superior para enviar datos a su área de trabajo usando agentes, conectores y la API de ingesta de registros.
Recomendaciones para la configuración
| Recomendación | Prestación |
|---|---|
| Configure el acceso para distintos tipos de datos en el área de trabajo necesaria para distintos roles de la organización. | Establezca el modo de control de acceso del área de trabajo en Usar permisos de recurso o área de trabajo para permitir que los propietarios de recursos usen el contexto de recursos para acceder a sus datos sin conceder acceso explícito al área de trabajo. Esto simplifica la configuración del área de trabajo y ayuda a garantizar que los usuarios no puedan acceder a los datos que no deberían. Asigne el rol integrado adecuado para conceder permisos de área de trabajo a los administradores en el nivel de suscripción, grupo de recursos o área de trabajo en función de su ámbito de responsabilidades. Aplique RBAC de nivel de tabla para los usuarios que requieren acceso a un conjunto de tablas en varios recursos. Los usuarios con permisos de tabla tienen acceso a todos los datos de la tabla independientemente de sus permisos de recursos. Consulte Administración del acceso a áreas de trabajo de Log Analytics para obtener más información sobre las distintas opciones para conceder acceso a los datos del área de trabajo. |
| Use Azure Private Link para quitar el acceso al área de trabajo desde redes públicas. | Las conexiones a puntos de conexión públicos se protegen con cifrado de un extremo a otro. Si necesita un punto de conexión privado, puede usar Azure Private Link para permitir que los recursos se conecten al área de trabajo de Log Analytics a través de redes privadas autorizadas. Private Link también se puede usar para forzar la ingesta de datos del área de trabajo a través de ExpressRoute o una VPN. Consulte Diseño de la configuración de Azure Private Link para determinar la mejor topología de red y DNS para su entorno. |
| Configure la auditoría de consultas de registro para realizar un seguimiento de las consultas que ejecutan los usuarios. | La auditoría de consultas de registro registra los detalles de cada consulta que se ejecuta en un área de trabajo. Trate estos datos de auditoría como datos de seguridad y proteja correctamente la tabla LAQueryLogs. Configure los registros de auditoría de cada área de trabajo que se enviarán al área de trabajo local o consolídelos en un área de trabajo de seguridad dedicada si separa los datos operativos y de seguridad. Use Información del área de trabajo de Log Analytics para revisar periódicamente estos datos y considerar la posibilidad de crear reglas de alertas de búsqueda de registros para notificarle de forma proactiva si los usuarios no autorizados intentan ejecutar consultas. |
| Garantice la inmutabilidad de los datos de auditoría. | Azure Monitor es una plataforma de datos de solo anexión, pero incluye aprovisionamientos para eliminar datos con fines de cumplimiento normativo. Puede establecer un bloqueo en el área de trabajo de Log Analytics para bloquear todas las actividades que podrían eliminar datos: purga, eliminación de tablas y cambios de retención de datos en el nivel de área de trabajo o de tabla. No obstante, este bloqueo se puede retirar. Si necesita una solución totalmente a prueba de manipulaciones, le recomendamos exportar sus datos a una solución de almacenamiento inmutable. Use la exportación de datos para enviar datos a una cuenta de almacenamiento de Azure con directivas de inmutabilidad para protegerse contra la alteración de datos. No todos los tipos de registros tienen la misma relevancia para el cumplimiento, la auditoría o la seguridad, por lo que debe determinar los tipos de datos específicos que se deben exportar. |
| Determine una estrategia para filtrar u ofuscar datos confidenciales en el área de trabajo. | Es posible que recopile datos que incluyen información confidencial. Filtre los registros que no se deben recopilar mediante la configuración del origen de datos determinado. Use una transformación si solo se deben quitar u ofuscar columnas concretas de los datos. Si tiene estándares que requieren que los datos originales no se modifiquen, puede usar el estándar "h" literal en las consultas KQL para ofuscar los resultados de la consulta mostrados en los libros. |
| Purgue los datos confidenciales que se recopilaron accidentalmente. | Compruebe periódicamente los datos privados que pueden haberse recopilado accidentalmente en el área de trabajo y use la purga de datos para quitarlos. Los datos de las tablas con el Plan auxiliar no pueden purgarse actualmente. |
| Vincule su área de trabajo a un clúster dedicado para obtener características de seguridad mejoradas, como el doble cifrado mediante claves administradas por el cliente y la caja de seguridad del cliente para Microsoft Azure para aprobar o rechazar las solicitudes de acceso a los datos de Microsoft. | Azure Monitor cifra todos los datos en reposo y las consultas guardadas usando claves administradas por Microsoft (MMK). Si recopila suficientes datos para un clúster dedicado, use: - Claves administradas por el cliente para una mayor flexibilidad y control del ciclo de vida de las claves. Si usa Microsoft Sentinel, asegúrese de que está familiarizado con las consideraciones de configuración de la clave administrada por el cliente de Microsoft Sentinel. - Caja de seguridad del cliente para Microsoft Azure para revisar y aprobar o rechazar las solicitudes de acceso a los datos de los clientes. La Caja de seguridad del cliente se usa cuando un ingeniero de Microsoft necesita acceder a los datos del cliente, ya sea en respuesta a un vale de asistencia iniciado por el cliente o a un problema identificado por Microsoft. Lockbox no se puede aplicar actualmente a tablas con el Plan auxiliar. |
| Use la seguridad de la capa de transporte (TLS) 1.2 o superior para enviar datos a su área de trabajo usando agentes, conectores y la API de ingesta de registros. | Para garantizar la seguridad de los datos en tránsito hacia Azure Monitor, use Seguridad de la capa de transporte (TLS) 1.2 o superior. Las versiones anteriores de TLS/Capa de sockets seguros (SSL) han demostrado ser vulnerables y, si bien todavía funcionan para permitir la compatibilidad con versiones anteriores, no se recomiendan, y el sector está cambiando rápidamente para abandonar la compatibilidad de estos protocolos más antiguos. PCI Security Standards Council ha establecido una fecha límite el 30 de junio de 2018 para deshabilitar las versiones anteriores de TLS/SSL y actualizar a protocolos más seguros. Una vez que Azure quite la compatibilidad heredada, si los agentes no pueden comunicarse a través de TLS 1.3 como mínimo, podría no ser capaz de enviar datos a los registros de Azure Monitor. Se recomienda NO establecer explícitamente el agente para que solo use TLS 1.3 si es necesario. Es preferible permitir que el agente detecte, negocie y aproveche automáticamente los futuros estándares de seguridad. De lo contrario, podría perderse la seguridad adicional de los estándares más recientes y posiblemente experimentar problemas si TLS 1.3 alguna vez deja de usarse y da paso a esos estándares más recientes. |
Alertas
Diseño de una lista de comprobación
- Usar claves administradas por el cliente si necesita su propia clave de cifrado para proteger los datos y las consultas guardadas en las áreas de trabajo
- Usar identidades administradas para aumentar la seguridad mediante el control de permisos
- Asignar el rol de lector de supervisión para todos los usuarios que no necesitan privilegios de configuración
- Usar acciones de webhook seguro
- Al usar grupos de acciones que usan vínculos privados, usar acciones del centro de eventos
Recomendaciones para la configuración
| Recomendación | Prestación |
|---|---|
| Usar claves administradas por el cliente si necesita su propia clave de cifrado para proteger los datos y las consultas guardadas en las áreas de trabajo. | Azure Monitor garantiza que todos los datos y las consultas guardadas se cifren en reposo mediante claves administradas por Microsoft (MMK). Si necesita su propia clave de cifrado y recopila suficientes datos para un clúster dedicado, use la clave administrada por el cliente para mayor flexibilidad y control del ciclo de vida de las claves. Si usa Microsoft Sentinel, asegúrese de que está familiarizado con las consideraciones de configuración de la clave administrada por el cliente de Microsoft Sentinel. |
| Para controlar los permisos de las reglas de alertas de búsqueda de registros, use identidades administradas para las reglas de alertas de búsqueda de registros. | Un desafío común para los desarrolladores es la administración de secretos, credenciales, certificados, claves, etc. que se usan para proteger la comunicación entre servicios. Las identidades administradas eliminan la necesidad de administrar las credenciales para los desarrolladores. Establecer una identidad administrada para las reglas de alertas de búsqueda de registros proporciona control y visibilidad sobre los permisos exactos de la regla de alertas. Siempre que lo desee, puede ver los permisos de consulta de la regla y agregar o quitar permisos directamente de su identidad administrada. Además, se requiere el uso de una identidad administrada si la consulta de la regla accede a Azure Data Explorer (ADX) o Azure Resource Graph (ARG). Consulte Identidades administradas. |
| Asignar el rol de lector de supervisión para todos los usuarios que no necesitan privilegios de configuración. | Mejore la seguridad proporcionando a los usuarios la menor cantidad de privilegios necesarios para su rol. Consulte Roles, permisos y seguridad en Azure Monitor. |
| Siempre que sea posible, use acciones de webhook seguro. | Si la regla de alerta contiene un grupo de acciones que usa acciones de webhook, opte por usar acciones de webhook seguro para la autenticación adicional. Consulte Configuración de la autenticación para webhook seguro. |
Supervisión de máquinas virtuales
Diseño de una lista de comprobación
- Use otros servicios para la supervisión de la seguridad de las máquinas virtuales.
- Considere la posibilidad de usar Azure Private Link para que las máquinas virtuales se conecten a Azure Monitor mediante un punto de conexión privado.
Recomendaciones para la configuración
| Recomendación | Descripción |
|---|---|
| Use otros servicios para la supervisión de la seguridad de las máquinas virtuales. | Aunque Azure Monitor puede recopilar eventos de seguridad de las máquinas virtuales, no está pensado para su uso para la supervisión de la seguridad. Azure incluye varios servicios, como Microsoft Defender for Cloud y Microsoft Sentinel, que proporcionan una solución de supervisión de seguridad completa. Consulte Supervisión de seguridad para ver una comparación de estos servicios. |
| Considere la posibilidad de usar Azure Private Link para que las máquinas virtuales se conecten a Azure Monitor mediante un punto de conexión privado. | Las conexiones a puntos de conexión públicos se protegen con cifrado de un extremo a otro. Si necesita un punto de conexión privado, puede usar Azure Private Link para permitir que las máquinas virtuales se conecten a Azure Monitor a través de redes privadas autorizadas. Private Link también se puede usar para forzar la ingesta de datos del área de trabajo a través de ExpressRoute o una VPN. Consulte Diseño de la configuración de Azure Private Link para determinar la mejor topología de red y DNS para su entorno. |
Supervisión de contenedores
Diseño de una lista de comprobación
- Use la autenticación de identidad administrada para que el clúster se conecte a Container Insights.
- Considere la posibilidad de usar Azure Private Link para que el clúster se conecte al área de trabajo de Azure Monitor mediante un punto de conexión privado.
- Use análisis de tráfico para supervisar el tráfico de red hacia y desde el clúster.
- Habilite la observabilidad de red.
- Garantice la seguridad del área de trabajo de Log Analytics que admite Container Insights.
Recomendaciones para la configuración
| Recomendación | Prestación |
|---|---|
| Use la autenticación de identidad administrada para que el clúster se conecte a Container Insights. | La autenticación de identidad administrada es el valor predeterminado para los nuevos clústeres. Si usa la autenticación heredada, debe migrar a la identidad administrada para quitar la autenticación local basada en certificados. |
| Considere la posibilidad de usar Azure Private Link para que el clúster se conecte al área de trabajo de Azure Monitor mediante un punto de conexión privado. | El servicio administrado de Azure para Prometheus almacena sus datos en un área de trabajo de Azure Monitor que usa un punto de conexión público de forma predeterminada. Las conexiones a puntos de conexión públicos se protegen con cifrado de un extremo a otro. Si necesita un punto de conexión privado, puede usar Azure Private Link para permitir que el clúster se conecte al área de trabajo a través de redes privadas autorizadas. Private Link también se puede usar para forzar la ingesta de datos del área de trabajo a través de ExpressRoute o una VPN. Consulte Habilitación del vínculo privado para la supervisión de Kubernetes en Azure Monitor para más información sobre cómo configurar el clúster para el vínculo privado. Consulte Uso de puntos de conexión privados para Prometheus administrado y el área de trabajo de Azure Monitor para obtener más información sobre la consulta de los datos mediante Private Link. |
| Use análisis de tráfico para supervisar el tráfico de red hacia y desde el clúster. | El análisis de tráfico analiza los registros de flujo de grupo de seguridad de red de Azure Network Watcher para proporcionar información sobre el flujo de tráfico en la nube de Azure. Use esta herramienta para garantizar que no se filtren datos para el clúster y detectar si se expone alguna dirección IP pública innecesaria. |
| Habilite la observabilidad de red. | El complemento Observabilidad de red para AKS proporciona observabilidad en las distintas capas de la pila de red de Kubernetes. Supervise y observe el acceso entre los servicios del clúster (tráfico este-oeste). |
| Garantice la seguridad del área de trabajo de Log Analytics que admite Container Insights. | Container Insights se basa en un área de trabajo de Log Analytics. Consulte Procedimientos recomendados para registros de Azure Monitor para ver las recomendaciones para garantizar la seguridad del área de trabajo. |