Meilleures pratiques de sécurité dans Azure Monitor
La sécurité est l’un des aspects les plus importants de toute architecture. Azure Monitor fournit des fonctionnalités pour utiliser à la fois les principes du moindre privilège et de la défense en profondeur. Utilisez les informations suivantes pour surveiller la sécurité de vos machines virtuelles.
Cet article décrit la Sécurité pour Azure Monitor dans le cadre d’Azure Well-Architected Framework. Azure Well-Architected Framework est un ensemble de principes directeurs qui peuvent être utilisés pour améliorer la qualité d’une charge de travail. Le framework se compose des cinq piliers de l’excellence architecturale :
- Fiabilité
- Sécurité
- Optimisation des coûts
- Excellence opérationnelle
- Efficacité des performances
Journaux Azure Monitor
Check-list pour la conception
- Déterminer s’il faut combiner vos données opérationnelles et vos données de sécurité dans le même espace de travail Log Analytics.
- Configurer l’accès sur différents types de données dans l’espace de travail nécessaire pour différents rôles dans votre organisation.
- Utiliser Azure Private Link pour supprimer l’accès des réseaux publics à votre espace de travail.
- Utiliser des clés gérées par le client si vous avez besoin de votre propre clé de chiffrement pour protéger les données et les requêtes enregistrées dans vos espaces de travail.
- Exporter les données d’audit pour la conservation à long terme ou l’immuabilité.
- Configurer l’audit des requêtes de journal pour suivre les utilisateurs qui exécutent des requêtes.
- Déterminer une stratégie pour filtrer ou obfusquer les données sensibles dans votre espace de travail.
- Supprimer définitivement les données sensibles collectées accidentellement.
- Activez Customer Lockbox for Microsoft Azure pour approuver ou rejeter les demandes d'accès aux données Microsoft.
Recommandations relatives à la configuration
| Recommandation | Avantage |
|---|---|
| Déterminer s’il faut combiner vos données opérationnelles et vos données de sécurité dans le même espace de travail Log Analytics. | Votre décision de combiner ces données dépend de vos exigences de sécurité particulières. Les combiner dans un même espace de travail vous offre une meilleure visibilité sur l’ensemble de vos données, même si votre équipe de sécurité pourrait nécessiter un espace de travail dédié. Consultez Concevoir une stratégie d’espace de travail Log Analytics pour plus d’informations sur cette prise de décision pour votre environnement en trouvant un équilibre avec les critères des autres piliers. Compromis : il existe des implications potentielles sur les coûts pour activer Sentinel dans votre espace de travail. Pour plus de détails, consultez Concevoir une architecture d’espace de travail Log Analytics. |
| Configurer l’accès sur différents types de données dans l’espace de travail nécessaire pour différents rôles dans votre organisation. | Définissez le mode de contrôle d’accès de l’espace de travail sur Utiliser les autorisations de ressource ou d’espace de travail pour permettre aux propriétaires de ressource d’utiliser le contexte de ressource afin d’accéder à leurs données sans avoir été autorisé explicitement à accéder à l’espace de travail. Cela simplifie la configuration de votre espace de travail et permet de garantir que les utilisateurs n’ont pas accès aux données qu’ils ne sont pas censés utiliser. Attribuez le rôle intégré approprié pour accorder des autorisations d’espace de travail aux administrateurs au niveau de l’abonnement, du groupe de ressources ou de l’espace de travail en fonction de l’étendue de leurs responsabilités. Tirez parti du RBAC au niveau de la table pour les utilisateurs qui ont besoin d’accéder à un ensemble de tables sur plusieurs ressources. Les utilisateurs avec des autorisations de table ont accès à toutes les données de la table, quelles que soient leurs autorisations de ressource. Pour plus d’informations sur les différentes options permettant d’accorder l’accès aux données dans l’espace de travail, consultez Gérer l’accès aux espaces de travail Log Analytics. |
| Utiliser Azure Private Link pour supprimer l’accès des réseaux publics à votre espace de travail. | Les connexions aux points de terminaison publics sont sécurisées avec un chiffrement de bout en bout. Si vous avez besoin d’un point de terminaison privé, vous pouvez utiliser Azure Private Link pour autoriser les ressources à se connecter à votre espace de travail Log Analytics sur des réseaux privés autorisés. Private Link peut également être utilisé pour forcer l’ingestion de données de l’espace de travail sur ExpressRoute ou un VPN. Consultez Concevoir votre configuration Azure Private Link pour déterminer la meilleure topologie de réseau et DNS pour votre environnement. |
| Utiliser des clés gérées par le client si vous avez besoin de votre propre clé de chiffrement pour protéger les données et les requêtes enregistrées dans vos espaces de travail. | Azure Monitor veille à ce que toutes les données et requêtes enregistrées soient chiffrées au repos à l’aide de clés gérées par Microsoft (MMK). Si vous avez besoin de votre propre clé de chiffrement et que vous collectez suffisamment de données pour un cluster dédié, utilisez une clé gérée par le client pour plus de flexibilité et de contrôle du cycle de vie des clés. Si vous utilisez Microsoft Sentinel, vérifiez que vous êtes familiarisé avec les points à prendre en compte sur Configurer une clé gérée par le client Microsoft Sentinel. |
| Exporter les données d’audit pour la conservation à long terme ou l’immuabilité. | Vous pourriez avoir collecté des données d’audit dans votre espace de travail qui sont soumises à des réglementations exigeant leur conservation à long terme. Les données d’un espace de travail Log Analytics ne peuvent pas être modifiées, mais elles peuvent être supprimées définitivement. Utilisez l’exportation de données pour envoyer des données à un compte de stockage Azure avec des stratégies d’immuabilité afin de les protéger contre la falsification. Les types de journaux n’ont pas tous la même pertinence pour la conformité, l’audit ou la sécurité. Déterminez les types de données spécifiques qui doivent être exportés. |
| Configurer l’audit des requêtes de journal pour suivre les utilisateurs qui exécutent des requêtes. | L’audit des requêtes de journal enregistre les détails de chaque requête exécutée dans un espace de travail. Traitez ces données d’audit comme des données de sécurité et sécurisez la table LAQueryLogs de manière appropriée. Configurez les journaux d’audit de chaque espace de travail pour qu’ils soient envoyés à l’espace de travail local, ou rassemblez-les dans un espace de travail de sécurité dédié si vous séparez vos données opérationnelles et de sécurité. Utilisez les Insights d’espace de travail Log Analytics pour examiner régulièrement ces données et envisagez de créer des règles d’alerte pour la recherche dans les journaux afin de vous avertir de manière proactive si des utilisateurs non autorisés tentent d’exécuter des requêtes. |
| Déterminer une stratégie pour filtrer ou obfusquer les données sensibles dans votre espace de travail. | Vous pourriez collecter des données qui comprennent des informations sensibles. Filtrez les enregistrements qui ne doivent pas être collectés en utilisant la configuration de la source de données particulière. Utilisez une transformation si seules des colonnes particulières dans les données doivent être supprimées ou obfusquées. Si vous avez des standards qui impliquent que les données d’origine ne soient pas modifiées, vous pouvez utiliser le littéral « h » dans les requêtes KQL pour obfusquer les résultats de requête affichés dans les workbooks. |
| Supprimer définitivement les données sensibles collectées accidentellement. | Vérifiez régulièrement les données privées qui pourraient avoir été collectées accidentellement dans votre espace de travail et utilisez la suppression définitive des données pour les supprimer. |
| Activez Customer Lockbox for Microsoft Azure pour approuver ou rejeter les demandes d'accès aux données Microsoft. | Customer Lockbox pour Microsoft Azure fournit une interface permettant de vérifier et d'approuver ou refuser les demandes d'accès aux données client. Elle est utilisée dans les cas où un ingénieur Microsoft a besoin d’accéder aux données client, que ce soit en réponse à un ticket de support initié par le client ou à un problème identifié par Microsoft. Pour activer Customer Lockbox, vous avez besoin d’un cluster dédié. Lockbox ne peut pas actuellement être appliqué aux tables avec le plan auxiliaire. |
Alertes
Check-list pour la conception
- Utiliser des clés gérées par le client si vous avez besoin de votre propre clé de chiffrement pour protéger les données et les requêtes enregistrées dans vos espaces de travail
- Utiliser des identités managées pour renforcer la sécurité en contrôlant les autorisations
- Attribuer le rôle Lecteur de monitoring à tous les utilisateurs qui n’ont pas besoin de privilèges de configuration
- Utiliser des actions de webhook sécurisé
- Quand vous utilisez des groupes d’actions qui ont des liaisons privées, utiliser des actions Event Hub
Recommandations relatives à la configuration
| Recommandation | Avantage |
|---|---|
| Utilisez des clés gérées par le client si vous avez besoin de votre propre clé de chiffrement pour protéger les données et les requêtes enregistrées dans vos espaces de travail. | Azure Monitor veille à ce que toutes les données et requêtes enregistrées soient chiffrées au repos à l’aide de clés gérées par Microsoft (MMK). Si vous avez besoin de votre propre clé de chiffrement et que vous collectez suffisamment de données pour un cluster dédié, utilisez des clés gérées par le client pour plus de flexibilité et de contrôle du cycle de vie des clés. Si vous utilisez Microsoft Sentinel, vérifiez que vous êtes familiarisé avec les points à prendre en compte sur Configurer une clé gérée par le client Microsoft Sentinel. |
| Pour contrôler les autorisations des règles de recherche dans les journaux, utilisez des identités managées pour vos règles d’alerte de recherche dans les journaux. | La gestion des secrets, des informations d’identification, des certificats et des clés utilisés pour sécuriser la communication entre les services constitue un défi courant pour les développeurs. Les identités managées permettent aux développeurs de ne plus avoir à gérer ces informations d’identification. La définition d’une identité managée pour vos règles d’alerte de recherche dans les journaux vous donne un contrôle et une visibilité sur les autorisations exactes de votre règle d’alerte. À tout moment, vous pouvez voir les autorisations de requête de votre règle, et ajouter ou supprimer des autorisations directement à partir de son identité managée. Par ailleurs, l’utilisation d’une identité managée est nécessaire si la requête de votre règle accède à Azure Data Explorer (ADX) ou Azure Resource Graph (ARG). Consultez Identités managées. |
| Attribuez le rôle Lecteur de monitoring à tous les utilisateurs qui n’ont pas besoin de privilèges de configuration. | Renforcez la sécurité en accordant aux utilisateurs le moins de privilèges nécessaires pour leur rôle. Consultez Rôles, autorisations et sécurité dans Azure Monitor. |
| Si possible, utilisez des actions de webhook sécurisé. | Si votre règle d’alerte contient un groupe d’actions qui utilise des actions de webhook, utilisez plutôt des actions de webhook sécurisé pour une authentification supplémentaire. Consultez Configurer l’authentification pour un webhook sécurisé |
Machines virtuelles
Check-list pour la conception
- Utilisez d’autres services pour la surveillance de la sécurité de vos machines virtuelles.
- Envisagez d’utiliser une liaison privée Azure pour que les machines virtuelles se connectent à Azure Monitor à l’aide d’un point de terminaison privé.
Recommandations relatives à la configuration
| Recommandation | Description |
|---|---|
| Utilisez d’autres services pour la surveillance de la sécurité de vos machines virtuelles. | Bien qu’Azure Monitor puisse collecter des événements de sécurité à partir de vos machines virtuelles, il n’est pas destiné à être utilisé pour la surveillance de la sécurité. Azure inclut plusieurs services, tels que Microsoft Defender pour le cloud et Microsoft Sentinel, qui fournissent une solution complète de surveillance de la sécurité lorsqu’ils sont utilisés ensemble. Pour une comparaison de ces services, consultez Surveillance de la sécurité. |
| Envisagez d’utiliser une liaison privée Azure pour que les machines virtuelles se connectent à Azure Monitor à l’aide d’un point de terminaison privé. | Les connexions aux points de terminaison publics sont sécurisées avec un chiffrement de bout en bout. Si vous avez besoin d’un point de terminaison privé, vous pouvez utiliser Azure Private Link pour autoriser les VM à se connecter à Azure Monitor sur des réseaux privés autorisés. Private Link peut également être utilisé pour forcer l’ingestion de données de l’espace de travail sur ExpressRoute ou un VPN. Consultez Concevoir votre configuration Azure Private Link pour déterminer la meilleure topologie de réseau et DNS pour votre environnement. |
conteneurs
Check-list pour la conception
- Utilisez l’authentification d’identité managée pour votre cluster pour vous connecter à Container Insights.
- Envisagez d’utiliser une liaison privée Azure pour votre cluster pour vous connecter à votre espace de travail Azure Monitor à l’aide d’un point de terminaison privé.
- Utilisez l’analytique du trafic pour surveiller le trafic réseau vers et depuis votre cluster.
- Activez l’observabilité réseau.
- Assurez-vous que la sécurité de l’espace de travail Log Analytics prend en charge Container Insights.
Recommandations relatives à la configuration
| Recommandation | Avantage |
|---|---|
| Utilisez l’authentification d’identité managée pour votre cluster pour vous connecter à Container Insights. | L’authentification d’identité managée est la valeur par défaut pour les nouveaux clusters. Si vous utilisez l’authentification héritée, vous devez migrer vers l’identité managée pour supprimer l’authentification locale basée sur un certificat. |
| Envisagez d’utiliser une liaison privée Azure pour votre cluster pour vous connecter à votre espace de travail Azure Monitor à l’aide d’un point de terminaison privé. | Le service managé Azure pour Prometheus stocke ses données dans un espace de travail Azure Monitor qui utilise un point de terminaison public par défaut. Les connexions aux points de terminaison publics sont sécurisées avec un chiffrement de bout en bout. Si vous avez besoin d’un point de terminaison privé, vous pouvez utiliser Azure Private Link pour permettre à votre cluster de se connecter à l’espace de travail via des réseaux privés autorisés. Private Link peut également être utilisé pour forcer l’ingestion de données de l’espace de travail sur ExpressRoute ou un VPN. Consultez Activer une liaison privée pour la surveillance Kubernetes dans Azure Monitor pour plus d’informations sur la configuration de votre cluster pour liaison privée. Consultez Utiliser des points de terminaison privés pour l’espace de travail Prometheus managé et Azure Monitor pour plus d’informations sur l’interrogation de vos données à l’aide d’une liaison privée. |
| Utilisez l’analytique du trafic pour surveiller le trafic réseau vers et depuis votre cluster. | Traffic Analytics analyse les journaux de flux NSG Azure Network Watcher pour fournir des insights sur le flux de trafic dans votre cloud Azure. Utilisez cet outil pour vous assurer qu’il n’existe aucune exfiltration de données pour votre cluster et détecter si des adresses IP publiques inutiles sont exposées. |
| Activez l’observabilité réseau. | Le module complémentaire d’observabilité réseau pour AKS offre une observabilité sur les plusieurs couches de la pile de mise en réseau Kubernetes. surveiller et observer l’accès entre les services du cluster (trafic est-ouest). |
| Assurez-vous que la sécurité de l’espace de travail Log Analytics prend en charge Container Insights. | Container Insights s’appuie sur un espace de travail Log Analytics. Consultez Les meilleures pratiques pour les journaux Azure Monitor pour obtenir des recommandations pour garantir la sécurité de l’espace de travail. |