Lignes directrices et vue d’ensemble de la sécurité Azure Monitor
Cet article fournit les lignes directrices en matière de Sécurité pour Azure Monitor dans le cadre d’Azure Well-Architected Framework.
Les lignes directrices de sécurité d’Azure Monitor vous permettent de comprendre les fonctionnalités de sécurité d’Azure Monitor et de les configurer pour optimiser la sécurité en fonction de ce qui suit :
- Cloud Adoption Framework qui fournit des conseils de sécurité pour les équipes qui gèrent l’infrastructure de technologie.
- Azure Well-Architected Framework qui offre les meilleures pratiques architecturales pour générer des applications sécurisées.
- Point de référence de sécurité Microsoft Cloud (MCSB) qui décrit les fonctionnalités de sécurité disponibles et les configurations optimales recommandées.
- Principes de sécurité Confiance Zéro qui fournit des conseils aux équipes de sécurité pour implémenter des fonctionnalités techniques afin de prendre en charge une initiative de modernisation Confiance Zéro.
Les lignes directrices de cet article tirent parti du modèle de responsabilité de la sécurité Microsoft. Dans le cadre de ce modèle de responsabilité partagée, Microsoft fournit ces mesures de sécurité pour les clients Azure Monitor :
- Sécurité de l’infrastructure Azure
- Protection des données client Azure
- Chiffrement des données en transit pendant l’ingestion des données
- Chiffrement des données au repos avec clés managées par Microsoft
- Authentification Microsoft Entra pour l’accès au plan de données
- Authentification d’agent Azure Monitor et d’Application Insights en utilisant des identités managées
- Accès privilégié aux actions de plan de données en utilisant le Contrôle d’accès en fonction du rôle (Azure RBAC)
- Se conformer aux normes et réglementations du secteur d’activité
Ingestion et stockage de journaux
Check-list pour la conception
- Configurer l’accès sur différents types de données dans l’espace de travail nécessaire pour différents rôles dans votre organisation.
- Utilisez Azure Private Link pour supprimer l’accès des réseaux publics à votre espace de travail.
- Configurer l’audit des requêtes de journal pour suivre les utilisateurs qui exécutent des requêtes.
- Veillez à l’immuabilité des données d’audit.
- Déterminer une stratégie pour filtrer ou obfusquer les données sensibles dans votre espace de travail.
- Supprimer définitivement les données sensibles collectées accidentellement.
- Liez votre espace de travail à un cluster dédié pour bénéficier des fonctionnalités de sécurité renforcée, notamment le chiffrement double en utilisant des clés managées par le client et Customer Lockbox pour Microsoft Azure permettant d’approuver ou de rejeter les demandes d’accès aux données Microsoft.
- Utilisez Transport Layer Security (TLS) 1.2 ou une version ultérieure pour envoyer des données à votre espace de travail en utilisant des agents, des connecteurs et l’API Ingestion de journaux.
Recommandations relatives à la configuration
| Recommandation | Avantage |
|---|---|
| Configurer l’accès sur différents types de données dans l’espace de travail nécessaire pour différents rôles dans votre organisation. | Définissez le mode de contrôle d’accès de l’espace de travail sur Utiliser les autorisations de ressource ou d’espace de travail pour permettre aux propriétaires de ressource d’utiliser le contexte de ressource afin d’accéder à leurs données sans avoir été autorisé explicitement à accéder à l’espace de travail. Il simplifie la configuration de votre espace de travail et permet de veiller à ce que les utilisateurs n’aient pas accès aux données qu’ils ne sont pas censés utiliser. Attribuez le rôle intégré approprié pour accorder des autorisations d’espace de travail aux administrateurs au niveau de l’abonnement, du groupe de ressources ou de l’espace de travail en fonction de l’étendue de leurs responsabilités. Appliquez le RBAC au niveau de la table pour les utilisateurs qui ont besoin d’accéder à un ensemble de tables sur plusieurs ressources. Les utilisateurs avec des autorisations de table ont accès à toutes les données de la table, quelles que soient leurs autorisations de ressource. Pour plus d’informations sur les différentes options permettant d’accorder l’accès aux données dans l’espace de travail, consultez Gérer l’accès aux espaces de travail Log Analytics. |
| Utilisez Azure Private Link pour supprimer l’accès des réseaux publics à votre espace de travail. | Les connexions aux points de terminaison publics sont sécurisées avec un chiffrement de bout en bout. Si vous avez besoin d’un point de terminaison privé, vous pouvez utiliser Azure Private Link pour autoriser les ressources à se connecter à votre espace de travail Log Analytics sur des réseaux privés autorisés. Private Link peut également être utilisé pour forcer l’ingestion de données de l’espace de travail sur ExpressRoute ou un VPN. Consultez Concevoir votre configuration Azure Private Link pour déterminer la meilleure topologie de réseau et DNS pour votre environnement. |
| Configurer l’audit des requêtes de journal pour suivre les utilisateurs qui exécutent des requêtes. | L’audit des requêtes de journal enregistre les détails de chaque requête exécutée dans un espace de travail. Traitez ces données d’audit comme des données de sécurité et sécurisez la table LAQueryLogs de manière appropriée. Configurez les journaux d’audit de chaque espace de travail pour qu’ils soient envoyés à l’espace de travail local, ou rassemblez-les dans un espace de travail de sécurité dédié si vous séparez vos données opérationnelles et de sécurité. Utilisez les Insights d’espace de travail Log Analytics pour examiner régulièrement ces données et envisagez de créer des règles d’alerte pour la recherche dans les journaux afin de vous avertir de manière proactive si des utilisateurs non autorisés tentent d’exécuter des requêtes. |
| Veillez à l’immuabilité des données d’audit. | Azure Monitor est une plateforme de données d’ajout uniquement mais qui inclut des dispositions pour supprimer des données à des fins de conformité. Vous pouvez définir un verrou sur votre espace de travail Log Analytics pour bloquer toutes les activités susceptibles de supprimer des données : purger, supprimer des tables et modifier la conservation des données au niveau de l’espace de travail. Toutefois, ce verrou peut toujours être supprimé. Si vous devez protéger totalement votre solution contre la falsification, nous vous recommandons d’exporter vos données vers une solution de stockage immuable. Utilisez l’exportation de données pour envoyer des données à un compte de stockage Azure avec des stratégies d’immuabilité afin de les protéger contre la falsification. Les types de journaux n’ont pas tous la même pertinence pour la conformité, l’audit ou la sécurité. Déterminez les types de données spécifiques qui doivent être exportés. |
| Déterminer une stratégie pour filtrer ou obfusquer les données sensibles dans votre espace de travail. | Vous pourriez collecter des données qui comprennent des informations sensibles. Filtrez les enregistrements qui ne doivent pas être collectés en utilisant la configuration de la source de données particulière. Utilisez une transformation si seules des colonnes particulières dans les données doivent être supprimées ou obfusquées. Si vous avez des standards qui impliquent que les données d’origine ne soient pas modifiées, vous pouvez utiliser le littéral « h » dans les requêtes KQL pour obfusquer les résultats de requête affichés dans les workbooks. |
| Supprimer définitivement les données sensibles collectées accidentellement. | Vérifiez régulièrement les données privées susceptibles d’être collectées accidentellement dans votre espace de travail et utilisez la suppression définitive des données pour les supprimer. Les données dans les tables avec le Plan auxiliaire ne peuvent actuellement pas faire l’objet d’une suppression définitive. |
| Liez votre espace de travail à un cluster dédié pour bénéficier des fonctionnalités de sécurité renforcée, notamment le chiffrement double en utilisant des clés managées par le client et Customer Lockbox pour Microsoft Azure permettant d’approuver ou de rejeter les demandes d’accès aux données Microsoft. | Azure Monitor chiffre toutes les données au repos et les requêtes enregistrées en utilisant des clés gérées par Microsoft (MMK). Si vous collectez suffisamment de données pour un cluster dédié, utilisez : Des - clés gérées par le client pour avoir une flexibilité supérieure et un contrôle du cycle de vie des clés. Si vous utilisez Microsoft Sentinel, vérifiez que vous êtes familiarisé avec les points à prendre en compte sur Configurer une clé gérée par le client Microsoft Sentinel. - Customer Lockbox pour Microsoft Azure pour vérifier et approuver ou refuser les demandes d’accès aux données client. La fonctionnalité Customer Lockbox est utilisée lorsqu’un ingénieur Microsoft a besoin d’accéder aux données client, que ce soit en réponse à un ticket de support initié par le client ou à un problème identifié par Microsoft. Lockbox ne peut pas actuellement être appliqué aux tables avec le plan auxiliaire. |
| Utilisez Transport Layer Security (TLS) 1.2 ou une version ultérieure pour envoyer des données à votre espace de travail en utilisant des agents, des connecteurs et l’API Ingestion de journaux. | Pour veiller à la sécurité des données en transit vers Azure Monitor, utilisez Transport Layer Security (TLS) 1.2 ou version ultérieure. Les versions antérieures de TLS/SSL (Secure Sockets Layer) se sont avérées vulnérables et bien qu’elles fonctionnent encore pour assurer la compatibilité descendante, elles sont déconseillées et le secteur évolue rapidement vers un arrêt de la prise en charge de ces anciens protocoles. Le PCI Security Standards Council a défini une échéance au 30 juin 30, 2018 pour désactiver les versions antérieures de TLS/SSL et effectuer une mise à niveau vers des protocoles plus sécurisés. Une fois qu’Azure aura arrêté la prise en charge des versions héritées, si vos agents ne peuvent pas communiquer via au moins TLS 1.3, vous ne serez plus en mesure d’envoyer des données aux journaux Azure Monitor. Nous vous recommandons de NE PAS définir explicitement votre agent pour qu’il utilise uniquement TLS 1.3, sauf si nécessaire. Il est préférable d’autoriser l’agent à détecter, négocier et tirer parti des normes de sécurité futures. Dans le cas contraire, vous risquez de ne pas bénéficier de la sécurité accrue des normes plus récentes et peut-être de rencontrer des problèmes si TLS 1.3 est déprécié en faveur de ces dernières normes. |
Alertes
Check-list pour la conception
- Utiliser des clés gérées par le client si vous avez besoin de votre propre clé de chiffrement pour protéger les données et les requêtes enregistrées dans vos espaces de travail
- Utiliser des identités managées pour renforcer la sécurité en contrôlant les autorisations
- Attribuer le rôle Lecteur de monitoring à tous les utilisateurs qui n’ont pas besoin de privilèges de configuration
- Utiliser des actions de webhook sécurisé
- Quand vous utilisez des groupes d’actions qui ont des liaisons privées, utiliser des actions Event Hub
Recommandations relatives à la configuration
| Recommandation | Avantage |
|---|---|
| Utilisez des clés gérées par le client si vous avez besoin de votre propre clé de chiffrement pour protéger les données et les requêtes enregistrées dans vos espaces de travail. | Azure Monitor veille à ce que toutes les données et requêtes enregistrées soient chiffrées au repos à l’aide de clés gérées par Microsoft (MMK). Si vous avez besoin de votre propre clé de chiffrement et que vous collectez suffisamment de données pour un cluster dédié, utilisez des clés gérées par le client pour plus de flexibilité et de contrôle du cycle de vie des clés. Si vous utilisez Microsoft Sentinel, vérifiez que vous êtes familiarisé avec les points à prendre en compte sur Configurer une clé gérée par le client Microsoft Sentinel. |
| Pour contrôler les autorisations des règles de recherche dans les journaux, utilisez des identités managées pour vos règles d’alerte de recherche dans les journaux. | La gestion des secrets, des informations d’identification, des certificats et des clés utilisés pour sécuriser la communication entre les services constitue un défi courant pour les développeurs. Les identités managées permettent aux développeurs de ne plus avoir à gérer ces informations d’identification. La définition d’une identité managée pour vos règles d’alerte de recherche dans les journaux vous donne un contrôle et une visibilité sur les autorisations exactes de votre règle d’alerte. À tout moment, vous pouvez voir les autorisations de requête de votre règle, et ajouter ou supprimer des autorisations directement à partir de son identité managée. Par ailleurs, l’utilisation d’une identité managée est nécessaire si la requête de votre règle accède à Azure Data Explorer (ADX) ou Azure Resource Graph (ARG). Consultez Identités managées. |
| Attribuez le rôle Lecteur de monitoring à tous les utilisateurs qui n’ont pas besoin de privilèges de configuration. | Renforcez la sécurité en accordant aux utilisateurs le moins de privilèges nécessaires pour leur rôle. Consultez Rôles, autorisations et sécurité dans Azure Monitor. |
| Si possible, utilisez des actions de webhook sécurisé. | Si votre règle d’alerte contient un groupe d’actions qui utilise des actions de webhook, utilisez plutôt des actions de webhook sécurisé pour une authentification supplémentaire. Consultez Configurer l’authentification pour un webhook sécurisé |
Surveillance des machines virtuelles
Check-list pour la conception
- Utilisez d’autres services pour la surveillance de la sécurité de vos machines virtuelles.
- Envisagez d’utiliser une liaison privée Azure pour que les machines virtuelles se connectent à Azure Monitor à l’aide d’un point de terminaison privé.
Recommandations relatives à la configuration
| Recommandation | Description |
|---|---|
| Utilisez d’autres services pour la surveillance de la sécurité de vos machines virtuelles. | Bien qu’Azure Monitor puisse collecter des événements de sécurité à partir de vos machines virtuelles, il n’est pas destiné à être utilisé pour la surveillance de la sécurité. Azure inclut plusieurs services, tels que Microsoft Defender pour le cloud et Microsoft Sentinel, qui fournissent une solution complète de surveillance de la sécurité lorsqu’ils sont utilisés ensemble. Pour une comparaison de ces services, consultez Surveillance de la sécurité. |
| Envisagez d’utiliser une liaison privée Azure pour que les machines virtuelles se connectent à Azure Monitor à l’aide d’un point de terminaison privé. | Les connexions aux points de terminaison publics sont sécurisées avec un chiffrement de bout en bout. Si vous avez besoin d’un point de terminaison privé, vous pouvez utiliser Azure Private Link pour autoriser les VM à se connecter à Azure Monitor sur des réseaux privés autorisés. Private Link peut également être utilisé pour forcer l’ingestion de données de l’espace de travail sur ExpressRoute ou un VPN. Consultez Concevoir votre configuration Azure Private Link pour déterminer la meilleure topologie de réseau et DNS pour votre environnement. |
Supervision de conteneur
Check-list pour la conception
- Utilisez l’authentification d’identité managée pour votre cluster pour vous connecter à Container Insights.
- Envisagez d’utiliser une liaison privée Azure pour votre cluster pour vous connecter à votre espace de travail Azure Monitor à l’aide d’un point de terminaison privé.
- Utilisez l’analytique du trafic pour surveiller le trafic réseau vers et depuis votre cluster.
- Activez l’observabilité réseau.
- Assurez-vous que la sécurité de l’espace de travail Log Analytics prend en charge Container Insights.
Recommandations relatives à la configuration
| Recommandation | Avantage |
|---|---|
| Utilisez l’authentification d’identité managée pour votre cluster pour vous connecter à Container Insights. | L’authentification d’identité managée est la valeur par défaut pour les nouveaux clusters. Si vous utilisez l’authentification héritée, vous devez migrer vers l’identité managée pour supprimer l’authentification locale basée sur un certificat. |
| Envisagez d’utiliser une liaison privée Azure pour votre cluster pour vous connecter à votre espace de travail Azure Monitor à l’aide d’un point de terminaison privé. | Le service managé Azure pour Prometheus stocke ses données dans un espace de travail Azure Monitor qui utilise un point de terminaison public par défaut. Les connexions aux points de terminaison publics sont sécurisées avec un chiffrement de bout en bout. Si vous avez besoin d’un point de terminaison privé, vous pouvez utiliser Azure Private Link pour permettre à votre cluster de se connecter à l’espace de travail via des réseaux privés autorisés. Private Link peut également être utilisé pour forcer l’ingestion de données de l’espace de travail sur ExpressRoute ou un VPN. Consultez Activer une liaison privée pour la surveillance Kubernetes dans Azure Monitor pour plus d’informations sur la configuration de votre cluster pour liaison privée. Consultez Utiliser des points de terminaison privés pour l’espace de travail Prometheus managé et Azure Monitor pour plus d’informations sur l’interrogation de vos données à l’aide d’une liaison privée. |
| Utilisez l’analytique du trafic pour surveiller le trafic réseau vers et depuis votre cluster. | Traffic Analytics analyse les journaux de flux NSG Azure Network Watcher pour fournir des insights sur le flux de trafic dans votre cloud Azure. Utilisez cet outil pour vous assurer qu’il n’existe aucune exfiltration de données pour votre cluster et détecter si des adresses IP publiques inutiles sont exposées. |
| Activez l’observabilité réseau. | Le module complémentaire d’observabilité réseau pour AKS offre une observabilité sur les plusieurs couches de la pile de mise en réseau Kubernetes. surveiller et observer l’accès entre les services du cluster (trafic est-ouest). |
| Assurez-vous que la sécurité de l’espace de travail Log Analytics prend en charge Container Insights. | Container Insights s’appuie sur un espace de travail Log Analytics. Consultez Les meilleures pratiques pour les journaux Azure Monitor pour obtenir des recommandations pour garantir la sécurité de l’espace de travail. |