Overzicht en richtlijnen voor Azure Monitor-beveiliging
Dit artikel bevat beveiligingsrichtlijnen voor Azure Monitor als onderdeel van het Azure Well-Architected Framework.
Azure Monitor-beveiligingsrichtlijnen helpen u inzicht te hebben in de beveiligingsfuncties van Azure Monitor en hoe u deze configureert om de beveiliging te optimaliseren op basis van:
- Cloud Adoption Framework, dat beveiligingsrichtlijnen biedt voor teams die de technologie-infrastructuur beheren.
- Azure Well-Architected Framework, dat best practices voor architectuur biedt voor het bouwen van beveiligde toepassingen.
- Microsoft Cloud Security Benchmark (MCSB) waarin de beschikbare beveiligingsfuncties en aanbevolen optimale configuraties worden beschreven.
- Zero Trust-beveiligingsprincipes, die richtlijnen biedt voor beveiligingsteams om technische mogelijkheden te implementeren ter ondersteuning van een Zero Trust-moderniseringsinitiatief.
De richtlijnen in dit artikel zijn gebaseerd op het Microsoft-beveiligingsverantwoordelijkheidsmodel. Als onderdeel van dit model van gedeelde verantwoordelijkheid biedt Microsoft deze beveiligingsmaatregelen voor Azure Monitor-klanten:
- Beveiliging van Azure-infrastructuur
- Gegevensbescherming van Azure-klanten
- Versleuteling van gegevens die worden overgedragen tijdens gegevensopname
- Versleuteling van data-at-rest met door Microsoft beheerde sleutels
- Microsoft Entra-verificatie voor toegang tot gegevensvlak
- Verificatie van Azure Monitor Agent en Application Insights met behulp van beheerde identiteiten
- Bevoegde toegang tot gegevensvlakacties met behulp van op rollen gebaseerd toegangsbeheer (Azure RBAC)
- Naleving van industriestandaarden en -voorschriften
Logboekopname en opslag
Controlelijst voor ontwerp
- Configureer de toegang voor verschillende typen gegevens in de werkruimte die vereist is voor verschillende rollen in uw organisatie.
- Gebruik de privékoppeling van Azure om de toegang tot uw werkruimte uit openbare netwerken te verwijderen.
- Configureer controle van logboekquery's om bij te houden welke gebruikers query's uitvoeren.
- Onveranderbaarheid van controlegegevens garanderen.
- Bepaal een strategie om gevoelige gegevens in uw werkruimte te filteren of te verdoezelen.
- Gevoelige gegevens opschonen die per ongeluk zijn verzameld.
- Koppel uw werkruimte aan een toegewezen cluster voor verbeterde beveiligingsfuncties, waaronder dubbele versleuteling met behulp van door de klant beheerde sleutels en klanten-lockbox voor Microsoft Azure om Microsoft-aanvragen voor gegevenstoegang goed te keuren of af te wijzen.
- Gebruik Transport Layer Security (TLS) 1.2 of hoger om gegevens naar uw werkruimte te verzenden met behulp van agents, connectors en de API voor logboekopname.
Aanbevelingen voor configuratie
| Aanbeveling | Voordeel |
|---|---|
| Configureer de toegang voor verschillende typen gegevens in de werkruimte die vereist is voor verschillende rollen in uw organisatie. | Stel de toegangsbeheermodus in voor de werkruimte om resource- of werkruimtemachtigingen te gebruiken, zodat resource-eigenaren resourcecontext kunnen gebruiken voor toegang tot hun gegevens zonder expliciete toegang tot de werkruimte te krijgen. Dit vereenvoudigt de configuratie van uw werkruimte en zorgt ervoor dat gebruikers geen toegang hebben tot gegevens die ze niet mogen gebruiken. Wijs de juiste ingebouwde rol toe om werkruimtemachtigingen te verlenen aan beheerders op abonnements-, resourcegroep- of werkruimteniveau, afhankelijk van hun bereik van verantwoordelijkheden. Pas RBAC op tabelniveau toe voor gebruikers die toegang nodig hebben tot een set tabellen in meerdere resources. Gebruikers met tabelmachtigingen hebben toegang tot alle gegevens in de tabel, ongeacht hun resourcemachtigingen. Zie Toegang tot Log Analytics-werkruimten beheren voor meer informatie over de verschillende opties voor het verlenen van toegang tot gegevens in de werkruimte. |
| Gebruik de privékoppeling van Azure om de toegang tot uw werkruimte uit openbare netwerken te verwijderen. | Verbindingen met openbare eindpunten worden beveiligd met end-to-end-versleuteling. Als u een privé-eindpunt nodig hebt, kunt u azure Private Link gebruiken om resources verbinding te laten maken met uw Log Analytics-werkruimte via geautoriseerde privénetwerken. Private Link kan ook worden gebruikt om gegevensopname van werkruimten af te dwingen via ExpressRoute of een VPN. Zie Ontwerp uw Azure Private Link-installatie om de beste netwerk- en DNS-topologie voor uw omgeving te bepalen. |
| Configureer controle van logboekquery's om bij te houden welke gebruikers query's uitvoeren. | Controle van logboekquery's registreert de details voor elke query die wordt uitgevoerd in een werkruimte. Behandel deze controlegegevens als beveiligingsgegevens en beveilig de LAQueryLogs-tabel op de juiste manier. Configureer de auditlogboeken voor elke werkruimte die naar de lokale werkruimte moet worden verzonden of voeg deze samen in een toegewezen beveiligingswerkruimte als u uw operationele en beveiligingsgegevens scheidt. Gebruik Inzichten in Log Analytics-werkruimten om deze gegevens periodiek te controleren en overweeg waarschuwingsregels voor zoeken in logboeken te maken om u proactief op de hoogte te stellen als onbevoegde gebruikers query's proberen uit te voeren. |
| Onveranderbaarheid van controlegegevens garanderen. | Azure Monitor is een gegevensplatform dat alleen kan worden toegevoegd, maar bevat voorzieningen voor het verwijderen van gegevens voor nalevingsdoeleinden. U kunt een vergrendeling instellen voor uw Log Analytics-werkruimte om alle activiteiten te blokkeren die gegevens kunnen verwijderen: opschonen, tabel verwijderen en wijzigingen in gegevensretentie op tabel- of werkruimteniveau. Deze vergrendeling kan echter nog steeds worden verwijderd. Als u een volledig manipulatiebestendige oplossing nodig hebt, raden we u aan uw gegevens te exporteren naar een onveranderbare opslagoplossing. Gebruik gegevensexport om gegevens te verzenden naar een Azure-opslagaccount met onveranderbaarheidsbeleid om gegevens te beschermen tegen manipulatie van gegevens. Niet elk type logboek heeft dezelfde relevantie voor naleving, controle of beveiliging, dus bepaal de specifieke gegevenstypen die moeten worden geëxporteerd. |
| Bepaal een strategie om gevoelige gegevens in uw werkruimte te filteren of te verdoezelen. | Mogelijk verzamelt u gegevens die gevoelige informatie bevatten. Filter records die niet moeten worden verzameld met behulp van de configuratie voor de specifieke gegevensbron. Gebruik een transformatie als alleen bepaalde kolommen in de gegevens moeten worden verwijderd of verborgen. Als u standaarden hebt waarvoor de oorspronkelijke gegevens moeten worden gewijzigd, kunt u de letterlijke letterlijke h in KQL-query's gebruiken om queryresultaten die worden weergegeven in werkmappen te verbergen. |
| Gevoelige gegevens opschonen die per ongeluk zijn verzameld. | Controleer regelmatig op persoonlijke gegevens die per ongeluk in uw werkruimte worden verzameld en gebruik gegevens opschonen om deze te verwijderen. Gegevens in tabellen met het Hulpplan kunnen momenteel niet worden opgeschoond. |
| Koppel uw werkruimte aan een toegewezen cluster voor verbeterde beveiligingsfuncties, waaronder dubbele versleuteling met behulp van door de klant beheerde sleutels en klanten-lockbox voor Microsoft Azure om Microsoft-aanvragen voor gegevenstoegang goed te keuren of af te wijzen. | Azure Monitor versleutelt alle data-at-rest en opgeslagen query's met behulp van door Microsoft beheerde sleutels (MMK). Als u voldoende gegevens voor een toegewezen cluster verzamelt, gebruikt u: - Door de klant beheerde sleutels voor meer flexibiliteit en beheer van de levenscyclus van sleutels. Als u Microsoft Sentinel gebruikt, moet u ervoor zorgen dat u bekend bent met de overwegingen bij het instellen van de door de klant beheerde sleutel van Microsoft Sentinel. - Customer Lockbox voor Microsoft Azure om aanvragen voor toegang tot klantgegevens te controleren en goed te keuren of af te wijzen. Customer Lockbox wordt gebruikt wanneer een Microsoft-engineer toegang moet hebben tot klantgegevens, of dit nu gebeurt als reactie op een door de klant geïnitieerd ondersteuningsticket of een probleem dat door Microsoft is geïdentificeerd. Lockbox kan momenteel niet worden toegepast op tabellen met het hulpplan. |
| Gebruik Transport Layer Security (TLS) 1.2 of hoger om gegevens naar uw werkruimte te verzenden met behulp van agents, connectors en de API voor logboekopname. | Gebruik Transport Layer Security (TLS) 1.2 of hoger om de beveiliging van gegevens in transit naar Azure Monitor te garanderen. Oudere versies van TLS/Secure Sockets Layer (SSL) zijn kwetsbaar gebleken en hoewel ze momenteel nog steeds werken om compatibiliteit met eerdere versies mogelijk te maken, worden ze niet aanbevolen en wordt de branche snel verplaatst om ondersteuning voor deze oudere protocollen te verlaten. De PCI Security Standards Council heeft een deadline van 30 juni 2018 ingesteld om oudere versies van TLS/SSL uit te schakelen en een upgrade uit te voeren naar veiligere protocollen. Zodra Azure verouderde ondersteuning heeft verloren, kunt u geen gegevens verzenden naar Azure Monitor-logboeken als uw agents niet kunnen communiceren via ten minste TLS 1.3. Het is raadzaam om uw agent niet expliciet in te stellen op alleen TLS 1.3, tenzij dit nodig is. Het is raadzaam om de agent automatisch te laten detecteren, onderhandelen en profiteren van toekomstige beveiligingsstandaarden. Anders mist u mogelijk de extra beveiliging van de nieuwere standaarden en ondervindt u mogelijk problemen als TLS 1.3 ooit is afgeschaft ten gunste van deze nieuwere standaarden. |
Waarschuwingen
Controlelijst voor ontwerp
- Gebruik door de klant beheerde sleutels als u uw eigen versleutelingssleutel nodig hebt om gegevens en opgeslagen query's in uw werkruimten te beveiligen
- Beheerde identiteiten gebruiken om de beveiliging te verbeteren door machtigingen te beheren
- De rol bewakingslezer toewijzen voor alle gebruikers die geen configuratiebevoegdheden nodig hebben
- Beveiligde webhookacties gebruiken
- Wanneer u actiegroepen gebruikt die gebruikmaken van privékoppelingen, gebruikt u Event Hub-acties
Aanbevelingen voor configuratie
| Aanbeveling | Voordeel |
|---|---|
| Gebruik door de klant beheerde sleutels als u uw eigen versleutelingssleutel nodig hebt om gegevens en opgeslagen query's in uw werkruimten te beveiligen. | Azure Monitor zorgt ervoor dat alle gegevens en opgeslagen query's at rest worden versleuteld met behulp van door Microsoft beheerde sleutels (MMK). Als u uw eigen versleutelingssleutel nodig hebt en voldoende gegevens voor een toegewezen cluster verzamelt, gebruikt u door de klant beheerde sleutels voor meer flexibiliteit en beheer van de levenscyclus van sleutels. Als u Microsoft Sentinel gebruikt, moet u ervoor zorgen dat u bekend bent met de overwegingen bij het instellen van de door de klant beheerde sleutel van Microsoft Sentinel. |
| Als u machtigingen voor waarschuwingsregels voor zoeken in logboeken wilt beheren, gebruikt u beheerde identiteiten voor de waarschuwingsregels voor zoeken in logboeken. | Een veelvoorkomende uitdaging voor ontwikkelaars is het beheer van geheimen, referenties, certificaten en sleutels om communicatie tussen services te beveiligen. Dankzij beheerde identiteiten hoeven ontwikkelaars geen referenties meer te beheren. Als u een beheerde identiteit instelt voor de waarschuwingsregels voor zoeken in logboeken, hebt u controle over en inzicht in de exacte machtigingen van uw waarschuwingsregel. U kunt op elk gewenst moment de querymachtigingen van uw regel bekijken en machtigingen rechtstreeks toevoegen aan of verwijderen uit de beheerde identiteit. Daarnaast is het gebruik van een beheerde identiteit vereist als de query van uw regel toegang heeft tot Azure Data Explorer (ADX) of Azure Resource Graph (ARG). Raadpleeg Beheerde identiteiten. |
| Wijs de rol bewakingslezer toe voor alle gebruikers die geen configuratiebevoegdheden nodig hebben. | Verbeter de beveiliging door gebruikers de minste hoeveelheid bevoegdheden te geven die vereist zijn voor hun rol. Zie Rollen, machtigingen en beveiliging in Azure Monitor. |
| Gebruik waar mogelijk beveiligde webhookacties. | Als uw waarschuwingsregel een actiegroep bevat die gebruikmaakt van webhookacties, gebruikt u liever beveiligde webhookacties voor aanvullende verificatie. Zie Verificatie configureren voor beveiligde webhook |
Bewaking van virtuele machines
Controlelijst voor ontwerp
- Gebruik andere services voor beveiligingsbewaking van uw VM's.
- Overweeg om Azure Private Link te gebruiken voor VM's om verbinding te maken met Azure Monitor met behulp van een privé-eindpunt.
Aanbevelingen voor configuratie
| Aanbeveling | Beschrijving |
|---|---|
| Gebruik andere services voor beveiligingsbewaking van uw VM's. | Hoewel Azure Monitor beveiligingsevenementen van uw VM's kan verzamelen, is het niet bedoeld om te worden gebruikt voor beveiligingsbewaking. Azure bevat meerdere services, zoals Microsoft Defender voor Cloud en Microsoft Sentinel, die samen een volledige beveiligingsbewakingsoplossing bieden. Zie Beveiligingsbewaking voor een vergelijking van deze services. |
| Overweeg om Azure Private Link te gebruiken voor VM's om verbinding te maken met Azure Monitor met behulp van een privé-eindpunt. | Verbindingen met openbare eindpunten worden beveiligd met end-to-end-versleuteling. Als u een privé-eindpunt nodig hebt, kunt u azure private link gebruiken om uw VM's via geautoriseerde privénetwerken verbinding te laten maken met Azure Monitor. Private Link kan ook worden gebruikt om gegevensopname van werkruimten af te dwingen via ExpressRoute of een VPN. Zie Ontwerp uw Azure Private Link-installatie om de beste netwerk- en DNS-topologie voor uw omgeving te bepalen. |
Containerbewaking
Controlelijst voor ontwerp
- Gebruik verificatie van beheerde identiteiten voor uw cluster om verbinding te maken met Container Insights.
- Overweeg het gebruik van Azure Private Link voor uw cluster om verbinding te maken met uw Azure Monitor-werkruimte met behulp van een privé-eindpunt.
- Gebruik verkeersanalyse om netwerkverkeer van en naar uw cluster te bewaken.
- Netwerkobserveerbaarheid inschakelen.
- Zorg voor de beveiliging van de Log Analytics-werkruimte die containerinzichten ondersteunt.
Aanbevelingen voor configuratie
| Aanbeveling | Voordeel |
|---|---|
| Gebruik verificatie van beheerde identiteiten voor uw cluster om verbinding te maken met Container Insights. | Verificatie van beheerde identiteiten is de standaardinstelling voor nieuwe clusters. Als u verouderde verificatie gebruikt, moet u migreren naar een beheerde identiteit om de lokale verificatie op basis van certificaten te verwijderen. |
| Overweeg het gebruik van Azure Private Link voor uw cluster om verbinding te maken met uw Azure Monitor-werkruimte met behulp van een privé-eindpunt. | De door Azure beheerde service voor Prometheus slaat de gegevens op in een Azure Monitor-werkruimte die standaard een openbaar eindpunt gebruikt. Verbindingen met openbare eindpunten worden beveiligd met end-to-end-versleuteling. Als u een privé-eindpunt nodig hebt, kunt u azure Private Link gebruiken om uw cluster verbinding te laten maken met de werkruimte via geautoriseerde privénetwerken. Private Link kan ook worden gebruikt om gegevensopname van werkruimten af te dwingen via ExpressRoute of een VPN. Zie Private Link inschakelen voor Kubernetes-bewaking in Azure Monitor voor meer informatie over het configureren van uw cluster voor private link. Zie Privé-eindpunten gebruiken voor beheerde Prometheus- en Azure Monitor-werkruimte voor meer informatie over het uitvoeren van query's op uw gegevens met behulp van private link. |
| Gebruik verkeersanalyse om netwerkverkeer van en naar uw cluster te bewaken. | Traffic Analytics analyseert NSG-stroomlogboeken van Azure Network Watcher om inzicht te krijgen in de verkeersstroom in uw Azure-cloud. Gebruik dit hulpprogramma om ervoor te zorgen dat er geen gegevensexfiltratie voor uw cluster zijn en om te detecteren of er onnodige openbare IP-adressen beschikbaar zijn. |
| Netwerkobserveerbaarheid inschakelen. | Netwerkobserveerbaarheidsinvoegtoepassing voor AKS biedt waarneembaarheid in de meerdere lagen in de Kubernetes-netwerkstack. toegang tussen services in het cluster bewaken en observeren (oost-west-verkeer). |
| Zorg voor de beveiliging van de Log Analytics-werkruimte die containerinzichten ondersteunt. | Container insights is afhankelijk van een Log Analytics-werkruimte. Zie aanbevolen procedures voor Azure Monitor-logboeken voor aanbevelingen om de beveiliging van de werkruimte te garanderen. |