Omówienie i wskazówki dotyczące zabezpieczeń usługi Azure Monitor
Ten artykuł zawiera wytyczne dotyczące zabezpieczeń dla usługi Azure Monitor w ramach platformy Azure Well-Architected Framework.
Wskazówki dotyczące zabezpieczeń usługi Azure Monitor pomagają zrozumieć funkcje zabezpieczeń usługi Azure Monitor i jak je skonfigurować w celu optymalizacji zabezpieczeń na podstawie następujących elementów:
- Przewodnik Cloud Adoption Framework, który zawiera wskazówki dotyczące zabezpieczeń dla zespołów, które zarządzają infrastrukturą technologii.
- Platforma Azure Well-Architected Framework, która zapewnia najlepsze rozwiązania dotyczące architektury do tworzenia bezpiecznych aplikacji.
- Test porównawczy zabezpieczeń w chmurze firmy Microsoft (MCSB), który opisuje dostępne funkcje zabezpieczeń i zalecane optymalne konfiguracje.
- Zasady zabezpieczeń Zero Trust, które zawierają wskazówki dla zespołów ds. zabezpieczeń w celu zaimplementowania możliwości technicznych w celu obsługi inicjatywy modernizacji Zero Trust.
Wytyczne zawarte w tym artykule opierają się na modelu odpowiedzialności za zabezpieczenia firmy Microsoft. W ramach tego modelu wspólnej odpowiedzialności firma Microsoft udostępnia następujące środki zabezpieczeń dla klientów usługi Azure Monitor:
- Zabezpieczenia infrastruktury platformy Azure
- Ochrona danych klientów platformy Azure
- Szyfrowanie danych przesyłanych podczas pozyskiwania danych
- Szyfrowanie danych magazynowanych przy użyciu kluczy zarządzanych przez firmę Microsoft
- Uwierzytelnianie firmy Microsoft w celu uzyskania dostępu do płaszczyzny danych
- Uwierzytelnianie agenta usługi Azure Monitor i usługi Application Insights przy użyciu tożsamości zarządzanych
- Uprzywilejowany dostęp do akcji płaszczyzny danych przy użyciu kontroli dostępu opartej na rolach (Azure RBAC)
- Zgodność ze standardami branżowymi i przepisami
Pozyskiwanie dzienników i magazyn
Lista kontrolna projektu
- Skonfiguruj dostęp dla różnych typów danych w obszarze roboczym wymaganym dla różnych ról w organizacji.
- Użyj łącza prywatnego platformy Azure, aby usunąć dostęp do obszaru roboczego z sieci publicznych.
- Skonfiguruj inspekcję zapytań dziennika, aby śledzić, którzy użytkownicy uruchamiają zapytania.
- Upewnij się, że niezmienność danych inspekcji.
- Określ strategię filtrowania lub zaciemniania poufnych danych w obszarze roboczym.
- Przeczyść poufne dane, które zostały przypadkowo zebrane.
- Połącz obszar roboczy z dedykowanym klastrem w celu uzyskania rozszerzonych funkcji zabezpieczeń, w tym podwójnego szyfrowania przy użyciu kluczy zarządzanych przez klienta i skrytki klienta dla platformy Microsoft Azure, aby zatwierdzić lub odrzucić żądania dostępu do danych firmy Microsoft.
- Użyj protokołu Transport Layer Security (TLS) 1.2 lub nowszego, aby wysyłać dane do obszaru roboczego przy użyciu agentów, łączników i interfejsu API pozyskiwania dzienników.
Zalecenia dotyczące konfiguracji
| Zalecenie | Korzyści |
|---|---|
| Skonfiguruj dostęp dla różnych typów danych w obszarze roboczym wymaganym dla różnych ról w organizacji. | Ustaw tryb kontroli dostępu dla obszaru roboczego na Użyj uprawnień zasobów lub obszaru roboczego, aby umożliwić właścicielom zasobów używanie kontekstu zasobów w celu uzyskania dostępu do danych bez udzielenia jawnego dostępu do obszaru roboczego. Upraszcza to konfigurację obszaru roboczego i pomaga zapewnić, że użytkownicy nie będą mogli uzyskiwać dostępu do danych, których nie powinni. Przypisz odpowiednią wbudowaną rolę , aby przyznać administratorom uprawnienia obszaru roboczego na poziomie subskrypcji, grupy zasobów lub obszaru roboczego w zależności od zakresu obowiązków. Zastosuj kontrolę dostępu opartą na rolach na poziomie tabeli dla użytkowników, którzy wymagają dostępu do zestawu tabel w wielu zasobach. Użytkownicy z uprawnieniami do tabel mają dostęp do wszystkich danych w tabeli niezależnie od ich uprawnień do zasobów. Aby uzyskać szczegółowe informacje na temat różnych opcji udzielania dostępu do danych w obszarze roboczym, zobacz Zarządzanie dostępem do obszarów roboczych usługi Log Analytics. |
| Użyj łącza prywatnego platformy Azure, aby usunąć dostęp do obszaru roboczego z sieci publicznych. | Połączenia z publicznymi punktami końcowymi są zabezpieczone za pomocą kompleksowego szyfrowania. Jeśli potrzebujesz prywatnego punktu końcowego, możesz użyć łącza prywatnego platformy Azure, aby zezwolić zasobom na łączenie się z obszarem roboczym usługi Log Analytics za pośrednictwem autoryzowanych sieci prywatnych. Za pomocą łącza prywatnego można również wymusić pozyskiwanie danych obszaru roboczego za pośrednictwem usługi ExpressRoute lub sieci VPN. Zobacz Projektowanie konfiguracji usługi Azure Private Link, aby określić najlepszą sieć i topologię DNS dla danego środowiska. |
| Skonfiguruj inspekcję zapytań dziennika, aby śledzić, którzy użytkownicy uruchamiają zapytania. | Inspekcja zapytań dzienników rejestruje szczegóły każdego zapytania uruchamianego w obszarze roboczym. Traktuj te dane inspekcji jako dane zabezpieczeń i odpowiednio zabezpiecz tabelę LAQueryLogs . Skonfiguruj dzienniki inspekcji dla każdego obszaru roboczego do wysłania do lokalnego obszaru roboczego lub skonsoliduj je w dedykowanym obszarze roboczym zabezpieczeń, jeśli rozdzielisz dane operacyjne i zabezpieczające. Użyj szczegółowych informacji o obszarze roboczym usługi Log Analytics, aby okresowo przeglądać te dane i rozważyć utworzenie reguł alertów przeszukiwania dzienników w celu proaktywnego powiadamiania o próbie uruchomienia zapytań przez nieautoryzowanych użytkowników. |
| Upewnij się, że niezmienność danych inspekcji. | Usługa Azure Monitor to platforma danych tylko do dołączania, ale zawiera aprowidy do usuwania danych na potrzeby zgodności. Możesz ustawić blokadę w obszarze roboczym usługi Log Analytics, aby zablokować wszystkie działania, które mogą usuwać dane: przeczyszczanie, usuwanie tabel i zmiany przechowywania danych na poziomie tabeli lub obszaru roboczego. Jednak nadal można usunąć tę blokadę. Jeśli potrzebujesz w pełni sprawdzającego naruszenia rozwiązania, zalecamy wyeksportowanie danych do niezmienialnego rozwiązania magazynu. Eksportowanie danych umożliwia wysyłanie danych do konta usługi Azure Storage z zasadami niezmienności w celu ochrony przed naruszeniami danych. Nie każdy typ dzienników ma takie samo znaczenie dla zgodności, inspekcji lub zabezpieczeń, więc określ określone typy danych, które mają być eksportowane. |
| Określ strategię filtrowania lub zaciemniania poufnych danych w obszarze roboczym. | Możesz zbierać dane, które zawierają poufne informacje. Filtruj rekordy, które nie powinny być zbierane przy użyciu konfiguracji dla określonego źródła danych. Użyj przekształcenia, jeśli należy usunąć lub zaciemnić tylko określone kolumny w danych. Jeśli masz standardy, które wymagają niezmodyfikowania oryginalnych danych, możesz użyć literału "h" w zapytaniach KQL, aby zaciemnić wyniki zapytania wyświetlane w skoroszytach. |
| Przeczyść poufne dane, które zostały przypadkowo zebrane. | Okresowo sprawdzaj dane prywatne, które mogą zostać przypadkowo zebrane w obszarze roboczym, i użyj przeczyszczania danych, aby je usunąć. Dane w tabelach z planem pomocniczym nie mogą być obecnie czyszczone. |
| Połącz obszar roboczy z dedykowanym klastrem w celu uzyskania rozszerzonych funkcji zabezpieczeń, w tym podwójnego szyfrowania przy użyciu kluczy zarządzanych przez klienta i skrytki klienta dla platformy Microsoft Azure, aby zatwierdzić lub odrzucić żądania dostępu do danych firmy Microsoft. | Usługa Azure Monitor szyfruje wszystkie dane magazynowane i zapisywane zapytania przy użyciu kluczy zarządzanych przez firmę Microsoft (MMK). W przypadku zbierania wystarczającej ilości danych dla dedykowanego klastra użyj: - Klucze zarządzane przez klienta w celu zapewnienia większej elastyczności i kontroli cyklu życia klucza. Jeśli używasz usługi Microsoft Sentinel, upewnij się, że znasz zagadnienia związane z konfigurowaniem klucza zarządzanego przez klienta usługi Microsoft Sentinel. - Skrytka klienta dla platformy Microsoft Azure w celu przejrzenia i zatwierdzenia lub odrzucenia żądań dostępu do danych klientów. Skrytka klienta jest używana, gdy inżynier firmy Microsoft musi uzyskać dostęp do danych klientów, niezależnie od tego, czy jest to bilet pomocy technicznej zainicjowany przez klienta, czy problem zidentyfikowany przez firmę Microsoft. Obecnie nie można zastosować skrytki do tabel z planem pomocniczym. |
| Użyj protokołu Transport Layer Security (TLS) 1.2 lub nowszego, aby wysyłać dane do obszaru roboczego przy użyciu agentów, łączników i interfejsu API pozyskiwania dzienników. | Aby zapewnić bezpieczeństwo danych przesyłanych do usługi Azure Monitor, użyj protokołu Transport Layer Security (TLS) 1.2 lub nowszego. Stwierdzono, że starsze wersje protokołu TLS/Secure Sockets Layer (SSL) są podatne na zagrożenia i mimo że nadal działają, aby umożliwić zgodność z poprzednimi wersjami, nie są zalecane, a branża szybko przechodzi do porzucenia obsługi tych starszych protokołów. Rada Standardów Bezpieczeństwa PCI wyznaczyła termin 30 czerwca 2018 r., aby wyłączyć starsze wersje protokołu TLS/SSL i uaktualnić je do bezpieczniejszych protokołów. Po usunięciu starszej obsługi platformy Azure, jeśli agenci nie będą mogli komunikować się za pośrednictwem co najmniej protokołu TLS 1.3, nie będzie można wysyłać danych do dzienników usługi Azure Monitor. Zalecamy, aby agent nie ustawiał jawnie tylko protokołu TLS 1.3, chyba że jest to konieczne. Preferowane jest umożliwienie agentowi automatycznego wykrywania, negocjowania i korzystania z przyszłych standardów zabezpieczeń. W przeciwnym razie możesz przegapić dodatkowe zabezpieczenia nowszych standardów i prawdopodobnie napotkać problemy, jeśli protokół TLS 1.3 jest kiedykolwiek przestarzały na rzecz tych nowszych standardów. |
Alerty
Lista kontrolna projektu
- Użyj kluczy zarządzanych przez klienta, jeśli potrzebujesz własnego klucza szyfrowania w celu ochrony danych i zapisanych zapytań w obszarach roboczych
- Używanie tożsamości zarządzanych w celu zwiększenia bezpieczeństwa przez kontrolowanie uprawnień
- Przypisywanie roli czytelnika monitorowania dla wszystkich użytkowników, którzy nie potrzebują uprawnień konfiguracji
- Używanie akcji bezpiecznego elementu webhook
- W przypadku korzystania z grup akcji korzystających z linków prywatnych użyj akcji centrum zdarzeń
Zalecenia dotyczące konfiguracji
| Zalecenie | Korzyści |
|---|---|
| Użyj kluczy zarządzanych przez klienta, jeśli potrzebujesz własnego klucza szyfrowania w celu ochrony danych i zapisanych zapytań w obszarach roboczych. | Azure Monitor gwarantuje, że wszystkie dane i zapisane zapytania są szyfrowane podczas przechowywania przy użyciu kluczy zarządzanych przez firmę Microsoft. Jeśli potrzebujesz własnego klucza szyfrowania i zbierz wystarczające dane dla dedykowanego klastra, użyj kluczy zarządzanych przez klienta, aby uzyskać większą elastyczność i kontrolę cyklu życia klucza. Jeśli używasz usługi Microsoft Sentinel, upewnij się, że znasz zagadnienia związane z konfigurowaniem klucza zarządzanego przez klienta usługi Microsoft Sentinel. |
| Aby kontrolować uprawnienia reguł alertów przeszukiwania dzienników, użyj tożsamości zarządzanych dla reguł alertów przeszukiwania dzienników. | Częstym wyzwaniem dla deweloperów jest zarządzanie wpisami tajnymi, poświadczeniami, certyfikatami i kluczami używanymi do zabezpieczania komunikacji między usługami. Tożsamości zarządzane eliminują potrzebę zarządzania tymi poświadczeniami przez deweloperów. Ustawienie tożsamości zarządzanej dla reguł alertów przeszukiwania dzienników zapewnia kontrolę i wgląd w dokładne uprawnienia reguły alertu. W dowolnym momencie możesz wyświetlić uprawnienia zapytania reguły i dodać lub usunąć uprawnienia bezpośrednio z tożsamości zarządzanej. Ponadto użycie tożsamości zarządzanej jest wymagane, jeśli zapytanie reguły uzyskuje dostęp do usługi Azure Data Explorer (ADX) lub usługi Azure Resource Graph (ARG). Zobacz Tożsamości zarządzane. |
| Przypisz rolę czytelnika monitorowania dla wszystkich użytkowników, którzy nie potrzebują uprawnień konfiguracji. | Zwiększ bezpieczeństwo, dając użytkownikom najmniejszą ilość uprawnień wymaganych do ich roli. Zobacz Role, uprawnienia i zabezpieczenia w usłudze Azure Monitor. |
| Jeśli to możliwe, użyj akcji bezpiecznego elementu webhook. | Jeśli reguła alertu zawiera grupę akcji, która używa akcji elementu webhook, preferuj używanie akcji bezpiecznego elementu webhook na potrzeby dodatkowego uwierzytelniania. Zobacz Konfigurowanie uwierzytelniania dla bezpiecznego elementu webhook |
Monitorowanie maszyn wirtualnych
Lista kontrolna projektu
- Użyj innych usług do monitorowania zabezpieczeń maszyn wirtualnych.
- Rozważ użycie linku prywatnego platformy Azure dla maszyn wirtualnych w celu nawiązania połączenia z usługą Azure Monitor przy użyciu prywatnego punktu końcowego.
Zalecenia dotyczące konfiguracji
| Zalecenie | opis |
|---|---|
| Użyj innych usług do monitorowania zabezpieczeń maszyn wirtualnych. | Usługa Azure Monitor może zbierać zdarzenia zabezpieczeń z maszyn wirtualnych, ale nie jest przeznaczona do monitorowania zabezpieczeń. Platforma Azure obejmuje wiele usług, takich jak Microsoft Defender dla Chmury i Microsoft Sentinel, które razem zapewniają kompletne rozwiązanie do monitorowania zabezpieczeń. Zobacz Monitorowanie zabezpieczeń, aby zapoznać się z porównaniem tych usług. |
| Rozważ użycie linku prywatnego platformy Azure dla maszyn wirtualnych w celu nawiązania połączenia z usługą Azure Monitor przy użyciu prywatnego punktu końcowego. | Połączenia z publicznymi punktami końcowymi są zabezpieczone za pomocą kompleksowego szyfrowania. Jeśli potrzebujesz prywatnego punktu końcowego, możesz użyć łącza prywatnego platformy Azure, aby umożliwić maszynom wirtualnym łączenie się z usługą Azure Monitor za pośrednictwem autoryzowanych sieci prywatnych. Za pomocą łącza prywatnego można również wymusić pozyskiwanie danych obszaru roboczego za pośrednictwem usługi ExpressRoute lub sieci VPN. Zobacz Projektowanie konfiguracji usługi Azure Private Link, aby określić najlepszą sieć i topologię DNS dla danego środowiska. |
Monitorowanie kontenerów
Lista kontrolna projektu
- Użyj uwierzytelniania tożsamości zarządzanej dla klastra, aby nawiązać połączenie z usługą Container Insights.
- Rozważ użycie łącza prywatnego platformy Azure dla klastra w celu nawiązania połączenia z obszarem roboczym usługi Azure Monitor przy użyciu prywatnego punktu końcowego.
- Użyj analizy ruchu, aby monitorować ruch sieciowy do i z klastra.
- Włącz możliwość obserwowania sieci.
- Upewnij się, że bezpieczeństwo obszaru roboczego usługi Log Analytics obsługuje szczegółowe informacje o kontenerze.
Zalecenia dotyczące konfiguracji
| Zalecenie | Korzyści |
|---|---|
| Użyj uwierzytelniania tożsamości zarządzanej dla klastra, aby nawiązać połączenie z usługą Container Insights. | Uwierzytelnianie tożsamości zarządzanej jest ustawieniem domyślnym dla nowych klastrów. Jeśli używasz starszego uwierzytelniania, należy przeprowadzić migrację do tożsamości zarządzanej, aby usunąć lokalne uwierzytelnianie oparte na certyfikatach. |
| Rozważ użycie łącza prywatnego platformy Azure dla klastra w celu nawiązania połączenia z obszarem roboczym usługi Azure Monitor przy użyciu prywatnego punktu końcowego. | Usługa zarządzana platformy Azure dla rozwiązania Prometheus przechowuje swoje dane w obszarze roboczym usługi Azure Monitor, który domyślnie używa publicznego punktu końcowego. Połączenia z publicznymi punktami końcowymi są zabezpieczone za pomocą kompleksowego szyfrowania. Jeśli potrzebujesz prywatnego punktu końcowego, możesz użyć łącza prywatnego platformy Azure, aby zezwolić klastrowi na łączenie się z obszarem roboczym za pośrednictwem autoryzowanych sieci prywatnych. Za pomocą łącza prywatnego można również wymusić pozyskiwanie danych obszaru roboczego za pośrednictwem usługi ExpressRoute lub sieci VPN. Aby uzyskać szczegółowe informacje na temat konfigurowania klastra na potrzeby łącza prywatnego, zobacz Włączanie łącza prywatnego na potrzeby monitorowania rozwiązania Kubernetes w usłudze Azure Monitor . Aby uzyskać szczegółowe informacje na temat wykonywania zapytań dotyczących danych przy użyciu łącza prywatnego, zobacz Use private endpoints for Managed Prometheus and Azure Monitor workspace (Używanie prywatnych punktów końcowych dla zarządzanego rozwiązania Prometheus i obszaru roboczego usługi Azure Monitor). |
| Użyj analizy ruchu, aby monitorować ruch sieciowy do i z klastra. | Analiza ruchu analizuje dzienniki przepływu sieciowej grupy zabezpieczeń usługi Azure Network Watcher, aby zapewnić wgląd w przepływ ruchu w chmurze platformy Azure. Użyj tego narzędzia, aby upewnić się, że nie ma eksfiltracji danych dla klastra i wykrywać, czy są uwidocznione niepotrzebne publiczne adresy IP. |
| Włącz możliwość obserwowania sieci. | Dodatek do obserwacji sieci dla usługi AKS zapewnia wgląd w wiele warstw w stosie sieci Kubernetes. monitorowanie i obserwowanie dostępu między usługami w klastrze (ruch wschodnio-zachodni). |
| Upewnij się, że bezpieczeństwo obszaru roboczego usługi Log Analytics obsługuje szczegółowe informacje o kontenerze. | Szczegółowe informacje o kontenerze opierają się na obszarze roboczym usługi Log Analytics. Zobacz Najlepsze rozwiązania dotyczące dzienników usługi Azure Monitor, aby uzyskać zalecenia, aby zapewnić bezpieczeństwo obszaru roboczego. |