Visão geral e diretrizes de segurança do Azure Monitor
Este artigo fornece diretrizes de Segurança para o Azure Monitor como parte do Azure Well-Architected Framework.
As diretrizes de segurança do Azure Monitor ajudam você a entender os recursos de segurança do Azure Monitor e como configurá-los para otimizar a segurança com base em:
- Cloud Adoption Framework, que fornece diretrizes de segurança para equipes que gerenciam a infraestrutura de tecnologia.
- Azure Well-Architected Framework, que fornece práticas recomendadas de arquitetura para a criação de aplicativos seguros.
- Microsoft Cloud Security Benchmark (MCSB) , que descreve os recursos de segurança disponíveis e as configurações ideais recomendadas.
- Princípios de segurança de Confiança Zero, que fornece diretrizes para que as equipes de segurança implementem funcionalidades técnicas para dar suporte a uma iniciativa de modernização de Confiança Zero.
As diretrizes deste artigo baseiam-se no modelo de responsabilidade de segurança da Microsoft. Como parte desse modelo de responsabilidade compartilhada, a Microsoft fornece estas medidas de segurança para os clientes do Azure Monitor:
- Segurança da infraestrutura do Azure
- Proteção de dados do cliente do Microsoft Azure
- Criptografia de dados em trânsito durante a ingestão de dados
- Criptografia de dados inativos com chaves gerenciadas pela Microsoft
- Autenticação do Microsoft Entra para acesso ao plano de dados
- Autenticação do Agente do Azure Monitor e do Application Insights usando identidades gerenciadas
- Acesso privilegiado a ações do plano de dados usando o Controle de Acesso Baseado em Função (Azure RBAC)
- Conformidade com normas e regulamentações do setor
Ingestão e armazenamento de logs
Lista de verificação de projeto
- Configure o acesso para diferentes tipos de dados no workspace necessários para diferentes funções em sua organização.
- Use o link privado do Azure para remover o acesso ao seu espaço de trabalho de redes públicas.
- Configure a auditoria de consulta de log para acompanhar quais usuários estão executando consultas.
- Garantir a imutabilidade dos dados de auditoria.
- Determine uma estratégia para filtrar ou ofuscar dados confidenciais em seu workspace.
- Limpe dados confidenciais que foram coletados acidentalmente.
- Vincule seu espaço de trabalho a um cluster dedicado para obter recursos de segurança avançados, incluindo criptografia dupla usando chaves gerenciadas pelo cliente e sistema de proteção de dados do cliente para Microsoft Azure para aprovar ou rejeitar solicitações de acesso a dados da Microsoft.
- Use o Protocolo TLS (TLS) 1.2 ou superior para enviar dados ao seu espaço de trabalho usando agentes, conectores e a API de ingestão de Logs.
Recomendações de configuração
| Recomendação | Benefício |
|---|---|
| Configure o acesso para diferentes tipos de dados no workspace necessários para diferentes funções em sua organização. | Defina o modo de controle de acesso para o workspace como Usar permissões de recurso ou workspace para permitir que os proprietários de recursos usem o contexto de recurso para acessar seus dados sem ter acesso explícito ao workspace. Isso simplifica a configuração do seu espaço de trabalho e ajuda a garantir que os usuários não possam acessar dados que não deveriam. Atribua a função interna apropriada para conceder permissões de workspace aos administradores no nível da assinatura, do grupo de recursos ou do workspace, dependendo do escopo das responsabilidades. Aplicar RBAC no nível da tabela para usuários que precisam de acesso a um conjunto de tabelas em vários recursos. Os usuários com permissões de tabela têm acesso a todos os dados na tabela, independentemente de suas permissões de recurso. Consulte Gerenciar o acesso aos workspaces do Log Analytics para obter detalhes sobre as diferentes opções para conceder acesso aos dados no workspace. |
| Use o link privado do Azure para remover o acesso ao seu espaço de trabalho de redes públicas. | As conexões com pontos de extremidade públicos são protegidas com criptografia de ponta a ponta. Se você precisar de um ponto de extremidade privado, poderá usar o link privado do Azure para permitir que os recursos se conectem ao workspace do Log Analytics por meio de redes privadas autorizadas. O link privado também pode ser usado para forçar a ingestão de dados do workspace por meio do ExpressRoute ou de uma VPN. Consulte Projetar sua configuração de Link Privado do Azure para determinar a melhor rede e topologia DNS para seu ambiente. |
| Configure a auditoria de consulta de log para acompanhar quais usuários estão executando consultas. | A auditoria de consulta de log registra os detalhes de cada consulta executada em um workspace. Trate esses dados de auditoria como dados de segurança e proteja a tabela LAQueryLogs adequadamente. Configure os logs de auditoria para cada workspace a ser enviado para o workspace local ou consolide em um workspace de segurança dedicado se você separar seus dados operacionais e de segurança. Use os insights do workspace do Log Analytics para examinar periodicamente esses dados, e considere a criação de regras de alerta de pesquisa de log para ser notificado proativamente se usuários não autorizados estiverem tentando executar consultas. |
| Garantir a imutabilidade dos dados de auditoria. | O Azure Monitor é uma plataforma de dados somente acréscimo, mas inclui provisionamentos para excluir dados para fins de conformidade. Você pode definir um bloqueio no workspace do Log Analytics para bloquear todas as atividades que podem excluir dados: limpeza, exclusão de tabela e alterações de retenção de dados no nível de tabela ou workspace. No entanto, esse bloqueio ainda pode ser removido. Se precisar de uma solução totalmente à prova de adulterações, recomendamos exportar seus dados para uma solução de armazenamento imutável. Use a exportação de dados para enviar dados para uma conta de armazenamento do Azure com políticas de imutabilidade para proteger contra violação de dados. Nem todos os tipos de logs têm a mesma relevância para conformidade, auditoria ou segurança, portanto, determine os tipos de dados específicos que devem ser exportados. |
| Determine uma estratégia para filtrar ou ofuscar dados confidenciais em seu workspace. | Você pode estar coletando dados que incluem informações confidenciais. Filtre registros que não devem ser coletados usando a configuração da fonte de dados específica. Use uma transformação se apenas colunas específicas nos dados devem ser removidas ou ofuscadas. Se você tiver padrões que exijam que os dados originais não sejam modificados, poderá usar o literal 'h' em consultas KQL para ofuscar os resultados da consulta exibidos nas pastas de trabalho. |
| Limpe dados confidenciais que foram coletados acidentalmente. | Verifique periodicamente se há dados privados que possam ser coletados acidentalmente no seu espaço de trabalho e use a exclusão de dados para removê-los. Atualmente, não é possível limpar dados em tabelas com o plano Auxiliar. |
| Vincule seu espaço de trabalho a um cluster dedicado para obter recursos de segurança avançados, incluindo criptografia dupla usando chaves gerenciadas pelo cliente e sistema de proteção de dados do cliente para Microsoft Azure para aprovar ou rejeitar solicitações de acesso a dados da Microsoft. | O Azure Monitor criptografa todos os dados inativos e as consultas salvas usando chaves gerenciadas pela Microsoft (MMK). Se você coletar dados suficientes para um cluster dedicado, use: - Chaves gerenciadas pelo cliente para maior flexibilidade e controle do ciclo de vida da chave. Se você usar o Microsoft Sentinel, verifique se está familiarizado com as considerações em Configurar a chave gerenciada pelo cliente do Microsoft Sentinel. - Sistema de Proteção de Dados do Cliente para Microsoft Azure para revisar e aprovar ou rejeitar solicitações de acesso a dados do cliente. O Sistema de Proteção de Dados do Cliente é usado quando um engenheiro da Microsoft precisa acessar dados do cliente, seja em resposta a um tíquete de suporte iniciado pelo cliente ou a um problema identificado pela Microsoft. Atualmente, o Lockbox não pode ser aplicado a tabelas com o plano Auxiliar. |
| Use o Protocolo TLS (TLS) 1.2 ou superior para enviar dados ao seu espaço de trabalho usando agentes, conectores e a API de ingestão de Logs. | Para garantir a segurança dos dados em trânsito para o Azure Monitor, use o Protocolo TLS (TLS) 1.2 ou superior. Versões mais antigas do TLS/Secure Sockets Layer (SSL) foram encontradas vulneráveis e enquanto ele ainda estiver atualmente trabalham para permitir a compatibilidade com versões anteriores, eles são não recomendáveis, e o setor está se movendo rapidamente para abandonar o suporte para esses protocolos mais antigos. O PCI Security Standards Council estabeleceu um prazo para 30 de junho de 2018 para desabilitar as versões mais antigas de TLS/SSL e atualizar para protocolos mais seguros. Após o Azure ter descartado o suporte herdado, se seus agentes não conseguirem se comunicar usando no mínimo o TLS 1.3, você não conseguirá enviar dados para os Logs do Azure Monitor. Recomendamos que você NÃO configure seu agente explicitamente para usar somente o TLS 1.3, a menos que isso seja necessário. É preferível permitir que o agente detecte, negocie e aproveite automaticamente os padrões de segurança futuros. Caso contrário, você poderá perder a segurança adicional dos padrões mais recentes e, possivelmente, terá problemas se o TLS 1.3 for eventualmente preterido em favor desses padrões mais recentes. |
Alertas
Lista de verificação de projeto
- Usar chaves gerenciadas pelo cliente se precisar de sua própria chave de criptografia para proteger dados e consultas salvas em seus workspaces
- Usar identidades gerenciadas para aumentar a segurança controlando as permissões
- Atribua a função de leitor de monitoramento para todos os usuários que não precisam de privilégios de configuração
- Use ações de webhook seguras
- Ao usar grupos de ações que usam links privados, use as ações do Hub de eventos
Recomendações de configuração
| Recomendação | Benefício |
|---|---|
| Use as chaves gerenciadas pelo cliente se precisar de sua própria chave de criptografia para proteger dados e consultas salvas nos seus workspaces. | O Azure Monitor garante que todos os dados e consultas salvos sejam criptografados em repouso com as chaves gerenciadas pela Microsoft (MMK). Se você precisar de sua própria chave de criptografia e coletar dados suficientes para um cluster dedicado, use as chaves gerenciadas pelo cliente para obter maior flexibilidade e controle do ciclo de vida da chave. Se você usar o Microsoft Sentinel, verifique se está familiarizado com as considerações em Configurar a chave gerenciada pelo cliente do Microsoft Sentinel. |
| Para controlar permissões para regras de alerta de pesquisa de log, use identidades gerenciadas para suas regras de alerta de pesquisa de log. | Um desafio comum para desenvolvedores é o gerenciamento de segredos, credenciais, certificados e chaves usados para proteger a comunicação entre serviços. As identidades gerenciadas eliminam a necessidade de os desenvolvedores gerenciarem essas credenciais. Definir uma identidade gerenciada para suas regras de alerta de pesquisa de log fornece controle e visibilidade sobre as permissões exatas da regra de alerta. A qualquer momento, você pode exibir as permissões de consulta de sua regra e adicionar ou remover permissões diretamente de sua identidade gerenciada. Além disso, o uso de uma identidade gerenciada é necessário se a consulta de sua regra estiver acessando o Azure Data Explorer (ADX) ou o Azure Resource Graph (ARG). Confira Identidades gerenciadas. |
| Atribua a função de leitor de monitoramento para todos os usuários que não precisam de privilégios de configuração. | Aprimore a segurança fornecendo aos usuários a menor quantidade de privilégios necessários para sua função. Confira Funções, permissões e segurança no Azure Monitor. |
| Sempre que possível, use ações de webhook seguras. | Se a sua regra de alerta contiver um grupo de ações que usa ações de webhook, prefira usar ações de webhook seguras para autenticação adicional. Confira Configurar a autenticação para o webhook seguro |
Monitoramento de máquina virtual
Lista de verificação de projeto
- Use outros serviços para monitorar a segurança das suas VMs.
- Considere usar o link privado do Azure para que as VMs se conectem ao Azure Monitor usando um ponto de extremidade privado.
Recomendações de configuração
| Recomendação | Descrição |
|---|---|
| Use outros serviços para monitorar a segurança das suas VMs. | Embora o Azure Monitor possa coletar eventos de segurança a partir de suas VMs, ele não foi desenvolvido para ser usado como uma ferramenta de monitoramento de segurança. O Azure inclui vários serviços, como o Microsoft Defender para Nuvem e o Microsoft Sentinel, que juntos fornecem uma solução completa de monitoramento de segurança. Confira o tópico Monitoramento de segurança para obter uma comparação desses serviços. |
| Considere usar o link privado do Azure para que as VMs se conectem ao Azure Monitor usando um ponto de extremidade privado. | As conexões com pontos de extremidade públicos são protegidas com criptografia de ponta a ponta. Se você precisar de um ponto de extremidade privado, poderá usar o link privado do Azure para permitir que suas VMs se conectem ao Azure Monitor por meio de redes privadas autorizadas. O link privado também pode ser usado para forçar a ingestão de dados do workspace por meio do ExpressRoute ou de uma VPN. Consulte Projetar sua configuração de Link Privado do Azure para determinar a melhor rede e topologia DNS para seu ambiente. |
Monitoramento de contêineres
Lista de verificação de projeto
- Use a autenticação de identidade gerenciada para que o seu cluster se conecte aos Insights do contêiner.
- Considere usar o link privado do Azure para que seu cluster se conecte ao workspace do Azure Monitor usando um ponto de extremidade privado.
- Use a análise de tráfego para monitorar o tráfego de rede do seu cluster e para ele.
- Habilite observabilidade de rede.
- Verifique a segurança do workspace do Log Analytics que dá suporte aos insights de contêiner.
Recomendações de configuração
| Recomendação | Benefício |
|---|---|
| Use a autenticação de identidade gerenciada para que o seu cluster se conecte aos Insights do contêiner. | A autenticação de identidade gerenciada é o padrão para novos clusters. Se estiver usando a autenticação herdada, você deverá migrar para a identidade gerenciada para remover a autenticação local baseada em certificado. |
| Considere usar o link privado do Azure para que seu cluster se conecte ao workspace do Azure Monitor usando um ponto de extremidade privado. | O serviço gerenciado do Azure para Prometheus armazena seus dados em um workspace do Azure Monitor que usa um ponto de extremidade público por padrão. As conexões com pontos de extremidade públicos são protegidas com criptografia de ponta a ponta. Se você precisar de um ponto de extremidade privado, poderá usar um link Privado do Azure para permitir que seu cluster se conecte ao workspace por meio de redes privadas autorizadas. O link privado também pode ser usado para forçar a ingestão de dados do workspace por meio do ExpressRoute ou de uma VPN. Confira Habilitar link privado para monitoramento do Kubernetes no Azure Monitor para obter detalhes sobre como configurar seu cluster para link privado. Consulte Usar pontos de extremidade privados para o workspace do Prometheus Gerenciado e do Azure Monitor para obter detalhes sobre como consultar seus dados usando um link privado. |
| Use a análise de tráfego para monitorar o tráfego de rede do seu cluster e para ele. | A análise de tráfego analisa os logs de fluxo de NSG do Observador de Rede do Azure para fornecer insights sobre o fluxo de tráfego em sua nuvem do Azure. Use essa ferramenta para garantir que não haja exfiltração de dados para seu cluster e para detectar se algum IPs público desnecessário está exposto. |
| Habilite observabilidade de rede. | O complemento de observabilidade de rede para AKS fornece observabilidade entre as várias camadas na pilha de rede do Kubernetes para monitorar e observar o acesso entre os serviços no cluster (tráfego leste-oeste). |
| Verifique a segurança do workspace do Log Analytics que dá suporte aos insights de contêiner. | Os Insights do contêiner dependem de um workspace do Log Analytics. Consulte Práticas recomendadas para logs do Azure Monitor para obter recomendações para garantir a segurança do workspace. |