Visão geral e diretrizes de segurança do Azure Monitor
Este artigo fornece diretrizes de segurança para o Azure Monitor como parte do Azure Well-Architected Framework.
As diretrizes de segurança do Azure Monitor ajudam você a entender os recursos de segurança do Azure Monitor e como configurá-los para otimizar a segurança com base em:
- Cloud Adoption Framework, que fornece orientação de segurança para equipes que gerenciam a infraestrutura de tecnologia.
- Azure Well-Architected Framework, que fornece práticas recomendadas de arquitetura para criar aplicativos seguros.
- Microsoft cloud security benchmark (MCSB), que descreve os recursos de segurança disponíveis e as configurações ideais recomendadas.
- Princípios de segurança Zero Trust, que fornece orientação para as equipes de segurança implementarem recursos técnicos para dar suporte a uma iniciativa de modernização Zero Trust.
As diretrizes neste artigo baseiam-se no modelo de responsabilidade de segurança da Microsoft. Como parte desse modelo de responsabilidade compartilhada, a Microsoft fornece estas medidas de segurança para os clientes do Azure Monitor:
- Segurança de infraestrutura do Azure
- Proteção de dados do cliente do Azure
- Encriptação dos dados em trânsito durante a ingestão de dados
- Criptografia de dados em repouso com chaves gerenciadas pela Microsoft
- Autenticação do Microsoft Entra para acesso ao plano de dados
- Autenticação do Azure Monitor Agent e do Application Insights usando identidades gerenciadas
- Acesso privilegiado a ações do plano de dados usando o Controle de Acesso Baseado em Função (RBAC do Azure)
- Conformidade com as normas e regulamentações do setor
Ingestão e armazenamento de logs
Lista de verificação de estruturação
- Configure o acesso para diferentes tipos de dados no espaço de trabalho necessário para diferentes funções em sua organização.
- Use o link privado do Azure para remover o acesso ao seu espaço de trabalho de redes públicas.
- Configure a auditoria de consulta de log para controlar quais usuários estão executando consultas.
- Garantir a imutabilidade dos dados de auditoria.
- Determine uma estratégia para filtrar ou ofuscar dados confidenciais em seu espaço de trabalho.
- Limpe dados confidenciais que foram coletados acidentalmente.
- Vincule seu espaço de trabalho a um cluster dedicado para recursos de segurança aprimorados, incluindo criptografia dupla usando chaves gerenciadas pelo cliente e o Lockbox for Microsoft Azure do cliente para aprovar ou rejeitar solicitações de acesso a dados da Microsoft.
- Use o Transport Layer Security (TLS) 1.2 ou superior para enviar dados para seu espaço de trabalho usando agentes, conectores e a API de ingestão de logs.
Recomendações de configuração
| Recomendação | Benefício |
|---|---|
| Configure o acesso para diferentes tipos de dados no espaço de trabalho necessário para diferentes funções em sua organização. | Defina o modo de controle de acesso para o espaço de trabalho como Usar permissões de recurso ou espaço de trabalho para permitir que os proprietários de recursos usem o contexto de recursos para acessar seus dados sem receber acesso explícito ao espaço de trabalho. Isso simplifica a configuração do espaço de trabalho e ajuda a garantir que os usuários não consigam acessar dados que não deveriam. Atribua a função interna apropriada para conceder permissões de espaço de trabalho aos administradores no nível de assinatura, grupo de recursos ou espaço de trabalho, dependendo do escopo de suas responsabilidades. Aplique RBAC de nível de tabela para usuários que precisam de acesso a um conjunto de tabelas em vários recursos. Os usuários com permissões de tabela têm acesso a todos os dados na tabela, independentemente de suas permissões de recurso. Consulte Gerenciar acesso a espaços de trabalho do Log Analytics para obter detalhes sobre as diferentes opções para conceder acesso aos dados no espaço de trabalho. |
| Use o link privado do Azure para remover o acesso ao seu espaço de trabalho de redes públicas. | As conexões com pontos de extremidade públicos são protegidas com criptografia de ponta a ponta. Se você precisar de um ponto de extremidade privado, poderá usar o link privado do Azure para permitir que os recursos se conectem ao seu espaço de trabalho do Log Analytics por meio de redes privadas autorizadas. O link privado também pode ser usado para forçar a ingestão de dados do espaço de trabalho por meio da Rota Expressa ou de uma VPN. Consulte Projetar sua configuração de Link Privado do Azure para determinar a melhor topologia de rede e DNS para seu ambiente. |
| Configure a auditoria de consulta de log para controlar quais usuários estão executando consultas. | A auditoria de consulta de log registra os detalhes de cada consulta executada em um espaço de trabalho. Trate esses dados de auditoria como dados de segurança e proteja a tabela LAQueryLogs adequadamente. Configure os logs de auditoria para cada espaço de trabalho a ser enviado para o espaço de trabalho local ou consolide em um espaço de trabalho de segurança dedicado se você separar seus dados operacionais e de segurança. Use as informações do espaço de trabalho do Log Analytics para revisar periodicamente esses dados e considere a criação de regras de alerta de pesquisa de log para notificá-lo proativamente se usuários não autorizados estiverem tentando executar consultas. |
| Garantir a imutabilidade dos dados de auditoria. | O Azure Monitor é uma plataforma de dados somente acréscimo, mas inclui disposições para excluir dados para fins de conformidade. Você pode definir um bloqueio no espaço de trabalho do Log Analytics para bloquear todas as atividades que possam excluir dados: limpar, excluir tabela e alterações de retenção de dados no nível da tabela ou do espaço de trabalho. No entanto, este bloqueio ainda pode ser removido. Se você precisar de uma solução totalmente inviolável, recomendamos exportar seus dados para uma solução de armazenamento imutável. Use a exportação de dados para enviar dados para uma conta de armazenamento do Azure com políticas de imutabilidade para proteger contra adulteração de dados. Nem todos os tipos de logs têm a mesma relevância para conformidade, auditoria ou segurança, portanto, determine os tipos de dados específicos que devem ser exportados. |
| Determine uma estratégia para filtrar ou ofuscar dados confidenciais em seu espaço de trabalho. | Você pode estar coletando dados que incluem informações confidenciais. Filtre registros que não devem ser coletados usando a configuração para a fonte de dados específica. Use uma transformação se apenas colunas específicas nos dados devem ser removidas ou ofuscadas. Se você tiver padrões que exijam que os dados originais não sejam modificados, poderá usar o literal 'h' nas consultas KQL para ofuscar os resultados da consulta exibidos nas pastas de trabalho. |
| Limpe dados confidenciais que foram coletados acidentalmente. | Verifique periodicamente se há dados privados que possam ser coletados acidentalmente em seu espaço de trabalho e use a limpeza de dados para removê-los. Os dados em tabelas com o plano Auxiliar não podem ser limpos no momento. |
| Vincule seu espaço de trabalho a um cluster dedicado para recursos de segurança aprimorados, incluindo criptografia dupla usando chaves gerenciadas pelo cliente e o Lockbox for Microsoft Azure do cliente para aprovar ou rejeitar solicitações de acesso a dados da Microsoft. | O Azure Monitor criptografa todos os dados em repouso e consultas salvas usando chaves gerenciadas pela Microsoft (MMK). Se você coletar dados suficientes para um cluster dedicado, use: - Chaves gerenciadas pelo cliente para maior flexibilidade e controle do ciclo de vida das chaves. Se você usa o Microsoft Sentinel, certifique-se de que está familiarizado com as considerações em Configurar a chave gerenciada pelo cliente do Microsoft Sentinel. - Customer Lockbox for Microsoft Azure para rever e aprovar ou rejeitar pedidos de acesso a dados de clientes. O Customer Lockbox é usado quando um engenheiro da Microsoft precisa acessar dados do cliente, seja em resposta a um tíquete de suporte iniciado pelo cliente ou a um problema identificado pela Microsoft. Atualmente, o Lockbox não pode ser aplicado a tabelas com o plano Auxiliar. |
| Use o Transport Layer Security (TLS) 1.2 ou superior para enviar dados para seu espaço de trabalho usando agentes, conectores e a API de ingestão de logs. | Para garantir a segurança dos dados em trânsito para o Azure Monitor, use o Transport Layer Security (TLS) 1.2 ou superior. Versões mais antigas do TLS/Secure Sockets Layer (SSL) foram consideradas vulneráveis e, embora ainda funcionem atualmente para permitir compatibilidade com versões anteriores, elas não são recomendadas, e a indústria está se movendo rapidamente para abandonar o suporte para esses protocolos mais antigos. O PCI Security Standards Council estabeleceu um prazo de 30 de junho de 2018 para desativar versões mais antigas do TLS/SSL e atualizar para protocolos mais seguros. Depois que o Azure descartar o suporte herdado, se seus agentes não puderem se comunicar pelo menos pelo TLS 1.3, você não poderá enviar dados para os Logs do Azure Monitor. Recomendamos que você NÃO defina explicitamente seu agente para usar apenas o TLS 1.3, a menos que seja necessário. É preferível permitir que o agente detete, negocie e aproveite automaticamente os futuros padrões de segurança. Caso contrário, você pode perder a segurança adicional dos padrões mais recentes e possivelmente enfrentar problemas se o TLS 1.3 for preterido em favor desses padrões mais recentes. |
Alertas
Lista de verificação de estruturação
- Use chaves gerenciadas pelo cliente se precisar de sua própria chave de criptografia para proteger dados e consultas salvas em seus espaços de trabalho
- Use identidades gerenciadas para aumentar a segurança controlando permissões
- Atribua a função de leitor de monitoramento para todos os usuários que não precisam de privilégios de configuração
- Use ações seguras de webhook
- Ao usar grupos de ação que usam links privados, use ações do hub de eventos
Recomendações de configuração
| Recomendação | Benefício |
|---|---|
| Use chaves gerenciadas pelo cliente se precisar de sua própria chave de criptografia para proteger dados e consultas salvas em seus espaços de trabalho. | O Azure Monitor assegura que todos os dados e consultas guardadas são encriptados em suportes digitais mediante a utilização de chaves geridas pela Microsoft (MMK). Se você precisar de sua própria chave de criptografia e coletar dados suficientes para um cluster dedicado, use chaves gerenciadas pelo cliente para maior flexibilidade e controle do ciclo de vida da chave. Se você usa o Microsoft Sentinel, certifique-se de que está familiarizado com as considerações em Configurar a chave gerenciada pelo cliente do Microsoft Sentinel. |
| Para controlar as permissões para regras de alerta de pesquisa de log, use identidades gerenciadas para suas regras de alerta de pesquisa de log. | Um desafio comum que os programadores enfrentam é a gestão de segredos, credenciais, certificados e chaves utilizados na proteção da comunicação entre serviços. As identidades gerenciadas eliminam a necessidade de os desenvolvedores gerenciarem essas credenciais. Definir uma identidade gerenciada para suas regras de alerta de pesquisa de log oferece controle e visibilidade sobre as permissões exatas da regra de alerta. A qualquer momento, você pode exibir as permissões de consulta da regra e adicionar ou remover permissões diretamente de sua identidade gerenciada. Além disso, o uso de uma identidade gerenciada é necessário se a consulta da regra estiver acessando o Azure Data Explorer (ADX) ou o Azure Resource Graph (ARG). Consulte Identidades Geridas. |
| Atribua a função de leitor de monitoramento para todos os usuários que não precisam de privilégios de configuração. | Melhore a segurança dando aos usuários a menor quantidade de privilégios necessários para sua função. Consulte Funções, permissões e segurança no Azure Monitor. |
| Sempre que possível, use ações seguras de webhook. | Se sua regra de alerta contiver um grupo de ações que usa ações de webhook, prefira usar ações seguras de webhook para autenticação adicional. Consulte Configurar autenticação para webhook seguro |
Monitoramento de máquinas virtuais
Lista de verificação de estruturação
- Use outros serviços para monitoramento de segurança de suas VMs.
- Considere usar o link privado do Azure para VMs se conectarem ao Azure Monitor usando um ponto de extremidade privado.
Recomendações de configuração
| Recomendação | Description |
|---|---|
| Use outros serviços para monitoramento de segurança de suas VMs. | Embora o Azure Monitor possa coletar eventos de segurança de suas VMs, ele não se destina a ser usado para monitoramento de segurança. O Azure inclui vários serviços, como o Microsoft Defender for Cloud e o Microsoft Sentinel , que, em conjunto, fornecem uma solução completa de monitorização de segurança. Consulte Monitoramento de segurança para obter uma comparação desses serviços. |
| Considere usar o link privado do Azure para VMs se conectarem ao Azure Monitor usando um ponto de extremidade privado. | As conexões com pontos de extremidade públicos são protegidas com criptografia de ponta a ponta. Se você precisar de um ponto de extremidade privado, poderá usar o link privado do Azure para permitir que suas VMs se conectem ao Azure Monitor por meio de redes privadas autorizadas. O link privado também pode ser usado para forçar a ingestão de dados do espaço de trabalho por meio da Rota Expressa ou de uma VPN. Consulte Projetar sua configuração de Link Privado do Azure para determinar a melhor topologia de rede e DNS para seu ambiente. |
Monitorização de contentores
Lista de verificação de estruturação
- Use a autenticação de identidade gerenciada para seu cluster para se conectar ao Container insights.
- Considere usar o link privado do Azure para que seu cluster se conecte ao seu espaço de trabalho do Azure Monitor usando um ponto de extremidade privado.
- Use a análise de tráfego para monitorar o tráfego de rede de e para o cluster.
- Habilite a observabilidade da rede.
- Garanta a segurança do espaço de trabalho do Log Analytics com suporte a insights de contêiner.
Recomendações de configuração
| Recomendação | Benefício |
|---|---|
| Use a autenticação de identidade gerenciada para seu cluster para se conectar ao Container insights. | A autenticação de identidade gerenciada é o padrão para novos clusters. Se você estiver usando a autenticação herdada, deverá migrar para a identidade gerenciada para remover a autenticação local baseada em certificado. |
| Considere usar o link privado do Azure para que seu cluster se conecte ao seu espaço de trabalho do Azure Monitor usando um ponto de extremidade privado. | O serviço gerenciado do Azure para Prometheus armazena seus dados em um espaço de trabalho do Azure Monitor que usa um ponto de extremidade público por padrão. As conexões com pontos de extremidade públicos são protegidas com criptografia de ponta a ponta. Se você precisar de um ponto de extremidade privado, poderá usar o link privado do Azure para permitir que seu cluster se conecte ao espaço de trabalho por meio de redes privadas autorizadas. O link privado também pode ser usado para forçar a ingestão de dados do espaço de trabalho por meio da Rota Expressa ou de uma VPN. Consulte Habilitar link privado para monitoramento do Kubernetes no Azure Monitor para obter detalhes sobre como configurar seu cluster para link privado. Consulte Usar pontos de extremidade privados para o Prometheus gerenciado e o espaço de trabalho do Azure Monitor para obter detalhes sobre como consultar seus dados usando o link privado. |
| Use a análise de tráfego para monitorar o tráfego de rede de e para o cluster. | A análise de tráfego analisa os logs de fluxo NSG do Azure Network Watcher para fornecer informações sobre o fluxo de tráfego na sua nuvem do Azure. Use essa ferramenta para garantir que não haja exfiltração de dados para seu cluster e para detetar se IPs públicos desnecessários estão expostos. |
| Habilite a observabilidade da rede. | O complemento de observabilidade de rede para AKS fornece observabilidade através das várias camadas na pilha de rede do Kubernetes. monitorar e observar o acesso entre serviços no cluster (tráfego leste-oeste). |
| Garanta a segurança do espaço de trabalho do Log Analytics com suporte a insights de contêiner. | O Container insights depende de um espaço de trabalho do Log Analytics. Consulte Práticas recomendadas para Logs do Azure Monitor para obter recomendações para garantir a segurança do espaço de trabalho. |