Общие сведения и рекомендации по безопасности Azure Monitor
В этой статье содержатся рекомендации по обеспечению безопасности Azure Monitor в рамках Azure Well-Architected Framework.
Рекомендации по безопасности Azure Monitor помогают понять функции безопасности Azure Monitor и настроить их для оптимизации безопасности на основе следующих компонентов:
- Cloud Adoption Framework, который предоставляет рекомендации по безопасности для команд, которые управляют инфраструктурой технологий.
- Azure Well-Architected Framework, которая предоставляет архитектурные рекомендации по созданию безопасных приложений.
- Microsoft Cloud Security Benchmark (MCSB), описывающий доступные функции безопасности и рекомендуемые оптимальные конфигурации.
- Принципы безопасности нулевого доверия, которые предоставляют рекомендации для групп безопасности для реализации технических возможностей для поддержки инициативы модернизации "Нулевое доверие".
Рекомендации, приведенные в этой статье, опирались на модель ответственности майкрософт. В рамках этой модели общей ответственности корпорация Майкрософт предоставляет следующие меры безопасности для клиентов Azure Monitor:
- Безопасность инфраструктуры Azure
- Защита данных клиентов в Azure
- Шифрование передаваемых данных во время приема данных
- Шифрование неактивных данных с помощью управляемых корпорацией Майкрософт ключей
- Проверка подлинности Microsoft Entra для доступа к плоскости данных
- Проверка подлинности агента Azure Monitor и Application Insights с помощью управляемых удостоверений
- Привилегированный доступ к действиям уровня данных с помощью контроль доступа на основе ролей (Azure RBAC)
- Соответствие отраслевым стандартам и нормативным требованиям
Прием журналов и хранение
Контрольный список проектирования
- Настройте доступ к различным типам данных в рабочей области, необходимой для разных ролей в организации.
- Используйте приватный канал Azure, чтобы удалить доступ к рабочей области из общедоступных сетей.
- Настройте аудит запросов журнала для отслеживания того, какие пользователи выполняют запросы.
- Убедитесь, что неизменяемость данных аудита.
- Определите стратегию фильтрации или маскировки конфиденциальных данных в рабочей области.
- Очистка конфиденциальных данных, случайно собранных.
- Свяжите рабочую область с выделенным кластером для расширенных функций безопасности, включая двойное шифрование с помощью управляемых клиентом ключей и блокировки клиента для Microsoft Azure, чтобы утвердить или отклонить запросы на доступ к данным Майкрософт.
- Используйте протокол TLS 1.2 или более поздней версии для отправки данных в рабочую область с помощью агентов, соединителей и API приема журналов.
Рекомендации по настройке
| Рекомендация | Преимущества |
|---|---|
| Настройте доступ к различным типам данных в рабочей области, необходимой для разных ролей в организации. | Задайте режим управления доступом для рабочей области, чтобы использовать разрешения ресурса или рабочей области, чтобы позволить владельцам ресурсов использовать контекст ресурсов для доступа к их данным без предоставления явного доступа к рабочей области. Это упрощает настройку рабочей области и помогает гарантировать, что пользователи не могут получить доступ к данным, которые они не должны. Назначьте соответствующую встроенную роль , чтобы предоставить администраторам разрешения рабочей области на уровне подписки, группы ресурсов или рабочей области в зависимости от их области обязанностей. Применение RBAC уровня таблицы для пользователей, которым требуется доступ к набору таблиц в нескольких ресурсах. Пользователи с разрешениями на таблицу имеют доступ ко всем данным в таблице независимо от их разрешений ресурса. Сведения о различных вариантах предоставления доступа к данным в рабочей области Log Analytics см. в статье "Управление доступом к рабочим областям Log Analytics". |
| Используйте приватный канал Azure, чтобы удалить доступ к рабочей области из общедоступных сетей. | Подключения к общедоступным конечным точкам защищены с помощью сквозного шифрования. Если требуется частная конечная точка, можно использовать приватный канал Azure, чтобы разрешить ресурсам подключаться к рабочей области Log Analytics через авторизованные частные сети. Приватный канал также можно использовать для принудительного приема данных рабочей области через ExpressRoute или VPN. Ознакомьтесь с Приватный канал Azure настройкой Приватный канал Azure, чтобы определить оптимальную топологию сети и DNS для вашей среды. |
| Настройте аудит запросов журнала для отслеживания того, какие пользователи выполняют запросы. | Аудит запросов журнала записывает сведения о каждом запросе, выполняемом в рабочей области. Эти данные аудита обрабатываются как данные безопасности и защищают таблицу LAQueryLogs соответствующим образом. Настройте журналы аудита для каждой рабочей области, отправляемой в локальную рабочую область, или консолидируйте в выделенной рабочей области безопасности, если вы отделяете данные операционной и безопасности. Используйте аналитику рабочей области Log Analytics для периодической проверки этих данных и рекомендуется создавать правила генерации оповещений поиска журналов, чтобы заранее уведомить вас о попытке несанкционированных пользователей выполнять запросы. |
| Убедитесь, что неизменяемость данных аудита. | Azure Monitor — это платформа данных только для добавления, но включает в себя положения для удаления данных в целях соответствия требованиям. Вы можете задать блокировку в рабочей области Log Analytics, чтобы заблокировать все действия, которые могут удалять данные: очистка, удаление таблицы и хранение данных на уровне рабочей области. Однако эта блокировка по-прежнему может быть удалена. Если вам требуется полностью защищенное решение, рекомендуется экспортировать данные в неизменяемое решение для хранения. Используйте экспорт данных для отправки данных в учетную запись хранения Azure с политиками неизменяемости для защиты от изменения данных. Не каждый тип журналов имеет одинаковую релевантность для соответствия, аудита или безопасности, поэтому определите конкретные типы данных, которые следует экспортировать. |
| Определите стратегию фильтрации или маскировки конфиденциальных данных в рабочей области. | Возможно, вы собираете данные, которые включают конфиденциальную информацию. Фильтрация записей, которые не должны собираться с помощью конфигурации для конкретного источника данных. Используйте преобразование, если следует удалить или запутать только определенные столбцы в данных. Если у вас есть стандарты, требующие, чтобы исходные данные были не изменены, можно использовать литерал H в запросах KQL для маскировки результатов запросов, отображаемых в книгах. |
| Очистка конфиденциальных данных, случайно собранных. | Периодически проверяйте частные данные, которые могут случайно собираться в рабочей области и использовать очистку данных для удаления. Данные в таблицах с вспомогательным планом в настоящее время не могут быть удалены. |
| Свяжите рабочую область с выделенным кластером для расширенных функций безопасности, включая двойное шифрование с помощью управляемых клиентом ключей и блокировки клиента для Microsoft Azure, чтобы утвердить или отклонить запросы на доступ к данным Майкрософт. | Azure Monitor шифрует все неактивных и сохраненные запросы с помощью ключей, управляемых Корпорацией Майкрософт (MMK). Если вы собираете достаточно данных для выделенного кластера, используйте: - Управляемые клиентом ключи для повышения гибкости и управления жизненным циклом ключей. Если вы используете Microsoft Sentinel, убедитесь, что вы знакомы с рекомендациями по настройке управляемого клиентом ключа Microsoft Sentinel. - Блокировка клиента для Microsoft Azure для проверки и утверждения или отклонения запросов на доступ к данным клиента. Блокировка клиента используется, когда инженер Майкрософт должен получить доступ к данным клиента, независимо от того, отвечает ли клиент на запрос в службу поддержки, инициированный клиентом, или проблема, обнаруженная корпорацией Майкрософт. В настоящее время блокировка не может применяться к таблицам с вспомогательным планом. |
| Используйте протокол TLS 1.2 или более поздней версии для отправки данных в рабочую область с помощью агентов, соединителей и API приема журналов. | Чтобы обеспечить безопасность передаваемых данных в Azure Monitor, используйте протокол TLS 1.2 или более поздней версии. Более старые версии протоколов TLS/SSL оказались уязвимы. Хотя они все еще используются для обеспечения обратной совместимости, применять их не рекомендуется, так как представители отрасли стремятся как можно скорее отказаться от их поддержки. Совет по стандартам безопасности PCI установил крайний срок (30 июня 2018 года) для отказа от старых версий протоколов TLS или SSL и перехода на более безопасные протоколы. После удаления устаревшей поддержки Azure агенты не смогут обмениваться данными по протоколу TLS 1.3, вы не сможете отправлять данные в журналы Azure Monitor. Рекомендуется не явно задать агенту только протокол TLS 1.3, если это не необходимо. Лучше всего предоставить агенту возможность автоматического обнаружения, согласования и использования перспективных стандартов безопасности. В противном случае вы можете пропустить добавленную безопасность новых стандартов и, возможно, возникнуть проблемы, если TLS 1.3 когда-либо устарел в пользу этих новых стандартов. |
видны узлы
Контрольный список проектирования
- Используйте управляемые клиентом ключи, если вам нужен собственный ключ шифрования для защиты данных и сохраненных запросов в рабочих областях.
- Использование управляемых удостоверений для повышения безопасности путем управления разрешениями
- Назначение роли читателя мониторинга для всех пользователей, которым не нужны права конфигурации
- Использование безопасных действий веб-перехватчика
- При использовании групп действий, использующих частные ссылки, используйте действия концентратора событий
Рекомендации по настройке
| Рекомендация | Преимущества |
|---|---|
| Используйте управляемые клиентом ключи , если вам нужен собственный ключ шифрования для защиты данных и сохраненных запросов в рабочих областях. | Azure Monitor обеспечивает шифрование всех неактивных данных и сохраненных запросов с помощью управляемых Майкрософт ключей (MMK). Если требуется собственный ключ шифрования и сбор достаточно данных для выделенного кластера, используйте управляемые клиентом ключи для повышения гибкости и управления жизненным циклом ключей. Если вы используете Microsoft Sentinel, убедитесь, что вы знакомы с рекомендациями по настройке управляемого клиентом ключа Microsoft Sentinel. |
| Чтобы управлять разрешениями для правил генерации оповещений поиска журналов, используйте управляемые удостоверения для правил генерации оповещений поиска по журналам. | Управление секретами, учетными данными, сертификатами и ключами, используемыми для защиты обмена данными между различными службами, зачастую представляет трудности для разработчиков. Управляемые удостоверения избавляют разработчиков от необходимости управлять учетными данными. Настройка управляемого удостоверения для правил генерации оповещений поиска по журналам позволяет контролировать и просматривать точные разрешения правила генерации оповещений. В любое время вы можете просматривать разрешения запроса правила и добавлять или удалять разрешения непосредственно из управляемого удостоверения. Кроме того, использование управляемого удостоверения требуется, если запрос правила обращается к Azure Data Explorer (ADX) или Azure Resource Graph (ARG). См. Управляемые удостоверения. |
| Назначьте роль средства чтения мониторинга для всех пользователей, которым не нужны права конфигурации. | Повышение безопасности путем предоставления пользователям наименьшего количества привилегий, необходимых для их роли. См . статью "Роли", "Разрешения" и "Безопасность" в Azure Monitor. |
| По возможности используйте безопасные действия веб-перехватчика. | Если правило генерации оповещений содержит группу действий, использующую действия веб-перехватчика, предпочитайте использовать безопасные действия веб-перехватчика для дополнительной проверки подлинности. См. раздел "Настройка проверки подлинности для безопасного веб-перехватчика" |
Мониторинг виртуальных машин
Контрольный список проектирования
- Используйте другие службы для мониторинга безопасности виртуальных машин.
- Рекомендуется использовать приватный канал Azure для виртуальных машин для подключения к Azure Monitor с помощью частной конечной точки.
Рекомендации по настройке
| Рекомендация | Description |
|---|---|
| Используйте другие службы для мониторинга безопасности виртуальных машин. | Хотя Azure Monitor может собирать события безопасности с виртуальных машин, он не предназначен для мониторинга безопасности. Azure включает несколько служб, таких как Microsoft Defender для облака и Microsoft Sentinel, которые вместе предоставляют полное решение для мониторинга безопасности. См . мониторинг безопасности для сравнения этих служб. |
| Рекомендуется использовать приватный канал Azure для виртуальных машин для подключения к Azure Monitor с помощью частной конечной точки. | Подключения к общедоступным конечным точкам защищены с помощью сквозного шифрования. Если требуется частная конечная точка, вы можете использовать приватный канал Azure, чтобы разрешить виртуальным машинам подключаться к Azure Monitor через авторизованные частные сети. Приватный канал также можно использовать для принудительного приема данных рабочей области через ExpressRoute или VPN. Ознакомьтесь с Приватный канал Azure настройкой Приватный канал Azure, чтобы определить оптимальную топологию сети и DNS для вашей среды. |
Мониторинг контейнеров
Контрольный список проектирования
- Используйте проверку подлинности управляемого удостоверения для подключения кластера к аналитике контейнеров.
- Попробуйте использовать приватный канал Azure для подключения кластера к рабочей области Azure Monitor с помощью частной конечной точки.
- Используйте аналитику трафика для мониторинга сетевого трафика в кластер и из нее.
- Включите наблюдаемость сети.
- Обеспечение безопасности рабочей области Log Analytics, поддерживающей аналитику контейнеров.
Рекомендации по настройке
| Рекомендация | Преимущества |
|---|---|
| Используйте проверку подлинности управляемого удостоверения для подключения кластера к аналитике контейнеров. | Проверка подлинности управляемого удостоверения используется по умолчанию для новых кластеров. Если вы используете устаревшую проверку подлинности, необходимо выполнить миграцию на управляемое удостоверение , чтобы удалить локальную проверку подлинности на основе сертификатов. |
| Попробуйте использовать приватный канал Azure для подключения кластера к рабочей области Azure Monitor с помощью частной конечной точки. | Управляемая служба Azure для Prometheus хранит свои данные в рабочей области Azure Monitor, которая использует общедоступную конечную точку по умолчанию. Подключения к общедоступным конечным точкам защищены с помощью сквозного шифрования. Если требуется частная конечная точка, можно использовать приватный канал Azure, чтобы разрешить кластеру подключаться к рабочей области через авторизованные частные сети. Приватный канал также можно использовать для принудительного приема данных рабочей области через ExpressRoute или VPN. Дополнительные сведения о настройке кластера для приватного канала см. в статье "Включение приватного канала" для мониторинга Kubernetes в Azure Monitor . Дополнительные сведения об запросе данных с помощью приватного канала см. в статье "Использование частных конечных точек для управляемого prometheus" и рабочей области Azure Monitor. |
| Используйте аналитику трафика для мониторинга сетевого трафика в кластер и из нее. | Аналитика трафика анализирует журналы потоков NSG Azure Наблюдатель за сетями для предоставления аналитических сведений о потоке трафика в облаке Azure. Используйте это средство, чтобы убедиться, что для кластера нет кражи данных и определить, предоставляются ли какие-либо ненужные общедоступные IP-адреса. |
| Включите наблюдаемость сети. | Надстройка "Наблюдаемость сети" для AKS обеспечивает наблюдаемость на нескольких уровнях в сетевом стеке Kubernetes. отслеживайте и отслеживайте доступ между службами в кластере (трафик на востоке- запад). |
| Обеспечение безопасности рабочей области Log Analytics, поддерживающей аналитику контейнеров. | Аналитика контейнеров использует рабочую область Log Analytics. Рекомендации по обеспечению безопасности рабочей области см . в рекомендациях по журналам Azure Monitor. |