Säkerhetsöversikt och riktlinjer för Azure Monitor
Den här artikeln innehåller säkerhetsriktlinjer för Azure Monitor som en del av Azure Well-Architected Framework.
Azure Monitor-säkerhetsriktlinjer hjälper dig att förstå säkerhetsfunktionerna i Azure Monitor och hur du konfigurerar dem för att optimera säkerheten baserat på:
- Cloud Adoption Framework, som ger säkerhetsvägledning för team som hanterar teknikinfrastrukturen.
- Azure Well-Architected Framework, som tillhandahåller metodtips för arkitektur för att skapa säkra program.
- Microsoft Cloud Security Benchmark (MCSB) som beskriver tillgängliga säkerhetsfunktioner och rekommenderade optimala konfigurationer.
- Nolltillit säkerhetsprinciper, som ger vägledning för säkerhetsteam att implementera tekniska funktioner för att stödja ett Nolltillit moderniseringsinitiativ.
Riktlinjerna i den här artikeln bygger på Microsofts säkerhetsansvarsmodell. Som en del av den här modellen med delat ansvar tillhandahåller Microsoft dessa säkerhetsåtgärder för Azure Monitor-kunder:
- Säkerhet i Azure-infrastruktur
- Azure-kunddataskydd
- Kryptering av data under överföring under datainmatning
- Kryptering av vilande data med Microsoft-hanterade nycklar
- Microsoft Entra-autentisering för dataplansåtkomst
- Autentisering av Azure Monitor Agent och Application Insights med hanterade identiteter
- Privilegierad åtkomst till dataplansåtgärder med rollbaserad åtkomstkontroll (Azure RBAC)
- Efterlevnad av branschstandarder och föreskrifter
Logginmatning och lagring
Checklista för design
- Konfigurera åtkomst för olika typer av data på den arbetsyta som krävs för olika roller i din organisation.
- Använd en privat Azure-länk för att ta bort åtkomsten till din arbetsyta från offentliga nätverk.
- Konfigurera loggfrågegranskning för att spåra vilka användare som kör frågor.
- Se till att granskningsdata inte är oföränderliga.
- Fastställ en strategi för att filtrera eller dölja känsliga data på din arbetsyta.
- Rensa känsliga data som har samlats in av misstag.
- Länka din arbetsyta till ett dedikerat kluster för förbättrade säkerhetsfunktioner, inklusive dubbel kryptering med hjälp av kundhanterade nycklar och kundlåsbox för Microsoft Azure för att godkänna eller avvisa Begäranden om Microsoft-dataåtkomst.
- Använd Transport Layer Security (TLS) 1.2 eller senare för att skicka data till din arbetsyta med hjälp av agenter, anslutningsappar och API för logginmatning.
Konfigurationsrekommendationer
| Rekommendation | Förmån |
|---|---|
| Konfigurera åtkomst för olika typer av data på den arbetsyta som krävs för olika roller i din organisation. | Ange åtkomstkontrollläget för arbetsytan till Använd resurs- eller arbetsytebehörigheter så att resursägare kan använda resurskontext för att komma åt sina data utan att beviljas explicit åtkomst till arbetsytan. Detta förenklar konfigurationen av arbetsytan och hjälper till att se till att användarna inte kan komma åt data som de inte bör ha. Tilldela lämplig inbyggd roll för att bevilja arbetsytebehörigheter till administratörer på prenumerations-, resursgrupps- eller arbetsytenivå beroende på deras ansvarsområde. Tillämpa RBAC på tabellnivå för användare som behöver åtkomst till en uppsättning tabeller över flera resurser. Användare med tabellbehörigheter har åtkomst till alla data i tabellen oavsett deras resursbehörigheter. Mer information om de olika alternativen för att bevilja åtkomst till data på arbetsytan finns i Hantera åtkomst till Log Analytics-arbetsytor . |
| Använd en privat Azure-länk för att ta bort åtkomsten till din arbetsyta från offentliga nätverk. | Anslutningar till offentliga slutpunkter skyddas med kryptering från slutpunkt till slutpunkt. Om du behöver en privat slutpunkt kan du använda en privat Azure-länk för att tillåta att resurser ansluter till din Log Analytics-arbetsyta via auktoriserade privata nätverk. Privat länk kan också användas för att tvinga datainmatning av arbetsytor via ExpressRoute eller ett VPN. Se Designa din Azure Private Link-konfiguration för att fastställa den bästa nätverks- och DNS-topologin för din miljö. |
| Konfigurera loggfrågegranskning för att spåra vilka användare som kör frågor. | Loggfrågegranskning registrerar information för varje fråga som körs på en arbetsyta. Behandla dessa granskningsdata som säkerhetsdata och skydda LAQueryLogs-tabellen på lämpligt sätt. Konfigurera granskningsloggarna för varje arbetsyta som ska skickas till den lokala arbetsytan eller konsolidera i en dedikerad säkerhetsarbetsyta om du separerar dina drift- och säkerhetsdata. Använd Log Analytics-arbetsyteinsikter för att regelbundet granska dessa data och överväg att skapa varningsregler för loggsökning för att proaktivt meddela dig om obehöriga användare försöker köra frågor. |
| Se till att granskningsdata inte är oföränderliga. | Azure Monitor är en tilläggsbaserad dataplattform, men innehåller bestämmelser för att ta bort data i efterlevnadssyfte. Du kan ange ett lås på Log Analytics-arbetsytan för att blockera alla aktiviteter som kan ta bort data: rensa, ta bort tabeller och datakvarhållningsändringar på tabell- eller arbetsytenivå. Det här låset kan dock fortfarande tas bort. Om du behöver en helt manipulationssäker lösning rekommenderar vi att du exporterar dina data till en oföränderlig lagringslösning. Använd dataexport för att skicka data till ett Azure Storage-konto med oföränderliga principer för att skydda mot datamanipulering. Alla typer av loggar har inte samma relevans för efterlevnad, granskning eller säkerhet, så bestäm vilka specifika datatyper som ska exporteras. |
| Fastställ en strategi för att filtrera eller dölja känsliga data på din arbetsyta. | Du kanske samlar in data som innehåller känslig information. Filtrera poster som inte ska samlas in med hjälp av konfigurationen för den specifika datakällan. Använd en transformering om endast vissa kolumner i data ska tas bort eller döljas. Om du har standarder som kräver att ursprungliga data är oförändrade kan du använda "h"-literalen i KQL-frågor för att dölja frågeresultat som visas i arbetsböcker. |
| Rensa känsliga data som har samlats in av misstag. | Kontrollera regelbundet om det finns privata data som av misstag samlas in på din arbetsyta och använd datarensning för att ta bort dem. Data i tabeller med hjälpplanen kan för närvarande inte rensas. |
| Länka din arbetsyta till ett dedikerat kluster för förbättrade säkerhetsfunktioner, inklusive dubbel kryptering med hjälp av kundhanterade nycklar och kundlåsbox för Microsoft Azure för att godkänna eller avvisa Begäranden om Microsoft-dataåtkomst. | Azure Monitor krypterar alla vilande data och sparade frågor med hjälp av Microsoft-hanterade nycklar (MMK). Om du samlar in tillräckligt med data för ett dedikerat kluster använder du: - Kundhanterade nycklar för större flexibilitet och nyckellivscykelkontroll. Om du använder Microsoft Sentinel kontrollerar du att du är bekant med övervägandena i Konfigurera kundhanterad nyckel för Microsoft Sentinel. - Customer Lockbox för Microsoft Azure för att granska och godkänna eller avvisa begäranden om åtkomst till kunddata. Customer Lockbox används när en Microsoft-tekniker behöver komma åt kunddata, oavsett om det är ett svar på ett kundinitierat supportärende eller ett problem som microsoft har identifierat. Låsbox kan för närvarande inte tillämpas på tabeller med hjälpplanen. |
| Använd Transport Layer Security (TLS) 1.2 eller senare för att skicka data till din arbetsyta med hjälp av agenter, anslutningsappar och API för logginmatning. | För att säkerställa säkerheten för data som överförs till Azure Monitor använder du TLS (Transport Layer Security) 1.2 eller senare. Äldre versioner av TLS/Secure Sockets Layer (SSL) har visat sig vara sårbara och även om de fortfarande arbetar för att tillåta bakåtkompatibilitet rekommenderas de inte, och branschen övergår snabbt till att överge stödet för dessa äldre protokoll. PCI Security Standards Council har fastställt en tidsfrist till den 30 juni 2018 för att inaktivera äldre versioner av TLS/SSL och uppgradera till säkrare protokoll. Om dina agenter inte kan kommunicera över minst TLS 1.3 när Azure har upphört med det äldre stödet kan du inte skicka data till Azure Monitor-loggar. Vi rekommenderar att du inte uttryckligen anger att din agent endast ska använda TLS 1.3 om det inte behövs. Att tillåta agenten att automatiskt identifiera, förhandla och dra nytta av framtida säkerhetsstandarder är att föredra. Annars kan du missa den extra säkerheten för de nyare standarderna och eventuellt uppleva problem om TLS 1.3 någonsin är inaktuell till förmån för dessa nyare standarder. |
Aviseringar
Checklista för design
- Använd kundhanterade nycklar om du behöver din egen krypteringsnyckel för att skydda data och sparade frågor på dina arbetsytor
- Använda hanterade identiteter för att öka säkerheten genom att kontrollera behörigheter
- Tilldela rollen övervakningsläsare för alla användare som inte behöver konfigurationsprivilegier
- Använda säkra webhook-åtgärder
- När du använder åtgärdsgrupper som använder privata länkar använder du Händelsehubbåtgärder
Konfigurationsrekommendationer
| Rekommendation | Förmån |
|---|---|
| Använd kundhanterade nycklar om du behöver din egen krypteringsnyckel för att skydda data och sparade frågor på dina arbetsytor. | Azure Monitor säkerställer att alla data och sparade frågor krypteras i vila med hjälp av Microsoft-hanterade nycklar (MMK). Om du behöver din egen krypteringsnyckel och samlar in tillräckligt med data för ett dedikerat kluster använder du kundhanterade nycklar för större flexibilitet och nyckellivscykelkontroll. Om du använder Microsoft Sentinel kontrollerar du att du är bekant med övervägandena i Konfigurera kundhanterad nyckel för Microsoft Sentinel. |
| Om du vill kontrollera behörigheter för aviseringsregler för loggsökning använder du hanterade identiteter för dina aviseringsregler för loggsökning. | Att hantera hemligheter, autentiseringsuppgifter, certifikat och nycklar som används för att skydda kommunikationen mellan olika tjänster kan vara en utmaning för utvecklare. Hanterade identiteter eliminerar behovet av att utvecklare hanterar dessa autentiseringsuppgifter. Om du anger en hanterad identitet för aviseringsreglerna för loggsökning får du kontroll och insyn i de exakta behörigheterna för aviseringsregeln. När som helst kan du visa regelns frågebehörigheter och lägga till eller ta bort behörigheter direkt från dess hanterade identitet. Dessutom krävs det att du använder en hanterad identitet om regelns fråga har åtkomst till Azure Data Explorer (ADX) eller Azure Resource Graph (ARG). Se Hanterade identiteter. |
| Tilldela rollen övervakningsläsare för alla användare som inte behöver konfigurationsprivilegier. | Förbättra säkerheten genom att ge användarna den minsta mängd privilegier som krävs för deras roll. Se Roller, behörigheter och säkerhet i Azure Monitor. |
| Använd om möjligt säkra webhook-åtgärder. | Om din aviseringsregel innehåller en åtgärdsgrupp som använder webhook-åtgärder föredrar du att använda säkra webhook-åtgärder för ytterligare autentisering. Se Konfigurera autentisering för säker webhook |
Övervakning av virtuella datorer
Checklista för design
- Använd andra tjänster för säkerhetsövervakning av dina virtuella datorer.
- Överväg att använda en privat Azure-länk för virtuella datorer för att ansluta till Azure Monitor med hjälp av en privat slutpunkt.
Konfigurationsrekommendationer
| Rekommendation | beskrivning |
|---|---|
| Använd andra tjänster för säkerhetsövervakning av dina virtuella datorer. | Även om Azure Monitor kan samla in säkerhetshändelser från dina virtuella datorer är det inte avsett att användas för säkerhetsövervakning. Azure innehåller flera tjänster som Microsoft Defender för molnet och Microsoft Sentinel som tillsammans tillhandahåller en komplett säkerhetsövervakningslösning. Se Säkerhetsövervakning för en jämförelse av dessa tjänster. |
| Överväg att använda en privat Azure-länk för virtuella datorer för att ansluta till Azure Monitor med hjälp av en privat slutpunkt. | Anslutningar till offentliga slutpunkter skyddas med kryptering från slutpunkt till slutpunkt. Om du behöver en privat slutpunkt kan du använda en privat Azure-länk för att tillåta att dina virtuella datorer ansluter till Azure Monitor via auktoriserade privata nätverk. Privat länk kan också användas för att tvinga datainmatning av arbetsytor via ExpressRoute eller ett VPN. Se Designa din Azure Private Link-konfiguration för att fastställa den bästa nätverks- och DNS-topologin för din miljö. |
Containerövervakning
Checklista för design
- Använd hanterad identitetsautentisering för klustret för att ansluta till Container Insights.
- Överväg att använda en privat Azure-länk för klustret för att ansluta till din Azure Monitor-arbetsyta med hjälp av en privat slutpunkt.
- Använd trafikanalys för att övervaka nätverkstrafik till och från klustret.
- Aktivera nätverksobservabilitet.
- Säkerställ säkerheten för Log Analytics-arbetsytan som stöder Container Insights.
Konfigurationsrekommendationer
| Rekommendation | Förmån |
|---|---|
| Använd hanterad identitetsautentisering för klustret för att ansluta till Container Insights. | Hanterad identitetsautentisering är standard för nya kluster. Om du använder äldre autentisering bör du migrera till hanterad identitet för att ta bort den certifikatbaserade lokala autentiseringen. |
| Överväg att använda en privat Azure-länk för klustret för att ansluta till din Azure Monitor-arbetsyta med hjälp av en privat slutpunkt. | Azure Managed Service for Prometheus lagrar sina data på en Azure Monitor-arbetsyta som använder en offentlig slutpunkt som standard. Anslutningar till offentliga slutpunkter skyddas med kryptering från slutpunkt till slutpunkt. Om du behöver en privat slutpunkt kan du använda en privat Azure-länk för att tillåta att klustret ansluter till arbetsytan via auktoriserade privata nätverk. Privat länk kan också användas för att tvinga datainmatning av arbetsytor via ExpressRoute eller ett VPN. Mer information om hur du konfigurerar klustret för privat länk finns i Aktivera privat länk för Kubernetes-övervakning i Azure Monitor . Mer information om hur du kör frågor mot dina data med privat länk finns i Använda privata slutpunkter för Managed Prometheus och Azure Monitor-arbetsytan . |
| Använd trafikanalys för att övervaka nätverkstrafik till och från klustret. | Trafikanalys analyserar Azure Network Watcher NSG-flödesloggar för att ge insikter om trafikflödet i ditt Azure-moln. Använd det här verktyget för att säkerställa att det inte finns någon dataexfiltrering för klustret och för att identifiera om några onödiga offentliga IP-adresser exponeras. |
| Aktivera nätverksobservabilitet. | Tillägg för nätverksobservabilitet för AKS ger observerbarhet i flera lager i Kubernetes-nätverksstacken. övervaka och observera åtkomst mellan tjänster i klustret (trafik öst-väst). |
| Säkerställ säkerheten för Log Analytics-arbetsytan som stöder Container Insights. | Containerinsikter förlitar sig på en Log Analytics-arbetsyta. Se Metodtips för Azure Monitor-loggar för rekommendationer för att säkerställa säkerheten på arbetsytan. |