你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure Monitor 安全概览和指南
本文提供 Azure Monitor 的安全指南,它涵盖在 Azure 架构良好的框架中。
Azure Monitor 安全指南可帮助你了解 Azure Monitor 的安全功能,并了解如何配置这些功能来基于以下各项优化安全性:
- 云采用框架,它为管理技术基础结构的团队提供安全指南。
- Azure 架构良好的框架,它提供构建安全应用程序的体系结构最佳做法。
- Microsoft 云安全基准 (MCSB),它描述了可用的安全功能和建议的最佳配置。
- 零信任安全原则,它为安全团队提供实施技术功能来支持零信任现代化计划的指导。
本文中的指南基于 Microsoft 安全责任模型。 作为此共担责任模型的一部分,Microsoft 为 Azure Monitor 客户提供了下列安全措施:
- Azure 基础结构安全性
- Azure 客户数据保护
- 在数据引入期间对传输中的数据加密
- 采用 Microsoft 管理的密钥对静态数据加密
- 针对数据平面访问进行 Microsoft Entra 身份验证
- 使用托管标识对 Azure Monitor 代理和 Application Insights 进行身份验证
- 使用基于角色的访问控制 (Azure RBAC) 对数据平面操作进行特权访问
- 符合行业标准和法规
日志引入和存储
设计清单
- 为组织中不同角色所需的工作区中不同类型的数据配置访问权限。
- 使用 Azure 专用链接移除从公用网络访问工作区的权限。
- 配置日志查询审核以跟踪哪些用户正在运行查询。
- 确保审核数据的不可变性。
- 确定筛选或模糊处理工作区中的敏感数据的策略。
- 清除意外收集的敏感数据。
- 将工作区链接到专用群集以获取增强的安全功能,包括使用客户管理的密钥进行双重加密,以及使用 Microsoft Azure 的客户密码箱批准或拒绝 Microsoft 数据访问请求。
- 使用传输层安全性 (TLS) 1.2 或更高版本通过代理、连接器和日志引入 API 将数据发送到工作区。
配置建议
| 建议 | 好处 |
|---|---|
| 为组织中不同角色所需的工作区中不同类型的数据配置访问权限。 | 将工作区的访问控制模式设置为“使用资源或工作区权限”,以允许资源所有者使用资源上下文访问其数据,而无需授予对工作区的显式访问权限。 这简化了工作区配置,并有助于确保用户无法访问其不应访问的数据。 分配适当的内置角色,以根据管理员的职责范围,在订阅、资源组或工作区级别向管理员授予工作区权限。 为需要跨多个资源访问一组表的用户应用表级别 RBAC。 无论其资源权限如何,具有表权限的用户都可以访问表中的所有数据。 有关授予对工作区中数据的访问权限的不同选项的详细信息,请参阅管理对 Log Analytics 工作区的访问权限。 |
| 使用 Azure 专用链接移除从公用网络访问工作区的权限。 | 与公共终结点的连接通过端到端加密进行保护。 如果需要专用终结点,可以使用 Azure 专用链接允许资源通过授权的专用网络连接到 Log Analytics 工作区。 专用链接还可用于通过 ExpressRoute 或 VPN 强制引入工作区数据。 请参阅设计 Azure 专用链接设置,确定适合你的环境的最佳网络和 DNS 拓扑。 |
| 配置日志查询审核以跟踪哪些用户正在运行查询。 | 日志查询审核会记录工作区中运行的每个查询的详细信息。 像安全数据一样对待此数据,并确保 LAQueryLogs 的安全。 配置要发送到本地工作区的每个工作区的审核日志,如果要分离操作和安全数据,则合并到专用安全工作区中。 使用 Log Analytics 工作区见解定期查看此数据,并考虑创建日志搜索警报规则,以便在未经授权的用户尝试运行查询时主动通知你。 |
| 确保审核数据的不可变性。 | Azure Monitor 是一个追加型数据平台,但其中包含出于合规性目的删除数据的预配。 可以在 Log Analytics 工作区上设置锁定,以阻止可能删除数据的所有活动:清除、表删除以及表级或工作区级数据保留更改。 但是,仍可删除此锁。 如果需要完全防篡改的解决方案,建议将数据导出到不可变存储解决方案。 使用数据导出将数据发送到具有不可变性策略的 Azure 存储帐户,以防止数据篡改。 并非每种类型的日志在合规性、审核或安全性方面都具有相同的相关性,因此请确定应导出的特定数据类型。 |
| 确定筛选或模糊处理工作区中的敏感数据的策略。 | 你可能正在收集包含敏感信息的数据。 使用特定数据源的配置以筛选不应收集的记录。 如果只应删除或模糊处理数据中的特定列,请使用转换。 如果标准要求未修改的原始数据,则可以在 KQL 查询中使用“h”文本来模糊处理工作簿中显示的查询结果。 |
| 清除意外收集的敏感数据。 | 定期检查工作区中可能意外收集的专用数据,并使用数据清除将其移除。 目前,无法清除具有辅助计划的表中的数据。 |
| 将工作区链接到专用群集以获取增强的安全功能,包括使用客户管理的密钥进行双重加密,以及使用 Microsoft Azure 的客户密码箱批准或拒绝 Microsoft 数据访问请求。 | Azure Monitor 使用 Microsoft 管理的密钥 (MMK) 加密所有静态数据和保存的查询。 如果为专用群集收集足够的数据,请使用: - 客户管理的密钥,以增强灵活性和对密钥生命周期的控制。 如果使用 Microsoft Sentinel,请确保熟悉设置 Microsoft Sentinel 客户管理的密钥中的注意事项。 - Microsoft Azure 的客户密码箱,以查看和批准/拒绝客户数据访问请求。 在 Microsoft 工程师需要访问客户数据时(无论是为了响应客户发起的支持工单,还是为了处理由 Microsoft 识别的问题),会用到客户密码箱。 密码箱当前不能应用于具有辅助计划的表。 |
| 使用传输层安全性 (TLS) 1.2 或更高版本通过代理、连接器和日志引入 API 将数据发送到工作区。 | 为了确保数据在传输到 Azure Monitor 的过程中的安全性,请使用传输层安全性 (TLS) 1.2 或更高版本。 我们发现旧版 TLS/安全套接字层 (SSL) 容易受到攻击,尽管出于向后兼容,这些协议仍可正常工作,但我们不建议使用,并且行业即将放弃对这些旧协议的支持。 PCI 安全标准委员会规定 2018 年 6 月 30 日是停用旧版 TLS/SSL 并升级到更安全协议的截止时间。 在 Azure 放弃旧版支持后,如果代理无法通过最低版本 TLS 1.3 进行通信,则你无法将数据发送到 Azure Monitor 日志。 除非必要,建议不要将代理显式设置为仅使用 TLS 1.3。 最好允许代理自动检测、协商和利用未来的安全标准。 否则,你可能会错过更新标准的增强安全性,并且如果因支持更新的标准而弃用 TLS 1.3,则可能会遇到问题。 |
警报
设计清单
- 如果需要使用自己的加密密钥来保护工作区中的数据和保存的查询,请使用客户管理的密钥
- 使用托管标识通过控制权限来提高安全性
- 为不需要配置权限的所有用户分配监视读者角色
- 使用安全 Webhook 操作
- 使用采用专用链接的操作组时,请使用事件中心操作
配置建议
| 建议 | 好处 |
|---|---|
| 如果需要使用自己的加密密钥来保护工作区中的数据和保存的查询,请使用客户管理的密钥。 | Azure Monitor 确保使用 Microsoft 管理的密钥 (MMK) 静态加密所有数据和保存的查询。 如果需要使用自己的加密密钥,并为专用群集收集足够的数据,请使用客户管理的密钥以提高灵活性和密钥生命周期控制。 如果使用 Microsoft Sentinel,请确保熟悉设置 Microsoft Sentinel 客户管理的密钥中的注意事项。 |
| 若要控制日志搜索警报规则的权限,请使用日志搜索警报规则的托管标识。 | 开发人员面临着一个共同的挑战,那就是如何管理用于保护服务之间通信安全的机密、凭据、证书和密钥。 托管标识使开发人员无需管理这些凭据。 为日志搜索警报规则设置托管标识可让你控制和了解警报规则的确切权限。 你可以随时查看规则的查询权限,并直接从其托管身份添加或删除权限。 此外,如果规则的查询正在访问 Azure 数据资源管理器 (ADX) 或 Azure 资源图 (ARG),则需要使用托管标识。 请参阅托管标识。 |
| 为不需要配置权限的所有用户分配监视读者角色。 | 通过向用户授予其角色所需的最少权限来增强安全性。 请参阅 Azure Monitor 中的角色、权限和安全性。 |
| 如果可能,请使用安全的 Webhook 操作。 | 如果警报规则包含使用 Webhook 操作的操作组,请优先使用安全 Webhook 操作进行额外身份验证。 请参阅为安全 Webhook 配置身份验证 |
虚拟机监控
设计清单
- 使用其他服务对 VM 进行安全监视。
- 请考虑对 VM 使用 Azure 专用链接,以使用专用终结点连接到 Azure Monitor。
配置建议
| 建议 | 说明 |
|---|---|
| 使用其他服务对 VM 进行安全监视。 | 虽然 Azure Monitor 可以从 VM 收集安全事件,但它不用于安全监视。 Azure 包括 Microsoft Defender for Cloud 和 Microsoft SSentinel 等多项服务,可共同提供完整的安全监视解决方案。 要对这些服务进行比较,请参阅安全监视。 |
| 请考虑对 VM 使用 Azure 专用链接,以使用专用终结点连接到 Azure Monitor。 | 与公共终结点的连接通过端到端加密进行保护。 如果需要使用专用终结点,可以使用 Azure 专用链接来支持 VM 通过授权专用网络连接到 Azure Monitor。 专用链接还可用于通过 ExpressRoute 或 VPN 强制引入工作区数据。 请参阅设计 Azure 专用链接设置,确定适合你的环境的最佳网络和 DNS 拓扑。 |
容器监视
设计清单
- 使用群集的托管标识身份验证连接到容器见解。
- 请考虑使用群集的 Azure 专用链接,通过专用终结点连接到 Azure Monitor 工作区。
- 使用流量分析来监视传入和传出群集的网络流量。
- 启用网络可观测性。
- 确保支持容器见解的 Log Analytics 工作区的安全性。
配置建议
| 建议 | 好处 |
|---|---|
| 使用群集的托管标识身份验证连接到容器见解。 | 托管标识身份验证是新群集的默认设置。 如果使用旧式身份验证,应迁移到托管标识以删除基于证书的本地身份验证。 |
| 请考虑使用群集的 Azure 专用链接,通过专用终结点连接到 Azure Monitor 工作区。 | Prometheus 的 Azure 托管服务将其数据存储在默认使用公共终结点的 Azure Monitor 工作区中。 与公共终结点的连接通过端到端加密进行保护。 如果需要使用专用终结点,可以使用 Azure 专用链接来支持群集通过授权的专用网络连接到工作区。 专用链接还可用于通过 ExpressRoute 或 VPN 强制引入工作区数据。 有关为专用链接配置群集的详细信息,请参阅在 Azure Monitor 中启用专用链接以进行 Kubernetes 监视。 有关使用专用链接查询数据的详细信息,请参阅将专用终结点用于托管 Prometheus 和 Azure Monitor 工作区。 |
| 使用流量分析来监视传入和传出群集的网络流量。 | 流量分析可以分析 Azure 网络观察程序 NSG 流日志,帮助洞察 Azure 云中的流量流。 使用此工具可确保群集没有数据外泄,并检测是否公开了任何不必要的公共 IP。 |
| 启用网络可观测性。 | AKS 的网络可观测性加载项提供在 Kubernetes 网络堆栈中的多个层的可观测性。 监视和观察群集中服务(东西向流量)之间的访问。 |
| 确保支持容器见解的 Log Analytics 工作区的安全性。 | 容器见解依赖于 Log Analytics 工作区。 有关确保工作区安全性的建议,请参阅 Azure Monitor 日志的最佳做法。 |