Azure 監視器安全性概觀和指導方針
本文提供 Azure 監視器的安全性指導方針,作為 Azure 良好架構架構的一部分。
Azure 監視器安全性指導方針可協助您瞭解 Azure 監視器的安全性功能,以及如何設定它們,以根據下列專案將安全性優化:
- 雲端採用架構,可為管理技術基礎結構的小組提供安全性指引。
- Azure 架構完善的架構,提供建置安全應用程式的架構最佳做法。
- Microsoft雲端安全性效能評定 (MCSB),其中描述可用的安全性功能和建議的最佳設定。
- 零信任 安全性準則,提供安全性小組實作技術功能以支援 零信任 現代化計劃的指導。
本文中的指導方針是以Microsoft安全性責任模型為基礎。 作為此共同責任模型的一部分,Microsoft為 Azure 監視器客戶提供下列安全性措施:
- 基礎結構安全性
- Azure 客戶資料保護
- 數據擷取期間傳輸中的數據加密
- 使用Microsoft受控密鑰加密待用數據
- Microsoft數據平面存取的 Entra 驗證
- 使用受控識別驗證 Azure 監視器代理程式和 Application Insights
- 使用角色型 存取控制 存取資料平面動作的特殊權限存取權 (Azure RBAC)
- 符合業界標準和法規
記錄擷取和記憶體
設計檢查清單
- 設定工作區中不同類型資料的存取權,以對應要求組織中的不同角色。
- 使用 Azure 私人連結,從公用網路移除工作區的存取權。
- 設定記錄查詢稽核,以追蹤正在執行查詢的使用者。
- 確定稽核數據的不變性。
- 決定在工作區中篩選或混淆敏感資料的策略。
- 清除意外收集到的敏感資料。
- 將您的工作區連結至專用叢集,以取得增強的安全性功能,包括使用客戶管理的密鑰進行雙重加密,以及Microsoft Azure 的客戶加密箱,以核准或拒絕Microsoft數據存取要求。
- 使用傳輸層安全性 (TLS) 1.2 或更高版本,使用代理程式、連接器和記錄擷取 API 將數據傳送至您的工作區。
組態建議
| 建議 | 優點 |
|---|---|
| 設定工作區中不同類型資料的存取權,以對應要求組織中的不同角色。 | 將工作區的存取控制模式設定為 [使用資源或工作區權限],以允許資源擁有者使用資源內容來存取其資料,而不授與工作區的明確存取權。 這可簡化您的工作區設定,並協助確保使用者無法存取他們不應該存取的數據。 指派適當的內建角色以根據其責任範圍,將工作區權限授與訂用帳戶、資源群組或工作區層級的系統管理員。 針對 需要跨多個資源存取一組數據表的使用者套用數據表層級 RBAC 。 具有資料表權限的使用者無論其資源權限為何,都可以存取該資料表中的所有資料。 如需授與工作區中資料存取權的不同選項詳細資訊,請參閱管理對 Log Analytics 工作區的存取。 |
| 使用 Azure 私人連結,從公用網路移除工作區的存取權。 | 透過端對端加密來保護與公用端點的連線。 如果您需要私人端點,可以使用 Azure 私人連結,讓資源透過授權的私人網路連線到 Log Analytics 工作區。 私人連結還可以用於透過 ExpressRoute 或 VPN 強制擷取工作區資料。 請參閱設計您的 Azure Private Link 設定,以判斷您環境的最佳網路和 DNS 拓撲。 |
| 設定記錄查詢稽核,以追蹤正在執行查詢的使用者。 | 記錄查詢稽核會記錄工作區中所執行每個查詢的詳細資料。 系統會將此稽核資料視為安全性資料,並妥善保護 LAQueryLogs 資料表。 將每個工作區的稽核記錄設定為傳送至本機工作區,或如果您將作業和安全性資料分隔,請在專用的安全性工作區中合併。 使用 Log Analytics 工作區深入解析定期檢閱此資料,並考慮建立記錄搜尋警示規則,以便在未經授權的使用者嘗試執行查詢時主動通知您。 |
| 確定稽核數據的不變性。 | Azure 監視器是僅附加的資料平台,但包含為了合規性目的而刪除資料的條款。 讓您可在 Log Analytics 工作區設定鎖定,以封鎖所有可能刪除資料的活動:清除、資料表刪除以及資料表或工作區層級資料保留變更。 不過,這個鎖仍可移除。 如果您需要完全防竄改的解決方案,建議您 將數據匯出至不可變的記憶體解決方案。 使用資料匯出將資料傳送至具有不變性原則的 Azure 儲存體帳戶,以防止資料遭到竄改。 並非所有類型的記錄都會用於合規性、稽核或安全性,因此請判斷應該導出的特定資料類型。 |
| 決定在工作區中篩選或混淆敏感資料的策略。 | 您可能會收集到包含敏感性資訊的資料。 請使用特定資料資來源的設定來篩選不應收集的記錄。 如果只應移除或模糊處理資料中的特定資料行,請使用轉換。 如果您有要求原始資料不可修改的標準,可以使用 KQL 查詢中的 'h' 常值來混淆活頁簿中顯示的查詢結果。 |
| 清除意外收集到的敏感資料。 | 定期檢查工作區中可能不小心收集的私人數據,並使用 數據清除 將其移除。 目前無法清除具有 輔助計劃的 數據表中的數據。 |
| 將您的工作區連結至專用叢集,以取得增強的安全性功能,包括使用客戶管理的密鑰進行雙重加密,以及Microsoft Azure 的客戶加密箱,以核准或拒絕Microsoft數據存取要求。 | Azure 監視器會使用Microsoft管理的金鑰來加密待用數據和已儲存的查詢(MMK)。 如果您為 專用叢集收集足夠的資料,請使用: - 客戶管理的金鑰 ,以取得更大的彈性和密鑰生命週期控制。 如果您使用 Microsoft Sentinel,請確定您已熟悉設定 Microsoft Sentinel 客戶自控金鑰中的考量事項。 - Microsoft Azure 的客戶加密箱,以檢閱和核准或拒絕客戶數據存取要求。 當Microsoft工程師需要存取客戶數據時,會使用客戶加密箱,無論是回應客戶起始的支援票證,還是Microsoft所識別的問題。 加密箱目前無法套用至使用輔助方案的資料表。 |
| 使用傳輸層安全性 (TLS) 1.2 或更高版本,使用代理程式、連接器和記錄擷取 API 將數據傳送至您的工作區。 | 若要確保傳輸至 Azure 監視器的數據安全性,請使用傳輸層安全性 (TLS) 1.2 或更高版本。 我們已發現較舊版本的 TLS/安全通訊端層 (SSL) 較易受到攻擊,而且在其目前的運作中仍允許回溯相容性,因此並不建議使用這些版本,很快地,業界也會捨棄這些舊版通訊協定的支援。 PCI 安全標準委員會已設定 2018 年 6 月 30 日作為最後期限,在此之後將停用舊版 TLS/SSL,並升級至更安全的通訊協定。 當 Azure 捨棄舊版支援後,如果您的代理程式無法透過至少 TLS 1.3 進行通訊,您就無法將資料傳送至 Azure 監視器記錄。 除非必要,否則建議您不要將您的代理程式明確設定為只使用 TLS 1.3。 建議讓代理程式自動偵測、交涉及利用未來的安全性標準。 否則,您可能會錯過較新標準的額外安全性,而且如果較新的標準已取代 TLS 1.3,也可能會遇到問題。 |
警示
設計檢查清單
- 如果您需要自己的加密金鑰來保護工作區中的資料和已儲存的查詢,請使用客戶管理的金鑰
- 使用受控識別並透過控制權限來提高安全性
- 為所有不需要設定權限的使用者指派監視讀取者角色
- 使用安全的 Webhook 動作
- 使用使用私人連結的動作群組時,請使用事件中樞動作
組態建議
| 建議 | 優點 |
|---|---|
| 如果您需要自己的加密金鑰來保護工作區中的資料和已儲存的查詢,請使用客戶管理的金鑰。 | Azure 監視器可確保所有資料和已儲存的查詢都會使用 Microsoft 管理的金鑰 (MMK) 在待用時加密。 如果您需要自己的加密金鑰並為專用叢集收集足夠的資料,請使用客戶管理的密鑰以獲得更大的彈性和金鑰生命週期控制。 如果您使用 Microsoft Sentinel,則請確保您熟悉設定 Microsoft Sentinel 客戶管理金鑰中的注意事項。 |
| 若要控制記錄搜尋警示規則的權限,請針對您的記錄搜尋警示規則使用受控識別。 | 開發人員常見的挑戰是管理用來保護服務間安全通訊的祕密、認證、憑證和金鑰。 受控識別會排除開發人員管理這些認證的需求。 針對您的記錄搜尋警示規則設定受控識別可讓您控制和查看警示規則的確切權限。 您可以隨時檢視您的規則的查詢權限,並直接從其受控識別中新增或移除權限。 此外,如果您的規則的查詢存取 Azure 資料總管 (ADX) 或 Azure Resource Graph (ARG),則需要使用受控識別。 請參閱<受控識別>(機器翻譯)。 |
| 為所有不需要設定權限的使用者指派監視讀取者角色。 | 為使用者提供其角色所需的最少權限來增強安全性。 請參閱 Azure 監視器中的角色、權限與安全性。 |
| 可能的話,請使用安全的 Webhook 動作。 | 如果您的警示規則包含使用 Webhook 動作的動作群組,請優先使用安全的 Webhook 動作來進行其他驗證。 請參閱設定安全 Webhook 的驗證 |
虛擬機監視
設計檢查清單
- 使用其他服務來監視 VM 的安全性。
- 請考慮使用 VM 的 Azure 私人連結,透過私人端點連線到 Azure 監視器。
組態建議
| 建議 | 描述 |
|---|---|
| 使用其他服務來監視 VM 的安全性。 | 雖然 Azure 監視器可以從您的 VM 收集安全性事件,但不適合用於安全性監視。 Azure 包含多個服務,例如適用於雲端的 Microsoft Defender 和 Microsoft Sentinel,可共同提供完整的安全性監視解決方案。 如需這些服務的比較,請參閱安全性監視。 |
| 請考慮使用 VM 的 Azure 私人連結,透過私人端點連線到 Azure 監視器。 | 透過端對端加密來保護與公用端點的連線。 如果您需要私人端點,您可以使用 Azure 私人連結,讓 VM 透過授權的私人網路連線到 Azure 監視器。 私人連結還可以用於透過 ExpressRoute 或 VPN 強制擷取工作區資料。 請參閱設計您的 Azure Private Link 設定,以判斷您環境的最佳網路和 DNS 拓撲。 |
容器監視
設計檢查清單
- 使用叢集的受控識別驗證連線到容器深入解析。
- 請考慮使用叢集的 Azure 私人連結,透過私人端點連線到 Azure 監視器工作區。
- 使用流量分析來監視傳入和傳出叢集的網路流量。
- 啟用網路可檢視性。
- 確保支援容器深入解析的 Log Analytics 工作區的安全性。
組態建議
| 建議 | 優點 |
|---|---|
| 使用叢集的受控識別驗證連線到容器深入解析。 | 受控識別驗證是新叢集的預設值。 如果使用舊版驗證,您應該移轉至受控識別以移除憑證型本機驗證。 |
| 請考慮使用叢集的 Azure 私人連結,透過私人端點連線到 Azure 監視器工作區。 | Prometheus 的 Azure 受控服務會將其資料儲存在預設使用公用端點的 Azure 監視器工作區中。 透過端對端加密來保護與公用端點的連線。 如果您需要私人端點,您可以使用 Azure 私人連結,讓叢集透過授權的私人網路連線到工作區。 私人連結還可以用於透過 ExpressRoute 或 VPN 強制擷取工作區資料。 如需設定叢集以進行私人連結的詳細資料,請參閱在 Azure 監視器中啟用 Kubernetes 監視的私人連結。 如需使用私人連結查詢資料的詳細資訊,請參閱使用受控 Prometheus 和 Azure 監視器工作區的私人端點。 |
| 使用流量分析來監視傳入和傳出叢集的網路流量。 | 流量分析可以分析 Azure 網路監看員 NSG 流量記錄,讓您深入解析 Azure 雲端中的流量。 使用此工具可確保叢集沒有資料外泄,並偵測是否公開了任何不必要的公用 IP。 |
| 啟用網路可檢視性。 | AKS 的網路可檢視性附加元件提供在 Kubernetes 網路堆疊中的多層可檢視性。 監視並觀察叢集中服務 (東西向流量) 之間的存取權。 |
| 確保支援容器深入解析的 Log Analytics 工作區的安全性。 | 容器深入解析會依賴 Log Analytics 工作區。 如需確保工作區安全性的建議,請參閱 Azure 監視器記錄的最佳做法。 |