نظرة عامة على أمان Azure Monitor وإرشاداته
توفر هذه المقالة إرشادات الأمان ل Azure Monitor كجزء من Azure Well-Architected Framework.
تساعدك إرشادات أمان Azure Monitor على فهم ميزات الأمان في Azure Monitor وكيفية تكوينها لتحسين الأمان استنادا إلى:
- Cloud Adoption Framework، الذي يوفر إرشادات الأمان للفرق التي تدير البنية الأساسية التكنولوجية.
- Azure Well-Architected Framework، الذي يوفر أفضل الممارسات المعمارية لإنشاء تطبيقات آمنة.
- معيار أمان السحابة من Microsoft (MCSB)، الذي يصف ميزات الأمان المتاحة والتكوينات المثلى الموصى بها.
- ثقة معدومة مبادئ الأمان، والتي توفر إرشادات لفرق الأمن لتنفيذ القدرات التقنية لدعم مبادرة تحديث ثقة معدومة.
تستند الإرشادات الواردة في هذه المقالة إلى نموذج مسؤولية أمان Microsoft. كجزء من هذا النموذج للمسؤولية المشتركة، توفر Microsoft تدابير الأمان هذه لعملاء Azure Monitor:
- أمان البنية الأساسية ل Azure
- حماية بيانات عملاء Azure
- تشفير البيانات المتنقلة أثناء استيعاب البيانات
- تشفير البيانات الثابتة باستخدام المفاتيح المدارة من Microsoft
- مصادقة Microsoft Entra للوصول إلى مستوى البيانات
- مصادقة عامل Azure Monitor وApplication Insights باستخدام الهويات المدارة
- الوصول المتميز إلى إجراءات مستوى البيانات باستخدام التحكم في الوصول استنادا إلى الدور (Azure RBAC)
- الامتثال لمعايير ولوائح الصناعة
استيعاب السجل والتخزين
قائمة اختيار التصميم
- تكوين الوصول إلى أنواع مختلفة من البيانات في مساحة العمل المطلوبة لأدوار مختلفة في مؤسستك.
- استخدم ارتباط Azure الخاص لإزالة الوصول إلى مساحة العمل من الشبكات العامة.
- تكوين تدقيق استعلام السجل لتعقب المستخدمين الذين يقومون بتشغيل الاستعلامات.
- ضمان عدم قابلية بيانات التدقيق للتغيير.
- حدد استراتيجية لتصفية البيانات الحساسة أو تعتيمها في مساحة العمل الخاصة بك.
- إزالة البيانات الحساسة التي تم جمعها عن طريق الخطأ.
- ربط مساحة العمل الخاصة بك بمجموعة مخصصة لميزات الأمان المحسنة، بما في ذلك التشفير المزدوج باستخدام المفاتيح المدارة من قبل العميل و Lockbox للعميل ل Microsoft Azure للموافقة على طلبات الوصول إلى بيانات Microsoft أو رفضها.
- استخدم بروتوكول أمان طبقة النقل (TLS) 1.2 أو أعلى لإرسال البيانات إلى مساحة العمل باستخدام العوامل والموصلات وواجهة برمجة تطبيقات استيعاب السجلات.
توصيات التكوين
| التوصية | الميزة |
|---|---|
| تكوين الوصول إلى أنواع مختلفة من البيانات في مساحة العمل المطلوبة لأدوار مختلفة في مؤسستك. | قم بتعيين وضع التحكم في الوصول لمساحة العمل لاستخدام أذونات الموارد أو مساحة العمل للسماح لمالكي الموارد باستخدام سياق الموارد للوصول إلى بياناتهم دون منحهم حق الوصول الصريح إلى مساحة العمل. وهذا يبسط تكوين مساحة العمل ويساعد على ضمان عدم قدرة المستخدمين على الوصول إلى البيانات التي لا ينبغي لهم الوصول إليها. قم بتعيين الدور المضمن المناسب لمنح أذونات مساحة العمل للمسؤولين إما على مستوى الاشتراك أو مجموعة الموارد أو مساحة العمل اعتمادا على نطاق مسؤولياتهم. تطبيق RBAC على مستوى الجدول للمستخدمين الذين يحتاجون إلى الوصول إلى مجموعة من الجداول عبر موارد متعددة. يمكن للمستخدمين الذين لديهم أذونات الجدول الوصول إلى جميع البيانات الموجودة في الجدول بغض النظر عن أذونات الموارد الخاصة بهم. راجع إدارة الوصول إلى مساحات عمل Log Analytics للحصول على تفاصيل حول الخيارات المختلفة لمنح الوصول إلى البيانات في مساحة العمل. |
| استخدم ارتباط Azure الخاص لإزالة الوصول إلى مساحة العمل من الشبكات العامة. | يتم تأمين الاتصالات بنقاط النهاية العامة باستخدام التشفير الشامل. إذا كنت تحتاج إلى نقطة نهاية خاصة، يمكنك استخدام ارتباط Azure الخاص للسماح للموارد بالاتصال بمساحة عمل Log Analytics من خلال الشبكات الخاصة المعتمدة. يمكن أيضا استخدام الارتباط الخاص لفرض استيعاب بيانات مساحة العمل من خلال ExpressRoute أو VPN. راجع تصميم إعداد Azure Private Link لتحديد أفضل شبكة وطوبولوجيا DNS للبيئة الخاصة بك. |
| تكوين تدقيق استعلام السجل لتعقب المستخدمين الذين يقومون بتشغيل الاستعلامات. | يسجل تدقيق استعلام السجل تفاصيل كل استعلام يتم تشغيله في مساحة عمل. تعامل مع بيانات التدقيق هذه كبيانات أمان وقم بتأمين جدول LAQueryLogs بشكل مناسب. تكوين سجلات التدقيق لكل مساحة عمل ليتم إرسالها إلى مساحة العمل المحلية، أو دمجها في مساحة عمل أمان مخصصة إذا قمت بفصل البيانات التشغيلية وبيانات الأمان. استخدم تحليلات مساحة عمل Log Analytics لمراجعة هذه البيانات بشكل دوري والنظر في إنشاء قواعد تنبيه بحث السجل لإعلامك بشكل استباقي إذا كان المستخدمون غير المصرح لهم يحاولون تشغيل الاستعلامات. |
| ضمان عدم قابلية بيانات التدقيق للتغيير. | Azure Monitor هو نظام أساسي لبيانات الإلحاق فقط، ولكنه يتضمن أحكاما لحذف البيانات لأغراض التوافق. يمكنك تعيين تأمين على مساحة عمل Log Analytics لحظر جميع الأنشطة التي يمكن أن تحذف البيانات: إزالة البيانات وحذف الجدول وتغييرات استبقاء البيانات على مستوى الجدول أو مساحة العمل. ومع ذلك، لا يزال من الممكن إزالة هذا التأمين. إذا كنت بحاجة إلى حل مقاوم للعبث بالكامل، نوصيك بتصدير بياناتك إلى حل تخزين غير قابل للتغيير. استخدم تصدير البيانات لإرسال البيانات إلى حساب تخزين Azure باستخدام نهج عدم قابلية التغيير للحماية من العبث بالبيانات. ليس لكل نوع من السجلات نفس الصلة بالتوافق أو التدقيق أو الأمان، لذا حدد أنواع البيانات المحددة التي يجب تصديرها. |
| حدد استراتيجية لتصفية البيانات الحساسة أو تعتيمها في مساحة العمل الخاصة بك. | قد تقوم بجمع البيانات التي تتضمن معلومات حساسة. تصفية السجلات التي لا ينبغي تجميعها باستخدام التكوين لمصدر بيانات معين. استخدم التحويل إذا كان يجب إزالة أعمدة معينة فقط في البيانات أو تعتيمها. إذا كانت لديك معايير تتطلب عدم تعديل البيانات الأصلية، فيمكنك استخدام القيمة الحرفية 'h' في استعلامات KQL لتعتيم نتائج الاستعلام المعروضة في المصنفات. |
| إزالة البيانات الحساسة التي تم جمعها عن طريق الخطأ. | تحقق بشكل دوري من البيانات الخاصة التي قد يتم جمعها عن طريق الخطأ في مساحة العمل الخاصة بك واستخدم إزالة البيانات لإزالتها. لا يمكن حاليا إزالة البيانات الموجودة في الجداول ذات الخطة المساعدة. |
| ربط مساحة العمل الخاصة بك بمجموعة مخصصة لميزات الأمان المحسنة، بما في ذلك التشفير المزدوج باستخدام المفاتيح المدارة من قبل العميل و Lockbox للعميل ل Microsoft Azure للموافقة على طلبات الوصول إلى بيانات Microsoft أو رفضها. | يقوم Azure Monitor بتشفير جميع البيانات الثابتة والاستعلامات المحفوظة باستخدام المفاتيح المدارة من Microsoft (MMK). إذا قمت بجمع بيانات كافية لمجموعة مخصصة، فاستخدم: - مفاتيح يديرها العميل لمزيد من المرونة والتحكم في دورة حياة المفتاح. إذا كنت تستخدم Microsoft Sentinel، فتأكد من أنك على دراية بالاعتبارات في إعداد المفتاح الذي يديره العميل في Microsoft Sentinel. - مربع تأمين العميل ل Microsoft Azure لمراجعة طلبات الوصول إلى بيانات العميل والموافقة عليها أو رفضها. يتم استخدام مربع تأمين العميل عندما يحتاج مهندس Microsoft إلى الوصول إلى بيانات العميل، سواء استجابة لتذكرة دعم بدأها العميل أو مشكلة حددتها Microsoft. لا يمكن تطبيق Lockbox حاليا على الجداول ذات الخطة الإضافية. |
| استخدم بروتوكول أمان طبقة النقل (TLS) 1.2 أو أعلى لإرسال البيانات إلى مساحة العمل باستخدام العوامل والموصلات وواجهة برمجة تطبيقات استيعاب السجلات. | لضمان أمان البيانات أثناء النقل إلى Azure Monitor، استخدم بروتوكول أمان طبقة النقل (TLS) 1.2 أو أعلى. تم تحديد التهديدات الأمنية التي تهدد الإصدارات الأقدم لـ TLS/Secure Sockets Layer (SSL)، وعلى الرغم من أن هذه التهديدات لا تزال مستمرة في العمل حالياً من أجل التوافق مع الإصدارات السابقة، إلا إنه لا يُوصى بها، وتحرص الصناعة حرصاً شديداً على التخلص السريع من هذه البروتوكولات القديمة. لقد حدد PCI Security Standards Council تاريخ 30 يونيو 2018 كموعد نهائي لتعطيل الإصدارات القديمة من TLS/SSL والترقية إلى بروتوكولات أكثر أماناً. بمجرد أن يسقط Azure الدعم القديم، إذا لم يتمكن وكلاؤك من الاتصال عبر TLS 1.3 على الأقل، فلن تتمكن من إرسال البيانات إلى سجلات Azure Monitor. نوصيك بعدم تعيين وكيلك بشكل صريح لاستخدام TLS 1.3 فقط ما لم يكن ذلك ضروريا. يُفضل السماح للوكيل باكتشاف معايير الأمان المستقبلية والتفاوض بشأنها والاستفادة منها تلقائيًا. وإلا فقد تفوتك الأمان الإضافي للمعايير الأحدث وربما تواجه مشكلات إذا تم إهمال TLS 1.3 لصالح تلك المعايير الأحدث. |
التنبيهات
قائمة اختيار التصميم
- استخدم المفاتيح المدارة من قبل العميل إذا كنت بحاجة إلى مفتاح التشفير الخاص بك لحماية البيانات والاستعلامات المحفوظة في مساحات العمل الخاصة بك
- استخدام الهويات المدارة لزيادة الأمان عن طريق التحكم في الأذونات
- تعيين دور قارئ المراقبة لجميع المستخدمين الذين لا يحتاجون إلى امتيازات التكوين
- استخدام إجراءات إخطار على الويب الآمنة
- عند استخدام مجموعات الإجراءات التي تستخدم ارتباطات خاصة، استخدم إجراءات مركز الأحداث
توصيات التكوين
| التوصية | الميزة |
|---|---|
| استخدم المفاتيح المدارة من قبل العميل إذا كنت بحاجة إلى مفتاح التشفير الخاص بك لحماية البيانات والاستعلامات المحفوظة في مساحات العمل الخاصة بك. | يتأكد Azure Monitor من تشفير جميع البيانات والاستعلامات المحفوظة في حالة عدم التشغيل باستخدام المفاتيح المُدارة بواسطة Microsoft (MMK). إذا كنت تحتاج إلى مفتاح التشفير الخاص بك وجمع بيانات كافية لمجموعة مخصصة، فاستخدم المفاتيح المدارة من قبل العميل لمزيد من المرونة والتحكم في دورة حياة المفتاح. إذا كنت تستخدم Microsoft Sentinel، فتأكد من أنك على دراية بالاعتبارات في إعداد المفتاح الذي يديره العميل في Microsoft Sentinel. |
| للتحكم في أذونات قواعد تنبيه بحث السجل، استخدم الهويات المدارة لقواعد تنبيه بحث السجل. | يتمثل التحدي الشائع للمطورين في إدارة البيانات السرية وبيانات الاعتماد والشهادات والمفاتيح المستخدمة لتأمين الاتصال بين الخدمات. الهويات المُدارة تلغي حاجة المطورين إلى إدارة بيانات الاعتماد هذه. يمنحك تعيين هوية مدارة لقواعد تنبيه البحث في السجل التحكم والرؤية في الأذونات الدقيقة لقاعدة التنبيه الخاصة بك. في أي وقت، يمكنك عرض أذونات استعلام القاعدة وإضافة الأذونات أو إزالتها مباشرة من هويتها المدارة. بالإضافة إلى ذلك، يلزم استخدام هوية مدارة إذا كان استعلام القاعدة يصل إلى Azure Data Explorer (ADX) أو Azure Resource Graph (ARG). راجع الهويات المدارة. |
| تعيين دور قارئ المراقبة لجميع المستخدمين الذين لا يحتاجون إلى امتيازات التكوين. | تعزيز الأمان من خلال منح المستخدمين أقل قدر من الامتيازات المطلوبة لدورهم. راجع الأدوار والأذونات والأمان في Azure Monitor. |
| حيثما أمكن، استخدم إجراءات إخطار على الويب الآمنة. | إذا كانت قاعدة التنبيه تحتوي على مجموعة إجراءات تستخدم إجراءات إخطار على الويب، ففضل استخدام إجراءات إخطار على الويب الآمنة للمصادقة الإضافية. راجع تكوين المصادقة لخطاف الويب الآمن |
مراقبة الجهاز الظاهري
قائمة اختيار التصميم
- استخدم خدمات أخرى لمراقبة أمان الأجهزة الظاهرية الخاصة بك.
- ضع في اعتبارك استخدام ارتباط Azure الخاص للأجهزة الظاهرية للاتصال ب Azure Monitor باستخدام نقطة نهاية خاصة.
توصيات التكوين
| التوصية | الوصف |
|---|---|
| استخدم خدمات أخرى لمراقبة أمان الأجهزة الظاهرية الخاصة بك. | بينما يمكن ل Azure Monitor جمع أحداث الأمان من الأجهزة الظاهرية الخاصة بك، فإنه لا يقصد استخدامه لمراقبة الأمان. يتضمن Azure خدمات متعددة مثل Microsoft Defender for Cloud وMicrosoft Sentinel التي توفر معا حلا كاملا لمراقبة الأمان. راجع مراقبة الأمان للمقارنة بين هذه الخدمات. |
| ضع في اعتبارك استخدام ارتباط Azure الخاص للأجهزة الظاهرية للاتصال ب Azure Monitor باستخدام نقطة نهاية خاصة. | يتم تأمين الاتصالات بنقاط النهاية العامة باستخدام التشفير الشامل. إذا كنت تحتاج إلى نقطة نهاية خاصة، يمكنك استخدام ارتباط Azure الخاص للسماح للأجهزة الظاهرية بالاتصال ب Azure Monitor من خلال الشبكات الخاصة المعتمدة. يمكن أيضا استخدام الارتباط الخاص لفرض استيعاب بيانات مساحة العمل من خلال ExpressRoute أو VPN. راجع تصميم إعداد Azure Private Link لتحديد أفضل شبكة وطوبولوجيا DNS للبيئة الخاصة بك. |
مراقبة الحاوية
قائمة اختيار التصميم
- استخدم مصادقة الهوية المدارة لنظام المجموعة للاتصال ب Container insights.
- ضع في اعتبارك استخدام ارتباط Azure الخاص لنظام المجموعة للاتصال بمساحة عمل Azure Monitor باستخدام نقطة نهاية خاصة.
- استخدم تحليلات نسبة استخدام الشبكة لمراقبة نسبة استخدام الشبكة من وإلى مجموعتك.
- تمكين إمكانية مراقبة الشبكة.
- تأكد من أمان مساحة عمل Log Analytics التي تدعم نتائج تحليلات الحاوية.
توصيات التكوين
| التوصية | الميزة |
|---|---|
| استخدم مصادقة الهوية المدارة لنظام المجموعة للاتصال ب Container insights. | مصادقة الهوية المدارة هي الافتراضية للمجموعات الجديدة. إذا كنت تستخدم المصادقة القديمة، يجب الترحيل إلى الهوية المدارة لإزالة المصادقة المحلية المستندة إلى الشهادة. |
| ضع في اعتبارك استخدام ارتباط Azure الخاص لنظام المجموعة للاتصال بمساحة عمل Azure Monitor باستخدام نقطة نهاية خاصة. | تخزن خدمة Azure المدارة ل Prometheus بياناتها في مساحة عمل Azure Monitor التي تستخدم نقطة نهاية عامة بشكل افتراضي. يتم تأمين الاتصالات بنقاط النهاية العامة باستخدام التشفير الشامل. إذا كنت تحتاج إلى نقطة نهاية خاصة، يمكنك استخدام ارتباط Azure الخاص للسماح لنظام المجموعة بالاتصال بمساحة العمل من خلال الشبكات الخاصة المعتمدة. يمكن أيضا استخدام الارتباط الخاص لفرض استيعاب بيانات مساحة العمل من خلال ExpressRoute أو VPN. راجع تمكين الارتباط الخاص لمراقبة Kubernetes في Azure Monitor للحصول على تفاصيل حول تكوين نظام المجموعة الخاص بك للارتباط الخاص. راجع استخدام نقاط النهاية الخاصة لمساحة عمل Prometheus وAzure Monitor المدارة للحصول على تفاصيل حول الاستعلام عن بياناتك باستخدام ارتباط خاص. |
| استخدم تحليلات نسبة استخدام الشبكة لمراقبة نسبة استخدام الشبكة من وإلى مجموعتك. | تحلل تحليلات نسبة استخدام الشبكة سجلات تدفق Azure Network Watcher NSG لتوفير رؤى حول تدفق نسبة استخدام الشبكة في سحابة Azure. استخدم هذه الأداة للتأكد من عدم وجود تسرب للبيانات للمجموعة الخاصة بك والكشف عن ما إذا كانت هناك أي عناوين IP عامة غير ضرورية مكشوفة. |
| تمكين إمكانية مراقبة الشبكة. | توفر الوظيفة الإضافية لمراقبة الشبكة ل AKS إمكانية المراقبة عبر الطبقات المتعددة في مكدس شبكات Kubernetes. مراقبة ومراقبة الوصول بين الخدمات في نظام المجموعة (حركة المرور بين الشرق والغرب). |
| تأكد من أمان مساحة عمل Log Analytics التي تدعم نتائج تحليلات الحاوية. | تعتمد نتائج تحليلات الحاوية على مساحة عمل Log Analytics. راجع أفضل الممارسات لسجلات Azure Monitor للحصول على توصيات لضمان أمان مساحة العمل. |