Az Azure Monitor biztonsági áttekintése és irányelvei
Ez a cikk biztonsági irányelveket tartalmaz az Azure Monitorhoz az Azure Well-Architected Framework részeként.
Az Azure Monitor biztonsági irányelvei segítségével megismerheti az Azure Monitor biztonsági funkcióit, és hogyan konfigurálhatja őket a biztonság optimalizálására a következők alapján:
- felhőadaptálási keretrendszer, amely biztonsági útmutatást nyújt a technológiai infrastruktúrát kezelő csapatok számára.
- Azure Well-Architected Framework, amely architekturális ajánlott eljárásokat biztosít a biztonságos alkalmazások létrehozásához.
- A Microsoft felhőbiztonsági referenciamutatója (MCSB), amely ismerteti az elérhető biztonsági funkciókat és az ajánlott optimális konfigurációkat.
- Teljes felügyelet biztonsági alapelvek, amelyek útmutatást nyújtanak a biztonsági csapatok számára egy Teljes felügyelet modernizálási kezdeményezés támogatására szolgáló technikai képességek megvalósításához.
A cikkben szereplő irányelvek a Microsoft biztonsági felelősségi modelljére épülnek. A megosztott felelősségi modell részeként a Microsoft a következő biztonsági intézkedéseket biztosítja az Azure Monitor-ügyfelek számára:
- Azure-infrastruktúra biztonsága
- Azure-ügyféladatok védelme
- Az adatbetöltés során átvitt adatok titkosítása
- Inaktív adatok titkosítása a Microsoft által felügyelt kulcsokkal
- Microsoft Entra-hitelesítés adatsík-hozzáféréshez
- Az Azure Monitor Agent és az Application Insights hitelesítése felügyelt identitásokkal
- Emelt szintű hozzáférés az adatsík-műveletekhez szerepköralapú hozzáférés-vezérléssel (Azure RBAC)
- Az iparági szabványoknak és előírásoknak való megfelelés
Naplóbetöltés és tárolás
Tervezési ellenőrzőlista
- Konfigurálja a különböző típusú adatokhoz való hozzáférést a munkaterületen, amely a szervezet különböző szerepköreihez szükséges.
- Az Azure privát hivatkozással eltávolíthatja a munkaterülethez való hozzáférést a nyilvános hálózatokról.
- A napló lekérdezési naplózásának konfigurálása annak nyomon követésére, hogy mely felhasználók futtatnak lekérdezéseket.
- Győződjön meg arról, hogy a naplózási adatok nem módosíthatók.
- Határozza meg a munkaterület bizalmas adatainak szűrésére vagy elrejtésére vonatkozó stratégiát.
- Törölje a véletlenül összegyűjtött bizalmas adatokat.
- A munkaterületet egy dedikált fürthöz csatolhatja a továbbfejlesztett biztonsági funkciók érdekében, beleértve az ügyfél által felügyelt kulcsok használatával történő dupla titkosítást és a Microsoft Azure ügyfél-zárolását a Microsoft adathozzáférési kérelmek jóváhagyásához vagy elutasításához.
- A Transport Layer Security (TLS) 1.2-es vagy újabb verziójával ügynökök, összekötők és naplóbetöltési API használatával küldhet adatokat a munkaterületre.
Konfigurációs javaslatok
| Ajánlás | Juttatás |
|---|---|
| Konfigurálja a különböző típusú adatokhoz való hozzáférést a munkaterületen, amely a szervezet különböző szerepköreihez szükséges. | Állítsa be a munkaterület hozzáférés-vezérlési módját erőforrás- vagy munkaterület-engedélyek használatára, hogy az erőforrás-környezet használatával az erőforrás-környezetek anélkül férhessenek hozzá az adataikhoz, hogy explicit hozzáférést kapnak a munkaterülethez. Ez leegyszerűsíti a munkaterület konfigurációját, és segít biztosítani, hogy a felhasználók ne férhessenek hozzá azokhoz az adatokhoz, amelyekhez nem kellene. Rendelje hozzá a megfelelő beépített szerepkört , hogy munkaterületi engedélyeket adjon a rendszergazdáknak az előfizetés, az erőforráscsoport vagy a munkaterület szintjén, a felelősségi körüktől függően. Táblaszintű RBAC alkalmazása olyan felhasználók számára, akik több erőforráson keresztül több táblához is hozzáférést igényelnek. A táblaengedélyekkel rendelkező felhasználók erőforrás-engedélyüktől függetlenül hozzáférhetnek a tábla összes adatához. A Log Analytics-munkaterületek hozzáférésének kezelése című témakörben részletesen tájékozódhat a munkaterületen lévő adatokhoz való hozzáférés különböző lehetőségeiről. |
| Az Azure privát hivatkozással eltávolíthatja a munkaterülethez való hozzáférést a nyilvános hálózatokról. | A nyilvános végpontokhoz való csatlakozást végpontok közötti titkosítás védi. Ha privát végpontra van szüksége, az Azure privát hivatkozással engedélyezheti az erőforrások számára, hogy engedélyezett magánhálózatokon keresztül csatlakozzanak a Log Analytics-munkaterülethez. A privát kapcsolat arra is használható, hogy kényszerítse a munkaterület adatbetöltését az ExpressRoute-on vagy VPN-en keresztül. Tekintse meg az Azure Private Link beállításának megtervezését a környezet legjobb hálózati és DNS-topológiájának meghatározásához. |
| A napló lekérdezési naplózásának konfigurálása annak nyomon követésére, hogy mely felhasználók futtatnak lekérdezéseket. | A napló lekérdezésnaplózása rögzíti a munkaterületen futtatott egyes lekérdezések részleteit. Ezeket a naplózási adatokat biztonsági adatokként kezelje, és a LAQueryLogs táblát megfelelően biztonságossá tegye. Konfigurálja az egyes munkaterületek naplóit úgy, hogy a helyi munkaterületre küldjenek, vagy összevonja őket egy dedikált biztonsági munkaterületen, ha elkülöníti a működési és biztonsági adatokat. A Log Analytics-munkaterület elemzési adataival rendszeresen áttekintheti ezeket az adatokat, és létrehozhat naplókeresési riasztási szabályokat, hogy proaktív módon értesítse Önt, ha jogosulatlan felhasználók próbálnak lekérdezéseket futtatni. |
| Győződjön meg arról, hogy a naplózási adatok nem módosíthatók. | Az Azure Monitor egy csak hozzáfűző adatplatform, de a megfelelőségi célokra vonatkozó adatok törlésére vonatkozó rendelkezéseket is tartalmaz. A Log Analytics-munkaterületen beállíthat egy zárolást, amely letiltja az összes olyan tevékenységet, amely adatokat törölhet: törlés, táblatörlés és tábla- vagy munkaterületszintű adatmegőrzési változások. Ez a zárolás azonban továbbra is eltávolítható. Ha teljesen illetéktelen hozzáférés-ellenőrző megoldásra van szüksége, javasoljuk, hogy az adatokat egy nem módosítható tárolási megoldásba exportálja. Az adatexportálással adatokat küldhet egy Azure Storage-fiókba, amely nem módosítható szabályzatokkal rendelkezik az adatok illetéktelen illetéktelen felhasználásával szembeni védelem érdekében. Nem minden naplótípusnak van ugyanolyan jelentősége a megfelelőség, a naplózás vagy a biztonság szempontjából, ezért határozza meg az exportálandó adattípusokat. |
| Határozza meg a munkaterület bizalmas adatainak szűrésére vagy elrejtésére vonatkozó stratégiát. | Előfordulhat, hogy bizalmas adatokat tartalmazó adatokat gyűjt. Szűrje azokat a rekordokat, amelyeket nem érdemes az adott adatforrás konfigurációja alapján gyűjteni. Akkor használjon átalakítást, ha csak az adatok adott oszlopait kell eltávolítani vagy elhomályosítani. Ha olyan szabványokkal rendelkezik, amelyek megkövetelik, hogy az eredeti adatok ne legyenek módosítva, akkor a KQL-lekérdezésekben a "h" literál használatával elrejtheti a munkafüzetekben megjelenített lekérdezési eredményeket. |
| Törölje a véletlenül összegyűjtött bizalmas adatokat. | Rendszeresen ellenőrizze, hogy a munkaterületen véletlenül gyűjtött személyes adatokról van-e szó, és távolítsa el azokat az adattörlés használatával. A segédtervet tartalmazó táblákban lévő adatok jelenleg nem törölhetők. |
| A munkaterületet egy dedikált fürthöz csatolhatja a továbbfejlesztett biztonsági funkciók érdekében, beleértve az ügyfél által felügyelt kulcsok használatával történő dupla titkosítást és a Microsoft Azure ügyfél-zárolását a Microsoft adathozzáférési kérelmek jóváhagyásához vagy elutasításához. | Az Azure Monitor a Microsoft által felügyelt kulcsokkal (MMK) titkosítja az összes inaktív adatot és mentett lekérdezést. Ha elegendő adatot gyűjt egy dedikált fürthöz, használja a következőt: - Ügyfél által felügyelt kulcsok a nagyobb rugalmasság és a kulcs életciklus-vezérlés érdekében. Ha a Microsoft Sentinelt használja, győződjön meg arról, hogy ismeri a Microsoft Sentinel ügyfél által felügyelt kulcs beállításával kapcsolatos szempontokat. - Ügyfél-zárolási mező a Microsoft Azure-hoz az ügyféladat-hozzáférési kérelmek áttekintéséhez és jóváhagyásához vagy elutasításához. A Customer Lockbox akkor használatos, ha egy Microsoft-mérnöknek hozzá kell férnie az ügyféladatokhoz, akár az ügyfél által kezdeményezett támogatási jegyre, akár a Microsoft által azonosított problémára reagálva. A lockbox jelenleg nem alkalmazható a kiegészítő tervvel rendelkező táblákra. |
| A Transport Layer Security (TLS) 1.2-es vagy újabb verziójával ügynökök, összekötők és naplóbetöltési API használatával küldhet adatokat a munkaterületre. | Az Azure Monitorba átvitt adatok biztonságának biztosításához használja a Transport Layer Security (TLS) 1.2-es vagy újabb verzióját. A TLS/Secure Sockets Layer (SSL) régebbi verziói sebezhetőnek bizonyultak, és bár jelenleg is dolgoznak a visszamenőleges kompatibilitáson, nem ajánlottak, és az iparág gyorsan felhagy ezeknek a régebbi protokolloknak a támogatásával. A PCI Biztonsági Szabványok Tanácsa 2018. június 30-i határidőt állított be a TLS/SSL régebbi verzióinak letiltására és a biztonságosabb protokollokra való frissítésre. Ha az Azure elveti az örökölt támogatást, ha az ügynökök nem tudnak legalább TLS 1.3-on keresztül kommunikálni, akkor nem tud adatokat küldeni az Azure Monitor-naplókba. Azt javasoljuk, hogy ne állítsa az ügynökét explicit módon a TLS 1.3 használatára, kivéve, ha szükséges. Előnyösebb, ha az ügynök automatikusan észleli, egyezteti és kihasználja a jövőbeli biztonsági szabványokat. Ellenkező esetben előfordulhat, hogy elmulasztja az újabb szabványok hozzáadott biztonságát, és problémákat tapasztalhat, ha a TLS 1.3 valaha elavult az újabb szabványok javára. |
Riasztások
Tervezési ellenőrzőlista
- Ügyfél által kezelt kulcsok használata, ha saját titkosítási kulcsra van szüksége a munkaterületeken tárolt adatok és mentett lekérdezések védelméhez
- Felügyelt identitások használata a biztonság növeléséhez az engedélyek szabályozásával
- A figyelési olvasó szerepkör hozzárendelése minden olyan felhasználóhoz, akinek nincs szüksége konfigurációs jogosultságokra
- Biztonságos webhookműveletek használata
- Ha privát hivatkozásokat használó műveletcsoportokat használ, használja az Event Hub műveleteit
Konfigurációs javaslatok
| Ajánlás | Juttatás |
|---|---|
| Használjon ügyfél által kezelt kulcsokat , ha saját titkosítási kulcsra van szüksége a munkaterületeken tárolt adatok és mentett lekérdezések védelméhez. | Az Azure Monitor biztosítja, hogy az összes adat és mentett lekérdezés titkosítva legyen inaktív állapotban a Microsoft által felügyelt kulcsokkal (MMK). Ha saját titkosítási kulcsra van szüksége, és elegendő adatot gyűjt egy dedikált fürthöz, használja az ügyfél által felügyelt kulcsokat a nagyobb rugalmasság és a kulcs életciklus-vezérlése érdekében. Ha a Microsoft Sentinelt használja, győződjön meg arról, hogy ismeri a Microsoft Sentinel ügyfél által felügyelt kulcs beállításával kapcsolatos szempontokat. |
| A naplókeresési riasztási szabályok engedélyeinek szabályozásához használjon felügyelt identitásokat a naplókeresési riasztási szabályokhoz. | A fejlesztők számára gyakori kihívás a titkos kódok, a hitelesítő adatok, a tanúsítványok és a kulcsok kezelése a szolgáltatások közötti kommunikáció biztonságossá tételéhez. A felügyelt identitások nem igénylik, hogy a fejlesztők felügyeljék ezeket a hitelesítő adatokat. A naplókeresési riasztási szabályokhoz tartozó felügyelt identitás beállításával szabályozhatja és áttekintheti a riasztási szabály pontos engedélyeit. Bármikor megtekintheti a szabály lekérdezési engedélyeit, és közvetlenül a felügyelt identitásból adhat hozzá vagy távolíthat el engedélyeket. Emellett felügyelt identitás használatára is szükség van, ha a szabály lekérdezése az Azure Data Explorerhez (ADX) vagy az Azure Resource Graphhoz (ARG) fér hozzá. Lásd: Felügyelt identitások. |
| Rendelje hozzá a figyelési olvasó szerepkört minden olyan felhasználóhoz, akinek nincs szüksége konfigurációs jogosultságokra. | A biztonság növelése azáltal, hogy a felhasználók számára a szerepkörükhöz minimálisan szükséges jogosultságokat biztosítják. Lásd: Szerepkörök, engedélyek és biztonság az Azure Monitorban. |
| Ahol lehetséges, használjon biztonságos webhook-műveleteket. | Ha a riasztási szabály olyan műveletcsoportot tartalmaz, amely webhookműveleteket használ, inkább a biztonságos webhookműveleteket használja a további hitelesítéshez. Lásd: A biztonságos webhook hitelesítésének konfigurálása |
Virtuális gépek monitorozása
Tervezési ellenőrzőlista
- Használjon más szolgáltatásokat a virtuális gépek biztonsági monitorozásához.
- Fontolja meg az Azure Privát kapcsolat használata virtuális gépek számára az Azure Monitorhoz való csatlakozást privát végpont használatával.
Konfigurációs javaslatok
| Ajánlás | Leírás |
|---|---|
| Használjon más szolgáltatásokat a virtuális gépek biztonsági monitorozásához. | Bár az Azure Monitor képes biztonsági eseményeket gyűjteni a virtuális gépekről, a biztonsági monitorozáshoz nem használható. Az Azure több szolgáltatást is tartalmaz, például a Felhőhöz készült Microsoft Defender és a Microsoft Sentinelt, amelyek együttesen teljes körű biztonsági monitorozási megoldást nyújtanak. A szolgáltatások összehasonlításához tekintse meg a biztonsági monitorozást . |
| Fontolja meg az Azure Privát kapcsolat használata virtuális gépek számára az Azure Monitorhoz való csatlakozást privát végpont használatával. | A nyilvános végpontokhoz való csatlakozást végpontok közötti titkosítás védi. Ha magánvégpontra van szüksége, az Azure privát hivatkozással engedélyezheti a virtuális gépek számára, hogy engedélyezett magánhálózatokon keresztül csatlakozzanak az Azure Monitorhoz. A privát kapcsolat arra is használható, hogy kényszerítse a munkaterület adatbetöltését az ExpressRoute-on vagy VPN-en keresztül. Tekintse meg az Azure Private Link beállításának megtervezését a környezet legjobb hálózati és DNS-topológiájának meghatározásához. |
Tárolófelügyelet
Tervezési ellenőrzőlista
- A fürt felügyelt identitáshitelesítésének használata a Container Insightshoz való csatlakozáshoz.
- Fontolja meg az Azure Private Link használatát a fürthöz az Azure Monitor-munkaterülethez való privát végponttal való csatlakozáshoz.
- Forgalomelemzéssel figyelheti a fürtbe és onnan érkező hálózati forgalmat.
- A hálózat megfigyelhetőségének engedélyezése.
- Győződjön meg a Container Insightst támogató Log Analytics-munkaterület biztonságáról.
Konfigurációs javaslatok
| Ajánlás | Juttatás |
|---|---|
| A fürt felügyelt identitáshitelesítésének használata a Container Insightshoz való csatlakozáshoz. | Az új fürtök esetében a felügyelt identitás hitelesítése az alapértelmezett. Ha örökölt hitelesítést használ, a tanúsítványalapú helyi hitelesítés eltávolításához migrálnia kell a felügyelt identitásra . |
| Fontolja meg az Azure Private Link használatát a fürthöz az Azure Monitor-munkaterülethez való privát végponttal való csatlakozáshoz. | A Prometheus azure-beli felügyelt szolgáltatása alapértelmezés szerint egy nyilvános végpontot használó Azure Monitor-munkaterületen tárolja az adatait. A nyilvános végpontokhoz való csatlakozást végpontok közötti titkosítás védi. Ha privát végpontra van szüksége, azure-beli privát kapcsolattal engedélyezheti, hogy a fürt jogosult magánhálózatokon keresztül csatlakozzon a munkaterülethez. A privát kapcsolat arra is használható, hogy kényszerítse a munkaterület adatbetöltését az ExpressRoute-on vagy VPN-en keresztül. A privát kapcsolat kubernetes-monitorozásának engedélyezése az Azure Monitorban című témakörben talál további információt a fürt privát kapcsolatra való konfigurálásáról. A privát végpontok használata felügyelt Prometheushoz és Azure Monitor-munkaterülethez című témakörben talál részletes információkat az adatok privát hivatkozással történő lekérdezéséről. |
| Forgalomelemzéssel figyelheti a fürtbe és onnan érkező hálózati forgalmat. | A Traffic Analytics az Azure Network Watcher NSG-folyamatnaplóit elemzi, hogy betekintést nyújtson az Azure-felhő forgalmi folyamatába. Ezzel az eszközzel győződjön meg arról, hogy nincs adatkiszivárgás a fürt számára, és észlelheti, hogy vannak-e szükségtelen nyilvános IP-címek. |
| A hálózat megfigyelhetőségének engedélyezése. | Az AKS hálózati megfigyelhetőségi bővítménye a Kubernetes hálózati verem több rétegében is megfigyelhető. a fürt szolgáltatásai közötti hozzáférés figyelése és megfigyelése (kelet-nyugati forgalom). |
| Győződjön meg a Container Insightst támogató Log Analytics-munkaterület biztonságáról. | A Container Insights egy Log Analytics-munkaterületre támaszkodik. A munkaterület biztonságának biztosításához tekintse meg az Azure Monitor-naplók ajánlott eljárásait. |
Következő lépés
- Ajánlott eljárások az Azure Monitor teljes üzembe helyezéséhez.