Gambaran umum dan panduan keamanan Azure Monitor
Artikel ini menyediakan Panduan keamanan untuk Azure Monitor sebagai bagian dari Azure Well-Architected Framework.
Panduan keamanan Azure Monitor membantu Anda memahami fitur keamanan Azure Monitor dan cara mengonfigurasinya untuk mengoptimalkan keamanan berdasarkan:
- Cloud Adoption Framework, yang menyediakan panduan keamanan untuk tim yang mengelola infrastruktur teknologi.
- Azure Well-Architected Framework, yang menyediakan praktik terbaik arsitektur untuk membangun aplikasi yang aman.
- Tolok ukur keamanan cloud Microsoft (MCSB), yang menjelaskan fitur keamanan yang tersedia dan konfigurasi optimal yang direkomendasikan.
- Prinsip keamanan Zero Trust, yang memberikan panduan bagi tim keamanan untuk menerapkan kemampuan teknis guna mendukung inisiatif modernisasi Zero Trust.
Panduan dalam artikel ini dibangun berdasarkan model tanggung jawab keamanan Microsoft. Sebagai bagian dari model tanggung jawab bersama ini, Microsoft menyediakan langkah-langkah keamanan ini untuk pelanggan Azure Monitor:
- Keamanan infrastruktur Azure
- Perlindungan data pelanggan Azure
- Enkripsi data saat transit selama penyerapan data
- Enkripsi data tidak aktif dengan kunci terkelola Microsoft
- Autentikasi Microsoft Entra untuk akses sarana data
- Autentikasi Agen Azure Monitor dan Application Insights menggunakan identitas terkelola
- Akses istimewa ke tindakan sarana data menggunakan Kontrol Akses Berbasis Peran (Azure RBAC)
- Kepatuhan terhadap standar dan peraturan industri
Penyerapan log dan penyimpanan
Daftar periksa desain
- Konfigurasikan akses untuk berbagai jenis data di ruang kerja yang diperlukan untuk peran yang berbeda di organisasi Anda.
- Gunakan tautan privat Azure untuk menghapus akses ke ruang kerja Anda dari jaringan publik.
- Konfigurasikan audit kueri log untuk melacak pengguna mana yang menjalankan kueri.
- Pastikan kekekalan data audit.
- Tentukan strategi untuk memfilter atau mengaburkan data sensitif di ruang kerja Anda.
- Hapus menyeluruh data sensitif yang dikumpulkan secara tidak sengaja.
- Tautkan ruang kerja Anda ke kluster khusus untuk fitur keamanan yang ditingkatkan, termasuk enkripsi ganda menggunakan kunci yang dikelola pelanggan dan Lockbox pelanggan untuk Microsoft Azure untuk menyetujui atau menolak permintaan akses data Microsoft.
- Gunakan Transport Layer Security (TLS) 1.2 atau yang lebih tinggi untuk mengirim data ke ruang kerja Anda menggunakan agen, konektor, dan API penyerapan Log.
Rekomendasi konfigurasi
| Rekomendasi | Keuntungan |
|---|---|
| Konfigurasikan akses untuk berbagai jenis data di ruang kerja yang diperlukan untuk peran yang berbeda di organisasi Anda. | Atur mode kontrol akses untuk ruang kerja ke Menggunakan izin sumber daya atau ruang kerja untuk memungkinkan pemilik sumber daya menggunakan konteks sumber daya untuk mengakses data mereka tanpa diberikan akses eksplisit ke ruang kerja. Ini menyederhanakan konfigurasi ruang kerja Anda dan membantu memastikan pengguna tidak dapat mengakses data yang seharusnya tidak mereka lakukan. Tetapkan peran bawaan yang sesuai untuk memberikan izin ruang kerja kepada administrator di tingkat langganan, grup sumber daya, atau ruang kerja tergantung pada cakupan tanggung jawab mereka. Terapkan RBAC tingkat tabel untuk pengguna yang memerlukan akses ke sekumpulan tabel di beberapa sumber daya. Pengguna dengan izin tabel memiliki akses ke semua data dalam tabel terlepas dari izin sumber daya mereka. Lihat Mengelola akses ke ruang kerja Analitik Log untuk detail tentang berbagai opsi untuk memberikan akses ke data di ruang kerja. |
| Gunakan tautan privat Azure untuk menghapus akses ke ruang kerja Anda dari jaringan publik. | Koneksi ke titik akhir publik diamankan dengan enkripsi end-to-end. Jika Anda memerlukan titik akhir privat, Anda dapat menggunakan tautan privat Azure untuk mengizinkan sumber daya tersambung ke ruang kerja Analitik Log Anda melalui jaringan privat yang diotorisasi. Tautan privat juga dapat digunakan untuk memaksa penyerapan data ruang kerja melalui ExpressRoute atau VPN. Lihat Mendesain penyiapan Azure Private Link Anda untuk menentukan topologi jaringan dan DNS terbaik untuk lingkungan Anda. |
| Konfigurasikan audit kueri log untuk melacak pengguna mana yang menjalankan kueri. | Audit kueri log mencatat detail untuk setiap kueri yang dijalankan di ruang kerja. Perlakukan data audit ini sebagai data keamanan dan amankan tabel LAQueryLogs dengan tepat. Konfigurasikan log audit untuk setiap ruang kerja yang akan dikirim ke ruang kerja lokal, atau konsolidasikan di ruang kerja keamanan khusus jika Anda memisahkan data operasional dan keamanan Anda. Gunakan wawasan ruang kerja Analitik Log untuk meninjau data ini secara berkala dan pertimbangkan untuk membuat aturan pemberitahuan pencarian log untuk secara proaktif memberi tahu Anda jika pengguna yang tidak sah mencoba menjalankan kueri. |
| Pastikan kekekalan data audit. | Azure Monitor adalah platform data khusus tambahan, tetapi menyertakan ketentuan untuk menghapus data untuk tujuan kepatuhan. Anda dapat mengatur kunci di ruang kerja Analitik Log untuk memblokir semua aktivitas yang dapat menghapus data: penghapusan menyeluruh, penghapusan tabel, dan perubahan retensi data tingkat tabel atau ruang kerja. Namun, kunci ini masih dapat dihapus. Jika Anda memerlukan solusi yang sepenuhnya dapat diubah, kami sarankan Anda mengekspor data Anda ke solusi penyimpanan yang tidak dapat diubah. Gunakan ekspor data untuk mengirim data ke akun penyimpanan Azure dengan kebijakan imutabilitas untuk melindungi dari perubahan data. Tidak setiap jenis log memiliki relevansi yang sama untuk kepatuhan, audit, atau keamanan, jadi tentukan jenis data tertentu yang harus diekspor. |
| Tentukan strategi untuk memfilter atau mengaburkan data sensitif di ruang kerja Anda. | Anda mungkin mengumpulkan data yang menyertakan informasi sensitif. Filter rekaman yang tidak boleh dikumpulkan menggunakan konfigurasi untuk sumber data tertentu. Gunakan transformasi jika hanya kolom tertentu dalam data yang harus dihapus atau dikaburkan. Jika Anda memiliki standar yang mengharuskan data asli tidak dimodifikasi, maka Anda dapat menggunakan harfiah 'h' dalam kueri KQL untuk mengaburkan hasil kueri yang ditampilkan dalam buku kerja. |
| Hapus menyeluruh data sensitif yang dikumpulkan secara tidak sengaja. | Periksa secara berkala untuk data privat yang mungkin secara tidak sengaja dikumpulkan di ruang kerja Anda dan gunakan penghapusan menyeluruh data untuk menghapusnya. Data dalam tabel dengan paket Tambahan saat ini tidak dapat dibersihkan. |
| Tautkan ruang kerja Anda ke kluster khusus untuk fitur keamanan yang ditingkatkan, termasuk enkripsi ganda menggunakan kunci yang dikelola pelanggan dan Lockbox pelanggan untuk Microsoft Azure untuk menyetujui atau menolak permintaan akses data Microsoft. | Azure Monitor mengenkripsi semua data tidak aktif dan kueri yang disimpan menggunakan kunci yang dikelola Microsoft (MMK). Jika Anda mengumpulkan cukup data untuk kluster khusus, gunakan: - Kunci yang dikelola pelanggan untuk fleksibilitas dan kontrol siklus hidup utama yang lebih besar. Jika Anda menggunakan Microsoft Azure Sentinel, pastikan Anda terbiasa dengan pertimbangan di Menyiapkan kunci yang dikelola pelanggan Microsoft Azure Sentinel. - Customer Lockbox untuk Microsoft Azure untuk meninjau dan menyetujui atau menolak permintaan akses data pelanggan. Customer Lockbox digunakan saat teknisi Microsoft perlu mengakses data pelanggan, baik sebagai respons terhadap tiket dukungan yang dimulai pelanggan atau masalah yang diidentifikasi oleh Microsoft. Lockbox saat ini tidak dapat diterapkan ke tabel dengan paket Tambahan. |
| Gunakan Transport Layer Security (TLS) 1.2 atau yang lebih tinggi untuk mengirim data ke ruang kerja Anda menggunakan agen, konektor, dan API penyerapan Log. | Untuk memastikan keamanan data saat transit ke Azure Monitor, gunakan Transport Layer Security (TLS) 1.2 atau yang lebih tinggi. Versi TLS/Secure Sockets Layer (SSL)yang lebih lama dianggap rentan dan sewaktu masih digunakan untuk mengaktifkan kompatibilitas mundur, versi tersebut tidak disarankan, dan industri dengan cepat bergerak untuk meninggalkan dukungan untuk protokol yang lebih lama ini. Badan Standar Keamanan PCI sudah menetapkan tenggat waktu pada 30 Juni 2018 untuk menonaktifkan versi TLS/SSL yang lebih lama dan meningkatkan ke protokol yang lebih aman. Setelah Azure menghilangkan dukungan warisan, jika agen Anda tidak dapat berkomunikasi setidaknya melalui TLS 1.3, Anda tidak akan dapat mengirim data ke Log Azure Monitor. Kami sarankan Anda TIDAK secara eksplisit mengatur agen Anda untuk hanya menggunakan TLS 1.3 kecuali diperlukan. Sebaiknya Anda mengizinkan agar agen secara otomatis mendeteksi, menegosiasi, dan memanfaatkan standar keamanan di masa mendatang. Jika tidak, Anda mungkin melewatkan keamanan tambahan dari standar yang lebih baru dan mungkin mengalami masalah jika TLS 1.3 tidak digunakan lagi demi standar yang lebih baru tersebut. |
Peringatan
Daftar periksa desain
- Gunakan kunci yang dikelola pelanggan jika Anda memerlukan kunci enkripsi Anda sendiri untuk melindungi data dan kueri yang disimpan di ruang kerja Anda
- Menggunakan identitas terkelola untuk meningkatkan keamanan dengan mengontrol izin
- Menetapkan peran pembaca pemantauan untuk semua pengguna yang tidak memerlukan hak istimewa konfigurasi
- Menggunakan tindakan webhook yang aman
- Saat menggunakan grup tindakan yang menggunakan tautan privat, gunakan tindakan Hub peristiwa
Rekomendasi konfigurasi
| Rekomendasi | Keuntungan |
|---|---|
| Gunakan kunci yang dikelola pelanggan jika Anda memerlukan kunci enkripsi Anda sendiri untuk melindungi data dan kueri yang disimpan di ruang kerja Anda. | Azure Monitor memastikan bahwa semua data dan kueri yang disimpan dienkripsi saat tidak digunakan menggunakan kunci yang dikelola Microsoft (MMK). Jika Anda memerlukan kunci enkripsi Anda sendiri dan mengumpulkan data yang cukup untuk kluster khusus, gunakan kunci yang dikelola pelanggan untuk fleksibilitas dan kontrol siklus hidup utama yang lebih besar. Jika Anda menggunakan Microsoft Azure Sentinel, pastikan Anda terbiasa dengan pertimbangan di Menyiapkan kunci yang dikelola pelanggan Microsoft Azure Sentinel. |
| Untuk mengontrol izin untuk aturan pemberitahuan pencarian log, gunakan identitas terkelola untuk aturan pemberitahuan pencarian log Anda. | Tantangan umum bagi pengembang adalah manajemen rahasia, info masuk, sertifikat, dan kunci yang digunakan untuk mengamankan komunikasi antara berbagai layanan. Identitas terkelola menghilangkan kebutuhan pengembang untuk mengelola info masuk. Mengatur identitas terkelola untuk aturan pemberitahuan pencarian log memberi Anda kontrol dan visibilitas ke dalam izin yang tepat dari aturan pemberitahuan Anda. Kapan saja, Anda bisa menampilkan izin kueri aturan Anda dan menambahkan atau menghapus izin langsung dari identitas terkelolanya. Selain itu, menggunakan identitas terkelola diperlukan jika kueri aturan Anda mengakses Azure Data Explorer (ADX) atau Azure Resource Graph (ARG). Lihat Identitas terkelola. |
| Tetapkan peran pembaca pemantauan untuk semua pengguna yang tidak memerlukan hak istimewa konfigurasi. | Tingkatkan keamanan dengan memberi pengguna jumlah hak istimewa paling sedikit yang diperlukan untuk peran mereka. Lihat Peran, izin, dan keamanan di Azure Monitor. |
| Jika memungkinkan, gunakan tindakan webhook yang aman. | Jika aturan pemberitahuan Anda berisi grup tindakan yang menggunakan tindakan webhook, lebih suka menggunakan tindakan webhook yang aman untuk autentikasi tambahan. Lihat Mengonfigurasi autentikasi untuk Webhook aman |
Pemantauan komputer virtual
Daftar periksa desain
- Gunakan layanan lain untuk pemantauan keamanan VM Anda.
- Pertimbangkan untuk menggunakan tautan privat Azure untuk VM agar tersambung ke Azure Monitor menggunakan titik akhir privat.
Rekomendasi konfigurasi
| Rekomendasi | Deskripsi |
|---|---|
| Gunakan layanan lain untuk pemantauan keamanan VM Anda. | Meskipun Azure Monitor dapat mengumpulkan peristiwa keamanan dari VM Anda, azure Monitor tidak dimaksudkan untuk digunakan untuk pemantauan keamanan. Azure menyertakan beberapa layanan seperti Microsoft Defender untuk Cloud dan Microsoft Sentinel yang bersama-sama menyediakan solusi pemantauan keamanan lengkap. Lihat Pemantauan keamanan untuk perbandingan layanan ini. |
| Pertimbangkan untuk menggunakan tautan privat Azure untuk VM agar tersambung ke Azure Monitor menggunakan titik akhir privat. | Koneksi ke titik akhir publik diamankan dengan enkripsi end-to-end. Jika Anda memerlukan titik akhir privat, Anda dapat menggunakan tautan privat Azure untuk memungkinkan VM Anda tersambung ke Azure Monitor melalui jaringan privat yang diotorisasi. Tautan privat juga dapat digunakan untuk memaksa penyerapan data ruang kerja melalui ExpressRoute atau VPN. Lihat Mendesain penyiapan Azure Private Link Anda untuk menentukan topologi jaringan dan DNS terbaik untuk lingkungan Anda. |
Pemantauan kontainer
Daftar periksa desain
- Gunakan autentikasi identitas terkelola untuk kluster Anda untuk menyambungkan ke wawasan Kontainer.
- Pertimbangkan untuk menggunakan tautan privat Azure untuk kluster Anda untuk menyambungkan ke ruang kerja Azure Monitor Anda menggunakan titik akhir privat.
- Gunakan analitik lalu lintas untuk memantau lalu lintas jaringan ke dan dari kluster Anda.
- Aktifkan pengamatan jaringan.
- Pastikan keamanan ruang kerja Analitik Log yang mendukung wawasan Kontainer.
Rekomendasi konfigurasi
| Rekomendasi | Keuntungan |
|---|---|
| Gunakan autentikasi identitas terkelola untuk kluster Anda untuk menyambungkan ke wawasan Kontainer. | Autentikasi identitas terkelola adalah default untuk kluster baru. Jika Anda menggunakan autentikasi warisan, Anda harus bermigrasi ke identitas terkelola untuk menghapus autentikasi lokal berbasis sertifikat. |
| Pertimbangkan untuk menggunakan tautan privat Azure untuk kluster Anda untuk menyambungkan ke ruang kerja Azure Monitor Anda menggunakan titik akhir privat. | Layanan terkelola Azure untuk Prometheus menyimpan datanya di ruang kerja Azure Monitor yang menggunakan titik akhir publik secara default. Koneksi ke titik akhir publik diamankan dengan enkripsi end-to-end. Jika Anda memerlukan titik akhir privat, Anda dapat menggunakan tautan privat Azure untuk memungkinkan kluster Anda terhubung ke ruang kerja melalui jaringan privat yang diotorisasi. Tautan privat juga dapat digunakan untuk memaksa penyerapan data ruang kerja melalui ExpressRoute atau VPN. Lihat Mengaktifkan tautan privat untuk pemantauan Kubernetes di Azure Monitor untuk detail tentang mengonfigurasi kluster Anda untuk tautan privat. Lihat Menggunakan titik akhir privat untuk ruang kerja Prometheus Terkelola dan Azure Monitor untuk detail tentang mengkueri data Anda menggunakan tautan privat. |
| Gunakan analitik lalu lintas untuk memantau lalu lintas jaringan ke dan dari kluster Anda. | Analitik lalu lintas menganalisis log alur NSG Azure Network Watcher untuk memberikan wawasan tentang arus lalu lintas di cloud Azure Anda. Gunakan alat ini untuk memastikan tidak ada penyelundupan data untuk kluster Anda dan untuk mendeteksi apakah ada IP publik yang tidak perlu diekspos. |
| Aktifkan pengamatan jaringan. | Add-on pengamatan jaringan untuk AKS memberikan pengamatan di beberapa lapisan di tumpukan jaringan Kube. memantau dan mengamati akses antar layanan dalam kluster (lalu lintas timur-barat). |
| Pastikan keamanan ruang kerja Analitik Log yang mendukung wawasan Kontainer. | Wawasan kontainer bergantung pada ruang kerja Analitik Log. Lihat Praktik terbaik untuk Log Azure Monitor untuk rekomendasi guna memastikan keamanan ruang kerja. |