Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo fornisce istruzioni per la distribuzione sicura di Monitoraggio di Azure e spiega in che modo Microsoft protegge Monitoraggio di Azure.
Inserimento e archiviazione dei log
Concedere l'accesso ai dati nell'area di lavoro in base alle esigenze
- Impostare la modalità di controllo di accesso dell'area di lavoro su Usare le autorizzazioni delle risorse o dell'area di lavoro per consentire ai proprietari delle risorse di usare il contesto delle risorse per accedere ai dati senza concedere l'accesso esplicito all'area di lavoro. Ciò semplifica la configurazione dell'area di lavoro e consente agli utenti di accedere solo ai dati necessari.
Istruzioni: Gestire l'accesso alle aree di lavoro Log Analytics - Assegnare il ruolo predefinito appropriato per concedere le autorizzazioni per l'area di lavoro agli amministratori a livello di sottoscrizione, gruppo di risorse o area di lavoro a seconda dell'ambito delle responsabilità.
Istruzioni: Gestire l'accesso alle aree di lavoro Log Analytics - Applicare il controllo degli accessi in base al ruolo a livello di tabella agli utenti che richiedono l'accesso a un set di tabelle tra più risorse. Gli utenti con autorizzazioni di tabella hanno accesso a tutti i dati nella tabella indipendentemente dalle relative autorizzazioni per le risorse.
Istruzioni: Gestire l'accesso alle aree di lavoro Log Analytics
Inviare dati all'area di lavoro usando Transport Layer Security (TLS) 1.2 o versione successiva
Se si usano agenti, connettori o API di inserimento log per inviare dati all'area di lavoro, usare Transport Layer Security (TLS) 1.2 o versione successiva per garantire la sicurezza dei dati in transito. Le versioni precedenti di TLS/Secure Sockets Layer (SSL) sono state trovate vulnerabili e, mentre attualmente funzionano per consentire la compatibilità con le versioni precedenti, non sono consigliate e il settore sta rapidamente passando all'abbandono del supporto per questi protocolli meno recenti.
Il PCI Security Standards Council ha imposto il 30 giugno 30, 2018 come scadenza per disabilitare le versioni precedenti di TLS/SSL ed eseguire l'aggiornamento a protocolli più sicuri. Quando Azure elimina il supporto legacy, se gli agenti non riescono a comunicare su almeno TLS 1.3, non sarà possibile inviare dati ai log di Monitoraggio di Azure.
È consigliabile NON impostare in modo esplicito l'agente in modo che usi SOLO TLS 1.3, a meno che non sia necessario. È preferibile consentire all'agente di rilevare, negoziare e sfruttare automaticamente gli standard di sicurezza futuri. In caso contrario, si potrebbe perdere la sicurezza aggiunta degli standard più recenti ed eventualmente riscontrare problemi se TLS 1.3 fosse mai deprecato in favore degli standard più recenti.
Importante
Il 1° luglio 2025, in linea con l'ampio ritiro dei protocolli TLS legacy di Azure, le versioni di TLS 1.0/1.1 verranno ritirate per i log di Monitoraggio di Azure. Per fornire la crittografia di livello migliore, i log di Monitoraggio di Azure usano Transport Layer Security (TLS) 1.2 e 1.3 come meccanismi di crittografia scelti.
Per eventuali domande generali sul problema TLS legacy, vedere Risoluzione dei problemi TLS e supporto TLS di Azure Resource Manager.
Configurare il controllo delle query di log
- Configurare il controllo delle query di log per registrare i dettagli di ogni query eseguita in un'area di lavoro.
Istruzioni: Controllare le query nei log di Monitoraggio di Azure - Considerare i dati di controllo delle query di log come dati di sicurezza e proteggere l'accesso alla tabella LAQueryLogs in modo appropriato.
Istruzioni: configurare l'accesso ai dati nell'area di lavoro in base alle esigenze. - Se si separano i dati operativi e di sicurezza, inviare i log di controllo per ogni area di lavoro all'area di lavoro locale o consolidare in un'area di lavoro dedicata per la sicurezza.
Istruzioni: configurare l'accesso ai dati nell'area di lavoro in base alle esigenze. - Usare le informazioni dettagliate sull'area di lavoro Log Analytics per esaminare periodicamente i dati di controllo delle query di log.
Istruzioni: Informazioni dettagliate sull'area di lavoro Log Analytics. - Creare regole di avviso per la ricerca nei log in modo da ricevere una notifica se utenti non autorizzati tentano di eseguire query.
Istruzioni: Regole di avviso per ricerca log.
Garantire l'immutabilità dei dati di controllo
Azure Monitor è una piattaforma dati che supporta solo l'accodamento, ma include misure per eliminare i dati a scopo di conformità. Per proteggere i dati di controllo:
Impostare un blocco nell'area di lavoro Log Analytics per bloccare tutte le attività che potrebbero eliminare i dati, tra cui ripulitura, eliminazione di tabelle e modifiche di conservazione dei dati a livello di area di lavoro o a livello di area di lavoro. Tenere tuttavia presente che questo blocco può essere rimosso.
Istruzioni: Bloccare le risorse per proteggere l'infrastrutturaSe è necessaria una soluzione completamente a prova di manomissione, è consigliabile esportare i dati in una soluzione di archiviazione non modificabile:
- Determinare i tipi di dati specifici da esportare. Non tutti i tipi di log hanno la stessa rilevanza per la conformità, il controllo o la sicurezza.
- Usare l'esportazione dei dati per inviare dati a un account di archiviazione di Azure.
Istruzioni: Esportazione dati dallo spazio di lavoro Log Analytics in Azure Monitor - Impostare criteri di immutabilità per la protezione da manomissioni dei dati.
Istruzioni: Configurare i criteri di immutabilità per le versioni BLOB
Filtrare o offuscare i dati sensibili nell'area di lavoro
Se i dati di log includono informazioni riservate:
- Filtrare i record che non devono essere raccolti usando la configurazione per l'origine dati specifica.
- Usare una trasformazione se devono essere rimosse o offuscate solo determinate colonne nei dati.
Istruzioni: Trasformazioni in Monitoraggio di Azure - Se si dispone di standard che richiedono che i dati originali non vengano modificato, usare il valore letterale "h" nelle query KQL per offuscare i risultati delle query visualizzati nelle cartelle di lavoro.
Istruzioni: Stringhe letterali offuscate
Eliminare i dati sensibili raccolti accidentalmente
- Controllare periodicamente la presenza di dati privati che potrebbero essere raccolti accidentalmente nell'area di lavoro.
- Usare l'eliminazione dei dati per rimuovere i dati indesiderati. Si noti che i dati nelle tabelle con il piano ausiliario non possono essere eliminati.
Istruzioni: Gestione dei dati personali nei log di Monitoraggio di Azure e in Application Insights
Collegare l'area di lavoro a un cluster dedicato per una sicurezza avanzata
Monitoraggio di Azure crittografa tutti i dati inattivi e le query salvate usando chiavi gestite da Microsoft (MMK). Se si raccolgono dati sufficienti per un cluster dedicato, collegare l'area di lavoro a un cluster dedicato per le funzionalità di sicurezza avanzate, tra cui:
- Chiavi gestite dal cliente per maggiore flessibilità e controllo del ciclo di vita chiave. Se si usa Microsoft Sentinel, assicurarsi di avere familiarità con le considerazioni riportate in Configurare la chiave gestita dal cliente di Microsoft Sentinel.
- Customer Lockbox per Microsoft Azure per esaminare e approvare o rifiutare le richieste di accesso ai dati dei clienti. Customer Lockbox viene usato quando un tecnico Microsoft deve accedere ai dati dei clienti, in risposta a un ticket di supporto avviato dal cliente o a un problema identificato da Microsoft. Non è attualmente possibile applicare Lockbox alle tabelle con il piano ausiliario.
Istruzioni: Creare e gestire un cluster dedicato nei log di Monitoraggio di Azure
Bloccare l'accesso all'area di lavoro dalle reti pubbliche usando il collegamento privato di Azure
Microsoft protegge le connessioni agli endpoint pubblici con la crittografia end-to-end. Se è necessario un endpoint privato, usare il collegamento privato di Azure per consentire alle risorse di connettersi all'area di lavoro Log Analytics tramite reti private autorizzate. È anche possibile usare il collegamento privato per forzare l'inserimento dei dati dell'area di lavoro tramite ExpressRoute o una VPN.
Istruzioni: Progettare la configurazione del collegamento privato di Azure
Avvisi
Gestire le autorizzazioni delle regole di avviso per la ricerca nei log usando le identità gestite
Una sfida comune per gli sviluppatori è la gestione di segreti, credenziali, certificati e chiavi usati per proteggere la comunicazione tra i servizi. Le identità gestite eliminano la necessità per gli sviluppatori di gestire queste credenziali. L'impostazione di un'identità gestita per le regole di avviso di ricerca log consente di controllare e visualizzare le autorizzazioni esatte della regola di avviso. Puoi visualizzare in qualsiasi momento le autorizzazioni di query della tua regola e aggiungere o rimuovere autorizzazioni direttamente tramite l'identità gestita.
L'uso di un'identità gestita è necessario se la query della regola accede a Esplora dati di Azure (ADX) o Azure Resource Graph (ARG).
Istruzioni: creare o modificare una regola di avviso di ricerca log.
Assegnare il ruolo Lettore di monitoraggio a tutti gli utenti che non necessitano dei privilegi di configurazione
Migliorare la sicurezza concedendo agli utenti i privilegi minimi necessari per il proprio ruolo.
Istruzioni: ruoli, autorizzazioni e sicurezza in Monitoraggio di Azure.
Usare azioni webhook sicure laddove possibile
Se la regola di avviso contiene un gruppo di azioni che usa azioni webhook, preferire l'uso di azioni webhook sicure per un'autenticazione più avanzata.
Istruzioni: configurare l'autenticazione per il webhook protetto.
Usare le chiavi gestite dal cliente se è necessaria la propria chiave di crittografia per proteggere i dati e le query salvate nelle aree di lavoro
Monitoraggio di Azure crittografa tutte le query salvate e tutti i dati inattivi usando chiavi gestite da Microsoft. Se è necessaria la propria chiave di crittografia e si raccolgono dati sufficienti per un cluster dedicato, usare chiavi gestite dal cliente per una maggiore flessibilità e controllo del ciclo di vita delle chiavi.
Istruzioni: chiavi gestite dal cliente.
Se si usa Microsoft Sentinel, vedereConfigurare la chiave gestita dal cliente di Microsoft Sentinel.
Monitoraggio delle macchine virtuali
Implementare il monitoraggio della sicurezza delle macchine virtuali usando i servizi di sicurezza di Azure
Sebbene Monitoraggio di Azure sia in grado di raccogliere eventi di sicurezza dalle macchine virtuali, non è progettato per essere usato per il monitoraggio della sicurezza. Azure include numerosi servizi, ad esempio, Microsoft Defender per il cloud e Microsoft Sentinel, insieme, essi offrono una soluzione completa di monitoraggio della sicurezza. Per un confronto di questi servizi, vedere Monitoraggio della sicurezza.
Connettere le macchine virtuali a Azure Monitor tramite un endpoint privato usando Azure Private Link
Microsoft protegge le connessioni agli endpoint pubblici con la crittografia end-to-end. Se è necessario un endpoint privato, usare il collegamento privato di Azure per consentire alle risorse di connettersi all'area di lavoro Log Analytics tramite reti private autorizzate. È anche possibile usare il collegamento privato per forzare l'inserimento dei dati dell'area di lavoro tramite ExpressRoute o una VPN.
Istruzioni: Progettare la configurazione del collegamento privato di Azure
Monitoraggio contenitori
Connettere i cluster a Container Insights utilizzando l'autenticazione con identità gestita
L'autenticazione dell'identità gestita è il metodo di autenticazione predefinito per i nuovi cluster. Se si usa l'autenticazione legacy, eseguire la migrazione all'identità gestita per rimuovere l'autenticazione locale basata su certificati.
Istruzioni: Eseguire la migrazione all'autenticazione dell'identità gestita
Inviare dati dai cluster ad Azure Monitor tramite un endpoint privato usando Azure Private Link
Il servizio gestito di Azure per Prometheus archivia i dati in un'area di lavoro di Monitoraggio di Azure, che usa un endpoint pubblico per impostazione predefinita. Microsoft protegge le connessioni agli endpoint pubblici con la crittografia end-to-end. Se è necessario un endpoint privato, usare il collegamento privato di Azure per consentire al cluster di connettersi all'area di lavoro tramite reti private autorizzate. È anche possibile usare un collegamento privato per forzare l'inserimento dei dati dell'area di lavoro tramite ExpressRoute o una VPN.
Istruzioni: vedere Abilitare il collegamento privato per il monitoraggio di Kubernetes in Monitoraggio di Azure per informazioni dettagliate sulla configurazione del cluster per il collegamento privato. Per informazioni dettagliate sull'esecuzione di query sui dati tramite collegamento privato, vedere Usare endpoint privati per l'area di lavoro gestita di Prometheus e Monitoraggio di Azure.
Monitorare il traffico di rete da e verso cluster usando l'analisi del traffico
Analisi del traffico analizza i log dei flussi NSG di Azure Network Watcher per fornire informazioni dettagliate sul flusso del traffico nel cloud di Azure. Usare questo strumento per assicurarsi che non sia presente alcuna esfiltrazione di dati per il cluster e per rilevare se sono esposti indirizzi IP pubblici non necessari.
Abilitare l'osservabilità della rete
Il componente aggiuntivo per l'osservabilità della rete per Azure Kubernetes Service (AKS) fornisce visibilità tra i vari livelli nello stack di rete Kubernetes. Monitorare e osservare l'accesso tra i servizi nel cluster (traffico east-west).
Istruzioni: Configurare l'osservabilità della rete dei contenitori per il servizio Azure Kubernetes
Proteggere l'area di lavoro Log Analytics
Container Insights invia dati a uno spazio di lavoro di Log Analytics. Assicurarsi di proteggere gli inserimenti e l'archiviazione dei log nell'area di lavoro Log Analytics.
Istruzioni: inserimento e archiviazione dei log.
Come Microsoft protegge Azure Monitor
Le istruzioni contenute in questo articolo si basano sul modello di responsabilità della sicurezza Microsoft. Nell'ambito di questo modello di responsabilità condivisa, Microsoft fornisce queste misure di sicurezza ai clienti di Monitoraggio di Azure:
- Sicurezza dell'infrastruttura di Azure
- Protezione dei dati dei clienti di Azure
- Crittografia dei dati in transito durante l'inserimento dei dati
- Crittografia dei dati inattivi con chiavi gestite da Microsoft
- Autenticazione di Microsoft Entra per l'accesso al piano dati
- Autenticazione dell'agente di Monitoraggio di Azure e di Application Insights tramite identità gestite
- Accesso privilegiato alle azioni del piano dati tramite il Controllo degli accessi in base al ruolo (RBAC di Azure)
- Conformità agli standard e alle normative del settore
Linee guida e procedure consigliate per la sicurezza di Azure
Le istruzioni per la distribuzione sicura di Monitoraggio di Azure sono basate sulle linee guida complete e sulle procedure consigliate per la sicurezza cloud di Azure, tra cui:
- Cloud Adoption Framework, che fornisce indicazioni sulla sicurezza per i team che gestiscono l'infrastruttura tecnologica.
- Azure Well-Architected Framework, che fornisce procedure consigliate per l'architettura per la creazione di applicazioni sicure.
- Microsoft Cloud Security Benchmark (MCSB), che descrive le funzionalità di sicurezza disponibili e le configurazioni ottimali consigliate.
- Principi di sicurezza Zero Trust, che forniscono indicazioni ai team di sicurezza per implementare funzionalità tecniche per supportare un'iniziativa di modernizzazione Zero Trust.
Passaggio successivo
- Altre informazioni su come iniziare a usare Monitoraggio di Azure.