Обеспечьте безопасность развертывания Azure Monitor

В этой статье приведены инструкции по безопасному развертыванию Azure Monitor и описано, как Майкрософт защищает Azure Monitor.

1. Установите режим управления доступом к рабочей области на Использовать разрешения ресурсов или рабочей области, чтобы владельцы ресурсов могли использовать контекст ресурсов для доступа к своим данным без предоставления явного доступа к рабочей области. Это упрощает настройку рабочей области и помогает обеспечить пользователям доступ только к нужным данным.
   Инструкции. Управление доступом к рабочим областям Log Analytics
2. Назначьте соответствующую встроенную роль, чтобы предоставить администраторам разрешения рабочей области на уровне подписки, группы ресурсов или рабочей области в зависимости от их области обязанностей.
   Инструкции. Управление доступом к рабочим областям Log Analytics
3. Примените RBAC уровня таблицы для пользователей, которым требуется доступ к набору таблиц в нескольких ресурсах. Пользователи с разрешениями на таблицу имеют доступ ко всем данным в таблице независимо от их разрешений ресурса.
   Инструкции. Управление доступом к рабочим областям Log Analytics

Если вы используете агенты, соединители или API приема журналов для отправки данных в рабочую область, используйте протокол TLS 1.2 или более поздней версии, чтобы обеспечить безопасность передаваемых данных. Более старые версии ПРОТОКОЛА TLS/Secure Sockets Layer (SSL) оказались уязвимыми и, хотя они по-прежнему работают, чтобы обеспечить обратную совместимость, они не рекомендуется, и отрасль быстро переходит к отказу от поддержки этих старых протоколов.

Совет по стандартам безопасности PCI установил крайний срок (30 июня 2018 года) для отказа от старых версий протоколов TLS или SSL и перехода на более безопасные протоколы. После отказа Azure от поддержки устаревших стандартов, если ваши агенты не смогут обмениваться данными как минимум по протоколу TLS 1.3, вы не сможете отправлять данные в журналы Azure Monitor.

Мы рекомендуем не явно задать агенту только протокол TLS 1.3, если это не необходимо. Лучше всего предоставить агенту возможность автоматического обнаружения, согласования и использования перспективных стандартов безопасности. В противном случае вы можете пропустить добавленную безопасность новых стандартов и, возможно, возникнуть проблемы, если TLS 1.3 когда-либо устарел в пользу этих новых стандартов.

Общие вопросы по проблеме с устаревшим TLS см. в статье Решение проблем TLS и TLS поддержка Azure Resource Manager.

1. Настройте аудит запросов журнала для записи сведений о каждом запросе, выполняемом в рабочей области.
   Инструкции:Проверка запросов в журналах Azure Monitor
2. Необходимо обрабатывать данные аудита логов как данные безопасности и обеспечить безопасный доступ к таблице LAQueryLogs.
   Инструкции.Настройка доступа к данным в рабочей области на основе необходимости.
3. Если вы отделяете данные о работе и безопасности, отправьте журналы аудита для каждой рабочей области в локальную рабочую область или консолидируйте в выделенную рабочую область безопасности.
   Инструкции.Настройка доступа к данным в рабочей области на основе необходимости.
4. Используйте аналитику рабочей области Log Analytics для периодического просмотра данных аудита запросов журнала.
   Инструкции: Инсайты рабочей области Log Analytics.
5. Создайте правила генерации оповещений поиска по журналам, чтобы уведомить вас о попытке несанкционированных пользователей выполнять запросы.
   Инструкции. Правила генерации оповещений поиска журналов.

Azure Monitor — это платформа данных только для добавления, но она включает в себя положения для удаления данных в целях соответствия требованиям. Чтобы защитить данные аудита:

1. Установите блокировку в рабочей области Log Analytics, чтобы предотвратить все действия, которые могут привести к удалению данных, такие как очистка, удаление таблиц и изменения в ретенции данных на уровне таблиц или целой рабочей области. Однако следует помнить, что эту блокировку можно удалить.
   Инструкции. Блокировка ресурсов для защиты инфраструктуры

2. Если вам требуется полностью защищенное решение, рекомендуется экспортировать данные в неизменяемое решение для хранения:

   1. Определите определенные типы данных, которые следует экспортировать. Не все типы журналов имеют одинаковую релевантность для соответствия требованиям, аудита или безопасности.
   2. Используйте экспорт данных для отправки данных в учетную запись хранения Azure.
      Инструкции. Экспорт данных рабочей области Log Analytics в Azure Monitor
   3. Задайте политики неизменяемости для защиты от изменения данных.
      Инструкции.Настройка политик неизменяемости для версий BLOB-объектов

Если данные журнала содержат конфиденциальную информацию:

1. Фильтрация записей, которые не должны собираться с помощью конфигурации для конкретного источника данных.
2. Используйте преобразование, если следует удалить или запутать только определенные столбцы в данных.
   Инструкции. Преобразования в Azure Monitor
3. Если у вас есть стандарты, требующие, чтобы исходные данные были неизменены, используйте литерал 'h' в запросах KQL для маскировки результатов запросов, отображаемых в рабочих книгах.
   Инструкции. Нефускированные строковые литералы

1. Периодически проверяйте частные данные, которые могут случайно собираться в рабочей области.
2. Используйте очистку данных для удаления нежелательных данных. Обратите внимание, что данные в таблицах с вспомогательным планом в настоящее время не могут быть удалены.
   Инструкции.Управление личными данными в журналах Azure Monitor и Application Insights

Azure Monitor шифрует все данные в состоянии покоя и сохраненные запросы с использованием ключей, управляемых Microsoft (MMK). Если вы собираете достаточно данных для выделенного кластера, свяжите рабочую область с выделенным кластером для расширенных функций безопасности, в том числе:

• Управляемые клиентом ключи для повышения гибкости и управления жизненным циклом ключей. Если вы используете Microsoft Sentinel, убедитесь, что вы знакомы с рекомендациями по настройке управляемого клиентом ключа Microsoft Sentinel.
• Блокировка клиента для Microsoft Azure для проверки и утверждения или отклонения запросов на доступ к данным клиента. Блокировка клиента используется, когда инженер Майкрософт должен получить доступ к данным клиента, независимо от того, отвечает ли клиент на запрос в службу поддержки, инициированный клиентом, или проблема, обнаруженная корпорацией Майкрософт. В настоящее время Lockbox не может применяться к таблицам с вспомогательным планом.

Инструкции. Создание выделенного кластера и управление ими в журналах Azure Monitor

Корпорация Майкрософт защищает подключения к общедоступным конечным точкам с помощью сквозного шифрования. Если требуется частная конечная точка, используйте приватный канал Azure , чтобы разрешить ресурсам подключаться к рабочей области Log Analytics через авторизованные частные сети. Вы также можете использовать Private Link для принудительного приема данных рабочей области через ExpressRoute или VPN.

Инструкции. Разработка настройки Приватного канала Azure

Распространенной проблемой для разработчиков является управление секретами, учетными данными, сертификатами и ключами, используемыми для защиты обмена данными между службами. Управляемые удостоверения избавляют разработчиков от необходимости управлять учетными данными. Установка управляемой идентичности для ваших правил оповещений при поиске по журналам позволяет вам контролировать и просматривать точные разрешения вашего правила оповещения. В любое время вы можете просматривать разрешения запроса вашего правила и добавлять или удалять разрешения непосредственно из его управляемого удостоверения.

Использование управляемого удостоверения требуется, если запрос правила обращается к Azure Data Explorer (ADX) или Azure Resource Graph (ARG).

Инструкции. Создание или изменение правила генерации оповещений поиска по журналам.

Повышение безопасности путем предоставления пользователям минимальных привилегий, необходимых для их роли.

Инструкции. Роли, разрешения и безопасность в Azure Monitor.

Если правило генерации оповещений содержит группу действий, использующую действия веб-перехватчика, предпочитайте использовать безопасные действия веб-перехватчика для более строгой проверки подлинности.

Инструкции:Настройте аутентификацию для Secure webhook.

Azure Monitor шифрует все данные и сохраненные запросы в состоянии покоя с помощью ключей, управляемых Microsoft (MMK). Если требуется собственный ключ шифрования и сбор достаточно данных для выделенного кластера, используйте управляемые клиентом ключи для повышения гибкости и управления жизненным циклом ключей.

Инструкции. Управляемые клиентом ключи.

Если вы используете Microsoft Sentinel, см. раздел"Настройка управляемого клиентом ключа Microsoft Sentinel".

Хотя Azure Monitor может собирать события безопасности с виртуальных машин, он не предназначен для мониторинга безопасности. Azure включает несколько служб, таких как Microsoft Defender для облака и Microsoft Sentinel, которые вместе предоставляют полное решение для мониторинга безопасности. Смотрите раздел Мониторинг безопасности для сравнения этих служб.

Корпорация Майкрософт защищает подключения к общедоступным конечным точкам с помощью сквозного шифрования. Если требуется частная конечная точка, используйте приватный канал Azure , чтобы разрешить ресурсам подключаться к рабочей области Log Analytics через авторизованные частные сети. Вы также можете использовать Private Link для принудительной загрузки данных рабочей области через ExpressRoute или VPN.

Инструкции. Разработка настройки Приватного канала Azure

Аутентификация с использованием управляемого удостоверения является стандартным методом аутентификации для новых кластеров. Если вы используете устаревшую проверку подлинности, перейдите к управляемому удостоверению, чтобы удалить локальную проверку подлинности на основе сертификатов.

Инструкции:Перейти на аутентификацию с управляемой идентификацией

Управляемая служба Azure для Prometheus хранит свои данные в рабочей области Azure Monitor, которая использует общедоступную конечную точку по умолчанию. Корпорация Майкрософт защищает подключения к общедоступным конечным точкам с помощью сквозного шифрования. Если требуется частная конечная точка, используйте приватный канал Azure , чтобы разрешить кластеру подключаться к рабочей области через авторизованные частные сети. Приватный канал также можно использовать для принудительного приема данных рабочей области через ExpressRoute или VPN.

Инструкции: см. Включение приватного канала для мониторинга Kubernetes в Azure Monitor для получения сведений о настройке вашего кластера для приватного канала. Дополнительные сведения о запросе данных с помощью приватной ссылки см. в статье "Использование частных конечных точек для управляемого Prometheus и рабочей области Azure Monitor".

Аналитика трафика анализирует журналы потоков NSG Azure Наблюдатель за сетями для предоставления аналитических сведений о потоке трафика в облаке Azure. Используйте этот инструмент, чтобы убедиться в отсутствии утечки данных из вашего кластера и обнаружить, если раскрыты какие-либо ненужные общедоступные IP-адреса.

Надстройка "Наблюдаемость сети" для AKS обеспечивает наблюдаемость на нескольких уровнях в сетевом стеке Kubernetes. Наблюдение доступа между службами в кластере (восточно-западный трафик).

Инструкции. Настройка наблюдаемости сети контейнеров для службы Azure Kubernetes (AKS)

Аналитика контейнеров отправляет данные в рабочую область Log Analytics. Обязательно обеспечьте защиту сбора и хранения данных журналов в рабочей области Log Analytics.

Инструкции. Прием журналов и хранение.

Инструкции, описанные в этой статье, описаны в модели ответственности майкрософт. В рамках этой модели общей ответственности корпорация Майкрософт предоставляет эти меры безопасности клиентам Azure Monitor:

• Безопасность инфраструктуры Azure
• Защита данных клиентов в Azure
• Шифрование передаваемых данных во время приема данных
• Шифрование неактивных данных с помощью управляемых корпорацией Майкрософт ключей
• Проверка подлинности Microsoft Entra для доступа к плоскости данных
• Проверка подлинности агента Azure Monitor и Application Insights с помощью управляемых удостоверений
• Привилегированный доступ к действиям плоскости данных с помощью управления доступом на основе ролей (Azure RBAC)
• Соответствие отраслевым стандартам и нормативным требованиям

Инструкции по безопасному развертыванию Azure Monitor основаны на и соответствуют комплексным рекомендациям и лучшим практикам по облачной безопасности Azure, включая следующие:

• Cloud Adoption Framework, который предоставляет рекомендации по безопасности для команд, которые управляют инфраструктурой технологий.
• Azure Well-Architected Framework, которая предоставляет архитектурные рекомендации по созданию безопасных приложений.
• Microsoft Cloud Security Benchmark (MCSB), описывающий доступные функции безопасности и рекомендуемые оптимальные конфигурации.
• Принципы безопасности нулевого доверия, которые предоставляют рекомендации для групп безопасности для реализации технических возможностей для поддержки инициативы модернизации "Нулевое доверие".

• Узнайте больше о начале работы с Azure Monitor.