Sdílet prostřednictvím

Zabezpečení nasazení služby Azure Monitor

Tento článek obsahuje pokyny k bezpečnému nasazení služby Azure Monitor a vysvětluje, jak Microsoft azure Monitor zabezpečuje.

Příjem protokolů a úložiště

Udělení přístupu k datům v pracovním prostoru na základě potřeby

  1. Nastavte režim řízení přístupu k pracovnímu prostoru na použití oprávnění k prostředkům nebo pracovnímu prostoru, aby vlastníci prostředků mohli využívat resource-context ke svému přístupu k datům, aniž by jim byl udělen explicitní přístup k pracovnímu prostoru. To zjednodušuje konfiguraci pracovního prostoru a pomáhá zajistit, aby uživatelé měli přístup jenom k datům, která potřebují.
    Pokyny: Správa přístupu k pracovním prostorům služby Log Analytics
  2. Přiřaďte odpovídající integrovanou roli, která poskytne správcům oprávnění k pracovnímu prostoru na úrovni předplatného, skupiny prostředků nebo pracovního prostoru, v závislosti na jejich rozsahu zodpovědností.
    Pokyny: Správa přístupu k pracovním prostorům služby Log Analytics
  3. Použijte RBAC na úrovni tabulky pro uživatele, kteří vyžadují přístup k sadě tabulek napříč různými zdroji. Uživatelé s oprávněními tabulky mají přístup ke všem datům v tabulce bez ohledu na jejich oprávnění k prostředkům.
    Pokyny: Správa přístupu k pracovním prostorům služby Log Analytics

Odeslání dat do pracovního prostoru pomocí protokolu TLS (Transport Layer Security) 1.2 nebo vyšší

Pokud k dotazování nebo odesílání dat do pracovního prostoru používáte agenty, konektory nebo rozhraní API protokolů, použijte protokol TLS (Transport Layer Security) 1.2 nebo vyšší, abyste zajistili zabezpečení přenášených dat. Starší verze protokolu TLS a SSL (Secure Sockets Layer) mají chyby zabezpečení a i když stále můžou fungovat, aby umožňovaly zpětnou kompatibilitu, nedoporučují se a odvětví rychle přešlo na opuštění podpory těchto starších protokolů.

Rada bezpečnostních standardů PCI nastavil termín 30. června 2018 tak, aby zakázal starší verze protokolu TLS/SSL a upgraduje na bezpečnější protokoly. Jakmile Azure zahodí podporu starší verze, pokud vaši agenti nemůžou komunikovat alespoň přes protokol TLS 1.2, nebudete moct odesílat data do protokolů služby Azure Monitor.

Explicitně nekonfigurujte agenty, datové konektory nebo aplikace rozhraní API tak, aby používaly pouze protokol TLS 1.2, pokud není potřeba. Doporučujeme umožnit jim automaticky zjišťovat, vyjednávat a využívat budoucí standardy zabezpečení. V opačném případě můžete vynechat přidané zabezpečení novějších standardů a případně se setkáte s problémy, pokud je protokol TLS 1.2 někdy zastaralý ve prospěch těchto novějších standardů.

Důležité

Dne 1. července 2025 budou verze protokolu TLS 1.0/1.1 vyřazeny z provozu pro Azure Monitor Logs v souladu s celoplošným ukončením podpory starších verzí TLS na Azure. Aby bylo zajištěno nejlepší šifrování ve své třídě, Azure Monitor Logs používá jako preferované šifrovací mechanismy protokoly TLS (Transport Layer Security) 1.2 a 1.3.

Obecné dotazy týkající se starší verze problému s protokolem TLS nebo o otestování podporovaných šifrovacích sad najdete v tématu Řešení problémů s protokolem TLS a podpory protokolu TLS v Azure Resource Manageru.

Nastavení auditování dotazů protokolu

  1. Nakonfigurujte auditování dotazů protokolu tak, aby zaznamenávaly podrobnosti o jednotlivých dotazech spuštěných v pracovním prostoru.
    Pokyny: Kontrola dotazů v protokolech služby Azure Monitor
  2. Zacházejte s daty auditu dotazu protokolu jako s bezpečnostními daty a zajistěte bezpečný přístup k tabulce LAQueryLogs.
    Pokyny: Nakonfigurujte přístup k datům v pracovním prostoru podle potřeby.
  3. Pokud oddělíte provozní a bezpečnostní data, odešlete protokoly auditu pro každý pracovní prostor do místního pracovního prostoru nebo sloučíte do vyhrazeného pracovního prostoru zabezpečení.
    Pokyny: Nakonfigurujte přístup k datům v pracovním prostoru podle potřeby.
  4. Pomocí přehledů pracovního prostoru služby Log Analytics můžete pravidelně kontrolovat data auditu dotazů na protokoly.
    Pokyny: Přehledy pracovního prostoru služby Log Analytics
  5. Vytvořte pravidla upozornění prohledávání protokolu, která vás upozorní, pokud se neoprávnění uživatelé pokoušejí spouštět dotazy.
    Pokyny: Pravidla pro upozornění na prohledávání protokolů.

Zajištění neměnnosti dat auditu

Azure Monitor je datová platforma jen pro připojení, ale obsahuje ustanovení pro odstranění dat pro účely dodržování předpisů. Zabezpečení dat auditu:

  1. Nastavte zámek v pracovním prostoru služby Log Analytics, abyste zablokovali všechny aktivity, které by mohly odstranit data, včetně vyprázdnění, odstranění tabulky a změn uchovávání dat na úrovni tabulky nebo pracovního prostoru. Mějte ale na paměti, že tento zámek je možné odebrat.
    Pokyny: Uzamčení prostředků za účelem ochrany infrastruktury

  2. Pokud potřebujete plně nezfalšovatelné řešení, doporučujeme exportovat data do uložiště s neměnnou pamětí:

    1. Určete konkrétní datové typy, které se mají exportovat. Ne všechny typy protokolů mají stejnou důležitost pro dodržování předpisů, auditování nebo zabezpečení.
    2. Pomocí exportu dat můžete odesílat data do účtu úložiště Azure.
      Pokyny: Export dat pracovního prostoru služby Log Analytics ve službě Azure Monitor
    3. Nastavte zásady neměnnosti, které chrání před manipulací s daty.
      Pokyny: Konfigurace zásad neměnnosti pro verze blobů

Filtrovat nebo zastírat citlivá data ve vašem pracovním prostoru

Pokud data protokolu obsahují citlivé informace:

  1. Filtrování záznamů, které by se neměly shromažďovat pomocí konfigurace pro konkrétní zdroj dat.
  2. Transformace použijte, pokud by měly být odebrány nebo obfuskovány pouze konkrétní sloupce v datech.
    Pokyny: Transformace ve službě Azure Monitor
  3. Pokud máte standardy, které vyžadují, aby původní data byla nezměněná, použijte literál „h“ v dotazech KQL, aby se výsledky dotazů zobrazované v sešitech zakryly.
    Pokyny: Obfuskované textové literály

Vyprázdnění citlivých dat shromážděných omylem

  1. Pravidelně kontrolujte soukromá data, která se můžou v pracovním prostoru náhodně shromažďovat.
  2. Pomocí vyprázdnění dat odeberte nežádoucí data. Mějte na paměti, že data v tabulkách s pomocným plánem se momentálně nedají vyprázdnit.
    Pokyny: Správa osobních údajů v protokolech služby Azure Monitor a Application Insights

Azure Monitor šifruje všechna neaktivní uložená data a uložené dotazy pomocí klíčů spravovaných Microsoftem (MMK). Pokud shromažďujete dostatek dat pro vyhrazený cluster, propojte pracovní prostor s vyhrazeným clusterem pro funkce rozšířeného zabezpečení, mezi které patří:

  • Klíče spravované zákazníkem pro větší flexibilitu a řízení životního cyklu klíčů Pokud používáte Microsoft Sentinel, ujistěte se, že znáte důležité informace o nastavení klíče spravovaného zákazníkem služby Microsoft Sentinel.
  • Customer Lockbox pro Microsoft Azure umožňuje kontrolovat a schvalovat nebo odmítat žádosti o přístup k datům zákazníků. Customer Lockbox se používá, když technik Microsoftu potřebuje získat přístup k zákaznickým datům, ať už v reakci na lístek podpory iniciovaný zákazníkem nebo k problému zjištěnému Microsoftem. Lockbox se momentálně nedá použít u tabulek s pomocným plánem.

Pokyny: Vytvoření a správa vyhrazeného clusteru v protokolech služby Azure Monitor

Microsoft zabezpečuje připojení k veřejným koncovým bodům pomocí kompletního šifrování. Pokud potřebujete privátní koncový bod, pomocí privátního propojení Azure umožněte prostředkům připojení k pracovnímu prostoru Log Analytics prostřednictvím autorizovaných privátních sítí. Privátní propojení můžete použít také k vynucení příjmu dat pracovního prostoru přes ExpressRoute nebo VPN.

Pokyny: Návrh nastavení služby Azure Private Link

Příjem dat TLS pro Application Insights

Podporované konfigurace protokolu TLS

Application Insights používá protokol TLS (Transport Layer Security) 1.2 a 1.3. Kromě toho jsou v každé verzi podporovány také následující šifrovací sady a eliptické křivky.

Verze Šifrovací sady Eliptické křivky
TLS 1.2 • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (protokol pro zabezpečenou komunikaci)
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256		 • NistP384
• NistP256
TLS 1.3 • TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256		 • NistP384
• NistP256

Vyřazení konfigurací TLS (Transport Layer Security)

Důležité

Aby se zlepšilo zabezpečení, Azure vyřadí následující konfigurace TLS pro Application Insights 1. května 2025. Tato změna je součástí vyřazení protokolu TLS na úrovni Azure:

  • Verze protokolu TLS 1.0 a TLS 1.1
  • Starší šifrovací sady TLS 1.2 a TLS 1.3
  • Starší eliptické křivky TLS

TLS 1.0 a TLS 1.1

Protokoly TLS 1.0 a TLS 1.1 jsou vyřazovány.

TLS 1.2 a TLS 1.3

Verze Šifrovací sady Eliptické křivky
TLS 1.2 • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA256
• TLS_RSA_WITH_AES_128_CBC_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_128_CBC_SHA		 • křivka25519
TLS 1.3 • křivka25519

Další informace najdete v tématu Podpora protokolu TLS v nejčastějších dotazech k Application Insights.

Výstrahy

Řízení oprávnění pro pravidla upozorňování na prohledávání protokolu pomocí spravovaných identit

Běžným problémem pro vývojáře je správa tajných kódů, přihlašovacích údajů, certifikátů a klíčů používaných k zabezpečení komunikace mezi službami. Spravované identity eliminují potřebu vývojářů spravovat tyto přihlašovací údaje. Nastavení spravované identity pro pravidla vyhledávacích upozornění v protokolu vám poskytuje kontrolu a přehled o přesných oprávněních pro tato pravidla. Kdykoli můžete zobrazit oprávnění k dotazům pravidla a přidat nebo odebrat oprávnění přímo z jeho spravované identity.

Použití spravované identity se vyžaduje, pokud dotaz pravidla přistupuje k Azure Data Exploreru (ADX) nebo Azure Resource Graphu (ARG).

Pokyny: Vytvořte nebo upravte pravidlo upozornění na prohledávání protokolu

Přiřaďte roli Monitorovací čtenář všem uživatelům, kteří nepotřebují oprávnění ke konfiguraci.

Zvyšte zabezpečení tím, že uživatelům poskytnete nejnižší požadovaná oprávnění pro svou roli.

Pokyny: Role, oprávnění a zabezpečení ve službě Azure Monitor

Použití zabezpečených akcí webhooku, pokud je to možné

Pokud vaše pravidlo upozornění obsahuje skupinu akcí, která používá akce webhooku, preferujte použití zabezpečených akcí webhooku pro silnější ověřování.

Pokyny: Nakonfigurujte ověřování pro zabezpečený webhook.

Klíče spravované zákazníkem použijte, pokud potřebujete vlastní šifrovací klíč k ochraně dat a uložených dotazů ve vašich pracovních prostorech.

Azure Monitor šifruje všechna neaktivní uložená data a uložené dotazy pomocí klíčů spravovaných Microsoftem (MMK). Pokud potřebujete vlastní šifrovací klíč a shromažďujete dostatek dat pro vyhrazený cluster, používejte klíče spravované zákazníkem pro větší flexibilitu a kontrolu životního cyklu klíčů.

Pokyny: Klíče spravované zákazníkem.

Pokud používáte Microsoft Sentinel, přečtěte si témaNastavení klíče spravovaného zákazníkem microsoft Sentinelu.

Monitorování virtuálních počítačů

Implementace monitorování zabezpečení virtuálních počítačů pomocí služeb zabezpečení Azure

Azure Monitor sice dokáže shromažďovat události zabezpečení z vašich virtuálních počítačů, ale není určená k monitorování zabezpečení. Azure obsahuje několik služeb, jako je Microsoft Defender for Cloud a Microsoft Sentinel , které společně poskytují kompletní řešení pro monitorování zabezpečení. Porovnání těchto služeb najdete v tématu Monitorování zabezpečení.

Microsoft zabezpečuje připojení k veřejným koncovým bodům pomocí kompletního šifrování. Pokud potřebujete privátní koncový bod, pomocí privátního propojení Azure umožněte prostředkům připojení k pracovnímu prostoru Log Analytics prostřednictvím autorizovaných privátních sítí. Privátní propojení můžete použít také k vynucení příjmu dat pracovního prostoru přes ExpressRoute nebo VPN.

Pokyny: Návrh nastavení služby Azure Private Link

Monitorování kontejnerů

Připojení clusterů k přehledům kontejnerů pomocí ověřování spravovaných identit

Ověřování spravované identity je výchozí metoda ověřování pro nové clustery. Pokud používáte starší ověřování, migrujte na spravovanou identitu a odeberte místní ověřování založené na certifikátech.

Pokyny: Migrace na ověřování pomocí spravované identity

Spravovaná služba Azure pro Prometheus ukládá data do pracovního prostoru Služby Azure Monitor, který ve výchozím nastavení používá veřejný koncový bod. Microsoft zabezpečuje připojení k veřejným koncovým bodům pomocí kompletního šifrování. Pokud potřebujete privátní koncový bod, pomocí služby Azure Private Link povolte clusteru připojit se k pracovnímu prostoru prostřednictvím autorizovaných privátních sítí. Privátní propojení lze také použít k vynucení ingestiony dat do pracovního prostoru prostřednictvím ExpressRoute nebo VPN.

Pokyny: Podrobnosti o konfiguraci clusteru pro privátní propojení najdete v tématu Povolení privátního propojení pro monitorování Kubernetes ve službě Azure Monitor. Podrobnosti o dotazování na data pomocí privátního propojení najdete v tématu Použití privátních koncových bodů pro spravovaný pracovní prostor Prometheus a Azure Monitoru.

Monitorování síťového provozu do a z clusterů pomocí analýzy provozu

Analýza provozu analyzuje protokoly toku NSG služby Azure Network Watcher, aby poskytla přehled o toku provozu ve vašem cloudu Azure. Tento nástroj vám umožní zajistit, aby pro váš cluster nedošlo k exfiltraci dat, a zjistit, jestli jsou vystavené nějaké nepotřebné veřejné IP adresy.

Povolení pozorovatelnosti sítě

Doplněk monitorování sítě pro AKS poskytuje pozorovatelnost napříč různými vrstvami síťového zásobníku Kubernetes. Monitorujte a sledujte přístup mezi službami v clusteru (provoz mezi východem a západem).

Pokyny: Nastavení pozorovatelnosti sítě kontejnerů pro Službu Azure Kubernetes Service (AKS)

Zabezpečení pracovního prostoru služby Log Analytics

Container Insights odesílá data do pracovního prostoru služby Log Analytics. Ujistěte se, že v pracovním prostoru služby Log Analytics zabezpečíte zpracování a úložiště protokolů.

Pokyny: Příjem protokolů a úložiště.

Jak Microsoft zabezpečuje Azure Monitor

Pokyny v tomto článku vycházejí z modelu odpovědnosti za zabezpečení Microsoftu. V rámci tohoto modelu sdílené odpovědnosti microsoft poskytuje zákazníkům služby Azure Monitor tato bezpečnostní opatření:

Pokyny a osvědčené postupy zabezpečení Azure

Pokyny k zabezpečenému nasazení služby Azure Monitor jsou založené na komplexních pokynech a osvědčených postupech zabezpečení cloudu Azure, které zahrnují:

Další krok