Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält Anweisungen zum sicheren Bereitstellen von Azure Monitor und erläutert, wie Microsoft Azure Monitor sichert.
Protokollerfassung und Speicherung
Gewähren des Zugriffs auf Daten im Arbeitsbereich basierend auf Bedarf
- Um Ressourcenbesitzern den Zugriff auf ihre Daten im Ressourcen-Kontext zu ermöglichen, ohne ihnen expliziten Zugriff auf den Arbeitsbereich zu gewähren, stellen Sie den Zugriffssteuerungsmodus des Arbeitsbereichs auf Verwendung von Ressourcen- oder Arbeitsbereichsberechtigungen ein. Dies vereinfacht Ihre Arbeitsbereichskonfiguration und trägt dazu bei, sicherzustellen, dass Benutzer nur Zugriff auf die benötigten Daten haben.
Anweisungen: Verwalten des Zugriffs auf Log Analytics-Arbeitsbereiche - Weisen Sie die geeignete integrierte Rolle zu, um Administratoren je nach ihrem Zuständigkeitsbereich Arbeitsbereichsberechtigungen auf Abonnement-, Ressourcengruppen- oder Arbeitsbereichsebene zu erteilen.
Anweisungen: Verwalten des Zugriffs auf Log Analytics-Arbeitsbereiche - Wenden Sie RBAC auf Tabellenebene für Benutzer an, die Zugriff auf eine Gruppe von Tabellen über mehrere Ressourcen benötigen. Benutzer mit Tabellenberechtigungen haben Zugriff auf alle Daten in der Tabelle, unabhängig von ihren Ressourcenberechtigungen.
Anweisungen: Verwalten des Zugriffs auf Log Analytics-Arbeitsbereiche
Senden von Daten an Ihren Arbeitsbereich mithilfe von TLS (Transport Layer Security) 1.2 oder höher
Wenn Sie Agenten, Connectoren oder die Protokoll-APIs verwenden, um Daten an Ihren Arbeitsbereich abzufragen oder zu senden, verwenden Sie Transport Layer Security (TLS) 1.2 oder höher, um die Sicherheit Ihrer Daten während der Übertragung zu gewährleisten. Ältere Versionen von TLS und Secure Sockets Layer (SSL) weisen Sicherheitsrisiken auf und funktionieren möglicherweise weiterhin, um Abwärtskompatibilität zu ermöglichen, sie werden nicht empfohlen, und die Branche hat sich schnell dazu bewegt, die Unterstützung für diese älteren Protokolle aufzugeben.
Der PCI Security Standards Council legt einen Stichtag vom 30. Juni 2018 fest, um ältere Versionen von TLS/SSL zu deaktivieren und ein Upgrade auf sicherere Protokolle durchzuführen. Sobald Azure die Legacyunterstützung einstellt, können Ihre Agents nicht über mindestens TLS 1.2 kommunizieren und somit keine Daten an Azure Monitor Logs senden.
Konfigurieren Sie Ihre Agents, Datenconnectors oder API-Anwendungen nicht explizit so, dass nur TLS 1.2 verwenden, es sei denn, dies ist erforderlich. Es wird empfohlen, zukünftige Sicherheitsstandards automatisch zu erkennen, auszuhandeln und zu nutzen. Andernfalls könnten Sie die zusätzliche Sicherheit der neueren Standards verpassen und möglicherweise Probleme bekommen, falls TLS 1.2 einmal zugunsten dieser neueren Standards abgelehnt wird.
Von Bedeutung
Am 1. Juli 2025 werden die TLS 1.0/1.1-Protokollversionen im Einklang mit dem Azure-weiten Auslaufen des Legacy-TLS für Azure Monitor Logs eingestellt. Um eine erstklassige Verschlüsselung bereitzustellen, verwendet Azure Monitor Logs Transport Layer Security (TLS) 1.2 und 1.3 als Verschlüsselungsmechanismen der Wahl.
Allgemeine Fragen zum Legacy-TLS-Problem oder zum Testen unterstützter Verschlüsselungssammlungen finden Sie unter Lösen von TLS-Problemen und Azure Resource Manager TLS-Support.
Einrichten der Protokollabfrageüberwachung
- Konfigurieren Sie die Protokollabfrageüberwachung, um die Details jeder Abfrage aufzuzeichnen, die in einem Arbeitsbereich ausgeführt wird.
Anweisungen: Überwachungsabfragen in Azure Monitor-Protokollen - Behandeln Sie die Überwachungsdaten der Protokollabfrage als Sicherheitsdaten und sichern Sie den Zugriff auf die LAQueryLogs-Tabelle entsprechend.
Anweisungen: Konfigurieren des Zugriffs auf Daten im Arbeitsbereich basierend auf Bedarf. - Wenn Sie Ihre Betriebs- und Sicherheitsdaten trennen, senden Sie die Überwachungsprotokolle für jeden Arbeitsbereich an den lokalen Arbeitsbereich, oder konsolidieren Sie in einem dedizierten Sicherheitsarbeitsbereich.
Anweisungen: Konfigurieren des Zugriffs auf Daten im Arbeitsbereich basierend auf Bedarf. - Verwenden Sie Einblicke in den Log Analytics-Arbeitsbereich, um Auditdaten von Protokollabfragen regelmäßig zu überprüfen.
Anweisungen: Einblicke des Log Analytics-Arbeitsbereichs. - Erstellen Sie Warnungsregeln für die Protokollsuche, um Sie zu benachrichtigen, wenn nicht autorisierte Benutzer versuchen, Abfragen auszuführen.
Anweisungen: Warnungsregeln für Protokollsuche.
Sicherstellen der Unveränderlichkeit von Überwachungsdaten
Azure Monitor ist eine Nur-Anfüge-Datenplattform, umfasst jedoch Bestimmungen zum Löschen von Daten für Compliance-Zwecke. So sichern Sie Ihre Überwachungsdaten:
Legen Sie eine Sperre für Ihren Log Analytics-Arbeitsbereich fest, um alle Aktivitäten zu blockieren, die Daten löschen können, einschließlich Löschung, Tabellenlöschung und Änderungen der Datenaufbewahrung auf Arbeitsbereichsebene. Beachten Sie jedoch, dass diese Sperre entfernt werden kann.
Anweisungen: Sperren Ihrer Ressourcen zum Schutz Ihrer InfrastrukturWenn Sie eine vollständig manipulationssichere Lösung benötigen, empfehlen wir, Ihre Daten in eine unveränderliche Speicherlösung zu exportieren:
- Bestimmen Sie die spezifischen Datentypen, die exportiert werden sollen. Nicht alle Protokolltypen haben die gleiche Relevanz für Compliance, Überwachung oder Sicherheit.
- Verwenden Sie den Datenexport , um Daten an ein Azure-Speicherkonto zu senden.
Anweisungen: Log Analytics-Arbeitsbereichdatenexport in Azure Monitor - Legen Sie Unveränderlichkeitsrichtlinien fest, um vor Datenmanipulation zu schützen.
Anweisungen: Konfigurieren von Unveränderlichkeitsrichtlinien für BLOB-Versionen
Filtern oder Verschleiern vertraulicher Daten in Ihrem Arbeitsbereich
Wenn Ihre Protokolldaten vertrauliche Informationen enthalten:
- Filtern Sie Datensätze, die nicht gesammelt werden sollten, mittels der Konfiguration für die jeweilige Datenquelle.
- Verwenden Sie eine Transformation, wenn nur bestimmte Spalten in den Daten entfernt oder verschleiert werden sollen.
Anweisungen: Transformationen in Azure Monitor - Wenn Sie Über Standards verfügen, für die die ursprünglichen Daten unverändert sein müssen, verwenden Sie das Literal "h" in KQL-Abfragen, um abfrageergebnisse zu verschleiern, die in Arbeitsmappen angezeigt werden.
Anweisungen: Unleserlich gemachte Zeichenfolgen
Löschen vertraulicher Daten, die versehentlich gesammelt wurden
- Überprüfen Sie regelmäßig auf private Daten, die versehentlich in Ihrem Arbeitsbereich gesammelt werden.
- Verwenden Sie die Datenlöschung , um unerwünschte Daten zu entfernen. Beachten Sie, dass Daten in Tabellen mit dem Hilfsplan zurzeit nicht gelöscht werden können.
Anweisungen: Verwalten von personenbezogenen Daten in Azure Monitor-Protokollen und Anwendungserkenntnissen
Verknüpfen Ihres Arbeitsbereichs mit einem dedizierten Cluster für erhöhte Sicherheit
Azure Monitor verschlüsselt alle ruhenden Daten und gespeicherten Abfragen mit von Microsoft verwalteten Schlüsseln (Microsoft Managed Keys, MMKs). Wenn Sie genügend Daten für einen dedizierten Cluster sammeln, verknüpfen Sie Ihren Arbeitsbereich mit einem dedizierten Cluster, um erweiterte Sicherheitsfeatures zu erhalten, einschließlich:
- Vom Kunden verwaltete Schlüssel für eine höhere Flexibilität und schlüsselbasierte Lebenszyklussteuerung. Wenn Sie Microsoft Sentinel verwenden, stellen Sie sicher, dass Sie mit den Überlegungen unter Einrichten des kundenseitig verwalteten Microsoft Sentinel-Schlüssels vertraut sind.
- Kunden-Lockbox für Microsoft Azure zum Überprüfen und Genehmigen oder Ablehnen von Kundendatenzugriffsanforderungen. Kunden-Lockbox wird verwendet, wenn eine technische Microsoft-Fachkraft beispielsweise im Rahmen eines kundeninitiierten Supporttickets oder aufgrund eines von Microsoft identifizierten Problems auf Kundendaten zugreifen muss. Lockbox kann derzeit nicht auf Tabellen mit dem Hilfsplan angewendet werden.
Anweisungen: Erstellen und Verwalten eines dedizierten Clusters in Azure Monitor-Protokollen
Blockieren des Arbeitsbereichzugriffs aus öffentlichen Netzwerken mithilfe eines privaten Azure-Links
Microsoft sichert Verbindungen mit öffentlichen Endpunkten mit End-to-End-Verschlüsselung. Wenn Sie einen privaten Endpunkt benötigen, verwenden Sie den privaten Azure-Link , um Ressourcen die Verbindung mit Ihrem Log Analytics-Arbeitsbereich über autorisierte private Netzwerke zu ermöglichen. Sie können auch den privaten Link verwenden, um die Erfassung von Arbeitsbereichsdaten über ExpressRoute oder ein VPN zu erzwingen.
Anleitungen: Entwerfen Des Setups ihres privaten Azure-Links
Application Insights TLS-Datenerfassung
Unterstützte TLS-Konfigurationen
Application Insights verwendet Transport Layer Security (TLS) 1.2 und 1.3. Darüber hinaus werden die folgenden Verschlüsselungssammlungen und Elliptische Kurven auch in jeder Version unterstützt.
Version | Verschlüsselungsfamilien | Elliptische Kurven |
---|---|---|
TLS 1.2 | • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
• NistP384 • NistP256 |
TLS 1.3 | • TLS_AES_256_GCM_SHA384 • TLS_AES_128_GCM_SHA256 |
• NistP384 • NistP256 |
Veraltete TLS-Konfigurationen (Transport Layer Security)
Von Bedeutung
Um die Sicherheit zu verbessern, werden die folgenden TLS-Konfigurationen für Application Insights am 1. Mai 2025 eingestellt. Diese Änderung ist Teil der Azure-weiten Abschaffung des Legacy-TLS:
- TLS 1.0- und TLS 1.1-Protokollversionen
- Ältere TLS 1.2- und TLS 1.3-Verschlüsselungssammlungen
- Legacy-TLS-elliptische Kurven
TLS 1.0 und TLS 1.1
TLS 1.0 und TLS 1.1 werden eingestellt.
TLS 1.2 und TLS 1.3
Version | Verschlüsselungsfamilien | Elliptische Kurven |
---|---|---|
TLS 1.2 | • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA • TLS_RSA_WITH_AES_256_GCM_SHA384 • TLS_RSA_WITH_AES_128_GCM_SHA256 • TLS_RSA_WITH_AES_256_CBC_SHA256 • TLS_RSA_WITH_AES_128_CBC_SHA256 • TLS_RSA_WITH_AES_256_CBC_SHA • TLS_RSA_WITH_AES_128_CBC_SHA |
• curve25519 |
TLS 1.3 | • curve25519 |
Weitere Informationen finden Sie unter TLS-Unterstützung in Application Insights – Häufig gestellte Fragen .For more information, see TLS support in Application Insights FAQ.
Alarmsignale
Steuern der Berechtigungen von Warnungsregeln für die Protokollsuche mithilfe verwalteter Identitäten
Die Verwaltung von Geheimnissen, Anmeldeinformationen, Zertifikaten und Schlüsseln für eine sichere Kommunikation zwischen verschiedenen Diensten stellt für Entwickler eine häufige Herausforderung dar. Dank verwalteter Identitäten müssen Entwickler keine Anmeldeinformationen mehr verwalten. Wenn Sie eine verwaltete Identität für Ihre Warnungsregeln für die Protokollsuche festlegen, erhalten Sie Kontrolle über und Einsicht in die genauen Berechtigungen Ihrer Warnungsregel. Sie können jederzeit die Abfrageberechtigungen Ihrer Regel anzeigen und Berechtigungen direkt aus der verwalteten Identität hinzufügen oder entfernen.
Die Verwendung einer verwalteten Identität ist erforderlich, wenn die Abfrage Ihrer Regel auf Azure Data Explorer (ADX) oder Azure Resource Graph (ARG) zugreift.
Anweisungen: Erstellen oder Bearbeiten einer Warnungsregel für die Protokollsuche.
Zuweisen der Rolle "Monitoring Reader" allen Benutzern, die keine Konfigurationsberechtigungen benötigen
Verbessern Sie die Sicherheit, indem Sie Benutzern die geringsten Berechtigungen geben, die für ihre Rolle erforderlich sind.
Anweisungen: Rollen, Berechtigungen und Sicherheit in Azure Monitor.
Verwenden von sicheren Webhook-Aktionen, sofern möglich
Wenn Ihre Warnungsregel eine Aktionsgruppe enthält, die Webhook-Aktionen verwendet, verwenden Sie sichere Webhook-Aktionen für eine stärkere Authentifizierung.
Anweisungen: Konfigurieren der Authentifizierung für secure webhook.
Verwenden Sie kundenseitig verwaltete Schlüssel, wenn Sie Ihren eigenen Verschlüsselungsschlüssel benötigen, um Daten und gespeicherte Abfragen in Ihren Arbeitsbereichen zu schützen
Azure Monitor verschlüsselt alle Daten und gespeicherten Abfragen im Ruhezustand mithilfe von von Microsoft verwalteten Schlüsseln (MMK). Wenn Sie Ihren eigenen Verschlüsselungsschlüssel benötigen und genügend Daten für einen dedizierten Cluster sammeln, verwenden Sie einen kundenseitig verwalteten Schlüssel für größere Flexibilität und Kontrolle des Schlüssellebenszyklus.
Anweisungen: Vom Kunden verwaltete Schlüssel.
Wenn Sie Microsoft Sentinel verwenden, lesen Siedas Einrichten des vom Kunden verwalteten Microsoft Sentinel-Schlüssels.
Überwachung virtueller Computer
Implementieren der Sicherheitsüberwachung von VMs mithilfe von Azure-Sicherheitsdiensten
Azure Monitor kann zwar Sicherheitsereignisse von Ihren VMs erfassen, ist jedoch nicht für die Sicherheitsüberwachung vorgesehen. Azure umfasst mehrere Dienste wie Microsoft Defender for Cloud und Microsoft Sentinel, die zusammen eine vollständige Sicherheitsüberwachungslösung bieten. Einen Vergleich dieser Dienste finden Sie unter Sicherheitsüberwachung.
Verbinden von virtuellen Computern mit Azure Monitor über einen privaten Endpunkt mithilfe eines privaten Azure-Links
Microsoft sichert Verbindungen mit öffentlichen Endpunkten mit End-to-End-Verschlüsselung. Wenn Sie einen privaten Endpunkt benötigen, verwenden Sie den privaten Azure-Link , um Ressourcen die Verbindung mit Ihrem Log Analytics-Arbeitsbereich über autorisierte private Netzwerke zu ermöglichen. Sie können auch den privaten Link verwenden, um die Erfassung von Arbeitsbereichsdaten über ExpressRoute oder ein VPN zu erzwingen.
Anleitungen: Entwerfen Des Setups ihres privaten Azure-Links
Containerüberwachung
Verbinden von Clustern mit Containereinblicken mithilfe der verwalteten Identitätsauthentifizierung
Die verwaltete Identitätsauthentifizierung ist die Standardauthentifizierungsmethode für neue Cluster. Wenn Sie die Legacyauthentifizierung verwenden, migrieren Sie zur verwalteten Identität, um die zertifikatbasierte lokale Authentifizierung zu entfernen.
Anweisungen: Migrieren zur verwalteten Identitätsauthentifizierung
Senden von Daten aus Clustern an Azure Monitor über einen privaten Endpunkt mithilfe von Azure Private Link
Der von Azure verwaltete Dienst für Prometheus speichert seine Daten in einem Azure Monitor-Arbeitsbereich, der standardmäßig einen öffentlichen Endpunkt verwendet. Microsoft sichert Verbindungen mit öffentlichen Endpunkten mit End-to-End-Verschlüsselung. Wenn Sie einen privaten Endpunkt benötigen, verwenden Sie den privaten Azure-Link , um Ihrem Cluster die Verbindung mit dem Arbeitsbereich über autorisierte private Netzwerke zu ermöglichen. Private Link kann auch verwendet werden, um die Arbeitsbereichsdatenerfassung über ExpressRoute oder ein VPN zu erzwingen.
Anweisungen: Weitere Informationen zum Konfigurieren Ihres Clusters für private Links zur Kubernetes-Überwachung finden Sie unter "Aktivieren eines privaten Links" in Azure Monitor . Einzelheiten zum Abfragen Ihrer Daten mithilfe von Private Link finden Sie unter Verwenden privater Endpunkte für Managed Prometheus und Azure Monitor-Arbeitsbereiche.
Überwachen des Netzwerkdatenverkehrs zu und von Clustern mithilfe von Datenverkehrsanalysen
Mit Traffic Analytics analysiert Azure Network Watcher die NSG-Datenflussprotokolle, um Erkenntnisse zum Datenfluss in Ihrer Azure-Cloud bereitzustellen. Verwenden Sie dieses Tool, um sicherzustellen, dass in Ihrem Cluster keine Datenexfiltration auftritt, und um zu erkennen, falls öffentliche IP-Adressen unnötigerweise verfügbar gemacht werden.
Aktivieren von Netzwerkeinblicken
Das AKS-Add-On für Netzwerkeinblicke bietet Einblicke in die verschiedenen Ebenen im Kubernetes-Netzwerkstapel, Überwachen und Beobachten Sie den Zugriff zwischen den Diensten im Cluster (Ost-West-Datenverkehr).
Anweisungen: Einrichten der Containernetzwerk-Observability für Azure Kubernetes Service (AKS)
Sichern Des Log Analytics-Arbeitsbereichs
Containereinblicke senden Daten an einen Log Analytics-Arbeitsbereich. Stellen Sie sicher, dass Sie Die Protokollaufnahme und -speicherung in Ihrem Log Analytics-Arbeitsbereich sichern.
Anweisungen: Protokollaufnahme und Speicher.
Wie Microsoft Azure Monitor sichert
Die Anweisungen in diesem Artikel basieren auf dem Microsoft-Sicherheitsverantwortungsmodell. Im Rahmen dieses Modells der gemeinsamen Verantwortung bietet Microsoft diese Sicherheitsmaßnahmen für Azure Monitor-Kunden:
- Sicherheit der Azure-Infrastruktur
- Schutz der Azure-Kundendaten
- Verschlüsselung von Daten im Transport während der Datenaufnahme
- Verschlüsselung ruhender Daten mit von Microsoft verwalteten Schlüsseln
- Microsoft Entra-Authentifizierung für den Datenebenenzugriff
- Authentifizierung von Azure Monitor-Agent und Application Insights mithilfe von verwalteten Identitäten
- Privilegierter Zugriff auf Datenebenenaktionen mithilfe der rollenbasierten Zugriffssteuerung (Azure RBAC)
- Einhaltung von Branchenstandards und -vorschriften
Azure-Sicherheitsleitfaden und bewährte Methoden
Anweisungen zur sicheren Bereitstellung von Azure Monitor basieren auf den umfassenden Richtlinien für die Cloudsicherheit und bewährten Methoden von Azure, darunter:
- Cloud Adoption Framework: Stellt einen Sicherheitsleitfaden für Teams bereit, die die Technologieinfrastruktur verwalten.
- Azure Well-Architected Framework: Stellt bewährte Methoden für die Architektur zum Erstellen sicherer Anwendungen bereit.
- Microsoft Cloud Security Benchmark (MCSB, Microsoft-Benchmark für Cloudsicherheit): Beschreibt die verfügbaren Sicherheitsfeatures und die empfohlenen optimalen Konfigurationen.
- Zero Trust-Sicherheitsprinzipien: Enthält Anleitungen für Sicherheitsteams zur Implementierung technischer Funktionen zur Unterstützung einer Zero Trust-Modernisierungsinitiative.
Nächster Schritt
- Erfahren Sie mehr über die ersten Schritte mit Azure Monitor.