Freigeben über


Sichern Ihrer Azure Monitor-Bereitstellung

Dieser Artikel enthält Anweisungen zum sicheren Bereitstellen von Azure Monitor und erläutert, wie Microsoft Azure Monitor sichert.

Protokollerfassung und Speicherung

Gewähren des Zugriffs auf Daten im Arbeitsbereich basierend auf Bedarf

  1. Um Ressourcenbesitzern den Zugriff auf ihre Daten im Ressourcen-Kontext zu ermöglichen, ohne ihnen expliziten Zugriff auf den Arbeitsbereich zu gewähren, stellen Sie den Zugriffssteuerungsmodus des Arbeitsbereichs auf Verwendung von Ressourcen- oder Arbeitsbereichsberechtigungen ein. Dies vereinfacht Ihre Arbeitsbereichskonfiguration und trägt dazu bei, sicherzustellen, dass Benutzer nur Zugriff auf die benötigten Daten haben.
    Anweisungen: Verwalten des Zugriffs auf Log Analytics-Arbeitsbereiche
  2. Weisen Sie die geeignete integrierte Rolle zu, um Administratoren je nach ihrem Zuständigkeitsbereich Arbeitsbereichsberechtigungen auf Abonnement-, Ressourcengruppen- oder Arbeitsbereichsebene zu erteilen.
    Anweisungen: Verwalten des Zugriffs auf Log Analytics-Arbeitsbereiche
  3. Wenden Sie RBAC auf Tabellenebene für Benutzer an, die Zugriff auf eine Gruppe von Tabellen über mehrere Ressourcen benötigen. Benutzer mit Tabellenberechtigungen haben Zugriff auf alle Daten in der Tabelle, unabhängig von ihren Ressourcenberechtigungen.
    Anweisungen: Verwalten des Zugriffs auf Log Analytics-Arbeitsbereiche

Senden von Daten an Ihren Arbeitsbereich mithilfe von TLS (Transport Layer Security) 1.2 oder höher

Wenn Sie Agenten, Connectoren oder die Protokoll-APIs verwenden, um Daten an Ihren Arbeitsbereich abzufragen oder zu senden, verwenden Sie Transport Layer Security (TLS) 1.2 oder höher, um die Sicherheit Ihrer Daten während der Übertragung zu gewährleisten. Ältere Versionen von TLS und Secure Sockets Layer (SSL) weisen Sicherheitsrisiken auf und funktionieren möglicherweise weiterhin, um Abwärtskompatibilität zu ermöglichen, sie werden nicht empfohlen, und die Branche hat sich schnell dazu bewegt, die Unterstützung für diese älteren Protokolle aufzugeben.

Der PCI Security Standards Council legt einen Stichtag vom 30. Juni 2018 fest, um ältere Versionen von TLS/SSL zu deaktivieren und ein Upgrade auf sicherere Protokolle durchzuführen. Sobald Azure die Legacyunterstützung einstellt, können Ihre Agents nicht über mindestens TLS 1.2 kommunizieren und somit keine Daten an Azure Monitor Logs senden.

Konfigurieren Sie Ihre Agents, Datenconnectors oder API-Anwendungen nicht explizit so, dass nur TLS 1.2 verwenden, es sei denn, dies ist erforderlich. Es wird empfohlen, zukünftige Sicherheitsstandards automatisch zu erkennen, auszuhandeln und zu nutzen. Andernfalls könnten Sie die zusätzliche Sicherheit der neueren Standards verpassen und möglicherweise Probleme bekommen, falls TLS 1.2 einmal zugunsten dieser neueren Standards abgelehnt wird.

Von Bedeutung

Am 1. Juli 2025 werden die TLS 1.0/1.1-Protokollversionen im Einklang mit dem Azure-weiten Auslaufen des Legacy-TLS für Azure Monitor Logs eingestellt. Um eine erstklassige Verschlüsselung bereitzustellen, verwendet Azure Monitor Logs Transport Layer Security (TLS) 1.2 und 1.3 als Verschlüsselungsmechanismen der Wahl.

Allgemeine Fragen zum Legacy-TLS-Problem oder zum Testen unterstützter Verschlüsselungssammlungen finden Sie unter Lösen von TLS-Problemen und Azure Resource Manager TLS-Support.

Einrichten der Protokollabfrageüberwachung

  1. Konfigurieren Sie die Protokollabfrageüberwachung, um die Details jeder Abfrage aufzuzeichnen, die in einem Arbeitsbereich ausgeführt wird.
    Anweisungen: Überwachungsabfragen in Azure Monitor-Protokollen
  2. Behandeln Sie die Überwachungsdaten der Protokollabfrage als Sicherheitsdaten und sichern Sie den Zugriff auf die LAQueryLogs-Tabelle entsprechend.
    Anweisungen: Konfigurieren des Zugriffs auf Daten im Arbeitsbereich basierend auf Bedarf.
  3. Wenn Sie Ihre Betriebs- und Sicherheitsdaten trennen, senden Sie die Überwachungsprotokolle für jeden Arbeitsbereich an den lokalen Arbeitsbereich, oder konsolidieren Sie in einem dedizierten Sicherheitsarbeitsbereich.
    Anweisungen: Konfigurieren des Zugriffs auf Daten im Arbeitsbereich basierend auf Bedarf.
  4. Verwenden Sie Einblicke in den Log Analytics-Arbeitsbereich, um Auditdaten von Protokollabfragen regelmäßig zu überprüfen.
    Anweisungen: Einblicke des Log Analytics-Arbeitsbereichs.
  5. Erstellen Sie Warnungsregeln für die Protokollsuche, um Sie zu benachrichtigen, wenn nicht autorisierte Benutzer versuchen, Abfragen auszuführen.
    Anweisungen: Warnungsregeln für Protokollsuche.

Sicherstellen der Unveränderlichkeit von Überwachungsdaten

Azure Monitor ist eine Nur-Anfüge-Datenplattform, umfasst jedoch Bestimmungen zum Löschen von Daten für Compliance-Zwecke. So sichern Sie Ihre Überwachungsdaten:

  1. Legen Sie eine Sperre für Ihren Log Analytics-Arbeitsbereich fest, um alle Aktivitäten zu blockieren, die Daten löschen können, einschließlich Löschung, Tabellenlöschung und Änderungen der Datenaufbewahrung auf Arbeitsbereichsebene. Beachten Sie jedoch, dass diese Sperre entfernt werden kann.
    Anweisungen: Sperren Ihrer Ressourcen zum Schutz Ihrer Infrastruktur

  2. Wenn Sie eine vollständig manipulationssichere Lösung benötigen, empfehlen wir, Ihre Daten in eine unveränderliche Speicherlösung zu exportieren:

    1. Bestimmen Sie die spezifischen Datentypen, die exportiert werden sollen. Nicht alle Protokolltypen haben die gleiche Relevanz für Compliance, Überwachung oder Sicherheit.
    2. Verwenden Sie den Datenexport , um Daten an ein Azure-Speicherkonto zu senden.
      Anweisungen: Log Analytics-Arbeitsbereichdatenexport in Azure Monitor
    3. Legen Sie Unveränderlichkeitsrichtlinien fest, um vor Datenmanipulation zu schützen.
      Anweisungen: Konfigurieren von Unveränderlichkeitsrichtlinien für BLOB-Versionen

Filtern oder Verschleiern vertraulicher Daten in Ihrem Arbeitsbereich

Wenn Ihre Protokolldaten vertrauliche Informationen enthalten:

  1. Filtern Sie Datensätze, die nicht gesammelt werden sollten, mittels der Konfiguration für die jeweilige Datenquelle.
  2. Verwenden Sie eine Transformation, wenn nur bestimmte Spalten in den Daten entfernt oder verschleiert werden sollen.
    Anweisungen: Transformationen in Azure Monitor
  3. Wenn Sie Über Standards verfügen, für die die ursprünglichen Daten unverändert sein müssen, verwenden Sie das Literal "h" in KQL-Abfragen, um abfrageergebnisse zu verschleiern, die in Arbeitsmappen angezeigt werden.
    Anweisungen: Unleserlich gemachte Zeichenfolgen

Löschen vertraulicher Daten, die versehentlich gesammelt wurden

  1. Überprüfen Sie regelmäßig auf private Daten, die versehentlich in Ihrem Arbeitsbereich gesammelt werden.
  2. Verwenden Sie die Datenlöschung , um unerwünschte Daten zu entfernen. Beachten Sie, dass Daten in Tabellen mit dem Hilfsplan zurzeit nicht gelöscht werden können.
    Anweisungen: Verwalten von personenbezogenen Daten in Azure Monitor-Protokollen und Anwendungserkenntnissen

Azure Monitor verschlüsselt alle ruhenden Daten und gespeicherten Abfragen mit von Microsoft verwalteten Schlüsseln (Microsoft Managed Keys, MMKs). Wenn Sie genügend Daten für einen dedizierten Cluster sammeln, verknüpfen Sie Ihren Arbeitsbereich mit einem dedizierten Cluster, um erweiterte Sicherheitsfeatures zu erhalten, einschließlich:

Anweisungen: Erstellen und Verwalten eines dedizierten Clusters in Azure Monitor-Protokollen

Microsoft sichert Verbindungen mit öffentlichen Endpunkten mit End-to-End-Verschlüsselung. Wenn Sie einen privaten Endpunkt benötigen, verwenden Sie den privaten Azure-Link , um Ressourcen die Verbindung mit Ihrem Log Analytics-Arbeitsbereich über autorisierte private Netzwerke zu ermöglichen. Sie können auch den privaten Link verwenden, um die Erfassung von Arbeitsbereichsdaten über ExpressRoute oder ein VPN zu erzwingen.

Anleitungen: Entwerfen Des Setups ihres privaten Azure-Links

Application Insights TLS-Datenerfassung

Unterstützte TLS-Konfigurationen

Application Insights verwendet Transport Layer Security (TLS) 1.2 und 1.3. Darüber hinaus werden die folgenden Verschlüsselungssammlungen und Elliptische Kurven auch in jeder Version unterstützt.

Version Verschlüsselungsfamilien Elliptische Kurven
TLS 1.2 • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
• NistP384
• NistP256
TLS 1.3 • TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256
• NistP384
• NistP256

Veraltete TLS-Konfigurationen (Transport Layer Security)

Von Bedeutung

Um die Sicherheit zu verbessern, werden die folgenden TLS-Konfigurationen für Application Insights am 1. Mai 2025 eingestellt. Diese Änderung ist Teil der Azure-weiten Abschaffung des Legacy-TLS:

  • TLS 1.0- und TLS 1.1-Protokollversionen
  • Ältere TLS 1.2- und TLS 1.3-Verschlüsselungssammlungen
  • Legacy-TLS-elliptische Kurven

TLS 1.0 und TLS 1.1

TLS 1.0 und TLS 1.1 werden eingestellt.

TLS 1.2 und TLS 1.3

Version Verschlüsselungsfamilien Elliptische Kurven
TLS 1.2 • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA256
• TLS_RSA_WITH_AES_128_CBC_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_128_CBC_SHA
• curve25519
TLS 1.3 • curve25519

Weitere Informationen finden Sie unter TLS-Unterstützung in Application Insights – Häufig gestellte Fragen .For more information, see TLS support in Application Insights FAQ.

Alarmsignale

Steuern der Berechtigungen von Warnungsregeln für die Protokollsuche mithilfe verwalteter Identitäten

Die Verwaltung von Geheimnissen, Anmeldeinformationen, Zertifikaten und Schlüsseln für eine sichere Kommunikation zwischen verschiedenen Diensten stellt für Entwickler eine häufige Herausforderung dar. Dank verwalteter Identitäten müssen Entwickler keine Anmeldeinformationen mehr verwalten. Wenn Sie eine verwaltete Identität für Ihre Warnungsregeln für die Protokollsuche festlegen, erhalten Sie Kontrolle über und Einsicht in die genauen Berechtigungen Ihrer Warnungsregel. Sie können jederzeit die Abfrageberechtigungen Ihrer Regel anzeigen und Berechtigungen direkt aus der verwalteten Identität hinzufügen oder entfernen.

Die Verwendung einer verwalteten Identität ist erforderlich, wenn die Abfrage Ihrer Regel auf Azure Data Explorer (ADX) oder Azure Resource Graph (ARG) zugreift.

Anweisungen: Erstellen oder Bearbeiten einer Warnungsregel für die Protokollsuche.

Zuweisen der Rolle "Monitoring Reader" allen Benutzern, die keine Konfigurationsberechtigungen benötigen

Verbessern Sie die Sicherheit, indem Sie Benutzern die geringsten Berechtigungen geben, die für ihre Rolle erforderlich sind.

Anweisungen: Rollen, Berechtigungen und Sicherheit in Azure Monitor.

Verwenden von sicheren Webhook-Aktionen, sofern möglich

Wenn Ihre Warnungsregel eine Aktionsgruppe enthält, die Webhook-Aktionen verwendet, verwenden Sie sichere Webhook-Aktionen für eine stärkere Authentifizierung.

Anweisungen: Konfigurieren der Authentifizierung für secure webhook.

Verwenden Sie kundenseitig verwaltete Schlüssel, wenn Sie Ihren eigenen Verschlüsselungsschlüssel benötigen, um Daten und gespeicherte Abfragen in Ihren Arbeitsbereichen zu schützen

Azure Monitor verschlüsselt alle Daten und gespeicherten Abfragen im Ruhezustand mithilfe von von Microsoft verwalteten Schlüsseln (MMK). Wenn Sie Ihren eigenen Verschlüsselungsschlüssel benötigen und genügend Daten für einen dedizierten Cluster sammeln, verwenden Sie einen kundenseitig verwalteten Schlüssel für größere Flexibilität und Kontrolle des Schlüssellebenszyklus.

Anweisungen: Vom Kunden verwaltete Schlüssel.

Wenn Sie Microsoft Sentinel verwenden, lesen Siedas Einrichten des vom Kunden verwalteten Microsoft Sentinel-Schlüssels.

Überwachung virtueller Computer

Implementieren der Sicherheitsüberwachung von VMs mithilfe von Azure-Sicherheitsdiensten

Azure Monitor kann zwar Sicherheitsereignisse von Ihren VMs erfassen, ist jedoch nicht für die Sicherheitsüberwachung vorgesehen. Azure umfasst mehrere Dienste wie Microsoft Defender for Cloud und Microsoft Sentinel, die zusammen eine vollständige Sicherheitsüberwachungslösung bieten. Einen Vergleich dieser Dienste finden Sie unter Sicherheitsüberwachung.

Microsoft sichert Verbindungen mit öffentlichen Endpunkten mit End-to-End-Verschlüsselung. Wenn Sie einen privaten Endpunkt benötigen, verwenden Sie den privaten Azure-Link , um Ressourcen die Verbindung mit Ihrem Log Analytics-Arbeitsbereich über autorisierte private Netzwerke zu ermöglichen. Sie können auch den privaten Link verwenden, um die Erfassung von Arbeitsbereichsdaten über ExpressRoute oder ein VPN zu erzwingen.

Anleitungen: Entwerfen Des Setups ihres privaten Azure-Links

Containerüberwachung

Verbinden von Clustern mit Containereinblicken mithilfe der verwalteten Identitätsauthentifizierung

Die verwaltete Identitätsauthentifizierung ist die Standardauthentifizierungsmethode für neue Cluster. Wenn Sie die Legacyauthentifizierung verwenden, migrieren Sie zur verwalteten Identität, um die zertifikatbasierte lokale Authentifizierung zu entfernen.

Anweisungen: Migrieren zur verwalteten Identitätsauthentifizierung

Der von Azure verwaltete Dienst für Prometheus speichert seine Daten in einem Azure Monitor-Arbeitsbereich, der standardmäßig einen öffentlichen Endpunkt verwendet. Microsoft sichert Verbindungen mit öffentlichen Endpunkten mit End-to-End-Verschlüsselung. Wenn Sie einen privaten Endpunkt benötigen, verwenden Sie den privaten Azure-Link , um Ihrem Cluster die Verbindung mit dem Arbeitsbereich über autorisierte private Netzwerke zu ermöglichen. Private Link kann auch verwendet werden, um die Arbeitsbereichsdatenerfassung über ExpressRoute oder ein VPN zu erzwingen.

Anweisungen: Weitere Informationen zum Konfigurieren Ihres Clusters für private Links zur Kubernetes-Überwachung finden Sie unter "Aktivieren eines privaten Links" in Azure Monitor . Einzelheiten zum Abfragen Ihrer Daten mithilfe von Private Link finden Sie unter Verwenden privater Endpunkte für Managed Prometheus und Azure Monitor-Arbeitsbereiche.

Überwachen des Netzwerkdatenverkehrs zu und von Clustern mithilfe von Datenverkehrsanalysen

Mit Traffic Analytics analysiert Azure Network Watcher die NSG-Datenflussprotokolle, um Erkenntnisse zum Datenfluss in Ihrer Azure-Cloud bereitzustellen. Verwenden Sie dieses Tool, um sicherzustellen, dass in Ihrem Cluster keine Datenexfiltration auftritt, und um zu erkennen, falls öffentliche IP-Adressen unnötigerweise verfügbar gemacht werden.

Aktivieren von Netzwerkeinblicken

Das AKS-Add-On für Netzwerkeinblicke bietet Einblicke in die verschiedenen Ebenen im Kubernetes-Netzwerkstapel, Überwachen und Beobachten Sie den Zugriff zwischen den Diensten im Cluster (Ost-West-Datenverkehr).

Anweisungen: Einrichten der Containernetzwerk-Observability für Azure Kubernetes Service (AKS)

Sichern Des Log Analytics-Arbeitsbereichs

Containereinblicke senden Daten an einen Log Analytics-Arbeitsbereich. Stellen Sie sicher, dass Sie Die Protokollaufnahme und -speicherung in Ihrem Log Analytics-Arbeitsbereich sichern.

Anweisungen: Protokollaufnahme und Speicher.

Wie Microsoft Azure Monitor sichert

Die Anweisungen in diesem Artikel basieren auf dem Microsoft-Sicherheitsverantwortungsmodell. Im Rahmen dieses Modells der gemeinsamen Verantwortung bietet Microsoft diese Sicherheitsmaßnahmen für Azure Monitor-Kunden:

Azure-Sicherheitsleitfaden und bewährte Methoden

Anweisungen zur sicheren Bereitstellung von Azure Monitor basieren auf den umfassenden Richtlinien für die Cloudsicherheit und bewährten Methoden von Azure, darunter:

Nächster Schritt