Udostępnij za pośrednictwem

Zabezpieczanie wdrożenia usługi Azure Monitor

Ten artykuł zawiera instrukcje dotyczące bezpiecznego wdrażania usługi Azure Monitor i wyjaśnia, jak firma Microsoft zabezpiecza usługę Azure Monitor.

Pozyskiwanie i przechowywanie logów

Udzielanie dostępu do danych w obszarze roboczym w zależności od potrzeb

  1. Ustaw tryb kontroli dostępu obszaru roboczego na Użyj uprawnień zasobów lub obszaru roboczego, aby właściciele zasobów mogli korzystać z kontekstu zasobów w celu uzyskania dostępu do swoich danych bez nadawania im jawnego dostępu do obszaru roboczego. Upraszcza to konfigurację obszaru roboczego i pomaga zapewnić użytkownikom dostęp tylko do potrzebnych im danych.
    Instrukcje: zarządzanie dostępem do obszarów roboczych usługi Log Analytics
  2. Przypisz odpowiednią wbudowaną rolę, aby udzielić administratorom uprawnień obszaru roboczego na poziomie subskrypcji, grupy zasobów lub obszaru roboczego w zależności od zakresu obowiązków.
    Instrukcje: zarządzanie dostępem do obszarów roboczych usługi Log Analytics
  3. Zastosuj RBAC na poziomie tabeli dla użytkowników, którzy wymagają dostępu do zestawu tabel w różnych zasobach. Użytkownicy z uprawnieniami do tabel mają dostęp do wszystkich danych w tabeli niezależnie od ich uprawnień do zasobów.
    Instrukcje: zarządzanie dostępem do obszarów roboczych usługi Log Analytics

Zabezpieczanie danych dzienników podczas przesyłania

Jeśli używasz agentów, łączników lub interfejsów API dzienników do wykonywania zapytań lub wysyłania danych do obszaru roboczego, użyj protokołu Transport Layer Security (TLS) 1.2 lub nowszego, aby zapewnić bezpieczeństwo przesyłanych danych. Starsze wersje protokołów TLS i Secure Sockets Layer (SSL) mają luki w zabezpieczeniach, a mimo to mogą nadal działać, aby umożliwić zgodność z poprzednimi wersjami, nie są zalecane, a branża szybko przeniosła się do porzucenia obsługi tych starszych protokołów.

Rada Standardów Bezpieczeństwa PCI wyznaczyła termin 30 czerwca 2018 r., aby wyłączyć starsze wersje protokołu TLS/SSL i uaktualnić je do bezpieczniejszych protokołów. Po usunięciu starszej obsługi platformy Azure klienci, którzy nie komunikują się całkowicie za pośrednictwem protokołu TLS 1.2 lub nowszego, nie będą mogli wysyłać ani wysyłać zapytań o dane do dzienników usługi Azure Monitor.

Nie należy jawnie konfigurować agentów, łączników danych ani aplikacji interfejsu API tylko do używania protokołu TLS 1.2, chyba że jest to konieczne. Zaleca się, aby umożliwić im automatyczne wykrywanie, negocjowanie i korzystanie z przyszłych standardów zabezpieczeń. W przeciwnym razie możesz przegapić dodatkowe zabezpieczenia nowszych standardów i prawdopodobnie napotkać problemy, jeśli protokół TLS 1.2 jest kiedykolwiek przestarzały na rzecz tych nowszych standardów.

Ważne

Zgodnie z planem wycofania przestarzałych wersji protokołu TLS na platformie Azure, protokoły TLS 1.0/1.1 zostaną całkowicie zablokowane dla dzienników usługi Azure Monitor zgodnie z datami w poniższej tabeli. Aby zapewnić najlepsze w klasie szyfrowanie, dzienniki usługi Azure Monitor używają już protokołu TLS 1.2/1.3 jako wybranego mechanizmu szyfrowania.

Data wejścia w życie Punkty końcowe interfejsu API zapytań Wersja protokołu TLS
1 lipca 2025 r. Punkty końcowe interfejsu API zapytań dzienników TLS 1.2 lub nowszy
1 marca 2026 r. Punkty końcowe interfejsu API importowania dzienników TLS 1.2 lub nowszy

Aby uniknąć potencjalnych zakłóceń usługi, upewnij się, że zasoby wchodzące w interakcje z punktami końcowymi interfejsu API dzienników nie mają zależności od protokołów TLS 1.0 lub 1.1.


Kliknij tutaj, aby uzyskać zalecaną akcję, którą można wykonać w celu przeprowadzenia inspekcji maszyn wirtualnych.

Potwierdzanie zasobów maszyny wirtualnej przy użyciu agenta monitorowania z nieobsługiwaną zależnością protokołu TLS

  1. Użyj zapytania usługi Azure Resource Graph, aby przeprowadzić inspekcję wersji systemu operacyjnego maszyn wirtualnych z zainstalowaną wersją agenta monitorowania.
  2. W witrynie Azure Portal przejdź do pozycji Resource Manager i wybierz pozycję Eksplorator grafu zasobów. Poniższe zapytanie znajduje wszystkie maszyny wirtualne w danym zakresie, które mają zainstalowane rozszerzenie. Jeśli maszyny wirtualne są uruchomione, wyświetlana jest również nazwa i wersja systemu operacyjnego. Poszukaj maszyn wirtualnych z zainstalowanym agentem usługi Azure Monitor lub jednym ze starszych agentów.
Resources
| where type =~ 'microsoft.compute/virtualmachines' 
 | project id,
  JoinID = toupper(id),
  ComputerName = tostring(properties.osProfile.computerName),
  OSName = tostring(properties.extended.instanceView.osName),
  OSVersion = tostring(properties.extended.instanceView.osVersion),
  osOffer = tostring(properties.storageProfile.imageReference.offer),
  osSku = tostring(properties.storageProfile.imageReference.sku)
| join kind=leftouter(
  Resources
  | where type == 'microsoft.compute/virtualmachines/extensions'
  | project
    MachineId = toupper(substring(id, 0, indexof(id, '/extensions'))),
    ExtensionName = name,
    ExtensionVersion = properties.typeHandlerVersion
) on $left.JoinID == $right.MachineId
| summarize Extensions = make_list(ExtensionName) by id, ComputerName, OSName, OSVersion, osOffer, osSku, tostring(ExtensionVersion)
| order by tolower(OSName) asc
  1. Następnie użyj tej tabeli obsługiwanych wersji protokołu TLS w systemie Windows, aby określić, jakie maszyny wirtualne z systemem Windows w wynikach zapytania należy zweryfikować włączenie protokołu TLS.
  2. Wyłącz protokoły TLS 1.0 i 1.1 i włącz protokół TLS 1.2. Aby uzyskać więcej informacji, zobacz Konfigurowanie protokołu TLS 1.2 dla agenta.

Praktycznie każda wersja systemu Windows starsza niż najnowsze wersje nadal ma dostępny protokół TLS 1.0 lub 1.1. System Windows 7 lub nowszy może włączyć protokół TLS 1.2, ale nie wyłącza automatycznie protokołu TLS 1.0 i 1.1. Tylko nadchodzące wersje systemu Windows planują je domyślnie wyłączyć. Identyfikowanie systemów bez możliwości obsługi protokołu TLS 1.2 i systemów wymagających aktualizacji lub zmiany rejestru w celu obsługi protokołu TLS 1.2.

W systemie Linux obsługa protokołu TLS jest dostarczana przez biblioteki (takie jak OpenSSL, NSS, GnuTLS) dostarczane z systemem operacyjnym. Wersje manyLinux starsze niż 2018-2020 obsługują protokoły TLS 1.0 i 1.1 i pozostawiają je domyślnie włączone. Nowsze wersje zaczęły domyślnie wyłączać starsze wersje protokołu TLS.

Aby uzyskać ogólne pytania dotyczące starszego problemu z protokołem TLS lub sposobu testowania obsługiwanych zestawów szyfrowania, zobacz Rozwiązywanie problemów z protokołem TLS i obsługa protokołu TLS w usłudze Azure Resource Manager.

Konfigurowanie inspekcji zapytań dzienników

  1. Skonfiguruj inspekcję zapytań dziennika, aby rejestrować szczegóły każdego zapytania uruchamianego w obszarze roboczym.
    Instrukcje: Inspekcja zapytań w dziennikach usługi Azure Monitor
  2. Traktuj dane audytu zapytań dzienników jako dane zabezpieczeń i odpowiednio zabezpiecz dostęp do tabeli LAQueryLogs.
    Instrukcje: Konfigurowanie dostępu do danych w obszarze roboczym w zależności od potrzeb.
  3. W przypadku oddzielenia danych operacyjnych i zabezpieczeń należy wysłać dzienniki inspekcji dla każdego obszaru roboczego do lokalnego obszaru roboczego lub skonsolidować je w dedykowanym obszarze roboczym zabezpieczeń.
    Instrukcje: Konfigurowanie dostępu do danych w obszarze roboczym w zależności od potrzeb.
  4. Użyj wglądów obszaru roboczego Log Analytics, aby okresowo przeglądać dane audytowe zapytań dzienników.
    Instrukcje: szczegółowe informacje o obszarze roboczym usługi Log Analytics.
  5. Utwórz reguły alertów przeszukiwania dzienników, aby powiadomić o próbie uruchomienia zapytań przez nieautoryzowanych użytkowników.
    Instrukcje: Reguły alertów przeszukiwania dzienników.

Zapewnianie niezmienności danych inspekcji

Azure Monitor jest platformą danych tylko do zapisywania, ale zawiera mechanizmy umożliwiające usuwanie danych dla celów zgodności. Aby zabezpieczyć dane inspekcji:

  1. Ustaw blokadę w obszarze roboczym usługi Log Analytics, aby zablokować wszystkie działania, które mogą usuwać dane, w tym przeczyszczanie, usuwanie tabel i zmiany przechowywania danych na poziomie tabeli lub obszaru roboczego. Należy jednak pamiętać, że tę blokadę można usunąć.
    Instrukcje: Blokowanie zasobów w celu ochrony infrastruktury

  2. Jeśli potrzebujesz w pełni odpornego na manipulacje rozwiązania, zalecamy wyeksportowanie danych do rozwiązania do przechowywania danych, które nie dopuszcza zmian:

    1. Określ określone typy danych, które mają zostać wyeksportowane. Nie wszystkie typy dzienników mają takie samo znaczenie dla zgodności, inspekcji lub zabezpieczeń.
    2. Eksportowanie danych służy do wysyłania danych na konto usługi Azure Storage.
      Instrukcje: eksportowanie danych obszaru roboczego usługi Log Analytics w usłudze Azure Monitor
    3. Ustaw zasady niezmienności, aby chronić przed naruszeniami danych.
      Instrukcje: Konfigurowanie zasad niezmienności dla wersji obiektów blob

Filtrowanie lub zaciemnianie poufnych danych w obszarze roboczym

Jeśli dane dziennika zawierają poufne informacje:

  1. Filtruj rekordy, które nie powinny być zbierane przy użyciu konfiguracji dla określonego źródła danych.
  2. Użyj przekształcenia, jeśli należy usunąć lub zaciemnić tylko określone kolumny w danych.
    Instrukcje: przekształcenia w usłudze Azure Monitor
  3. Jeśli masz standardy, które wymagają niezmodyfikowania oryginalnych danych, użyj literału "h" w zapytaniach KQL, aby zaciemnić wyniki zapytania wyświetlane w skoroszytach.
    Instrukcje: zaciemnione literały ciągu

Przeczyść poufne dane, które zostały zebrane przypadkowo

  1. Okresowo sprawdzaj dane prywatne, które mogą zostać przypadkowo zebrane w obszarze roboczym.
  2. Użyj przeczyszczania danych , aby usunąć niechciane dane. Należy pamiętać, że dane w tabelach z planem pomocniczym nie mogą być obecnie usuwane.
    Instrukcje: zarządzanie danymi osobowymi w dziennikach usługi Azure Monitor i usłudze Application Insights

Usługa Azure Monitor szyfruje wszystkie dane magazynowane i zapisywane zapytania przy użyciu kluczy zarządzanych przez firmę Microsoft (MMK). W przypadku zbierania wystarczającej ilości danych dla dedykowanego klastra połącz obszar roboczy z dedykowanym klastrem w celu uzyskania rozszerzonych funkcji zabezpieczeń, w tym:

  • Klucze zarządzane przez klienta w celu zapewnienia większej elastyczności i kontroli cyklu życia klucza. Jeśli używasz usługi Microsoft Sentinel, upewnij się, że znasz zagadnienia związane z konfigurowaniem klucza zarządzanego przez klienta usługi Microsoft Sentinel.
  • Skrytka klienta dla platformy Microsoft Azure w celu przejrzenia oraz zatwierdzenia lub odrzucenia próśb o dostęp do danych klientów. "Customer Lockbox jest używana, gdy inżynier Microsoftu musi uzyskać dostęp do danych klientów, czy to w odpowiedzi na zgłoszenie pomocy technicznej złożone przez klienta, czy w odpowiedzi na problem zidentyfikowany przez Microsoft." Obecnie nie można zastosować Lockbox do tabel z planem pomocniczym.

Instrukcje: tworzenie dedykowanego klastra i zarządzanie nim w dziennikach usługi Azure Monitor

Firma Microsoft zabezpiecza połączenia z publicznymi punktami końcowymi przy użyciu kompleksowego szyfrowania. Jeśli potrzebujesz prywatnego punktu końcowego, użyj łącza prywatnego platformy Azure , aby zezwolić zasobom na łączenie się z obszarem roboczym usługi Log Analytics za pośrednictwem autoryzowanych sieci prywatnych. Możesz również użyć łącza prywatnego, aby wymusić pozyskiwanie danych obszaru roboczego za pośrednictwem usługi ExpressRoute lub sieci VPN.

Instrukcje: Projektowanie konfiguracji usługi Azure Private Link

Pozyskiwanie protokołu TLS w usłudze Application Insights

Obsługiwane konfiguracje protokołu TLS

Usługa Application Insights używa protokołu Transport Layer Security (TLS) 1.2 i 1.3. Dodatkowo, w każdej wersji obsługiwane są także następujące pakiety szyfrów i krzywe eliptyczne.

wersja Zestawy szyfrowania Krzywe eliptyczne
TLS 1.2 • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256		 • NistP384
• NistP256
Protokół TLS 1.3 • TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256		 • NistP384
• NistP256

Rezygnacja z konfiguracji protokołu Transport Layer Security (TLS)

Ważne

Aby zwiększyć bezpieczeństwo, platforma Azure blokuje następujące konfiguracje protokołu TLS dla usługi Application Insights 1 maja 2025 r. Ta zmiana jest częścią procesu wycofywania przestarzałych wersji TLS w Azure:

  • Starsze pakiety szyfrów TLS 1.2 i TLS 1.3
  • Krzywe eliptyczne Legacy TLS

Protokoły TLS 1.2 i TLS 1.3

wersja Zestawy szyfrowania Krzywe eliptyczne
TLS 1.2 * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
* TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
* TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
* TLS_RSA_WITH_AES_256_GCM_SHA384
* TLS_RSA_WITH_AES_128_GCM_SHA256
* TLS_RSA_WITH_AES_256_CBC_SHA256
* TLS_RSA_WITH_AES_128_CBC_SHA256
* TLS_RSA_WITH_AES_256_CBC_SHA
* TLS_RSA_WITH_AES_128_CBC_SHA		 * krzywa25519
Protokół TLS 1.3 * krzywa25519

Aby uzyskać więcej informacji, zobacz Obsługa protokołu TLS w usłudze Application Insights — często zadawane pytania.

Powiadomienia

Kontrolowanie uprawnień reguły alertu przeszukiwania dzienników przy użyciu tożsamości zarządzanych

Typowym wyzwaniem dla deweloperów jest zarządzanie wpisami tajnymi, poświadczeniami, certyfikatami i kluczami używanymi do zabezpieczania komunikacji między usługami. Zarządzane tożsamości eliminują potrzebę, by deweloperzy zarządzali tymi poświadczeniami. Ustawienie zarządzanej tożsamości dla reguł wyszukiwania alertów w dziennikach pozwala na kontrolę i zapewnia dokładny wgląd w uprawnienia przypisane do tej reguły alertu. W dowolnym momencie możesz wyświetlić uprawnienia do zapytań reguły i dodać lub usunąć uprawnienia bezpośrednio z jej tożsamości zarządzanej.

Użycie tożsamości zarządzanej jest wymagane, jeśli zapytanie reguły uzyskuje dostęp do usługi Azure Data Explorer (ADX) lub usługi Azure Resource Graph (ARG).

Instrukcje: Tworzenie lub edytowanie reguły alertu przeszukiwania dzienników.

Przypisz rolę Czytelnik monitorowania do wszystkich użytkowników, którzy nie potrzebują uprawnień do konfiguracji

Zwiększ bezpieczeństwo, dając użytkownikom najmniejsze uprawnienia wymagane do ich roli.

Instrukcje: Role, uprawnienia i zabezpieczenia w usłudze Azure Monitor.

Używaj bezpiecznych akcji webhooków, jeśli to możliwe

Jeśli reguła alertu zawiera grupę akcji, która używa akcji webhooka, należy preferować stosowanie bezpiecznych akcji webhooka do bardziej efektywnego uwierzytelniania.

Instrukcje: Skonfiguruj uwierzytelnianie dla bezpiecznego webhooka.

Użyj kluczy zarządzanych przez klienta, jeśli potrzebujesz własnego klucza szyfrowania w celu ochrony danych i zapisanych zapytań w obszarach roboczych

Usługa Azure Monitor szyfruje wszystkie dane i zapisane zapytania znajdujące się w stanie spoczynku przy użyciu kluczy zarządzanych przez firmę Microsoft (MMK). Jeśli potrzebujesz własnego klucza szyfrowania i zbierz wystarczające dane dla dedykowanego klastra, użyj kluczy zarządzanych przez klienta, aby uzyskać większą elastyczność i kontrolę cyklu życia klucza.

Instrukcje: Klucze zarządzane przez klienta.

Jeśli używasz usługi Microsoft Sentinel, zobaczKonfigurowanie klucza zarządzanego przez klienta usługi Microsoft Sentinel.

Monitorowanie maszyn wirtualnych

Implementowanie monitorowania zabezpieczeń maszyn wirtualnych przy użyciu usług zabezpieczeń platformy Azure

Usługa Azure Monitor może zbierać zdarzenia zabezpieczeń z maszyn wirtualnych, ale nie jest przeznaczona do monitorowania zabezpieczeń. Platforma Azure obejmuje wiele usług, takich jak Microsoft Defender dla Chmury i Microsoft Sentinel, które razem zapewniają kompletne rozwiązanie do monitorowania zabezpieczeń. Zobacz Monitorowanie zabezpieczeń, aby zapoznać się z porównaniem tych usług.

Firma Microsoft zabezpiecza połączenia z publicznymi punktami końcowymi przy użyciu kompleksowego szyfrowania. Jeśli potrzebujesz prywatnego punktu końcowego, użyj łącza prywatnego platformy Azure , aby zezwolić zasobom na łączenie się z obszarem roboczym usługi Log Analytics za pośrednictwem autoryzowanych sieci prywatnych. Możesz również użyć łącza prywatnego, aby wymusić pozyskiwanie danych obszaru roboczego za pośrednictwem usługi ExpressRoute lub sieci VPN.

Instrukcje: Projektowanie konfiguracji usługi Azure Private Link

Monitorowanie kontenerów

Łączenie klastrów z usługą Container Insights przy użyciu uwierzytelniania tożsamości zarządzanej

Uwierzytelnianie tożsamości zarządzanej to domyślna metoda uwierzytelniania dla nowych klastrów. Jeśli używasz starszego uwierzytelniania, przeprowadź migrację do tożsamości zarządzanej, aby usunąć lokalne uwierzytelnianie oparte na certyfikatach.

Instrukcje: Migracja do uwierzytelniania tożsamości zarządzanej

Usługa zarządzana platformy Azure dla rozwiązania Prometheus przechowuje swoje dane w obszarze roboczym usługi Azure Monitor, który domyślnie używa publicznego punktu końcowego. Firma Microsoft zabezpiecza połączenia z publicznymi punktami końcowymi przy użyciu kompleksowego szyfrowania. Jeśli potrzebujesz prywatnego punktu końcowego, użyj łącza prywatnego platformy Azure , aby zezwolić klastrowi na łączenie się z obszarem roboczym za pośrednictwem autoryzowanych sieci prywatnych. Za pomocą łącza prywatnego można również wymusić importowanie danych do obszaru roboczego za pośrednictwem usługi ExpressRoute lub sieci VPN.

Instrukcje: Zobacz Włączanie łącza prywatnego dla monitorowania Kubernetes w usłudze Azure Monitor, aby uzyskać szczegółowe informacje na temat konfigurowania klastra dla łącza prywatnego. Aby uzyskać szczegółowe informacje na temat wykonywania zapytań dotyczących danych przy użyciu łącza prywatnego, zobacz Use private endpoints for Managed Prometheus and Azure Monitor workspace (Używanie prywatnych punktów końcowych dla zarządzanego rozwiązania Prometheus i obszaru roboczego usługi Azure Monitor).

Monitorowanie ruchu sieciowego do i z klastrów przy użyciu analizy ruchu

Traffic analytics analizuje dzienniki przepływu NSG usługi Azure Network Watcher, aby zapewnić wgląd w przepływ ruchu w chmurze Azure. Użyj tego narzędzia, aby upewnić się, że nie ma eksfiltracji danych dla klastra i wykrywać, czy są uwidocznione niepotrzebne publiczne adresy IP.

Włączanie wglądu w sieć

Dodatek do obserwacji sieci dla usługi AKS zapewnia wgląd w wiele warstw w stosie sieci Kubernetes. Monitoruj i obserwuj dostęp między usługami w klastrze (ruch wschodnio-zachodni).

Instrukcje: Konfigurowanie możliwości obserwowania sieci kontenerów dla usługi Azure Kubernetes Service (AKS)

Zabezpieczanie obszaru roboczego usługi Log Analytics

Usługa Container Insights wysyła dane do obszaru roboczego usługi Log Analytics. Pamiętaj, aby zabezpieczyć pobieranie i przechowywanie dzienników w obszarze roboczym Log Analytics.

Instrukcje: importowanie dzienników i przechowywanie.

Jak firma Microsoft zabezpiecza usługę Azure Monitor

Instrukcje zawarte w tym artykule opierają się na modelu odpowiedzialności za zabezpieczenia firmy Microsoft. W ramach tego modelu wspólnej odpowiedzialności firma Microsoft zapewnia klientom usługi Azure Monitor następujące środki zabezpieczeń:

Wskazówki i najlepsze rozwiązania dotyczące zabezpieczeń platformy Azure

Instrukcje dotyczące bezpiecznego wdrażania usługi Azure Monitor są oparte na kompleksowych wytycznych i najlepszych rozwiązaniach dotyczących zabezpieczeń w chmurze platformy Azure, które obejmują:

Następny krok

  • Last updated on