Segurança de dados do Azure Monitor Logs

  • Artigo

Este artigo explica como o Azure Monitor coleta, processa e protege dados de log e descreve os recursos de segurança que você pode usar para proteger ainda mais seu ambiente do Azure Monitor. As informações neste artigo são específicas dos Logs do Azure Monitor e complementam as informações na Central de Confiabilidade do Azure.

O Azure Monitor Logs gerencia seus dados baseados em nuvem com segurança usando:

  • Segregação de dados
  • Retenção de dados
  • Segurança física
  • Gestão de incidentes
  • Conformidade
  • Certificações de normas de segurança

Entre em contato conosco com quaisquer perguntas, sugestões ou problemas sobre qualquer uma das seguintes informações, incluindo nossas políticas de segurança nas opções de suporte do Azure.

Enviando dados com segurança usando TLS

Para garantir a segurança dos dados em trânsito para o Azure Monitor, recomendamos vivamente que configure o agente para utilizar pelo menos o Transport Layer Security (TLS) 1.3. Versões mais antigas do TLS/Secure Sockets Layer (SSL) foram consideradas vulneráveis e, embora ainda funcionem atualmente para permitir compatibilidade com versões anteriores, elas não são recomendadas, e a indústria está se movendo rapidamente para abandonar o suporte para esses protocolos mais antigos.

O PCI Security Standards Council estabeleceu um prazo de 30 de junho de 2018 para desativar versões mais antigas do TLS/SSL e atualizar para protocolos mais seguros. Depois que o Azure descartar o suporte herdado, se seus agentes não puderem se comunicar pelo menos pelo TLS 1.3, você não poderá enviar dados para os Logs do Azure Monitor.

Recomendamos que você NÃO defina explicitamente seu agente para usar apenas o TLS 1.3, a menos que seja necessário. É preferível permitir que o agente detete, negocie e aproveite automaticamente os futuros padrões de segurança. Caso contrário, você pode perder a segurança adicional dos padrões mais recentes e possivelmente enfrentar problemas se o TLS 1.3 for preterido em favor desses padrões mais recentes.

Orientações específicas da plataforma

Plataforma/Idioma Suporte Mais Informações
Linux As distribuições Linux tendem a depender do OpenSSL para suporte a TLS 1.2. Verifique o OpenSSL Changelog para confirmar se a sua versão do OpenSSL é suportada.
Janelas 8.0 - 10 Suportado e ativado por padrão. Para confirmar que ainda está a utilizar as predefinições.
Windows Server 2012 - 2016 Suportado e ativado por padrão. Para confirmar que ainda está a utilizar as predefinições
Windows 7 SP1 e Windows Server 2008 R2 SP1 Suportado, mas não ativado por padrão. Consulte a página de configurações do Registro Transport Layer Security (TLS) para obter detalhes sobre como habilitar.

Segregação de dados

Depois que seus dados são ingeridos pelo Azure Monitor, os dados são mantidos logicamente separados em cada componente em todo o serviço. Todos os dados são marcados por espaço de trabalho. Essa marcação persiste durante todo o ciclo de vida dos dados e é imposta em cada camada do serviço. Seus dados são armazenados em um banco de dados dedicado no cluster de armazenamento na região selecionada.

Retenção de dados

Os dados de pesquisa de log indexados são armazenados e retidos de acordo com seu plano de preços. Para obter mais informações, consulte Preços do Log Analytics.

Como parte do seu contrato de subscrição, a Microsoft retém os seus dados de acordo com os termos do contrato. Quando os dados do cliente são removidos, nenhuma unidade física é destruída.

A tabela a seguir lista algumas das soluções disponíveis e fornece exemplos do tipo de dados coletados.

Solução Tipos de dados
Capacidade e Desempenho Dados e metadados de desempenho
Gestão de Atualizações Metadados e dados de estado
Gestão de Registos Logs de eventos definidos pelo usuário, logs de eventos do Windows e/ou logs do IIS
Monitorizar Alterações Inventário de software, metadados de serviço do Windows e daemon do Linux e metadados de arquivos do Windows/Linux
Avaliação SQL e Ative Directory Dados WMI, dados do Registro, dados de desempenho e resultados da exibição de gerenciamento dinâmico do SQL Server

A tabela a seguir mostra exemplos de tipos de dados:

Tipo de dados Campos
Alerta Nome do alerta, Descrição do alerta, BaseManagedEntityId, ID do problema, IsMonitorAlert, RuleId, ResolutionState, Priority, Severity, Category, Owner, ResolvedBy, TimeRaised, TimeAdded, LastModified, LastModifiedBy, LastModifiedExceptRepeatCount, TimeResolved, TimeResolutionStateLastModified, TimeResolutionStateLastModifiedInDB, RepeatCount
Configuração CustomerID, AgentID, EntityID, ManagedTypeID, ManagedTypePropertyID, CurrentValue, ChangeDate
Evento EventId, EventOriginalID, BaseManagedEntityInternalId, RuleId, PublisherId, PublisherName, FullNumber, Número, Categoria, ChannelLevel, LoggingComputer, EventData, EventParameters, TimeGenerated, TimeAdded
Observação: quando você escreve eventos com campos personalizados no log de eventos do Windows, o Log Analytics os coleta.
Metadados BaseManagedEntityId, ObjectStatus, OrganizationalUnit, ActiveDirectoryObjectSid, PhysicalProcessors, NetworkName, IPAddress, ForestDNSName, NetbiosComputerName, VirtualMachineName, LastInventoryDate, HostServerNameIsVirtualMachine, Endereço IP, NetbiosDomainName, LogicalProcessors, DNSName, DisplayName, DomainDnsName, ActiveDirectorySite, PrincipalName, OffsetInMinuteFromGreenwichTime
Desempenho ObjectName, CounterName, PerfmonInstanceName, PerformanceDataId, PerformanceSourceInternalID, SampleValue, TimeSampled, TimeAdded
Estado StateChangeEventId, StateId, NewHealthState, OldHealthState, Context, TimeGenerated, TimeAdded, StateId2, BaseManagedEntityId, MonitorId, HealthState, LastModified, LastGreenAlertGenerated, DatabaseTimeModified

Segurança física

O Azure Monitor é gerenciado pela equipe da Microsoft e todas as atividades são registradas e podem ser auditadas. O Azure Monitor é operado como um Serviço do Azure e atende a todos os requisitos de Conformidade e Segurança do Azure. Você pode exibir detalhes sobre a segurança física dos ativos do Azure na página 18 da Visão geral de segurança do Microsoft Azure. Os direitos de acesso físico a áreas seguras são alterados dentro de um dia útil para qualquer pessoa que não tenha mais responsabilidade pelo serviço Azure Monitor, incluindo transferência e encerramento. Você pode ler sobre a infraestrutura física global que usamos no Microsoft Datacenters.

Gestão de incidentes

O Azure Monitor tem um processo de gerenciamento de incidentes ao qual todos os serviços da Microsoft aderem. Resumindo, nós:

  • Use um modelo de responsabilidade compartilhada em que uma parte da responsabilidade de segurança pertence à Microsoft e uma parte pertence ao cliente
  • Gerenciar incidentes de segurança do Azure:
    • Iniciar uma investigação após a deteção de um incidente
    • Avalie o impacto e a gravidade de um incidente por um membro da equipe de resposta a incidentes de plantão. Com base em evidências, a avaliação pode ou não resultar em um novo escalonamento para a equipe de resposta de segurança.
    • Diagnostique um incidente por especialistas em resposta de segurança para conduzir a investigação técnica ou forense, identificar contenção, mitigação e contornar estratégias. Se a equipe de segurança acredita que os dados do cliente podem ter sido expostos a um indivíduo ilegal ou não autorizado, a execução paralela do processo de Notificação de Incidente do Cliente começa em paralelo.
    • Estabilize e recupere do incidente. A equipe de resposta a incidentes cria um plano de recuperação para mitigar o problema. As medidas de contenção de crises, como a quarentena de sistemas afetados, podem ocorrer imediatamente e em paralelo com o diagnóstico. Podem ser planeadas mitigações a mais longo prazo que ocorram após a passagem do risco imediato.
    • Feche o incidente e realize um post mortem. A equipe de resposta a incidentes cria um post mortem que descreve os detalhes do incidente, com a intenção de revisar políticas, procedimentos e processos para evitar a repetição do evento.
  • Notificar os clientes sobre incidentes de segurança:
    • Determinar o escopo dos clientes afetados e fornecer a qualquer pessoa afetada um aviso o mais detalhado possível
    • Crie um aviso para fornecer aos clientes informações detalhadas o suficiente para que eles possam realizar uma investigação e cumprir quaisquer compromissos que tenham assumido com seus usuários finais, sem atrasar indevidamente o processo de notificação.
    • Confirme e declare o incidente, conforme necessário.
    • Notificar os clientes com uma notificação de incidente sem demora excessiva e de acordo com qualquer compromisso legal ou contratual. As notificações de incidentes de segurança são entregues a um ou mais administradores de um cliente por qualquer meio selecionado pela Microsoft, inclusive por e-mail.
  • Realizar prontidão e treinamento da equipe:
    • Os funcionários da Microsoft devem concluir o treinamento de segurança e conscientização, o que os ajuda a identificar e relatar problemas de segurança suspeitos.
    • Os operadores que trabalham no serviço Microsoft Azure têm obrigações de treinamento adicionais sobre seu acesso a sistemas confidenciais que hospedam dados do cliente.
    • O pessoal de resposta de segurança da Microsoft recebe treinamento especializado para suas funções

Embora seja raro, a Microsoft notifica cada cliente no prazo de um dia se ocorrer uma perda significativa de quaisquer dados do cliente.

Para obter mais informações sobre como a Microsoft responde a incidentes de segurança, consulte Resposta de segurança do Microsoft Azure na nuvem.

Conformidade

O programa de segurança e governança de informações da equipe de serviços e desenvolvimento de software do Azure Monitor dá suporte aos seus requisitos de negócios e adere às leis e regulamentos, conforme descrito na Central de Confiabilidade do Microsoft Azure e na Conformidade da Central de Confiabilidade da Microsoft. Como o Azure Monitor Logs estabelece requisitos de segurança, identifica controles de segurança, gerencia e monitora riscos também é descrito lá. Anualmente, revisamos políticas, normas, procedimentos e diretrizes.

Cada membro da equipe de desenvolvimento recebe treinamento formal de segurança de aplicativos. Internamente, utilizamos um sistema de controle de versão para desenvolvimento de software. Cada projeto de software é protegido pelo sistema de controle de versão.

A Microsoft tem uma equipe de segurança e conformidade que supervisiona e avalia todos os serviços da Microsoft. Os responsáveis pela segurança da informação compõem a equipa e não estão associados às equipas de engenharia que desenvolvem o Log Analytics. Os agentes de segurança têm a sua própria cadeia de gestão e realizam avaliações independentes de produtos e serviços para garantir a segurança e a conformidade.

O conselho de administração da Microsoft é notificado por um relatório anual sobre todos os programas de segurança da informação na Microsoft.

A equipe de desenvolvimento e serviço de software do Log Analytics está trabalhando ativamente com as equipes de Conformidade e Jurídico da Microsoft e outros parceiros do setor para adquirir várias certificações.

Certificações e atestados

O Azure Log Analytics atende aos seguintes requisitos:

Nota

Em algumas certificações/atestados, os Logs do Azure Monitor são listados sob seu antigo nome de Insights Operacionais.

Fluxo de dados de segurança da computação em nuvem

O diagrama a seguir mostra uma arquitetura de segurança na nuvem como o fluxo de informações da sua empresa e como ela é protegida à medida que é movida para o Azure Monitor, vista por você no portal do Azure. Mais informações sobre cada etapa seguem o diagrama.

Imagem da coleta de dados e segurança do Azure Monitor Logs

1. Inscreva-se no Azure Monitor e colete dados

Para que sua organização envie dados para o Azure Monitor Logs, configure um agente Windows ou Linux em execução em máquinas virtuais do Azure ou em computadores virtuais ou físicos em seu ambiente ou outro provedor de nuvem. Se você usar o Operations Manager, no grupo de gerenciamento você configurará o agente do Operations Manager. Os usuários (que podem ser você, outros usuários individuais ou um grupo de pessoas) criam um ou mais espaços de trabalho do Log Analytics e registram agentes usando uma das seguintes contas:

Um espaço de trabalho do Log Analytics é onde os dados são coletados, agregados, analisados e apresentados. Um espaço de trabalho é usado principalmente como um meio para particionar dados, e cada espaço de trabalho é exclusivo. Por exemplo, talvez você queira ter seus dados de produção gerenciados com um espaço de trabalho e seus dados de teste gerenciados com outro espaço de trabalho. Os espaços de trabalho também ajudam um administrador a controlar o acesso do usuário aos dados. Cada espaço de trabalho pode ter várias contas de usuário associadas a ele, e cada conta de usuário pode acessar vários espaços de trabalho do Log Analytics. Você cria espaços de trabalho com base na região do datacenter.

Para o Operations Manager, o grupo de gerenciamento do Operations Manager estabelece uma conexão com o serviço Azure Monitor. Em seguida, você configura quais sistemas gerenciados por agente no grupo de gerenciamento têm permissão para coletar e enviar dados para o serviço. Dependendo da solução habilitada, os dados dessas soluções são enviados diretamente de um servidor de gerenciamento do Operations Manager para o serviço Azure Monitor ou, devido ao volume de dados coletados pelo sistema gerenciado por agente, são enviados diretamente do agente para o serviço. Para sistemas não monitorados pelo Operations Manager, cada um se conecta com segurança ao Azure Monitorservice diretamente.

Toda a comunicação entre sistemas conectados e o serviço Azure Monitor é criptografada. O protocolo TLS (HTTPS) é usado para criptografia. O processo Microsoft SDL é seguido para garantir que o Log Analytics esteja atualizado com os avanços mais recentes em protocolos criptográficos.

Cada tipo de agente coleta dados de log para o Azure Monitor. O tipo de dados coletados depende da configuração do seu espaço de trabalho e de outros recursos do Azure Monitor.

2. Enviar dados de agentes

Você registra todos os tipos de agente com uma chave de registro e uma conexão segura é estabelecida entre o agente e o serviço Azure Monitor usando autenticação baseada em certificado e TLS com a porta 443. O Azure Monitor usa um repositório secreto para gerar e manter chaves. As chaves privadas são alternadas a cada 90 dias e armazenadas no Azure e são gerenciadas pelas operações do Azure que seguem práticas rígidas de regulamentação e conformidade.

Com o Operations Manager, o grupo de gerenciamento registrado em um espaço de trabalho do Log Analytics estabelece uma conexão HTTPS segura com um servidor de gerenciamento do Operations Manager.

Para agentes Windows ou Linux em execução em máquinas virtuais do Azure, uma chave de armazenamento somente leitura é usada para ler eventos de diagnóstico em tabelas do Azure.

Com qualquer agente relatando a um grupo de gerenciamento do Operations Manager integrado ao Azure Monitor, se o servidor de gerenciamento não puder se comunicar com o serviço por qualquer motivo, os dados coletados serão armazenados localmente em um cache temporário no servidor de gerenciamento. Eles tentam reenviar os dados a cada oito minutos durante duas horas. Para dados que ignoram o servidor de gerenciamento e são enviados diretamente para o Azure Monitor, o comportamento é consistente com o agente do Windows.

Os dados armazenados em cache do agente do Windows ou do servidor de gerenciamento são protegidos pelo armazenamento de credenciais do sistema operacional. Se o serviço não puder processar os dados após duas horas, os agentes enfileirarão os dados. Se a fila ficar cheia, o agente começará a descartar tipos de dados, começando com dados de desempenho. O limite da fila do agente é uma chave do Registro para que você possa modificá-lo, se necessário. Os dados coletados são compactados e enviados para o serviço, ignorando os bancos de dados do grupo de gerenciamento do Operations Manager, para que não adicione nenhuma carga a eles. Depois que os dados coletados são enviados, eles são removidos do cache.

Conforme descrito acima, os dados do servidor de gerenciamento ou agentes conectados diretamente são enviados por TLS para datacenters do Microsoft Azure. Opcionalmente, você pode usar a Rota Expressa para fornecer segurança extra para os dados. A Rota Expressa é uma maneira de se conectar diretamente ao Azure a partir de sua rede WAN existente, como uma VPN MPLS (Multi-Protocol Label Switching), fornecida por um provedor de serviços de rede. Para obter mais informações, consulte ExpressRoute e O tráfego do meu agente usa minha conexão do Azure ExpressRoute?.

3. O serviço Azure Monitor recebe e processa dados

O serviço Azure Monitor garante que os dados de entrada sejam de uma fonte confiável validando certificados e a integridade dos dados com a autenticação do Azure. Os dados brutos não processados são armazenados em Hubs de Eventos do Azure na região em que os dados serão eventualmente armazenados em repouso. O tipo de dados armazenados depende dos tipos de soluções que foram importadas e usadas para coletar dados. Em seguida, o serviço Azure Monitor processa os dados brutos e os ingere no banco de dados.

O período de retenção dos dados coletados armazenados no banco de dados depende do plano de preços selecionado. Para o nível Gratuito, os dados coletados ficam disponíveis por sete dias. Para o nível Pago, os dados coletados ficam disponíveis por padrão por 31 dias, mas podem ser estendidos para 730 dias. Os dados são armazenados criptografados em repouso no armazenamento do Azure, para garantir a confidencialidade dos dados, e os dados são replicados na região local usando LRS (armazenamento redundante local) ou ZRS (armazenamento com redundância de zona) em regiões com suporte. As últimas duas semanas de dados também são armazenadas em cache baseado em SSD e esse cache é criptografado.

Os dados no armazenamento do banco de dados não podem ser alterados depois de ingeridos, mas podem ser excluídos por meio do caminho da API de limpeza. Embora os dados não possam ser alterados, algumas certificações exigem que os dados sejam mantidos imutáveis e não possam ser alterados ou excluídos no armazenamento. A imutabilidade de dados pode ser alcançada usando a exportação de dados para uma conta de armazenamento configurada como armazenamento imutável.

4. Use o Azure Monitor para acessar os dados

Para acessar seu espaço de trabalho do Log Analytics, entre no portal do Azure usando a conta organizacional ou a conta da Microsoft que configurou anteriormente. Todo o tráfego entre o portal e o serviço Azure Monitor é enviado por um canal HTTPS seguro. Ao usar o portal, um ID de sessão é gerado no cliente do usuário (navegador da Web) e os dados são armazenados em um cache local até que a sessão seja encerrada. Quando terminado, o cache é excluído. Os cookies do lado do cliente, que não contêm informações pessoalmente identificáveis, não são removidos automaticamente. Os cookies de sessão são marcados HTTPOnly e são seguros. Após um período ocioso predeterminado, a sessão do portal do Azure é encerrada.

Chaves de segurança gerenciadas pelo cliente

Os dados no Azure Monitor são criptografados com chaves gerenciadas pela Microsoft. Você pode usar chaves de criptografia gerenciadas pelo cliente para proteger os dados e as consultas salvas em seus espaços de trabalho. As chaves gerenciadas pelo cliente no Azure Monitor oferecem maior flexibilidade para gerenciar controles de acesso aos seus logs.

Depois de configurados, os novos dados ingeridos em espaços de trabalho vinculados são criptografados com sua chave armazenada no Cofre de Chaves do Azure ou no "HSM" gerenciado pelo Cofre de Chaves do Azure.

Armazenamento privado

Os Logs do Azure Monitor dependem do Armazenamento do Azure em cenários específicos. Use o armazenamento privado/gerenciado pelo cliente para gerenciar sua conta de armazenamento pessoalmente criptografada.

A rede de Link Privado do Azure permite vincular com segurança os serviços de PaaS (plataforma como serviço) do Azure, incluindo o Azure Monitor, à sua rede virtual usando pontos de extremidade privados.

Sistema de Proteção de Dados do Cliente para o Microsoft Azure

O Customer Lockbox for Microsoft Azure fornece uma interface para revisar e aprovar ou rejeitar solicitações de acesso a dados do cliente. Ele é usado quando um engenheiro da Microsoft precisa acessar dados do cliente, seja em resposta a um tíquete de suporte iniciado pelo cliente ou a um problema identificado pela Microsoft. Para habilitar o Customer Lockbox, você precisa de um cluster dedicado.

Inviolabilidade e imutabilidade

O Azure Monitor é uma plataforma de dados somente acréscimo, mas inclui disposições para excluir dados para fins de conformidade. Você pode definir um bloqueio no espaço de trabalho do Log Analytics para bloquear todas as atividades que possam excluir dados: limpar, excluir tabela e alterações de retenção de dados no nível da tabela ou do espaço de trabalho. No entanto, este bloqueio ainda pode ser removido.

Para tornar sua solução de monitoramento totalmente inviolável, recomendamos que você exporte seus dados para uma solução de armazenamento imutável.

Perguntas mais frequentes

Esta secção fornece respostas a perguntas comuns.

O tráfego do meu agente usa minha conexão do Azure ExpressRoute?

O tráfego para o Azure Monitor usa o circuito de emparelhamento da Rota Expressa da Microsoft. Consulte a documentação da Rota Expressa para obter uma descrição dos diferentes tipos de tráfego da Rota Expressa.