Azure 監視器記錄資料安全性
本文說明 Azure 監視器如何收集、處理及保護記錄資料,並說明可用來進一步保護 Azure 監視器環境的安全性功能。 本文中的資訊旨在說明 Azure 監視器記錄,並補充 Azure 信任中心的相關資訊。
Azure 監視器記錄會使用下列方式,安全地管理雲端式資料:
- 資料隔離
- 資料保留
- 實體安全性
- 事件管理
- 法規遵循
- 安全性標準認證
如有任何問題、建議或關於下列任一項資訊的問題 (包括我們的安全性原則),請與我們連絡:Azure 支援選項。
使用 TLS 安全地傳送數據
為了確保傳輸至 Azure 監視器的數據安全性,強烈建議您將代理程式設定為至少使用傳輸層安全性 (TLS) 1.3。 我們已發現較舊版本的 TLS/安全通訊端層 (SSL) 較易受到攻擊,而且在其目前的運作中仍允許回溯相容性,因此並不建議使用這些版本,很快地,業界也會捨棄這些舊版通訊協定的支援。
PCI 安全標準委員會已設定 2018 年 6 月 30 日作為最後期限,在此之後將停用舊版 TLS/SSL,並升級至更安全的通訊協定。 一旦 Azure 卸除舊版支援,如果您的代理程式無法透過 TLS 1.3 進行通訊,您將無法將資料傳送至 Azure 監視器記錄。
建議您不要明確將代理程式設定為只使用 TLS 1.3,除非必要。 建議讓代理程式自動偵測、交涉及利用未來的安全性標準。 否則,如果 TLS 1.3 已被取代,以偏向較新的標準,您可能會錯過新標準的額外安全性,而且可能會遇到問題。
平台專屬的指引
| 平台/語言 | 支援 | 相關資訊 |
|---|---|---|
| Linux | Linux 發行版本通常會依賴 OpenSSL 來取得 TLS 1.2 支援。 | 請檢查 OpenSSL 變更記錄來確認支援的 OpenSSL 版本。 |
| Windows 8.0 - 10 | 支援且預設會啟用。 | 請確認您仍在使用預設設定。 |
| Windows Server 2012 - 2016 | 支援且預設會啟用。 | 請確認您仍在使用預設設定 |
| Windows 7 SP1 和 Windows Server 2008 R2 SP1 | 支援但預設不會啟用。 | 請參閱傳輸層安全性 (TLS) 登錄設定頁面,了解詳細的啟用方式。 |
資料隔離
在 Azure 監視器內嵌您的資料之後,資料會以邏輯方式在整個服務的每個元件上分開。 每個工作區加上標記的所有資料。 這項標記作業會在整個資料生命週期中持續進行,且會在服務的每個層級強制執行。 您的資料會儲存在所選區域儲存體叢集的專用資料庫中。
資料保留
系統會根據價格方案來儲存及保留已編製索引的記錄檔搜尋資料。 如需詳細資訊,請參閱 Log Analytics 定價。
作為您訂用帳戶合約的一部分,Microsoft 會依據每個合約的條款保留您的資料。 移除客戶資料時,不會終結任何實體磁碟機。
下表列出一些可用的解決方案,並提供它們所收集的資料類型範例。
| 方案 | 資料類型 |
|---|---|
| 容量和效能 | 效能資料和中繼資料 |
| 更新管理 | 中繼資料和狀態資料 |
| 記錄管理 | 使用者定義的事件記錄、Windows 事件記錄和/或 IIS 記錄 |
| 變更追蹤 | 軟體清查、Windows 服務和 Linux 精靈中繼資料,以及 Windows/Linux 檔案中繼資料 |
| SQL 和 Active Directory 評估 | WMI 資料、登錄資料、效能資料和 SQL Server 動態管理檢視結果 |
下表顯示資料類型範例:
| 資料類型 | 欄位 |
|---|---|
| 警示 | 警示名稱、警示描述、BaseManagedEntityId、問題識別碼、IsMonitorAlert、RuleId、ResolutionState、優先順序、嚴重性、分類、擁有者、ResolvedBy、TimeRaised、TimeAdded、LastModified、LastModifiedBy、LastModifiedExceptRepeatCount、TimeResolved、TimeResolutionStateLastModified、TimeResolutionStateLastModifiedInDB、RepeatCount |
| 組態 | CustomerID、AgentID、EntityID、ManagedTypeID、ManagedTypePropertyID、CurrentValue、ChangeDate |
| Event | EventId、EventOriginalID、BaseManagedEntityInternalId、RuleId、PublisherId、PublisherName、FullNumber、Number、Category、ChannelLevel、LoggingComputer、EventData、EventParameters、TimeGenerated、TimeAdded 注意:當您使用自訂欄位將事件寫入 Windows 事件記錄檔時,Log Analytics 會收集它們。 |
| 中繼資料 | BaseManagedEntityId、ObjectStatus、OrganizationalUnit、ActiveDirectoryObjectSid、PhysicalProcessors、NetworkName、IPAddress、ForestDNSName、NetbiosComputerName、VirtualMachineName、LastInventoryDate、HostServerNameIsVirtualMachine、IP 位址、NetbiosDomainName、LogicalProcessors、DNSName、DisplayName、DomainDnsName、ActiveDirectorySite、PrincipalName、OffsetInMinuteFromGreenwichTime |
| 效能 | ObjectName、CounterName、PerfmonInstanceName、PerformanceDataId、PerformanceSourceInternalID、SampleValue、TimeSampled、TimeAdded |
| 州/省 | StateChangeEventId、StateId、NewHealthState、OldHealthState、Context、TimeGenerated、TimeAdded、StateId2、BaseManagedEntityId、MonitorId、HealthState、LastModified、LastGreenAlertGenerated、DatabaseTimeModified |
實體安全性
Azure 監視器是由 Microsoft 人員所管理,所有活動都有記錄並且可供稽核。 Azure 監視器會作為 Azure 服務運作,並符合所有 Azure 合規性與安全性需求。 您可以在 Microsoft Azure 安全性概觀的第 18 頁上檢視 Azure 資產之實體安全性的詳細資料。 不再負責管理 Azure 監視器服務的人員,其用來確保區域安全的實體存取權限 (包括傳輸和終止) 將會在一個工作天內變更。 若要了解我們使用的全域實體基礎結構,請參閱 Microsoft 資料中心。
事件管理
Azure 監視器具備所有 Microsoft 服務都會遵守的事件管理程序。 總結來說,我們:
- 使用共同責任模型,在此模型中,一部分的安全性責任歸屬 Microsoft,一部分則歸屬客戶
- 管理 Azure 安全性事件:
- 在偵測到事件時啟動調查
- 由待命的事件回應小組成員評估事件的影響和嚴重性。 根據證據,評估結果不一定會導致進一步上報給安全性回應小組。
- 由安全性回應專家診斷事件,以進行技術或鑑識調查、找出圍堵、緩和及因應策略。 如果安全性小組認為客戶資料可能已公開給非法或未經授權的個人,則會開始並行執行客戶事件通知程序。
- 恢復穩定並從事件中復原。 事件回應小組會建立復原計畫來減輕問題。 隔離受影響系統之類的危機圍堵步驟可能會立即進行,與診斷並行。 度過立即的危險之後,可能會進行較長期的緩和措施。
- 將事件結案並進行事後檢討。 事件回應小組會建立概述事件細節的事後檢討,以便修改原則、程序和處理程序來防止事件再次發生。
- 通知客戶發生了安全性事件:
- 確定受影響客戶的範圍,並盡可能為受影響當事人提供詳盡的通知
- 建立通知,為客戶提供足夠詳盡的資訊,在不會過度延遲通知程序的情況下,讓他們能夠在他們那一端進行調查,並符合他們對其使用者所做的任何承諾。
- 確認並視需要宣佈事件。
- 在不會導致不合理延遲並符合法律或契約承諾的情況下,以事件通知告知客戶。 安全性事件的通知會以 Microsoft 選擇的任何方式 (包括透過電子郵件) 傳送給客戶的一或多位系統管理員。
- 進行小組準備及訓練:
- Microsoft 人員必須完成安全性和認知訓練,這可幫助他們識別及報告可疑的安全性問題。
- 在 Microsoft Azure 服務工作的操作員身負圍繞在裝載客戶資料之機密系統存取權的附加訓練義務。
- Microsoft 安全性回應人員獲得專門針對其角色的訓練
雖然罕見,但如果發生任何客戶資料的重大遺失,Microsoft 會在一天內通知每位客戶。
如需 Microsoft 如何回應安全性事件的詳細資訊,請參閱雲端中的 Microsoft Azure 安全性回應。
法規遵循
Azure 監視器軟體開發和服務小組的資訊安全性及治理程式可支援其商務需求,並且會遵守 Microsoft Azure 信任中心和 Microsoft 信任中心合規性所述的法律與法規。 上述位置也會描述 Azure 監視器記錄建立安全性需求、識別安全性控制,以及管理和監視風險的方式。 每年我們都會檢閱原則、標準、程序和指導方針。
每個開發小組成員都會獲得正式的應用程式安全性訓練。 在內部,我們使用版本控制系統來開發軟體。 每個軟體專案都受到版本控制系統的保護。
Microsoft 設有安全性和法規遵循小組,負責監看及評估 Microsoft 的所有服務。 資訊安全人員組成小組,且與開發Log Analytics的工程小組無關。 安全人員有他們自己的管理鏈,並且會獨立評估產品和服務,以確保安全性與法規遵循。
Microsoft 的董事會會收到有關 Microsoft 所有資訊安全程式的年度報表通知。
Log Analytics 軟體開發和服務小組會積極地與 Microsoft 法律和規範小組及其他產業合作夥伴合作,以取得各種認證。
認證和證明
Azure Log Analytics 符合下列需求︰
- ISO/IEC 27001
- ISO/IEC 27018:2014
- ISO 22301
- PCI 安全標準委員會的支付卡產業 (PCI 相容) 資料安全標準 (PCI DSS)。
- 服務組織控制項 (SOC) 1 類型 1 和 SOC 2 類型 1 相容
- 擁有 HIPAA 商業夥伴合約之公司的 HIPAA 和 HITECH
- Windows 通用工程準則
- Microsoft 高可信度電腦運算 (英文)
- 作為 Azure 服務,Azure 監視器使用的元件會遵守 Azure 的合規性需求。 若要深入了解,請前往 Microsoft 信任中心法規遵循。
注意
在某些認證/證明中,Azure 監視器記錄會以舊名稱 Operational Insights 列出。
雲端運算安全性資料流
下圖顯示的雲端安全性架構為您公司的資訊流程,以及當其移至 Azure 監視器時如何受到保護,最終在 Azure 入口網站中為您所見。 圖表後面詳述每個步驟的詳細資訊。
1.註冊 Azure 監視器和收集資料
若貴組織要將資料傳送至 Azure 監視器,您要設定 Azure 虛擬機器上執行的 Windows 或 Linux 代理程式,或是在您的環境或其他雲端提供者中的虛擬或實體電腦上。 如果您是使用 Operations Manager,則您要從管理群組設定 Operations Manager 代理程式。 使用者 (可能是您、其他個別使用者或一群人) 會建立一或多個 Log Analytics 工作區,並使用下列其中一個帳戶來註冊代理程式:
Log Analytics 工作區是收集、彙總、分析以及呈現資料的位置。 工作區主要是做為資料分割資料,每個工作區都是唯一的。 例如,您可能需要使用一個工作區管理實際執行資料,及使用另一個工作區管理測試資料。 工作區也會協助系統管理員控制資料的使用者存取。 每個工作區可以有多個與其關聯的使用者帳戶,每個使用者帳戶可以存取多個 Log Analytics 工作區。 您必須根據資料中心區域建立工作區。
針對 Operations Manager,Operations Manager 管理群組就會建立與 Azure 監視器服務的連線。 接著,您要設定管理群組中哪些代理程式受控系統允許收集資料,並將資料傳送至服務。 根據已啟用的解決方案,這些解決方案中的資料會從 Operations Manager 管理伺服器直接傳送給 Azure 監視器服務,或者,由於代理程式受控系統上收集的資料量,而將這些解決方案中的資料從代理程式直接傳送給服務。 對於不受 Operations Manager 監視的系統,每個系統都會安全地直接連線到 Azure 監視器服務。
連線系統與 Azure 監視器服務之間的所有通訊都會加密。 會使用 TLS (HTTPS) 通訊協定來加密。 隨後會進行 Microsoft SDL 程序,使用最先進的密碼編譯通訊協定確保 Log Analytics 保持最新狀態。
每種代理程式類型都會收集 Azure 監視器的記錄資料。 收集的資料類型取決於工作區的設定,以及 Azure 監視器的其他功能。
2.從代理程式傳送資料
您使用註冊金鑰來註冊所有類型的代理程式,而代理程式與 Azure 監視器服務之間會使用憑證型驗證和 TLS 在連接埠 443 建立安全的連線。 Azure 監視器使用密碼存放區來產生及維護金鑰。 私密金鑰每 90 天會輪替一次,其儲存在 Azure 中,並由遵守嚴格法規與相容性作法的 Azure 作業人員管理。
向 Log Analytics 工作區註冊的管理群組會透過 Operations Manager 來建立與 Operations Manager 管理伺服器的安全 HTTPS 連線。
對於 Azure 虛擬機器上執行的 Windows 或 Linux 代理程式,唯讀的儲存體金鑰可用來讀取 Azure 資料表中的診斷事件。
透過向整合 Azure 監視器的 Operations Manager 管理群組報告的任何代理程式,如果管理伺服器因任何理由無法與服務通訊,所收集的資料就會本機儲存在管理伺服器上的暫時快取。 它們會在兩小時內,每隔 8 分鐘嘗試重新傳送資料。 對於略過管理伺服器並直接傳送至 Azure 監視器的資料,行為會與 Windows 代理程式是一致的。
Windows 或管理伺服器代理程式的快取資料會受到作業系統的認證存放區保護。 如果服務在兩小時后無法處理數據,代理程式會將數據排入佇列。 如果佇列已滿,代理程式會開始卸除資料類型,最先卸除的是效能資料。 代理程式佇列限制為登錄機碼,因此您可以視需要加以修改。 收集的數據會壓縮並傳送至服務,略過 Operations Manager 管理群組資料庫,因此不會新增任何負載。 傳送收集的數據之後,就會從快取中移除。
如上所述,管理伺服器或直接連線之代理程式中的資料會透過 TLS 傳送到 Microsoft Azure 資料中心。 (選擇性) 您可以使用 ExpressRoute 為資料提供額外的安全性。 ExpressRoute 可供直接從現有 WAN 網路 (例如網路服務提供者所提供的多重通訊協定標籤交換 (MPLS) VPN) 連線至 Azure。 如需詳細資訊,請參閱 ExpressRoute 和我的代理程式流量是否使用 Azure ExpressRoute 連線?。
3.Azure 監視器服務接收和處理資料
Azure 監視器服務會確保內送資料是來自信任的來源,方法是使用 Azure 驗證來驗證憑證和資料完整性。 接著,未經處理的資料會儲存在 Azure 事件中樞,在資料最終會待用儲存的區域中。 所儲存的資料類型取決於匯入和用來收集資料的解決方案類型。 然後,Azure 監視器服務會處理未經處理的資料,並將這些資料內嵌至資料庫內。
儲存在資料庫中已收集資料的保留期,會取決於所選的定價方案。 對於「免費」層,收集的資料可使用七天。 對於「付費」層,收集的資料根據預設可供使用 31 天,但可以延長為 730 天。 資料會以待用加密的形式儲存在 Azure 儲存體,以確保資料機密性,並在支援的區域中使用本地備援儲存體 (LRS) 或區域備援儲存體 (ZRS) 在本地區域內複寫資料。 過去兩週的資料也會儲存在以 SSD 為基礎的快取,而且此快取已加密。
資料庫記憶體中的數據一旦內嵌後就無法改變,但可以透過 清除 API 路徑刪除。 雖然無法改變數據,但某些認證會要求數據保持不變,且無法在記憶體中變更或刪除。 您可以針對設為不可變儲存體的儲存體帳戶使用資料匯出。
4.使用 Azure 監視器存取資料
如需存取 Log Analytics 工作區,請使用組織帳戶或您先前設定的 Microsoft 帳戶來登入 Azure 入口網站。 入口網站與 Azure 監視器服務之間的所有流量都會透過安全的 HTTPS 通道傳送。 在使用入口網站時,使用者用戶端 (網頁瀏覽器) 上會產生工作階段識別碼,且資料會儲存在本機快取中,直到工作階段終止為止。 終止時便會刪除快取。 不會自動移除未包含個人標識資訊的用戶端 Cookie。 工作階段 Cookie 會標示為 HTTPOnly,並受到保護。 在預先決定的閑置期間之後,會終止 Azure 入口網站 會話。
客戶管理的安全性金鑰
Azure 監視器中的數據會使用 Microsoft 管理的金鑰加密。 您可以使用 客戶管理的加密金鑰 來保護工作區中的數據和儲存的查詢。 Azure 監視器中的客戶自控密鑰可讓您更彈性地管理記錄的存取控制。
設定之後,內嵌至連結工作區的新數據會使用儲存在 Azure 金鑰保存庫 中的密鑰加密,或 Azure 金鑰保存庫 受控 「HSM」。。
私人記憶體
Azure 監視器記錄依賴特定案例中的 Azure 儲存體。 使用 私人/客戶管理的記憶體 來管理個人加密的記憶體帳戶。
Private Link 網路
Azure Private Link 網路 可讓您使用私人端點安全地將 Azure 平臺即服務 (PaaS) 服務連結至虛擬網路,包括 Azure 監視器。
適用於 Microsoft Azure 的客戶加密箱
Microsoft Azure 的客戶加密箱提供您檢閱和核准或拒絕客戶資料存取要求的介面。 當 Microsoft 工程師需要存取客戶數據時,不論是回應客戶起始的支援票證,還是 Microsoft 所識別的問題時,就會使用。 若要啟用客戶加密箱,您需要專用 的叢集。
竄改防護和不變性
Azure 監視器是僅附加的資料平台,但包含為了合規性目的而刪除資料的條款。 讓您可在 Log Analytics 工作區設定鎖定,以封鎖所有可能刪除資料的活動:清除、資料表刪除以及資料表或工作區層級資料保留變更。 不過,這個鎖仍可移除。
為使您的監控解決方案完全防篡改,我們建議您匯出資料至固定儲存體解決方案。
常見問題集
本節提供常見問題的答案。
我的代理程式流量是否會使用我的 Azure ExpressRoute 連線?
流到 Azure 監視器的流量會使用 Microsoft 對等互連 ExpressRoute 線路。 如需不同類型 ExpressRoute 流量的描述,請參閱 ExpressRoute 文件。