共用方式為

保護您的 Azure 監視器部署

本文提供安全部署 Azure 監視器的指示,並說明如何Microsoft保護 Azure 監視器。

記錄擷取和儲存體

根據需求授與工作區中數據的存取權

  1. 將工作區訪問控制模式設定為 [使用資源或工作區許可權 ],以允許資源擁有者使用 資源內容 存取其數據,而不需獲得工作區的明確存取權。 這可簡化您的工作區設定,並協助確保使用者只能存取所需的數據。
    指示管理 Log Analytics 工作區的存取
  2. 指派適當的內建角色,根據其職責範圍,將工作區許可權授與訂用帳戶、資源群組或工作區層級的系統管理員。
    指示管理 Log Analytics 工作區的存取
  3. 針對需要跨多個資源存取一組數據表的使用者套用數據表層級 RBAC。 具有資料表權限的使用者無論其資源權限為何,都可以存取該資料表中的所有資料。
    指示管理 Log Analytics 工作區的存取

使用傳輸層安全性 (TLS) 1.2 或更高版本將數據傳送至工作區

如果您使用代理程式、連接器或記錄 API 來查詢傳送 資料至您的工作區,請使用傳輸層安全性 (TLS) 1.2 或更新版本來確保傳輸中數據的安全性。 舊版的 TLS 和安全套接字層 (SSL) 有弱點,雖然它們可能仍可允許回溯相容性,但 不建議這麼做,而且業界已快速移至放棄對這些較舊通訊協定的支援。

PCI 安全性標準委員會設定了 2018 年 6 月 30 日的最後期限,以停用舊版 TLS/SSL,並升級為更安全的通訊協定。 一旦 Azure 卸除舊版支援,如果您的代理程式無法透過 TLS 1.2 進行通訊,您將無法將資料傳送至 Azure 監視器記錄。

除非必要,否則請勿明確設定代理程式、數據連接器或 API 應用程式 ,以僅 使用 TLS 1.2。 建議讓其自動偵測、交涉及利用未來的安全性標準。 否則,您可能會遺漏較新標準的額外安全性,而且如果較新的標準已取代 TLS 1.2,也可能會遇到問題。

這很重要

在 2025 年 7 月 1 日,Azure 監視器記錄的 TLS 1.0/1.1 通訊協定版本將會淘汰,以同步進行 Azure 範圍內舊版 TLS 的淘汰。 為了提供最佳類別的加密,Azure 監視器記錄會使用傳輸層安全性 (TLS) 1.2 和 1.3 作為選擇的加密機制。

如需有關舊版 TLS 問題的一般問題,或如何測試支援的加密套件,請參閱 解決 TLS 問題和Azure Resource Manager TLS 支援

設定記錄查詢稽核

  1. 設定記錄查詢稽核,以記錄工作區中執行之每個查詢的詳細數據。
    指示Azure 監視器記錄中的稽核查詢
  2. 將記錄查詢稽核數據視為安全性數據,並適當地安全地存取 LAQueryLogs 數據表。
    指示根據需求設定工作區中數據的存取權。
  3. 如果您分隔作業和安全性數據,請將每個工作區的稽核記錄傳送至本機工作區,或合併在專用的安全性工作區中。
    指示根據需求設定工作區中數據的存取權。
  4. 使用 Log Analytics 工作區深入解析來定期檢閱記錄查詢稽核資料。
    指示Log Analytics 工作區洞察
  5. 建立記錄搜尋警示規則,以在未經授權的使用者嘗試執行查詢時通知您。
    指示記錄搜尋警示規則

確保稽核數據的不變性

Azure 監視器是僅允許添加的數據平臺,但包含為了符合合規要求而刪除數據的機制。 若要保護您的稽核數據:

  1. 設定 Log Analytics 工作區的鎖定,以封鎖可刪除資料的所有活動,包括清除、資料表刪除和數據表或工作區層級的數據保留變更。 不過,請記住,可將此鎖定移除。
    指示鎖定資源以保護基礎結構

  2. 如果您需要完全防竄改的解決方案,建議您將數據匯出至 不可變的記憶體解決方案

    1. 確定要匯出的特定數據類型。 並非所有記錄類型都與合規性、稽核或安全性具有相同的相關性。
    2. 使用 數據匯出 將數據傳送至 Azure 記憶體帳戶。
      指示Azure 監視器中的Log Analytics工作區數據匯出
    3. 設定不變性原則,以防止數據竄改。
      指示設定 Blob 版本的不變性原則

篩選或模糊化工作區中的敏感數據

如果您的記錄資料包含 敏感性資訊

  1. 請使用特定資料資來源的設定來篩選不應收集的記錄。
  2. 如果只應移除或模糊處理數據中的特定數據行,請使用轉換。
    指示Azure 監視器中的轉換
  3. 如果您有要求未經修改原始數據的標準,請使用 KQL 查詢中的 『h』 常值來模糊化活頁簿中顯示的查詢結果。
    指示混淆的字串常值

清除意外收集的敏感數據

  1. 定期檢查工作區中可能不小心收集的私人數據。
  2. 使用 數據清除 來移除垃圾數據。 請注意,目前無法清除具有 輔助計劃的 數據表中的數據。
    指示在 Azure 監視器記錄和 Application Insights 中管理個人資料

Azure 監視器會使用Microsoft管理的金鑰來加密待用數據和已儲存的查詢(MMK)。 如果您為 專用叢集收集足夠的數據,請將工作區連結至專用叢集,以取得增強的安全性功能,包括:

指示在 Azure 監視器記錄中建立和管理專用叢集

Microsoft使用端對端加密來保護公用端點的連線。 如果您需要私人端點,請使用 Azure 私人連結 ,允許資源透過授權的專用網連線到 Log Analytics 工作區。 您也可以使用 Private 連結,強制透過 ExpressRoute 或 VPN 擷取工作區數據。

指示設計您的 Azure Private Link 設定

Application Insights TLS 匯入

支援的 TLS 設定

Application Insights 使用傳輸層安全性 (TLS) 1.2 和 1.3。 此外,每個版本中也會支援下列加密套件和橢圓曲線。

版本 加密套件 橢圓曲線
TLS 1.2 • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
• TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256		 • NistP384
• NistP256
TLS 1.3 • TLS_AES_256_GCM_SHA384
• TLS_AES_128_GCM_SHA256		 • NistP384
• NistP256

棄用傳輸層安全性 (TLS) 組態

這很重要

為了改善安全性,Azure 將於 2025 年 5 月 1 日淘汰 Application Insights 的下列 TLS 組態。 這項變更是 全 Azure 舊版 TLS 淘汰的一部分:

  • TLS 1.0 和 TLS 1.1 通訊協定版本
  • 舊版 TLS 1.2 和 TLS 1.3 加密套件
  • 舊版 TLS 橢圓曲線

TLS 1.0 和 TLS 1.1

TLS 1.0 和 TLS 1.1 即將淘汰。

TLS 1.2 和 TLS 1.3

版本 加密套件 橢圓曲線
TLS 1.2 • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
• TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
• TLS_RSA_WITH_AES_256_GCM_SHA384
• TLS_RSA_WITH_AES_128_GCM_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA256
• TLS_RSA_WITH_AES_128_CBC_SHA256
• TLS_RSA_WITH_AES_256_CBC_SHA
• TLS_RSA_WITH_AES_128_CBC_SHA		 • curve25519
TLS 1.3 • curve25519

如需詳細資訊,請參閱 Application Insights 常見問題中的 TLS 支援

警報

使用受受控身分控制記錄搜尋警示規則權限

開發人員常見的挑戰是管理用來保護服務間安全通訊的祕密、認證、憑證和金鑰。 受控識別會排除開發人員管理這些認證的需求。 針對您的記錄搜尋警示規則設定受控識別可讓您控制和查看警示規則的確切權限。 您可以隨時檢視規則的查詢許可權,並直接從其受控識別新增或移除許可權。

如果您的規則查詢正在存取 Azure 數據總管(ADX)或 Azure 資源圖(ARG),則需要使用受控身分識別。

指示建立或編輯記錄搜尋警示規則

將監視讀取者角色指派給不需要設定許可權的所有使用者

為使用者提供其角色所需的最低許可權,以增強安全性。

指示Azure 監視器中的角色、許可權和安全性

盡可能使用安全的 Webhook 動作

如果您的警示規則包含使用 Webhook 動作的動作群組,偏好使用安全的 Webhook 動作進行更強身份驗證。

指示設定安全 Webhook 的驗證

如果您需要自己的加密金鑰來保護工作區中的資料和已儲存的查詢,請使用客戶管理的金鑰

Azure 監視器會使用 Microsoft 所管理的金鑰(MMK)來加密靜止的所有數據和儲存的查詢。 如果您需要自己的加密金鑰並為專用叢集收集足夠的資料,請使用客戶管理的密鑰以獲得更大的彈性和金鑰生命週期控制。

指示客戶管理的金鑰

如果您使用 Microsoft Sentinel,請參閱設定Microsoft Sentinel 客戶管理的密鑰

虛擬機監視

使用 Azure 安全性服務實作 VM 的安全性監視

雖然 Azure 監視器可以從您的 VM 收集安全性事件,但不適合用於安全性監視。 Azure 包含多個服務,例如適用於雲端的 Microsoft DefenderMicrosoft Sentinel,可共同提供完整的安全性監視解決方案。 如需這些服務的比較,請參閱安全性監視

Microsoft使用端對端加密來保護公用端點的連線。 如果您需要私人端點,請使用 Azure 私人連結 ,允許資源透過授權的專用網連線到 Log Analytics 工作區。 您也可以使用 Private 連結,強制透過 ExpressRoute 或 VPN 擷取工作區數據。

指示設計您的 Azure Private Link 設定

容器監視

使用受控識別驗證將叢集連線到容器洞察

受控識別驗證 是新叢集的預設驗證方法。 如果您使用舊版驗證,請移轉至受控識別,以移除憑證型本機驗證。

指示遷移至受控識別驗證

適用於 Prometheus 的 Azure 受控服務會將其數據儲存在 Azure 監視器工作區中,預設會使用公用端點。 Microsoft使用端對端加密來保護公用端點的連線。 如果您需要私人端點,請使用 Azure 私人連結 ,讓您的叢集透過授權的專用網聯機到工作區。 私人連結還可以用於透過 ExpressRoute 或 VPN 強制擷取工作區資料。

指示:有關配置您的叢集以使用私人連結的詳細資訊,請參閱在 Azure 監視器中啟用 Kubernetes 監視的私人連結。 如需使用私人連結查詢資料的詳細資訊,請參閱使用受控 Prometheus 和 Azure 監視器工作區的私人端點

使用流量分析來監控叢集的網路流量

流量分析可以分析 Azure 網路監看員 NSG 流量記錄,讓您深入解析 Azure 雲端中的流量。 使用此工具可確保叢集沒有資料外泄,並偵測是否公開了任何不必要的公用 IP。

啟用網路可觀察性

AKS 的網路可檢視性附加元件提供在 Kubernetes 網路堆疊中的多層可檢視性。 監視和觀察叢集中服務之間的存取(東西向流量)。

指示設定 Azure Kubernetes Service 的容器網路可檢視性 (AKS)

保護您的Log Analytics工作區

容器深入解析會將資料傳送至 Log Analytics 工作區。 請務必保護 Log Analytics 工作區中的記錄擷取和儲存體。

指示日誌輸入和儲存

Microsoft如何保護 Azure 監視器

本文中的指示是以 Microsoft安全性責任模型為基礎。 作為此共同責任模型的一部分,Microsoft將這些安全性措施提供給 Azure 監視器客戶:

Azure 安全性指引和最佳做法

Azure 監視器安全部署指示是以 Azure 的完整雲端安全性指導方針和最佳做法為基礎,包括:

後續步驟