Azure 監視器記錄資料安全性

本文說明 Azure 監視器如何收集、處理及保護記錄數據,並說明可用來進一步保護 Azure 監視器環境的安全性功能。 本文中的資訊專屬於 Azure 監視器記錄,並補充 Azure 信任中心的相關信息

Azure 監視器記錄會使用:

  • 資料隔離
  • 資料保留
  • 實體安全性
  • 事件管理
  • 合規性
  • 安全性標準認證

請與我們連絡,以取得下列任何相關信息的任何問題、建議或問題,包括 Azure 支援 選項的安全策略。

使用 TLS 1.2 安全地傳送數據

為了確保傳輸至 Azure 監視器的數據安全性,強烈建議您將代理程式設定為至少使用傳輸層安全性 (TLS) 1.2。 較舊的 TLS/安全套接字層 (SSL) 版本被發現很脆弱,雖然它們目前仍可允許回溯相容性,但 不建議這麼做,而且業界正迅速轉向放棄對這些舊版通訊協定的支援。

PCI 安全性標準委員會已設定 2018 年 6 月 30 日的最後期限,以停用舊版 TLS/SSL,並升級為更安全的通訊協定。 一旦 Azure 卸除舊版支援,如果您的代理程式無法透過 TLS 1.2 進行通訊,您將無法將資料傳送至 Azure 監視器記錄。

建議您不要明確將代理程式設定為只使用 TLS 1.2,除非必要。 最好允許代理程式自動偵測、交涉及利用未來的安全性標準。 否則,如果 TLS 1.2 已被取代,以利於這些較新的標準,您可能會錯過新標準的額外安全性,而且可能會遇到問題。

平臺特定指引

平臺/語言 支援 相關資訊
Linux Linux 散發套件通常會依賴 OpenSSL 來支援 TLS 1.2。 請檢查 OpenSSL 變更記錄,以確認支援您的 OpenSSL 版本。
Windows 8.0 - 10 支援且預設會啟用。 確認您仍在使用 預設設定
Windows Server 2012 - 2016 支援且預設會啟用。 確認您仍在使用 預設設定
Windows 7 SP1 和 Windows Server 2008 R2 SP1 支援但預設不會啟用。 如需如何啟用的詳細資訊,請參閱傳輸層安全性 (TLS) 登錄設定頁面。

資料隔離

在 Azure 監視器擷取數據之後,數據會在整個服務的每個元件上以邏輯方式分開。 所有數據都會標記每個工作區。 此標記會在數據生命週期中保存,並在服務的每個層級強制執行。 您的數據會儲存在您所選取區域中記憶體叢集中的專用資料庫中。

資料保留

已編製索引的記錄搜尋數據會根據您的定價方案儲存並保留。 如需詳細資訊,請參閱 Log Analytics定價

在訂 用帳戶合約中,Microsoft 會根據合約條款保留您的數據。 拿掉客戶數據時,不會終結任何實體磁碟驅動器。

下表列出一些可用的解決方案,並提供所收集數據類型的範例。

方案 資料類型
容量和效能 效能數據和元數據
更新管理 中繼資料和狀態資料
記錄管理 使用者定義的事件記錄檔、Windows 事件記錄檔和/或 IIS 記錄
變更追蹤 軟體清查、Windows 服務和 Linux 精靈元數據,以及 Windows/Linux 檔案元數據
SQL 和 Active Directory 評估 WMI 資料、登錄資料、效能資料和 SQL Server 動態管理檢視結果

下表顯示資料類型範例:

資料類型 欄位
Alert 警示名稱、警示描述、BaseManagedEntityId、問題識別碼、IsMonitorAlert、RuleId、ResolutionState、優先順序、嚴重性、分類、擁有者、ResolvedBy、TimeRaised、TimeAdded、LastModified、LastModifiedBy、LastModifiedExceptRepeatCount、TimeResolved、TimeResolutionStateLastModified、TimeResolutionStateLastModifiedInDB、RepeatCount
組態 CustomerID、AgentID、EntityID、ManagedTypeID、ManagedTypePropertyID、CurrentValue、ChangeDate
Event EventId、EventOriginalID、BaseManagedEntityInternalId、RuleId、PublisherId、PublisherName、FullNumber、Number、Category、ChannelLevel、LoggingComputer、EventData、EventParameters、TimeGenerated、TimeAdded
注意: 當您將具有自定義字段的事件寫入 Windows 事件記錄檔時,Log Analytics 會收集它們。
中繼資料 BaseManagedEntityId、ObjectStatus、OrganizationalUnit、ActiveDirectoryObjectSid、PhysicalProcessors、NetworkName、IPAddress、ForestDNSName、NetbiosComputerName、VirtualMachineName、LastInventoryDate、HostServerNameIsVirtualMachine、IP 位址、NetbiosDomainName、LogicalProcessors、DNSName、DisplayName、DomainDnsName、ActiveDirectorySite、PrincipalName、OffsetInMinuteFromGreenwichTime
效能 ObjectName、CounterName、PerfmonInstanceName、PerformanceDataId、PerformanceSourceInternalID、SampleValue、TimeSampled、TimeAdded
州/省 StateChangeEventId、StateId、NewHealthState、OldHealthState、Context、TimeGenerated、TimeAdded、StateId2、BaseManagedEntityId、MonitorId、HealthState、LastModified、LastGreenAlertGenerated、DatabaseTimeModified

實體安全性

Azure 監視器是由 Microsoft 人員管理,而且會記錄所有活動,並可進行稽核。 Azure 監視器是以 Azure 服務的形式運作,並符合所有 Azure 合規性和安全性需求。 您可以在 Microsoft Azure 安全性概觀第 18 頁檢視 Azure 資產實體安全性的詳細數據。 安全區域的實體訪問許可權會在一個工作天內變更,而任何不再負責 Azure 監視器服務的人員,包括轉移和終止。 您可以閱讀我們在 Microsoft Datacenters 中使用的全域實體基礎結構。

事件管理

Azure 監視器具有所有 Microsoft 服務 遵循的事件管理程式。 總結一下,我們:

  • 使用共同責任模型,其中安全性責任的一部分屬於 Microsoft,而部分屬於客戶
  • 管理 Azure 安全性事件:
    • 在偵測到事件時開始調查
    • 由待命事件回應小組成員評估事件的影響和嚴重性。 根據辨識項,評估可能會導致安全性回應小組進一步呈報。
    • 藉由安全性回應專家診斷事件,以進行技術或鑑識調查、識別內含專案、緩和措施,以及解決策略。 如果安全性小組認為客戶數據可能暴露在非法或未經授權的個人,則客戶事件通知程式的平行執行會以平行方式開始。
    • 穩定並復原事件。 事件回應小組會建立復原計劃來減輕問題。 危機遏制步驟,例如隔離受影響的系統,可以立即和平行進行診斷。 可以規劃長期緩和措施,這些風險會在立即風險通過之後發生。
    • 關閉事件並進行驗屍。 事件回應小組會建立一個事後調查,概述事件的詳細數據,目的是修改原則、程序和程式,以防止事件再次發生。
  • 通知客戶安全性事件:
    • 判斷受影響的客戶範圍,並提供任何盡可能詳細通知的人員
    • 建立通知,為客戶提供足夠的詳細資訊,以便他們可以在其端執行調查,並滿足他們對終端使用者所做的任何承諾,同時不會過度延遲通知程式。
    • 視需要確認並宣告事件。
    • 根據任何法律或合約承諾,以不合理的延遲通知通知客戶。 安全性事件的通知會透過 Microsoft 選取的方式傳遞給一或多個客戶的系統管理員,包括透過電子郵件。
  • 進行小組整備和訓練:
    • Microsoft 人員必須完成安全性和認知訓練,以協助他們找出並報告可疑的安全性問題。
    • 在 Microsoft Azure 服務上工作的操作員有關於其存取客戶數據的敏感性系統的相關訓練義務。
    • Microsoft 安全性響應人員會收到其角色的特殊訓練

雖然很少見,但如果發生任何客戶數據的重大遺失,Microsoft 會在一天內通知每位客戶。

如需 Microsoft 如何回應安全性事件的詳細資訊,請參閱 雲端中的 Microsoft Azure 安全性回應。

合規性

Azure 監視器軟體開發和服務小組的信息安全性和控管計劃支援其商務需求,並遵循 Microsoft Azure 信任中心和 Microsoft 信任中心合規性中所述的法律法規。 Azure 監視器記錄如何建立安全性需求、識別安全性控制、管理及監視風險,也會說明該處。 我們會每年檢閱原則、標準、程序和指導方針。

每個開發小組成員都會接受正式的應用程式安全性訓練。 在內部,我們會使用版本控制系統進行軟體開發。 每個軟體項目都會受到版本控制系統的保護。

Microsoft 有安全性與合規性小組,負責監督及評估 Microsoft 的所有服務。 資訊安全人員組成小組,且它們與開發Log Analytics的工程小組無關。 安全人員有自己的管理鏈結,對產品和服務進行獨立評估,以確保安全性和合規性。

Microsoft 董事會會收到 Microsoft 所有資訊安全計劃的年度報告通知。

Log Analytics 軟體開發和服務小組正積極與 Microsoft 法律與合規性小組和其他產業合作夥伴合作,以取得各種認證。

認證和證明

Azure Log Analytics 符合下列需求:

注意

在某些認證/證明中,Azure 監視器記錄會列在其先前的 Operational Insights 名稱之下。

雲端運算安全性資料流

下圖顯示雲端安全性架構,作為您公司的資訊流程,以及其保護方式,如同移至 Azure 監視器的方式,最終會在 Azure 入口網站 中看到。 圖表後面詳述每個步驟的詳細資訊。

Image of Azure Monitor Logs data collection and security

1.註冊 Azure 監視器並收集數據

若要讓組織將數據傳送至 Azure 監視器記錄,您可以設定在 Azure 虛擬機上執行的 Windows 或 Linux 代理程式,或在您的環境或其他雲端提供者的虛擬或實體電腦上執行。 如果您使用 Operations Manager,請從您設定 Operations Manager 代理程式的管理群組。 使用者(可能是您、其他使用者或人員群組)會建立一或多個Log Analytics工作區,並使用下列其中一個帳戶註冊代理程式:

Log Analytics 工作區是收集數據、匯總、分析及呈現的位置。 工作區主要用於分割數據的方法,而且每個工作區都是唯一的。 例如,您可能想要讓生產數據使用一個工作區來管理,以及使用另一個工作區管理的測試數據。 工作區也可協助系統管理員控制使用者對數據的存取。 每個工作區可以有多個相關聯的用戶帳戶,而且每個用戶帳戶都可以存取多個 Log Analytics 工作區。 您會根據資料中心區域建立工作區。

針對 Operations Manager,Operations Manager 管理群組會建立與 Azure 監視器服務的連線。 接著,您可以設定管理群組中的代理程式管理系統,以收集數據並將其傳送至服務。 根據您啟用的解決方案,這些解決方案中的數據會直接從 Operations Manager 管理伺服器傳送至 Azure 監視器服務,或因為代理程式管理系統收集的數據量,會直接從代理程式傳送至服務。 針對 Operations Manager 未監視的系統,每個系統都會安全地連線到 Azure Monitorservice。

線上系統與 Azure 監視器服務之間的所有通訊都會加密。 TLS (HTTPS) 通訊協定用於加密。 遵循 Microsoft SDL 程式,以確保 Log Analytics 是最新的密碼編譯通訊協議進展。

每種代理程式類型都會收集 Azure 監視器的記錄數據。 收集的數據類型取決於工作區的設定,以及 Azure 監視器的其他功能。

2.從代理程式傳送資料

您使用註冊金鑰註冊所有代理程式類型,並在代理程式與 Azure 監視器服務之間建立安全連線,並使用憑證式驗證和具有埠 443 的 TLS。 Azure 監視器會使用秘密存放區來產生和維護密鑰。 私鑰會每隔 90 天輪替一次,並儲存在 Azure 中,並由遵循嚴格法規和合規性做法的 Azure 作業管理。

使用 Operations Manager 時,向 Log Analytics 工作區註冊的管理群組會建立與 Operations Manager 管理伺服器的安全 HTTPS 連線。

針對在 Azure 虛擬機上執行的 Windows 或 Linux 代理程式,會使用唯讀記憶體密鑰來讀取 Azure 數據表中的診斷事件。

將任何代理程式回報給與 Azure 監視器整合的 Operations Manager 管理群組時,如果管理伺服器因故無法與服務通訊,收集的數據會儲存在管理伺服器上的暫存快取本機。 他們嘗試每隔 8 分鐘重新傳送數據一次,再傳送兩個小時。 對於略過管理伺服器並直接傳送至 Azure 監視器的數據,行為與 Windows 代理程式一致。

Windows 或管理伺服器代理程式快取的數據會受到作業系統認證存放區的保護。 如果服務在兩小時后無法處理數據,代理程式會將數據排入佇列。 如果佇列已滿,代理程式就會開始卸除數據類型,從效能數據開始。 代理程式佇列限制是登錄機碼,因此您可以視需要加以修改。 收集的數據會壓縮並傳送至服務,略過 Operations Manager 管理群組資料庫,因此不會新增任何負載。 傳送收集的資料之後,會從快取中移除。

如上所述,管理伺服器或直接連線代理程序的數據會透過TLS傳送至 Microsoft Azure 數據中心。 您可以選擇性地使用 ExpressRoute 來為資料提供額外的安全性。 ExpressRoute 是直接從現有 WAN 網路連線到 Azure 的方式,例如網路服務提供者所提供的多重通訊協定標籤換 (MPLS) VPN。 如需詳細資訊,請參閱 ExpressRoute我的代理程式流量是否使用 Azure ExpressRoute 連線?

3.Azure 監視器服務會接收和處理數據

Azure 監視器服務透過驗證憑證和數據完整性,確保傳入的數據來自信任的來源。 然後,未處理的原始數據會儲存在區域中的 Azure 事件中樞,數據最終會儲存在待用區域。 儲存的數據類型取決於匯入及用來收集數據的解決方案類型。 然後,Azure 監視器服務會處理原始數據,並將其內嵌至資料庫。

儲存在資料庫中的所收集數據的保留期限取決於選取的定價方案。 針對免費層,收集的數據可供七天使用。 針對付費層,收集的數據預設為 31 天,但可以延長至 730 天。 數據會以待用加密方式儲存在 Azure 記憶體中,以確保數據機密性,而且數據會使用本地備援記憶體 (LRS) 或支援區域中的區域備援記憶體 (ZRS) 在本機區域內復寫。 過去兩周的數據也會儲存在 SSD 型快取中,而且此快取會加密。

資料庫記憶體中的數據在內嵌後無法改變,但可以透過 清除 API 路徑刪除。 雖然無法改變數據,但某些認證會要求數據保持不變,且無法在記憶體中變更或刪除。 數據不變性可以使用數據匯出至設定為不可變記憶體的記憶體帳戶來達成。

4.使用 Azure 監視器來存取數據

若要存取 Log Analytics 工作區,您可以使用先前設定的組織帳戶或 Microsoft 帳戶登入 Azure 入口網站。 入口網站與 Azure 監視器服務之間的所有流量都會透過安全的 HTTPS 通道傳送。 使用入口網站時,會在使用者用戶端上產生會話標識碼(網頁瀏覽器),而數據會儲存在本機快取中,直到會話終止為止。 終止時,會刪除快取。 不會自動移除未包含個人標識資訊的用戶端 Cookie。 會話 Cookie 會標示為 HTTPOnly 並受到保護。 在預先決定的閑置期間之後,會終止 Azure 入口網站 會話。

其他安全性功能

您可以使用這些額外的安全性功能,進一步保護您的 Azure 監視器環境。 這些功能需要更多的系統管理員管理。

  • 客戶管理的 (安全性) 金鑰 - 您可以使用客戶管理的金鑰來加密傳送至 Log Analytics 工作區的數據。 它需要使用 Azure 金鑰保存庫。
  • 私人/客戶管理的記憶體 - 管理您的個人加密記憶體帳戶,並告知 Azure 監視器使用它來儲存監視數據
  • Private Link 網路 - Azure Private Link 可讓您使用私人端點安全地將 Azure PaaS 服務(包括 Azure 監視器)連結到您的虛擬網路。
  • Azure 客戶加密箱 - 適用於 Microsoft Azure 的客戶加密箱提供一個介面,讓客戶檢閱和核准或拒絕客戶數據存取要求。 在 Microsoft 工程師必須於支援要求期間存取客戶資料的情況下,便會使用此功能。

防竄改和不變性

Azure 監視器是僅限附加的數據平臺,但包含為了符合規範而刪除數據的布建。 您可以 設定 Log Analytics 工作區 的鎖定,以封鎖所有可以刪除資料的活動:清除、資料表刪除和數據表或工作區層級的數據保留變更。 不過,仍然可以移除此鎖定。

若要完全防竄改監視解決方案,建議您 將數據匯出至不可變的記憶體解決方案

常見問題集

本節提供常見問題的解答。

我的代理程式流量是否使用我的 Azure ExpressRoute 連線?

Azure 監視器的流量會使用 Microsoft 對等互連 ExpressRoute 線路。 如需不同 ExpressRoute 流量類型的描述,請參閱 ExpressRoute 檔