保护 Azure Monitor 部署

本文提供安全部署 Azure Monitor 的说明，并介绍了如何Microsoft保护 Azure Monitor。

日志引入和存储

根据需要授予对工作区中的数据的访问权限

1. 将工作区访问控制模式设置为 “使用资源或工作区权限 ”，以允许资源所有者使用 资源上下文 访问其数据，而无需授予对工作区的显式访问权限。 这简化了工作区配置，并帮助确保用户只能访问所需的数据。
   说明： 管理对 Log Analytics 工作区的访问权限
2. 分配适当的内置角色，根据管理员的职责范围向订阅、资源组或工作区级别的管理员授予工作区权限。
   说明： 管理对 Log Analytics 工作区的访问权限
3. 对需要跨多个资源访问一组表的用户应用表级 RBAC。 无论其资源权限如何，具有表权限的用户都可以访问表中的所有数据。
   说明： 管理对 Log Analytics 工作区的访问权限

使用传输层安全性 （TLS） 1.2 或更高版本将数据发送到工作区

如果使用代理、连接器或日志引入 API 将数据发送到工作区，请使用传输层安全性 （TLS） 1.2 或更高版本来确保传输中的数据的安全性。 旧版 TLS/安全套接字层（SSL）已发现易受攻击，尽管它们目前仍可允许向后兼容性，但 不建议这样做，并且行业正在迅速放弃对这些旧协议的支持。

PCI 安全标准委员会规定 2018 年 6 月 30 日是停用旧版 TLS/SSL 并升级到更安全协议的截止时间。 Azure 删除旧版支持后，如果代理无法通过 TLS 1.3 进行通信，将无法将数据发送到 Azure Monitor 日志。

建议不要将代理显式设置为仅使用 TLS 1.3，除非必要。 最好允许代理自动检测、协商和利用未来的安全标准。 否则，您可能会错过较新标准所带来的额外安全性，并在 TLS 1.3 被弃用以采用这些较新标准时可能会遇到问题。

有关旧版 TLS 问题的任何常规问题，请参阅 Azure 资源管理器 TLS 支持。

设置日志查询审核

1. 配置日志查询审核，以记录在工作区中运行的每个查询的详细信息。
   说明： Azure Monitor 日志中的审核查询
2. 将日志查询审核数据视为安全数据，并适当地安全访问 LAQueryLogs 表。
   说明： 根据需要配置对工作区中数据的访问。
3. 如果将操作数据和安全数据分离，请将每个工作区的审核日志发送到本地工作区，或汇总到专用安全工作区中。
   说明： 根据需要配置对工作区中数据的访问。
4. 使用 Log Analytics 工作区洞察功能定期审查日志查询审核数据。
   说明： Log Analytics 工作区分析见解。
5. 创建日志搜索警报规则，以便在未经授权的用户尝试运行查询时通知你。
   说明： 日志搜索警报规则。

确保审核数据的不可变性

Azure Monitor 是一个仅可追加的数据平台，但它包含为符合性目的而删除数据的规定。 保护审核数据：

1. 在你的 Log Analytics 工作区上设置锁定，以阻止所有可能删除数据的活动，包括清除、表删除、表级或工作区级的数据保留更改。 但是，请记住，可以删除此锁。
   说明： 锁定资源以保护基础结构

2. 如果需要完全防篡改的解决方案，建议将数据导出到 不可变存储解决方案：

   1. 确定应导出的特定数据类型。 并非所有日志类型都具有与合规性、审核或安全性相同的相关性。
   2. 使用 数据导出 将数据发送到 Azure 存储帐户。
      说明： Azure Monitor 中的 Log Analytics 工作区数据导出
   3. 设置不可变策略以防止数据篡改。
      说明： 为 Blob 版本配置不可变性策略

筛选或模糊处理工作区中的敏感数据

如果日志数据包含 敏感信息：

1. 使用特定数据源的配置以筛选不应收集的记录。
2. 如果只应删除或模糊处理数据中的特定列，请使用转换。
   说明： Azure Monitor 中的转换
3. 如果你有要求未修改原始数据的标准，请使用 KQL 查询中的“h”文本模糊化工作簿中显示的查询结果。
   说明：经过模糊处理的字符串文本

清除意外收集的敏感数据

1. 定期检查工作区中可能意外收集的专用数据。
2. 使用 数据清除 删除不需要的数据。 请注意，目前无法清除具有 辅助计划的 表中的数据。
   说明： 在 Azure Monitor 日志和 Application Insights 中管理个人数据

将工作区链接到专用群集以提高安全性

Azure Monitor 使用 Azure 管理的密钥 (MMK) 加密所有静态数据和保存的查询。 如果为 专用群集收集足够的数据，请将工作区链接到专用群集，以获取增强的安全功能，包括：

• 客户管理的密钥 可提高灵活性和密钥生命周期控制。 如果使用 Microsoft Sentinel，请确保熟悉设置 Microsoft Sentinel 客户管理的密钥中的注意事项。

说明： 在 Azure Monitor 日志中创建和管理专用群集

使用 Azure 专用链接阻止来自公用网络的工作区访问

Microsoft使用端到端加密保护与公共终结点的连接。 如果需要专用终结点，请使用 Azure 专用链接 允许资源通过授权的专用网络连接到 Log Analytics 工作区。 还可以使用专用链接强制通过 ExpressRoute 或 VPN 引入工作区数据。

说明： 设计 Azure 专用链接设置

警报

使用托管标识控制日志搜索警报规则权限

开发人员面临的一个常见挑战是管理用于保护服务之间通信的机密、凭据、证书和密钥。 托管标识使开发人员无需管理这些凭据。 为日志搜索警报规则设置托管标识可让你控制和了解警报规则的确切权限。 可以随时查看规则的查询权限，并直接从其托管标识添加或删除权限。

如果规则的查询正在访问 Azure 数据资源管理器 (ADX) 或 Azure Resource Graph (ARG)，则需要使用托管标识。

说明： 创建或编辑日志搜索警报规则。

将“监视读取者”角色分配给不需要配置特权的所有用户

通过向用户授予其角色所需的最低权限来提高安全性。

说明： Azure Monitor 中的角色、权限和安全性。

尽可能使用安全的 Webhook 操作

如果警报规则包含使用 Webhook 操作的操作组，建议首选使用安全 Webhook 操作以进行更强的身份验证。

说明： 为安全 Webhook 配置身份验证。

如果需要使用自己的加密密钥来保护工作区中的数据和保存的查询，请使用客户管理的密钥

Azure Monitor 使用 Azure 托管密钥（MMK）加密所有数据和保存的查询。 如果需要使用自己的加密密钥，并为专用群集收集足够的数据，请使用客户管理的密钥以提高灵活性和密钥生命周期控制。

说明： 客户管理的密钥。

如果使用Microsoft Sentinel，请参阅设置Microsoft Sentinel 客户管理的密钥。

虚拟机监控

使用 Azure 安全服务实现 VM 的安全监视

虽然 Azure Monitor 可以从 VM 收集安全事件，但它不用于安全监视。 Azure 包括 Microsoft Defender for Cloud 和 Microsoft SSentinel 等多项服务，可共同提供完整的安全监视解决方案。 要对这些服务进行比较，请参阅安全监视。

使用 Azure 专用链接通过专用终结点将 VM 连接到 Azure Monitor

Azure 使用端到端加密保护与公共终结点的连接。 如果需要专用终结点，请使用 Azure 专用链接 允许资源通过授权的专用网络连接到 Log Analytics 工作区。 还可以使用专用链接强制通过 ExpressRoute 或 VPN 引入工作区数据。

说明： 设计 Azure 专用链接设置

容器监控

使用托管标识身份验证将群集连接到容器见解

托管标识身份验证 是新群集的默认身份验证方法。 如果使用旧身份验证，请迁移到托管标识以删除基于证书的本地身份验证。

说明： 迁移到托管标识身份验证

使用 Azure 专用链接通过专用终结点将数据从群集发送到 Azure Monitor

Prometheus 的 Azure 托管服务将其数据存储在 Azure Monitor 工作区中，该工作区默认使用公共终结点。 Microsoft使用端到端加密保护与公共终结点的连接。 如果需要专用终结点，请使用 Azure 专用链接 允许群集通过授权的专用网络连接到工作区。 专用链接还可用于通过 ExpressRoute 或 VPN 强制引入工作区数据。

说明：有关如何配置群集以启用专用链接的详细信息，请参阅 在 Azure Monitor 中为 Kubernetes 监视启用专用链接 。 有关使用专用链接查询数据的详细信息，请参阅为托管 Prometheus 和 Azure Monitor 工作区使用专用终结点。

使用流量分析监视传入和传出群集的网络流量

流量分析可以分析 Azure 网络观察程序 NSG 流日志，帮助洞察 Azure 云中的流量流。 使用此工具可确保群集没有数据外泄，并检测是否公开了任何不必要的公共 IP。

启用网络可观测性

AKS 的网络可观测性加载项提供在 Kubernetes 网络堆栈中的多个层的可观测性。 监视和观察群集中服务之间的访问（东西向流量）。

说明： 为 Azure Kubernetes 服务设置容器网络可观测性（AKS）

保护 Log Analytics 工作区

容器见解将数据发送到 Log Analytics 工作区。 请确保在 Log Analytics 工作区中保护日志引入和存储。

说明： 日志引入和存储。

Microsoft如何保护 Azure Monitor

本文中的说明基于 Microsoft安全责任模型。 作为此共同责任模型的一部分，Microsoft向 Azure Monitor 客户提供以下安全措施：

• Azure 基础结构安全性
• Azure 客户数据保护
• 在数据引入过程中对在途数据进行加密
• 采用 Microsoft 管理的密钥对静态数据加密
• 使用托管标识对 Azure Monitor 代理和 Application Insights 进行身份验证
• 使用基于角色的访问控制 (Azure RBAC) 对数据平面操作进行特权访问
• 符合行业标准和法规

Azure 安全指南和最佳做法

Azure Monitor 安全部署说明基于 Azure 的综合云安全准则和最佳做法，其中包括：

• 云采用框架，它为管理技术基础结构的团队提供安全指南。
• Azure 架构良好的框架，它提供构建安全应用程序的体系结构最佳做法。
• Azure 云安全基准 (MCSB)，它描述了可用的安全功能和建议的最佳配置。
• 零信任安全原则，它为安全团队提供实施技术功能来支持零信任现代化计划的指导。

后续步骤

• 请详细了解 Azure Monitor 的入门指南。