Az Azure Monitor adatbiztonságot naplóz

Ez a cikk bemutatja, hogyan gyűjti, dolgozza fel és védi az Azure Monitor a naplóadatokat, és ismerteti az Azure Monitor-környezet további védelméhez használható biztonsági funkciókat. A cikkben szereplő információk az Azure Monitor-naplókra vonatkoznak , és kiegészítik az Azure Adatvédelmi központban található információkat.

Az Azure Monitor-naplók biztonságosan kezelik a felhőalapú adatokat a következőkkel:

  • Az adatok elkülönítése
  • Adatmegőrzés
  • Fizikai biztonság
  • Incidenskezelés
  • Megfelelőség
  • Biztonsági szabványok tanúsítványai

Vegye fel velünk a kapcsolatot az alábbi információk bármelyikével kapcsolatos kérdésekkel, javaslatokkal vagy problémákkal, beleértve a biztonsági szabályzatainkat Azure-támogatás lehetőségeknél.

Adatok biztonságos küldése a TLS 1.2 használatával

Az Azure Monitorba átvitt adatok biztonságának biztosítása érdekében határozottan javasoljuk, hogy konfigurálja az ügynököt legalább a Transport Layer Security (TLS) 1.2 használatára. A TLS/Secure Sockets Layer (SSL) régebbi verziói sebezhetőnek bizonyultak, és bár jelenleg is azon dolgoznak, hogy lehetővé tegyék a visszamenőleges kompatibilitást, nem ajánlottak, és az iparág gyorsan továbblép, hogy felhagyjon a régebbi protokollok támogatásával.

A PCI biztonsági szabványokkal foglalkozó tanácsa2018. június 30-i határidőt állított be a TLS/SSL régebbi verzióinak letiltására és a biztonságosabb protokollra való frissítésre. Miután az Azure elveti az örökölt támogatást, ha az ügynökök nem tudnak legalább TLS 1.2-n keresztül kommunikálni, nem tud adatokat küldeni az Azure Monitor-naplókba.

Azt javasoljuk, hogy ne állítsa be az ügynököt úgy, hogy csak a TLS 1.2-t használja, kivéve, ha feltétlenül szükséges. Előnyösebb, ha az ügynök automatikusan észleli, egyezteti és kihasználja a jövőbeli biztonsági szabványokat. Ellenkező esetben előfordulhat, hogy elmulasztja az újabb szabványok hozzáadott biztonságát, és esetleg problémákat tapasztal, ha a TLS 1.2-t az újabb szabványok javára elavultatják.

Platformspecifikus útmutató

Platform/nyelv Támogatás További információ
Linux A Linux-disztribúciók általában az OpenSSL tLS 1.2-támogatására támaszkodnak. Ellenőrizze az OpenSSL-változásnaplóban , hogy az OpenSSL-verzió támogatott-e.
Windows 8.0 – 10 Alapértelmezés szerint támogatott és engedélyezett. Annak ellenőrzéséhez, hogy továbbra is az alapértelmezett beállításokat használja-e.
Windows Server 2012 – 2016 Alapértelmezés szerint támogatott és engedélyezett. Annak ellenőrzése, hogy továbbra is az alapértelmezett beállításokat használja-e
Windows 7 SP1 és Windows Server 2008 R2 SP1 Támogatott, de alapértelmezés szerint nincs engedélyezve. Az engedélyezés módjával kapcsolatos részletekért tekintse meg a Transport Layer Security (TLS) beállításjegyzékének beállításoldalát .

Az adatok elkülönítése

Miután az Azure Monitor betöltötte az adatokat, az adatok logikailag elkülönülnek a szolgáltatás minden összetevőjétől. Minden adat meg van címkézve munkaterületenként. Ez a címkézés az adatéletciklus során is megmarad, és a szolgáltatás minden rétegében érvényesítve van. Az adatok egy dedikált adatbázisban lesznek tárolva a kiválasztott régióban lévő tárolófürtben.

Adatmegőrzés

Az indexelt naplókeresési adatokat a rendszer a díjszabási csomagnak megfelelően tárolja és őrzi meg. További információkért lásd a Log Analytics díjszabását.

Az előfizetési szerződés részeként a Microsoft a szerződés feltételeinek megfelelően megőrzi az Ön adatait. Az ügyféladatok eltávolításakor a rendszer nem semmisít meg fizikai meghajtókat.

Az alábbi táblázat felsorol néhány elérhető megoldást, és példákat tartalmaz az általuk gyűjtött adatok típusára.

Megoldás Adattípusok
Kapacitás és teljesítmény Teljesítményadatok és metaadatok
Frissítéskezelés Metaadatok és állapotadatok
Naplókezelés Felhasználó által definiált eseménynaplók, Windows eseménynaplók és/vagy IIS-naplók
Változások követése Szoftverleltár, Windows szolgáltatás- és Linux-démon metaadatai, valamint Windows/Linux-fájl metaadatai
SQL- és Active Directory-értékelés WMI-adatok, beállításjegyzék-adatok, teljesítményadatok és SQL Server dinamikus felügyeleti nézet eredményei

Az alábbi táblázat adattípusokra mutat be példákat:

Adattípus Mezők
Riasztás Riasztás neve, riasztás leírása, BaseManagedEntityId, Problémaazonosító, IsMonitorAlert, RuleId, ResolutionState, Priority, Severity, Category, Owner, ResolvedBy, TimeRaised, TimeAdded, LastModified, LastModified, LastModifiedBy, LastModifiedExceptRepeatCount, TimeResolved, TimeResolutionStateLastModified, TimeResolutionStateLastModifiedInDB, RepeatCount
Konfiguráció CustomerID, AgentID, EntityID, ManagedTypeID, ManagedTypePropertyID, CurrentValue, ChangeDate
Esemény EventId, EventOriginalID, BaseManagedEntityInternalId, RuleId, PublisherId, PublisherName, FullNumber, Number, Category, ChannelLevel, LoggingComputer, EventData, EventParameters, TimeGenerated, TimeAdded
Megjegyzés: Amikor egyéni mezőket tartalmazó eseményeket ír a Windows eseménynaplóba, a Log Analytics összegyűjti őket.
Metaadatok BaseManagedEntityId, ObjectStatus, OrganizationalUnit, ActiveDirectoryObjectSid, PhysicalProcessors, NetworkName, IPAddress, ForestDNSName, NetbiosComputerName, VirtualMachineName, LastInventoryDate, HostServerNameIsVirtualMachine, IP Address, NetbiosDomainName, LogicalProcessors, DNSName, DisplayName, DomainDnsName, ActiveDirectorySite, PrincipalName, OffsetInMinuteFromGreenwichTime
Teljesítmény ObjectName, CounterName, PerfmonInstanceName, PerformanceDataId, PerformanceSourceInternalID, SampleValue, TimeSampled, TimeAdded
Állapot StateChangeEventId, StateId, NewHealthState, OldHealthState, Context, TimeGenerated, TimeAdded, StateId2, BaseManagedEntityId, MonitorId, HealthState, LastModified, LastGreenAlertGenerated, DatabaseTimeModified

Fizikai biztonság

Az Azure Monitort a Microsoft munkatársai kezelik, és minden tevékenységet naplóznak, és naplózhatók. Az Azure Monitor Azure-szolgáltatásként működik, és megfelel az Azure megfelelőségi és biztonsági követelményeinek. Az Azure-eszközök fizikai biztonságával kapcsolatos részleteket a Microsoft Azure biztonsági áttekintésének 18. oldalán tekintheti meg. A biztonságos területek fizikai hozzáférési jogosultságai egy munkanapon belül módosulnak mindenki számára, aki már nem felelős az Azure Monitor szolgáltatásért, beleértve az átvitelt és a megszüntetést is. A Microsoft Datacentersben használt globális fizikai infrastruktúráról olvashat.

Incidenskezelés

Az Azure Monitor olyan incidenskezelési folyamattal rendelkezik, amelyet minden Microsoft-szolgáltatások betart. Összefoglalva:

  • Olyan megosztott felelősségi modell használata, amelyben a biztonsági felelősség egy része a Microsofthoz tartozik, egy rész pedig az ügyfélhez tartozik
  • Azure-beli biztonsági incidensek kezelése:
    • incidens észlelésekor Start menü vizsgálat
    • Az incidensek hatásának és súlyosságának felmérése egy helyszíni incidensmegoldási csapattag által. A bizonyítékok alapján az értékelés további eszkalációt eredményezhet a biztonsági válaszcsapat számára.
    • Biztonsági válaszszakértők által végzett incidens diagnosztizálása a technikai vagy törvényszéki vizsgálat elvégzéséhez, az elszigetelési, kockázatcsökkentési és kerülő stratégiák azonosításához. Ha a biztonsági csapat úgy véli, hogy az ügyféladatok illetéktelen vagy jogosulatlan személyek számára váltak elérhetővé, az Ügyfélesemény-értesítési folyamat párhuzamos végrehajtása párhuzamosan kezdődik.
    • Stabilizáljuk és helyreállítsuk az incidenst. Az incidensmegoldási csapat létrehoz egy helyreállítási tervet a probléma megoldásához. A válságelszigetelési lépések, mint például az érintett rendszerek karanténba helyezése, azonnal és a diagnózissal párhuzamosan következhetnek be. Hosszabb távú kockázatcsökkentések tervezhetők, amelyek az azonnali kockázat letelte után következnek be.
    • Zárja be az incidenst, és végezzen el egy boncolást. Az incidensmegoldási csapat létrehoz egy utólagos elemzést, amely felvázolja az incidens részleteit, azzal a szándékkal, hogy felülvizsgálja a szabályzatokat, az eljárásokat és a folyamatokat az esemény ismétlődésének megelőzése érdekében.
  • Az ügyfelek értesítése biztonsági incidensekről:
    • Határozza meg az érintett ügyfelek hatókörét, és a lehető legrészletesen adjon tájékoztatást az érintett ügyfeleknek
    • Hozzon létre egy értesítést, amely elegendő részletes információt nyújt az ügyfeleknek, hogy a végfelhasználók a végsőkig elvégezhessék a vizsgálatot, és teljesíthessék a végfelhasználók felé vállalt kötelezettségeiket, miközben nem késleltetik indokolatlanul az értesítési folyamatot.
    • Szükség esetén erősítse meg és deklarálja az incidenst.
    • Ésszerűtlen késedelem nélkül és bármilyen jogi vagy szerződéses kötelezettségvállalással összhangban értesítse az ügyfeleket az incidensről. A biztonsági incidensekkel kapcsolatos értesítéseket a Microsoft által kiválasztott módon, e-mailben is elküldjük egy vagy több ügyfél rendszergazdájának.
  • Csapatkészség és képzés elvégzése:
    • A Microsoft munkatársainak biztonsági és tudatossági képzést kell végezniük, amely segít nekik azonosítani és jelenteni a gyanús biztonsági problémákat.
    • A Microsoft Azure szolgáltatáson dolgozó operátorok további betanítási kötelezettségekkel rendelkeznek az ügyféladatokat tároló bizalmas rendszerekhez való hozzáférésük körül.
    • A Microsoft biztonsági reagálási szakemberei speciális képzésben részesülnek a szerepköreikről

Bár nagyon ritka, a Microsoft egy napon belül értesíti az ügyfeleket, ha jelentős adatvesztés történik az ügyféladatokból.

További információ arról, hogy a Microsoft hogyan reagál a biztonsági incidensekre: Microsoft Azure Biztonsági válasz a felhőben.

Megfelelőség

Az Azure Monitor szoftverfejlesztői és -szolgáltatási csapatának információs biztonsági és irányítási programja támogatja az üzleti követelményeket, és betartja az Microsoft Azure Adatvédelmi központ és a Microsoft Adatvédelmi központ megfelelősége című cikkben leírt jogszabályokat és előírásokat. Arról, hogy az Azure Monitor-naplók hogyan állapítják meg a biztonsági követelményeket, hogyan azonosítják a biztonsági vezérlőket, kezelik és figyelik a kockázatokat, szintén itt ismertetjük. Évente áttekintjük a szabályzatokat, szabványokat, eljárásokat és iránymutatásokat.

A fejlesztői csapat minden tagja formális alkalmazásbiztonsági képzésben részesül. Belsőleg verziókövetési rendszert használunk a szoftverfejlesztéshez. Minden szoftverprojektet a verziókövetési rendszer véd.

A Microsoft biztonsági és megfelelőségi csapata felügyeli és értékeli a Microsoft összes szolgáltatását. Az információbiztonsági tisztek alkotják a csapatot, és nem tartoznak a Log Analyticset fejlesztő mérnöki csapatokhoz. A biztonsági tisztviselők saját felügyeleti lánccal rendelkeznek, és független értékeléseket végeznek a termékekről és szolgáltatásokról a biztonság és a megfelelőség biztosítása érdekében.

A Microsoft igazgatótanácsát egy éves jelentés értesíti a Microsoft összes információbiztonsági programjáról.

A Log Analytics szoftverfejlesztési és -szolgáltatási csapata aktívan együttműködik a Microsoft jogi és megfelelőségi csapatával és más iparági partnerekkel a különböző tanúsítványok beszerzésében.

Tanúsítványok és igazolások

Az Azure Log Analytics a következő követelményeknek felel meg:

Megjegyzés

Egyes tanúsítványokban/igazolásokban az Azure Monitor-naplók az operatív Elemzések korábbi neve alatt szerepelnek.

Felhőalapú számítástechnika biztonsági adatfolyama

Az alábbi ábrán egy felhőbiztonsági architektúra látható, amely a vállalattól érkező információk áramlását mutatja be, és azt, hogy hogyan biztosítható az Azure Monitorba való áthelyezés, amelyet végül a Azure Portal láthat. Az egyes lépésekkel kapcsolatos további információk a diagramot követik.

Image of Azure Monitor Logs data collection and security

1. Regisztráljon az Azure Monitorra, és gyűjtsön adatokat

Ahhoz, hogy szervezete adatokat küldjön az Azure Monitor-naplókba, konfiguráljon egy Azure-beli virtuális gépeken, illetve a környezetében vagy más felhőszolgáltatóban futó Windows vagy Linux-ügynököt. Ha az Operations Managert használja, a felügyeleti csoportból konfigurálja az Operations Manager-ügynököt. A felhasználók (például Ön, más egyéni felhasználók vagy személyek egy csoportja) létrehoznak egy vagy több Log Analytics-munkaterületet, és ügynököket regisztrálnak az alábbi fiókok egyikével:

A Log Analytics-munkaterületen gyűjthetők, összesíthetők, elemezhetők és bemutathatók az adatok. A munkaterületeket elsősorban az adatok particionálására használják, és mindegyik munkaterület egyedi. Előfordulhat például, hogy az éles adatokat az egyik munkaterületen, a tesztadatokat pedig egy másik munkaterületen szeretné kezelni. A munkaterületek emellett segítenek a rendszergazdáknak szabályozni az adatokhoz való felhasználói hozzáférést. Minden munkaterülethez több felhasználói fiók is társítható, és minden felhasználói fiók több Log Analytics-munkaterülethez is hozzáférhet. Az adatközpont régiója alapján hozhat létre munkaterületeket.

Az Operations Manager esetében az Operations Manager felügyeleti csoportja kapcsolatot létesít az Azure Monitor szolgáltatással. Ezután konfigurálhatja, hogy a felügyeleti csoportban mely ügynök által felügyelt rendszerek gyűjthetnek és küldhetnek adatokat a szolgáltatásnak. Az engedélyezett megoldástól függően a rendszer közvetlenül az Operations Manager felügyeleti kiszolgálóról az Azure Monitor szolgáltatásba küldi az adatokat, vagy az ügynök által felügyelt rendszer által gyűjtött adatok mennyisége miatt közvetlenül az ügynöktől a szolgáltatáshoz. Az Operations Manager által nem figyelt rendszerek esetében mindegyik biztonságosan csatlakozik közvetlenül az Azure Monitorservice szolgáltatáshoz.

A csatlakoztatott rendszerek és az Azure Monitor szolgáltatás közötti kommunikáció titkosítva van. A titkosításhoz a TLS (HTTPS) protokollt használják. A Microsoft SDL-folyamatot követve biztosíthatja, hogy a Log Analytics naprakész legyen a titkosítási protokollok legújabb fejlesztéseivel.

Minden ügynöktípus naplóadatokat gyűjt az Azure Monitorhoz. Az összegyűjtött adatok típusa a munkaterület konfigurációjától és az Azure Monitor egyéb funkcióitól függ.

2. Adatok küldése ügynököktől

Minden ügynöktípust regisztrál egy regisztrációs kulccsal, és biztonságos kapcsolat jön létre az ügynök és az Azure Monitor szolgáltatás között tanúsítványalapú hitelesítés és a 443-at tartalmazó TLS használatával. Az Azure Monitor titkos kulcstárolót használ a kulcsok létrehozásához és karbantartásához. A titkos kulcsok 90 naponta rotálásra kerülnek, és az Azure-ban vannak tárolva, és a szigorú szabályozási és megfelelőségi eljárásokat követő Azure-műveletek kezelik azokat.

Az Operations Managerrel a Log Analytics-munkaterületen regisztrált felügyeleti csoport biztonságos HTTPS-kapcsolatot létesít egy Operations Manager felügyeleti kiszolgálóval.

Az Azure-beli virtuális gépeken futó Windows- vagy Linux-ügynökök esetében egy írásvédett tárolókulcsot használ a diagnosztikai események olvasásához az Azure-táblákban.

Ha az ügynök az Azure Monitorral integrált Operations Manager felügyeleti csoportnak küld jelentést, ha a felügyeleti kiszolgáló bármilyen okból nem tud kommunikálni a szolgáltatással, az összegyűjtött adatokat a rendszer helyileg tárolja egy ideiglenes gyorsítótárban a felügyeleti kiszolgálón. Az adatokat 8 percenként próbálják két órán keresztül újraküldni. A felügyeleti kiszolgálót megkerülő és közvetlenül az Azure Monitornak küldött adatok esetében a viselkedés összhangban van a Windows ügynökkel.

A Windows vagy a felügyeleti kiszolgáló ügynök által gyorsítótárazott adatokat az operációs rendszer hitelesítőadat-tárolója védi. Ha a szolgáltatás két óra elteltével nem tudja feldolgozni az adatokat, az ügynökök várólistára küldik az adatokat. Ha az üzenetsor megtelik, az ügynök elkezdi elvetni az adattípusokat, kezdve a teljesítményadatokkal. Az ügynök üzenetsorkorlátja egy beállításkulcs, amely szükség esetén módosítható. A rendszer tömöríti és elküldi az összegyűjtött adatokat a szolgáltatásnak, megkerülve az Operations Manager felügyeleticsoport-adatbázisait, így nem ad hozzá terhelést hozzájuk. Az összegyűjtött adatok elküldése után a rendszer eltávolítja őket a gyorsítótárból.

A fentiekben leírtak szerint a felügyeleti kiszolgálóról vagy a közvetlenül csatlakoztatott ügynökökről származó adatokat a rendszer TLS-en keresztül küldi el Microsoft Azure adatközpontoknak. Igény szerint az ExpressRoute-ot is használhatja az adatok további biztonságának biztosításához. Az ExpressRoute segítségével közvetlenül csatlakozhat az Azure-hoz a meglévő WAN-hálózatról, például egy hálózati szolgáltató által biztosított többprotokollos címkeváltási (MPLS) VPN-ről. További információ: ExpressRoute.

3. Az Azure Monitor szolgáltatás fogadja és feldolgozza az adatokat

Az Azure Monitor szolgáltatás biztosítja, hogy a bejövő adatok megbízható forrásból származzanak a tanúsítványok és az adatintegritás Azure-hitelesítéssel történő érvényesítésével. A feldolgozatlan nyers adatok ezután egy Azure Event Hubban lesznek tárolva abban a régióban, amelyben az adatok végül inaktív állapotban lesznek tárolva. A tárolt adatok típusa az importált és az adatgyűjtéshez használt megoldások típusától függ. Ezután az Azure Monitor szolgáltatás feldolgozza a nyers adatokat, és betölti őket az adatbázisba.

Az adatbázisban tárolt összegyűjtött adatok megőrzési időtartama a kiválasztott díjszabási csomagtól függ. Az ingyenes szint esetében az összegyűjtött adatok hét napig érhetők el. A Fizetős szint esetében az összegyűjtött adatok alapértelmezés szerint 31 napig érhetők el, de 730 napra meghosszabbíthatók. Az adatok titkosítva vannak az Azure Storage-ban inaktív állapotban az adatok titkosságának biztosítása érdekében, és az adatok replikálása a helyi régióban helyileg redundáns tárolás (LRS) használatával történik. Az elmúlt két hét adatai is SSD-alapú gyorsítótárban vannak tárolva, és ez a gyorsítótár titkosítva van.

Az adatbázis-tárolóban lévő adatok betöltése után nem módosíthatók, de törölhetők a purge API elérési útján. Bár az adatok nem módosíthatók, egyes tanúsítványok megkövetelik, hogy az adatok nem módosíthatók legyenek, és nem módosíthatók vagy törölhetők a tárolóban. Az adatok nem módosíthatók az adatexportálással egy nem módosítható tárolóként konfigurált tárfiókba.

4. Az adatok elérése az Azure Monitor használatával

A Log Analytics-munkaterület eléréséhez jelentkezzen be a Azure Portal a korábban beállított szervezeti fiókkal vagy Microsoft-fiókkal. A portál és az Azure Monitor szolgáltatás közötti összes forgalmat biztonságos HTTPS-csatornán keresztül küldi el a rendszer. A portál használatakor a rendszer létrehoz egy munkamenet-azonosítót a felhasználói ügyfélen (webböngészőben), és az adatokat egy helyi gyorsítótárban tárolja a munkamenet befejezéséig. Ha leáll, a gyorsítótár törlődik. Az ügyféloldali cookie-k, amelyek nem tartalmaznak személyazonosításra alkalmas adatokat, nem törlődnek automatikusan. A munkamenet-cookie-k HTTPOnly jelöléssel vannak ellátva, és biztonságosak. Egy előre meghatározott tétlenségi időszak után a Azure Portal munkamenet le lesz állítva.

További biztonsági funkciók

Ezeket a további biztonsági funkciókat az Azure Monitor-környezet további védelméhez használhatja. Ezek a funkciók több rendszergazdai felügyeletet igényelnek.

  • Ügyfél által felügyelt (biztonsági) kulcsok – Ügyfél által felügyelt kulcsokkal titkosíthatja a Log Analytics-munkaterületekre küldött adatokat. Az Azure Key Vault használatát igényli.
  • Privát/ügyfél által felügyelt tárolás – Személyes titkosítású tárfiók kezelése, és a figyelési adatok tárolására való használatának engedélyezése az Azure Monitornak
  • Private Link hálózatkezelés – Azure Private Link lehetővé teszi az Azure PaaS-szolgáltatások (köztük az Azure Monitor) privát végpontok használatával történő biztonságos csatlakoztatását a virtuális hálózathoz.
  • Azure-ügyfélszéf – A Microsoft Azure ügyfélszéfje felületet biztosít az ügyfelek számára az ügyféladatokhoz való hozzáférési kérelmek áttekintéséhez és jóváhagyásához vagy elutasításához. Olyan esetekben használatos, amikor egy Microsoft-mérnöknek egy támogatási kérelem kezelése során hozzá kell férnie az ügyfél adataihoz.

Illetéktelen módosítás elleni védelem és nem módosíthatóság

Az Azure Monitor egy csak hozzáfűző adatplatform, amely tartalmazza az adatok megfelelőségi célú törlésére vonatkozó rendelkezéseket. Állítson be egy zárolást a Log Analytics-munkaterületen az összes olyan tevékenység letiltásához, amely adatokat törölhet: törlést, tábla törlését és tábla- vagy munkaterületszintű adatmegőrzési módosításokat.

A monitorozási megoldás illetéktelen módosítás elleni ellenőrzéséhez azt javasoljuk, hogy exportálja az adatokat egy nem módosítható tárolási megoldásba.

Következő lépések