Segurança de dados do Monitor Azure
Este artigo explica como o Azure Monitor recolhe, processa e protege os dados de registo e descreve as funcionalidades de segurança que pode usar para proteger ainda mais o ambiente do Monitor Azure. A informação neste artigo é específica para Azure Monitor Logs e complementa a informação no Azure Trust Center.
O Azure Monitor Logs gere os seus dados baseados na nuvem de forma segura utilizando:
- Segregação de dados
- Retenção de dados
- Segurança física
- Gestão de Incidentes
- Conformidade
- Certificações de normas de segurança
Contacte-nos com quaisquer questões, sugestões ou questões sobre qualquer uma das seguintes informações, incluindo as nossas políticas de segurança em suporte do Azure opções.
Envio de dados de forma segura utilizando o TLS 1.2
Para garantir a segurança dos dados em trânsito para o Azure Monitor, encorajamo-lo a configurar o agente para utilizar pelo menos a Segurança da Camada de Transporte (TLS) 1.2. Versões mais antigas da Camada de Tomadas TLS/Secure Sockets (SSL) foram consideradas vulneráveis e, embora ainda atualmente trabalhem para permitir retrocompatibilidade, não são recomendadas, e a indústria está rapidamente a mover-se para abandonar o suporte a estes protocolos mais antigos.
O Conselho de Normas de Segurança do PCI fixou um prazo de 30 de junho de 2018 para desativar versões mais antigas do TLS/SSL e atualizar para protocolos mais seguros. Uma vez que o Azure deixe cair o suporte ao legado, se os seus agentes não conseguirem comunicar pelo menos o TLS 1.2, não poderá enviar dados para os Registos do Monitor Azure.
Recomendamos que NÃO explicite definir o seu agente para utilizar apenas O TLS 1.2 a menos que seja absolutamente necessário. É preferível que o agente detete, negoceie e aproveite automaticamente as futuras normas de segurança. Caso contrário, poderá perder a segurança adicional das normas mais recentes e, possivelmente, ter problemas se o TLS 1.2 for alguma vez depreciado a favor dessas normas mais recentes.
Orientação específica da plataforma
| Plataforma/Idioma | Suporte | Mais Informações |
|---|---|---|
| Linux | As distribuições linux tendem a contar com o suporte OpenSSL para suporte TLS 1.2. | Verifique o OpenSSL Changelog para confirmar que a sua versão do OpenSSL está suportada. |
| Windows 8.0 - 10 | Suportado e ativado por defeito. | Para confirmar que ainda está a utilizar as definições predefinições. |
| Windows Server 2012 - 2016 | Suportado e ativado por defeito. | Para confirmar que ainda está a utilizar as definições predefinidos |
| Windows 7 SP1 e Windows Server 2008 R2 SP1 | Suportado, mas não ativado por defeito. | Consulte a página de definições de registo de segurança da camada de transporte (TLS) para obter mais informações sobre como ativar. |
Segregação de dados
Após os seus dados são ingeridos pelo Azure Monitor, os dados são mantidos logicamente separados em cada componente durante todo o serviço. Todos os dados são marcados por espaço de trabalho. Esta marcação persiste ao longo do ciclo de vida dos dados, e é aplicada em cada camada do serviço. Os seus dados são armazenados numa base de dados dedicada no cluster de armazenamento da região que selecionou.
Retenção de dados
Os dados de pesquisa de registo indexados são armazenados e mantidos de acordo com o seu plano de preços. Para mais informações, consulte o Registo de Preços.
Como parte do seu acordo de subscrição, a Microsoft irá reter os seus dados de acordo com os termos do acordo. Quando os dados do cliente são removidos, não são destruídos unidades físicas.
A tabela que se segue lista algumas das soluções disponíveis e dá exemplos do tipo de dados que recolhem.
| Solução | Tipos de dados |
|---|---|
| Capacidade e Desempenho | Dados de desempenho e metadados |
| Gestão de Atualizações | Metadados e dados estatais |
| Gestão de Registos | Registos de eventos definidos pelo utilizador, registos de eventos Windows e/ou registos IIS |
| Monitorização de Alterações | Inventário de software, serviço de Windows e metadados de ficheiros Linux daemon, e metadados de ficheiros Windows/Linux |
| Avaliação SQL e Diretório Ativo | Dados do WMI, dados de registo, dados de desempenho e resultados SQL Server de visão dinâmica da gestão |
A tabela que se segue mostra exemplos de tipos de dados:
| Tipo de dados | Campos |
|---|---|
| Alerta | Nome de alerta, Descrição de Alerta, BaseManagedEntityId, ID problema, IsMonitorAlert, RuleId, ResolutionState, Priority, Severity, Category, Owner, ResolvedBy, TimeRaised, TimeAdded, LastModifiedBy, LastModifiedExceptRepeatCount, TimeResolved, TimeResolutionStateLastModified, TimeResolutionLastModified, |
| Configuração | CustomerID, AgentID, EntityID, ManagedTypeID, ManagedTypePropertyID, CurrentValue, ChangeDate |
| Evento | EventId, EventOriginalID, BaseManagedEntityInternalId, RuleId, PublisherId, PublisherName, FullNumber, Number, Category, ChannelLevel, LoggingComputer, EventData, EventParameters, TimeGenerated, TimeAdded Nota: Quando escreve eventos com campos personalizados no registo de eventos Windows, o Log Analytics recolhe-os. |
| Metadados | BaseManagedEntityId, ObjectStatus, OrganizationalUnit, ActiveDirectoryObjectSid, FísicosProcessadores, Nome de Rede, IPAddress, ForestDNSName, NetbiosComputerName, VirtualMachineName, LastInventoryDate, HostServerNameIsVirtualMachine, IP Address, NetbiosDomainName, LogicalProcessors, DNSName, DisplayName, DomainDnsName, ActiveDirectorySite, PrincipalName, OffsetInMinuteFromenWich |
| Desempenho | Nome object, contra-natal, PerfmonInstanceName, PerformanceDataId, PerformanceSourceInternalID, SampleValue, TimeSampled, TimeAdded |
| Estado | StateChangeEventId, StateId, NewHealthState, OldHealthState, Context, TimeGenerated, TimeAdded, StateId2, BaseManagedEntityId, MonitorId, HealthState, LastModified, LastGreenAlertGenerated, DatabaseTimeModified |
Segurança física
O Azure Monitor é gerido pelo pessoal da Microsoft e todas as atividades são registadas e podem ser auditadas. O Azure Monitor é operado como um Serviço Azure e cumpre todos os requisitos de Conformidade e Segurança Azure. Pode ver detalhes sobre a segurança física dos ativos da Azure na página 18 da Visão Geral de Segurança Microsoft Azure. Os direitos de acesso físico às áreas seguras são alterados num dia útil para quem já não tem responsabilidade pelo serviço Azure Monitor, incluindo transferência e rescisão. Pode ler sobre a infraestrutura física global que utilizamos no Microsoft Datacenters.
Gestão de Incidentes
O Azure Monitor tem um processo de gestão de incidentes a que todos os serviços Microsoft aderir. Resumindo, nós:
- Utilize uma responsabilidade partilhada modelo em que uma parte da responsabilidade de segurança pertence à Microsoft e uma parte pertence ao cliente
- Gerir incidentes de segurança da Azure:
- Inicie uma investigação após a deteção de um incidente
- Avalie o impacto e a gravidade de um incidente por um membro da equipa de resposta a incidentes. Com base em evidências, a avaliação pode ou não resultar em uma maior escalada para a equipa de resposta de segurança.
- Diagnosticar um incidente por peritos em resposta à segurança para conduzir a investigação técnica ou forense, identificar estratégias de contenção, mitigação e soluções alternativas. Se a equipa de segurança acredita que os dados do cliente podem ter ficado expostos a um indivíduo ilegal ou não autorizado, a execução paralela do processo de Notificação de Incidentes com o Cliente começa em paralelo.
- Estabilizar e recuperar do incidente. A equipa de resposta a incidentes cria um plano de recuperação para mitigar o problema. As medidas de contenção de crise, tais como a quarentena de sistemas com impacto, podem ocorrer imediatamente e em paralelo com o diagnóstico. Podem ser previstas atenuações a longo prazo que ocorram após a ultrapassou o risco imediato.
- Feche o incidente e conduza uma autópsia. A equipa de resposta a incidentes cria uma autópsia que descreve os detalhes do incidente, com a intenção de rever políticas, procedimentos e processos para evitar uma recorrência do evento.
- Notificar os clientes de incidentes de segurança:
- Determinar o âmbito de aplicação dos clientes com impacto e fornecer a qualquer pessoa que seja impactada o mais detalhada possível
- Crie um aviso para fornecer aos clientes informações detalhadas o suficiente para que possam realizar uma investigação sobre o seu fim e cumprir quaisquer compromissos que tenham assumido com os seus utilizadores finais, sem atrasar indevidamente o processo de notificação.
- Confirme e declare o incidente, se necessário.
- Notificar os clientes com uma notificação de incidente sem demora irracional e de acordo com qualquer compromisso legal ou contratual. As notificações de incidentes de segurança são entregues a um ou mais administradores de um cliente por qualquer meio que a Microsoft selecione, incluindo via e-mail.
- Realizar prontidão e formação da equipa:
- O pessoal da Microsoft é obrigado a completar a formação de segurança e sensibilização, o que os ajuda a identificar e reportar suspeitas de problemas de segurança.
- Os operadores que trabalham no serviço Microsoft Azure têm obrigações de formação adição em torno do seu acesso a sistemas sensíveis que acolhem dados dos clientes.
- Pessoal de resposta à segurança da Microsoft recebe formação especializada para as suas funções
Embora seja muito raro, a Microsoft notificará cada cliente dentro de um dia se ocorrer perda significativa de quaisquer dados do cliente.
Para obter mais informações sobre como a Microsoft responde a incidentes de segurança, consulte Microsoft Azure Resposta de Segurança na Cloud.
Conformidade
O programa de segurança e governação de software Azure Monitor suporta os seus requisitos de negócio e adere às leis e regulamentos descritos no Microsoft Azure Trust Center e no Microsoft Trust Center Compliance. Como o Azure Monitor Logs estabelece requisitos de segurança, identifica controlos de segurança, gere e monitoriza os riscos também são descritos lá. Anualmente, revemos políticas, normas, procedimentos e diretrizes.
Cada membro da equipa de desenvolvimento recebe formação formal de segurança de aplicações. Internamente, usamos um sistema de controlo de versão para desenvolvimento de software. Cada projeto de software está protegido pelo sistema de controlo de versão.
A Microsoft tem uma equipa de segurança e conformidade que supervisiona e avalia todos os serviços na Microsoft. Os oficiais de segurança da informação compõem a equipa e não estão associados às equipas de engenharia que desenvolvem o Log Analytics. Os agentes de segurança têm a sua própria cadeia de gestão e realizam avaliações independentes de produtos e serviços para garantir a segurança e o cumprimento.
O conselho de administração da Microsoft é notificado por um relatório anual sobre todos os programas de segurança da informação na Microsoft.
A equipa de desenvolvimento e serviço de software Log Analytics está a trabalhar ativamente com as equipas da Microsoft Legal e Compliance e outros parceiros do setor para adquirir várias certificações.
Certificações e atestados
A Azure Log Analytics cumpre os seguintes requisitos:
- ISO/IEC 27001
- ISO/IEC 27018:2014
- ISO 22301
- Norma de segurança de dados (PCI DSS) da Indústria de Cartões de Pagamento (PCI Compliant) Standard (PCI DSS) pelo Conselho de Normas de Segurança do PCI.
- Controlos da Organização de Serviços (SOC) 1 Tipo 1 e SOC 2 Tipo 1 em conformidade
- HIPAA e HITECH para empresas que tenham um Acordo de Associado de Negócios HIPAA
- Windows Critérios De Engenharia Comuns
- Microsoft Computação confiável
- Como serviço Azure, os componentes que o Azure Monitor utiliza aderem aos requisitos de conformidade da Azure. Pode ler mais no Microsoft Trust Center Compliance.
Nota
Em algumas certificações/atestados, os Registos do Monitor Azure estão listados sob o seu nome anterior de Informações Operacional.
Fluxo de dados de segurança de computação em nuvem
O diagrama que se segue mostra uma arquitetura de segurança na nuvem como o fluxo de informação da sua empresa e como é protegido como se move para O Azure Monitor, finalmente visto por si no portal do Azure. Mais informações sobre cada passo seguem o diagrama.
1. Inscreva-se no Azure Monitor e recolha dados
Para que a sua organização envie dados para OZURE Monitor Logs, configura um agente Windows ou Linux em execução em máquinas virtuais Azure, ou em computadores virtuais ou físicos no seu ambiente ou outro fornecedor de nuvem. Se utilizar o Gestor de Operações, do grupo de gestão, configura o agente Gestor de Operações. Os utilizadores (que podem ser vocês, outros utilizadores individuais ou um grupo de pessoas) criam um ou mais espaços de trabalho do Log Analytics e registam agentes utilizando uma das seguintes contas:
Um espaço de trabalho Log Analytics é onde os dados são recolhidos, agregados, analisados e apresentados. Um espaço de trabalho é usado principalmente como um meio para os dados de partição, e cada espaço de trabalho é único. Por exemplo, é possível que os seus dados de produção tenham sido geridos com um espaço de trabalho e os seus dados de teste geridos com outro espaço de trabalho. Os espaços de trabalho também ajudam um administrador a controlar o acesso do utilizador aos dados. Cada espaço de trabalho pode ter várias contas de utilizador associadas a ele, e cada conta de utilizador pode aceder a vários espaços de trabalho do Log Analytics. Cria espaços de trabalho baseados na região do datacenter.
Para o Gestor de Operações, o grupo de gestão de Gestores de Operações estabelece uma ligação com o serviço Azure Monitor. Em seguida, configura quais os sistemas geridos pelo agente no grupo de gestão que podem recolher e enviar dados para o serviço. Dependendo da solução que ativou, os dados destas soluções são enviados diretamente de um servidor de gestão de Gestor de Operações para o serviço Azure Monitor, ou devido ao volume de dados recolhidos pelo sistema gerido pelo agente, são enviados diretamente do agente para o serviço. Para sistemas não monitorizados pelo Gestor de Operações, cada um liga-se de forma segura ao Serviço de Monitores Azure diretamente.
Toda a comunicação entre os sistemas conectados e o serviço Azure Monitor está encriptada. O protocolo TLS (HTTPS) é utilizado para encriptação. O processo Microsoft SDL é seguido para garantir que o Log Analytics está atualizado com os mais recentes avanços nos protocolos criptográficos.
Cada tipo de agente recolhe dados de registo para o Azure Monitor. O tipo de dados recolhidos depende da configuração do seu espaço de trabalho e de outras funcionalidades do Azure Monitor.
2. Enviar dados de agentes
Regista todos os tipos de agente com uma chave de inscrição e é estabelecida uma ligação segura entre o agente e o serviço Azure Monitor utilizando a autenticação baseada em certificados e TLS com a porta 443. O Azure Monitor utiliza uma loja secreta para gerar e manter as chaves. As chaves privadas são giradas a cada 90 dias e são armazenadas em Azure e são geridas pelas operações da Azure que seguem práticas regulamentares e de conformidade rigorosas.
Com o Gestor de Operações, o grupo de gestão registado num espaço de trabalho Log Analytics estabelece uma ligação HTTPS segura com um servidor de gestão de Gestor de Operações.
Para agentes Windows ou Linux que executam em máquinas virtuais Azure, uma chave de armazenamento apenas de leitura é usada para ler eventos de diagnóstico em tabelas Azure.
Com qualquer agente a reportar a um grupo de gestão de Gestores de Operações que esteja integrado no Azure Monitor, se o servidor de gestão não conseguir comunicar com o serviço por qualquer motivo, os dados recolhidos são armazenados localmente numa cache temporária no servidor de gestão. Tentam reencamender os dados a cada 8 minutos durante duas horas. Para dados que contornam o servidor de gestão e são enviados diretamente para o Azure Monitor, o comportamento é consistente com o agente Windows.
Os dados em cache do Windows ou do agente de gestão estão protegidos pela loja de credenciais do sistema operativo. Se o serviço não conseguir processar os dados após duas horas, os agentes farão fila dos dados. Se a fila ficar cheia, o agente começa a deixar cair tipos de dados, começando pelos dados de desempenho. O limite de fila do agente é uma chave de registo para que possa modificá-la, se necessário. Os dados recolhidos são comprimidos e enviados para o serviço, contornando as bases de dados do grupo de gestão de operações, pelo que não lhes adiciona qualquer carga. Após o envio dos dados recolhidos, é removido da cache.
Conforme descrito acima, os dados do servidor de gestão ou agentes ligados diretos são enviados sobre tLS para Microsoft Azure centros de dados. Opcionalmente, pode utilizar o ExpressRoute para fornecer segurança extra para os dados. O ExpressRoute é uma forma de ligar diretamente ao Azure a partir da sua rede WAN existente, como uma VPN de comutação de etiquetas multi-protocolo (MPLS), fornecida por um prestador de serviços de rede. Para mais informações, consulte o ExpressRoute.
3. O serviço Azure Monitor recebe e processa dados
O serviço Azure Monitor garante que os dados recebidos são de uma fonte fidedigna, validando certificados e a integridade dos dados com a autenticação Azure. Os dados brutos não processados são então armazenados num Azure Event Hub na região, os dados serão eventualmente armazenados em repouso. O tipo de dados armazenados depende dos tipos de soluções que foram importadas e utilizadas para recolher dados. Em seguida, o serviço Azure Monitor processa os dados brutos e ingere-os na base de dados.
O período de retenção dos dados recolhidos armazenados na base de dados depende do plano de preços selecionado. Para o nível Livre , os dados recolhidos estão disponíveis durante sete dias. Para o nível Pago , os dados recolhidos estão disponíveis por 31 dias por defeito, mas podem ser alargados para 730 dias. Os dados são armazenados encriptados em repouso no armazenamento do Azure, para garantir a confidencialidade dos dados, e os dados são replicados na região local usando armazenamento localmente redundante (LRS). As últimas duas semanas de dados também são armazenadas em cache baseado em SSD e esta cache é encriptada.
Os dados no armazenamento da base de dados não podem ser alterados uma vez ingeridos, mas podem ser eliminados através do caminho da expurgação da API. Embora os dados não possam ser alterados, algumas certificações exigem que os dados sejam mantidos imutáveis e não possam ser alterados ou eliminados no armazenamento. A imutabilidade de dados pode ser alcançada usando a exportação de dados para uma conta de armazenamento que é configurada como armazenamento imutável.
4. Utilize o Monitor Azure para aceder aos dados
Para aceder ao seu espaço de trabalho Do Log Analytics, inscreva-se no portal do Azure utilizando a conta organizacional ou a conta microsoft que criou anteriormente. Todo o tráfego entre o portal e o serviço Azure Monitor é enviado por um canal HTTPS seguro. Ao utilizar o portal, é gerado um ID de sessão no cliente utilizador (navegador web) e os dados são armazenados numa cache local até que a sessão seja terminada. Quando terminada, a cache é apagada. Os cookies do lado do cliente, que não contêm informações pessoalmente identificáveis, não são removidos automaticamente. Os cookies de sessão estão marcados HTTPOnly e estão seguros. Após um período de inatividade pré-determinado, termina a sessão de portal do Azure.
Recursos adicionais de segurança
Pode utilizar estas funcionalidades de segurança adicionais para proteger ainda mais o ambiente do Monitor Azure. Estas funcionalidades requerem mais gestão de administradores.
- Teclas (segurança) geridas pelo cliente - Pode utilizar chaves geridas pelo cliente para encriptar os dados enviados para os seus espaços de trabalho do Log Analytics. Requer o uso do Azure Key Vault.
- Armazenamento gerido por privados/clientes - Gerencie a sua conta de armazenamento pessoalmente encriptada e diga ao Azure Monitor para usá-lo para armazenar dados de monitorização
- Private Link networking - Azure Private Link permite ligar de forma segura os serviços Azure PaaS (incluindo o Azure Monitor) à sua rede virtual utilizando pontos finais privados.
- Lockbox do cliente Azure - O Lockbox do cliente para Microsoft Azure fornece uma interface para os clientes reverem e aprovarem ou rejeitarem os pedidos de acesso aos dados dos clientes. É utilizado nos casos em que um engenheiro da Microsoft precisa de aceder aos dados do cliente durante um pedido de suporte.
Impermeabilização e imutabilidade
O Azure Monitor é uma plataforma de dados apenas para apêndices que inclui disposições para eliminar dados para efeitos de conformidade. Desabar um bloqueio no seu espaço de trabalho Log Analytics para bloquear todas as atividades que possam eliminar dados: purga, eliminação de tabelas e alterações no nível de conservação de dados ao nível do espaço de trabalho.
Para inviolá-lo à sua solução de monitorização, recomendamos que exporte dados para uma solução de armazenamento imutável.