Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
In dit artikel vindt u instructies voor het veilig implementeren van Azure Monitor en wordt uitgelegd hoe Microsoft Azure Monitor beveiligt.
Logboekopname en opslag
Toegang verlenen tot gegevens in de werkruimte op basis van behoefte
- Stel de toegangsbeheermodus voor de werkruimte in op Gebruik resource- of werkruimtemachtigingen om eigenaren van resources toegang te verlenen tot hun gegevens zonder dat ze expliciete toegang tot de werkruimte krijgen. Dit vereenvoudigt de configuratie van uw werkruimte en zorgt ervoor dat gebruikers alleen toegang hebben tot de gegevens die ze nodig hebben.
Instructies: Toegang tot Log Analytics-werkruimten beheren - Wijs de juiste ingebouwde rol toe om werkruimtemachtigingen te verlenen aan beheerders op abonnements-, resourcegroep- of werkruimteniveau, afhankelijk van hun bereik van verantwoordelijkheden.
Instructies: Toegang tot Log Analytics-werkruimten beheren - Pas RBAC op tabelniveau toe voor gebruikers die toegang nodig hebben tot een set tabellen in meerdere resources. Gebruikers met tabelmachtigingen hebben toegang tot alle gegevens in de tabel, ongeacht hun resourcemachtigingen.
Instructies: Toegang tot Log Analytics-werkruimten beheren
Beveiligde logboekgegevens tijdens overdracht
Als u agents, connectors of logboek-API's gebruikt om gegevens op te vragen of te verzenden naar uw werkruimte, gebruikt u Tls 1.2 (Transport Layer Security) 1.2 of hoger om de beveiliging van uw gegevens tijdens overdracht te garanderen. Oudere versies van TLS en Secure Sockets Layer (SSL) hebben beveiligingsproblemen en hoewel ze mogelijk nog steeds werken om compatibiliteit met eerdere versies mogelijk te maken, worden ze niet aanbevolen en is de branche snel verplaatst om ondersteuning voor deze oudere protocollen te verlaten.
De PCI Security Standards Council heeft een deadline van 30 juni 2018 ingesteld om oudere versies van TLS/SSL uit te schakelen en een upgrade uit te voeren naar veiligere protocollen. Zodra Azure verouderde ondersteuning heeft verloren, kunnen clients die niet volledig communiceren via TLS 1.2 of hoger, geen gegevens verzenden of er query's op uitvoeren naar Azure Monitor-logboeken.
Configureer uw agents, gegevensconnectors of API-toepassingen niet expliciet om alleen TLS 1.2 te gebruiken, tenzij dat nodig is. Het wordt aanbevolen om ze automatisch te laten detecteren, onderhandelen en profiteren van toekomstige beveiligingsstandaarden. Anders mist u mogelijk de extra beveiliging van de nieuwere standaarden en ondervindt u mogelijk problemen als TLS 1.2 ooit is afgeschaft ten gunste van deze nieuwere standaarden.
Belangrijk
In overeenstemming met de verouderde TLS-buitengebruikstelling van Azure wordt het TLS 1.0/1.1-protocol volledig geblokkeerd voor Azure Monitor-logboeken op basis van de datums in de volgende tabel. Azure Monitor-logboeken maken al gebruik van TLS 1.2/1.3 als de voorkeursversleutelingsmechanismen.
| Afdwingingsdatum | Query-API-eindpunten | TLS-protocolversie |
|---|---|---|
| 1 juli 2025 | Logs API-query-eindpunten | TLS 1.2 of hoger |
| 1 maart 2026 | Loggegevensinvoer-API-eindpunten | TLS 1.2 of hoger |
Aanbevolen actie
Om potentiële serviceonderbrekingen te voorkomen, controleert u of uw resources die communiceren met de API-eindpunten voor logboeken geen afhankelijkheden hebben van TLS 1.0- of 1.1-protocollen.
Zie TLS-problemen oplossen en TLS-ondersteuning van Azure Resource Manager voor algemene vragen over het verouderde TLS-probleem of het testen van ondersteunde coderingssuites.
Controle van logboekquery's instellen
- Configureer controle van logboekquery's om de details vast te leggen van elke query die in een werkruimte wordt uitgevoerd.
Instructies: Query's auditeren in Azure Monitor-logboeken - Behandel de auditgegevens van de logboekquery als beveiligingsgegevens en beveilig de toegang tot de LAQueryLogs-tabel op de juiste manier.
Instructies: Toegang tot gegevens in de werkruimte configureren op basis van behoefte. - Als u uw operationele en beveiligingsgegevens scheidt, verzendt u de auditlogboeken voor elke werkruimte naar de lokale werkruimte of voegt u deze samen in een toegewezen beveiligingswerkruimte.
Instructies: Toegang tot gegevens in de werkruimte configureren op basis van behoefte. - Gebruik Inzichten in Log Analytics-werkruimten om periodiek auditgegevens van logboekquery's te controleren.
Instructies: Inzichten in Log Analytics-werkruimten. - Maak waarschuwingsregels voor zoeken in logboeken om u op de hoogte te stellen als onbevoegde gebruikers query's proberen uit te voeren.
Instructies: Waarschuwingsregels voor zoeken in logboeken.
Onveranderbaarheid van controlegegevens garanderen
Azure Monitor is een alleen-toevoegend gegevensplatform, maar bevat voorzieningen voor het verwijderen van gegevens voor nalevingsdoeleinden. Uw controlegegevens beveiligen:
Stel een vergrendeling in voor uw Log Analytics-werkruimte om alle activiteiten te blokkeren die gegevens kunnen verwijderen, waaronder opschonen, verwijderen van tabellen en wijzigingen in gegevensretentie op tabel- of werkruimteniveau. Houd er echter rekening mee dat deze vergrendeling kan worden verwijderd.
Instructies: Vergrendel uw resources om uw infrastructuur te beveiligenAls u een volledig manipulatiebestendige oplossing nodig hebt, raden we u aan uw gegevens te exporteren naar een onveranderbare opslagoplossing:
- Bepaal de specifieke gegevenstypen die moeten worden geëxporteerd. Niet alle logboektypen hebben dezelfde relevantie voor naleving, controle of beveiliging.
-
Gegevensexport gebruiken om gegevens naar een Azure-opslagaccount te verzenden.
Instructies: Gegevensexport van Log Analytics-werkruimte in Azure Monitor - Stel beleid voor onveranderbaarheid in om te beschermen tegen manipulatie van gegevens.
Instructies: Onveranderbaarheidsbeleid configureren voor blobversies
Gevoelige gegevens filteren of verdoezelen in uw werkruimte
Als uw logboekgegevens gevoelige informatie bevatten:
- Filter records die niet moeten worden verzameld met behulp van de configuratie voor de specifieke gegevensbron.
- Gebruik een transformatie als alleen bepaalde kolommen in de gegevens moeten worden verwijderd of verborgen.
Instructies: Transformaties in Azure Monitor - Als u standaarden hebt die vereisen dat de oorspronkelijke gegevens ongewijzigd blijven, gebruikt u de letterlijke 'h' in KQL-query's om de weergegeven queryresultaten in werkmappen te versluieren.
Instructies: Verduisterde letterlijke tekenreeksen
Gevoelige gegevens opschonen die per ongeluk zijn verzameld
- Controleer regelmatig op persoonlijke gegevens die mogelijk per ongeluk in uw werkruimte worden verzameld.
- Gegevens opschonen gebruiken om ongewenste gegevens te verwijderen. Gegevens in tabellen met het hulpplan kunnen momenteel niet worden opgeschoond.
Instructies: Persoonlijke gegevens beheren in Azure Monitor-logboeken en Application Insights
Uw werkruimte koppelen aan een toegewezen cluster voor verbeterde beveiliging
Azure Monitor versleutelt alle gegevens in rusttoestand en opgeslagen queries met behulp van door Microsoft beheerde sleutels (MMK). Als u voldoende gegevens voor een toegewezen cluster verzamelt, koppelt u uw werkruimte aan een toegewezen cluster voor verbeterde beveiligingsfuncties, waaronder:
- Door de klant beheerde sleutels voor meer flexibiliteit en beheer van de levenscyclus van sleutels. Als u Microsoft Sentinel gebruikt, moet u ervoor zorgen dat u bekend bent met de overwegingen bij het instellen van de door de klant beheerde sleutel van Microsoft Sentinel.
- Customer Lockbox voor Microsoft Azure om aanvragen voor toegang tot klantgegevens te controleren en goed te keuren of af te wijzen. Customer Lockbox wordt gebruikt wanneer een Microsoft-engineer toegang moet hebben tot klantgegevens, of dit nu gebeurt als reactie op een door de klant geïnitieerd ondersteuningsticket of een probleem dat door Microsoft is geïdentificeerd. Lockbox kan momenteel niet worden toegepast op tabellen met het hulpplan.
Instructies: Een toegewezen cluster maken en beheren in Azure Monitor-logboeken
Toegang tot werkruimten blokkeren vanuit openbare netwerken met behulp van Azure Private Link
Microsoft beveiligt verbindingen met openbare eindpunten met end-to-end-versleuteling. Als u een privé-eindpunt nodig hebt, gebruikt u Azure Private Link om resources toe te staan verbinding te maken met uw Log Analytics-werkruimte via geautoriseerde privénetwerken. U kunt ook private link gebruiken om gegevensopname van werkruimten af te dwingen via ExpressRoute of een VPN.
Instructies: Uw Azure Private Link-installatie ontwerpen
TLS-opname van Application Insights
Ondersteunde TLS-configuraties
Application Insights maakt gebruik van TLS (Transport Layer Security) 1.2 en 1.3. Daarnaast worden de volgende coderingssuites en elliptische curven ook ondersteund binnen elke versie.
| Versie | Cryptografische suites | Elliptische curven |
|---|---|---|
| TLS 1.2 | • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
• NistP384 • NistP256 |
| TLS 1.3 | • TLS_AES_256_GCM_SHA384 • TLS_AES_128_GCM_SHA256 |
• NistP384 • NistP256 |
TLS-configuraties (Transport Layer Security) uitfaseren
Belangrijk
Om de beveiliging te verbeteren, blokkeert Azure de volgende TLS-configuraties voor Application Insights op 1 mei 2025. Deze wijziging maakt deel uit van de Azure-brede pensionering van verouderde TLS:
- Verouderde TLS 1.2- en TLS 1.3-coderingssuites
- Verouderde TLS elliptische krommen
TLS 1.2 en TLS 1.3
| Versie | Cryptografische suites | Elliptische curven |
|---|---|---|
| TLS 1.2 | * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_RSA_WITH_AES_256_GCM_SHA384 * TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_RSA_WITH_AES_128_CBC_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA |
* curve25519 |
| TLS 1.3 | * curve25519 |
Zie de veelgestelde vragen over TLS-ondersteuning in Application Insights voor meer informatie.
Waarschuwingen
Waarschuwingsregelmachtigingen voor logboekzoekopdrachten beheren met behulp van beheerde identiteiten
Een veelvoorkomende uitdaging voor ontwikkelaars is het beheer van geheimen, referenties, certificaten en sleutels die worden gebruikt om de communicatie tussen services te beveiligen. Beheerde identiteiten elimineren de noodzaak voor ontwikkelaars om deze referenties te beheren. Als u een beheerde identiteit instelt voor de waarschuwingsregels voor zoeken in logboeken, hebt u controle over en inzicht in de exacte machtigingen van uw waarschuwingsregel. U kunt op elk gewenst moment de querymachtigingen van uw regel bekijken en machtigingen rechtstreeks toevoegen aan of verwijderen uit de beheerde identiteit.
Het gebruik van een beheerde identiteit is vereist als de query van uw regel toegang heeft tot Azure Data Explorer (ADX) of Azure Resource Graph (ARG).
Instructies: Een waarschuwingsregel voor zoeken in logboeken maken of bewerken.
De rol Controlelezer toewijzen aan alle gebruikers die geen configuratiebevoegdheden nodig hebben
Verbeter de beveiliging door gebruikers de minste bevoegdheden te geven die vereist zijn voor hun rol.
Instructies: Rollen, machtigingen en beveiliging in Azure Monitor.
Veilige webhookacties gebruiken waar mogelijk
Als uw waarschuwingsregel een actiegroep bevat die gebruikmaakt van webhookacties, gebruikt u liever beveiligde webhookacties voor sterkere verificatie.
Instructies: Verificatie configureren voor beveiligde webhook.
Gebruik door de klant beheerde sleutels als u uw eigen versleutelingssleutel nodig hebt om gegevens en opgeslagen query's in uw werkruimten te beveiligen
Azure Monitor versleutelt alle gegevens en opgeslagen query's in rusttoestand met behulp van Microsoft-beheerde sleutels (MMK). Als u uw eigen versleutelingssleutel nodig hebt en voldoende gegevens voor een toegewezen cluster verzamelt, gebruikt u door de klant beheerde sleutels voor meer flexibiliteit en beheer van de levenscyclus van sleutels.
Instructies: door de klant beheerde sleutels.
Als u Microsoft Sentinel gebruikt, zie Microsoft Sentinel-klant beheerde sleutel instellen.
Bewaking van virtuele machines
Beveiligingsbewaking van VM's implementeren met behulp van Azure-beveiligingsservices
Hoewel Azure Monitor beveiligingsevenementen van uw VM's kan verzamelen, is het niet bedoeld om te worden gebruikt voor beveiligingsbewaking. Azure bevat meerdere services, zoals Microsoft Defender voor Cloud en Microsoft Sentinel, die samen een volledige beveiligingsbewakingsoplossing bieden. Zie Beveiligingsbewaking voor een vergelijking van deze services.
Vm's verbinden met Azure Monitor via een privé-eindpunt met behulp van azure Private Link
Microsoft beveiligt verbindingen met openbare eindpunten met end-to-end-versleuteling. Als u een privé-eindpunt nodig hebt, gebruikt u Azure Private Link om resources toe te staan verbinding te maken met uw Log Analytics-werkruimte via geautoriseerde privénetwerken. U kunt ook private link gebruiken om gegevensopname van werkruimten af te dwingen via ExpressRoute of een VPN.
Instructies: Uw Azure Private Link-installatie ontwerpen
Containerbewaking
Clusters verbinden met Container Insights met behulp van verificatie van beheerde identiteiten
Verificatie van beheerde identiteit is de standaardverificatiemethode voor nieuwe clusters. Als u verouderde verificatie gebruikt, migreert u naar een beheerde identiteit om de lokale verificatie op basis van certificaten te verwijderen.
Instructies: Migreren naar verificatie van beheerde identiteit
Gegevens verzenden van clusters naar Azure Monitor via een privé-eindpunt met behulp van Azure Private Link
De door Azure beheerde service voor Prometheus slaat de gegevens op in een Azure Monitor-werkruimte, die standaard een openbaar eindpunt gebruikt. Microsoft beveiligt verbindingen met openbare eindpunten met end-to-end-versleuteling. Als u een privé-eindpunt nodig hebt, gebruikt u Azure Private Link om uw cluster verbinding te laten maken met de werkruimte via geautoriseerde privénetwerken. Private Link kan ook worden gebruikt om gegevensopname van werkruimten af te dwingen via ExpressRoute of een VPN.
Instructies: Zie Private Link inschakelen voor Kubernetes-bewaking in Azure Monitor voor meer informatie over het configureren van uw cluster voor private link. Zie Privé-eindpunten gebruiken voor beheerde Prometheus- en Azure Monitor-werkruimte voor meer informatie over het uitvoeren van query's op uw gegevens met behulp van private link.
Netwerkverkeer van en naar clusters bewaken met behulp van verkeersanalyse
Traffic Analytics analyseert NSG-stroomlogboeken van Azure Network Watcher om inzicht te krijgen in de verkeersstroom in uw Azure-cloud. Gebruik deze tool om ervoor te zorgen dat er geen gegevensuitwisseling voor uw cluster is en om te detecteren of er onnodige openbare IP-adressen blootgesteld zijn.
Netwerkobserveerbaarheid inschakelen
Netwerkobserveerbaarheidsinvoegtoepassing voor AKS biedt waarneembaarheid in de meerdere lagen in de Kubernetes-netwerkstack. Bewaak en bekijk de toegang tussen services in het cluster (oost-west-verkeer).
Instructies: Waarneembaarheid van containernetwerk instellen voor Azure Kubernetes Service (AKS)
Uw Log Analytics-werkruimte beveiligen
Container insights verzendt gegevens naar een Log Analytics-werkruimte. Zorg ervoor dat u logboekopnamen en opslag in uw Log Analytics-werkruimte beveiligt.
Instructies: Logboekopname en opslag.
Hoe Microsoft Azure Monitor beveiligt
De instructies in dit artikel zijn gebaseerd op het Microsoft-beveiligingsverantwoordelijkheidsmodel. Als onderdeel van dit model van gedeelde verantwoordelijkheid biedt Microsoft deze beveiligingsmaatregelen aan Klanten van Azure Monitor:
- Beveiliging van Azure-infrastructuur
- Gegevensbescherming van Azure-klanten
- Versleuteling van gegevens die worden overgedragen tijdens gegevensopname
- Versleuteling van gegevens die zich in rusttoestand bevinden met door Microsoft beheerde sleutels
- Microsoft Entra-verificatie voor toegang tot gegevensvlak
- Verificatie van Azure Monitor Agent en Application Insights met behulp van beheerde identiteiten
- Bevoegde toegang tot gegevensvlakacties met behulp van op rollen gebaseerd toegangsbeheer (Azure RBAC)
- Naleving van industriestandaarden en -voorschriften
Richtlijnen en best practices voor Azure-beveiliging
Instructies voor veilige implementatie van Azure Monitor zijn gebaseerd op en consistent met de uitgebreide richtlijnen voor cloudbeveiliging en aanbevolen procedures van Azure, waaronder:
- Cloud Adoption Framework, dat beveiligingsrichtlijnen biedt voor teams die de technologie-infrastructuur beheren.
- Azure Well-Architected Framework, dat best practices voor architectuur biedt voor het bouwen van beveiligde toepassingen.
- Microsoft Cloud Security Benchmark (MCSB) waarin de beschikbare beveiligingsfuncties en aanbevolen optimale configuraties worden beschreven.
- Zero Trust-beveiligingsprincipes, die richtlijnen biedt voor beveiligingsteams om technische mogelijkheden te implementeren ter ondersteuning van een Zero Trust-moderniseringsinitiatief.
Volgende stap
- Meer informatie over hoe u aan de slag gaat met Azure Monitor.