Segurança de dados dos Logs do Azure Monitor

Este artigo mostra como o Azure Monitor coleta, processa e protege dados de log e descreve os recursos de segurança que você pode usar para proteger ainda mais o ambiente do Azure Monitor. As informações neste artigo são específicas dos Logs do Azure Monitor e complementam as informações sobre a Central de Confiabilidade do Azure.

Os Logs do Azure Monitor gerenciam seus dados baseados em nuvem com segurança através de:

  • Segregação de dados
  • Retenção de dados
  • Segurança física
  • Gerenciamento de incidentes
  • Conformidade
  • Certificações de padrões de segurança

Entre em contato conosco com quaisquer perguntas, sugestões ou problemas sobre qualquer uma das seguintes informações, incluindo nossas políticas de segurança nas opções de suporte do Azure.

Enviando dados com segurança usando TLS

Para garantir a segurança dos dados em trânsito para o Azure Monitor, recomendamos fortemente que você configure o agente para usar no mínimo o protocolo TLS 1.3. Versões mais antigas do TLS/Secure Sockets Layer (SSL) foram encontradas vulneráveis e enquanto ele ainda estiver atualmente trabalham para permitir a compatibilidade com versões anteriores, eles são não recomendáveis, e o setor está se movendo rapidamente para abandonar o suporte para esses protocolos mais antigos.

O PCI Security Standards Council estabeleceu um prazo para 30 de junho de 2018 para desabilitar as versões mais antigas de TLS/SSL e atualizar para protocolos mais seguros. Após o Azure ter descartado o suporte herdado, se seus agentes não conseguirem se comunicar usando no mínimo o TLS 1.3, você não conseguirá enviar dados para os Logs do Azure Monitor.

Recomendamos que você NÃO configure seu agente explicitamente para usar somente o TLS 1.3, a menos que isso seja necessário. É preferível permitir que o agente detecte, negocie e aproveite automaticamente os padrões de segurança futuros. Caso contrário, você poderá perder a segurança adicional dos padrões mais recentes e, possivelmente, terá problemas se o TLS 1.3 for eventualmente preterido em favor desses padrões mais recentes.

Diretrizes específicas da plataforma

Plataforma/linguagem Suporte Mais informações
Linux Distribuições do Linux tendem a depender do OpenSSL para suporte a TLS 1.2. Verifique as OpenSSL Changelog para confirmar a sua versão do OpenSSL é suportada.
Windows 8.0 - 10 Suporte e habilitado por padrão. Para confirmar que você ainda está usando o as configurações padrão.
Windows Server 2012 - 2016 Suporte e habilitado por padrão. Para confirmar que você ainda está usando o as configurações padrão
Windows Server 7 SP1 e Windows Server 2008 R2 SP1 Com suporte, mas não habilitado por padrão. Consulte a página configurações do registro de segurança de camada de transporte (TLS) para obter detalhes sobre como habilitar.

Segregação de dados

Depois que seus dados são ingeridos pelo Azure Monitor, os dados são mantidos separados logicamente em cada componente no serviço. Todos os dados são marcados por workspace. Essa marcação persiste em todo o ciclo de vida dos dados e é imposta em cada camada do serviço. Os dados ficam armazenados em um banco de dados dedicado no cluster de armazenamento na região selecionada.

Retenção de dados

Dados indexados de pesquisa de log são armazenados e retidos de acordo com o plano de preço. Para obter mais informações, consulte Preços do Log Analytics.

Como parte do seu contrato de assinatura, a Microsoft mantem seus dados de acordo com os termos do contrato. Quando os dados do cliente são removidos, não ocorre a destruição de nenhuma unidade física.

A tabela a seguir lista algumas das soluções disponíveis e fornece exemplos de tipo de dados coletados.

Solução Tipos de dados
Capacidade e Desempenho Dados de desempenho e metadados
Gerenciamento de atualizações Metadados e dados de estado
Gerenciamento de Log Logs de eventos de definidos pelo usuário, logs de eventos do Windows e/ou os logs do IIS
Controle de Alterações Inventário de software, serviço Windows e metadados de daemon do Linux e de arquivo do Windows/Linux
Avaliação do SQL e Active Directory Dados WMI, dados do registro, dados de desempenho e resultados de exibição do gerenciamento dinâmico do SQL Server

A tabela a seguir mostra exemplos de tipos de dados:

Data type Fields
Alerta Nome do Alerta, Descrição do Alerta, BaseManagedEntityId, ID do Problema, IsMonitorAlert, RuleId, ResolutionState, Prioridade, Gravidade, Categoria, Proprietário, ResolvedBy, TimeRaised, TimeAdded, LastModified, LastModifiedBy, LastModifiedExceptRepeatCount, TimeResolved, TimeResolutionStateLastModified, TimeResolutionStateLastModifiedInDB, RepeatCount
Configuração CustomerID, AgentID, EntityID, ManagedTypeID, ManagedTypePropertyID, CurrentValue, ChangeDate
Evento EventId, EventOriginalID, BaseManagedEntityInternalId, RuleId, PublisherId, PublisherName, FullNumber, Number, Categoria, ChannelLevel, LoggingComputer, EventData, EventParameters, TimeGenerated, TimeAdded
Observação: quando você grava eventos com campos personalizados no log de eventos do Windows, o Log Analytics os coleta.
Metadados BaseManagedEntityId, ObjectStatus, OrganizationalUnit, ActiveDirectoryObjectSid, PhysicalProcessors, NetworkName, IPAddress, ForestDNSName, NetbiosComputerName, VirtualMachineName, LastInventoryDate, HostServerNameIsVirtualMachine, IP Address, NetbiosDomainName, LogicalProcessors, DNSName, DisplayName, DomainDnsName, ActiveDirectorySite, PrincipalName, OffsetInMinuteFromGreenwichTime
Desempenho ObjectName, CounterName, PerfmonInstanceName, PerformanceDataId, PerformanceSourceInternalID, SampleValue, TimeSampled, TimeAdded
Estado StateChangeEventId, StateId, NewHealthState, OldHealthState, Context, TimeGenerated, TimeAdded, StateId2, BaseManagedEntityId, MonitorId, HealthState, LastModified, LastGreenAlertGenerated, DatabaseTimeModified

Segurança física

O Azure Monitor é operado pelo pessoal da Microsoft e todas as atividades são registradas em log e podem ser auditadas. O Azure Monitor funciona como um serviço do Azure e atende a todos os requisitos de segurança e conformidade do Azure. Você pode exibir detalhes sobre a segurança física dos ativos do Azure na página 18 da Visão geral de Segurança do Microsoft Azure. Os direitos de acesso físico a áreas protegidas são alterados em até um dia útil para qualquer pessoa que não tenha mais responsabilidade pelo serviço Azure Monitor, incluindo transferência e encerramento. Você pode ler sobre a infraestrutura física global que usamos em Datacenters da Microsoft.

Gerenciamento de incidentes

O Azure Monitor tem um processo de gerenciamento de incidentes que todos os serviços Microsoft seguem. Resumidamente, nós:

  • Usamos um modelo de responsabilidade compartilhada em que uma parte da responsabilidade pela segurança pertence à Microsoft e uma parte pertence ao cliente
  • Gerencie incidentes de segurança do Azure:
    • Início de uma investigação sobre a detecção de um incidente
    • Avaliamos o impacto e a gravidade de um incidente por um membro da equipe de resposta a incidentes de plantão. Com base em evidências, a avaliação pode ou não resultar em um escalonamento adicional para a equipe de resposta de segurança.
    • Diagnosticamos um incidente por especialistas de resposta de segurança para conduzir a investigação forense ou técnica, identificar estratégias de contenção, atenuação e solução alternativa. Se a equipe de segurança acreditar que os dados do cliente podem ter sido expostos a um indivíduo ilegal ou não autorizado, a execução paralela do processo de Notificação de Incidente do Cliente começa em paralelo.
    • Estabilizamos e recuperamos do incidente. A equipe de resposta a incidentes cria um plano de recuperação para atenuar o problema. As etapas de contenção de crises, como a colocação em quarentena dos sistemas afetados, podem ocorrer imediatamente e em paralelo ao diagnóstico. Podem ser planejadas mitigações de longo prazo que ocorram após o risco imediato ter passado.
    • Fechamos o incidente e realizamos um post-mortem. A equipe de resposta a incidentes cria um post-mortem que descreve os detalhes do incidente, com a intenção de revisar as políticas, procedimentos e processos para evitar a recorrência do evento.
  • Notifique os clientes dos incidentes de segurança:
    • Determinamos o escopo dos clientes afetados e fornecemos qualquer pessoa que seja afetada como um aviso detalhado conforme possível
    • Criamos um aviso para fornecer aos clientes informações suficientemente detalhadas para que possam realizar uma investigação do seu lado e atender quaisquer compromissos que tenham firmado com seus usuários finais ao não atrasar indevidamente o processo de notificação.
    • Confirmamos e declaramos o incidente, se necessário.
    • Notificamos os clientes com uma notificação de incidentes sem demora excessiva e acordo com qualquer compromisso contratual ou legal. As notificações de incidentes de segurança são entregue a um ou mais administradores do cliente por qualquer meio que a Microsoft selecione, inclusive por email.
  • Conduza o treinamento e a prontidão de equipe:
    • Os funcionários da Microsoft devem concluir o treinamento de segurança e conscientização, o que os ajuda a identificar e relatar problemas de segurança suspeitos.
    • Os operadores que trabalham no serviço Microsoft Azure têm obrigações de treinamento adicionais que envolvem seu acesso a sistemas confidenciais que hospedam dados do cliente.
    • A equipe de resposta de segurança da Microsoft recebe treinamento especializado para suas funções

Embora seja raro, a Microsoft notifica cada cliente dentro de um dia se ocorrer perda significativa de dados dos clientes.

Para obter mais informações sobre como a Microsoft responde a incidentes de segurança, confira Microsoft Azure Security Response in the Cloud (Resposta de segurança do Microsoft Azure na nuvem).

Conformidade

O desenvolvimento do software Azure Monitor e o serviço de segurança da informação da equipe e o programa de governança dão suporte aos requisitos do negócio e aderem às leis e regulamentos descritos na Central de Confiabilidade do Microsoft Azure e na Conformidade da Central de Confiabilidade da Microsoft . Como os Logs do Azure Monitor estabelecem os requisitos de segurança, identificam os controles de segurança, gerenciam e monitoram os riscos também são descritos lá. Anualmente, revisamos as políticas, os padrões, os procedimentos e as diretrizes.

Cada membro de equipe de desenvolvimento recebe treinamento formal sobre a segurança de aplicativo. Internamente, usamos um sistema de controle de versão para o desenvolvimento de software. Cada projeto de software é protegido pelo sistema de controle de versão.

A Microsoft tem uma equipe de segurança e conformidade que monitora e analisa todos os serviços na Microsoft. Os responsáveis pela segurança de informações compõem a equipe e não são associados às equipes de engenharia que desenvolvem o Log Analytics. Os responsáveis pela segurança têm sua própria cadeia de gerenciamento e realizaram avaliações independentes dos produtos e serviços para garantir a segurança e a conformidade.

O conselho de diretores da Microsoft é notificado por um relatório anual sobre todos os programas de segurança da informação na Microsoft.

A equipe de serviço e desenvolvimento de software do Log Analytics trabalha ativamente com as equipes de conformidade e jurídica da Microsoft e outros parceiros do setor para adquirir várias certificações.

Certificações e atestados

O Azure Log Analytics atende aos seguintes requisitos:

Observação

Em algumas certificações/atestados, os Logs do Azure Monitor estão listados com o nome antigo Operational Insights.

Fluxo de dados de segurança de computação em nuvem

O diagrama a seguir mostra uma arquitetura de segurança de nuvem como o fluxo de informações da empresa e como ele é protegido à medida que passa para o Azure Monitor e finalmente aparece no portal do Azure. Após o diagrama, mais informações sobre cada etapa.

Imagem de coleta de dados e segurança dos Logs do Azure Monitor

1. Inscrever-se no Azure Monitor e coletar dados

Para sua organização enviar dados aos Logs do Azure Monitor, você deve configurar um agente do Windows ou Linux em execução em máquinas virtuais do Azure, ou em computadores físicos ou virtuais em seu ambiente ou outro provedor de nuvem. Se você usar o Operations Manager, você configura o agente do Operations Manager no grupo de gerenciamento. Os usuários (que podem ser você, outros usuários individuais ou um grupo de pessoas) criam um ou mais workspaces do Log Analytics e registram agentes usando uma das seguintes contas:

Um espaço de trabalho do Log Analytics é onde os dados são coletados, agregados, analisados e apresentados. Um workspace é usado principalmente como um meio para particionar dados e cada workspace é exclusivo. Por exemplo, talvez você queira ter seus dados de produção gerenciados com um workspace e seus dados de teste gerenciados com outro workspace. Os workspaces também ajudam um administrador a controlar o acesso dos usuários aos dados. Cada workspace pode ter várias contas de usuário associadas a ele, e cada conta de usuário pode acessar vários workspaces do Log Analytics. Você cria os workspaces com base na região do datacenter.

Para o Operations Manager, o grupo de gerenciamento do Operations Manager estabelece uma conexão com o serviço do Azure Monitor. Você configura quais sistemas gerenciados por agente no grupo de gerenciamento têm permissão para coletar e enviar dados para o serviço. Dependendo da solução que você habilitou, dados dessas soluções são enviados diretamente de um servidor de gerenciamento do Operations Manager para o serviço do Azure Monitor ou por causa do volume de dados coletados pelo sistema gerenciado por agente, são enviados diretamente do agente para o serviço. Para sistemas não monitorados pelo Operations Manager, cada um se conecta com segurança ao serviço do Azure Monitor diretamente.

Toda a comunicação entre os sistemas conectados e o serviço do Azure Monitor é criptografada. O protocolo TLS (HTTPS) é usado para criptografia. O processo SDL da Microsoft é seguido para garantir que o Log Analytics esteja atualizado com os avanços mais recentes nos protocolos criptográficos.

Cada tipo de agente coleta dados de log para o Azure Monitor. O tipo de dados coletados depende da configuração do seu espaço de trabalho e de outros recursos do Azure Monitor.

2. Enviar dados de agentes

Registre todos os tipos de agente com uma chave de registro, e uma conexão segura será estabelecida entre o agente e o serviço do Azure Monitor usando a autenticação baseada em certificado e TLS com a porta 443. O Azure Monitor usa um repositório secreto para gerar e manter as chaves. As chaves privadas são rotacionadas a cada 90 dias e armazenadas no Azure e são gerenciadas pelas operações do Azure que seguem práticas de conformidade e regulatórias estritas.

Com o Operations Manager, o grupo de gerenciamento registrado com um espaço de trabalho do Log Analytics estabelece uma conexão HTTPS segura com um servidor de gerenciamento do Operations Manager.

Para agentes do Windows ou do Linux em execução em máquinas virtuais do Azure, uma chave de armazenamento somente leitura é usada para ler eventos de diagnóstico nas tabelas do Azure.

Com agentes subordinados a um grupo de gerenciamento do Operations Manager que esteja integrado ao Azure Monitor, se o servidor de gerenciamento não puder se comunicar com o serviço por algum motivo, os dados coletados são armazenados localmente em um cache temporário no servidor de gerenciamento. Eles tentam reenviar os dados a cada oito minutos durante duas horas. Para dados que ignoram o servidor de gerenciamento e são enviados diretamente ao Azure Monitor, o comportamento é consistente com o agente do Windows.

O Windows ou os dados de agente do servidor de gerenciamento em cache são protegidos pelo armazenamento de credenciais do sistema operacional. Se o serviço não puder processar os dados depois de duas horas, os agentes colocarão os dados em fila. Se a fila encher, o agente começará a remover tipos de dados, começando com os dados de desempenho. O limite de fila do agente é uma chave do registro para que você possa modificá-lo, se necessário. Os dados coletados são compactados e enviados para o serviço, ignorando os bancos de dados de grupos de gerenciamento do Operations Manager, para que nenhuma carga seja adicionada a eles. Depois que os dados coletados forem enviados, eles serão removidos do cache.

Conforme descrito acima, os dados do servidor de gerenciamento ou de agentes conectados diretamente são enviados por TLS para data centers do Microsoft Azure. Opcionalmente, você pode usar o ExpressRoute para fornecer segurança extra para os dados. O ExpressRoute é uma maneira de se conectar diretamente ao Azure pela rede WAN existente, como um VPN MPLS (multi-protocol label switching), fornecida por um provedor de serviço de rede. Para obter mais informações, confira ExpressRoute e O tráfego do meu agente usa minha conexão do Azure ExpressRoute?.

3. O serviço do Azure Monitor recebe e processa os dados

O serviço do Azure Monitor garante que os dados de entrada sejam de uma fonte confiável ao validar certificados e a integridade dos dados com a autenticação do Azure. Os dados brutos não processados são armazenados em Hubs de Eventos do Azure na região em que eventualmente serão armazenados os dados em repouso. Os tipos de dados armazenados dependem dos tipos de soluções importados e usados para coletar dados. Em seguida, o serviço do Azure Monitor processa os dados brutos e os ingere-os no banco de dados.

O período de retenção dos dados coletados armazenados no banco de dados depende do plano de preços selecionado. Para a camada Livre, os dados coletados estão disponíveis por sete dias. Para a camada Paga, os dados coletados ficam disponíveis durante 31 dias por padrão, mas podem ser estendidos para 730 dias. Os dados são armazenados criptografados em repouso no armazenamento do Azure, para garantir a confidencialidade dos dados, e os dados são replicados na região local usando o armazenamento com redundância local (LRS) ou armazenamento com redundância de zona (ZRS) nas regiões com suporte. As duas últimas semanas de dados também são armazenadas em cache baseado em SSD, e esse cache é criptografado.

Não é possível alterar os dados no armazenamento do banco de dados após a ingestão, mas podem ser excluídos por meio do caminho de API de limpeza. Embora os dados não possam ser alterados, algumas certificações exigem que os dados sejam mantidos imutáveis e não possam ser alterados nem excluídos no armazenamento. A imutabilidade dos dados pode ser obtida pela exportação de dados para uma conta de armazenamento configurada como armazenamento imutável.

4. Use o Azure Monitor para acessar dados

Para acessar seu espaço de trabalho do Log Analytics, entre no portal do Azure usando a conta organizacional ou conta Microsoft configurada anteriormente. Todo o tráfego entre o portal e o Azure Monitor no serviço é enviado por um canal HTTPS seguro. Ao usar o portal, uma ID de sessão é gerada no cliente do usuário (navegador da Web) e dados são armazenados em um cache local até que a sessão seja encerrada. Após o encerramento, o cache é excluído. Os cookies do lado do cliente, que não contêm informações de identificação pessoal, não são removidos automaticamente. Os cookies de sessão são marcados como HTTPOnly e são protegidos. Após um período ocioso predeterminado, a sessão do portal do Azure é encerrada.

Chaves de segurança gerenciadas pelo cliente

Os dados no Azure Monitor são criptografados com chaves gerenciadas pela Microsoft. Você pode usar chaves de criptografia gerenciadas pelo cliente para proteger os dados e salvar consultas em seus workspaces. As chaves gerenciadas pelo cliente no Azure Monitor dão maior flexibilidade para gerenciar os controles de acesso aos logs.

Depois de configurados, os novos dados ingeridos em workspaces vinculados são criptografados com sua chave armazenada no Azure Key Vault ou no "HSM" Gerenciado do Azure Key Vault.

Armazenamento privado

Os Logs do Azure Monitor dependem do Armazenamento do Microsoft Azure em cenários específicos. Use armazenamento privado/gerenciado pelo cliente para gerenciar sua conta de armazenamento criptografada pessoalmente.

Rede do Link Privado do Azure permite vincular com segurança os serviços PaaS (plataforma como serviço) do Azure, incluindo o Azure Monitor, à sua rede virtual usando pontos de extremidade privados.

Sistema de Proteção de Dados do Cliente para Microsoft Azure

O Sistema de Proteção de Dados do Cliente para Microsoft Azure fornece uma interface para examinar e aprovar ou rejeitar solicitações de acesso a dados do cliente. Ele é usado quando um engenheiro da Microsoft precisa acessar os dados do cliente, seja em resposta a um tíquete de suporte iniciado pelo cliente ou a um problema identificado pela Microsoft. Para habilitar o Sistema de Proteção de Dados do Cliente, você precisa de um cluster dedicado.

Revisão de adulteração e imutabilidade

O Azure Monitor é uma plataforma de dados somente acréscimo, mas inclui provisionamentos para excluir dados para fins de conformidade. Você pode definir um bloqueio no workspace do Log Analytics para bloquear todas as atividades que podem excluir dados: limpeza, exclusão de tabela e alterações de retenção de dados no nível de tabela ou workspace. No entanto, esse bloqueio ainda pode ser removido.

Para proteger totalmente sua solução de monitoramento contra adulteração, recomendamos exportar dados para uma solução de armazenamento imutável.

Perguntas frequentes

Esta seção fornece respostas para perguntas comuns.

O agente de tráfego usa a minha conexão do Azure ExpressRoute?

O tráfego para o Azure Monitor usa o circuito do ExpressRoute de emparelhamento da Microsoft. Confira a documentação do ExpressRoute para obter uma descrição dos diferentes tipos de tráfego do ExpressRoute.