Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo fornece instruções para implantar o Azure Monitor com segurança e explica como a Microsoft protege o Azure Monitor.
Ingestão e armazenamento de logs
Conceder acesso aos dados no workspace com base na necessidade
- Defina o modo de controle de acesso do espaço de trabalho como Usar permissões de recurso ou espaço de trabalho para permitir que os proprietários de recursos usem o contexto de recurso para acessar seus dados sem que lhes seja concedido acesso explícito ao espaço de trabalho. Isso simplifica a configuração do workspace e ajuda a garantir que os usuários tenham acesso apenas aos dados necessários.
Instruções: Gerenciar o acesso aos workspaces do Log Analytics - Atribua a função interna apropriada para conceder permissões de workspace aos administradores no nível da assinatura, do grupo de recursos ou do workspace, dependendo do escopo das responsabilidades.
Instruções: Gerenciar o acesso aos workspaces do Log Analytics - Aplique o RBAC de nível de tabela para usuários que exigem acesso a um conjunto de tabelas em vários recursos. Os usuários com permissões de tabela têm acesso a todos os dados na tabela, independentemente de suas permissões de recurso.
Instruções: Gerenciar o acesso aos workspaces do Log Analytics
Proteger os dados de logs em trânsito
Se você usar agentes, conectores ou as APIs de Logs para consultar ou enviar dados para seu espaço de trabalho, use o TLS (Transport Layer Security) 1.2 ou superior para garantir a segurança dos dados em trânsito. Versões mais antigas do TLS e da SSL (Secure Sockets Layer) têm vulnerabilidades e, embora ainda funcionem para permitir compatibilidade com versões anteriores, elas não são recomendadas e o setor rapidamente se moveu para abandonar o suporte para esses protocolos mais antigos.
O Conselho de Normas de Segurança da PCI estabeleceu um prazo de 30 de junho de 2018 para desabilitar versões mais antigas do TLS/SSL e atualizar para protocolos mais seguros. Depois que o Azure remover o suporte herdado, os clientes que não se comunicarem completamente pelo TLS 1.2 ou superior não poderão enviar ou consultar dados para logs do Azure Monitor.
Não configure explicitamente seus agentes, conectores de dados ou aplicativos de API para usar apenas o TLS 1.2, a menos que seja necessário. É recomendável permitir que eles detectem, negociem e aproveitem os padrões de segurança futuros automaticamente. Caso contrário, você poderá perder a segurança adicionada dos padrões mais novos e, possivelmente, ter problemas se o TLS 1.2 for preterido em favor desses padrões mais novos.
Importante
Em alinhamento com a desativação completa do TLS herdado no Azure, o protocolo TLS 1.0/1.1 será completamente bloqueado nos Logs do Azure Monitor de acordo com as datas na tabela a seguir. Para fornecer criptografia de nível superior, os Logs do Azure Monitor já utilizam TLS 1.2/1.3 como os mecanismos de criptografia escolhidos.
| Data de imposição | Consultar pontos de extremidade de API | Versão do protocolo TLS |
|---|---|---|
| 1 de julho de 2025 | Endpoints da API de Consulta de Logs | TLS 1.2 ou superior |
| 1 de março de 2026 | Terminais da API de Ingestão de Logs | TLS 1.2 ou superior |
Ação recomendada
Para evitar possíveis interrupções de serviço, confirme se os recursos que interagem com os pontos de extremidade da API de Logs não têm dependências em protocolos TLS 1.0 ou 1.1.
Para obter perguntas gerais sobre o problema TLS herdado ou como testar conjuntos de criptografia com suporte, consulte Solving TLS problems and Azure Resource Manager TLS Support.
Configurar a auditoria de consulta de log
- Configure a auditoria de consultas de log para registrar os detalhes de cada consulta realizada em um espaço de trabalho.
Instruções: Auditar consultas nos Logs do Azure Monitor - Trate os dados de auditoria da consulta de log como dados de segurança e proteja o acesso à tabela LAQueryLogs adequadamente.
Instruções: configurar o acesso aos dados no workspace com base na necessidade. - Se você separar seus dados operacionais e de segurança, envie os logs de auditoria de cada espaço de trabalho para o espaço de trabalho local ou consolide-os em um espaço de trabalho de segurança dedicado.
Instruções: configurar o acesso aos dados no workspace com base na necessidade. - Use os insights do workspace do Log Analytics para examinar periodicamente os dados de auditoria de consulta de log.
Instruções: Insights do workspace do Log Analytics. - Crie regras de alerta de pesquisa de log para notificá-lo se usuários não autorizados estiverem tentando executar consultas.
Instruções: Regras de alerta de pesquisa de log.
Garantir a imutabilidade dos dados de auditoria
O Azure Monitor é uma plataforma de dados somente acréscimo, mas inclui provisionamentos para excluir dados para fins de conformidade. Para proteger seus dados de auditoria:
Defina um bloqueio no workspace do Log Analytics para bloquear todas as atividades que podem excluir dados, incluindo limpeza, exclusão de tabela e alterações de retenção de dados no nível de tabela ou workspace. No entanto, tenha em mente que esse bloqueio pode ser removido.
Instruções: bloquear seus recursos para proteger sua infraestruturaSe você precisar de uma solução totalmente à prova de violação, recomendamos exportar seus dados para uma solução de armazenamento imutável:
- Determine os tipos de dados específicos que devem ser exportados. Nem todos os tipos de log têm a mesma relevância para conformidade, auditoria ou segurança.
- Use a exportação de dados para enviar dados para uma conta de armazenamento do Azure.
Instruções: Exportação de dados do workspace do Log Analytics no Azure Monitor - Defina políticas de imutabilidade para proteger contra violação de dados.
Instruções: Configurar políticas de imutabilidade para as versões de blob
Filtrar ou ofuscar dados confidenciais em seu workspace
Se os dados de log incluirem informações confidenciais:
- Filtre registros que não devem ser coletados usando a configuração da fonte de dados específica.
- Use uma transformação se apenas colunas específicas nos dados devem ser removidas ou ofuscadas.
Instruções: Transformações no Azure Monitor - Se você tiver padrões que exijam que os dados originais não sejam modificados, use o literal 'h' em consultas KQL para ofuscar os resultados da consulta exibidos em pastas de trabalho.
Instruções: Literais da cadeia de caracteres ofuscados
Limpar dados confidenciais que foram coletados acidentalmente
- Verifique periodicamente se há dados privados que podem ser coletados acidentalmente em seu workspace.
- Use a limpeza de dados para remover dados indesejados. Observe que os dados em tabelas com o plano auxiliar não podem ser limpos no momento.
Instruções: Gerenciando dados pessoais nos Logs do Azure Monitor e no Application Insights
Vincular seu workspace a um cluster dedicado para segurança aprimorada
O Azure Monitor criptografa todos os dados inativos e as consultas salvas usando chaves gerenciadas pela Microsoft (MMK). Se você coletar dados suficientes para um cluster dedicado, vincule seu workspace a um cluster dedicado para recursos de segurança aprimorados, incluindo:
- Chaves gerenciadas pelo cliente para maior flexibilidade e controle de ciclo de vida de chave. Se você usar o Microsoft Sentinel, verifique se está familiarizado com as considerações na configuração da chave gerenciada pelo cliente do Microsoft Sentinel.
- Caixa de bloqueio do cliente do Microsoft Azure para examinar e aprovar ou rejeitar solicitações de acesso a dados do cliente. Customer Lockbox é usado quando um engenheiro da Microsoft precisa acessar dados do cliente, seja em resposta a um tíquete de suporte iniciado pelo cliente ou a um problema identificado pela Microsoft. No momento o Lockbox não pode ser aplicado a tabelas com o plano auxiliar.
Instruções: Criar e gerenciar um cluster dedicado nos Logs do Azure Monitor
Bloquear o acesso ao workspace de redes públicas usando o link privado do Azure
A Microsoft protege conexões com pontos de extremidade públicos com criptografia de ponta a ponta. Se você precisar de um ponto de extremidade privado, use o link privado do Azure para permitir que os recursos se conectem ao workspace do Log Analytics por meio de redes privadas autorizadas. Você também pode usar o Link Privado para forçar a ingestão de dados do workspace por meio do ExpressRoute ou de uma VPN.
Instruções: Criar a configuração do Link Privado do Azure
Ingestão de TLS do Application Insights
Configurações de TLS compatíveis
O Application Insights usa o TLS (Transport Layer Security) 1.2 e 1.3. Além disso, os seguintes conjuntos de criptografia e curvas elípticas também têm suporte em cada versão.
| Versão | Conjuntos de criptografia | Curvas elípticas |
|---|---|---|
| TLS 1.2 | • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
• NistP384 • NistP256 |
| TLS 1.3 | • TLS_AES_256_GCM_SHA384 • TLS_AES_128_GCM_SHA256 |
• NistP384 • NistP256 |
Descontinuando configurações de TLS (Transport Layer Security)
Importante
Para melhorar a segurança, o Azure bloqueia as seguintes configurações de TLS para o Application Insights em 1º de maio de 2025. Essa alteração faz parte da desativação herdada do TLS em todo o Azure:
- Pacotes de criptografia TLS 1.2 e TLS 1.3 herdados
- Curvas elípticas TLS herdadas
TLS 1.2 e TLS 1.3
| Versão | Conjuntos de criptografia | Curvas elípticas |
|---|---|---|
| TLS 1.2 | TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_RSA_WITH_AES_256_GCM_SHA384 TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_RSA_WITH_AES_128_CBC_SHA256 TLS_RSA_WITH_AES_256_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA |
• curve25519 |
| TLS 1.3 | • curve25519 |
Para obter mais informações, consulte o suporte do TLS nas perguntas frequentes do Application Insights.
Alertas
Controlar permissões de regra de alerta de pesquisa de logs usando identidades gerenciadas
Um desafio comum para os desenvolvedores é o gerenciamento de segredos, credenciais, certificados e chaves usadas para proteger a comunicação entre os serviços. As identidades gerenciadas eliminam a necessidade de os desenvolvedores gerenciarem essas credenciais. Definir uma identidade gerenciada para as suas regras de alerta de pesquisa de log permite que você tenha controle e visibilidade das permissões exatas dessas regras de alerta. A qualquer momento, você pode exibir as permissões de consulta da regra e adicionar ou remover permissões diretamente de sua identidade gerenciada.
O uso de uma identidade gerenciada será necessário se a consulta da sua regra estiver acessando o ADX (Azure Data Explorer) ou o ARG (Azure Resource Graph).
Instruções: criar ou editar uma regra de alerta de pesquisa de log.
Atribuir a função Leitor de Monitoramento a todos os usuários que não precisam de privilégios de configuração
Aprimore a segurança dando aos usuários os privilégios mínimos necessários para sua função.
Instruções: Funções, permissões e segurança no Azure Monitor.
Use ações de webhook seguras sempre que possível
Prefira utilizar ações de webhook seguras para uma autenticação mais robusta, caso a regra de alerta contenha um grupo de ações que use ações de webhook.
Instruções: configurar a autenticação para o webhook seguro.
Use chaves gerenciadas pelo cliente se precisar de sua própria chave de criptografia para proteger dados e consultas salvas em seus espaços de trabalho.
O Azure Monitor criptografa todos os dados e consultas salvas em repouso usando chaves gerenciadas pela Microsoft (MMK). Se você precisar de sua própria chave de criptografia e coletar dados suficientes para um cluster dedicado, use as chaves gerenciadas pelo cliente para obter maior flexibilidade e controle do ciclo de vida da chave.
Instruções: chaves gerenciadas pelo cliente.
Se você usar o Microsoft Sentinel, consulteConfigurar a chave gerenciada pelo cliente do Microsoft Sentinel.
Monitoramento de máquina virtual
Implementar o monitoramento de segurança de VMs usando os serviços de segurança do Azure
Embora o Azure Monitor possa coletar eventos de segurança a partir de suas VMs, ele não foi desenvolvido para ser usado como uma ferramenta de monitoramento de segurança. O Azure inclui vários serviços, como o Microsoft Defender para Nuvem e o Microsoft Sentinel , que juntos fornecem uma solução completa de monitoramento de segurança. Consulte o monitoramento de segurança para obter uma comparação desses serviços.
Conectar VMs ao Azure Monitor por meio de um ponto de extremidade privado usando o Link Privado do Azure
A Microsoft protege conexões com pontos de extremidade públicos com criptografia de ponta a ponta. Se você precisar de um ponto de extremidade privado, use o link privado do Azure para permitir que os recursos se conectem ao workspace do Log Analytics por meio de redes privadas autorizadas. Você também pode usar o Link Privado para forçar a ingestão de dados do workspace por meio do ExpressRoute ou de uma VPN.
Instruções: Criar a configuração do Link Privado do Azure
Monitoramento de contêineres
Conectar clusters aos Insights de Contêiner usando a autenticação de identidade gerenciada
A autenticação de identidade gerenciada é o método de autenticação padrão para novos clusters. Se você estiver usando a autenticação herdada, migre para a identidade gerenciada para remover a autenticação local baseada em certificado.
Instruções: Migrar para autenticação de identidade gerenciada
Enviar dados de clusters para o Azure Monitor por meio de um ponto de extremidade privado usando o Link Privado do Azure
O serviço gerenciado do Azure para Prometheus armazena seus dados em um workspace do Azure Monitor que usa um ponto de extremidade público por padrão. A Microsoft protege conexões com pontos de extremidade públicos com criptografia de ponta a ponta. Se você precisar de um ponto de extremidade privado, use o link privado do Azure para permitir que seu cluster se conecte ao workspace por meio de redes privadas autorizadas. O Link Privado também pode ser usado para forçar a ingestão de dados do workspace por meio do ExpressRoute ou de uma VPN.
Instruções: Consulte Habilitar link privado para monitoramento do Kubernetes no Azure Monitor para obter detalhes sobre como configurar seu cluster para link privado. Consulte Usar pontos de extremidade privados no Prometheus Gerenciado e workspace do Azure Monitor para obter detalhes sobre como consultar seus dados usando um link privado.
Monitorar o tráfego de rede de/para clusters usando a análise de tráfego
A análise de tráfego analisa os logs de fluxo do NSG do Observador de Rede do Azure para fornecer insights sobre o fluxo de tráfego em sua nuvem do Azure. Use essa ferramenta para garantir que não haja exfiltração de dados para seu cluster e para detectar se algum IPs público desnecessário está exposto.
Habilitar a observabilidade de rede
O complemento de observabilidade de rede para AKS fornece observabilidade através das várias camadas na estrutura de rede do Kubernetes. Monitore e observe o acesso entre os serviços no cluster (tráfego leste-oeste).
Instruções: configurar a observabilidade de rede de contêiner para o AKS (Serviço de Kubernetes do Azure)
Proteger o Espaço de Trabalho do Log Analytics
Os Insights de contêiner enviam dados para um workspace do Log Analytics. Certifique-se de proteger as ingestões de log e o armazenamento no workspace do Log Analytics.
Instruções: Ingestão e armazenamento de log.
Como a Microsoft protege o Azure Monitor
As instruções neste artigo baseiam-se no modelo de responsabilidade de segurança da Microsoft. Como parte desse modelo de responsabilidade compartilhada, a Microsoft fornece estas medidas de segurança aos clientes do Azure Monitor:
- Segurança de infraestrutura do Azure
- Proteção de dados do cliente do Azure
- Criptografia de dados em trânsito durante a ingestão de dados
- Criptografia de dados em repouso com chaves gerenciadas pela Microsoft
- Autenticação do Microsoft Entra para acesso ao plano de dados
- Autenticação do Agente do Azure Monitor e do Application Insights usando identidades gerenciadas
- Acesso privilegiado a ações do plano de dados usando o RBAC do Azure (Controle de Acesso Role-Based)
- Conformidade com os padrões e regulamentos do setor
Diretrizes e práticas recomendadas de segurança do Azure
As instruções de implantação segura do Azure Monitor são baseadas e consistentes com as diretrizes abrangentes de segurança de nuvem do Azure e as práticas recomendadas, que incluem:
- O Cloud Adoption Framework, que fornece diretrizes de segurança para equipes que gerenciam a infraestrutura de tecnologia.
- O Azure Well-Architected Framework, que fornece práticas recomendadas de arquitetura para a criação de aplicativos seguros.
- O MCSB (Microsoft Cloud Security Benchmark), que descreve os recursos de segurança disponíveis e as configurações ideais recomendadas.
- Princípios de segurança de Confiança Zero, que fornecem diretrizes para as equipes de segurança implementarem recursos técnicos para dar suporte a uma iniciativa de modernização de Confiança Zero.
Próxima etapa
- Saiba mais sobre como começar a usar o Azure Monitor.