Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Este artigo fornece instruções para implantar o Azure Monitor com segurança e explica como a Microsoft protege o Azure Monitor.
Ingestão e armazenamento de logs
Conceder acesso aos dados no espaço de trabalho com base na necessidade
- Defina o modo de controle de acesso ao espaço de trabalho como Usar permissões de recurso ou espaço de trabalho para permitir que os proprietários de recursos usem o contexto de recursos para acessar seus dados sem receber acesso explícito ao espaço de trabalho. Isso simplifica a configuração do espaço de trabalho e ajuda a garantir que os usuários tenham acesso apenas aos dados de que precisam.
Instruções: Gerenciar o acesso aos espaços de trabalho do Log Analytics - Atribua a função incorporada apropriada para conceder permissões no espaço de trabalho aos administradores ao nível de subscrição, grupo de recursos ou espaço de trabalho, dependendo do âmbito das suas responsabilidades.
Instruções: Gerenciar o acesso aos espaços de trabalho do Log Analytics - Aplique RBAC em nível de tabela para usuários que precisam de acesso a um conjunto de tabelas em vários recursos. Os usuários com permissões de tabela têm acesso a todos os dados na tabela, independentemente de suas permissões de recurso.
Instruções: Gerenciar o acesso aos espaços de trabalho do Log Analytics
Proteja os dados de Logs em trânsito
Se você usar agentes, conectores ou as APIs de Logs para consultar ou enviar dados para seu espaço de trabalho, use o Transport Layer Security (TLS) 1.2 ou superior para garantir a segurança dos dados em trânsito. As versões mais antigas do TLS e do Secure Sockets Layer (SSL) têm vulnerabilidades e, embora ainda possam funcionar para permitir a compatibilidade com versões anteriores, não são recomendadas, e a indústria rapidamente se moveu para abandonar o suporte para esses protocolos mais antigos.
O PCI Security Standards Council estabeleceu um prazo de 30 de junho de 2018 para desativar versões mais antigas do TLS/SSL e atualizar para protocolos mais seguros. Depois que o Azure descartar o suporte herdado, os clientes que não se comunicarem completamente por TLS 1.2 ou superior não poderão enviar ou consultar dados para os Logs do Azure Monitor.
Não configure explicitamente seus agentes, conectores de dados ou aplicativos de API para usar apenas o TLS 1.2, a menos que necessário. Recomenda-se que eles detetem, negociem e aproveitem automaticamente os futuros padrões de segurança. Caso contrário, você pode perder a segurança adicional dos padrões mais recentes e possivelmente enfrentar problemas se o TLS 1.2 for preterido em favor desses padrões mais recentes.
Importante
Em conformidade com a desativação geral de TLS herdado do Azure, o protocolo TLS 1.0/1.1 será completamente bloqueado para os Logs do Azure Monitor de acordo com as datas na tabela a seguir. Para fornecer a melhor criptografia disponível, o Azure Monitor Logs já usa o TLS 1.2/1.3 como os mecanismos de criptografia de escolha.
| Data de execução | Pontos de extremidade da API de consulta | Versão do protocolo TLS |
|---|---|---|
| 1 de julho de 2025 | Endpoints da API de consulta de logs | TLS 1.2 ou superior |
| 1 de março de 2026 | Pontos de extremidade da API de ingestão de logs | TLS 1.2 ou superior |
Ação recomendada
Para evitar possíveis interrupções de serviço, confirme se seus recursos que interagem com os pontos de extremidade da API de Logs não têm dependências nos protocolos TLS 1.0 ou 1.1.
Para perguntas gerais sobre o problema de TLS herdado ou como testar pacotes de codificação suportados, consulte Resolvendo problemas de TLS e Suporte a TLS do Azure Resource Manager.
Configurar a auditoria de consulta de logs
- Configure a auditoria de consultas de logs para registrar os detalhes de cada consulta executada num espaço de trabalho.
Instruções: Consultas de auditoria nos logs do Azure Monitor - Trate os dados de auditoria de consulta de log como dados de segurança e proteja o acesso à tabela LAQueryLogs adequadamente.
Instruções: Configure o acesso aos dados no espaço de trabalho com base na necessidade. - Se separar os seus dados operacionais e de segurança, envie os logs de auditoria de cada área de trabalho para a área de trabalho local ou consolide numa área de trabalho dedicada à segurança.
Instruções: Configure o acesso aos dados no espaço de trabalho com base na necessidade. - Utilize as informações do espaço de trabalho do Log Analytics para rever periodicamente os dados de auditoria de consultas de logs.
Instruções: Informações sobre o espaço de trabalho do Log Analytics. - Crie regras de alerta de pesquisa de log para notificá-lo se usuários não autorizados estiverem tentando executar consultas.
Instruções: Registre regras de alerta de pesquisa.
Garantir a imutabilidade dos dados de auditoria
O Azure Monitor é uma plataforma de dados apenas de acréscimo, mas inclui mecanismos para eliminar dados para fins de conformidade. Para proteger os dados da auditoria:
Defina um bloqueio no espaço de trabalho do Log Analytics para bloquear todas as atividades que possam excluir dados, incluindo limpeza, exclusão de tabela e alterações de retenção de dados no nível da tabela ou do espaço de trabalho. No entanto, tenha em mente que esse bloqueio pode ser removido.
Instruções: Bloqueie seus recursos para proteger sua infraestruturaSe você precisar de uma solução totalmente inviolável, recomendamos exportar seus dados para uma solução de armazenamento imutável:
- Determine os tipos de dados específicos que devem ser exportados. Nem todos os tipos de log têm a mesma relevância para conformidade, auditoria ou segurança.
- Use a exportação de dados para enviar dados para uma conta de armazenamento do Azure.
Instruções: Exportação de dados do espaço de trabalho do Log Analytics no Azure Monitor - Defina políticas de imutabilidade para proteger contra adulteração de dados.
Instruções: Criar políticas de imutabilidade para versões de blobs
Filtrar ou ofuscar dados confidenciais em seu espaço de trabalho
Se os seus dados de registo incluírem informações confidenciais:
- Filtre registros que não devem ser coletados usando a configuração para a fonte de dados específica.
- Use uma transformação se apenas colunas específicas nos dados devem ser removidas ou ofuscadas.
Instruções: Transformações no Azure Monitor - Se você tiver padrões que exijam que os dados originais não sejam modificados, use o literal 'h' nas consultas KQL para ofuscar os resultados da consulta exibidos nas pastas de trabalho.
Instruções: Literais de cadeia ofuscados
Limpar dados confidenciais que foram coletados acidentalmente
- Verifique periodicamente se há dados privados que possam ser coletados acidentalmente em seu espaço de trabalho.
- Use a limpeza de dados para remover dados indesejados. Tenha em atenção que os dados em tabelas com o plano Auxiliar não podem ser eliminados no momento.
Instruções: Gerir dados pessoais no Azure Monitor Logs e Application Insights
Vincule seu espaço de trabalho a um cluster dedicado para maior segurança
O Azure Monitor criptografa todos os dados em repouso e consultas salvas usando chaves gerenciadas pela Microsoft (MMK). Se você coletar dados suficientes para um cluster dedicado, vincule seu espaço de trabalho a um cluster dedicado para recursos de segurança aprimorados, incluindo:
- Chaves gerenciadas pelo cliente para maior flexibilidade e controle do ciclo de vida das chaves. Se você usa o Microsoft Sentinel, certifique-se de que está familiarizado com as considerações em Configurar a chave gerenciada pelo cliente do Microsoft Sentinel.
- Customer Lockbox for Microsoft Azure para rever e aprovar ou rejeitar pedidos de acesso a dados de clientes. O Customer Lockbox é usado quando um engenheiro da Microsoft precisa acessar dados do cliente, seja em resposta a um tíquete de suporte iniciado pelo cliente ou a um problema identificado pela Microsoft. Atualmente, o Lockbox não pode ser aplicado a tabelas com o plano Auxiliar.
Instruções: Criar e gerenciar um cluster dedicado nos Logs do Azure Monitor
Bloquear o acesso ao espaço de trabalho a partir de redes públicas utilizando a ligação privada do Azure
A Microsoft protege conexões com pontos de extremidade públicos com criptografia de ponta a ponta. Se você precisar de um ponto de extremidade privado, use o link privado do Azure para permitir que os recursos se conectem ao seu espaço de trabalho do Log Analytics por meio de redes privadas autorizadas. Você também pode usar o Link Privado para forçar a ingestão de dados do espaço de trabalho por meio do ExpressRoute ou de uma VPN.
Instruções: Projetar sua configuração do Link Privado do Azure
Ingestão de TLS do Application Insights
Configurações TLS suportadas
O Application Insights usa o Transport Layer Security (TLS) 1.2 e 1.3. Além disso, as seguintes suítes de codificação e curvas elípticas também são suportadas em cada versão.
| Versão | Pacotes de cifragem | Curvas elípticas |
|---|---|---|
| TLS 1,2 | • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 • TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256 • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 • TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 • TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384 • TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256 • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 • TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 |
• NistP384 • NistP256 |
| TLS 1,3 | • TLS_AES_256_GCM_SHA384 • TLS_AES_128_GCM_SHA256 |
• NistP384 • NistP256 |
Desativando configurações de TLS (Transport Layer Security)
Importante
Para melhorar a segurança, o Azure bloqueia as seguintes configurações de TLS para o Application Insights em 1º de maio de 2025. Essa alteração faz parte da desativação do TLS herdado em todo o Azure:
- Pacotes de codificação TLS 1.2 e TLS 1.3 herdados
- Curvas elípticas TLS legadas
TLS 1.2 e TLS 1.3
| Versão | Pacotes de cifragem | Curvas elípticas |
|---|---|---|
| TLS 1,2 | * TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_RSA_WITH_AES_256_GCM_SHA384 * TLS_RSA_WITH_AES_128_GCM_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA256 * TLS_RSA_WITH_AES_128_CBC_SHA256 * TLS_RSA_WITH_AES_256_CBC_SHA * TLS_RSA_WITH_AES_128_CBC_SHA |
* curva25519 |
| TLS 1,3 | * curva25519 |
Para obter mais informações, consulte Suporte a TLS em Perguntas frequentes sobre o Application Insights.
Alertas
Controlar permissões de regra de alerta de pesquisa de log usando identidades gerenciadas
Um desafio comum para os desenvolvedores é o gerenciamento de segredos, credenciais, certificados e chaves usadas para proteger a comunicação entre serviços. As identidades gerenciadas eliminam a necessidade de os desenvolvedores gerenciarem essas credenciais. Definir uma identidade gerida para as suas regras de alerta de pesquisa de log oferece-lhe controle e visibilidade sobre as permissões exatas da regra de alerta. A qualquer momento, você pode exibir as permissões de consulta da regra e adicionar ou remover permissões diretamente de sua identidade gerenciada.
O uso de uma identidade gerenciada é necessário se a consulta da regra estiver acessando o Azure Data Explorer (ADX) ou o Azure Resource Graph (ARG).
Instruções: crie ou edite uma regra de alerta de pesquisa de log.
Atribua a função Leitor de Monitoramento a todos os usuários que não precisam de privilégios de configuração
Melhore a segurança dando aos usuários o mínimo de privilégios necessários para sua função.
Instruções: Funções, permissões e segurança no Azure Monitor.
Use ações de webhook seguras sempre que possível
Se a sua regra de alerta contiver um grupo de ações que usa ações de webhook, prefira usar ações seguras de webhook para uma autenticação mais robusta.
Instruções: Configure a autenticação para o Secure webhook.
Use chaves gerenciadas pelo cliente se precisar de sua própria chave de criptografia para proteger dados e consultas salvas em seus espaços de trabalho
O Azure Monitor criptografa todos os dados e consultas salvas em repouso usando chaves gerenciadas pela Microsoft (MMK). Se você precisar de sua própria chave de criptografia e coletar dados suficientes para um cluster dedicado, use chaves gerenciadas pelo cliente para maior flexibilidade e controle do ciclo de vida da chave.
Instruções: Chaves gerenciadas pelo cliente.
Se você usa o Microsoft Sentinel, consulteConfigurar a chave gerenciada pelo cliente do Microsoft Sentinel.
Monitoramento de máquinas virtuais
Implementar o monitoramento de segurança de VMs usando os serviços de segurança do Azure
Embora o Azure Monitor possa coletar eventos de segurança de suas VMs, ele não se destina a ser usado para monitoramento de segurança. O Azure inclui vários serviços, como o Microsoft Defender for Cloud e o Microsoft Sentinel , que, em conjunto, fornecem uma solução completa de monitorização de segurança. Consulte Monitoramento de segurança para obter uma comparação desses serviços.
Conectar VMs ao Azure Monitor por meio de um endpoint privado usando private link do Azure
A Microsoft protege conexões com pontos de extremidade públicos com criptografia de ponta a ponta. Se você precisar de um ponto de extremidade privado, use o link privado do Azure para permitir que os recursos se conectem ao seu espaço de trabalho do Log Analytics por meio de redes privadas autorizadas. Você também pode usar o Link Privado para forçar a ingestão de dados do espaço de trabalho por meio do ExpressRoute ou de uma VPN.
Instruções: Projetar sua configuração do Link Privado do Azure
Monitorização de contentores
Conectar clusters aos Insights de Contentores usando autenticação de identidade gerida
A autenticação de identidade gerenciada é o método de autenticação padrão para novos clusters. Se você estiver usando a autenticação herdada, migre para a identidade gerenciada para remover a autenticação local baseada em certificado.
Instruções: Migrar para autenticação de identidade gerenciada
Enviar dados de clusters para ao Azure Monitor por meio de um ponto de extremidade privado usando a ligação privada do Azure
O serviço gerido do Azure para Prometheus armazena os seus dados num espaço de trabalho do Azure Monitor, que utiliza um ponto de extremidade público por predefinição. A Microsoft protege conexões com pontos de extremidade públicos com criptografia de ponta a ponta. Se você precisar de um ponto de extremidade privado, use o link privado do Azure para permitir que seu cluster se conecte ao espaço de trabalho por meio de redes privadas autorizadas. O link privado também pode ser usado para forçar a ingestão de dados do espaço de trabalho através do ExpressRoute ou de uma VPN.
Instruções: Consulte Habilitar link privado para monitoramento do Kubernetes no Azure Monitor para obter detalhes sobre como configurar seu cluster para link privado. Consulte Usar pontos de extremidade privados para o Prometheus gerenciado e o espaço de trabalho do Azure Monitor para obter detalhes sobre como consultar seus dados usando o link privado.
Monitore o tráfego de rede de e para clusters usando análise de tráfego
A análise de tráfego analisa os logs de fluxo NSG do Azure Network Watcher para fornecer informações sobre o fluxo de tráfego na sua nuvem do Azure. Use essa ferramenta para garantir que não haja exfiltração de dados para seu cluster e para detetar se IPs públicos desnecessários estão expostos.
Permitir a observabilidade da rede
O complemento de observabilidade de rede para AKS fornece observabilidade nas várias camadas da pilha de rede do Kubernetes. Monitorar e observar o acesso entre serviços no cluster (tráfego leste-oeste).
Instruções: Configurar a Observabilidade de Rede de Contêiner para o Serviço Kubernetes do Azure (AKS)
Proteja seu espaço de trabalho do Log Analytics
O Container insights envia dados para um espaço de trabalho do Log Analytics. Certifique-se de proteger as ingestões e o armazenamento de logs em seu espaço de trabalho do Log Analytics.
Instruções: Registar a ingestão e armazenamento.
Como a Microsoft protege o Azure Monitor
As instruções neste artigo baseiam-se no modelo de responsabilidade de segurança da Microsoft. Como parte desse modelo de responsabilidade compartilhada, a Microsoft fornece estas medidas de segurança aos clientes do Azure Monitor:
- Segurança de infraestrutura do Azure
- Proteção de dados do cliente do Azure
- Encriptação dos dados em trânsito durante o processo de ingestão de dados
- Criptografia de dados em repouso com chaves gerenciadas pela Microsoft
- Autenticação do Microsoft Entra para acesso ao plano de dados
- Autenticação do Azure Monitor Agent e do Application Insights usando identidades gerenciadas
- Acesso privilegiado a ações do plano de dados usando o Controle de Acesso Role-Based (RBAC do Azure)
- Conformidade com as normas e regulamentações do setor
Diretrizes e práticas recomendadas de segurança do Azure
As instruções de implantação segura do Azure Monitor são baseadas e consistentes com as diretrizes e práticas recomendadas abrangentes de segurança na nuvem do Azure, que incluem:
- Cloud Adoption Framework, que fornece orientação de segurança para equipes que gerenciam a infraestrutura de tecnologia.
- Azure Well-Architected Framework, que fornece práticas recomendadas de arquitetura para criar aplicativos seguros.
- Microsoft cloud security benchmark (MCSB), que descreve os recursos de segurança disponíveis e as configurações ideais recomendadas.
- Princípios de segurança Zero Trust, que fornece orientação para as equipes de segurança implementarem recursos técnicos para dar suporte a uma iniciativa de modernização Zero Trust.
Próximo passo
- Saiba mais sobre como começar a usar o Azure Monitor.