Monitorování v Azure Enclave

Azure Enkláva poskytuje integrované funkce pozorovatelnosti, které podporují zabezpečené, škálovatelné a centralizované monitorování důležitých prostředí. Tyto funkce pomáhají správcům komunit a vlastníkům enklávy vynucovat dodržování předpisů, zkoumat anomálie a zajistit provozní stav v izolovaných úlohách.

Pro prostředky enklávy Azure jsou ve výchozím nastavení povoleny následující možnosti:

  • Pracovní prostor služby Log Analytics se ve výchozím nastavení nasazuje do skupiny prostředků spravované komunitou.
  • (Volitelné) Pracovní prostor služby Log Analytics se nasazuje do spravované skupiny prostředků enklávy.
  • Účet úložiště je nasazen do spravované skupiny prostředků Enclave.
  • Protokoly toku služby Virtual Network pro každou enklávu jsou povoleny, směrovány do účtu úložiště enklávy a přeposílány do pracovního prostoru Log Analytics komunity a/nebo enklávy.
  • Nastavení diagnostiky je povoleno pro prostředky nasazené do spravovaných skupin prostředků Community i Enclave.

Centralizovaná a izolovaná pozorovatelnost

Pozorovatelnost ve službě Azure Enclave je založena na dvouvrstvém modelu protokolování, který podporuje centralizované diagnostické protokolování i diagnostické protokolování izolované v enklávě s využitím služeb Azure Monitor, Log Analytics a účtů služby Storage.

Pozorovatelnost na úrovni komunity

Každá komunita vytvořená v Azure Enklávě zahrnuje centralizovaný pracovní prostor Log Analytics. Tento pracovní prostor je navržený tak, aby:

  • Agregujte diagnostiku a metriky ze všech enkláv v rámci komunity.
  • Poskytnout jednotné rozhraní pro monitorování a prohledávání diagnostických protokolů a protokolů toků.
  • Podporuje analýzy napříč enklávami, výstrahy a sledování souladu s předpisy.

Po vytvoření komunity se pracovní prostor vytvoří automaticky. Pracovní prostor lze vybrat jako cíl diagnostiky prostřednictvím enklávy nebo vlastníků úloh během operací nasazení nebo aktualizace. Veřejný přístup je pro pracovní prostor Komunity Log-A zakázaný, ale ve výchozím nastavení není izolovaný v síti. Pokud chcete nakonfigurovat veřejný přístup nebo izolaci sítě, zvažte přidání zabezpečení privátního propojení.

Note

Nastavení diagnostiky z enklávových prostředků (například úloh, veřejných IP adres nebo application Gateway) je možné nakonfigurovat tak, aby odesílala protokoly do centralizovaného pracovního prostoru, aby podporovala jednotné monitorování.

Pozorovatelnost na úrovni enklávy

Kromě pracovního prostoru Community je pro každou Enclave zřízen izolovaný pracovní prostor Log Analytics určený konkrétně pro danou enklávu. Tento pracovní prostor je optimalizovaný pro případy použití protokolování na úrovni enklávy a zahrnuje následující charakteristiky:

  • Výchozí úložiště protokolů toků virtuální sítě, které se automaticky povolují pro každou enklávu.
  • Volitelná nastavení diagnostiky pro prostředky v rozsahu enklávy, jako jsou interní úlohy a síťové komponenty.
  • Navrženo tak, aby splňovalo požadavky na izolaci nebo regulační požadavky, které brání agregaci protokolů událostí napříč enklávami.

Správci se můžou rozhodnout ponechat diagnostiku enklávy privátní odesláním protokolů pouze do tohoto izolovaného pracovního prostoru.

Konfigurovatelné cíle protokolování

Azure Enkláva podporuje flexibilní konfigurace protokolování, které vlastníkům prostředků umožňují vybrat si mezi těmito možnostmi:

Cíl protokolování Purpose Výchozí použití
Pracovní prostor komunity Log Analytics Umožňuje centralizované monitorování a analytiku napříč enklávami. Optional
Pracovní prostor služby Log Analytics pro enklávu Udržuje izolaci na úrovni enklávy a suverenitu dat. Výchozí nastavení pro protokoly toku virtuální sítě

Nastavení diagnostiky můžete nakonfigurovat prostřednictvím portálu Azure, rozhraní příkazového řádku nebo Bicep nebo šablon ARM během nebo po nasazení.

Important

Protokoly toků služby Virtual Network se ve výchozím nastavení vždy odesílají do pracovního prostoru specifického pro danou enklávu, aby bylo zajištěno zachování viditelnosti na úrovni sítě i v izolovaných prostředích.

Běžné scénáře pozorovatelnosti

Scenario Strategie protokolování
Řídicí panel stavu napříč enklávami Odeslání diagnostiky ze všech enkláv do centralizovaného pracovního prostoru komunity Log Analytics
Regulovaná enkláva s přísnými kontrolami dat Uchovávejte diagnostiku v pracovním prostoru Log Analytics specifickém pro enklávu
Dlouhodobé uchovávání pro účely auditu Odeslání protokolů do účtu úložiště s nastavením uchovávání informací řízeným zásadami
Prošetření sítě nebo proaktivní vyhledávání hrozeb Pomocí pracovního prostoru Enclave analyzujte výchozí protokoly toků ve virtuální síti

Konfigurace skupin prostředků služby Network Watcher

Abyste se vyhnuli potenciálním problémům s vytvořením protokolu toku virtuální sítě , nastavte NetworkWatcherRG skupinu prostředků předem a přiřaďte Mission Enclave aplikaci Owner roli pro danou skupinu prostředků nebo před vytvořením prvního enkláva v předplatném ověřte, že k nastavení a přiřazení role došlo automaticky.

Aby se tento potenciální problém zmírnil, ručně vytvořte pro každé předplatné v nových předplatných skupinu prostředků NetworkWatcher s názvem NetworkWatcherRG a potom udělte aplikaci Azure Enclave Mission EnclaveOwner pro NetworkWatcherRG:

  1. NetworkWatcherRG Vyberte skupinu prostředků, vyberte Access control (IAM), pak vyberte Add a Add role assignment.

    Snímek obrazovky znázorňující přidání výběru role ve skupině prostředků na portálu

  2. Vyberte Privileged administrator roles, vyberte ownera pak vyberte Next.

    Snímek obrazovky zobrazující zobrazení pro výběr role Vlastník na portálu.

  3. Vyberte Select members, zadejte Mission Enclave hledaný text a vyberte Mission Enclave aplikaci, vyberte Selecta pak Next.

    Snímek obrazovky znázorňující, jak vybrat aplikaci Mission Enclave na portálu

  4. Pokud vaše předplatné vyžaduje podmínku, vyberte Allow user to assign all roles except privileged administrator roles Owner, UAA, RBAC (Recommended)a pak vyberte Review + assign.

    Snímek obrazovky zobrazující zobrazení podmínky pro přidání, pokud to vaše předplatné vyžaduje

  5. Po dokončení aktualizace můžete začít nasazovat prostředky Azure Enclave.

Když se vytvoří komunita nebo enkláva, Azure Enkláva se pokusí provést následující kroky:

  1. Zkontrolujte, jestli existuje NetworkWatcherRG . Pokud ne, pokuste se vytvořit tuto skupinu prostředků.
  2. Zkontrolujte, jestli aplikace Mission Enclave má trvalé Owner přiřazení na NetworkWatcherRG. Pokud ne, pokuste se aplikaci Mission Enclave přiřadit jako trvalé přiřazení Owner na NetworkWatcherRG. I když existuje zděděné oprávnění Owner, je proveden pokus o vytvoření trvalého přiřazení Owner.
  3. Pokud některý krok selže, nasazení enklávy může při pokusu o vytvoření protokolů toku virtuální sítě selhat.