Freigeben über

Hinweise zu Bestand und Sichtbarkeit

  • Artikel

Bei der Entwicklung und Implementierung der Cloudumgebung durch Ihre Organisation gehört die Auswahl der Basis für die Plattformverwaltung und die Überwachung von Plattformdiensten zu den wichtigsten Entscheidungen. Für eine erfolgreiche Cloudeinführung müssen Sie diese Dienste strukturieren, um die Anforderungen Ihrer Organisation zu erfüllen, während Ihre Umgebung wächst.

Das in den frühen Planungsphasen ausgewählte Cloudbetriebsmodell beeinflusst direkt, wie Verwaltungsprozesse im Rahmen einer Zielzone bereitgestellt werden. Ein sehr gutes Beispiel dafür ist der Grad der Zentralisierung der Plattformverwaltung.

Verwenden Sie die Hinweise in diesem Artikel, um zu ermitteln, wie Sie in Ihrer Cloudumgebung das Thema „Bestand und Sichtbarkeit“ angehen.

Grundlegende Hinweise zum Bestand

  • Sie sollten ggf. Tools wie einen Azure Monitor Log Analytics-Arbeitsbereich als administrative Grenze in Betracht ziehen.
  • Legen Sie fest, welche Teams die vom System für die Plattform generierten Protokolle verwenden werden und wer Zugriff darauf benötigt.

Berücksichtigen Sie die folgenden Elemente im Zusammenhang mit der Protokollierung von Daten, um zu erfahren, welche Datentypen Sie möglicherweise sammeln und verwenden möchten.

`Scope` Kontext
Anwendungszentrierte Plattformüberwachung
Schließen Sie jeweils den langsamsten und den schnellsten Telemetriepfad für Metriken und Protokolle ein.
Betriebssystemmetriken, z. B. Leistungsindikatoren und benutzerdefinierte Metriken
Protokolle des Betriebssystems, z. B.:
  • Internetinformationsdienste
  • Ereignisablaufverfolgung für Windows und Syslogs
  • Ereignisse zur Ressourcenintegrität
Sicherheitsüberwachungsprotokollierung Arbeiten Sie darauf hin, horizontale Sicherheitseinblicke in die gesamten Azure-Ressourcen Ihrer Organisation zu erhalten.
  • Potenzielle Integration mit lokalen SIEM-Systemen (Security Information & Event Management) wie ArcSight oder der Onapsis-Sicherheitsplattform
  • Potenzielle Integration mit SaaS-Angeboten (Software-as-a-Service) wie ServiceNow
  • Azure-Aktivitätsprotokolle
  • Microsoft Entra-Überwachungsberichte
  • Azure-Diagnosedienste, -protokolle und -metriken; Azure Key Vault-Überwachungsereignisse; NSG-Datenflussprotokolle (Netzwerksicherheitsgruppen) und Ereignisprotokolle
  • Azure Monitor, Azure Network Watcher, Microsoft Defender für Cloud und Microsoft Sentinel
Schwellenwerte für die Datenaufbewahrung in Azure und Archivierungsanforderungen
  • Der Standardaufbewahrungszeitraum für Azure Monitor Logs beträgt 30 Tage. Die maximale Aufbewahrungsdauer beträgt für Analysedaten zwei Jahre und für Archivdaten sieben Jahre.
  • Der Standardaufbewahrungszeitraum für Microsoft Entra-Berichte (Premium) beträgt 30 Tage.
  • Der Standardaufbewahrungszeitraum für die Azure-Aktivitätsprotokolle und Application Insights-Protokolle beträgt 90 Tage.
Betriebsanforderungen
  • Operative Dashboards mit nativen Tools wie Azure Monitor Logs oder Drittanbietertools
  • Verwendung zentralisierter Rollen zum Steuern privilegierter Aktivitäten
  • Verwaltete Identitäten für Azure-Ressourcen](/Azure/active-directory/managed-identities-Azure-resources/overview) für den Zugriff auf Azure-Dienste
  • Ressourcensperren zum Verhindern des Bearbeitens und Löschens von Ressourcen

Hinweise zur Sichtbarkeit

  • Welche Teams müssen Warnungen erhalten?
  • Haben Sie Gruppen von Diensten, die mehrere Teams benachrichtigen müssen?
  • Verfügen Sie über vorhandene Dienstverwaltungstools, an die Sie Warnungen senden müssen?
  • Welche Dienste gelten als unternehmenskritisch und erfordern bei Problemen Warnungen mit hoher Priorität?

Empfehlungen zu Bestand und Sichtbarkeit

  • Verwenden Sie einen einzigen Arbeitsbereich für Überwachungsprotokolle, um Plattformen zentral zu verwalten, solange die rollenbasierte Zugriffssteuerung in Azure (Azure Role-Based Access Control, Azure RBAC), Anforderungen zur Datenhoheit und Datenaufbewahrungsrichtlinien keine separaten Arbeitsbereiche vorschreiben. Die zentralisierte Protokollierung ist wichtig für die Sichtbarkeit, die von Betriebsverwaltungsteams benötigt wird, und für Berichte über Änderungsverwaltung, Dienstintegrität, Konfiguration und die meisten anderen Aspekte von IT-Vorgängen. Der Fokus auf ein zentralisiertes Arbeitsbereichsmodell senkt den Verwaltungsaufwand und die Wahrscheinlichkeit von Beobachtungslücken.

  • Exportieren Sie Protokolle in Azure Storage, wenn Protokolle länger als sieben Jahre aufbewahrt werden müssen. Verwenden Sie unveränderlichen Speicher mit WORM-Richtlinie (Write Once, Read Many), um Daten für einen vom Benutzer angegebenen Zeitraum festzulegen, dass sie weder gelöscht noch geändert werden können.

  • Verwenden Sie Azure Policy für Zugriffssteuerung und Erstellung von Compliance-Berichten. Mit Azure Policy können Sie organisationsweite Einstellungen erzwingen, um eine konsistente Einhaltung von Richtlinien und eine schnelle Erkennung von Verstößen sicherzustellen. Weitere Informationen finden Sie unter Grundlegendes zu Azure Policy-Auswirkungen.

  • Verwenden Sie Network Watcher, um den Datenverkehrsfluss über Version 2 der NSG-Datenflussprotokolle von Network Watcher proaktiv zu überwachen. Traffic Analytics analysiert NSG-Datenflussprotokolle, um umfassende Erkenntnisse zum IP-Datenverkehr in virtuellen Netzwerken zu erhalten. Außerdem bietet es wichtige Informationen für eine effektive Verwaltung und Überwachung, z. B.:

    • Die meisten kommunizierenden Hosts und Anwendungsprotokolle
    • Die meisten kommunizierenden Hostpaare
    • Zulässiger oder blockierter Datenverkehr
    • Eingehender und ausgehender Datenverkehr
    • Offene Internetports
    • Die meisten blockierenden Regeln
    • Verteilung des Datenverkehrs pro Azure-Rechenzentrum
    • Virtuelles Netzwerk
    • Subnetze
    • Rogue-Netzwerke

  • Verhindern Sie mit Ressourcensperren eine versehentliche Löschung von kritischen freigegebenen Diensten.

  • Verwenden Sie Verweigerungsrichtlinien, um Azure-Rollenzuweisungen zu ergänzen. Verweigerungsrichtlinien helfen, Ressourcenbereitstellungen und Konfigurationen zu verhindern, die definierte Standards nicht erfüllen, indem Anforderungen an Ressourcenanbieter blockiert werden. Durch die Kombination von Verweigerungsrichtlinien und Azure-Rollenzuweisungen wird sichergestellt, dass die geeigneten Überwachungsmechanismen implementiert werden, um zu erzwingen, wer Ressourcen bereitstellen und konfigurieren kann und welche Ressourcen bereitgestellt und konfiguriert werden können.

  • Schließen Sie Ereignisse zur Integrität von Diensten und Ressourcen in die Überwachungslösung für die gesamte Plattform ein. Die Verfolgung der Dienst- und Ressourcenintegrität aus der Plattformperspektive ist ein wichtiger Bestandteil der Ressourcenverwaltung in Azure.

  • Senden Sie keine unformatierten Protokolleinträge zurück an lokale Überwachungssysteme. Befolgen Sie stattdessen das Prinzip, dass aus Azure stammende Daten in Azure verbleiben. Wenn die Integration mit einem lokalen SIEM-System erforderlich ist, senden Sie kritische Warnungen anstelle von Protokollen.

Beschleuniger für und Verwaltung von Azure-Zielzonen

Der Beschleuniger für Azure-Zielzonen enthält eine dogmatische Konfiguration, mit der wichtige Azure-Verwaltungsfunktionen bereitgestellt werden, damit Ihre Organisation schnell skalieren und einen bestimmten Reifegrad erreichen kann.

Die Bereitstellung des Azure-Zielzonenbeschleunigers umfasst wichtige Verwaltungs- und Überwachungstools, z. B.:

  • Ein Log Analytics-Arbeitsbereich und ein Automation-Konto
  • Microsoft Defender für Cloud-Überwachung
  • Diagnoseeinstellungen für Aktivitätsprotokolle, VMs und Platform as a Service-Ressourcen (PaaS), die an Log Analytics gesendet werden

Zentralisierte Protokollierung im Azure-Zielzonenbeschleuniger

Bei der zentralisierten Protokollierung im Azure-Zielzonenbeschleuniger werden hauptsächlich Plattformvorgänge erfasst.

Diese Betonung schließt nicht die Verwendung desselben Arbeitsbereichs für die VM-basierte Anwendungsprotokollierung aus. Ist ein Arbeitsbereich im ressourcenbezogenen Zugriffssteuerungsmodus konfiguriert, wird präzises Azure RBAC erzwungen, um sicherzustellen, dass Ihre Anwendungsteams nur Zugriff auf die Protokolle von ihren Ressourcen haben.

In diesem Modell profitieren Anwendungsteams von der Verwendung einer vorhandenen Plattforminfrastruktur, indem der Verwaltungsaufwand reduziert wird.

Für alle Nichtcomputeressourcen, wie Web-Apps oder Azure Cosmos DB-Datenbanken, können Anwendungsteams ihre eigenen Log Analytics-Arbeitsbereiche verwenden. Diagnosen und Metriken können dann an diese Arbeitsbereiche weitergeleitet werden.

Nächster Schritt

Überwachen Ihrer Azure-Plattform-Zielzonenkomponenten