Freigeben über

Überlegungen zur Bestandsführung und Sichtbarkeit

Da Ihre Organisation Ihre Cloudumgebung entwickelt und implementiert, ist die Grundlage für ihre Plattformverwaltung und Plattformdiensteüberwachung ein wichtiger Aspekt. Um eine erfolgreiche Cloudakzeptanz sicherzustellen, müssen Sie diese Dienste so strukturieren, dass sie die Anforderungen Ihrer Organisation erfüllen, wenn Ihre Umgebung skaliert wird.

Die Entscheidungen des Cloudbetriebsmodells, die Sie in frühen Planungsphasen treffen, beeinflussen direkt, wie Managementvorgänge als Teil Ihrer Landezonen bereitgestellt werden. Der Grad, in dem das Management für Ihre Plattform zentralisiert ist, ist ein wichtiges Beispiel.

Verwenden Sie die Anleitungen in diesem Artikel, um zu überlegen, wie Sie sich in Ihrer Cloudumgebung auf Inventar und Sichtbarkeit beziehen sollten.

Grundlegende Überlegungen zum Inventar

  • Erwägen Sie die Verwendung von Tools wie einem Azure Monitor Log Analytics-Arbeitsbereich als administrative Grenzen.
  • Ermitteln Sie, welche Teams die vom System generierten Protokolle von der Plattform verwenden sollen und wer Zugriff auf diese Protokolle benötigt.

Berücksichtigen Sie die folgenden Elemente im Zusammenhang mit der Protokollierung von Daten, um zu informieren, welche Arten von Daten Sie möglicherweise zusammensortieren und verwenden möchten.

Umfang Kontext
Anwendungsorientierte Plattformüberwachung
Integrieren Sie sowohl heiße als auch kalte Telemetrie-Wege für Metriken und Protokolle, jeweils entsprechend.
Betriebssystemmetriken, z. B. Leistungsindikatoren und benutzerdefinierte Metriken.
Betriebssystemprotokolle, z. B.:
  • Internetinformationsdienste
  • Ereignisablaufverfolgung für Windows und Syslogs
  • Ereignisse zur Ressourcenintegrität
Sicherheitsauditprotokollierung Ziel ist es, eine horizontale Sicherheitslinse in der gesamten Azure-Umgebung Ihrer Organisation zu erreichen.
  • Mögliche Integration in lokale Sicherheitsinformations- und Ereignisverwaltungssysteme (SIEM) wie ArcSight oder die Onapsis-Sicherheitsplattform
  • Potenzielle Integration in Software as a Service (SaaS)-Angebote wie ServiceNow
  • Azure-Aktivitätsprotokolle
  • Microsoft Entra-Überwachungsberichte
  • Azure-Diagnosedienste, Protokolle und Metriken, Azure Key Vault-Überwachungsereignisse, NSG-Ablaufprotokolle (Network Security Group) und Ereignisprotokolle
  • Azure Monitor, Azure Network Watcher, Microsoft Defender für Cloud und Microsoft Sentinel
Azure-Datenaufbewahrungsschwellenwerte und Archivierungsanforderungen
  • Der Standardaufbewahrungszeitraum für Azure Monitor-Protokolle beträgt 30 Tage, mit einer maximalen Analyseaufbewahrung von zwei Jahren und einem Archiv von sieben Jahren.
  • Der Standardaufbewahrungszeitraum für Microsoft Entra-Berichte (Premium) beträgt 30 Tage.
  • Der Standardaufbewahrungszeitraum für die Azure-Aktivitätsprotokolle und Application Insights-Protokolle beträgt 90 Tage.
Betriebliche Anforderungen
  • Betriebsdashboards mit systemeigenen Tools wie Azure Monitor Logs oder Tools von Drittanbietern
  • Verwendung zentralisierter Rollen zum Steuern privilegierter Aktivitäten
  • Verwaltete Identitäten für Azure-Ressourcen](/entra/identity/managed-identities-azure-resources/overview) für den Zugriff auf Azure-Dienste
  • Ressourcensperren zum Schutz vor dem Bearbeiten und Löschen von Ressourcen

Überlegungen zur Sichtbarkeit

  • Welche Teams müssen Benachrichtigungen erhalten?
  • Haben Sie Gruppen von Diensten, die mehrere Teams benötigen, um benachrichtigt zu werden?
  • Verfügen Sie über vorhandene Dienstverwaltungstools, an die Sie Benachrichtigungen senden müssen?
  • Welche Dienste gelten als unternehmenskritisch und erfordern Benachrichtigungen mit hoher Priorität bei Problemen?

Empfehlungen für Bestand und Sichtbarkeit

  • Verwenden Sie einen einzigen Arbeitsbereich für Monitorprotokolle, um Plattformen zentral zu verwalten, außer wenn Azure rollebasierte Zugriffskontrolle (Azure RBAC), Datenhoheitsanforderungen und Datenaufbewahrungsrichtlinien separate Arbeitsbereiche erfordern. Die zentralisierte Protokollierung ist entscheidend für die Sichtbarkeit, die von Betriebsverwaltungsteams benötigt wird, und steuert Berichte zu Änderungsverwaltung, Dienststatus, Konfiguration und den meisten anderen Aspekten von IT-Vorgängen. Die Konzentration auf ein zentralisiertes Arbeitsbereichsmodell reduziert den Verwaltungsaufwand und die Chancen auf Lücken bei der Observierbarkeit.

    • Anwendungsteams können ihre eigenen Log Analytics-Arbeitsbereiche in ihren eigenen Abonnements bereitstellen, zusammen mit dem zentralen Plattformteamarbeitsbereich, auf den sie möglicherweise eingeschränkten Zugriff haben, um Protokolle und Metriken zu speichern, die für ihre Workloadanforderungen spezifisch sind.

  • Exportieren Sie Protokolle nach Azure Storage, wenn Ihre Protokollaufbewahrungsanforderungen sieben Jahre überschreiten. Verwenden Sie unveränderlichen Speicher mit der Richtlinie „Write-Once-Read-Many“, um Daten für ein vom Benutzer angegebenes Intervall unveränderbar und nicht löschbar zu machen.

  • Verwenden Sie Azure-Richtlinie für Zugriffssteuerungs- und Complianceberichte. Mithilfe von Azure-Richtlinien können Sie organisationsweite Einstellungen erzwingen, um eine konsistente Richtlinientreue und schnelle Erkennung von Verstößen sicherzustellen. Weitere Informationen finden Sie unter "Grundlegendes zu Azure-Richtlinieneffekten".

  • Verwenden Sie Network Watcher, um Datenverkehrsflüsse proaktiv über Netzwerküberwachungs-NSG-Ablaufprotokolle v2 zu überwachen. Traffic Analytics analysiert NSG-Flussprotokolle, um tiefe Einblicke über IP-Datenverkehr in virtuellen Netzwerken zu sammeln. Außerdem werden wichtige Informationen bereitgestellt, die Sie für ein effektives Management und eine effektive Überwachung benötigen, z. B.:

    • Die meisten kommunizierenden Hosts und Anwendungsprotokolle
    • Die meisten konversierenden Hostpaare
    • Zulässiger oder blockierter Datenverkehr
    • Eingehender und ausgehender Datenverkehr
    • Offene Internetports
    • Die meisten Blockierungsregeln
    • Datenverkehrsverteilung pro Azure-Rechenzentrum
    • Virtuelles Netzwerk
    • Subnetze
    • Nicht autorisierte Netzwerke

  • Verwenden Sie Ressourcensperren , um versehentliches Löschen kritischer gemeinsam genutzter Dienste zu verhindern.

  • Verwenden Sie Verweigerungsrichtlinien , um Azure-Rollenzuweisungen zu ergänzen. "Verweigerungsrichtlinien helfen, Ressourceneinsätze und -konfigurationen zu verhindern, die nicht den definierten Standards entsprechen, indem sie Anforderungen daran hindern, an Ressourcenanbieter gesendet zu werden." Durch die Kombination von Verweigerungsrichtlinien und Azure-Rollenzuweisungen wird sichergestellt, dass Sie über geeignete Schutzschienen verfügen, um zu steuern , wer Ressourcen bereitstellen und konfigurieren kann und welche Ressourcen sie bereitstellen und konfigurieren können.

  • Schließen Sie Dienste- und Ressourcengesundheitsereignisse als Teil Ihrer gesamten Plattformüberwachungslösung ein. Das Nachverfolgen von Dienst- und Ressourcenintegrität aus Plattformperspektive ist eine wichtige Komponente der Ressourcenverwaltung in Azure.

  • Senden Sie keine unformatierten Protokolleinträge zurück an lokale Überwachungssysteme. Übernehmen Sie stattdessen das Prinzip, dass in Azure geborene Daten in Azure verbleiben. Wenn Sie eine lokale SIEM-Integration benötigen, senden Sie kritische Warnungen anstelle von Protokollen .

Azure Landing Zone Accelerator und Management

Der Azure Landing Zone Accelerator enthält eine meinungsierte Konfiguration, um wichtige Azure-Verwaltungsfunktionen bereitzustellen, die Ihrer Organisation helfen, schnell zu skalieren und zu reifen.

Die Bereitstellung des Azure Landingzone-Beschleunigers umfasst wichtige Verwaltungs- und Überwachungstools wie:

  • Ein Log Analytics-Arbeitsbereich
  • Microsoft Defender für Cloud-Überwachung
  • Diagnoseeinstellungen für Aktivitätsprotokolle, virtuelle Computer und Plattform as a Service (PaaS)-Ressourcen, die an Log Analytics gesendet werden

Zentralisierte Protokollierung im Azure Landing-Zone-Beschleuniger

Im Kontext des Azure-Zielzonenbeschleunigers befasst sich die zentralisierte Protokollierung in erster Linie mit Plattformvorgängen.

Diese Hervorhebung verhindert nicht die Verwendung desselben Arbeitsbereichs für die VM-basierte Anwendungsprotokollierung. Innerhalb eines Arbeitsbereichs, der im ressourcenorientierten Zugriffssteuerungsmodus konfiguriert ist, wird granulares Azure RBAC erzwungen, wodurch sichergestellt wird, dass Ihre Anwendungsteams nur Zugriff auf die Protokolle von ihren Ressourcen haben.

In diesem Modell profitieren Anwendungsteams von der Nutzung der vorhandenen Plattforminfrastruktur, da sie den Verwaltungsaufwand reduziert.

Bei nicht berechneten Ressourcen wie Web-Apps oder Azure Cosmos DB-Datenbanken können Ihre Anwendungsteams ihre eigenen Log Analytics-Arbeitsbereiche verwenden. Sie können dann Diagnose und Metriken an diese Arbeitsbereiche weiterleiten.

Anwendungsteams können auch entscheiden, einige der Protokolle zu duplizieren, die im zentralen Plattformteam Log Analytics Workspace für betriebliche Effizienz innerhalb ihres Teams verfügbar sind. Dies ist auch ein unterstützter Ansatz innerhalb der Azure-Zielzone-Architektur und -Anleitung.

Nächster Schritt

Überwachen Ihrer Azure-Plattform-Landingzone-Komponenten