Observability in Azure Enclave

Azure Enklave bietet integrierte Observability-Funktionen zur Unterstützung sicherer, skalierbarer und zentralisierter Überwachung von unternehmenskritischen Umgebungen. Diese Funktionen helfen Community-Managern und Enklavenbesitzern, Compliance zu erzwingen, Anomalien zu untersuchen und die Betriebsintegrität über isolierte Workloads hinweg sicherzustellen.

Für Azure Enclave-Ressourcen sind standardmäßig Folgendes aktiviert:

  • Der Log Analytics-Arbeitsbereich wird standardmäßig in der von der Community verwalteten Ressourcengruppe bereitgestellt.
  • (Optional) Der Protokollanalyse-Arbeitsbereich wird in der verwalteten Ressourcengruppe der Enklave bereitgestellt.
  • Das Speicherkonto wird in der Enclave Managed Resource Group bereitgestellt.
  • Flowprotokolle virtueller Netzwerke für jede Enklave sind aktiviert, verweisen auf das Storage-Konto der Enklave und werden an den Community- und/oder Enklave-Protokollanalyse-Arbeitsbereich weitergeleitet.
  • Diagnoseeinstellungen sind für Ressourcen aktiviert, die in sowohl von Community als auch von Enclave verwalteten Ressourcengruppen bereitgestellt werden.

Zentrale und isolierte Observability

Die Observability in Azure Enclave basiert auf einem Dual-Tier-Protokollierungsmodell, das sowohl die zentralisierte als auch die isolierte Diagnoseprotokollierung mithilfe von Azure Monitor, Log Analytics und Speicherkonten unterstützt.

Beobachtbarkeit auf Gemeinschaftsebene

Jede in Azure Enklave erstellte Community umfasst einen zentralen Log Analytics Arbeitsbereich. Dieser Arbeitsbereich wurde für Folgendes entwickelt:

  • Aggregieren Sie Diagnosedaten und Metriken aus allen Enklaven in der Community.
  • Stellen Sie einen einzigen Glasbereich zur Überwachung und Abfrage von Diagnose- und Ablaufprotokollen bereit.
  • Unterstützen Sie Enklavenübergreifende Analysen, Warnungen und Compliance-Tracking.

Wenn die Community erstellt wird, wird der Arbeitsbereich automatisch erstellt. Der Arbeitsbereich kann als Diagnoseziel durch Enklaven- oder Workloadbesitzer während des Bereitstellungs- oder Aktualisierungsvorgangs ausgewählt werden. Der öffentliche Zugriff ist für den Community-Log-A-Arbeitsbereich deaktiviert, ist jedoch standardmäßig nicht netzwerkisoliert. Um den öffentlichen Zugriff oder die Netzwerkisolation zu konfigurieren, sollten Sie die Sicherheit privater Links hinzufügen.

Note

Diagnoseeinstellungen aus Enklavenressourcen (z. B. Workloads, öffentliche IPs oder Anwendungsgateways) können so konfiguriert werden, dass Protokolle an den zentralen Arbeitsbereich gesendet werden, um die einheitliche Überwachung zu unterstützen.

Beobachtbarkeit auf Enclave-Ebene

Zusätzlich zum Gemeinschaftsarbeitsbereich wird jede Enklave mit einem isolierten Log Analytics Arbeitsbereich bereitgestellt, der speziell für diese Enklave vorgesehen ist. Dieser Arbeitsbereich ist für Protokollierungsszenarien auf Enklavenebene optimiert und weist die folgenden Merkmale auf:

  • Standardspeicherung von Flussprotokollen virtueller Netzwerke, die für jede Enklave automatisch aktiviert werden.
  • Optionale Diagnoseeinstellungen für enklave-bezogene Ressourcen, z. B. interne Workloads und Netzwerkkomponenten.
  • Entwickelt, um Isolations- oder regulatorische Anforderungen zu erfüllen, die eine enklavenübergreifende Protokollaggregation verhindern.

Administratoren können entscheiden, die Enklavendiagnose privat zu halten, indem Protokolle nur an diesen isolierten Arbeitsbereich gesendet werden.

Konfigurierbare Protokollierungsziele

Azure Enklave unterstützt flexible Protokollierungskonfigurationen, mit denen Ressourcenbesitzer wählen können:

Protokollierungsziel Purpose Standardverwendung
Community-Log Analytics-Arbeitsbereich Ermöglicht zentrale Überwachung und enklavenübergreifende Analysen Fakultativ
Enklave Log Analytics Arbeitsbereich Verwaltet Isolation auf Enklaveebene und Datenhoheit Standard für Flowprotokolle virtueller Netzwerke

Sie können Diagnoseeinstellungen über das Azure Portal, die CLI oder Bicep/ARM-Vorlagen während oder nach der Bereitstellung konfigurieren.

Important

Flowprotokolle virtueller Netzwerke werden standardmäßig an den enklavenspezifischen Arbeitsbereich gesendet, um sicherzustellen, dass die Sichtbarkeit auf Netzwerkebene auch in isolierten Umgebungen erhalten bleibt.

Häufige Szenarien zur Beobachtbarkeit

Scenario Protokollierungsstrategie
Enklavenübergreifendes Zustandsdashboard Diagnosedaten aus allen Enklaven an den zentralisierten Community-Log Analytics-Arbeitsbereich senden
Regulierte Enklave mit strengen Datenkontrollen Diagnosedaten im enklavenspezifischen Log Analytics-Arbeitsbereich behalten
Langfristige Aufbewahrung für Überwachungszwecke Senden von Protokollen an ein Speicherkonto mit richtliniengesteuerten Aufbewahrungseinstellungen
Netzwerkuntersuchung oder Bedrohungssuche Verwenden Sie den Enklaven-Arbeitsbereich zur Analyse von Standard-Flowprotokollen für virtuelle Netzwerke

Konfigurieren von Network Watcher Ressourcengruppen

Um potenzielle Probleme mit der Erstellung des virtuellen Netzwerkflussprotokolls zu vermeiden, richten Sie die NetworkWatcherRG Ressourcengruppe manuell ein, und weisen Sie der Mission Enclave App die Owner Rolle für diese Ressourcengruppe zu, oder überprüfen Sie, ob die Einrichtung und Rollenzuweisung automatisch erfolgt ist, bevor Sie Ihre erste Enklave im Abonnement erstellen.

Um dieses potenzielle Problem abzumildern, erstellen Sie für jedes Abonnement manuell die NetworkWatcher-Ressourcengruppe mit dem Namen NetworkWatcherRG in neuen Abonnements und gewähren Sie dann der Mission Enclave Azure Enclave-App Owner für die NetworkWatcherRG:

  1. Wählen Sie die NetworkWatcherRG Ressourcengruppe aus, wählen Sie Access control (IAM) und dann Add und Add role assignment aus.

    Screenshot, der die Rollenauswahl der Ressourcengruppe im Portal anzeigt.

  2. Wählen Sie Privileged administrator roles aus, wählen Sie owner aus, und wählen Sie dann Next aus.

    Screenshot mit der Auswahlansicht für die Rolle „Besitzer hinzufügen“ im Portal.

  3. Wählen Sie Select members aus, geben Sie Mission Enclave in die Suche ein, und wählen Sie die App Mission Enclave aus, wählen Sie Select und dann Next.

    Screenshot, der zeigt, wie die Mission Enklave-App im Portal ausgewählt wird.

  4. Falls für Ihr Abonnement eine Bedingung erforderlich ist, wählen Sie Allow user to assign all roles except privileged administrator roles Owner, UAA, RBAC (Recommended), und dann Review + assign.

    Screenshot der Ansicht

  5. Sobald das Update abgeschlossen ist, können Sie mit der Bereitstellung Azure Enklave-Ressourcen beginnen.

Wenn eine Community oder Enklave erstellt wird, versucht Azure Enklave die folgenden Schritte:

  1. Überprüfen Sie, ob NetworkWatcherRG vorhanden ist. Wenn nicht, versuchen Sie, diese Ressourcengruppe zu erstellen.
  2. Überprüfen Sie, ob die Mission Enclave App eine dauerhafte Owner Zuweisung auf NetworkWatcherRG hat. Wenn nicht, versuchen Sie, die Mission Enclave App als dauerhafte Owner Zuweisung auf NetworkWatcherRG zuzuweisen. Auch wenn eine geerbte Owner Berechtigung vorhanden ist, wird versucht, eine dauerhafte Owner Zuweisung zu erstellen.
  3. Wenn ein Schritt fehlschlägt, können Enklavenbereitstellungen fehlschlagen, wenn Sie versuchen, virtuelle Netzwerkflussprotokolle zu erstellen.