Consideraciones de inventario y visibilidad

  • Artículo

A medida que la organización diseña e implementa el entorno de nube, la base para la supervisión de servicios de plataforma y administración de plataformas es una consideración clave. Si desea garantizar una adopción correcta de la nube, debe estructurar estos servicios para satisfacer las necesidades de su organización a medida que se escala el entorno.

Las decisiones del modelo operativo en la nube que tomó en las primeras fases de planeamiento influyen directamente en la forma en que se entregan las operaciones de administración como parte de las zonas de aterrizaje. El grado en que la administración está centralizada para la plataforma es un ejemplo clave.

Use las instrucciones de este artículo para considerar cómo debería abordar el inventario y la visibilidad en el entorno en la nube.

Consideraciones básicas sobre el inventario

  • Considere utilizar herramientas como un área de trabajo de Log Analytics de Azure Monitor como límites administrativos.
  • Determine qué equipos deberían usar los registros generados por el sistema desde la plataforma y quién necesita acceso a los registros.

Tenga en cuenta los elementos siguientes relacionados con el registro de datos para informar sobre los tipos de datos que podría querer intercalar y usar.

Ámbito Context
Supervisión de plataformas centradas en aplicaciones
Incluya las rutas de acceso de telemetría de acceso frío y de acceso de telemetría para métricas y registros, respectivamente.
Métricas del sistema operativo, como contadores de rendimiento y métricas personalizadas.
Registros del sistema operativo, como:
  • Internet Information Services
  • Seguimiento de eventos para Windows y syslogs
  • Eventos de estado del recurso.
Registro de auditoría de seguridad Objetivo de lograr una lente de seguridad horizontal en todo el patrimonio de Azure de la organización.
  • Posible integración con sistemas locales de Administración de eventos e información de seguridad (SIEM), como ArcSight o la plataforma de seguridad Onapsis
  • Posible integración con ofertas de software como servicio (SaaS), como ServiceNow
  • Registros de actividad de Azure
  • Informes de auditoría de Microsoft Entra
  • Servicios, registros y métricas de diagnóstico de Azure; eventos de auditoría de Azure Key Vault; registros de flujo de grupos de seguridad de red (NSG) y registros de eventos
  • Azure Monitor, Azure Network Watcher, Microsoft Defender for Cloud y Microsoft Sentinel
Umbrales de retención de datos de Azure y requisitos de archivado
  • El período de retención predeterminado de los registros de Azure Monitor es de 30 días, con una retención de análisis máxima de dos años y de archivado de siete años.
  • El período de retención predeterminado para los informes de Microsoft Entra (Premium) es de 30 días.
  • El período de retención predeterminado para los registros de actividad de Azure y los registros de Application Insights es de 90 días.
Requisitos operativos
  • Paneles operativos con herramientas nativas como registros de Azure Monitor o herramientas de terceros.
  • Uso de roles centralizados para controlar las actividades con privilegios
  • Identidades administradas de los recursos de Azure](/Azure/active-directory/managed-identities-Azure-resources/overview) para el acceso a los servicios de Azure
  • Bloqueos de recursos para proteger de la edición y la eliminación de recursos

Consideraciones de visibilidad

  • ¿Qué equipos necesitan recibir notificaciones de alerta?
  • ¿Tiene grupos de servicios que necesitan que se notifique a varios equipos?
  • ¿Tiene herramientas de administración de servicios existentes en su lugar a las que necesita enviar alertas?
  • ¿Qué servicios se consideran críticos para la empresa y requieren notificaciones de problemas de alta prioridad?

Recomendaciones de inventario y visibilidad

  • Use una sola área de trabajo de registros de supervisión para administrar las plataformas de forma centralizada, excepto en los lugares donde el control de acceso basado en roles de Azure (RBAC de Azure), los requisitos para la soberanía de datos y las directivas de retención de datos exijan áreas de trabajo independientes. El registro centralizado es fundamental para la visibilidad que requieren los equipos de administración de operaciones y controla los informes sobre la administración de cambios, el estado del servicio, la configuración y la mayoría de los demás aspectos de las operaciones de TI. Enfocarse en un modelo del área de trabajo centralizada reduce el esfuerzo administrativo y las posibilidades de brechas en las operaciones de observabilidad.
  • Exporte los registros a Azure Storage si los requisitos de retención de registros superan los siete años. Use el almacenamiento inmutable con la directiva para escribir una vez y leer varias si desea que los datos no se puedan borrar ni modificar durante un intervalo de tiempo que haya especificado el usuario.
  • Use Azure Policy para el control de acceso y los informes de cumplimiento. Azure Policy le permite aplicar la configuración en toda la organización para garantizar así la aplicación coherente de la directiva y la rápida detección de infracciones. Para obtener más información, consulte Comprensión de los efectos de Azure Policy.
  • Use Network Watcher para supervisar de forma proactiva los flujos de tráfico mediante los registros de flujo de grupo de seguridad de red de Network Watcher v2. El Análisis de tráfico analiza los registros de flujo de NSG a fin de recopilar información detallada sobre el tráfico IP dentro de las redes virtuales. También proporciona información crítica necesaria para lograr una administración y supervisión eficaces, como:
    • La mayoría de los hosts y protocolos de aplicación que se comunican
    • Pares de host más conversadores
    • Tráfico permitido o bloqueado
    • Tráfico entrante y saliente
    • Apertura de puertos de Internet
    • Mayoría de las reglas de bloqueo
    • Distribución del tráfico por centro de datos de Azure
    • Virtual network
    • Subredes
    • Redes no seguras
  • Use los bloqueos de recursos para evitar eliminar de forma accidental servicios compartidos críticos.
  • Use las directivas de denegación para complementar las asignaciones de roles de Azure. Las directivas de denegación ayudan a evitar las implementaciones y configuraciones de recursos que no cumplan con los estándares definidos al impedir que se envíen solicitudes a los proveedores de recursos. La combinación de las directivas de denegación y las asignaciones de roles de Azure garantiza que las barreras de protección adecuadas estén en vigor para aplicar quién puede implementar y configurar recursos y qué recursos pueden implementar y configurar.
  • Incluya los eventos de mantenimiento del servicio y los recursos como parte de la solución general de supervisión de la plataforma. El servicio de seguimiento y el estado de los recursos desde la perspectiva de la plataforma es un componente importante de la administración de recursos en Azure.
  • No envíe de nuevo entradas de registro sin procesar a sistemas de supervisión locales. En su lugar, adopte el principio que indica que los datos creados en Azure permanecen en Azure. Si requiere la integración de SIEM local, envíe alertas críticas en lugar de registros.

Acelerador y administración de la zona de aterrizaje de Azure

El acelerador de zonas de aterrizaje de Azure incluye una configuración de opiniones para implementar funcionalidades clave de administración de Azure que ayudan a la organización a escalar y madurar rápidamente.

La implementación del acelerador de zonas de aterrizaje de Azure incluyen herramientas clave de administración y supervisión, como:

  • Un área de trabajo de Log Analytics y cuenta de Automation
  • Supervisión de Microsoft Defender for Cloud
  • Configuración de diagnóstico para registros de actividad, máquinas virtuales y recursos de plataforma como servicio (PaaS) enviados a Log Analytics

Registro centralizado en el acelerador de zona de aterrizaje de Azure

En cuanto al acelerador de la zona de aterrizaje de Azure, el registro centralizado se refiere principalmente a las operaciones de plataforma.

Este énfasis no impide el uso de la misma área de trabajo para el registro de aplicaciones basado en VM. En un área de trabajo configurada en el modo de control de acceso centrado en los recursos, se aplica un RBAC de Azure detallado que garantiza que los equipos de la aplicación solo tengan acceso a los registros de sus recursos.

En este modelo, los equipos de la aplicación se benefician del uso de la infraestructura de la plataforma existente, ya que se reduce la sobrecarga de administración.

En el caso de los recursos que no pertenezcan al proceso, como las aplicaciones web o las bases de datos de Azure Cosmos DB, los equipos de la aplicación pueden usar sus propias áreas de trabajo de Log Analytics. Pueden enrutar los diagnósticos y las métricas a esas áreas de trabajo.

Pasos siguientes

Supervisión de los componentes de la zona de aterrizaje de la plataforma Azure