Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Enclave proporciona características de observabilidad integradas para admitir la supervisión segura, escalable y centralizada de entornos críticos. Estas funcionalidades ayudan a los administradores de la comunidad y a los propietarios del enclave a aplicar el cumplimiento, investigar anomalías y garantizar el estado operativo en cargas de trabajo aisladas.
Los siguientes están habilitados de forma predeterminada para los recursos de Azure Enclave:
- El área de trabajo de Log Analytics se implementa en el Grupo de recursos administrados por la comunidad de forma predeterminada
- (Opcional) El área de trabajo de Log Analytics se implementa en el grupo de recursos administrado del enclave
- La cuenta de almacenamiento se implementa en el grupo de recursos administrado de Enclave
- Los registros de flujo de la red virtual de cada enclave están habilitados, apuntan a la cuenta de almacenamiento del enclave y se reenvían al área de trabajo de Log Analytics de Community o de Enclave
- La configuración de diagnóstico está habilitada para los recursos implementados en los grupos de recursos administrados de Community y Enclave.
Observabilidad centralizada y aislada
La observabilidad en Azure Enclave se basa en un modelo de registro de doble nivel que admite el registro de diagnóstico centralizado y aislado del enclave mediante Azure Monitor, Log Analytics y cuentas de almacenamiento.
Observabilidad de nivel de comunidad
Cada comunidad creada en Azure Enclave incluye un área de trabajo de Log Analytics centralizada. Esta área de trabajo está diseñada para:
- Agregue diagnósticos y métricas de todos los enclaves de la comunidad.
- Proporcione un único panel de cristal para supervisar y consultar los registros de diagnóstico y flujo.
- Admite análisis entre distintos enclaves, alertas y seguimiento del cumplimiento.
Cuando se crea la comunidad, el área de trabajo se crea automáticamente. El área de trabajo se puede seleccionar como destino de diagnóstico por los propietarios del enclave o de la carga de trabajo durante las operaciones de implementación o actualización. El acceso público está deshabilitado para el área de trabajo de Community Log-A, pero no está aislado de red de forma predeterminada. Para configurar el acceso público o el aislamiento de red, considere agregar seguridad de Private Link.
Note
La configuración de diagnóstico de recursos de enclave (como cargas de trabajo, direcciones IP públicas o puertas de enlace de aplicaciones) se puede configurar para enviar registros al área de trabajo centralizada para admitir la supervisión unificada.
Observabilidad de nivel de enclave
Además del área de trabajo de la comunidad, cada Enclave dispone de un área de trabajo de Log Analytics aislada asignada específicamente a ese enclave. Este espacio de trabajo está optimizado para casos de uso del registro en el nivel de enclave e incluye las siguientes características:
- Almacenamiento predeterminado de los registros de flujo de la red virtual, que se habilitan automáticamente para cada enclave.
- Configuración de diagnóstico opcional para recursos con ámbito de enclave, como cargas de trabajo internas y componentes de red.
- Diseñado para cumplir los requisitos normativos o de aislamiento que impiden la agregación de registros entre enclaves.
Los administradores pueden optar por mantener los diagnósticos de enclave privados mediante el envío de registros solo a esta área de trabajo aislada.
Destinos de registro configurables
Azure Enclave admite configuraciones de registro flexibles que permiten a los propietarios de recursos elegir entre:
| Destino de registro | propósito | Uso predeterminado |
|---|---|---|
| Área de trabajo de Log Analytics de la comunidad | Habilita la supervisión centralizada y el análisis entre enclaves | Optional |
| Área de trabajo de Log Analytics del enclave | Mantiene el aislamiento de nivel de enclave y la soberanía de datos | Valor predeterminado para los registros de flujo de red virtual |
Puede configurar las opciones de diagnóstico a través del portal de Azure, la CLI o las plantillas de Bicep/ARM durante o después de la implementación.
Importante
Los registros de flujo de la red virtual siempre se envían de forma predeterminada al área de trabajo específica del enclave para garantizar que se conserve la visibilidad a nivel de red, incluso en entornos aislados.
Escenarios comunes de observabilidad
| Escenario | Estrategia de registro |
|---|---|
| Panel de estado entre enclaves | Envíe diagnósticos desde todos los enclaves al área de trabajo centralizada de Log Analytics de la comunidad |
| Enclave regulado con controles de datos estrictos | Mantener los datos de diagnóstico dentro del espacio de trabajo de Log Analytics específico del enclave |
| Retención a largo plazo con fines de auditoría | Envío de registros a una cuenta de almacenamiento con la configuración de retención controlada por directivas |
| Investigación de red o búsqueda de amenazas | Uso del área de trabajo del enclave para analizar los registros de flujo de red virtual predeterminados |
Configuración de grupos de recursos de Network Watcher
Para evitar posibles problemas con la creación del registro de flujo de red virtual , configure el NetworkWatcherRG grupo de recursos manualmente de antemano y asigne a la Mission Enclave aplicación el Owner rol en ese grupo de recursos, o compruebe que la configuración y la asignación de roles se produjeron automáticamente antes de crear el primer enclave en la suscripción.
Para mitigar este posible problema, para cada suscripción, cree manualmente el grupo de recursos NetworkWatcher llamado NetworkWatcherRG en nuevas suscripciones y, a continuación, conceda la Mission Enclave aplicación Owner de enclave de Azure en NetworkWatcherRG:
Seleccione el
NetworkWatcherRGgrupo de recursos, seleccioneAccess control (IAM)yAdd, yAdd role assignment.
Seleccione
Privileged administrator roles, seleccioneownery, a continuación, seleccioneNext.
Seleccione
Select members, escribaMission Enclaveen la búsqueda y seleccione la aplicaciónMission Enclave, seleccioneSelecty, a continuación,Next.
Si la suscripción requiere una condición, seleccione
Allow user to assign all roles except privileged administrator roles Owner, UAA, RBAC (Recommended)y, a continuación, seleccioneReview + assign.
Una vez completada la actualización, puede empezar a implementar recursos de Azure Enclave.
Cuando se crea una comunidad o enclave, Azure Enclave intenta los pasos siguientes:
- Compruebe si
NetworkWatcherRGexiste. Si no es así, intente crear ese grupo de recursos. - Compruebe si la
Mission Enclaveaplicación tiene una asignaciónOwnerpermanente enNetworkWatcherRG. Si no es así, intente asignar laMission Enclaveaplicación como una asignación permanenteOwnerenNetworkWatcherRG. Incluso si existe un permiso heredadoOwner, se intenta crear una asignación permanenteOwner. - Si se produce un error en cualquier paso, es posible que se produzca un error en las implementaciones de enclave al intentar crear registros de flujo de red virtual.