Leltározási és láthatósági szempontok

  • Cikk

Mivel a szervezet megtervezi és megvalósítja a felhőkörnyezetet, a platformfelügyelet és a platformszolgáltatások monitorozásának alapja kulcsfontosságú szempont. A felhő sikeres bevezetése érdekében ezeket a szolgáltatásokat úgy kell felépítenie, hogy megfeleljen a szervezet igényeinek a környezet méretezése során.

A felhőüzemeltetési modell korai tervezési fázisokban meghozott döntései közvetlenül befolyásolják a felügyeleti műveleteknek a kezdőzónák részeként történő kézbesítését. A platformon a felügyelet központosításának mértéke kulcsfontosságú példa.

A cikk útmutatásával áttekintheti, hogyan kell megközelíteni a leltárt és a láthatóságot a felhőkörnyezetben.

Alapszintű leltározási szempontok

  • Fontolja meg az olyan eszközök használatát, mint az Azure Monitor Log Analytics-munkaterület rendszergazdai határokként.
  • Határozza meg, hogy mely csapatok használják a platform rendszer által létrehozott naplóit, és kiknek kell hozzáférnie ezekhez a naplókhoz.

Fontolja meg a naplózási adatokhoz kapcsolódó alábbi elemeket, amelyekből megtudhatja, hogy milyen típusú adatokat érdemes összeválogatni és használni.

Scope Környezet
Alkalmazásközpontú platformfigyelés
Adja meg a metrikák és naplók gyakori és hideg telemetriai elérési útját is.
Operációsrendszer-metrikák, például teljesítményszámlálók és egyéni metrikák.
Operációsrendszer-naplók, például:
  • Internet Information Services
  • Event Tracing for Windows és syslogs
  • Resource Health-események
Biztonsági naplózás naplózása Cél egy vízszintes biztonsági lencse elérése a szervezet teljes Azure-tulajdonában.
  • Lehetséges integráció helyszíni biztonsági információkkal és eseménykezelési (SIEM) rendszerekkel, például az ArcSighttal vagy az Onapsis biztonsági platformmal
  • Lehetséges integráció a szolgáltatásként nyújtott szoftverekkel (SaaS) olyan ajánlatokkal, mint a ServiceNow
  • Azure-tevékenységnaplók
  • Microsoft Entra auditjelentések
  • Azure diagnosztikai szolgáltatások, naplók és metrikák, Azure Key Vault-naplózási események, hálózati biztonsági csoport (NSG) folyamatnaplói és eseménynaplói
  • Azure Monitor, Azure Network Watcher, Felhőhöz készült Microsoft Defender és Microsoft Sentinel
Azure-beli adatmegőrzési küszöbértékek és archiválási követelmények
  • Az Azure Monitor-naplók alapértelmezett megőrzési ideje 30 nap, a maximális adatmegőrzési idő két év, az archiválás pedig hét év.
  • A Microsoft Entra-jelentések (prémium) alapértelmezett megőrzési ideje 30 nap.
  • Az Azure-tevékenységnaplók és az alkalmazás Elemzések naplók alapértelmezett megőrzési ideje 90 nap.
Működési követelmények
  • Működési irányítópultok natív eszközökkel, például Azure Monitor-naplókkal vagy külső eszközökkel
  • Központosított szerepkörök használata a kiemelt tevékenységek szabályozásához
  • Felügyelt identitások az Azure-erőforrásokhoz](/Azure/active-directory/managed-identityes-Azure-resources/overview) az Azure-szolgáltatásokhoz való hozzáféréshez
  • Erőforrás-zárolások az erőforrások szerkesztésével és törlésével szembeni védelem érdekében

Láthatósági szempontok

  • Mely csapatoknak kell riasztási értesítéseket kapniuk?
  • Rendelkezik olyan szolgáltatáscsoportokkal, amelyekről több csapatot kell értesíteni?
  • Rendelkezik meglévő szolgáltatásfelügyeleti eszközökkel, amelyeknek riasztásokat kell küldenie?
  • Mely szolgáltatások tekinthetők üzleti szempontból kritikus fontosságúnak, és magas prioritású értesítéseket igényelnek a problémákról?

Leltár- és láthatósági javaslatok

  • Egyetlen monitornapló-munkaterület használatával központilag kezelheti a platformokat, kivéve, ha az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC), az adatelkülönítési követelmények és az adatmegőrzési szabályzatok külön munkaterületeket biztosítanak. A központosított naplózás kritikus fontosságú az üzemeltetési felügyeleti csapatok számára szükséges láthatóság szempontjából, és a változáskezelésről, a szolgáltatásállapotról, a konfigurációról és az informatikai műveletek legtöbb egyéb aspektusáról szóló jelentéseket hajt végre. A központosított munkaterületi modellre való összpontosítás csökkenti az adminisztrációs erőfeszítéseket és a megfigyelhetőség terén jelentkező hiányosságok esélyét.
  • Naplók exportálása az Azure Storage-ba, ha a naplómegőrzési követelmények hét évnél hosszabbak. Az egyszer írható, írásvédett írási szabályzattal módosítható tároló használatával az adatok nem törölhetők és nem módosíthatók a felhasználó által megadott időközökhöz.
  • Hozzáférés-vezérlési és megfelelőségi jelentéskészítéshez használja az Azure Policyt. Az Azure Policy lehetővé teszi a szervezeti szintű beállítások kikényszerítését a szabályzatok következetes betartásának és a szabálysértések gyors észlelésének biztosítása érdekében. További információ: Az Azure Policy effektusainak ismertetése.
  • A Network Watcher használatával proaktívan figyelheti a forgalomfolyamatokat a Network Watcher NSG folyamatnaplóinak 2. A Traffic Analytics elemzi az NSG-folyamatnaplókat, hogy mély elemzéseket gyűjtsön a virtuális hálózatokon belüli IP-forgalomról. Emellett a hatékony felügyelethez és monitorozáshoz szükséges alapvető információkat is biztosítja, például:
    • A legtöbb kommunikáló gazdagép és alkalmazásprotokoll
    • A legtöbb konvergens gazdagéppár
    • Engedélyezett vagy letiltott forgalom
    • Bejövő és kimenő forgalom
    • Internetes portok megnyitása
    • A legtöbb blokkolási szabály
    • Forgalomeloszlás Azure-adatközpontonként
    • Virtuális hálózat
    • Subnets
    • Gazember hálózatok
  • Erőforrás-zárolások használatával megakadályozhatja a kritikus fontosságú megosztott szolgáltatások véletlen törlését.
  • Megtagadási szabályzatok használata az Azure-szerepkör-hozzárendelések kiegészítéséhez. A megtagadási szabályzatok megakadályozzák a meghatározott szabványoknak nem megfelelő erőforrás-telepítéseket és konfigurációkat azáltal, hogy letiltják a kérések erőforrás-szolgáltatóknak való küldését. A megtagadási szabályzatok és az Azure-szerepkör-hozzárendelések kombinálásával biztosíthatja, hogy megfelelő védőkorlátokkal rendelkezzen annak szabályozásához , hogy ki helyezhet üzembe és konfigurálhat erőforrásokat, és mely erőforrásokat helyezheti üzembe és konfigurálhatja.
  • Az általános platformmonitorozási megoldás részeként szolgáltatási és erőforrás-állapot eseményeket is tartalmazhat. A szolgáltatás és az erőforrás állapotának platform szempontjából történő nyomon követése az Azure-beli erőforrás-kezelés fontos összetevője.
  • Ne küldjön nyers naplóbejegyzéseket a helyszíni figyelési rendszereknek. Ehelyett alkalmazza azt az elvet, hogy az Azure-ban született adatok az Azure-ban maradnak. Ha helyszíni SIEM-integrációt igényel, a naplók helyett küldjön kritikus riasztásokat .

Azure-beli célzónagyorsító és -kezelés

Az Azure-beli célzónagyorsító véleményezett konfigurációt tartalmaz a legfontosabb Azure felügyeleti képességek üzembe helyezéséhez, amelyek segítenek a szervezetnek a gyors skálázásban és a kifejlettségben.

Az Azure célzónagyorsító üzembe helyezése olyan kulcskezelési és monitorozási eszközöket tartalmaz, mint például:

  • Log Analytics-munkaterület és Automation-fiók
  • Felhőhöz készült Microsoft Defender monitorozás
  • A Log Analyticsnek küldött tevékenységnaplók, virtuális gépek és szolgáltatásként nyújtott platform (PaaS) erőforrásainak diagnosztikai beállításai

Központosított naplózás az Azure-beli célzónagyorsítóban

Az Azure-beli célzónagyorsító kontextusában a központosított naplózás elsősorban a platformműveletekkel foglalkozik.

Ez a hangsúly nem akadályozza meg ugyanannak a munkaterületnek a használatát a virtuálisgép-alapú alkalmazásnaplózáshoz. Az erőforrás-központú hozzáférés-vezérlési módban konfigurált munkaterületen a rendszer részletes Azure RBAC-t kényszerít, amely biztosítja, hogy az alkalmazáscsapatok csak az erőforrásaikból férhessenek hozzá a naplókhoz.

Ebben a modellben az alkalmazáscsapatok kihasználhatják a meglévő platforminfrastruktúra használatát, mivel csökkentik a felügyeleti többletterhelést.

Nem számítási erőforrások, például webalkalmazások vagy Azure Cosmos DB-adatbázisok esetén az alkalmazáscsapatok saját Log Analytics-munkaterületeket használhatnak. Ezután a diagnosztika és a metrikák átirányíthatók ezekhez a munkaterületekhez.

Következő lépések

Az Azure-platform kezdőzónájának összetevőinek monitorozása