Leltározási és láthatósági szempontok
Mivel a szervezet megtervezi és megvalósítja a felhőkörnyezetet, a platformfelügyelet és a platformszolgáltatások monitorozásának alapja kulcsfontosságú szempont. A felhő sikeres bevezetése érdekében ezeket a szolgáltatásokat úgy kell felépítenie, hogy megfeleljen a szervezet igényeinek a környezet méretezése során.
A felhőüzemeltetési modell korai tervezési fázisokban meghozott döntései közvetlenül befolyásolják a felügyeleti műveleteknek a kezdőzónák részeként történő kézbesítését. A platformon a felügyelet központosításának mértéke kulcsfontosságú példa.
A cikk útmutatásával áttekintheti, hogyan kell megközelíteni a leltárt és a láthatóságot a felhőkörnyezetben.
Alapszintű leltározási szempontok
- Fontolja meg az olyan eszközök használatát, mint az Azure Monitor Log Analytics-munkaterület rendszergazdai határokként.
- Határozza meg, hogy mely csapatok használják a platform rendszer által létrehozott naplóit, és kiknek kell hozzáférnie ezekhez a naplókhoz.
Fontolja meg a naplózási adatokhoz kapcsolódó alábbi elemeket, amelyekből megtudhatja, hogy milyen típusú adatokat érdemes összeválogatni és használni.
Scope | Környezet |
---|---|
Alkalmazásközpontú platformfigyelés |
Adja meg a metrikák és naplók gyakori és hideg telemetriai elérési útját is. Operációsrendszer-metrikák, például teljesítményszámlálók és egyéni metrikák. Operációsrendszer-naplók, például:
|
Biztonsági naplózás naplózása | Cél egy vízszintes biztonsági lencse elérése a szervezet teljes Azure-tulajdonában.
|
Azure-beli adatmegőrzési küszöbértékek és archiválási követelmények |
|
Működési követelmények |
|
Láthatósági szempontok
- Mely csapatoknak kell riasztási értesítéseket kapniuk?
- Rendelkezik olyan szolgáltatáscsoportokkal, amelyekről több csapatot kell értesíteni?
- Rendelkezik meglévő szolgáltatásfelügyeleti eszközökkel, amelyeknek riasztásokat kell küldenie?
- Mely szolgáltatások tekinthetők üzleti szempontból kritikus fontosságúnak, és magas prioritású értesítéseket igényelnek a problémákról?
Leltár- és láthatósági javaslatok
- Egyetlen monitornapló-munkaterület használatával központilag kezelheti a platformokat, kivéve, ha az Azure szerepköralapú hozzáférés-vezérlése (Azure RBAC), az adatelkülönítési követelmények és az adatmegőrzési szabályzatok külön munkaterületeket biztosítanak. A központosított naplózás kritikus fontosságú az üzemeltetési felügyeleti csapatok számára szükséges láthatóság szempontjából, és a változáskezelésről, a szolgáltatásállapotról, a konfigurációról és az informatikai műveletek legtöbb egyéb aspektusáról szóló jelentéseket hajt végre. A központosított munkaterületi modellre való összpontosítás csökkenti az adminisztrációs erőfeszítéseket és a megfigyelhetőség terén jelentkező hiányosságok esélyét.
- Naplók exportálása az Azure Storage-ba, ha a naplómegőrzési követelmények hét évnél hosszabbak. Az egyszer írható, írásvédett írási szabályzattal módosítható tároló használatával az adatok nem törölhetők és nem módosíthatók a felhasználó által megadott időközökhöz.
- Hozzáférés-vezérlési és megfelelőségi jelentéskészítéshez használja az Azure Policyt. Az Azure Policy lehetővé teszi a szervezeti szintű beállítások kikényszerítését a szabályzatok következetes betartásának és a szabálysértések gyors észlelésének biztosítása érdekében. További információ: Az Azure Policy effektusainak ismertetése.
- A Network Watcher használatával proaktívan figyelheti a forgalomfolyamatokat a Network Watcher NSG folyamatnaplóinak 2. A Traffic Analytics elemzi az NSG-folyamatnaplókat, hogy mély elemzéseket gyűjtsön a virtuális hálózatokon belüli IP-forgalomról. Emellett a hatékony felügyelethez és monitorozáshoz szükséges alapvető információkat is biztosítja, például:
- A legtöbb kommunikáló gazdagép és alkalmazásprotokoll
- A legtöbb konvergens gazdagéppár
- Engedélyezett vagy letiltott forgalom
- Bejövő és kimenő forgalom
- Internetes portok megnyitása
- A legtöbb blokkolási szabály
- Forgalomeloszlás Azure-adatközpontonként
- Virtuális hálózat
- Subnets
- Gazember hálózatok
- Erőforrás-zárolások használatával megakadályozhatja a kritikus fontosságú megosztott szolgáltatások véletlen törlését.
- Megtagadási szabályzatok használata az Azure-szerepkör-hozzárendelések kiegészítéséhez. A megtagadási szabályzatok megakadályozzák a meghatározott szabványoknak nem megfelelő erőforrás-telepítéseket és konfigurációkat azáltal, hogy letiltják a kérések erőforrás-szolgáltatóknak való küldését. A megtagadási szabályzatok és az Azure-szerepkör-hozzárendelések kombinálásával biztosíthatja, hogy megfelelő védőkorlátokkal rendelkezzen annak szabályozásához , hogy ki helyezhet üzembe és konfigurálhat erőforrásokat, és mely erőforrásokat helyezheti üzembe és konfigurálhatja.
- Az általános platformmonitorozási megoldás részeként szolgáltatási és erőforrás-állapot eseményeket is tartalmazhat. A szolgáltatás és az erőforrás állapotának platform szempontjából történő nyomon követése az Azure-beli erőforrás-kezelés fontos összetevője.
- Ne küldjön nyers naplóbejegyzéseket a helyszíni figyelési rendszereknek. Ehelyett alkalmazza azt az elvet, hogy az Azure-ban született adatok az Azure-ban maradnak. Ha helyszíni SIEM-integrációt igényel, a naplók helyett küldjön kritikus riasztásokat .
Azure-beli célzónagyorsító és -kezelés
Az Azure-beli célzónagyorsító véleményezett konfigurációt tartalmaz a legfontosabb Azure felügyeleti képességek üzembe helyezéséhez, amelyek segítenek a szervezetnek a gyors skálázásban és a kifejlettségben.
Az Azure célzónagyorsító üzembe helyezése olyan kulcskezelési és monitorozási eszközöket tartalmaz, mint például:
- Log Analytics-munkaterület és Automation-fiók
- Felhőhöz készült Microsoft Defender monitorozás
- A Log Analyticsnek küldött tevékenységnaplók, virtuális gépek és szolgáltatásként nyújtott platform (PaaS) erőforrásainak diagnosztikai beállításai
Központosított naplózás az Azure-beli célzónagyorsítóban
Az Azure-beli célzónagyorsító kontextusában a központosított naplózás elsősorban a platformműveletekkel foglalkozik.
Ez a hangsúly nem akadályozza meg ugyanannak a munkaterületnek a használatát a virtuálisgép-alapú alkalmazásnaplózáshoz. Az erőforrás-központú hozzáférés-vezérlési módban konfigurált munkaterületen a rendszer részletes Azure RBAC-t kényszerít, amely biztosítja, hogy az alkalmazáscsapatok csak az erőforrásaikból férhessenek hozzá a naplókhoz.
Ebben a modellben az alkalmazáscsapatok kihasználhatják a meglévő platforminfrastruktúra használatát, mivel csökkentik a felügyeleti többletterhelést.
Nem számítási erőforrások, például webalkalmazások vagy Azure Cosmos DB-adatbázisok esetén az alkalmazáscsapatok saját Log Analytics-munkaterületeket használhatnak. Ezután a diagnosztika és a metrikák átirányíthatók ezekhez a munkaterületekhez.