Pertimbangan inventaris dan visibilitas

  • Artikel

Saat organisasi Anda merancang dan mengimplementasikan lingkungan cloud Anda, dasar untuk manajemen platform dan pemantauan layanan platform Anda adalah pertimbangan utama. Untuk memastikan adopsi cloud yang sukses, Anda harus menyusun layanan ini untuk memenuhi kebutuhan organisasi Anda sebagai skala lingkungan Anda.

Keputusan model operasi cloud yang Anda buat dalam fase perencanaan awal secara langsung memengaruhi bagaimana operasi manajemen dikirimkan sebagai bagian dari zona pendaratan Anda. Tingkat manajemen mana yang terpusat untuk platform Anda adalah contoh utama.

Gunakan panduan dalam artikel ini untuk mempertimbangkan bagaimana Anda harus mendekati inventori dan visibilitas di lingkungan cloud Anda.

Pertimbangan inventaris dasar

  • Pertimbangkan untuk menggunakan alat seperti ruang kerja Analitik Log Azure Monitor sebagai batas administratif.
  • Tentukan tim mana yang harus menggunakan log yang dihasilkan sistem dari platform dan siapa yang membutuhkan akses ke log tersebut.

Pertimbangkan item berikut yang terkait dengan data pengelogan untuk menginformasikan jenis data apa yang mungkin ingin Anda susun dan gunakan.

Scope Konteks
Pemantauan platform yang berentrik aplikasi
Sertakan jalur telemetri panas dan dingin untuk metrik dan log, masing-masing.
Metrik sistem operasi, seperti penghitung kinerja dan metrik kustom.
Log sistem operasi, seperti:
  • Layanan Informasi Internet
  • Pelacakan Peristiwa untuk Windows, dan syslog
  • Peristiwa kesehatan sumber daya
Pencatatan audit keamanan Bertujuan untuk mencapai lensa keamanan horizontal di seluruh kawasan Azure organisasi Anda.
  • Potensi integrasi dengan informasi keamanan lokal dan sistem manajemen peristiwa (SIEM) seperti ArcSight atau platform keamanan Onapsis
  • Potensi integrasi dengan penawaran software as a service (SaaS) seperti ServiceNow
  • Log aktivitas Azure
  • Laporan audit Microsoft Entra
  • Layanan diagnostik Azure, log, dan metrik, peristiwa audit Azure Key Vault, log alur kelompok keamanan jaringan (NSG), dan log peristiwa
  • Azure Monitor, Azure Network Watcher, Microsoft Defender untuk Cloud, dan Microsoft Sentinel
Ambang batas retensi data Azure dan persyaratan pengarsipan
  • Periode retensi default untuk Log Azure Monitor adalah 30 hari, dengan retensi analitik maksimum dua tahun dan arsip tujuh tahun.
  • Periode retensi default untuk laporan Microsoft Entra (premium) adalah 30 hari.
  • Periode retensi default untuk log Aktivitas Azure dan log Application Insights adalah 90 hari.
Persyaratan operasional
  • Dasbor operasional dengan alat asli seperti Log Azure Monitor atau alat pihak ketiga
  • Penggunaan peran terpusat untuk mengontrol aktivitas istimewa
  • Identitas terkelola untuk sumber daya Azure](/Azure/active-directory/managed-identities-Azure-resources/overview) untuk akses ke layanan Azure
  • Kunci sumber daya untuk melindungi dari pengeditan dan penghapusan sumber daya

Pertimbangan visibilitas

  • Tim mana yang perlu menerima pemberitahuan pemberitahuan?
  • Apakah Anda memiliki grup layanan yang memerlukan beberapa tim untuk diberi tahu?
  • Apakah Anda memiliki alat Manajemen Layanan yang sudah ada yang perlu Anda kirimi pemberitahuan?
  • Layanan mana yang dianggap penting bagi bisnis dan memerlukan pemberitahuan prioritas masalah yang tinggi?

Rekomendasi inventaris dan visibilitas

  • Gunakan ruang kerja log monitor tunggal untuk mengelola platform secara terpusat, kecuali di mana kontrol akses berbasis peran Azure (Azure RBAC), persyaratan kedaulatan data, dan kebijakan retensi data mengamanatkan ruang kerja terpisah. Pengelogan terpusat sangat penting untuk visibilitas yang diperlukan oleh tim manajemen operasi dan mendorong laporan tentang manajemen perubahan, kesehatan layanan, konfigurasi, dan sebagian besar aspek operasi TI lainnya. Berfokus pada model ruang kerja terpusat mengurangi upaya administratif dan peluang untuk kesenjangan dalam observabilitas.
  • Ekspor log ke Azure Storage jika persyaratan retensi log Anda melebihi tujuh tahun. Gunakan penyimpanan yang tidak dapat diubah dengan kebijakan write-once, read-many (tulis sekali, baca berkali-kali) guna membuat data tidak dapat dihapus dan tidak dapat dimodifikasi untuk interval yang ditentukan pengguna.
  • Gunakan Azure Policy untuk kontrol akses dan pelaporan kepatuhan. Azure Policy memungkinkan Anda menerapkan pengaturan di seluruh organisasi untuk memastikan kepatuhan kebijakan yang konsisten dan deteksi pelanggaran yang cepat. Untuk informasi selengkapnya, lihat Memahami efek Azure Policy.
  • Gunakan Network Watcher untuk secara proaktif memantau arus lalu lintas melalui log aliran Network Watcher NSG v2. Analitik Lalu Lintas menganalisis log alur NSG untuk mengumpulkan wawasan mendalam tentang lalu lintas IP dalam jaringan virtual. Ini juga menyediakan informasi penting yang Anda butuhkan untuk manajemen dan pemantauan yang efektif, seperti:
    • Sebagian besar host komunikasi dan protokol aplikasi
    • Pasangan host yang paling banyak berbicara
    • Lalu lintas yang diizinkan atau diblokir
    • Lalu lintas masuk dan keluar
    • Membuka port internet
    • Sebagian besar aturan pemblokiran
    • Distribusi lalu lintas per pusat data Azure
    • Jaringan virtual
    • Subnet
    • Jaringan jahat
  • Gunakan kunci sumber daya untuk mencegah penghapusan layanan bersama yang kritis secara tidak sengaja.
  • Gunakan kebijakan tolak untuk melengkapi penetapan peran Azure. Kebijakan penolakan membantu mencegah penyebaran dan konfigurasi sumber daya yang tidak memenuhi standar yang ditentukan dengan memblokir permintaan agar tidak dikirim ke penyedia sumber daya. Menggabungkan kebijakan penolakan dan penetapan peran Azure memastikan bahwa Anda memiliki pagar pembatas yang sesuai untuk mengontrol siapa yang dapat menyebarkan dan mengonfigurasi sumber daya dan sumber daya mana yang dapat mereka sebarkan dan konfigurasikan.
  • Sertakan peristiwa kesehatan layanan dan sumber daya sebagai bagian dari solusi pemantauan platform Anda secara keseluruhan. Layanan pelacakan dan kesehatan sumber daya dari perspektif platform merupakan komponen penting dari manajemen sumber daya di Azure.
  • Jangan mengirim entri log mentah kembali ke sistem pemantauan lokal. Sebagai gantinya, adopsi prinsip bahwa data yang lahir di Azure tetap berada di Azure. Jika Anda memerlukan integrasi SIEM lokal, kirim pemberitahuan penting alih-alih log.

Akselerator dan manajemen zona arahan Azure

Akselerator zona pendaratan Azure mencakup konfigurasi berpendapat untuk menyebarkan kemampuan manajemen Azure utama yang membantu organisasi Anda menskalakan dan matang dengan cepat.

Penyebaran akselerator zona pendaratan Azure mencakup alat manajemen dan pemantauan utama seperti:

  • Ruang kerja Log Analytics dan akun Automasi
  • Pemantauan Microsoft Defender untuk Cloud
  • Pengaturan diagnostik untuk log aktivitas, mesin virtual, dan sumber daya platform as a service (PaaS) yang dikirim ke Log Analytics

Pengelogan terpusat di akselerator zona arahan Azure

Dalam konteks akselerator zona arahan Azure, pengelogan terpusat terutama berkaitan dengan operasi platform.

Penekanan ini tidak mencegah penggunaan ruang kerja yang sama untuk pengelogan aplikasi berbasis VM. Dalam ruang kerja yang dikonfigurasi dalam mode kontrol akses yang berfokus pada sumber daya, Azure RBAC terperinci diberlakukan, yang memastikan bahwa tim aplikasi Anda hanya memiliki akses ke log dari sumber daya mereka.

Dalam model ini, tim aplikasi mendapat manfaat dari penggunaan infrastruktur platform yang ada karena mengurangi overhead manajemen mereka.

Untuk sumber daya non-komputasi, seperti aplikasi web atau database Azure Cosmos DB, tim aplikasi Anda dapat menggunakan ruang kerja Log Analytics mereka sendiri. Mereka kemudian dapat merutekan diagnostik dan metrik ke ruang kerja tersebut.

Langkah berikutnya

Memantau komponen zona pendaratan platform Azure Anda