Osservabilità nell'enclave Azure

Azure Enclave offre funzionalità di osservabilità predefinite per supportare il monitoraggio sicuro, scalabile e centralizzato degli ambienti cruciali. Queste funzionalità consentono ai responsabili della community e ai proprietari dell'enclave di applicare la conformità, analizzare le anomalie e garantire l'integrità operativa tra carichi di lavoro isolati.

Di seguito sono abilitate per impostazione predefinita per le risorse dell'enclave Azure:

  • L'area di lavoro Log Analytics viene distribuita nel gruppo di risorse gestito dalla community per impostazione predefinita
  • (Facoltativo) L'area di lavoro di Log Analytics viene distribuita nel gruppo di risorse gestite dell'enclave
  • L'account di archiviazione viene distribuito nel gruppo di risorse gestite di Enclave
  • I log di flusso della rete virtuale per ogni enclave sono abilitati, indirizzati all'account di archiviazione dell'enclave e inoltrati all'area di lavoro Log Analytics della community e/o dell'enclave
  • Le impostazioni di diagnostica sono abilitate per le risorse distribuite sia nei gruppi di risorse gestiti della community che dell'enclave

Osservabilità centralizzata e isolata

L'osservabilità in Azure Enclave è basata su un modello di registrazione a due livelli che supporta la registrazione diagnostica centralizzata e isolata dall'enclave usando Monitoraggio di Azure, Log Analytics e account di archiviazione.

Osservabilità a livello di community

Ogni community creata in Azure Enclave include un'area di lavoro Log Analytics centralizzata. Questa area di lavoro è progettata per:

  • Aggregare diagnostica e metriche da tutti gli enclavi nella community.
  • Fornire un’unica interfaccia per il monitoraggio e l’interrogazione dei log di diagnostica e di flusso.
  • Supporta l'analisi, gli avvisi e il rilevamento della conformità tra enclave.

Quando viene creata la community, l'area di lavoro viene creata automaticamente. L'area di lavoro può essere selezionata come destinazione diagnostica dai proprietari dell'enclave o del carico di lavoro durante le operazioni di distribuzione o aggiornamento. L'accesso pubblico è disabilitato per l'area di lavoro Community Log-A, ma non è isolato dalla rete per impostazione predefinita. Per configurare l'accesso pubblico o l'isolamento della rete, è consigliabile aggiungere la sicurezza dei collegamenti privati.

Note

Le impostazioni di diagnostica provenienti dalle risorse dell'enclave, ad esempio carichi di lavoro, indirizzi IP pubblici o Application Gateway, possono essere configurate per inviare i log all'area di lavoro centralizzata a supporto del monitoraggio unificato.

Osservabilità a livello di enclave

Oltre all'area di lavoro Community, ogni Enclave dispone di un'area di lavoro Log Analytics isolata specificamente destinata a tale enclave. Questa area di lavoro è ottimizzata per i casi d'uso di registrazione a livello di enclave e include le caratteristiche seguenti:

  • Archiviazione predefinita dei log di flusso della rete virtuale, che vengono abilitati automaticamente per ogni enclave.
  • Impostazioni di diagnostica facoltative per le risorse con ambito enclave, ad esempio carichi di lavoro interni e componenti di rete.
  • Progettato per soddisfare i requisiti normativi o di isolamento che impediscono l'aggregazione dei log tra enclave.

Gli amministratori possono scegliere di mantenere privata la diagnostica dell'enclave inviando i log solo a questa area di lavoro isolata.

Destinazioni di registrazione configurabili

Azure Enclave supporta configurazioni di registrazione flessibili che consentono ai proprietari di risorse di scegliere tra:

Destinazione della registrazione Purpose Utilizzo predefinito
Area di lavoro Log Analytics community Abilita il monitoraggio centralizzato e l'analisi tra enclave Optional
Area di lavoro Log Analytics enclave Mantiene l'isolamento a livello di enclave e la sovranità dei dati Impostazione predefinita per i log dei flussi di rete virtuale

È possibile configurare le impostazioni di diagnostica tramite il portale di Azure, l'interfaccia della riga di comando o i modelli Bicep/ARM durante o dopo la distribuzione.

Importante

I log di flusso della rete virtuale vengono sempre inviati, per impostazione predefinita, nell'area di lavoro specifica dell'enclave per garantire il mantenimento della visibilità a livello di rete, anche in ambienti isolati.

Scenari comuni di osservabilità

Scenario Strategia di registrazione
Dashboard dello stato degli enclave Invia i dati di diagnostica da tutte le enclave all'area di lavoro Community Log Analytics centralizzata
Enclave regolamentato con controlli dati rigorosi Mantenere i dati di diagnostica all'interno dell'area di lavoro Log Analytics specifica dell'enclave
Conservazione a lungo termine per scopi di controllo Inviare log a un account di archiviazione con impostazioni di conservazione controllate dai criteri
Analisi della rete o ricerca di minacce Usare l'area di lavoro enclave per analizzare i log dei flussi di rete virtuale predefiniti

Configurare i gruppi di risorse di Network Watcher

Per evitare potenziali problemi con la creazione del log del flusso di rete virtuale, configurare manualmente in anticipo il gruppo di risorse NetworkWatcherRG e assegnare all'app Mission Enclave il ruolo Owner per tale gruppo di risorse, oppure verificare che la configurazione e l'assegnazione del ruolo siano avvenute automaticamente prima di creare la prima enclave nella sottoscrizione.

Per attenuare questo potenziale problema, creare manualmente per ogni sottoscrizione il gruppo di risorse NetworkWatcher denominato NetworkWatcherRG nelle nuove sottoscrizioni e quindi concedere Mission Enclave all'app Azure Enclave Owner per NetworkWatcherRG:

  1. Selezionare il NetworkWatcherRG gruppo di risorse, selezionare Access control (IAM), quindi selezionare Add e Add role assignment.

    Schermata che mostra la selezione di Aggiungi ruolo per il gruppo di risorse nel portale.

  2. Selezionare Privileged administrator roles, selezionare owner, quindi selezionare Next.

    Screenshot che mostra la schermata di selezione per l'aggiunta del ruolo Proprietario nel portale.

  3. Selezionare Select members, digitare Mission Enclave nella ricerca e selezionare l'app Mission Enclave , selezionare Select, quindi Next.

    Screenshot che mostra come selezionare l'app Mission Enclave nel portale.

  4. Se la sottoscrizione richiede una condizione, selezionare Allow user to assign all roles except privileged administrator roles Owner, UAA, RBAC (Recommended), quindi selezionare Review + assign.

    Schermata che mostra la vista “Aggiungi condizione”, se il tuo abbonamento lo richiede.

  5. Al termine dell'aggiornamento, è possibile iniziare a distribuire le risorse Enclave di Azure.

Quando viene creata una community o un enclave, Azure Enclave tenta i passaggi seguenti:

  1. Controllare se l'oggetto NetworkWatcherRG esiste. In caso contrario, tentare di creare quel gruppo di risorse.
  2. Verificare se l'app Mission Enclave ha un'assegnazione Owner permanente su NetworkWatcherRG. In caso contrario, tentare di assegnare l'app Mission Enclave come assegnazione permanente Owner in NetworkWatcherRG. Anche se esiste un'autorizzazione ereditata Owner , viene tentata la creazione di un'assegnazione permanente Owner .
  3. Se un passaggio non va a buon fine, le distribuzioni di enclave potrebbero non riuscire durante il tentativo di creare i log di flusso della rete virtuale.