Come prepararsi a un imprevisto (prima che l’evento si verifichi)
- 19 minuti
Per garantire la preparazione e ridurre al minimo l'impatto degli eventi imprevisti, è essenziale seguire le raccomandazioni proattive descritte in questa unità. Queste azioni consentono di comprendere il processo di comunicazione degli eventi imprevisti, individuare le informazioni pertinenti e configurare le notifiche per ricevere aggiornamenti tempestivi. La valutazione della resilienza delle applicazioni e l'implementazione di misure consigliate crea carichi di lavoro più affidabili, riducendo così il potenziale impatto di un evento imprevisto. La revisione e l'implementazione delle procedure consigliate per la sicurezza consolidano l'ambiente e attenuano i rischi.
Per rimanere informato, attenuare l'impatto e proteggere l'investimento, ti consigliamo le cinque azioni seguenti:
Azione 1: Familiarizza con Azure Service Health nel portale di Azure
La pagina pubblica azure.status.microsoft fornisce informazioni generali sullo stato solo su interruzioni generali.
Integrità dei servizi di Azure offre dettagli personalizzati in base alle risorse specifiche. Consente di prevedere e preparare la manutenzione pianificata e altre modifiche che potrebbero influire sulla disponibilità delle risorse. Ti consente di interagire con gli eventi del servizio e gestire le azioni per mantenere la continuità aziendale delle applicazioni interessate. Offre informazioni dettagliate cruciali sulle vulnerabilità della piattaforma, sugli eventi imprevisti di sicurezza e sulle violazioni della privacy a livello di servizio di Azure, che consente di intervenire per proteggere i carichi di lavoro di Azure.
Ecco alcune funzionalità chiave disponibili in Integrità dei servizi di Azure per migliorare la preparazione agli eventi imprevisti:
Riquadro Integrità risorse (nuova esperienza)
Disponibile nella pagina Integrità dei servizi del portale di Azure, Integrità risorse di Azure consente di diagnosticare e risolvere i problemi del servizio che interessano le risorse di Azure. Le risorse, ad esempio macchine virtuali, app Web o database SQL, vengono valutate per l'integrità in base ai segnali provenienti da diversi servizi di Azure. Se una risorsa viene identificata come non sana, Salute delle risorse esegue un'analisi dettagliata per determinare la causa del problema. Fornisce inoltre informazioni sulle azioni di Microsoft per risolvere i problemi relativi agli eventi imprevisti e suggerisce i passaggi che puoi seguire per risolvere il problema.
Riquadro Problemi dei servizi (nuova esperienza coperta)
Nel riquadro Problemi dei servizi vengono visualizzati eventi imprevisti di servizio in corso che potrebbero influire sulle risorse. Ti consente di risalire all’origine di un problema e identificare i servizi e le aree interessate. Esaminare gli aggiornamenti più recenti per ottenere informazioni dettagliate sulle attività di Azure per risolvere l'evento imprevisto.
Funzionalità principali del riquadro Problemi dei servizi:
Real-Time Insight: il dashboard dei problemi del servizio offre visibilità in tempo reale sugli eventi imprevisti del servizio di Azure che interessano le sottoscrizioni e i tenant. Se sei un amministratore di tenant, puoi visualizzare eventi imprevisti o avvisi attivi rilevanti per i tuoi abbonamenti e tenant.
Valutazione dell'impatto delle risorse: la scheda Risorsa interessata nella sezione dei dettagli dell'evento imprevisto mostra quali risorse sono confermate o potenzialmente interessate. Seleziona le risorse per accedere direttamente al pannello Salute delle Risorse.
Collegamenti e spiegazioni scaricabili: Crea un collegamento per il problema, da usare nel sistema di gestione dei problemi. Scaricare file PDF o CSV per condividere spiegazioni complete con gli stakeholder che non hanno accesso al portale di Azure. È possibile richiedere una verifica post-evento imprevisto (PIR) per eventuali problemi che hanno interessato le risorse, note in precedenza come analisi della causa radice (RCA).
Riquadro Avvisi di sicurezza
Il riquadro Avvisi di sicurezza è incentrato sulle informazioni urgenti relative alla sicurezza che influiscono sulla salute delle sottoscrizioni e dei tenant. Fornisce informazioni dettagliate sulle vulnerabilità della piattaforma, sugli eventi imprevisti di sicurezza e sulle violazioni della privacy.
Funzionalità principali del riquadro Avvisi di sicurezza:
Informazioni dettagliate sulla sicurezza in tempo reale: Ottieni visibilità immediata sugli eventi imprevisti di sicurezza di Azure rilevanti per le sottoscrizioni e i tenant.
Valutazione dell'impatto delle risorse: la scheda Risorsa interessata nella sezione dei dettagli dell'incidente evidenzia le risorse che Azure ha confermato essere stati coinvolti.
Gli utenti autorizzati con i ruoli seguenti possono visualizzare le informazioni sulle risorse interessate a livello di sicurezza:
Visualizza le risorse a livello di sottoscrizione Visualizza le risorse a livello di tenant Proprietario della sottoscrizione Amministratore della Sicurezza/Lettore della Sicurezza Amministratore della sottoscrizione Amministrazione globale/Amministrazione tenant Lettore per la sicurezza dell'integrità dei servizi Lettore privacy per l'integrità dei servizi di Azure È possibile scaricare documenti PDF esplicativi da condividere con gli stakeholder che non hanno accesso diretto al portale di Azure.
Gli esempi seguenti illustrano un evento imprevisto di sicurezza che coinvolge risorse sia in ambito sottoscrizione che in ambito tenant.
Oltre a acquisire familiarità con Integrità dei servizi di Azure, un altro passaggio fondamentale consiste nel configurare gli avvisi di integrità dei servizi. Questi avvisi garantiscono notifiche tempestive. Ti tengono informato sugli incidenti e le informazioni importanti che potrebbero influire sui carichi di lavoro. La sezione successiva illustra in dettaglio questo problema.
Azione 2: Configura gli avvisi sull’integrità dei servizi per rimanere informato
La configurazione delle notifiche degli avvisi di integrità dei servizi è essenziale per la gestione proattiva degli eventi imprevisti. È l'invito più importante all'azione. Gli avvisi di integrità dei servizi consentono di ricevere notifiche tempestive tramite diversi canali, ad esempio posta elettronica, SMS e webhook. Questi avvisi forniscono aggiornamenti su eventi imprevisti del servizio, attività di manutenzione pianificata, eventi imprevisti di sicurezza e altre informazioni critiche che potrebbero influire sui carichi di lavoro.
È possibile configurare gli avvisi di integrità dei servizi da uno dei riquadri "eventi attivi" nella pagina Integrità dei servizi del portale di Azure, selezionando Avvisi di integrità dal riquadro Integrità dei servizi o usando Azure Resource Graph.
Qui puoi trovare query di esempio di Azure Resource Graph relative a Integrità dei servizi di Azure.
Integrità dei servizi tiene traccia di diversi tipi di eventi che riguardano l'integrità e che potrebbero influire sulle tue risorse. Questi eventi includono problemi di servizio, manutenzione pianificata, avvisi di integrità e avvisi di sicurezza. Quando si configurano gli avvisi di integrità dei servizi, è possibile scegliere come e a chi vengono inviati questi avvisi. Puoi personalizzare gli avvisi in base alla classe della notifica di integrità del servizio, alle sottoscrizioni, ai servizi e alle aree geografiche interessate.
Classe delle notifiche sull'integrità dei servizi
| Tipo di evento integrità del servizio | Descrizione |
|---|---|
| Problema del servizio | Problemi dei servizi di Azure che hanno conseguenze immediate, anche noti come incidenti di servizio. |
| Manutenzione pianificata | Manutenzione imminente che può influire sulla disponibilità dei servizi in futuro. |
| Avvisi sanitari | Modifiche apportate ai servizi di Azure che richiedono attenzione. Gli esempi includono quando è necessario eseguire un'azione, quando le funzionalità di Azure sono deprecate, i requisiti di aggiornamento o se si supera una quota di utilizzo. |
| Avvisi di sicurezza | Notifiche relative alla sicurezza che gestiscono vulnerabilità della piattaforma e violazioni della sicurezza e della privacy a livello di sottoscrizione e tenant, note anche come eventi imprevisti per la sicurezza o la privacy. |
Sappiamo che è necessario ricevere una notifica quando si verificano problemi che interessano i servizi. Gli avvisi di integrità dei servizi consentono di scegliere COME e A CHI vengono inviati questi avvisi. Gli avvisi possono essere configurati in base alla classe di integrità del servizio, alle sottoscrizioni interessate, ai servizi interessati e alle aree interessate. È possibile configurare avvisi per attivare messaggi di posta elettronica, messaggi SMS, app per la logica, funzioni e altro ancora.
Quando viene attivato un avviso, è possibile definire le azioni da eseguire usando i gruppi di azioni. I gruppi di azioni sono raccolte di preferenze di notifica che determinano come e a chi vengono inviati gli avvisi.
Elenco completo dei tipi di notifica disponibili
| Tipo di notifica | Descrizione | Campi |
|---|---|---|
| Invia un'email riguardante il ruolo di Azure Resource Manager | Invia un messaggio di posta elettronica ai membri dell’abbonamento in base al ruolo. Viene inviata un’e-mail di notifica solo all'indirizzo e-mail principale configurato per l'utente di Microsoft Entra. L’e-mail viene inviata solo ai membri utenti di Microsoft Entra del ruolo selezionato e non ai gruppi o alle entità servizio di Microsoft Entra. |
Immetti l'indirizzo e-mail principale configurato per l'utente di Microsoft Entra. Vedi E-mail. |
| Assicurarsi che i filtri di posta elettronica e i servizi di prevenzione della posta indesiderata e malware siano configurati in modo appropriato. I messaggi di posta elettronica vengono inviati dagli indirizzi di posta elettronica seguenti: - azure-noreply@microsoft.com - azureemail-noreply@microsoft.com - alerts-noreply@mail.windowsazure.com |
Immetti l’e-mail a cui deve essere inviata la notifica. | |
| SMS | Le notifiche SMS supportano la comunicazione bidirezionale. L'SMS Contiene le informazioni seguenti: - Nome breve del gruppo di azioni a cui è stato inviato l'avviso - Titolo dell'avviso. L’utente può rispondere a un SMS per: - Annullare l’iscrizione a tutti gli avvisi SMS per tutti i gruppi di azioni o per un singolo gruppo di azioni. - Iscriversi di nuovo agli avvisi - Richiedere assistenza. Per altre informazioni sulle risposte SMS supportate, vedi Risposte SMS. |
Immetti il codice paese e il numero di telefono del destinatario dell’SMS. Se non puoi selezionare il codice paese/area geografica nel portale di Azure, l'SMS non è supportato per il paese o l'area geografica. Se il codice paese/area geografica non è disponibile, puoi votare in Condividi le tue idee perché il tuo paese o area geografica venga aggiunto. Come soluzione alternativa, fino a quando la specifica area geografica non sarà supportata, configurare il gruppo di azioni per utilizzare un webhook per contattare un provider SMS partner che supporta la specifica area geografica. |
| Notifiche push dell'app Azure | Invia notifiche all'app per dispositivi mobili di Azure. Per abilitare le notifiche push sull'app per dispositivi mobili di Azure, inserisci Per altre informazioni sull'app per dispositivi mobili di Azure, vedi App per dispositivi mobili di Azure. | Nel campo e-mail dell'account Azure, immetti l'indirizzo e-mail usato come ID account quando configuri l'app per dispositivi mobili di Azure. |
| Voce | Notifica vocale. | Immetti il codice paese e il numero di telefono del destinatario della notifica. Se non puoi selezionare il codice paese/area geografica nel portale di Azure, le notifiche vocali non sono supportate per il paese o l'area geografica. Se il codice paese/area geografica non è disponibile, puoi votare in Condividi le tue idee perché il tuo paese o area geografica venga aggiunto. Come soluzione alternativa fino a quando il paese o l'area geografica non è supportata, configurare il gruppo di azioni per chiamare un webhook a un provider di chiamate vocali partner che supporta il paese o l'area geografica. |
Elenco completo delle azioni che puoi attivare
| Tipo di azione | Dettagli |
|---|---|
| Runbook di Automazione | Per informazioni sui limiti dei payload del runbook di Automazione, vedi Limiti di automazione. |
| Hub eventi | L'azione di Event Hubs pubblica le notifiche in Event Hubs. Per altre informazioni su Hub eventi, vedi Hub eventi di Azure - Una piattaforma streaming di Big Data e un servizio di inserimento di eventi. Puoi sottoscrivere il flusso di notifica degli avvisi dal ricevitore di eventi. |
| Funzioni | Chiama un endpoint trigger HTTP esistente nelle funzioni. Per altre informazioni, vedi Funzioni di Azure. Quando definisci l'azione della funzione, l'endpoint del trigger HTTP e la chiave di accesso della funzione vengono salvati nella definizione dell'azione, ad esempio, https://azfunctionurl.azurewebsites.net/api/httptrigger?code=<access_key>. Se modifichi la chiave di accesso per la funzione, devi rimuovere e ricreare l'azione della funzione nel gruppo di azioni.L'endpoint deve supportare il metodo HTTP POST. La funzione deve avere accesso all'account di archiviazione. Se non ha accesso, le chiavi non sono disponibili e l'URI della funzione non è accessibile. Scopri come ripristinare l’accesso all'account di archiviazione. |
| Gestione dei servizi IT (ITSM) | Un'azione ITSM richiede una connessione ITSM. Per scoprire come creare una connessione a ITSM, vedi Integrazione ITSM. |
| App per la logica | Puoi usare App per la logica di Azure per creare e personalizzare flussi di lavoro per l'integrazione e per personalizzare le notifiche sugli avvisi. |
| Webhook protetto | Quando usi un'azione webhook sicura, devi usare Microsoft Entra ID per proteggere la connessione tra il gruppo di azioni e l'endpoint, ovvero un'API Web protetta. Vedi Configurare l'autenticazione per il webhook protetto. Il webhook sicuro non supporta l'autenticazione di base. Se usi l'autenticazione di base, usa l'azione Webhook. |
| Webhook | Se usi l'azione webhook, l'endpoint webhook di destinazione deve essere in grado di elaborare i vari payload JSON generati da origini di avviso diverse. Non è possibile passare certificati di sicurezza tramite un'azione webhook. Per usare l'autenticazione di base, devi passare le credenziali tramite l'URI. Se l'endpoint webhook prevede uno schema specifico, ad esempio lo schema di Microsoft Teams, usa il tipo di azione App per la logica per modificare lo schema di avviso e soddisfare le aspettative del webhook di destinazione. Per informazioni sulle regole usate per ripetere le azioni webhook, vedi Webhook. |
La maggior parte degli eventi imprevisti del servizio influisce su alcune sottoscrizioni, quindi questi eventi imprevisti non vengono visualizzati in posizioni come status.azure.com. Gli avvisi di integrità dei servizi possono essere configurati dal portale. Se desideri automatizzare la creazione, puoi configurarli usando PowerShell o modelli ARM.
Configurando in modo efficace gli avvisi sull’integrità dei servizi e i gruppi di azioni, puoi assicurarti di ricevere notifiche tempestive ed eseguire azioni appropriate per attenuare l'impatto degli eventi imprevisti sulle risorse di Azure.
Nota
Cerchi assistenza su cosa monitorare e su quali avvisi configurare? Non cercare oltre la soluzione Avvisi di base di Azure Monitor. Fornisce indicazioni complete e codice per l'implementazione di una baseline di avvisi della piattaforma e avvisi di integrità dei servizi usando criteri e iniziative negli ambienti Azure. Offre opzioni per la distribuzione automatica o manuale.
La soluzione include criteri predefiniti per creare automaticamente avvisi per tutti i tipi di eventi di integrità dei servizi (problema del servizio, manutenzione pianificata, avvisi di integrità e avvisi di sicurezza), gruppi di azioni e regole di elaborazione degli avvisi per vari tipi di risorse di Azure. Anche se l'obiettivo è il monitoraggio degli ambienti architettati di Zone di destinazione di Azure, offre anche indicazioni per i clienti brownfield che non sono attualmente allineati al brownfield dell'architettura ALZ brownfield.
Azione 3: Prendi in considerazione gli avvisi sull’integrità delle risorse o eventi pianificati per essere informato sui problemi specifici della risorsa
Dopo aver configurato gli avvisi di integrità dei servizi, prendere in considerazione anche l'adozione di avvisi di integrità delle risorse. Gli avvisi sull’integrità delle risorse di Azure possono informarti quasi in tempo reale quando in queste risorse si riscontra una modifica nello stato di integrità, indipendentemente dal motivo.
Esiste una distinzione fondamentale tra gli avvisi di integrità dei servizi e gli avvisi di "integrità delle risorse". Il primo viene attivato durante un problema noto della piattaforma sottoposto a indagine da Parte di Microsoft. Un esempio è un'interruzione o un evento imprevisto del servizio in corso. Quest'ultima viene attivata quando una risorsa specifica è considerata non sana, indipendentemente dalla causa sottostante.
È possibile configurare gli avvisi di integrità delle risorse dal riquadro Integrità risorse nella pagina Integrità dei servizi del portale di Azure.
Puoi anche creare avvisi sull’integrità delle risorse a livello di codice usando i modelli di Azure Resource Manager e Azure PowerShell. La creazione di avvisi di integrità delle risorse a livello di codice consente di creare e personalizzare gli avvisi in blocco.
Eventi pianificati per le macchine virtuali, evitando ripercussioni
Gli eventi pianificati sono un altro ottimo strumento. Entrambi i tipi di avvisi descritti in precedenza notificano agli utenti o ai sistemi, ma gli eventi pianificati notificano le risorse stesse. Questo approccio può offrire all'applicazione il tempo necessario per prepararsi alla manutenzione delle macchine virtuali o a uno degli eventi di correzione automatizzati del servizio. Fornisce un segnale su un evento di manutenzione imminente, ad esempio un riavvio imminente, in modo che l'applicazione possa sapere che e quindi agire per limitare l'interruzione. L'applicazione potrebbe uscire dal pool o degradare in modo graduale. Gli eventi pianificati sono disponibili per tutti i tipi di macchine virtuali di Azure, tra cui PaaS e IaaS sia su Windows che su Linux.
Nota
Sebbene gli avvisi sull’integrità delle risorse e gli eventi pianificati siano utili, l'invito più importante all'azione consiste nel configurare gli avvisi sull’integrità dei servizi. Questa funzionalità è fondamentale per assicurarsi di comprendere cosa sta accadendo con le risorse, cosa stiamo facendo e quando viene mitigata.
Azione 4: Aumenta la sicurezza degli investimenti per proteggere l'ambiente
Garantisci la protezione dei dati, delle applicazioni e delle altre risorse di Azure esaminando e implementando le procedure consigliate per la sicurezza operativa. Queste procedure consigliate derivano dalla conoscenza collettiva e dall'esperienza delle persone che lavorano con le funzionalità e le funzionalità correnti della piattaforma Azure. L'articolo viene aggiornato regolarmente per raccogliere opinioni e tecnologie in continua evoluzione.
Come punto di partenza, prendi in considerazione questi consigli principali per l'implementazione:
Richiedi la verifica in due passaggi per tutti gli utenti. Questo requisito include amministratori e altri membri dell'organizzazione che possono avere un impatto significativo se il loro account viene compromesso. Un esempio è costituito dai funzionari finanziari. Applicare l'autenticazione a più fattori per alleviare le preoccupazioni relative a questa esposizione.
Configurare e abilitare i criteri di rischio nel tenant. Vieni avvisato se "chiunque" si trova nel tuo ambiente. Questo approccio crea un avviso per eventi rischiosi, ad esempio l'uso di indirizzi IP anonimi, il viaggio atipico e le proprietà di accesso non note. Attiva ulteriormente le attività di correzione, ad esempio l'autenticazione a più fattori e la reimpostazione delle password, per garantire che i clienti rimangano sicuri.
Controlla lo spostamento delle sottoscrizioni da e verso le directory come misura proattiva per essere preparato e consapevole della presenza di "qualcuno" nell'ambiente. Questo approccio garantisce che l'organizzazione abbia visibilità completa sulle sottoscrizioni usate e impedisca lo spostamento delle sottoscrizioni che potrebbero passare a una directory sconosciuta.
Sostituire periodicamente le credenziali per tutti gli amministratori globali e degli abbonamenti per aiutare a prevenire potenziali violazioni della sicurezza, account compromessi o uso non autorizzato delle autorizzazioni privilegiate. La rotazione regolare delle credenziali aggiunge un ulteriore livello di sicurezza all'ambiente e consente di mantenere l'integrità e la riservatezza dei dati e delle risorse.
Esaminare e aggiornare regolarmente tutti i numeri di posta elettronica e di telefono degli utenti amministratori globali all'interno del tenant.
Azione 5: Aumenta la resilienza dei carichi di lavoro chiave di Azure per evitare o ridurre al minimo l'impatto
Per garantire l'affidabilità dei carichi di lavoro, è fondamentale valutarli usando i set di impostazioni di Microsoft Azure Well-Architected Framework (WAF) tramite microsoft Azure Well-Architected Review. Il WAF fornisce anche consigli sui test di resilienza, inclusa l'adozione di una metodologia di progettazione chaos.
Le applicazioni devono essere sottoposte a test per garantire la disponibilità e la resilienza. La disponibilità si riferisce alla durata in cui un'applicazione opera senza tempi di inattività significativi. La resilienza misura la velocità con cui un'applicazione può eseguire il ripristino da errori.
Per integrare il lavoro con WAF, è consigliabile implementare le raccomandazioni principali seguenti e usare gli strumenti forniti per controllare e creare resilienza nelle applicazioni:
Usare la cartella di lavoro integrata Affidabilità nel portale di Azure nella pagina Azure Advisor per valutare il comportamento di affidabilità delle applicazioni, identificare i potenziali rischi e pianificare e implementare miglioramenti.
Migliora la continuità aziendale e il ripristino di emergenza (BCDR) distribuendo i carichi di lavoro e le risorse su più aree. Per le opzioni di distribuzione tra aree ottimali, vedere l'elenco completo delle coppie di aree di Azure.
Ottimizza la disponibilità all'interno di un'area ripartendo distribuzioni di carico di lavoro/risorse tra zone di disponibilità.
Prendere in considerazione l'uso di dimensioni di macchine virtuali isolate in Azure per i carichi di lavoro critici per l'azienda che richiedono un livello elevato di isolamento. Queste dimensioni garantiscono che la macchina virtuale sia dedicata a un tipo di hardware specifico e funzioni in modo indipendente. Per altre informazioni, vedere Isolamento della macchina virtuale in Azure.
Prendere in considerazione l'uso delle configurazioni di manutenzione per avere un controllo e una gestione migliori sugli aggiornamenti per le macchine virtuali di Azure. Questa funzionalità consente di pianificare e gestire gli aggiornamenti, garantendo un'interruzione minima dei carichi di lavoro sensibili che non possono tollerare tempi di inattività durante le attività di manutenzione.
Migliora la ridondanza implementando ridondanza tra aree o all'interno dell'area. Per orientamento, vedere l'esempio di un'applicazione web a disponibilità elevata con ridondanza zonale.
Migliorare la resilienza delle applicazioni usando Azure Chaos Studio. Con questo strumento, è possibile introdurre intenzionalmente errori controllati nelle applicazioni Azure. Questo strumento consente di valutare la resilienza e osservare come rispondono a varie interruzioni, ad esempio la latenza di rete, interruzioni dell'archiviazione, segreti in scadenza e errori del data center.
Usa il workbook Ritiro del Servizio disponibile nel portale Azure nella pagina Azure Advisor. Questo strumento integrato consente di rimanere informati sui ritiri dei servizi che potrebbero influire sui carichi di lavoro critici, che consentono di pianificare ed eseguire in modo efficace le migrazioni necessarie.
Nota
I clienti che dispongono di un contratto di supporto Premier/Unified possono usare il team Customer Success per strategare e implementare una valutazione di Well-Architected Framework (WAF).