Overwegingen voor inventaris en zichtbaarheid

  • Artikel

Naarmate uw organisatie uw cloudomgeving ontwerpt en implementeert, is de basis voor het bewaken van platformbeheer en platformservices een belangrijke overweging. Om ervoor te zorgen dat de cloud wordt geïmplementeerd, moet u deze services structuren om te voldoen aan de behoeften van uw organisatie naarmate uw omgeving wordt geschaald.

De beslissingen van het cloudbedrijfsmodel die u in vroege planningsfasen neemt, hebben rechtstreeks invloed op de wijze waarop beheerbewerkingen worden geleverd als onderdeel van uw landingszones. De mate waarin beheer is gecentraliseerd voor uw platform is een belangrijk voorbeeld.

Gebruik de richtlijnen in dit artikel om na te denken over hoe u inventaris en zichtbaarheid in uw cloudomgeving moet benaderen.

Overwegingen voor basisinventaris

  • Overweeg het gebruik van hulpprogramma's zoals een Azure Monitor Log Analytics-werkruimte als beheergrenzen.
  • Bepaal welke teams de door het systeem gegenereerde logboeken van het platform moeten gebruiken en wie toegang nodig heeft tot deze logboeken.

Houd rekening met de volgende items met betrekking tot logboekregistratiegegevens om te informeren welke typen gegevens u mogelijk wilt sorteren en gebruiken.

Bereik Context
Toepassingsgerichte platformbewaking
Neem zowel dynamische als koude telemetriepaden op voor metrische gegevens en logboeken.
Metrische gegevens van het besturingssysteem, zoals prestatiemeteritems en aangepaste metrische gegevens.
Logboeken van het besturingssysteem, zoals:
  • Internet Information Services
  • Gebeurtenistracering voor Windows en syslogs
  • Resource Health-gebeurtenissen
Logboekregistratie van beveiligingscontrole Richt u op het bereiken van een horizontale beveiligingslens in de gehele Azure-omgeving van uw organisatie.
  • Mogelijke integratie met on-premises SIEM-systemen (Security Information and Event Management), zoals ArcSight of het Onapsis-beveiligingsplatform
  • Mogelijke integratie met SaaS-aanbiedingen (Software as a Service), zoals ServiceNow
  • Activiteitenlogboeken van Azure
  • Microsoft Entra-auditrapporten
  • Diagnostische Azure-services, logboeken en metrische gegevens, Azure Key Vault-auditgebeurtenissen, NSG-stroomlogboeken (netwerkbeveiligingsgroep) en gebeurtenislogboeken
  • Azure Monitor, Azure Network Watcher, Microsoft Defender voor Cloud en Microsoft Sentinel
Drempelwaarden en archiveringsvereisten voor Azure-gegevensretentie
  • De standaardretentieperiode voor Azure Monitor-logboeken is 30 dagen, met een maximale bewaarperiode van twee jaar en een archief van zeven jaar.
  • De standaardretentieperiode voor Microsoft Entra-rapporten (premium) is 30 dagen.
  • De standaardretentieperiode voor de Azure-activiteitenlogboeken en Application Insights-logboeken is 90 dagen.
Operationele vereisten
  • Operationele dashboards met systeemeigen hulpprogramma's zoals Azure Monitor-logboeken of hulpprogramma's van derden
  • Gebruik van gecentraliseerde rollen om bevoegde activiteiten te beheren
  • Beheerde identiteiten voor Azure-resources](/Azure/active-directory/managed-identities-Azure-resources/overview) voor toegang tot Azure-services
  • Resourcevergrendelingen om te beschermen tegen het bewerken en verwijderen van resources

Overwegingen voor zichtbaarheid

  • Welke teams moeten waarschuwingsmeldingen ontvangen?
  • Hebt u groepen services waarvoor meerdere teams een melding moeten ontvangen?
  • Beschikt u over bestaande Service Management-hulpprogramma's waarnaar u waarschuwingen moet verzenden?
  • Welke services worden beschouwd als bedrijfskritiek en vereisen meldingen met hoge prioriteit van problemen?

Aanbevelingen voor inventaris en zichtbaarheid

  • Gebruik één monitorlogboekwerkruimte om platformen centraal te beheren, behalve wanneer op rollen gebaseerd toegangsbeheer van Azure (Azure RBAC), vereisten voor gegevenssoevereine gegevens en beleid voor gegevensretentie afzonderlijke werkruimten verplicht stellen. Gecentraliseerde logboekregistratie is essentieel voor de zichtbaarheid die vereist is voor operations management-teams en stationsrapporten over wijzigingsbeheer, servicestatus, configuratie en de meeste andere aspecten van IT-bewerkingen. Als u zich richt op een gecentraliseerd werkruimtemodel, vermindert u de administratieve inspanning en de kans op hiaten in waarneembaarheid.
  • Exporteer logboeken naar Azure Storage als uw logboekretentievereisten langer zijn dan zeven jaar. Gebruik onveranderbare opslag met een write-once- en read-many-beleid om gegevens niet te wissen en niet te wijzigen voor een door de gebruiker opgegeven interval.
  • Gebruik Azure Policy voor toegangsbeheer en nalevingsrapportage. Met Azure Policy kunt u instellingen voor de hele organisatie afdwingen om te zorgen voor consistente naleving van beleid en snelle detectie van schendingen. Zie Inzicht in Azure Policy-effecten voor meer informatie.
  • Gebruik Network Watcher om proactief verkeersstromen te bewaken via NSG-stroomlogboeken van Network Watcher v2. Traffic Analytics analyseert NSG-stroomlogboeken om diepgaande inzichten te verzamelen over IP-verkeer binnen virtuele netwerken. Het biedt ook essentiële informatie die u nodig hebt voor effectief beheer en bewaking, zoals:
    • De meeste communicerende hosts en toepassingsprotocollen
    • De meeste conversing-hostparen
    • Toegestaan of geblokkeerd verkeer
    • Inkomend en uitgaand verkeer
    • Internetpoorten openen
    • De meeste blokkeringsregels
    • Verkeersdistributie per Azure-datacenter
    • Virtueel netwerk
    • Subnetten
    • Rogue netwerken
  • Gebruik resourcevergrendelingen om onbedoeld verwijderen van kritieke gedeelde services te voorkomen.
  • Gebruik beleid voor weigeren om Azure-roltoewijzingen aan te vullen. Beleidsregels voor weigeren helpen voorkomen dat resource-implementaties en configuraties die niet voldoen aan gedefinieerde standaarden door te blokkeren dat aanvragen naar resourceproviders worden verzonden. Het combineren van beleid voor weigeren en Azure-roltoewijzingen zorgt ervoor dat u over de juiste kaders beschikt om te bepalen wie resources kan implementeren en configureren en welke resources ze kunnen implementeren en configureren.
  • Neem service - en resourcestatusgebeurtenissen op als onderdeel van uw algehele platformbewakingsoplossing. Het bijhouden van service- en resourcestatus vanuit het platformperspectief is een belangrijk onderdeel van resourcebeheer in Azure.
  • Verzend geen onbewerkte logboekvermeldingen terug naar on-premises bewakingssystemen. In plaats daarvan moet u het principe aannemen dat gegevens die zijn geboren in Azure, in Azure blijven. Als u on-premises SIEM-integratie nodig hebt, verzendt u kritieke waarschuwingen in plaats van logboeken.

Azure-landingszoneversneller en -beheer

De Azure-landingszoneversneller bevat een adviesconfiguratie voor het implementeren van belangrijke Azure-beheermogelijkheden die uw organisatie helpen snel te schalen en volwassen te maken.

De implementatie van de Azure-landingszoneversneller bevat hulpprogramma's voor sleutelbeheer en bewaking, zoals:

  • Een Log Analytics-werkruimte en Automation-account
  • Microsoft Defender voor Cloud bewaking
  • Diagnostische instellingen voor activiteitenlogboeken, virtuele machines en PaaS-resources (Platform as a Service) die worden verzonden naar Log Analytics

Gecentraliseerde logboekregistratie in de Azure-landingszoneversneller

In de context van de Azure-landingszoneversneller houdt gecentraliseerde logboekregistratie zich voornamelijk bezig met platformbewerkingen.

Deze nadruk voorkomt niet dat dezelfde werkruimte wordt gebruikt voor toepassingslogboekregistratie op basis van vm's. Binnen een werkruimte die is geconfigureerd in de resourcegerichte toegangsbeheermodus, wordt gedetailleerde Azure RBAC afgedwongen, waardoor uw toepassingsteams alleen toegang hebben tot de logboeken van hun resources.

In dit model profiteren toepassingsteams van het gebruik van bestaande platforminfrastructuur, omdat dit de beheeroverhead vermindert.

Voor niet-rekenresources, zoals web-apps of Azure Cosmos DB-databases, kunnen uw toepassingsteams hun eigen Log Analytics-werkruimten gebruiken. Ze kunnen vervolgens diagnostische gegevens en metrische gegevens naar die werkruimten routeren.

Volgende stappen

De onderdelen van uw Azure-platformlandingszone bewaken