Zagadnienia dotyczące spisu i widoczności

  • Artykuł

Podczas projektowania i implementowania środowiska chmury w organizacji podstawą do zarządzania platformą i monitorowania usług platformy jest kluczowa kwestia. Aby zapewnić pomyślne wdrożenie chmury, należy utworzyć strukturę tych usług, aby zaspokoić potrzeby organizacji w miarę skalowania środowiska.

Decyzje dotyczące modelu operacyjnego w chmurze podejmowane we wczesnych fazach planowania mają bezpośredni wpływ na sposób dostarczania operacji zarządzania w ramach stref docelowych. Stopień, w jakim zarządzanie jest scentralizowane dla twojej platformy, jest kluczowym przykładem.

Skorzystaj ze wskazówek w tym artykule, aby wziąć pod uwagę sposób podejścia do spisu i widoczności w środowisku chmury.

Podstawowe zagadnienia dotyczące spisu

  • Rozważ użycie narzędzi, takich jak obszar roboczy usługi Log Analytics usługi Azure Monitor, jako granice administracyjne.
  • Ustal, które zespoły powinny używać dzienników generowanych przez system z platformy i którzy potrzebują dostępu do tych dzienników.

Rozważ następujące elementy związane z danymi rejestrowania, aby poinformować o typach danych, które warto sortować i używać.

Zakres Kontekst
Monitorowanie platformy skoncentrowanej na aplikacji
Uwzględnij odpowiednio ścieżki telemetrii gorącej i zimnej dla metryk i dzienników.
Metryki systemu operacyjnego, takie jak liczniki wydajności i metryki niestandardowe.
Dzienniki systemu operacyjnego, takie jak:
  • Internet Information Services
  • Śledzenie zdarzeń dla systemu Windows i dzienników systemu
  • Zdarzenia usługi Resource Health
Rejestrowanie inspekcji zabezpieczeń Celem jest osiągnięcie poziomego obiektywu zabezpieczeń w całej infrastrukturze platformy Azure w organizacji.
  • Potencjalna integracja z lokalnymi systemami zarządzania informacjami i zdarzeniami zabezpieczeń (SIEM), takimi jak ArcSight lub platforma zabezpieczeń Onapsis
  • Potencjalna integracja z ofertami oprogramowania jako usługi (SaaS), takimi jak ServiceNow
  • Dzienniki aktywności platformy Azure
  • Raporty inspekcji firmy Microsoft Entra
  • Usługi diagnostyczne platformy Azure, dzienniki i metryki, zdarzenia inspekcji usługi Azure Key Vault, dzienniki przepływów sieciowej grupy zabezpieczeń i dzienniki zdarzeń
  • Azure Monitor, Azure Network Watcher, Microsoft Defender dla Chmury i Microsoft Sentinel
Progi przechowywania danych platformy Azure i wymagania dotyczące archiwizacji
  • Domyślny okres przechowywania dzienników usługi Azure Monitor wynosi 30 dni z maksymalnym okresem przechowywania analiz wynoszącym dwa lata i archiwizacją wynoszącą siedem lat.
  • Domyślny okres przechowywania raportów firmy Microsoft Entra (premium) wynosi 30 dni.
  • Domyślny okres przechowywania dzienników aktywności platformy Azure i dzienników aplikacji Szczegółowe informacje wynosi 90 dni.
Wymagania operacyjne
  • Operacyjne pulpity nawigacyjne z narzędziami natywnymi, takimi jak dzienniki usługi Azure Monitor lub narzędzia innych firm
  • Używanie scentralizowanych ról do kontrolowania działań uprzywilejowanych
  • Tożsamości zarządzane dla zasobów platformy Azure](/Azure/active-directory/managed-identities-Azure-resources/overview) w celu uzyskania dostępu do usług platformy Azure
  • Blokady zasobów w celu ochrony przed edytowaniem i usuwaniem zasobów

Zagadnienia dotyczące widoczności

  • Które zespoły muszą otrzymywać powiadomienia o alertach?
  • Czy masz grupy usług, które wymagają powiadomienia wielu zespołów?
  • Czy masz istniejące narzędzia do zarządzania usługami, do których należy wysyłać alerty?
  • Które usługi są uznawane za krytyczne dla działania firmy i wymagają powiadomień o wysokim priorytcie problemów?

Zalecenia dotyczące spisu i widoczności

  • Użyj jednego obszaru roboczego dzienników monitorowania, aby centralnie zarządzać platformami, z wyjątkiem sytuacji, w których kontrola dostępu oparta na rolach platformy Azure (Azure RBAC), wymagania dotyczące niezależności danych i zasady przechowywania danych wymuszają oddzielne obszary robocze. Scentralizowane rejestrowanie ma kluczowe znaczenie dla widoczności wymaganej przez zespoły zarządzania operacjami i udostępnia raporty dotyczące zarządzania zmianami, kondycji usługi, konfiguracji i większości innych aspektów operacji IT. Skupienie się na scentralizowanym modelu obszaru roboczego zmniejsza nakład pracy administracyjnej i szanse na luki w obserwacji.
  • Wyeksportuj dzienniki do usługi Azure Storage, jeśli wymagania dotyczące przechowywania dzienników przekraczają siedem lat. Użyj niezmiennego magazynu z zasadami zapisu jednokrotnego odczytu i wielu do odczytu, aby dane nie można było wymazywać i modyfikować dla interwału określonego przez użytkownika.
  • Użyj usługi Azure Policy do celów kontroli dostępu i raportowania zgodności. Usługa Azure Policy umożliwia wymuszanie ustawień dla całej organizacji w celu zapewnienia spójnego przestrzegania zasad i szybkiego wykrywania naruszeń. Aby uzyskać więcej informacji, zobacz Omówienie efektów usługi Azure Policy.
  • Usługa Network Watcher umożliwia aktywne monitorowanie przepływów ruchu za pośrednictwem dzienników przepływu sieciowej grupy zabezpieczeń usługi Network Watcher w wersji 2. Analiza ruchu analizuje dzienniki przepływów sieciowej grupy zabezpieczeń w celu zbierania szczegółowych informacji o ruchu IP w sieciach wirtualnych. Udostępnia on również krytyczne informacje potrzebne do efektywnego zarządzania i monitorowania, takich jak:
    • Większość komunikujących się hostów i protokołów aplikacji
    • Większość par hostów zbieżnych
    • Dozwolony lub zablokowany ruch
    • Ruch przychodzący i wychodzący
    • Otwieranie portów internetowych
    • Większość reguł blokowania
    • Dystrybucja ruchu na centrum danych platformy Azure
    • Sieć wirtualna
    • Podsieci
    • Nieautoryzuje sieci
  • Użyj blokad zasobów, aby zapobiec przypadkowemu usunięciu krytycznych usług udostępnionych.
  • Użyj zasad odmowy, aby uzupełnić przypisania ról platformy Azure. Zasady odmowy pomagają zapobiegać wdrażaniu zasobów i konfiguracjach, które nie spełniają zdefiniowanych standardów, blokując wysyłanie żądań do dostawców zasobów. Połączenie zasad odmowy i przypisań ról platformy Azure gwarantuje, że masz odpowiednie zabezpieczenia, aby kontrolować , kto może wdrażać i konfigurować zasoby oraz jakie zasoby mogą wdrażać i konfigurować.
  • Uwzględnij zdarzenia usługi i kondycji zasobów w ramach ogólnego rozwiązania do monitorowania platformy. Śledzenie kondycji usługi i zasobów z perspektywy platformy jest ważnym składnikiem zarządzania zasobami na platformie Azure.
  • Nie wysyłaj nieprzetworzonych wpisów dziennika z powrotem do lokalnych systemów monitorowania. Zamiast tego należy przyjąć zasadę, że dane urodzone na platformie Azure pozostają na platformie Azure. Jeśli potrzebujesz lokalnej integracji rozwiązania SIEM, wyślij alerty krytyczne zamiast dzienników.

Akcelerator strefy docelowej platformy Azure i zarządzanie nią

Akcelerator strefy docelowej platformy Azure obejmuje konfigurację z opiniami w celu wdrożenia kluczowych funkcji zarządzania platformy Azure, które pomagają organizacji szybko skalować i dojrzewać.

Wdrożenie akceleratora strefy docelowej platformy Azure obejmuje narzędzia do zarządzania kluczami i monitorowania, takie jak:

  • Obszar roboczy usługi Log Analytics i konto usługi Automation
  • monitorowanie Microsoft Defender dla Chmury
  • Ustawienia diagnostyczne dzienników aktywności, maszyn wirtualnych i zasobów platformy jako usługi (PaaS) wysyłanych do usługi Log Analytics

Scentralizowane rejestrowanie w akceleratorze strefy docelowej platformy Azure

W kontekście akceleratora strefy docelowej platformy Azure scentralizowane rejestrowanie dotyczy głównie operacji platformy.

Ten nacisk nie uniemożliwia korzystania z tego samego obszaru roboczego na potrzeby rejestrowania aplikacji opartych na maszynach wirtualnych. W obszarze roboczym skonfigurowanym w trybie kontroli dostępu skoncentrowanej na zasobach szczegółowa kontrola dostępu na podstawie ról platformy Azure jest wymuszana, co gwarantuje, że zespoły aplikacji mają dostęp tylko do dzienników z zasobów.

W tym modelu zespoły aplikacji korzystają z korzystania z istniejącej infrastruktury platformy, ponieważ zmniejsza nakład pracy związany z zarządzaniem.

W przypadku zasobów innych niż obliczeniowe, takich jak aplikacje internetowe lub bazy danych usługi Azure Cosmos DB, zespoły aplikacji mogą używać własnych obszarów roboczych usługi Log Analytics. Następnie mogą kierować diagnostykę i metryki do tych obszarów roboczych.

Następne kroki

Monitorowanie składników strefy docelowej platformy Azure