Monitorar e proteger VMs com os serviços nativos do Azure

Os serviços nativos do Microsoft Azure permitem monitorar, gerenciar e proteger as VMs (máquinas virtuais) em um ambiente híbrido (Azure, Solução VMware no Azure e local). Neste artigo, você integrará os serviços nativos do Azure à nuvem privada da Solução VMware no Azure. Também saberá como usar as ferramentas para gerenciar as VMs em todo o ciclo de vida.

Os serviços nativos do Azure que você pode integrar com a Solução VMware no Azure incluem:

  • O Azure Arc estende o gerenciamento do Azure a qualquer infraestrutura, incluindo a Solução VMware no Azure, plataformas de nuvem locais ou outras. Os servidores habilitados para Azure Arc permitem que você gerencie os servidores físicos e as máquinas virtuais Windows e Linux hospedados fora do Azure, na rede corporativa ou em outro provedor de nuvem. Você pode anexar um cluster do Kubernetes hospedado no seu ambiente da Solução VMware no Azure Arc usando o Kubernetes habilitado para Azure Arc.

  • O Azure Monitor coleta, analisa e atua na telemetria de seus ambientes de nuvem e locais. Ele não exige implantação. É possível monitorar o desempenho do sistema operacional convidado, além de descobrir e mapear as dependências de aplicativos da Solução VMware no Azure ou das VMs locais. Seu workspace do Log Analytics no Azure Monitor habilita a coleta de logs e a coleta do contador de desempenho usando o agente ou as extensões do Log Analytics.

    Com o Azure Monitor, você pode coletar dados de diferentes fontes para monitorar e analisar e tipos diferentes de dados para análise, visualização e alertas. Você também pode criar regras de alerta para identificar problemas no ambiente, como alto uso de recursos, ausência de patches, pouco espaço em disco e pulsação das VMs. Adicionalmente, é possível definir uma resposta automatizada para os eventos detectados, enviando um alerta para as ferramentas de ITSM (gerenciamento de serviços de TI). A notificação de detecção de alerta também pode ser enviada por email.

  • O Microsoft Defender para Nuvem reforça a segurança dos data centers e fornece proteção avançada contra ameaças entre cargas de trabalho híbridas na nuvem ou no local. Ela avalia a vulnerabilidade das VMs da Solução VMware no Azure, gera alertas conforme necessário e os encaminha ao Azure Monitor para resolução. Por exemplo, ela avalia patches de sistema operacional ausentes, configurações incorretas de segurança e proteção de ponto de extremidade. Você também pode definir políticas de segurança no Microsoft Defender para Nuvem.

  • O Gerenciamento de Atualizações do Azure gerencia as atualizações do sistema operacional nos computadores Windows e Linux em um ambiente híbrido na Automação do Azure. Ele monitora a conformidade de patches e encaminha alertas de desvio de aplicação de patch ao Azure Monitor para correção. O Gerenciamento de Atualizações do Azure precisa se conectar ao seu workspace do Log Analytics para usar dados armazenados a fim de avaliar o status das atualizações nas suas VMs.

  • O workspace do Log Analytics armazena dados de log. Cada workspace tem o próprio repositório de dados e a própria configuração para armazenar dados. É possível monitorar as VMs da Solução VMware no Azure por meio do agente do Log Analytics. Os computadores conectados ao workspace do Log Analytics usam o agente do Log Analytics para coletar dados sobre alterações em softwares instalados, serviços da Microsoft, registros e arquivos do Windows, além de daemons do Linux em servidores monitorados. Quando os dados estão disponíveis, os agentes os enviam para os Logs do Azure Monitor para processamento. Os Logs do Azure Monitor aplicam a lógica aos dados recebidos, os registra e disponibiliza para análise. Implante agentes do Log Analytics em VMs usando o suporte de extensão de VM dos servidores habilitados para Azure Arc.

Benefícios

  • Os serviços nativos do Azure podem ser usados para gerenciar suas VMs em um ambiente híbrido (Azure, Solução VMware no Azure e local).
  • Monitoramento e visibilidade integrados de suas VMs do Azure, da Solução VMware no Azure e locais.
  • Com o Gerenciamento de Atualizações do Azure na Automação do Azure, você pode gerenciar as atualizações do sistema operacional nos servidores Windows e Linux.
  • O Microsoft Defender para Nuvem fornece proteção avançada contra ameaças, incluindo:
    • Monitoramento de integridade do arquivo
    • Alertas de segurança sem arquivo
    • Avaliação de patch do sistema operacional
    • Avaliação de configurações incorretas de segurança
    • Avaliação da proteção de ponto de extremidade
  • Implante facilmente o agente do Log Analytics usando o suporte de extensão de VM dos servidores habilitados para Azure Arc para VMs novas e existentes.
  • Seu workspace do Log Analytics no Azure Monitor habilita a coleta de logs e a coleta do contador de desempenho usando o agente ou as extensões do Log Analytics. Colete dados e logs para um só ponto e apresente esses dados a diferentes serviços nativos do Azure.
  • Os benefícios adicionais do Azure Monitor incluem:
    • Monitoramento contínuo
    • Melhor visibilidade da infraestrutura
    • Notificações instantâneas
    • Resolução automática
    • Redução de custos

Topologia

O diagrama mostra a arquitetura de monitoramento integrado para VMs da Solução VMware no Azure.

Diagrama mostrando a arquitetura de monitoramento integrada do Azure.

O Agente do Log Analytics permite a coleta de dados de log do Azure, da Solução VMware no Azure e de VMs locais. Os dados de log são enviados para Logs do Azure Monitor e armazenados em um workspace do Log Analytics. Você pode implantar facilmente o Agente do Log Analytics usando servidores habilitados para Arc Suporte para extensões de VM para VMs novas e já existentes.

Depois que o workspace do Log Analytics coletar os logs, você poderá configurar o workspace do Log Analytics com o Defender para Nuvem para avaliar o status de vulnerabilidade das VMs da Solução VMware no Azure e acioná-lo para qualquer vulnerabilidade crítica. Por exemplo, ela avalia patches de sistema operacional ausentes, configurações incorretas de segurança e proteção de ponto de extremidade.

Você pode configurar o espaço de trabalho do Log Analytics com o Microsoft Sentinel para detecção de alertas, visibilidade de ameaças, busca e resposta a ameaças. No diagrama anterior, o Defender para Nuvem está conectado ao Microsoft Sentinel usando o conector do Defender para Nuvem. O Defender para Nuvem encaminhará a vulnerabilidade do ambiente para o Microsoft Sentinel, a fim de criar um incidente e fazer o mapeamento com outras ameaças. Você também pode criar a consulta de regras agendada para detectar atividades indesejadas e convertê-las nos incidentes.

Antes de começar

Se você estiver começando no Azure ou não se familiarizou com algum dos serviços mencionados anteriormente, examine os seguintes artigos:

Habilitar o Gerenciamento de Atualizações do Azure

O Gerenciamento de Atualizações do Azure na Automação do Azure gerencia as atualizações do sistema operacional dos computadores Windows e Linux em um ambiente híbrido. Ele monitora a conformidade de patches e encaminha alertas de desvio de aplicação de patch ao Azure Monitor para correção. O Gerenciamento de Atualizações do Azure precisa se conectar ao seu workspace do Log Analytics para usar dados armazenados a fim de avaliar o status das atualizações nas suas VMs.

  1. Para adicionar o workspace do Log Analytics ao Gerenciamento de Atualizações do Azure, primeiro você precisa Criar uma conta de Automação do Azure.

    Dica

    Você pode usar um modelo do ARM (Azure Resource Manager) para criar uma conta de Automação. O uso de um modelo do ARM apresenta menos etapas comparado a outros métodos de implantação.

  2. Criar um workspace do Log Analytics no portal do Azure. Se preferir, crie um workspace por meio da CLI, do PowerShellou do modelo do Azure Resource Manager.

  3. Habilite o Gerenciamento de Atualizações de uma conta de Automação. No processo, você vinculará o workspace do Log Analytics à sua conta de automação.

  4. Após habilitar o Gerenciamento de Atualizações, você poderá implantar as atualizações nas VMs e revisar os resultados.

Habilitar o Microsoft Defender para Nuvem

Avalie a vulnerabilidade das VMs da Solução VMware no Azure e emita alertas conforme necessário. Esses alertas de segurança podem ser encaminhados ao Azure Monitor para resolução. Para obter mais informações, consulte Recursos com suporte para VMs.

O Defender para Nuvem oferece muitos recursos, incluindo:

  • Monitoramento de integridade do arquivo
  • Detecção de ataques sem arquivos
  • Avaliação de patch do sistema operacional
  • Avaliação de configurações incorretas de segurança
  • Avaliação da proteção de ponto de extremidade

Observação

O Microsoft Defender para Nuvem é uma ferramenta pré-configurada que não requer implantação, mas será necessário habilitá-la no portal do Azure.

  1. Adicionar VMs da Solução VMware no Azure ao Defender para Nuvem.

  2. Habilitar o Microsoft Defender para Nuvem. O Defender para Nuvem avalia as VMs quanto a possíveis problemas de segurança. Ela também oferece recomendações de segurança na guia Visão geral.

  3. Definir políticas de segurança no Defender para Nuvem.

Para obter mais informações, consulte Integrar o Microsoft Defender para Nuvem ao Solução VMware no Azure.

Integrar VMs aos servidores habilitados para Azure Arc

Estenda o gerenciamento do Azure a qualquer infraestrutura, incluindo a Solução VMware no Azure, as plataformas locais ou outras plataformas de nuvem. Para obter informações sobre como habilitar servidores habilitados para Azure Arc para várias VMs do Windows ou Linux, confira Conectar computadores híbridos ao Azure em escala.

Integrar clusters híbridos do Kubernetes ao Kubernetes habilitado para Azure Arc

Você pode anexar um cluster do Kubernetes hospedado no seu ambiente da Solução VMware no Azure usando o Kubernetes habilitado para Azure Arc. Para saber mais, acesse Criar um cluster Kubernetes habilitado para Azure Arc.

Implantar o agente do Log Analytics

É possível monitorar as VMs da Solução VMware no Azure por meio do agente do Log Analytics. As máquinas conectadas a workspaces do Log Analytics usam o agente do Log Analytics para coletar dados sobre alterações em softwares instalados, serviços da Microsoft, registro e arquivos do Windows, além de daemons do Linux em servidores monitorados. Quando os dados estão disponíveis, os agentes os enviam para os Logs do Azure Monitor para processamento. Os Logs do Azure Monitor aplicam a lógica aos dados recebidos, os registra e disponibiliza para análise.

Implante o agente do Log Analytics usando o Suporte de extensão de VM de servidores habilitados para Azure Arc.

Habilitar o Azure Monitor

Ele pode coletar dados de diferentes fontes para monitorar e analisar e tipos diferentes de dados para análise, visualização e alertas. Você também pode criar regras de alerta para identificar problemas no ambiente, como alto uso de recursos, ausência de patches, pouco espaço em disco e pulsação das VMs. Adicionalmente, é possível definir uma resposta automatizada para os eventos detectados, enviando um alerta para as ferramentas de ITSM (gerenciamento de serviços de TI). A notificação de detecção de alerta também pode ser enviada por email.

Monitore o desempenho do sistema operacional convidado para descobrir e mapear as dependências de aplicativos da Solução VMware no Azure ou das VMs locais. Seu workspace do Log Analytics no Azure Monitor habilita a coleta de logs e a coleta do contador de desempenho usando o agente ou as extensões do Log Analytics.

  1. Projetar a implantação de Logs do Azure Monitor

  2. Visão geral de Habilitar o Azure Monitor para VMs

  3. Configurar o workspace do Log Analytics para o Azure Monitor para VMs.

  4. Crie regras de alerta para identificar problemas no ambiente:

Próximas etapas

Agora que você abordou os conceitos de rede e interconectividade da Solução VMware no Azure, talvez queira saber como integrar o Microsoft Defender para Nuvem à Solução VMware no Azure.