Compartilhar via

Considerações sobre inventário e visibilidade

  • Artigo

À medida que sua organização cria e implementa o ambiente de nuvem, a base para o monitoramento de serviços de plataforma e gerenciamento de plataforma é uma consideração fundamental. Para garantir o sucesso da adoção da nuvem, você deve estruturar esses serviços para atender às necessidades da sua organização, à medida que o ambiente é dimensionado.

As decisões do modelo operacional de nuvem, que você toma nas fases iniciais de planejamento, influenciam diretamente a maneira como as operações de gerenciamento são realizadas como parte das zonas de destino. O grau em que o gerenciamento é centralizado para a plataforma é um exemplo importante.

Use as diretrizes neste artigo para considerar como você deve abordar o inventário e a visibilidade no ambiente de nuvem.

Considerações básicas sobre inventário

  • Use ferramentas como o workspace do Log Analytics do Azure Monitor como limites administrativos.
  • Determine quais equipes devem usar os logs gerados pelo sistema na plataforma e quem precisará de acesso a esses logs.

Considere os itens a seguir relacionados aos dados de log para informar quais tipos de dados convém agrupar e usar.

Escopo Contexto
Monitoramento de plataforma centrada em aplicativos
Inclua caminhos de telemetria quente e frio para métricas e logs, respectivamente.
Métricas do sistema operacional, como contadores de desempenho e métricas personalizadas.
Logs do sistema operacional, como:
  • Internet Information Services
  • Rastreamento de eventos para Windows e syslogs
  • Eventos de integridade de recurso
Registro em log de auditoria de segurança Visa obter uma lente de segurança horizontal em todo patrimônio do Azure da sua organização.
  • Possível integração com sistemas SIEM (gerenciamento de eventos e informações de segurança) locais, como o ArcSight ou a plataforma de segurança Onapsis
  • Possível integração com ofertas de SaaS (software como serviço), como o ServiceNow
  • Logs de atividades do Azure
  • Relatórios de auditoria do Microsoft Entra
  • Serviços, logs e métricas de diagnóstico do Azure, eventos de auditoria do Azure Key Vault, logs de fluxo do NSG (grupo de segurança de rede) e logs de eventos
  • Azure Monitor, Observador de Rede do Azure, Microsoft Defender para Nuvem e Microsoft Sentinel
Limites de retenção de dados e requisitos de arquivamento do Azure
  • O período de retenção padrão para os Logs do Azure Monitor é de 30 dias, com uma retenção analítica máxima de dois anos e arquivamento de sete anos.
  • O período de retenção padrão para relatórios do Microsoft Entra (premium) é de 30 dias.
  • O período de retenção padrão para os logs de Atividade do Azure e do Application Insights é de 90 dias.
Requisitos operacionais
  • Painéis operacionais com ferramentas nativas, como logs do Azure Monitor ou ferramentas de terceiros
  • Uso de funções centralizadas para controlar atividades com privilégios
  • Identidades gerenciadas para recursos do Azure](/azure/active-directory/managed-identities-azure-resources/overview) para acesso aos serviços do Azure
  • Bloqueios de recursos para proteger contra a edição e a exclusão de recursos

Considerações sobre visibilidade

  • Quais equipes precisam receber notificações de alerta?
  • Você tem grupos de serviços que precisam que várias equipes sejam notificadas?
  • Você tem ferramentas existentes de Gerenciamento de Serviços estabelecidas para as quais precisa enviar alertas?
  • Quais serviços são considerados comercialmente críticos e exigem notificações de alta prioridade de problemas?

Recomendações de inventário e visibilidade

  • Use um único workspace dos logs de monitoramento para gerenciar plataformas de maneira centralizada, exceto quando o RBAC do Azure (controle de acesso baseado em função do Azure), os requisitos de soberania de dados e as políticas de retenção de dados determinarem o uso de workspaces separados. O log centralizado é fundamental para a visibilidade exigida pelas equipes de gerenciamento de operações e gera relatórios sobre gerenciamento de alterações, integridade do serviço, configuração e a maioria dos outros aspectos das operações de TI. O foco em um modelo de workspace centralizado reduz o esforço administrativo e as chances de lacunas na observabilidade.

  • Exporte logs para o Armazenamento do Azure se seus requisitos de retenção de log excederem sete anos. Use o armazenamento imutável com a política de gravação única, muitas leituras para tornar os dados não apagáveis e não modificáveis durante um intervalo especificado pelo usuário.

  • Use a Azure Policy para relatórios de conformidade e controle de acesso. A Azure Policy permite impor configurações de toda a organização para garantir aderência consistente à política e detecção rápida de violações. Para saber mais, consulte Entender os efeitos da Azure Policy.

  • Use o Observador de Rede para monitorar proativamente os fluxos de tráfego por meio de logs de fluxo NSG do Monitor de Rede v2. A Análise de Tráfego examina os logs de fluxo do NSG para coletar informações detalhadas sobre o tráfego IP nas redes virtuais. Ela também fornece as informações críticas necessárias para gerenciamento e monitoramento eficazes, como:

    • A maioria dos hosts e protocolos de aplicativo de comunicação
    • A maioria dos pares de host de conversão
    • Tráfego permitido ou bloqueado
    • Tráfego de entrada e de saída
    • Portas abertas da Internet
    • A maioria das regras de bloqueio
    • Distribuição de tráfego por um datacenter do Azure
    • Rede virtual
    • Sub-redes
    • Redes não autorizadas

  • Use bloqueios de recursos para impedir a exclusão acidental de serviços críticos compartilhados.

  • Use políticas de negação para complementar as atribuições de função do Azure. As políticas de negação ajudam a evitar implantações e configurações de recursos que não atendem aos padrões definidos, bloqueando o envio de solicitações aos provedores de recursos. A combinação de políticas de negação e atribuições de função do Azure garante que você tenha verificadores de integridade adequados estabelecidos para controlar quem pode implantar e configurar recursos e quais recursos eles podem implantar e configurar.

  • Inclua eventos de integridade de serviço e recurso como parte da solução geral de monitoramento da plataforma. Acompanhar a integridade de recursos e serviços da perspectiva da plataforma é um componente importante do gerenciamento de recursos no Azure.

  • Não envie entradas de log brutas de volta para sistemas de monitoramento locais. Em vez disso, adote o princípio de que os dados originados no Azure permaneçam no Azure. Se a integração de SIEM local for necessária, envie alertas críticos, em vez de logs.

Gerenciamento e acelerador da zona de destino do Azure

O acelerador da zona de destino do Azure inclui a configuração opinante que implanta os principais recursos de gerenciamento do Azure, para ajudar as organizações a escalar e se desenvolver rapidamente.

A implantação do acelerador da zona de destino do Azure inclui as principais ferramentas de gerenciamento e monitoramento, como:

  • Workspace do Log Analytics e conta da Automação
  • Monitoramento do Microsoft Defender para Nuvem
  • Configurações de diagnóstico para logs de atividades, máquinas virtuais e recursos de PaaS (plataforma como serviço) enviados ao Log Analytics

Registro em log centralizado no acelerador da zona de destino do Azure

No contexto do acelerador da zona de destino do Azure, o registro em log centralizado se preocupa principalmente com as operações de plataforma.

Essa ênfase não impede o uso do mesmo workspace para log de aplicativos baseados em VM. Em um workspace configurado no modo de controle de acesso centrado em recursos, o RBAC do Azure granular é imposto, o que garante que as equipes de aplicativo tenham acesso somente aos logs dos respectivos recursos.

Nesse modelo, as equipes de aplicativo usufruem do uso da infraestrutura de plataforma existente, pois isso reduz a sobrecarga de gerenciamento.

Para recursos que não são de computação, como aplicativos Web ou bancos de dados do Azure Cosmos DB, as equipes de aplicativo podem usar seus próprios workspaces do Log Analytics. Elas podem encaminhar diagnósticos e métricas para esses workspaces.

Próxima etapa

Monitorar os componentes da zona de aterrissagem da plataforma Azure