Compartilhar via

Opções de soberania para monitorar cargas de trabalho do Azure

  • Artigo

Os requisitos de soberania aplicam-se frequentemente não só aos serviços de aplicativos e infraestrutura usados como parte de uma carga de trabalho na nuvem, mas também às soluções de gerenciamento usadas na operação e administração dessa carga de trabalho.

As organizações que devem cumprir requisitos rigorosos de soberania devem identificar soluções de monitoramento que atendam aos requisitos operacionais e de conformidade. Isso garante que os padrões de design para o monitoramento de cargas de trabalho sejam usados pelas equipes que estão planejando migrações de carga de trabalho.

Neste artigo, você saberá sobre os diferentes objetivos e as melhores práticas para o monitoramento, comparará as abordagens nativas de nuvem e trará suas próprias abordagens de solução.

Entender as metas para o registro em log e o monitoramento

Compreender o comportamento dos recursos implantados na nuvem é fundamental para fornecer uma solução confiável. Embora o monitoramento seja frequentemente incluído como um componente das cargas de trabalho na nuvem, é importante compreender que o monitoramento é frequentemente implementado por diferentes motivos e para o benefício de diferentes stakeholders.

Se uma organização pretende projetar uma solução holística de monitoramento na nuvem, seria útil destacar os diferentes objetivos que as organizações frequentemente encontram.

Monitorar o desempenho

O monitoramento do desempenho de uma carga de trabalho pode assumir várias formas, incluindo o monitoramento da integridade de um serviço de aplicativo, da disponibilidade dos componentes da solução e da velocidade e capacidade de resposta da solução. Esse tipo de monitoramento é realizado quase em tempo real para identificar problemas no sistema o mais rápido possível e evitar tempo de inatividade.

As métricas desse tipo de monitoramento também podem ser coletadas e agregadas para analisar tendências de desempenho. Esse tipo de monitoramento e os dados que ele produz são frequentemente usados por equipes de aplicativos e infraestrutura que gerenciam recursos, bem como por equipes de operações e suporte que respondem a eventos e incidentes.

Monitorar para a segurança

O monitoramento é frequentemente implementado para fornecer à organização controles de detecção que podem ajudar a gerenciar riscos. O monitoramento de eventos de segurança pode ajudar uma organização a responder rapidamente e minimizar o efeito de ameaças. O monitoramento de ameaças pode procurar padrões que correspondam a técnicas de ataque conhecidas, e a manutenção de dados de eventos ao longo do tempo pode permitir que uma organização conduza investigações forenses e execute análises de causa raiz.

Os dados coletados do monitoramento de segurança são frequentemente usados pelas equipes de segurança, incluindo analistas de operações e caçadores de ameaças, bem como equipes de operações de TI, garantia e auditoria.

Monitorar o gerenciamento de serviços

Juntamente com o monitoramento do desempenho e da segurança que analisa o comportamento de uma carga de trabalho, as organizações podem implementar monitoramento extra para observar o estado da carga de trabalho. Esse tipo de monitoramento é frequentemente usado para verificar se os objetivos do Gerenciamento de Serviços de TI estão sendo alcançados. Domínios de gerenciamento de serviços, como gerenciamento de configuração, controle de alterações e moeda da versão do software, geralmente exigem o monitoramento da versão ou a configuração de um recurso para validar a implantação em um bom estado conhecido.

Esse tipo de monitoramento é frequentemente usado por equipes de operações de TI, equipes de aplicativos e infraestrutura e equipes de segurança para identificar alterações não autorizadas.

Usar as melhores práticas para monitoramento e diagnóstico

À medida que as organizações planejam suas soluções de monitoramento, é útil rever algumas melhores práticas para implementar o monitoramento nativo de nuvem para soluções implantadas no Azure. Os artigos a seguir contêm recomendações para projetar soluções de monitoramento baseadas em nuvem:

Monitoramento nativo de nuvem vs. traga sua própria solução

Muitas organizações já têm soluções de monitoramento maduras para monitorar sistemas locais, e uma escolha comum ao planejar uma migração para a nuvem é se devem adotar uma solução de monitoramento nativa da nuvem ou adaptar uma solução existente para uso na nuvem.

Ambas as abordagens têm as suas vantagens e desvantagens, portanto, recomendamos que as organizações avaliem ambas as abordagens para garantir um bom alinhamento com os seus requisitos operacionais e de soberania.

Usar o registro em log e o monitoramento como um serviço

O Azure oferece uma seleção de serviços nativos de nuvem que as organizações podem usar para criar uma solução de monitoramento holística:

  • O Azure Monitor é o solução gerenciada do Azure para monitoramento de aplicativos e TI. O Azure Monitor fornece uma série de ferramentas de monitoramento de TI e recursos de análise, incluindo:
    • Log Analytics – uma interface gráfica para criar e executar consultas nos dados de log coletados.
    • Insights – pronto para uso, experiências de monitoramento com entradas, consultas, alertas e visualizações de dados pré-configurados, selecionados pela Microsoft.
    • Application Insights – fornece recursos de gerenciamento de desempenho de aplicativos para código escrito pelo cliente.
  • O Microsoft Sentinel pode ser usado com o Azure Monitor para a orquestração, automação e resposta de segurança (SOAR).
  • O Microsoft Defender for Cloud é uma plataforma de proteção de aplicativos (CNAPP) nativa de nuvem que funciona com o Azure Monitor para proteger aplicativos baseados em nuvem contra ameaças.

Embora uma organização possa optar por desenvolver sua abordagem de monitoramento do zero, muitas organizações podem se beneficiar das experiências selecionadas em serviços como o Azure Monitor e o Microsoft Defender para Nuvem.

Esses serviços podem não fornecer o mesmo nível de granularidade quando se trata de selecionar locais para a residência dos dados, portanto, as organizações devem compreender onde e como seus dados serão armazenados se decidirem incorporar serviços não regionais na sua estratégia de monitoramento.

Estender as soluções locais de monitoramento para o Azure

Existem várias maneiras pelas quais as organizações podem continuar a aproveitar suas soluções locais de monitoramento para aplicativos com dados altamente confidenciais que não podem ser monitorados usando soluções de monitoramento PaaS.

  • Para cargas de trabalho de IaaS, as soluções de monitoramento baseadas em agentes podem continuar a ser incluídas em imagens de máquinas virtuais.
  • As soluções de monitoramento de desempenho de aplicativos podem continuar a ser compiladas com código desenvolvido pelo cliente.
  • Os servidores de registo em log podem ser implantados no Azure usando máquinas virtuais para minimizar o tráfego do cliente em links de WAN.
  • Os logs podem ser enviados para contas de armazenamento, transmitidos com Hubs de Eventos ou acessados por meio de API.

Todas essas abordagens podem ajudar as organizações a fazer a transição de seu modelo de operações para a nuvem, mantendo um nível mais alto de soberania operacional para seus sistemas locais de monitoramento. No entanto, essas abordagens também podem agregar custos extras, pois as soluções de monitoramento herdadas consomem recursos da nuvem, como máquinas virtuais e armazenamento na nuvem.

Outra abordagem que pode ajudar as organizações a fazer a transição de suas operações para a nuvem é transmitir dados de monitoramento do Azure Monitor para soluções locais fornecidas pelos Parceiros do Azure Monitor.

Selecionar soluções de monitoramento para cargas de trabalho do Azure

Os seguintes cenários destacam algumas das soluções de monitoramento que as organizações podem usar para monitorar cargas de trabalho, incluindo cargas de trabalho com requisitos de soberania rigorosos:

Monitorar recursos do Azure usando serviços regionais e não regionais

  • Fontes de dados e instrumentação: colete logs de plataforma e de atividade de forma nativa usando o Azure Monitor. Colete logs de recursos de IaaS usando o agente do Azure Monitor. Colete telemetria de runtime de aplicativos personalizados usando o Application Insights.
  • Coleta e armazenamento: agregue dados de log para uma carga de trabalho individual em um workspace do Log Analytics. Agregue dados de log em toda a empresa no Azure Data Lake transmitindo logs usando Hubs de Eventos.
  • Análise e diagnóstico: gere insights usando experiências de monitoramento selecionadas no Azure Monitor e no Defender para Nuvem. Analise logs usando o Log Analytics ou o Azure Data Explorer. Automatize e orquestre respostas de segurança usando o Microsoft Sentinel.

Monitorar recursos do Azure usando somente serviços regionais

  • Fontes de dados e instrumentação: colete logs de plataforma e de atividade de forma nativa usando o Azure Monitor. Colete telemetria de runtime de aplicativos personalizados usando o Application Insights.
  • Coleta e armazenamento: agregue dados de log para uma carga de trabalho individual em um workspace do Log Analytics implantada na região desejada. Transmita dados de log com Hubs de Eventos para um data lake na assinatura desejada.
  • Análise e diagnóstico: analise logs usando o Log Analytics ou o Azure Data Explorer.

Monitorar recursos do Azure usando soluções locais

  • Fontes de dados e instrumentação: capture registos com o Azure Monitor e exporte para a solução local usando a conta de armazenamento, centros de eventos ou a API. Capture logs diretamente usando agentes terceirizados.
  • Coleta e armazenamento: agregue e arquive dados de log on-premises.
  • Análise e diagnóstico: use soluções locais existentes para análise e diagnóstico.