Considerações sobre inventário e visibilidade

  • Artigo

À medida que sua organização projeta e implementa seu ambiente de nuvem, a base para o gerenciamento de sua plataforma e o monitoramento de serviços de plataforma é uma consideração fundamental. Para garantir uma adoção bem-sucedida da nuvem, você deve estruturar esses serviços para atender às necessidades da sua organização à medida que seu ambiente é dimensionado.

As decisões do modelo operacional na nuvem que você toma nas fases iniciais de planejamento influenciam diretamente como as operações de gerenciamento são entregues como parte de suas zonas de pouso. O grau em que a gestão é centralizada para a sua plataforma é um exemplo-chave.

Use as orientações neste artigo para considerar como você deve abordar o inventário e a visibilidade em seu ambiente de nuvem.

Considerações básicas sobre inventário

  • Considere o uso de ferramentas como um espaço de trabalho do Azure Monitor Log Analytics como limites administrativos.
  • Determine quais equipes devem usar os logs gerados pelo sistema da plataforma e quem precisa acessar esses logs.

Considere os seguintes itens relacionados aos dados de log para informar quais tipos de dados você pode querer agrupar e usar.

Âmbito Contexto
Monitoramento de plataforma centrado em aplicativos
Inclua caminhos de telemetria quente e fria para métricas e logs, respectivamente.
Métricas do sistema operacional, como contadores de desempenho e métricas personalizadas.
Logs do sistema operacional, como:
  • Internet Information Services
  • Rastreamento de eventos para Windows e syslogs
  • Eventos do Resource Health
Registo de auditoria de segurança Procure obter uma lente de segurança horizontal em todo o patrimônio do Azure da sua organização.
  • Potencial integração com sistemas de gerenciamento de eventos e informações de segurança (SIEM) locais, como ArcSight ou a plataforma de segurança Onapsis
  • Potencial integração com ofertas de software como serviço (SaaS) como ServiceNow
  • Registos de atividade do Azure
  • Relatórios de auditoria do Microsoft Entra
  • Serviços de diagnóstico, logs e métricas do Azure, eventos de auditoria do Azure Key Vault, logs de fluxo do NSG (grupo de segurança de rede) e logs de eventos
  • Azure Monitor, Azure Network Watcher, Microsoft Defender for Cloud e Microsoft Sentinel
Limites de retenção de dados do Azure e requisitos de arquivamento
  • O período de retenção padrão para os Logs do Azure Monitor é de 30 dias, com uma retenção máxima de análise de dois anos e arquivamento de sete anos.
  • O período de retenção padrão para relatórios do Microsoft Entra (premium) é de 30 dias.
  • O período de retenção padrão para os logs de atividade do Azure e logs do Application Insights é de 90 dias.
Requisitos operacionais
  • Painéis operacionais com ferramentas nativas, como Azure Monitor Logs ou ferramentas de terceiros
  • Uso de funções centralizadas para controlar atividades privilegiadas
  • Identidades gerenciadas para recursos do Azure](/Azure/active-directory/managed-identities-Azure-resources/overview) para acesso aos serviços do Azure
  • Bloqueios de recursos para proteger contra edição e exclusão de recursos

Considerações sobre visibilidade

  • Quais equipes precisam receber notificações de alerta?
  • Você tem grupos de serviços que precisam de várias equipes para serem notificados?
  • Você tem ferramentas de gerenciamento de serviços existentes para as quais precisa enviar alertas?
  • Quais serviços são considerados críticos para os negócios e exigem notificações de alta prioridade de problemas?

Recomendações de inventário e visibilidade

  • Use um único espaço de trabalho de logs de monitor para gerenciar plataformas centralmente, exceto quando o controle de acesso baseado em função do Azure (Azure RBAC), os requisitos de soberania de dados e as políticas de retenção de dados exigem espaços de trabalho separados. O registro centralizado é fundamental para a visibilidade exigida pelas equipes de gerenciamento de operações e gera relatórios sobre gerenciamento de alterações, integridade do serviço, configuração e a maioria dos outros aspetos das operações de TI. Concentrar-se em um modelo de espaço de trabalho centralizado reduz o esforço administrativo e as chances de lacunas na observabilidade.
  • Exporte logs para o Armazenamento do Azure se seus requisitos de retenção de log excederem sete anos. Use o armazenamento imutável com uma política de gravação única e leitura múltipla para tornar os dados não apagáveis e não modificáveis para um intervalo especificado pelo usuário.
  • Use a Política do Azure para controle de acesso e relatórios de conformidade. A Política do Azure permite impor configurações em toda a organização para garantir a adesão consistente à política e a rápida deteção de violações. Para obter mais informações, consulte Compreender os efeitos da Política do Azure.
  • Use o Network Watcher para monitorar proativamente os fluxos de tráfego por meio dos logs de fluxo NSG do Network Watcher v2. O Traffic Analytics analisa os logs de fluxo do NSG para coletar informações detalhadas sobre o tráfego IP em redes virtuais. Ele também fornece informações críticas de que você precisa para um gerenciamento e monitoramento eficazes, como:
    • A maioria dos hosts e protocolos de aplicativos que se comunicam
    • A maioria dos pares de anfitriões conversadores
    • Tráfego permitido ou bloqueado
    • Tráfego de entrada e de saída
    • Abrir portas de internet
    • A maioria das regras de bloqueio
    • Distribuição de tráfego por um datacenter do Azure
    • Rede virtual
    • Sub-redes
    • Redes fraudulentas
  • Use bloqueios de recursos para evitar a exclusão acidental de serviços compartilhados críticos .
  • Use políticas de negação para complementar as atribuições de função do Azure. As políticas de negação ajudam a impedir implantações e configurações de recursos que não atendem aos padrões definidos, bloqueando o envio de solicitações para provedores de recursos. A combinação de políticas de negação e atribuições de função do Azure garante que você tenha proteções apropriadas para controlar quem pode implantar e configurar recursos e quais recursos eles podem implantar e configurar.
  • Inclua eventos de integridade de serviços e recursos como parte de sua solução geral de monitoramento de plataforma. O acompanhamento do serviço e da integridade dos recursos da perspetiva da plataforma é um componente importante do gerenciamento de recursos no Azure.
  • Não envie entradas de log brutas de volta para sistemas de monitoramento locais. Em vez disso, adote o princípio de que os dados nascidos no Azure permanecem no Azure. Se você precisar de integração SIEM local, envie alertas críticos em vez de logs.

Gerenciamento e acelerador de zona de aterrissagem do Azure

O acelerador de zona de aterrissagem do Azure inclui configuração opinativa para implantar os principais recursos de gerenciamento do Azure que ajudam sua organização a escalar e amadurecer rapidamente.

A implantação do acelerador de zona de aterrissagem do Azure inclui ferramentas de gerenciamento e monitoramento importantes, como:

  • Um espaço de trabalho do Log Analytics e uma conta de automação
  • Monitoramento do Microsoft Defender for Cloud
  • Configurações de diagnóstico para logs de atividades, máquinas virtuais e recursos de plataforma como serviço (PaaS) enviados para o Log Analytics

Registo centralizado no acelerador de zona de aterragem do Azure

No contexto do acelerador de zona de aterrissagem do Azure, o log centralizado se preocupa principalmente com as operações da plataforma.

Essa ênfase não impede o uso do mesmo espaço de trabalho para o log de aplicativos baseados em VM. Dentro de um espaço de trabalho configurado no modo de controle de acesso centrado em recursos, o RBAC granular do Azure é imposto, o que garante que suas equipes de aplicativos só tenham acesso aos logs de seus recursos.

Nesse modelo, as equipes de aplicativos se beneficiam do uso da infraestrutura de plataforma existente, pois reduz a sobrecarga de gerenciamento.

Para recursos não computacionais, como aplicativos Web ou bancos de dados do Azure Cosmos DB, suas equipes de aplicativos podem usar seus próprios espaços de trabalho do Log Analytics. Em seguida, eles podem encaminhar diagnósticos e métricas para esses espaços de trabalho.

Próximos passos

Monitorar os componentes da zona de aterrissagem da plataforma Azure