Рекомендации по инвентаризации и мониторингу

  • Статья

Поскольку ваша организация разрабатывает и реализует облачную среду, основой для мониторинга служб платформы и служб платформы является ключевое внимание. Чтобы обеспечить успешное внедрение облака, необходимо структурировать эти службы в соответствии с потребностями вашей организации по мере масштабирования среды.

Решения облачной операционной модели, которые вы принимаете на ранних этапах планирования, напрямую влияют на то, как операции управления выполняются в рамках целевых зон. Степень централизованного управления для вашей платформы является ключевым примером.

Используйте рекомендации, приведенные в этой статье, чтобы подумать о том, как следует подходить к инвентаризации и видимости в облачной среде.

Рекомендации по инвентаризации

  • Рассмотрите возможность использования таких средств, как рабочая область Azure Monitor Log Analytics в качестве административных границ.
  • Определите, какие команды должны использовать системные журналы из платформы и которым требуется доступ к этим журналам.

Рассмотрим следующие элементы, связанные с данными ведения журнала, чтобы сообщить о типах данных, которые могут потребоваться выполнить сортировку и использовать.

Область Контекст
Мониторинг платформы, ориентированной на приложения
Включите горячие и холодные пути телеметрии для метрик и журналов соответственно.
Метрики операционной системы, такие как счетчики производительности и пользовательские метрики.
Журналы операционной системы, такие как:
  • Службы IIS
  • Трассировка событий для Windows и системные журналы
  • События работоспособности ресурсов
Журналы аудита безопасности Цель достичь горизонтальной объективы безопасности в пределах всего имущества Azure вашей организации.
  • Потенциальная интеграция с локальными системами управления сведениями о безопасности и событиями безопасности (SIEM), такими как ArcSight или платформа безопасности Onapsis
  • Потенциальная интеграция с программным обеспечением как услуга (SaaS), например ServiceNow
  • Журнал действий Azure
  • Отчеты аудита Microsoft Entra
  • Службы диагностики Azure, журналы и метрики, события аудита Azure Key Vault, журналы потоков группы безопасности сети (NSG) и журналы событий
  • Azure Monitor, Наблюдатель за сетями Azure, Microsoft Defender для облака и Microsoft Sentinel
Пороговые значения для хранения данных Azure и требования к архивированию
  • Срок хранения по умолчанию для журналов Azure Monitor составляет 30 дней, при этом максимальный срок хранения аналитики составляет два года и архив за семь лет.
  • Срок хранения по умолчанию для отчетов Microsoft Entra (премиум) составляет 30 дней.
  • Срок хранения по умолчанию для журналов действий Azure и журналов приложений Аналитика составляет 90 дней.
Требования к операционной деятельности
  • Рабочие панели с собственными инструментами, такими как журналы Azure Monitor или сторонние средства.
  • Использование централизованных ролей для управления привилегированными действиями
  • Управляемые удостоверения для ресурсов Azure](/Azure/active-directory/managed-identities-Azure-resources/overview) для доступа к службам Azure
  • Блокировки ресурсов для защиты от редактирования и удаления ресурсов

Рекомендации по мониторингу

  • Какие команды должны получать уведомления об оповещениях?
  • Есть ли у вас группы служб, которым требуется получать уведомления нескольких команд?
  • Есть ли у вас существующие средства управления службами, в которые необходимо отправить оповещения?
  • Какие службы считаются критически важными для бизнеса и требуют уведомлений о проблемах с высоким приоритетом?

Рекомендации по инвентаризации и мониторингу

  • Используйте одну рабочую область журналов мониторов для централизованного управления платформами, за исключением того, где управление доступом на основе ролей Azure (Azure RBAC), требования к суверенитету данных и политики хранения данных определяют отдельные рабочие области. Централизованное ведение журнала крайне важно для видимости, необходимой командами управления операциями, и управляет отчетами об управлении изменениями, работоспособности служб, конфигурации и большинстве других аспектов ИТ-операций. Централизованная модель рабочей области снижает затраты на администрирование и сокращает вероятность появления проблем с наблюдаемостью.
  • Экспортируйте журналы в служба хранилища Azure, если требования к хранению журналов превышают семь лет. Используйте неизменяемое хранилище с политикой "однократная запись, многократное считывание", чтобы сделать данные нестираемыми и неизменяемыми в течение заданного пользователем интервала времени.
  • Используйте политику Azure для управления доступом и отчетов о соответствии требованиям. Политика Azure позволяет применять параметры по всей организации для обеспечения согласованного соблюдения политик и быстрого обнаружения нарушений. Дополнительные сведения см. в статье Общие сведения об эффектах политики Azure.
  • Используйте Наблюдатель за сетями для упреждающего мониторинга потоков трафика с помощью журналов потоков NSG Наблюдателя за сетями версии 2. Аналитика трафика анализирует журналы потоков NSG, чтобы получить подробные сведения о IP-трафике в виртуальных сетях. Она также предоставляет критически важные сведения, необходимые для эффективного управления и мониторинга, например:
    • Узлы и протоколы приложений с наибольшим объемом передаваемых данных.
    • Пара узлов, больше всего взаимодействующих между собой.
    • Разрешенный или заблокированный трафик.
    • Входящие и исходящие SMS.
    • Открытые порты Интернета.
    • Самые блокирующие правила.
    • Распределение трафика на центр обработки данных Azure.
    • Виртуальная сеть
    • подсети;
    • Мошеннические сети.
  • Используйте блокировки ресурсов, чтобы предотвратить случайное удаление критических общих служб.
  • Используйте политики запрета для дополнительных назначений ролей Azure. Политики запрета помогают предотвратить развертывание ресурсов и конфигурации, которые не соответствуют определенным стандартам, блокируя отправку запросов поставщикам ресурсов. Объединение политик запрета и назначений ролей Azure гарантирует наличие соответствующих охранников для управления тем, кто может развертывать и настраивать ресурсы и какие ресурсы они могут развертывать и настраивать.
  • Включите события работоспособности служб и ресурсов в рамках общего решения мониторинга платформы. Отслеживание работоспособности служб и ресурсов с точки зрения платформы является важным компонентом управления ресурсами в Azure.
  • Не отправляйте необработанные записи журнала обратно в локальные системы мониторинга. Вместо этого используйте принцип, который данные, родившиеся в Azure, остаются в Azure. Если требуется локальная интеграция SIEM, отправьте критические оповещения вместо журналов.

Ускоритель целевой зоны Azure и управление им

Акселератор целевой зоны Azure включает в себя рекомендуемую конфигурацию для ключ развертывания возможностей управления Azure, которые помогают вашей организации быстро масштабировать и зрелые.

Развертывание акселератора целевой зоны Azure включает средства управления ключами и мониторинга, такие как:

  • Рабочая область Log Analytics и учетная запись службы автоматизации.
  • Мониторинг в Microsoft Defender для облака.
  • Параметры диагностики для журналов действий, виртуальных машин и ресурсов платформы как услуги (PaaS), отправленных в Log Analytics.

Централизованное ведение журналов в ускорителе целевой зоны Azure.

В контексте ускорителя целевой зоны Azure централизованное ведение журнала, в основном, связано с операциями платформы.

Этот акцент не предотвращает использование той же рабочей области для ведения журнала приложений на основе виртуальных машин. В рабочей области, настроенной в режиме управления доступом, ориентированном на ресурсы, применяется детальная функция Azure RBAC, которая гарантирует, что команды приложений имеют доступ только к журналам из своих ресурсов.

В этой модели команды приложений получают выгоду от использования существующей инфраструктуры платформы, так как она снижает затраты на управление.

Для нечисловых ресурсов, таких как веб-приложения или базы данных Azure Cosmos DB, команды приложений могут использовать собственные рабочие области Log Analytics. Затем они могут направлять диагностика и метрики в эти рабочие области.

Следующие шаги

Мониторинг компонентов целевой зоны платформы Azure