Metodtips för att skydda och hantera Azure-arbetsbelastningar

När du planerar migreringen till molnet måste du, förutom att tänka på själva migreringen, överväga din säkerhets- och hanteringsmodell i Azure. I den här artikeln beskrivs metodtips för att skydda azure-distributionen efter migreringen. Den omfattar även pågående uppgifter för att hålla distributionen igång på en optimal nivå.

Viktigt

De metodtips och åsikter som beskrivs i den här artikeln baseras på de tillgängliga funktionerna i Azure-plattformen och -tjänsten när den skrevs. Funktioner och funktioner kan ändras med tiden.

Skydda migrerade arbetsbelastningar

Efter migreringen är den mest kritiska uppgiften att skydda migrerade arbetsbelastningar mot interna och externa hot. Dessa metodtips hjälper dig att:

  • Lär dig hur du arbetar med övervakning, utvärderingar och rekommendationer från Microsoft Defender för molnet.
  • Få metodtips för att kryptera dina data i Azure.
  • Skydda dina virtuella datorer mot skadlig kod och skadliga attacker.
  • Skydda känslig information i migrerade webbappar.
  • Kontrollera vilka som har åtkomst till dina Azure-prenumerationer och -resurser efter migreringen.
  • Granska dina Azure-gransknings- och säkerhetsloggar regelbundet.
  • Förstå och utvärdera avancerade säkerhetsfunktioner som Azure erbjuder.

Bästa praxis: Följ rekommendationerna för Microsoft Defender för molnet

Defender för molnet tillhandahåller enhetlig säkerhetshantering för Azure-klientadministratörer för att skydda arbetsbelastningar mot attacker. Du kan tillämpa säkerhetsprinciper för arbetsbelastningar, begränsa hotexponeringen och identifiera och svara på attacker. Defender för molnet analyserar resurser och konfigurationer mellan Azure-klienter och ger säkerhetsrekommendationer, inklusive:

  • Centraliserad principhantering: Se till att företagets eller regelefterlevnadskraven efterlevs genom att centralt hantera säkerhetsprinciper för alla dina hybridmolnarbetsbelastningar.
  • Kontinuerlig säkerhetsutvärdering: Övervaka säkerhetsstatusen för datorer, nätverk, lagrings- och datatjänster och program för att identifiera potentiella säkerhetsproblem.
  • Användbara rekommendationer: Åtgärda säkerhetsrisker innan de kan utnyttjas av angripare, med prioriterade och åtgärdsinriktade säkerhetsrekommendationer.
  • Prioriterade aviseringar och incidenter: Fokusera på de mest kritiska hoten först, med prioriterade säkerhetsaviseringar och incidenter.

Förutom utvärderingar och rekommendationer tillhandahåller Defender för molnet andra säkerhetsfunktioner som du kan aktivera för specifika resurser.

  • Just-in-time-åtkomst (JIT). Minska din nätverksangreppsyta med JIT-kontrollerad åtkomst till hanteringsportar på virtuella Azure-datorer.
    • Om VM RDP-port 3389 är öppen på Internet exponeras virtuella datorer för kontinuerlig aktivitet från dåliga aktörer. Azures IP-adresser är välkända och hackare söker kontinuerligt av dem för attacker på öppna 3389-portar.
    • JIT använder nätverkssäkerhetsgrupper (NSG:er) och inkommande regler som begränsar hur lång tid en specifik port är öppen.
    • När JIT-åtkomst är aktiverat kontrollerar Defender för molnet att en användare har skrivbehörighet för rollbaserad åtkomstkontroll i Azure (Azure RBAC) för en virtuell dator. Dessutom kan du ange regler för hur användare kan ansluta till virtuella datorer. Om behörigheterna är OK godkänns en åtkomstbegäran och Defender för molnet konfigurerar NSG:er för att tillåta inkommande trafik till de valda portarna under den tid du anger. NSG:er återgår till sitt tidigare tillstånd när tiden går ut.
  • Anpassningsbara programkontroller. Håll programvara och skadlig kod borta från virtuella datorer genom att styra vilka program som körs på dem med hjälp av dynamiska allowlists.
    • Med anpassningsbara programkontroller kan du godkänna program och förhindra obehöriga användare eller administratörer från att installera icke godkända eller granska program på dina virtuella datorer.
      • Du kan blockera eller avisera försök att köra skadliga program, undvika oönskade eller skadliga program och säkerställa efterlevnad av organisationens programsäkerhetsprincip.
  • Övervakning av filintegritet. Säkerställ integriteten för filer som körs på virtuella datorer.
    • Att installera programvara är inte det enda sättet att orsaka problem med virtuella datorer. Att ändra en systemfil kan också orsaka fel eller prestandaförsämring. Övervakning av filintegritet undersöker systemfiler och registerinställningar för ändringar och meddelar dig om något uppdateras.
    • Defender för molnet rekommenderar vilka filer du bör övervaka.

Läs mer:

Bästa praxis: Kryptera data

Kryptering är en viktig del av Azures säkerhetspraxis. Aktivera kryptering på alla nivåer för att förhindra att obehöriga parter får åtkomst till känsliga data, inklusive data under överföring och i vila.

Kryptering för infrastruktur som en tjänst

  • Virtuella datorer: För virtuella datorer kan du använda Azure Disk Encryption för att kryptera dina virtuella IaaS-diskar (Windows- och Linux-infrastruktur som en tjänst).
    • Azure Disk Encryption använder BitLocker för Windows och dm-crypt för Linux för att tillhandahålla volymkryptering för operativsystemet och datadiskar.
    • Du kan använda en krypteringsnyckel som skapas av Azure eller ange egna krypteringsnycklar, som skyddas i Azure Key Vault.
    • Med Azure Disk Encryption skyddas IaaS VM-data i vila (på disken) och vid vm-start.
      • Defender för molnet varnar dig om du har virtuella datorer som inte är krypterade.
  • Lagring: Skydda vilande data som lagras i Azure Storage.
    • Data som lagras i Azure Storage-konton kan krypteras med hjälp av Microsoft-genererade AES-nycklar som är FIPS 140-2-kompatibla, eller så kan du använda dina egna nycklar.
    • Azure Storage-kryptering är aktiverat för alla nya och befintliga lagringskonton och kan inte inaktiveras.

Kryptering för plattform som en tjänst

Till skillnad från IaaS, där du hanterar dina egna virtuella datorer och infrastruktur, hanteras plattformen och infrastrukturen av leverantören i en PaaS-modell (plattform som en tjänst). Du kan fokusera på grundläggande programlogik och funktioner. Med så många olika typer av PaaS-tjänster utvärderas varje tjänst separat av säkerhetsskäl. Låt oss till exempel se hur du kan aktivera kryptering för Azure SQL Database.

  • Always Encrypted: Använd guiden Always Encrypted i SQL Server Management Studio för att skydda vilande data.
    • Du skapar en Always Encrypted nyckel för att kryptera enskilda kolumndata.
    • Always Encrypted-nycklar kan lagras som krypterade i databasmetadata eller lagras i betrodda nyckelarkiv, till exempel Azure Key Vault.
    • Förmodligen måste du göra programändringar för att använda den här funktionen.
  • Transparent datakryptering (TDE): Skydda Azure SQL-databasen med realtidskryptering och dekryptering av databasen, tillhörande säkerhetskopior och vilande transaktionsloggfiler.
    • Med TDE kan krypteringsaktiviteter ske utan ändringar i programlagret.
    • TDE kan använda krypteringsnycklar som tillhandahålls av Microsoft, eller så kan du ta med din egen nyckel.

Läs mer:

Bästa praxis: Skydda virtuella datorer med program mot skadlig kod

Äldre Azure-migrerade virtuella datorer kanske inte har rätt nivå av program mot skadlig kod installerade. Azure tillhandahåller en kostnadsfri slutpunktslösning som hjälper till att skydda virtuella datorer mot virus, spionprogram och annan skadlig kod.

  • Microsoft Antimalware för Azure Cloud Services och Virtual Machines genererar aviseringar när känd skadlig eller oönskad programvara försöker installera sig själv.

  • Det är en lösning med en agent som körs i bakgrunden utan mänsklig inblandning.

  • Defender för molnet kan identifiera virtuella datorer som inte har endpoint protection igång, så att du kan installera Microsoft Antimalware efter behov.

    Skärmbild av Microsoft Antimalware för virtuella datorer.

    Bild 1: Microsoft Antimalware för Azure.

Läs mer:

Bästa praxis: Säkra webbappar

Migrerade webbappar har ett par problem:

  • De flesta äldre webbappar har känslig information i konfigurationsfiler. Filer som innehåller sådan information kan utgöra säkerhetsproblem när program säkerhetskopieras eller när programkod checkas in eller ut från källkontrollen.
  • När du migrerar webbappar som finns på en virtuell dator flyttar du förmodligen den datorn från ett lokalt nätverk och en brandväggsskyddad miljö till en miljö som är riktad mot Internet. Se till att du konfigurerar en lösning som utför samma arbete som dina lokala skyddsresurser.

Azure tillhandahåller följande lösningar:

  • Azure Key Vault: I dag vidtar webbappsutvecklare åtgärder för att säkerställa att känslig information inte läcker från dessa filer. En metod för att skydda information är att extrahera den från filer och placera den i Azure Key Vault.

    • Du kan använda Key Vault för att centralisera lagringen av programhemligheter och styra deras distribution. Det undviker behovet av att lagra säkerhetsinformation i programfiler.
    • Program kan på ett säkert sätt komma åt information i valvet med hjälp av URI:er utan att behöva anpassad kod.
    • Med Azure Key Vault kan du låsa åtkomsten via Azure-säkerhetskontroller och smidigt implementera rullande nycklar. Microsoft ser eller extraherar inte dina data.
  • App Service-miljön för Power Apps: Om ett program som du migrerar behöver extra skydd bör du överväga att lägga till App Service-miljön och Web Application Firewall för att skydda programresurserna.

    • App Service-miljön tillhandahåller en helt isolerad och dedikerad miljö för program som körs, till exempel Windows- och Linux-webbappar, Docker-containrar, mobilappar och funktionsappar.
    • Det är användbart för program som är i hög skala, kräver isolering och säker nätverksåtkomst eller har hög minnesanvändning.
  • Web Application Firewall: Den här funktionen i Azure Application Gateway ger ett centraliserat skydd för webbappar.

    • Den skyddar webbappar utan att kräva ändringar i serverdelskoden.
    • Den skyddar flera webbappar samtidigt, bakom Application Gateway.
    • Du kan övervaka Web Application Firewall med hjälp av Azure Monitor. Web Application Firewall är integrerat i Defender för molnet.

    Diagram över Azure Key Vault och säkra webbappar.

    Bild 2: Azure Key Vault.

Läs mer:

Bästa praxis: Granska prenumerationer och resursbehörigheter

När du migrerar dina arbetsbelastningar och kör dem i Azure kan personal med arbetsbelastningsåtkomst röra sig. Säkerhetsteamet bör regelbundet granska vem som har åtkomst till din Azure-klientorganisation och resursgrupper. Azure har erbjudanden för identitetshantering och åtkomstkontrollsäkerhet, inklusive rollbaserad åtkomstkontroll i Azure (Azure RBAC) för att ge behörighet att komma åt Azure-resurser.

  • Azure RBAC tilldelar åtkomstbehörigheter för säkerhetsobjekt. Säkerhetsobjekt representerar användare, grupper (en uppsättning användare), tjänstens huvudnamn (identitet som används av program och tjänster) och hanterade identiteter (en Azure Active Directory-identitet som hanteras automatiskt av Azure).
  • Azure RBAC kan tilldela roller till säkerhetsobjekt (till exempel ägare, deltagare och läsare) och rolldefinitioner (en samling behörigheter) som definierar de åtgärder som rollerna kan utföra.
  • Azure RBAC kan också ange omfång som anger gränsen för en roll. Omfånget kan anges på flera nivåer, inklusive en hanteringsgrupp, prenumeration, resursgrupp eller resurs.

Se till att administratörer med Azure-åtkomst endast kan komma åt resurser som du vill tillåta. Om de fördefinierade rollerna i Azure inte är tillräckligt detaljerade kan du skapa anpassade roller för att avgränsa och begränsa åtkomstbehörigheter.

Skärmbild av rollbaserad åtkomstkontroll**.

Bild 3: Rollbaserad åtkomstkontroll.

Läs mer:

Bästa praxis: Granska gransknings- och säkerhetsloggar

Azure Active Directory (Azure AD) tillhandahåller aktivitetsloggar som visas i Azure Monitor. Loggarna registrerar de åtgärder som utförs i Azure-klientorganisationen, när de utfördes och vem som utförde dem.

  • Spårningsloggar visar historiken för aktiviteter i klientorganisationen. Inloggningsaktivitetsloggar visar vem som utförde aktiviteterna.

  • Åtkomst till säkerhetsrapporter är beroende av din Azure AD-licens. Med de kostnadsfria och grundläggande licenserna får du en lista över riskfyllda användare och inloggningar. Med premiumlicenserna får du underliggande händelseinformation.

  • Du kan dirigera aktivitetsloggar till olika slutpunkter för långsiktig kvarhållning och datainsikter.

  • Gör det till en vanlig praxis att granska loggarna eller integrera verktygen för säkerhetsincidenter och händelsehantering (SIEM) för att automatiskt granska avvikelser. Om du inte använder en Premium-licens måste du göra en hel del analyser själv eller med hjälp av DITT SIEM-system. Analys innefattar att söka efter riskfyllda inloggningar och händelser, och andra mönster för användarangrepp.

    Skärmbild av Azure AD användare och grupper.

    Bild 4: Azure AD användare och grupper.

Läs mer:

Bästa praxis: Utvärdera andra säkerhetsfunktioner

Azure innehåller andra säkerhetsfunktioner som tillhandahåller avancerade säkerhetsalternativ. Några av följande metodtips kräver tilläggslicenser och premiumalternativ.

  • Implementera Azure AD administrativa enheter. Det kan vara svårt att delegera administrativa uppgifter till supportpersonal med bara grundläggande Azure-åtkomstkontroll. Att ge supportpersonal åtkomst att administrera alla grupper i Azure AD kanske inte är den idealiska metoden för organisationens säkerhet. Du kan använda administrativa enheter för att separera Azure-resurser i containrar på ett liknande sätt som lokala organisationsenheter (OUs). Administratören för administrativa enheter måste ha en premiumlicens för Azure AD för att kunna använda administrativa enheter. Mer information finns i Hantering av administrativa enheter i Azure AD.
  • Använd multifaktorautentisering. Om du har en premium-Azure AD licens kan du aktivera och framtvinga multifaktorautentisering på dina administratörskonton. Nätfiske är det vanligaste sättet som kontons autentiseringsuppgifter komprometteras. När en dålig aktör har autentiseringsuppgifter för administratörskontot går det inte att stoppa dem från långtgående åtgärder, till exempel att ta bort alla dina resursgrupper. Du kan upprätta multifaktorautentisering på flera sätt, till exempel med e-post, en autentiseringsapp och telefon-sms. Som administratör kan du välja det minst störande alternativet. Multifaktorautentisering integreras med hotanalys och principer för villkorlig åtkomst för att slumpmässigt kräva en utmaningssvar för multifaktorautentisering. Läs mer om metodtips för säkerhet för identitetshantering och åtkomstkontroll i Azure och hur du konfigurerar multifaktorautentisering.
  • Implementera villkorlig åtkomst. I de flesta små och medelstora organisationer finns Azure-administratörer och supportteamet förmodligen i ett enda geografiskt område. I det här fallet kommer de flesta inloggningar från samma områden. Om IP-adresserna för dessa platser är ganska statiska är det logiskt att du inte bör se administratörsinloggningar utanför dessa områden. Även om en fjärransluten dålig aktör komprometterar en administratörs autentiseringsuppgifter kan du implementera säkerhetsfunktioner som villkorlig åtkomst, kombinerat med multifaktorautentisering, för att förhindra inloggning från fjärrplatser. Det kan också förhindra falska platser från slumpmässiga IP-adresser. Läs mer om villkorlig åtkomst och granska metodtips för villkorlig åtkomst i Azure AD.
  • Granska behörigheter för företagsprogram. Med tiden väljer administratörer microsoft- och tredjepartslänkar utan att veta hur de påverkar organisationen. Länkar kan visa medgivandeskärmar som tilldelar behörigheter till Azure-appar, vilket kan ge åtkomst till att läsa Azure AD data eller till och med fullständig åtkomst för att hantera hela Azure-prenumerationen. Du bör regelbundet granska de program som dina administratörer och användare har gett åtkomst till Azure-resurser till. Kontrollera att dessa program bara har de behörigheter som krävs. Dessutom kan du skicka e-post till användare kvartalsvis eller halvårsvis med en länk till programsidor, så att de är medvetna om de program som de har tillåtit åtkomst till sina organisationsdata till. Mer information finns i oväntat program i programlistan och hur du styr programtilldelningar i Azure AD.

Hantera migrerade arbetsbelastningar

Följande avsnitt rekommenderar några metodtips för Azure-hantering, inklusive:

  • Metodtips för Azure-resursgrupper och -resurser, inklusive smart namngivning, förhindrande av oavsiktlig borttagning, hantering av resursbehörigheter och effektiv resurstaggning.
  • En översikt över hur du använder skisser för att skapa och hantera dina distributionsmiljöer.
  • Granska Exempel på Azure-arkitekturer när du skapar dina distributioner efter migreringen.
  • Om du har flera prenumerationer kan du samla dem i hanteringsgrupper och använda styrningsinställningar för dessa grupper.
  • Tillämpa efterlevnadsprinciper på dina Azure-resurser.
  • Utforma en BCDR-strategi (affärskontinuitet och haveriberedskap) för att se till att data skyddas, miljön är motståndskraftig och resurser fungerar vid avbrott.
  • Gruppera virtuella datorer i tillgänglighetsgrupper för motståndskraft och hög tillgänglighet. Använd hanterade diskar för enkel disk- och lagringshantering för virtuella datorer.
  • Aktivera diagnostisk loggning för Azure-resurser, skapa aviseringar och spelböcker för proaktiv felsökning och använd Azure-instrumentpanelen för en enhetlig vy över distributionens hälsa och status.
  • Förstå din Azure-supportplan och hur du implementerar den, få metodtips för att hålla virtuella datorer uppdaterade och implementera processer för ändringshantering.

Bästa praxis: Namnge resursgrupper

Dina resursgrupper bör ha meningsfulla namn som administratörer och supportteammedlemmar enkelt kan känna igen och genomsöka. Beskrivande namn kan drastiskt förbättra produktiviteten och effektiviteten.

Om du synkroniserar din lokal Active Directory för att Azure AD med hjälp av Azure AD Anslut kan du överväga att matcha namnen på säkerhetsgrupper lokalt med namnen på resursgrupper i Azure.

Skärmbild av namngivning av resursgrupp.

Bild 5: Namn på resursgrupp.

Läs mer:

Bästa praxis: Implementera borttagningslås för resursgrupper

Det sista du behöver är att en resursgrupp försvinner eftersom den tagits bort av misstag. Vi rekommenderar att du låser resurserna för att förhindra oavsiktlig borttagning.

Skärmbild av borttagningslås.

Bild 6: Ta bort lås.

Läs mer:

Bästa praxis: Förstå behörigheter för resursåtkomst

En prenumerationsägare har åtkomst till alla resursgrupper och resurser i prenumerationen.

  • Var försiktig med att ge personer den här värdefulla tilldelningen. Det är viktigt att förstå konsekvenserna av dessa typer av behörigheter för att hålla miljön säker och stabil.
  • Se till att du placerar resurser i lämpliga resursgrupper:
    • Matcha resurser med liknande livscykel tillsammans. Du bör helst inte behöva flytta en resurs när du behöver ta bort en hel resursgrupp.
    • Resurser som rör en funktion eller arbetsbelastning bör placeras tillsammans för förenklad hantering.

Läs mer:

Bästa praxis: Tagga resurser effektivt

Ofta ger endast ett resursgruppsnamn som är relaterat till resurser inte tillräckligt med metadata för effektiv implementering av mekanismer, till exempel intern fakturering eller hantering i en prenumeration.

  • Vi rekommenderar att du använder Azure-taggar för att lägga till användbara metadata som kan efterfrågas och rapporteras.

  • Taggar ger ett sätt att organisera resurser logiskt med egenskaper som du definierar. Taggar kan tillämpas direkt på resursgrupper eller resurser.

  • Taggar kan tillämpas på en resursgrupp eller på enskilda resurser. En resursgrupps taggar ärvs inte av resurserna i gruppen.

  • Du kan automatisera taggning med hjälp av PowerShell eller Azure Automation eller tagga enskilda grupper och resurser.

  • Om du har ett system för begäranden och ändringshantering kan du enkelt använda informationen i begäran för att fylla i företagsspecifika resurstaggar.

    Skärmbild av taggning.

    Bild 7: Taggning.

Läs mer:

Bästa praxis: Implementera skisser

Precis som en skiss gör det möjligt för tekniker och arkitekter att skissa ett projekts designparametrar låter Azure Blueprints-tjänsten molnarkitekter och centrala IT-grupper definiera en upprepningsbar uppsättning Azure-resurser. Skisser hjälper dem att implementera och följa en organisations standarder, mönster och krav. Utvecklingsteam kan snabbt skapa och skapa nya miljöer som uppfyller organisationens efterlevnadskrav. Dessa nya miljöer har en uppsättning inbyggda komponenter, till exempel nätverk, för att påskynda utveckling och leverans.

  • Använd skisser för att samordna distributionen av resursgrupper, Azure Resource Manager-mallar och princip- och rolltilldelningar.
  • Lagra skisser i en globalt distribuerad tjänst, Azure Cosmos DB. Skissobjekt replikeras till flera Azure-regioner. Replikering ger låg svarstid, hög tillgänglighet och konsekvent åtkomst till en skiss, oavsett vilken region som en skiss distribuerar resurser till.

Läs mer:

Bästa praxis: Granska Azure-referensarkitekturer

Det kan vara skrämmande att skapa säkra, skalbara och hanterbara arbetsbelastningar i Azure och att hålla koll på olika funktioner för en optimal miljö. Att ha en referens att lära dig av kan vara till hjälp när du utformar och migrerar dina arbetsbelastningar. Azure och Azure-partner har skapat flera exempel på referensarkitekturer för olika typer av miljöer. Dessa exempel är utformade för att ge idéer som du kan lära dig av och bygga vidare på.

Referensarkitekturer ordnas efter scenario. De innehåller metodtips och råd om hantering, tillgänglighet, skalbarhet och säkerhet. App Service-miljön tillhandahåller en helt isolerad och dedikerad miljö för program som körs, till exempel Windows- och Linux-webbappar, Docker-containrar, mobilappar och funktioner. App Service lägger till kraften hos Azure i ditt program, med säkerhet, belastningsutjämning, automatisk skalning och automatiserad hantering. Du kan även dra nytta av dess DevOps-funktioner, till exempel kontinuerlig distribution från Azure DevOps och GitHub, pakethantering, mellanlagringsmiljöer, anpassade domäner och SSL-certifikat. App Service är användbart för program som behöver isolering och säker nätverksåtkomst, och program som använder stora mängder minne och andra resurser som behöver skalas.

Läs mer:

Bästa praxis: Hantera resurser med Azure-hanteringsgrupper

Om din organisation har flera prenumerationer behöver du hantera åtkomst, principer och efterlevnad för dem. Azure-hanteringsgrupper ger en omgångsnivå som omfattar prenumerationer. Här följer några tips:

  • Du organiserar prenumerationer i containrar som kallas hanteringsgrupper och tillämpar styrningsvillkor på dem.
  • Alla prenumerationer i en hanteringsgrupp ärver automatiskt hanteringsgruppens villkor.
  • Hanteringsgrupper tillhandahåller storskalig hantering i företagsklass, oavsett vilken typ av prenumerationer du har.
  • Du kan till exempel tillämpa en hanteringsgruppsprincip som begränsar regionerna där virtuella datorer kan skapas. Den här principen tillämpas sedan för alla hanteringsgrupper, prenumerationer och resurser under hanteringsgruppen.
  • Du kan skapa en flexibel struktur för hanteringsgrupper och prenumerationer, för att organisera dina resurser i en hierarki för enhetlig princip- och åtkomsthantering.

Följande diagram visar ett exempel på hur du skapar en styrningshierarki med hjälp av hanteringsgrupper.

Diagram över hanteringsgrupper.

Bild 8: Hanteringsgrupper.

Läs mer:

Bästa praxis: Distribuera Azure Policy

Azure Policy är en tjänst som används till att skapa, tilldela och hantera principer. Principer tillämpar olika regler och effekter på dina resurser, så att dessa resurser följer företagets standarder och serviceavtal.

Azure Policy utvärderar dina resurser genom att söka efter inkompatibilitet med dina principer. Du kan till exempel skapa en princip som endast tillåter en specifik SKU-storlek för virtuella datorer i din miljö. Azure Policy utvärderar den här inställningen när du skapar och uppdaterar resurser och när du genomsöker befintliga resurser. Observera att Azure tillhandahåller vissa inbyggda principer som du kan tilldela, eller så kan du skapa egna.

Skärmbild av Azure Policy.

Bild 9: Azure Policy.

Läs mer:

Bästa praxis: Implementera en BCDR-strategi

Planering för affärskontinuitet och haveriberedskap (BCDR) är en viktig övning som du bör slutföra som en del av planeringsprocessen för Azure-migrering. I juridiska termer kan dina kontrakt innehålla en force majeure-klausul som ursäktar skyldigheter på grund av en större kraft, till exempel orkaner eller jordbävningar. Men du måste se till att viktiga tjänster fortsätter att köras och återställas när haveri inträffar. Det kan göra eller bryta företagets framtid.

BCDR-strategin måste i huvudsak omfatta:

  • Säkerhetskopiering av data: Så här skyddar du dina data så att du enkelt kan återställa dem om avbrott inträffar.
  • Katastrofåterställning: Så här håller du dina program motståndskraftiga och tillgängliga om avbrott inträffar.

Konfigurera BCDR

Även om Azure-plattformen tillhandahåller vissa inbyggda återhämtningsfunktioner måste du utforma din Azure-distribution för att dra nytta av dem.

  • Din BCDR-lösning beror på företagets mål och påverkas av din Azure-distributionsstrategi. IaaS- (infrastruktur som en tjänst) och PaaS-distributioner (plattform som en tjänst) innebär olika utmaningar för BCDR.
  • När de är på plats bör dina BCDR-lösningar testas regelbundet för att kontrollera att din strategi förblir livskraftig.

Säkerhetskopiera en IaaS-distribution

I de flesta fall tas en lokal arbetsbelastning ur bruk efter migreringen och din lokala strategi för säkerhetskopiering av data måste utökas eller ersättas. Om du migrerar hela datacentret till Azure måste du utforma och implementera en fullständig säkerhetskopieringslösning med hjälp av Azure-tekniker eller integrerade lösningar från tredje part.

För arbetsbelastningar som körs på virtuella Azure IaaS-datorer bör du fundera på följande säkerhetskopieringslösningar:

  • Azure Backup: Tillhandahåller programkonsekventa säkerhetskopieringar för virtuella Azure Windows- och Linux-datorer.
  • Ögonblicksbilder av lagring: Tar ögonblicksbilder av Blob Storage.
Azure Backup

Azure Backup skapar dataåterställningspunkter som lagras i Azure Storage. Azure Backup kan säkerhetskopiera Azure-VM-diskar och Azure Files (förhandsversion). Azure Files tillhandahålla filresurser i molnet som är tillgängliga via Server Message Block (SMB).

Du kan använda Azure Backup för att säkerhetskopiera virtuella datorer på följande sätt:

  • Direkt säkerhetskopiering från VM-inställningar. Du kan säkerhetskopiera virtuella datorer med Azure Backup direkt från alternativen för virtuella datorer i Azure-portalen. Du kan säkerhetskopiera den virtuella datorn en gång per dag och återställa den virtuella datordisken efter behov. Azure Backup tar ögonblicksbilder av programmedvetna data och ingen agent är installerad på den virtuella datorn.
  • Direkt säkerhetskopiering i ett Recovery Services-valv. Du kan säkerhetskopiera virtuella IaaS-datorer genom att distribuera ett Azure Backup Recovery Services-valv. Den tillhandahåller en enda plats för att spåra och hantera säkerhetskopior, samt detaljerade alternativ för säkerhetskopiering och återställning. Säkerhetskopieringen är upp till tre gånger om dagen, på fil- och mappnivå. Den är inte programmedveten och Linux stöds inte. Installera MARS-agenten (Microsoft Azure Recovery Services) på varje virtuell dator som du vill säkerhetskopiera med hjälp av den här metoden.
  • Skydda den virtuella datorn med Azure Backup Server. Azure Backup Server tillhandahålls utan kostnad med Azure Backup. Den virtuella datorn säkerhetskopieras till lokal Azure Backup Server-lagring. Sedan säkerhetskopierar du Azure Backup Server till Azure i ett valv. Säkerhetskopiering är programmedveten, med fullständig kornighet över säkerhetskopieringsfrekvens och kvarhållning. Du kan säkerhetskopiera på programnivå, till exempel genom att säkerhetskopiera SQL Server eller SharePoint.

För säkerhet krypterar Azure Backup data under flygning med hjälp av AES-256. Den skickar den via HTTPS till Azure. Säkerhetskopierade vilande data i Azure krypteras med hjälp av Azure Storage-kryptering.

Skärmbild av Azure Backup.

Bild 10: Azure Backup.

Läs mer:

Ögonblicksbilder för lagring

Virtuella Azure-datorer lagras som sidblobbar i Azure Storage. Ögonblicksbilder registrerar blobtillståndet vid en viss tidpunkt. Som en alternativ säkerhetskopieringsmetod för Azure-VM-diskar kan du ta en ögonblicksbild av lagringsblobbar och kopiera dem till ett annat lagringskonto.

Du kan kopiera en hel blob eller använda en inkrementell ögonblicksbildskopia för att bara kopiera deltaändringar och minska lagringsutrymmet. Som en extra försiktighetsåtgärd kan du aktivera mjuk borttagning för Blob Storage-konton. När den här funktionen är aktiverad markeras en blob som tas bort för borttagning, men rensas inte omedelbart. Under mellantiden kan du återställa bloben.

Läs mer:

Säkerhetskopiering från tredje part

Dessutom kan du använda tredjepartslösningar för att säkerhetskopiera virtuella Azure-datorer och lagringscontainrar till lokal lagring eller andra molnleverantörer. Mer information finns i säkerhetskopieringslösningar i Azure Marketplace.

Konfigurera haveriberedskap för IaaS-program

Förutom att skydda data måste BCDR-planeringen överväga hur program och arbetsbelastningar ska vara tillgängliga om en katastrof inträffar. För arbetsbelastningar som körs på virtuella Azure IaaS-datorer och Azure Storage bör du överväga lösningarna i följande avsnitt.

Azure Site Recovery

Azure Site Recovery är den primära Azure-tjänsten för att säkerställa att virtuella Azure-datorer kan tas online och att VM-program görs tillgängliga när avbrott inträffar.

Site Recovery replikerar virtuella datorer från en primär till en sekundär Azure-region. Om en katastrof inträffar initierar du en redundansväxling från den primära regionen och fortsätter att komma åt dem som vanligt i den sekundära regionen. När driften återgår till det normala kan du återställa virtuella datorer till den primära regionen.

Diagram över Azure Site Recovery.

Bild 11: Site Recovery.

Läs mer:

Bästa praxis: Använda hanterade diskar och tillgänglighetsuppsättningar

Azure använder tillgänglighetsuppsättningar för att gruppera virtuella datorer logiskt och för att isolera virtuella datorer i en uppsättning från andra resurser. Virtuella datorer i en tillgänglighetsuppsättning sprids över flera feldomäner med separata undersystem som skyddar mot lokala fel. De virtuella datorerna är också spridda över flera uppdateringsdomäner, vilket förhindrar en samtidig omstart av alla virtuella datorer i uppsättningen.

Azure-hanterade diskar förenklar diskhanteringen för Azure Virtual Machines genom att hantera de lagringskonton som är associerade med de virtuella datordiskarna.

  • Använd hanterade diskar där det är möjligt. Du behöver bara ange vilken typ av lagring du vill använda och storleken på disken som du behöver, och Azure skapar och hanterar disken åt dig.

  • Du kan konvertera befintliga diskar till hanterade diskar.

  • Du bör skapa virtuella datorer i tillgänglighetsuppsättningar för hög återhämtning och tillgänglighet. När planerade eller oplanerade avbrott inträffar ser tillgänglighetsuppsättningar till att minst en virtuell dator i uppsättningen förblir tillgänglig.

    Diagram över hanterade diskar.

    Bild 12: Hanterade diskar.

Läs mer:

Bästa praxis: Övervaka resursanvändning och prestanda

Du kanske har flyttat dina arbetsbelastningar till Azure för dess omfattande skalningsfunktioner. Men att flytta din arbetsbelastning innebär inte att Azure automatiskt implementerar skalning utan dina indata. Här följer två exempel:

  • Om marknadsföringsorganisationen skickar en ny TV-annons som ger 300 procent mer trafik kan det uppstå tillgänglighetsproblem på webbplatsen. Din nyligen migrerade arbetsbelastning kan nå tilldelade gränser och krascha.
  • Om det finns en DDoS-attack (Distributed Denial-of-Service) på din migrerade arbetsbelastning vill du i det här fallet inte skala. Du vill förhindra att källan till attackerna når dina resurser.

Dessa två fall har olika lösningar, men för båda behöver du insikt i vad som händer med användnings- och prestandaövervakning.

  • Azure Monitor kan hjälpa dig att visa dessa mått och ge svar med aviseringar, autoskalning, Event Hubs och Logic Apps.

  • Du kan också integrera siem-programmet från tredje part för att övervaka Azure-loggarna för gransknings- och prestandahändelser.

    Skärmbild av Azure Monitor.

    Bild 13: Azure Monitor.

Läs mer:

Bästa praxis: Aktivera diagnostikloggning

Azure-resurser genererar ett antal loggningsmått och telemetridata. Som standard är inte diagnostisk loggning aktiverad för de flesta resurstyper. Genom att aktivera diagnostisk loggning för dina resurser kan du efterfråga loggningsdata och skapa aviseringar och spelböcker baserat på det.

När du aktiverar diagnostisk loggning har varje resurs en specifik uppsättning kategorier. Du väljer en eller flera loggningskategorier och en plats för loggdata. Loggar kan skickas till ett lagringskonto, en händelsehubb eller till Azure Monitor-loggar.

Skärmbild av diagnostikloggning.

Bild 14: Diagnostikloggning.

Läs mer:

Bästa praxis: Konfigurera aviseringar och spelböcker

När diagnostikloggning är aktiverad för Azure-resurser kan du använda loggningsdata för att skapa anpassade aviseringar.

  • Med aviseringar meddelas du proaktivt när villkor hittas i dina övervakningsdata. Sedan kan du åtgärda problem innan systemanvändarna märker dem. Du kan ange aviseringar för måttvärden, loggsökningsfrågor, aktivitetslogghändelser, plattformshälsa och webbplatstillgänglighet.

  • När aviseringar utlöses kan du köra en logikappsspelbok. En spelbok hjälper dig att automatisera och samordna ett svar på en specifik avisering. Spelböcker baseras på Azure-logikappar. Du kan använda logikappmallar för att skapa spelböcker eller skapa egna.

  • Du kan till exempel skapa en avisering som utlöses när en portgenomsökning sker mot en NSG. Du kan konfigurera en spelbok som kör och låser sökningskällans IP-adress.

  • Ett annat exempel är ett program med en minnesläcka. När minnesanvändningen når en viss punkt kan en spelbok återvinna processen.

    Skärmbild av aviseringar.

    Bild 15: Aviseringar.

Läs mer:

Bästa praxis: Använd Azure-instrumentpanelen

Azure-portalen är en webbaserad enhetlig konsol som du kan använda för att skapa, hantera och övervaka allt från enkla webbappar till komplexa molnprogram. Den innehåller en anpassningsbar instrumentpanel och hjälpmedelsalternativ.

  • Du kan skapa flera instrumentpaneler och dela dem med andra som har åtkomst till dina Azure-prenumerationer.

  • Med den här delade modellen har ditt team insyn i Azure-miljön, vilket hjälper dem att vara proaktiva när de hanterar system i molnet.

    Skärmbild av en Azure-instrumentpanel.

    Bild 16: Azure-instrumentpanel.

Läs mer:

Bästa praxis: Förstå supportplaner

Någon gång måste du samarbeta med supportpersonalen eller Microsofts supportpersonal. Det är viktigt att ha en uppsättning principer och procedurer för support vid scenarier som haveriberedskap. Dessutom bör dina administratörer och supportpersonal utbildas i att implementera dessa principer.

  • Om ett problem med Azure-tjänsten mot förmodan påverkar din arbetsbelastning bör administratörer veta hur de skickar in en supportbegäran till Microsoft på det lämpligaste och effektivaste sättet.

  • Bekanta dig med de olika supportplanerna som erbjuds för Azure. De sträcker sig från svarstider som är dedikerade till utvecklarinstanser, till förstklassig support med en svarstid på mindre än 15 minuter.

    Skärmbild av supportplaner.

    Bild 17: Supportplaner.

Läs mer:

Bästa praxis: Hantera uppdateringar

Det är en enorm uppgift att se till att virtuella Azure-datorer är uppdaterade med de senaste operativsystems- och programuppdateringarna. Möjligheten att visa alla virtuella datorer, avgöra vilka uppdateringar de behöver och automatiskt push-överföra dessa uppdateringar är värdefullt.

  • Du kan använda Uppdateringshantering i Azure Automation för att hantera operativsystemuppdateringar. Den här metoden gäller för datorer som kör Windows- och Linux-datorer som distribueras i Azure, lokalt och i andra molnleverantörer.

  • Använd Uppdateringshantering för att snabbt bedöma status för tillgängliga uppdateringar på alla agentdatorer och hantera installationen av uppdateringar.

  • Du kan aktivera Uppdateringshantering för virtuella datorer direkt via ett Azure Automation-konto. Du kan också uppdatera en enskild virtuell dator från VM-sidan i Azure-portalen.

  • Dessutom kan du registrera virtuella Azure-datorer med System Center Configuration Manager. Du kan sedan migrera Configuration Manager arbetsbelastningen till Azure och göra rapporterings- och programuppdateringar från ett enda webbgränssnitt.

    Diagram över vm-uppdateringar.

    Bild 18: Uppdateringar av virtuella datorer.

Läs mer:

Implementera en ändringshanteringsprocess

Precis som med andra produktionssystem kan alla typer av ändringar påverka din miljö. Du kan använda en ändringshanteringsprocess som kräver att begäranden skickas för att göra ändringar i produktionssystemen i din migrerade miljö.

  • Du kan skapa regelverk för ändringshantering för att öka medvetenheten bland administratörer och supportpersonal.
  • Du kan använda Azure Automation för hjälp med konfigurationshantering och ändringsspårning för migrerade arbetsflöden.
  • När du framtvingar ändringshanteringsprocessen kan du använda granskningsloggar för att länka Azure-ändringsloggar till befintliga ändringsbegäranden. Om du ser en ändring som gjorts utan en motsvarande ändringsbegäran kan du undersöka vad som gick fel i processen.

Azure har en lösning för ändringsspårning i Azure Automation:

  • Lösningen spårar ändringar i Windows- och Linux-programvara och -filer, Windows-registernycklar, Windows-tjänster och Linux-daemon.

  • Ändringar på övervakade servrar skickas till Azure Monitor för bearbetning.

  • Logik tillämpas på mottagna data och molntjänsten registrerar data.

  • På instrumentpanelen för ändringsspårning kan du enkelt se de ändringar som har gjorts i serverinfrastrukturen.

    Skärmbild av ett diagram för ändringshantering.

    Bild 19: Ett diagram för ändringshantering.

Läs mer:

Nästa steg

Läs andra metodtips: