Observabilitet i Azure Enclave

Azure Enclave har inbyggda observerbarhetsfunktioner som stöder säker, skalbar och centraliserad övervakning av verksamhetskritiska miljöer. De här funktionerna hjälper communityansvariga och enklaverägare att upprätthålla efterlevnad, undersöka avvikelser och säkerställa driftshälsa för isolerade arbetsbelastningar.

Följande är aktiverade som standard för Azure Enklaverresurser:

  • Log Analytics Workspace distribueras som standard till den communityhanterade resursgruppen
  • (Valfritt) Log Analytics-arbetsytan distribueras till enklavens hanterade resursgrupp
  • Lagringskonto distribueras till den enklavhanterade resursgruppen
  • Virtual Network-flödesloggar för varje enklav är aktiverade, pekar mot enklavens lagringskonto och vidarebefordras till Communitys och/eller Enclaves Log Analytics-arbetsyta
  • Diagnostikinställningar aktiveras för resurser som distribueras till både community- och enklaverhanterade resursgrupper

Centraliserad och isolerad observerbarhet

Övervakning i Azure Enclave bygger på en loggningsmodell i två nivåer som stöder både centraliserad diagnostisk loggning och diagnostisk loggning som är isolerad till enklaven med hjälp av Azure Monitor, Log Analytics och lagringskonton.

Observerbarhet på gemenskapsnivå

Varje Community som skapas i Azure Enclave omfattar en centraliserad Log Analytics-arbetsyta. Den här arbetsytan är utformad för att:

  • Aggregera diagnostik och mått från alla enklaver i communityn.
  • Ange en enda fönsterruta för övervakning och frågekörning av diagnostik- och flödesloggar.
  • Stöd för analys, aviseringar och efterlevnadsspårning mellan enklaver.

När communityn skapas skapas arbetsytan automatiskt. Arbetsytan kan väljas som diagnostikmål av enklav- eller arbetsbelastningsägare under distributions- eller uppdateringsåtgärder. Offentlig åtkomst är inaktiverad för arbetsytan Community Log-A, men den är inte nätverksisolerad som standard. Om du vill konfigurera offentlig åtkomst eller nätverksisolering kan du överväga att lägga till säkerhet för privata länkar.

Note

Diagnostikinställningar från enklaverresurser (till exempel arbetsbelastningar, offentliga IP-adresser eller Application Gateways) kan konfigureras för att skicka loggar till den centraliserade arbetsytan för att stödja enhetlig övervakning.

Observerbarhet på enklavernivå

Utöver Community-arbetsytan har varje enklav tilldelats en isolerad Log Analytics-arbetsyta som är specifikt avgränsad till den enklaven. Den här arbetsytan är optimerad för loggningsscenarier på enklavnivå och har följande egenskaper:

  • Standardlagring av Virtual Network flödesloggar, som aktiveras automatiskt för varje enklav.
  • Valfria diagnostikinställningar för enklaveromfångsresurser, till exempel interna arbetsbelastningar och nätverkskomponenter.
  • Utformad för att uppfylla isolerings- eller regelkrav som förhindrar loggaggregering mellan enklaver.

Administratörer kan välja att hålla enklavdiagnostik privat genom att endast skicka loggar till den här isolerade arbetsytan.

Konfigurerbara loggningsmål

Azure Enclave har stöd för flexibla loggningskonfigurationer som gör att resursägare kan välja mellan:

Loggningsplats Purpose Standardanvändning
Community Log Analytics workspace Möjliggör centraliserad övervakning och analys mellan enklaver Optional
Enklaver Log Analytics arbetsyta Upprätthåller isolering på enklavnivå och datasuveränitet Standard för flödesloggar för virtuella nätverk

Du kan konfigurera diagnostikinställningar via Azure-portalen, CLI eller Bicep/ARM-mallar under eller efter distributionen.

Important

Virtual Network-flödesloggar skickas alltid som standard till den enklavsspecifika arbetsytan för att säkerställa att synlighet på nätverksnivå bevaras, även i isolerade miljöer.

Vanliga scenarier för observerbarhet

Scenario Loggningsstrategi
Enklavövergripande hälsoöversikt Skicka diagnostik från alla enklaver till den centraliserade arbetsytan Community Log Analytics
Reglerad enklaver med strikta datakontroller Håll diagnostiken inom den enklavens specifika Log Analytics arbetsyta
Långsiktig kvarhållning i granskningssyfte Skicka loggar till ett lagringskonto med principstyrda kvarhållningsinställningar
Nätverksundersökning eller hotjakt Använda enklavens arbetsyta för att analysera standardflödesloggar för virtuella nätverk

Konfigurera Network Watcher resursgrupper

För att undvika potentiella problem med skapande av flödesloggarNetworkWatcherRG för virtuella nätverk konfigurerar du resursgruppen manuellt i förväg och tilldelar Mission Enclave appen rollen för resursgruppen Owner , eller kontrollerar att konfigurationen och rolltilldelningen sker automatiskt innan du skapar din första enklaver i prenumerationen.

För att mildra det här potentiella problemet skapar du manuellt resursgruppen NetworkWatcher med namnet NetworkWatcherRG i nya prenumerationer för varje prenumeration och ger sedan Azure Enclave-appen Mission EnclaveOwner åtkomst till NetworkWatcherRG:

  1. Välj resursgruppen NetworkWatcherRG, välj Access control (IAM) och välj sedan Add och Add role assignment.

    Skärmbild som visar val av resursgrupp för att lägga till roll i portalen.

  2. Välj Privileged administrator roles, välj owneroch välj Nextsedan .

    Skärmbild som visar vyn för att lägga till ägarroll i portalen.

  3. Välj Select members, skriv Mission Enclave i sökfältet och välj appen Mission Enclave, välj Select och sedan Next.

    Skärmbild som visar hur du väljer appen Mission Enclave i portalen.

  4. Om prenumerationen kräver ett villkor väljer du Allow user to assign all roles except privileged administrator roles Owner, UAA, RBAC (Recommended)och väljer Review + assignsedan .

    Skärmbild som visar vyn Lägg till villkor om din prenumeration kräver det.

  5. När uppdateringen är klar kan du börja distribuera Azure Enklaverresurser.

När en community eller en enklav skapas gör Azure Enklaver följande steg:

  1. Kontrollera om det NetworkWatcherRG finns. Om inte, försök att skapa den resursgruppen.
  2. Kontrollera om Mission Enclave-appen har en permanent Owner-tilldelning på NetworkWatcherRG. Om inte, försök att tilldela Mission Enclaveappen som en permanent Owner-tilldelning på NetworkWatcherRG. Även om det finns en ärvd Owner behörighet försöker systemet skapa en permanent Owner tilldelning.
  3. Om något steg misslyckas kan distributioner av enklaver misslyckas vid försök att skapa flödesloggar för virtuella nätverk.