Azure Enclave'de Gözlemlenebilirlik

Azure Enclave, görev açısından kritik ortamların güvenli, ölçeklenebilir ve merkezi izlenmesini desteklemek için yerleşik gözlemlenebilirlik özellikleri sağlar. Bu özellikler, Topluluk Yöneticileri ve Enclave sahiplerinin uyumluluğun uygulanmasını sağlamasına, anomalileri araştırmasına ve yalıtılmış iş yükleri genelinde operasyonel sağlığı güvence altına almasına yardımcı olur.

Azure Kapanım kaynakları için varsayılan olarak aşağıdakiler etkinleştirilir:

  • Log Analytics Çalışma Alanı varsayılan olarak Topluluk Tarafından Yönetilen Kaynak Grubuna dağıtılır
  • (İsteğe bağlı) Log Analytics çalışma alanı, yalıtılmış ortamın Yönetilen Kaynak Grubuna dağıtılır
  • Depolama Hesabı, Enclave Yönetilen Kaynak Grubuna dağıtıldı
  • Her yalıtılmış ağ bölgesi için Sanal Ağ Akış Günlükleri etkinleştirilir, yalıtılmış ağ bölgesinin Depolama Hesabına yönlendirilir ve Topluluk ve/veya Yalıtılmış Ağ Bölgesi Log Analytics çalışma alanına iletilir
  • Tanılama Ayarları hem Topluluk hem de Enclave yönetilen Kaynak Gruplarına dağıtılan kaynaklarda etkinleştirilir

Merkezi ve yalıtılmış gözlemlenebilirlik

Azure Enclave’de gözlemlenebilirlik, Azure İzleyici, Log Analytics ve Depolama Hesapları kullanılarak hem merkezi hem de enclave’e yalıtılmış tanılama günlüklerini destekleyen iki katmanlı bir günlükleme modeli üzerine kuruludur.

Topluluk düzeyinde gözlemlenebilirlik

Azure Enclave'ta oluşturulan her Topluluk, merkezi bir Log Analytics çalışma alanı içerir. Bu çalışma alanı şu şekilde tasarlanmıştır:

  • Topluluk içindeki tüm enklavlardan tanılama verilerini ve metrikleri topla.
  • Tanılama ve akış günlüklerini izlemek ve sorgulamak için tek bir cam bölme sağlayın.
  • Enklavlar arası analitik, uyarılar ve uyumluluk izlemeyi destekler.

Topluluk oluşturulduğunda, çalışma alanı otomatik olarak oluşturulur. Çalışma alanı, dağıtım veya güncelleştirme işlemleri sırasında enklav veya iş yükü sahipleri tarafından tanılama hedefi olarak seçilebilir. Topluluk Log-A çalışma alanı için genel erişim devre dışıdır, ancak varsayılan olarak ağdan yalıtılmış değildir. Genel erişimi veya ağ yalıtımını yapılandırmak için özel bağlantı güvenliği eklemeyi göz önünde bulundurun.

Note

Enklev kaynaklarındaki (iş yükleri, genel IP adresleri veya Uygulama Ağ Geçitleri gibi) tanılama ayarları, birleşik izlemeyi desteklemek için günlükleri merkezi çalışma alanına göndermek üzere yapılandırılabilir.

Kapanım düzeyinde gözlemlenebilirlik

Topluluk çalışma alanına ek olarak, her Enclave için yalnızca o kapsama ayrılmış yalıtılmış bir Log Analytics çalışma alanı tahsis edilir. Bu çalışma alanı, enclave düzeyinde günlük kaydı senaryoları için en iyi duruma getirilmiştir ve aşağıdaki özellikleri içerir:

  • Her enklav için otomatik olarak etkinleştirilen Sanal Ağ akış günlüklerinin varsayılan depolaması.
  • İç iş yükleri ve ağ oluşturma bileşenleri gibi enclave kapsamındaki kaynaklar için isteğe bağlı tanılama ayarları.
  • Çapraz kapanım günlüğü toplamayı engelleyen yalıtım veya mevzuat gereksinimlerini karşılamak için tasarlanmıştır.

Yöneticiler, günlükleri yalnızca bu yalıtılmış çalışma alanına göndererek güvenli bölge tanılama verilerini özel tutabilir.

Yapılandırılabilir günlük kaydı hedefleri

Azure Enclave, kaynak sahiplerinin aşağıdakiler arasında seçim yapmasına olanak tanıyan esnek günlükleme yapılandırmalarını destekler:

Günlüğe Kaydetme Hedefi Purpose Varsayılan Kullanım
Topluluk Log Analytics çalışma alanı Merkezi izleme ve enklavlar arası analitiği etkinleştirir Optional
Enclave Log Analytics çalışma alanı Kapanım düzeyinde yalıtımı ve veri hakimiyetini korur Sanal ağ Akış Günlükleri için varsayılan

Tanılama ayarlarını dağıtım sırasında veya sonrasında Azure portalı, CLI veya Bicep/ARM şablonları aracılığıyla yapılandırabilirsiniz.

Important

Sanal Ağ Akış Günlükleri, yalıtılmış ortamlarda bile ağ düzeyindeki görünürlüğün korunması için varsayılan olarak yalıtıma özel çalışma alanına her zaman gönderilir.

Yaygın gözlemlenebilirlik senaryoları

Scenario Günlükleme Stratejisi
Enclave'ler arası sağlık panosu Tüm enclave'lerden merkezi Community Log Analytics çalışma alanına tanılama verilerini gönderme
Sıkı veri kontrollerine sahip, düzenlemelere tabi izole ortam Tanılamayı enklava özgü Log Analytics çalışma alanında tutun
Denetim amacıyla uzun süreli saklama İlke denetimli saklama ayarlarıyla günlükleri Depolama Hesabına gönderme
Ağ araştırması veya tehdit avcılığı Varsayılan sanal ağ akış günlüklerini analiz etmek için yalıtılmış çalışma alanını kullanma

Ağ İzleyicisi kaynak gruplarını yapılandırma

Sanal ağ akış günlüğü oluşturmayla ilgili olası sorunları önlemek için kaynak grubunu önceden el ile ayarlayın NetworkWatcherRG ve uygulamaya Mission Enclave bu kaynak grubundaki rolü atayın Owner veya abonelikte ilk kapanımınızı oluşturmadan önce kurulum ve rol atamasının otomatik olarak gerçekleştiğini doğrulayın.

Bu olası sorunu azaltmak için, her abonelikte, yeni abonelikler için NetworkWatcherRG adlı NetworkWatcher kaynak grubunu el ile oluşturun ve ardından NetworkWatcherRG üzerinde Mission Enclave Azure Enclave App Owner rolünü atayın:

  1. NetworkWatcherRG kaynak grubunu seçin, Access control (IAM) seçin, ardından Add ve Add role assignment seçin.

    Portalda rol ekleme kaynak grubu seçimini gösteren ekran görüntüsü.

  2. Privileged administrator roles öğesini seçin, owner öğesini seçin, ardından Next öğesini seçin.

    Portalda sahip rolü ekleme seçim görünümünü gösteren ekran görüntüsü.

  3. Select members öğesini seçin, arama kutusuna Mission Enclave yazın ve Mission Enclave uygulamasını seçin, Select öğesini, ardından Next öğesini seçin.

    Portalda Görev Kapanım uygulamasını seçmeyi gösteren ekran görüntüsü.

  4. Aboneliğiniz bir koşul gerektiriyorsa Allow user to assign all roles except privileged administrator roles Owner, UAA, RBAC (Recommended) öğesini seçin, ardından Review + assign öğesini seçin.

    Aboneliğiniz gerektiriyorsa koşul ekleme görünümünü gösteren ekran görüntüsü.

  5. Güncelleştirme tamamlandıktan sonra Azure Kapanım kaynaklarını dağıtmaya başlayabilirsiniz.

Bir topluluk veya kapanım oluşturulduğunda, Azure Enclave aşağıdaki adımları dener:

  1. öğesinin NetworkWatcherRG mevcut olup olmadığını denetleyin. Aksi takdirde, bu kaynak grubunu oluşturmayı deneme.
  2. NetworkWatcherRG üzerinde Mission Enclave Uygulaması için kalıcı bir Owner atama olup olmadığını denetleyin. Aksi takdirde, Mission Enclave uygulamayı Owner kalıcı bir atama olarak atamaya çalışın NetworkWatcherRG. Devralınan Owner bir izin olsa bile, kalıcı Owner bir atama oluşturulmaya çalışılır.
  3. Herhangi bir adım başarısız olursa, sanal ağ akış günlükleri oluşturmaya çalışılırken enklav dağıtımları başarısız olabilir.