分享方式:

清查和可見性考慮

  • 文章

當您的組織設計和實作雲端環境時,平臺管理和平臺服務監視的基礎是一個關鍵考慮。 若要確保雲端採用成功,您必須建構這些服務,以符合貴組織的需求,因為您的環境會隨著規模調整。

您在早期規劃階段中做出的雲端作業模型決策,會直接影響管理作業在登陸區域中的傳遞方式。 平臺的集中式管理程度是關鍵範例。

使用本文中的指引來考慮您應該如何接近雲端環境中的清查和可見度。

基本清查考慮

  • 請考慮使用 Azure 監視器 Log Analytics 工作區之類的工具作為系統管理界限。
  • 判斷哪些小組應該使用來自平臺的系統產生的記錄,以及需要存取這些記錄的人員。

請考慮下列與記錄數據相關的專案,以通知您可能想要定序和使用的資料類型。

範圍 上下文
以應用程式為中心的平台監視
分別包含計量和記錄的經常性遙測和冷遙測路徑。
操作系統計量,例如性能計數器和自定義計量。
作業系統記錄檔,例如:
  • Internet Information Services
  • Windows 和 syslogs 的事件追蹤
  • 資源健康情況事件
安全性稽核記錄 目標是在整個組織的整個 Azure 資產中達成水準安全性鏡頭。
  • 可能與內部部署安全性資訊和事件管理 (SIEM) 系統整合,例如 ArcSight 或 Onapsis 安全性平臺
  • 可能與軟體即服務 (SaaS) 供應專案整合,例如 ServiceNow
  • Azure 活動記錄
  • Microsoft Entra 稽核報告
  • Azure 診斷服務、記錄和計量、Azure 金鑰保存庫 稽核事件、網路安全組 (NSG) 流量記錄和事件記錄
  • Azure 監視器、Azure 網路監看員、適用於雲端的 Microsoft Defender 和 Microsoft Sentinel
Azure 數據保留閾值和封存需求
  • Azure 監視器記錄的預設保留期間為 30 天,最大分析保留期為兩年,封存為七年。
  • Microsoft Entra 報表的預設保留期限為 30 天。
  • Azure 活動記錄和 Application Insights 記錄的預設保留期限為 90 天。
作業需求
  • 使用原生工具的作業儀錶板,例如 Azure 監視器記錄或第三方工具
  • 使用集中式角色來控制特殊許可權活動
  • 適用於 Azure 資源的受控識別](/Azure/active-directory/managed-identities-Azure-resources/overview) 以存取 Azure 服務
  • 資源鎖定以防止編輯和刪除資源

可見度考慮

  • 哪些小組需要接收警示通知?
  • 您是否有需要多個小組才能收到通知的服務群組?
  • 您是否已有需要傳送警示的現有服務管理工具?
  • 哪些服務被視為業務關鍵,需要高優先順序的問題通知?

清查和可見度建議

  • 使用單 一監視器記錄工作區 集中管理平臺,不同之處在於 Azure 角色型訪問控制(Azure RBAC)、數據主權需求和數據保留原則會要求個別工作區。 集中式記錄對於作業管理小組所需的可見度至關重要,並驅動有關變更管理、服務健康情況、設定和其他 IT 作業層面的報告。 專注於集中式工作區模型可減少系統管理工作,以及可檢視性差距的機會。

  • 如果您的記錄保留需求超過七年,請導出記錄至 Azure 儲存體。 使用不可變的記憶體搭配寫入一次、讀取多的原則,使用戶指定的間隔數據不可清除且不可修改。

  • 使用 Azure 原則 進行訪問控制和合規性報告。 Azure 原則 可讓您強制執行整個組織的設定,以確保一致的原則遵循和快速違規偵測。 如需詳細資訊,請參閱瞭解 Azure 原則 效果

  • 使用 網路監看員 主動監視流量流經 網路監看員 NSG 流量記錄 v2使用分析 會分析 NSG 流量記錄,以收集虛擬網路內 IP 流量的深入解析。 它也提供有效管理和監視所需的重要資訊,例如:

    • 大多數通訊主機和應用程式通訊協定
    • 大部分的串連主機配對
    • 允許或封鎖的流量
    • 輸入和輸出的流量
    • 開啟網際網路連接埠
    • 大部分封鎖規則
    • 每個 Azure 資料中心的流量分佈
    • 虛擬網路
    • 子網路
    • 流氓網路

  • 使用 資源鎖定 來防止意外刪除重要的共享服務。

  • 使用 拒絕原則 來補充 Azure 角色指派。 拒絕原則有助於防止資源部署和設定不符合定義標準,方法是封鎖要求傳送至資源提供者。 結合拒絕原則和 Azure 角色指派可確保您已備妥適當的防護措施,以控制誰可以部署和設定資源,以及他們可以部署和設定的資源

  • 服務和資源健康情況事件納入整體平臺監視解決方案的一部分。 從平臺的觀點追蹤服務和資源健康情況,是 Azure 中資源管理的重要元件。

  • 請勿將原始記錄項目傳送回內部部署監視系統。 相反地,採用在 Azure 中出生的數據會保留在 Azure 中的原則。 如果您需要內部部署 SIEM 整合,請傳送 重大警示 ,而不是記錄。

Azure 登陸區域加速器和管理

Azure 登陸區域加速器包含有意見的設定,可部署重要的 Azure 管理功能,以協助您的組織快速調整和成熟。

Azure 登陸區域加速器部署包含金鑰管理和監視工具,例如:

  • Log Analytics 工作區和自動化帳戶
  • 適用於雲端的 Microsoft Defender 監視
  • 傳送至 Log Analytics 的活動記錄、虛擬機和平臺即服務 (PaaS) 資源的診斷設定

Azure 登陸區域加速器中的集中式記錄

在 Azure 登陸區域加速器的內容中,集中式記錄主要涉及平台作業。

此強調不會防止針對以 VM 為基礎的應用程式記錄使用相同的工作區。 在以資源為中心的訪問控制模式中設定的工作區內,會強制執行細微的 Azure RBAC,以確保您的應用程式小組只能從其資源存取記錄。

在此模型中,應用程式小組受益於使用現有的平臺基礎結構,因為它可降低其管理額外負荷。

針對 Web 應用程式或 Azure Cosmos DB 資料庫等非計算資源,您的應用程式小組可以使用自己的 Log Analytics 工作區。 然後,他們可以將診斷和計量路由傳送至這些工作區。

後續步驟

監視您的 Azure 平臺登陸區域元件