保護和管理 Azure 工作負載的最佳做法

當您規劃移轉至雲端時,除了考慮移轉本身之外,還需要考慮 Azure 中的安全性和管理模型。 本文說明在移轉後保護 Azure 部署的最佳做法。 其同時也涵蓋進行中的工作,讓部署能以最佳程度執行。

重要

本文所述的最佳做法和意見是以本文撰寫當下可用的 Azure 平台和服務功能作為基礎。 特性和功能可能會隨著時間而變更。

保護已移轉的工作負載

在移轉之後,最重要的工作便是保護已移轉的工作負載,使其不受來自內部和外部的威脅。 這些最佳做法可協助您:

  • 瞭解如何使用 適用于雲端的 Microsoft Defender所提供的監視、評量和建議。
  • 取得對您在 Azure 中的資料進行加密的最佳做法。
  • 保護您的 VM 不受惡意程式碼和惡意攻擊的危害。
  • 保護已移轉之 Web 應用程式中的機密資訊。
  • 確認在移轉後可以存取您 Azure 訂用帳戶和資源的人員。
  • 定期檢閱您的 Azure 稽核和安全性記錄。
  • 了解及評估 Azure 提供的進階安全性功能。

最佳做法:適用於雲端的 Microsoft Defender 建議

適用于雲端的 Defender 為 Azure 租使用者系統管理員提供統一的安全性管理,以保護工作負載免于遭受攻擊。 您可以跨工作負載套用安全性原則、限制威脅暴露,以及偵測和回應攻擊。 適用於雲端的 Defender 會跨 Azure 租用戶分析資源及設定,然後提供安全性建議,包括:

  • 集中式原則管理:集中管理所有混合式雲端工作負載的安全性原則,確保能符合公司或法規的安全性需求。
  • 連續安全性評量:監視機器、網路、儲存體與資料服務及應用程式的安全性態勢,找出潛在的安全性問題。
  • 可操作的建議:運用列為優先及可操作的安全性建議,在攻擊者入侵之前,修正安全性弱點。
  • 列為優先的警示與事件:藉由列為優先的安全性警示與事件,先專注於處理最嚴重的威脅。

除了評量與建議之外,適用於雲端的 Defender 還提供可以針對特定資源啟用的其他安全性功能。

  • Just-in-time (JIT) 存取。 使用 JIT 控制的 Azure VM 上管理埠的存取,減少您的網路攻擊面。
    • 在網際網路上開啟 VM RDP 連接埠 3389,會使 VM 持續暴露在不良執行者活動之下。 由於 Azure IP 位址是眾所周知的,因此駭客會持續對它們進行探查,以對開啟的 3389 連接埠發動攻擊。
    • JIT 使用會限制指定連接埠開啟時間長度的網路安全性群組 (NSG) 及傳入規則。
    • 啟用 JIT 存取權後,適用于雲端的 Defender 會檢查使用者是否具有 Azure 角色型存取控制, (Azure RBAC) VM 的 寫入 許可權。 此外,還可指定使用者如何能連線到 VM 的規則。 如果權限沒問題,即會核准要求,且適用於雲端的 Defender 會將 NSG 設定為針對選取的連接埠,在指定時間內允許傳入流量。 時間到期時,NSG 便會返回其先前的狀態。
  • 自適性應用程式控制。 使用動態允許清單來控制哪些應用程式在 VM 上執行,讓軟體和惡意程式碼保持關閉。
    • 您可透過自適性應用程式控制,核准應用程式,並避免惡意使用者或系統管理員在 VM 上安裝未經核准或具檢查功能的應用程式。
      • 您可以對執行惡意應用程式的嘗試,進行封鎖或警示、避免垃圾或惡意的應用程式,以及確保與您組織應用程式安全性原則之間的合規性。
  • 檔案完整性監視。 確保在 VM 上執行之檔案的完整性。
    • 安裝軟體不是造成 VM 問題的唯一方式。 變更系統檔案也可能會造成 VM 失敗或效能降低。 檔案完整性監視會檢查系統檔案及登錄設定是否發生變更,並在發生項目更新的情況時通知您。
    • 適用於雲端的 Defender 會建議您應監視的檔案。

深入了解:

最佳做法:加密資料

加密是 Azure 安全性作法相當重要的一部分。 啟用所有層級的加密,以協助防止未經授權的物件取得敏感性資料的存取權,包括傳輸中的資料和待用資料。

基礎結構即服務的加密

  • 虛擬機器:對於 VM 來說,您可以使用 Azure 磁碟加密來加密 Windows 和 Linux 基礎結構即服務 (IaaS) VM 磁碟。
    • Azure 磁碟加密會為 Windows 使用 BitLocker 以及為 Linux 使用 dm-crypt,為作業系統及資料磁碟提供磁碟區加密。
    • 您可以使用由 Azure 所建立的加密金鑰,或是自行提供保護於 Azure Key Vault 中的加密金鑰。
    • 有了 Azure 磁碟加密之後,IaaS VM 資料在待用 (位於磁碟上) 及 VM 開機期間,皆會受到保護。
      • 如果您有未加密的 VM,則適用於雲端的 Defender 會對您發出警示。
  • 儲存體:保護儲存在 Azure 儲存體中的待用資料。
    • 針對儲存在 Azure 儲存體帳戶中的資料,您可以使用由 Microsoft 產生且符合 FIPS 140-2 規範的 AES 金鑰,或是使用自己的金鑰,進行加密。
    • 所有全新和現有的儲存體帳戶,都會啟用 Azure 儲存體加密,且無法停用。

平台即服務的加密

不同于您管理自己的 VM 和基礎結構的 IaaS,平臺和基礎結構是由平臺即服務中的提供者所管理, (PaaS) 模型。 您可以專注於核心應用程式邏輯與功能。 由於 PaaS 服務類型眾多,因此基於安全性目的,我們會對每個服務進行個別評估。 例如,來看一下可如何為 Azure SQL Database 啟用加密。

  • Always Encrypted:使用 SQL Server Management Studio 中的 [Always Encrypted 精靈],保護待用資料。
    • 您要建立 Always Encrypted 金鑰,對個別的資料行資料進行加密。
    • Always Encrypted 金鑰能以加密的形式儲存在資料庫中繼資料中,或是儲存在受信任的金鑰存放區中,例如 Azure Key Vault。
    • 最有可能的情況是,必須進行應用程式變更,才能使用此功能。
  • 透明資料加密 (TDE):透過對資料庫、相關聯的備份以及待用的交易記錄檔案的即時加密與解密,來保護 Azure SQL Database。
    • 透過 TDE 即可在不對應用程式層級進行變更的情況下,允許加密活動的進行。
    • TDE 會使用 Microsoft 所提供的加密金鑰,或者您也可以攜帶自己的金鑰。

深入了解:

最佳做法:使用反惡意程式碼軟體保護 VM

舊版 Azure 遷移的 VM 可能未安裝適當的反惡意程式碼軟體層級。 Azure 提供免費的端點解決方案,可協助保護 VM 不受病毒、間諜軟體及其他惡意程式碼的威脅。

  • 適用於 Azure 雲端服務與虛擬機器的 Microsoft Antimalware,會在已知的惡意或垃圾軟體嘗試自行安裝時,產生警示。

  • 它是能在無人為介入的情況下於背景中執行的單一代理程式解決方案。

  • 適用于雲端的 Defender 可以識別未執行端點保護的 VM,因此您可以視需要安裝Microsoft Antimalware。

    VM Microsoft Antimalware的螢幕擷取畫面。

    圖 1:適用于 Azure 的Microsoft Antimalware。

深入了解:

最佳做法:保護 Web 應用程式的安全

已移轉的 Web 應用程式會面臨幾個問題:

  • 大部分的舊版 Web 應用程式,在設定檔中通常都會有機密資訊。 備份應用程式時,或是將應用程式的程式碼簽入或簽出原始檔控制時,包含這類資訊的檔案便可能會造成安全性問題。
  • 當您移轉位於 VM 中的 Web 應用程式時,很可能會將該電腦從內部部署的網路和受防火牆保護的環境,移動到面向網際網路的環境。 確定自己已設定能執行與內部部署保護資源相同工作的解決方案。

Azure 提供下列解決方案:

  • Azure Key Vault:現今的 Web 應用程式開發人員,都會採取相對應的措施,以確保這些檔案中的敏感性資訊不會外洩。 保護資訊的其中一個方法,是將它從檔案中擷取出來,並置於 Azure Key Vault 中。

    • 您可以使用 Key Vault 來集中儲存應用程式祕密,並控制它們的發送。 如此可免於在應用程式檔案中,儲存安全性資訊的必要性。
    • 應用程式可在無須自訂程式碼的情況下,使用 URI 來安全地存取保存庫中的資訊。
    • Azure Key Vault 可讓您透過 Azure 安全性控制項來鎖住存取,以及順暢地施行金鑰輪替。 Microsoft 不會查看或擷取您的資料。
  • Power Apps 的 App Service 環境:如果移轉的應用程式需要額外的保護,請考慮新增 App Service 環境和 Web 應用程式防火牆,來保護應用程式資源。

    • Azure App Service 環境能提供完全隔離且專用的環境,可供執行各種應用程式,例如 Windows 和 Linux Web 應用程式、Docker 容器、行動應用程式及函式應用程式。
    • 這適用于大規模、需要隔離和安全網路存取的應用程式,或具有高記憶體使用率。
  • Web 應用程式防火牆:Azure 應用程式閘道這項功能可為 Web 應用程式提供集中式保護。

    • 它能在無需後端程式碼修改的情況下保護 Web 應用程式。
    • 它能在應用程式閘道背後,同時保護多個 Web 應用程式。
    • 您可以使用 Azure 監視器來監視 Web 應用程式防火牆。 Web 應用程式防火牆已整合到適用於雲端的 Defender。

    Azure 金鑰保存庫和保護 Web 應用程式的圖表。

    圖 2:Azure Key Vault。

深入了解:

最佳做法:檢閱訂閱與資源權限

當您移轉工作負載並在 Azure 中執行它們時,具有工作負載存取權的員工可能會四處移動。 您的安全性小組應該定期檢閱誰可以存取您的 Azure 租使用者和資源群組。 Azure 有一些供應項目可供進行身分識別管理和存取控制安全性,包括 Azure 角色型存取控制 (Azure RBAC) 以針對存取 Azure 資源的權限進行授權。

  • Azure RBAC 會針對安全性主體指派存取權限。 安全性主體代表使用者、群組 (一組使用者)、服務主體 (應用程式和服務所使用的身分識別),以及受控識別 (由 Azure 自動管理的 Azure Active Directory 身分識別)。
  • Azure RBAC 可以為安全性主體 (例如擁有者、參與者及讀者) 指派角色,而且能定義角色可執行之作業的角色定義 (一組權限)。
  • Azure RBAC 也可以設定範圍,以設定角色的界線。 該範圍可以設定於數個層級上,包括管理群組、訂閱、資源群組或資源。

請確定具有 Azure 存取權的系統管理員,只能存取您想要允許的資源。 如果 Azure 中預先定義的角色不夠細微,您可以建立自訂角色以區分並限制存取權限。

角色型存取控制**的螢幕擷取畫面。

圖 3:角色型存取控制。

深入了解:

最佳做法:審核稽核與安全性記錄

Azure Active Directory (Azure AD) 提供會在 Azure 監視器中顯示的活動記錄。 記錄會擷取在 Azure 租用戶中執行的作業、其發生的時間,以及執行它們的人員。

  • 稽核記錄會顯示租用戶中的工作歷程記錄。 登入活動記錄會顯示執行該工作的人員。

  • 安全性報告的存取方式取決於您的 Azure AD 授權。 您可以使用免費和基本授權,取得風險使用者和風險登入清單。利用 Premium 授權,您可以取得基礎事件資訊。

  • 您可以將活動記錄路由傳送到各種端點,以進行長期保留並取得資料見解。

  • 請養成經常檢閱記錄的習慣,或與您的安全性資訊與事件管理 (SIEM) 工具相整合,自動檢閱異常狀況。 如果您並非使用 Premium 1 或 Premium 2,則必須自行進行許多分析,或是使用您的 SIEM 系統。 分析包含尋找具風險的登入和事件,以及其他使用者攻擊模式。

    Azure AD 使用者和群組的螢幕擷取畫面。

    圖 4:Azure AD 使用者與群組。

深入了解:

最佳做法:評估其他安全性功能

Azure 提供能提供進階安全性選項的其他安全性功能。 下列一些最佳做法需要附加元件授權和進階選項。

  • 實作 Azure AD 系統管理單位。 使用基本的 Azure 存取控制來委派系統管理工作以支援人員,可能會是一件相當困難的事。 給予支援人員存取權以管理 Azure AD 中的所有群組,對組織的安全性而言可能不是理想的方法。 您可以使用系統管理單位,將 Azure 資源隔離成容器,其方式類似于內部部署組織單位 (OU) 。 若要使用系統管理單位,系統管理單位系統管理員必須具有進階 Azure AD 授權。 如需詳細資訊,請參閱 Azure AD 中的管理單位管理
  • 使用多重要素驗證。 如果您有 Azure AD Premium 授權,可以在系統管理員帳戶上加以啟用,並強制施行多重要素驗證。 網路釣魚是用來入侵帳戶認證的最常見方式。 當不良執行者擁有系統管理員帳戶認證之後,便沒有任何方法可以阻止他們進行會造成嚴重影響的動作 (例如刪除您所有的資源群組)。 有數種方法可建立多重要素驗證,包括電子郵件、驗證器應用程式和電話簡訊。 身為系統管理員,您可以選取最不具侵入性的選項。 多重要素驗證會與威脅分析和條件式存取原則相整合,隨機要求多重要素驗證挑戰回應。 深入了解 Azure 身分識別管理與存取控制安全性最佳做法,以及如何設定多重要素驗證
  • 實作條件式存取。 在大部分的小型和中型組織中,Azure 系統管理員和支援小組通常都位於相同的地理位置。 在此情況下,大部分的登入都會來自相同的區域。 如果這些位置的 IP 位址都相當固定,您應該不會看見系統管理員從這些區域以外的地方進行登入。 即使遠端不良執行者危及系統管理員的認證,您也可以執行與多重要素驗證相結合的條件式存取等安全性功能,以防止從遠端位置登入。 它也可以防止詐騙位置來自隨機 IP 位址。 深入了解條件式存取,並針對 Azure AD 中的條件式存取檢閱在最佳做法
  • 檢閱企業應用程式權限。 經過一段時間後,系統管理員會選取 Microsoft 和協力廠商連結,而不知道其對組織的影響。 連結可以呈現同意畫面,將許可權指派給 Azure 應用程式,這可能會允許存取讀取 Azure AD 資料,或甚至完整存取權來管理整個 Azure 訂用帳戶。 您應該定期檢閱系統管理員和使用者允許其存取 Azure 資源的應用程式。 確保這些應用程式只具備必要的權限。 此外,您可以透過應用程式頁面的連結,每季或半年傳送電子郵件給使用者,讓他們知道他們允許存取其組織資料的應用程式。 如需詳細資訊,請參閱 我的應用程式清單中的非預期應用程式,以及如何 控制 Azure AD 中的應用程式指派。

管理已移轉的工作負載

下列各節建議 Azure 管理的一些最佳做法,包括:

  • 適用於 Azure 資源群組和資源的最佳做法,包括智慧型命名、防止意外刪除、管理資源權限,以及有效的資源標記。
  • 使用藍圖建置和管理部署環境的概觀。
  • 當您建置移轉後部署時,請檢閱範例 Azure 架構。
  • 如果您有多個訂用帳戶,您可以將它們收集成管理群組,並將治理設定套用至那些群組。
  • 將合規性原則套用到您的 Azure 資源。
  • 規劃商務持續性和災害復原 (BCDR) 策略來保護資料、確保環境的可復原性,並使資源能在發生中斷時持續運作。
  • 將 VM 分組為可用性群組,以確保復原性和高可用性。 使用受控磁碟來輕鬆進行 VM 磁碟和儲存體管理。
  • 針對 Azure 資源啟用診斷記錄、建置警示和劇本以主動進行疑難排解,以及使用 Azure 儀表板來取得部署健康情況和狀態的統一檢視。
  • 了解您的 Azure 支援方案及其實作方式、取得將 VM 保持於最新狀態的最佳做法,以及針對變更管理設立程序。

最佳做法:命名資源群組

您的資源群組應該具有有意義的名稱,系統管理員和支援小組成員可以輕鬆地辨識和掃描。 描述性名稱可以大幅提升生產力和效率。

如果您使用 Azure AD Connect 將內部部署 Active Directory 同步至 Azure AD,請考慮讓內部部署安全性群組的名稱與 Azure 中資源群組的名稱相符。

資源群組命名的螢幕擷取畫面。

圖 5:資源群組命名。

深入了解:

最佳做法:針對資源群組實作刪除鎖定

您最不想遇到的情況,便是資源群組被意外刪除而消失不見。 建議您鎖定資源,以防止意外刪除。

刪除鎖定的螢幕擷取畫面。

圖 6:刪除鎖定。

深入了解:

最佳做法:了解資源存取權限

訂用帳戶擁有者可以存取訂用帳戶中的所有資源群組和資源。

  • 請謹慎地將這個貴重的權限指派給其他人員。 了解指派這些權限類型的後果,將能大幅協助保持環境的安全及穩定性。
  • 請務必將資源置於適當的資源群組中:
    • 將具有類似生命週期的資源配對在一起。 在理想情況下,您應該不需要在刪除整個資源群組時移動某個資源。
    • 支援某個功能或工作負載的資源應該被放置在一起,以簡化管理工作。

深入了解:

最佳做法:有效地為資源加註標籤

僅使用與資源相關的資源群組名稱,通常沒辦法提供足夠的中繼資料來有效地實作各種機制,例如訂閱內的內部帳單或管理。

  • 最佳做法是使用 Azure 標籤,來新增可查詢及產生報告的實用中繼資料。

  • 標記能提供搭配您所定義的屬性,以邏輯方式組織資源的方式。 標記可以直接套用到資源群組或資源。

  • 標記可以套用到資源群組或是個別的資源之上。 資源群組標記不會被群組中的資源所繼承。

  • 您可以使用 PowerShell 或 Azure 自動化,將加註標籤自動化,也可以為個別的群組和資源加註標籤。

  • 如果您具有要求或變更管理系統,則可以輕鬆地在要求中使用該資訊,以填入公司特定的資源標記。

    標記的螢幕擷取畫面。

    圖 7:加註標籤。

深入了解:

最佳做法:實作藍圖

就像藍圖可讓工程師和架構設計人員繪製專案的設計參數一樣,Azure 藍圖服務可讓雲端架構設計人員和中央 IT 群組定義一組可重複的 Azure 資源。 藍圖可協助他們實作並遵守組織的標準、模式和需求。 開發小組可以快速建置並建立符合組織合規性需求的新環境。 這些新環境具有一組內建元件 (例如網路),可加速開發與傳遞。

  • 使用藍圖來協調資源群組、Azure Resource Manager 範本,以及原則和角色指派的部署。
  • 將藍圖儲存在全域散發的服務 Azure Cosmos DB 中。 藍圖物件會複寫至多個 Azure 區域。 無論藍圖部署資源的區域為何,複寫皆可為藍圖提供延遲低、可用性高且一致的存取。

深入了解:

最佳做法:檢閱 Azure 參考架構

在 Azure 中建置安全、可調整且可管理的工作負載,以及跟上不同功能以獲得最佳環境可能很困難。 在設計及移轉工作負載時,擁有可從中學習的參考可能會很有幫助。 Azure 和 Azure 合作夥伴已針對各種環境類型建置數個範例參考架構。 這些範例是設計來提供各種想法,以供您從中學習並將它作為建置範本。

參考架構會依案例編排。 其包含針對管理、可用性、延展性及安全性方面的最佳做法及建議。 App Service 環境能提供完全隔離且專屬的環境,供執行各種應用程式,例如 Windows 和 Linux Web 應用程式、Docker 容器、行動應用程式及函式。 App Service 能將 Azure 的功能新增到您的應用程式,其中包括安全性、負載平衡、自動調整和自動化管理。 您也可以利用它的 DevOps 功能,例如來自 Azure DevOps 和 GitHub 的持續部署、套件管理、預備環境、自訂網域和 SSL 憑證。 App Service適用于需要隔離和安全網路存取的應用程式,以及使用大量記憶體和需要調整的其他資源的應用程式。

深入了解:

最佳做法:透過 Azure 管理群組管理資源

如果您的組織具有多個訂用帳戶,您便需要為它們管理存取、原則及合規性。 Azure 管理群組提供了訂用帳戶之上的範圍層級。 以下是一些秘訣:

  • 您會將訂用帳戶整理到稱為管理群組的容器中,並將治理條件套用至它們。
  • 管理群組中的所有訂用帳戶都會自動繼承管理群組條件。
  • 無論您的訂閱類型為何,管理群組都可提供大規模的企業級管理功能。
  • 例如,您可以套用能限制可建立 VM 之區域的管理群組原則。 此原則接著會套用至所有的管理群組、訂用帳戶以及該管理群組下的資源。
  • 您可以建置管理群組和訂用帳戶的彈性結構,將資源組織到一個階層中,以便執行統一原則與存取管理。

下圖顯示使用管理群組建立治理階層的範例。

管理群組的圖表。

圖 8:管理群組。

深入了解:

最佳做法:部署 Azure 原則

Azure 原則是一項服務,您可用來建立、指派和管理原則。 原則會對您的資源施行不同的規則與效果,讓這些資源能符合公司標準和服務等級協定的規範。

Azure 原則評估您的資源,並掃描不符合您的原則。 例如,您可以建立對環境中 VM 僅允許特定 SKU 大小的原則。 在您建立及更新資源時,以及在您掃描現有資源時,Azure 原則都會評估此設定。 請注意,Azure 提供一些可供您指派的內建原則,或者您也可以自行建立原則。

Azure 原則的螢幕擷取畫面。

圖 9:Azure 原則。

深入了解:

最佳做法:實作 BCDR 策略

規劃商務持續性和災害復原 (BCDR) 是您應該在 Azure 移轉規劃程式中完成的重要練習。 就法律條款而言,您的合約可包含能因不可抗力 (例如颶風或地震) 而免除義務的不可抗力條款。 但是您必須確保在發生嚴重損壞時,必要的服務仍能繼續執行和復原。 它可以讓您的公司未來成為或中斷。

廣義來說,您的 BCDR 策略必須考慮:

  • 資料備份:如何保護資料的安全,使您能在發生中斷時輕鬆進行復原。
  • 災害復原:如何讓您的應用程式在發生中斷時保持復原能力,並可供使用。

設定 BCDR

雖然 Azure 平臺提供一些內建的復原功能,但您需要設計 Azure 部署來利用這些功能。

  • 您的 BCDR 解決方案將取決於您公司的目標,並會受到您 Azure 部署策略所影響。 基礎結構即服務 (IaaS) 和平台即服務 (PaaS) 部署會為 BCDR 帶來不同的挑戰。
  • 實作完畢之後,應該定期測試 BCDR 解決方案,檢查您的策略是否仍然有效。

備份 IaaS 部署

在大部分的情況下,內部部署工作負載會在移轉後淘汰,且您必須對用於備份資料的內部部署策略進行擴充或加以取代。 如果將整個資料中心移轉到 Azure,必須使用 Azure 技術或第三方的整合解決方案,設計並實作完整的備份解決方案。

針對在 Azure IaaS VM 上執行的工作負載,請考慮這些備份解決方案:

  • Azure 備份:能針對 Azure Windows 和 Linux VM 提供應用程式一致的備份。
  • 儲存體快照集:取得 Blob 儲存體的快照集。
Azure 備份

Azure 備份會建立儲存在 Azure 儲存體中的資料復原點。 Azure 備份可以備份 Azure VM 磁碟,以及 Azure 檔案 (預覽)。 Azure 檔案儲存體能提供位於雲端並可透過伺服器訊息區 (SMB) 進行存取的檔案共用。

您可以使用 Azure 備份,以數種方式備份 VM:

  • 從 VM 設定直接備份。 您可以直接從 Azure 入口網站中的 VM 選項,直接搭配 Azure 備份來備份 VM。 您可以每天備份一次 VM,並視需要還原 VM 磁碟。 Azure 備份會擷取能感知應用程式資料的快照集,且不會在 VM 上安裝任何代理程式。
  • 在復原服務保存庫中直接備份。 您可以部署 Azure 備份復原服務保存庫,來備份您的 IaaS VM。 它提供單一位置來追蹤和管理備份,以及細微的備份和還原選項。 備份一天最多三次,並於檔案與資料夾層級執行。 它無法感知應用程式,且不支援 Linux。 使用此方法,在每個想要備份的 VM 上安裝 Microsoft Azure 復原服務 (MARS) 代理程式。
  • 將 VM 保護至 Azure 備份伺服器。 Azure 備份伺服器是搭配 Azure 備份免費提供。 VM 會被備份到本機 Azure 備份伺服器儲存體。 您接著會將 Azure 備份伺服器備份到 Azure 的保存庫中。 備份可感知應用程式,且對備份頻率與保留提供完整的細微控制。 您可以在應用程式層級進行備份,例如透過備份 SQL Server 或 SharePoint。

基於安全性考量,Azure 備份會使用 AES-256 來加密進行中的資料。 其會透過 HTTPS 傳送至 Azure。 Azure 中的待用備份資料會使用 Azure 儲存體加密來加密

Azure 備份的螢幕擷取畫面。

圖 10:Azure 備份。

深入了解:

儲存體快照集

Azure VM 會以分頁 Blob 的形式儲存在 Azure 儲存體中。 快照集會擷取特定時間點的 Blob 狀態。 作為 Azure VM 磁碟的替代備份方法,您可以擷取儲存體 Blob 的快照集,然後將它們複製到另一個儲存體帳戶。

您可以複製整個 Blob,或使用增量快照複製以僅複製差異變更,並減少儲存空間。 您可以為 Blob 儲存體帳戶啟用虛刪除,作為額外的預防措施。 啟用此功能時,刪除的 Blob 會標示為刪除,但不會立即清除它。 在過渡期間,仍可以還原 Blob。

深入了解:

協力廠商備份

除此之外,您可以使用協力廠商解決方案來將 Azure VM 和儲存體容器備份到本機儲存體或其他雲端服務提供者。 如需詳細資訊,請參閱Azure Marketplace 中的備份解決方案

針對 IaaS 應用程式設定災害復原

除了保護資料之外,BCDR 規劃也必須考量在發生災害的情況下,如何使應用程式和工作負載持續可用。 針對 Azure IaaS VM 上執行的工作負載和 Azure 儲存體,請考量以下各節中的解決方案。

Azure Site Recovery

Azure Site Recovery 是在發生中斷的情況時,確保 Azure VM 可以上線且 VM 應用程式可供使用的主要 Azure 服務。

Site Recovery 會將 VM 從主要 Azure 區域複寫到次要 Azure 區域。 如果發生災害,您會從主要區域起始容錯移轉,並繼續在次要區域中正常存取它們。 當作業返回正常時,您便可以將 VM 容錯回復到主要區域。

Azure Site Recovery圖表。

圖 11:Site Recovery。

深入了解:

最佳做法:使用受控磁碟和可用性設定組

Azure 會使用可用性設定組來以邏輯方式將 VM 分組在一起,以及將設定組中的 VM 與其他資源隔離。 可用性設定組中的 VM 會分散到具有不同子系統的多個容錯網域,以防範本機失敗。 VM 也會分散在多個更新網域,以避免同時重新啟動集合中所有的 VM。

Azure 受控磁碟會管理與 VM 磁碟相關的儲存體帳戶,從而簡化 Azure 虛擬機器的磁碟管理。

  • 請盡可能地使用受控磁碟。 您只需指定要使用的儲存體類型,以及所需的磁碟大小,Azure 就會在替您建立並管理磁碟。

  • 您可以將現有磁碟轉換為受控磁碟。

  • 您應該在可用性設定組中建立 VM,以取得高復原性和可用性。 發生計劃性或非計劃性的中斷時,可用性設定組能確保設定組中至少有一個 VM 會持續可用。

    受控磁片的圖表。

    圖 12:受控磁碟。

深入了解:

最佳做法:監視資源使用情況與效能

您將工作負載移轉到 Azure 的原因,可能是為了它強大的擴充能力。 但移動工作負載並不表示 Azure 會在沒有您任何輸入的情況下,自動實作調整。 以下是兩個範例:

  • 如果您的行銷組織推送了一個新的電視廣告,其驅動了 300% 更多的流量,您的網站可能會遇到可用性問題。 您剛移轉完畢的工作負載,可能會達到指派的限制而當機。
  • 如果有分散式阻絕服務 (DDoS) 攻擊移轉的工作負載,在此情況下,您不會想要調整規模。 您想要防止攻擊來源到達您的資源。

這兩個案例有著不同的解決方式,但都需要您透過使用情況和效能監控,對正在發生的情況取得深入了解。

  • Azure 監視器可協助顯示這些計量,並透過警示、自動調整、事件中樞、Logic Apps 等提供回應。

  • 您也可以整合自己第三方 SIEM 應用程式,來監視 Azure 記錄,以進行稽核和效能事件。

    Azure 監視器的螢幕擷取畫面。

    圖 13:Azure 監視器。

深入了解:

最佳做法:啟用診斷記錄

Azure 資源會產生相當多的記錄計量和遙測資料。 根據預設,大部分的資源類型都沒有啟用診斷記錄。 透過在資源上啟用診斷記錄,您可以查詢記錄資料,並根據它建置警示和劇本。

當您啟用診斷記錄時,每個資源都會有特定的類別集合。 您可以選取一或多個記錄類別,以及記錄資料的儲存位置。 記錄可傳送至儲存體帳戶、事件中樞或 Azure 監視器記錄。

診斷記錄的螢幕擷取畫面。

圖 14:診斷記錄。

深入了解:

最佳做法:設定警示與劇本

啟用 Azure 資源的診斷記錄後,您可以使用記錄資料來建立自訂警示。

  • 當您的監視資料中發現條件時,警示會主動通知您。 您接著便可以在系統使用者注意到這些問題之前解決他們。 您可以設定計量值、記錄搜尋查詢、活動記錄事件、平臺健康情況和網站可用性的警示。

  • 觸發警示時,可以執行邏輯應用程式劇本。 劇本可協助您針對特定警示自動化並協調回應。 劇本是以 Azure Logic Apps 為基礎。 您可以使用邏輯應用程式範本來建立劇本,或是自行建立劇本。

  • 例如,您可以建立警示,以在埠掃描針對 NSG 時觸發。 您可以設定能執行並封鎖掃描來源之 IP 位址的劇本。

  • 另一個範例是發生記憶體流失的應用程式。 當記憶體使用量達到某個程度時,範本便可以回收處理程序。

    警示的螢幕擷取畫面。

    圖 15:警示。

深入了解:

最佳做法:使用 Azure 儀表板

Azure 入口網站是網頁型的統一主控台,可讓您建置、管理及監控所有項目,從簡單 Web 應用程式到複雜的雲端應用程式皆包含在內。 它也包含了自訂的儀表板各種協助工具選項。

  • 您可以建立多個儀表板,並與可存取您 Azure 訂用帳戶的其他人共用。

  • 透過此共用模型,您的團隊便能檢視 Azure 環境,有助於他們可以主動管理雲端中的系統。

    Azure 儀表板的螢幕擷取畫面。

    圖 16:Azure 儀表板。

深入了解:

最佳做法:了解支援方案

在某些情況下,您必須與支援人員或 Microsoft 支援人員共同作業。 擁有一系列原則和程序以在災害復原等案例期間提供支援,是一件非常重要的事。 此外,您的系統管理員和支援人員都應該接受訓練以實作那些原則。

  • 在 Azure 服務問題影響到您工作負載的罕見情況下,系統管理員應該要知道如何以最適當且有效率的方式向 Microsoft 提交支援票證。

  • 請熟悉各種針對 Azure 所提供的支援方案。 它們的範圍從開發人員執行個體專有的回應時間,到回應時間少於 15 分鐘的頂級支援。

    支援方案的螢幕擷取畫面。

    圖 17:支援方案。

深入了解:

最佳做法:管理更新

搭配最新的作業系統和軟體更新來將 Azure VM 保持在最新狀態,是一件規模龐大的工作。 能夠呈現所有 VM、判斷所需的更新,以及自動推送這些更新非常重要。

  • 您可以使用 Azure 自動化中的更新管理,管理作業系統更新。 此做法適用于執行部署在 Azure、內部部署和其他雲端提供者中之 Windows 和 Linux 電腦的機器。

  • 使用更新管理以快速評估所有代理程式電腦上可用更新的狀態,並管理更新安裝。

  • 您可以從 Azure 自動化帳戶直接為 VM 啟用更新管理。 您也可以在 Azure 入口網站中從 VM 頁面更新單一 VM。

  • 此外,可以對 System Center Configuration Manager 註冊 Azure VM。 接著可以將 Configuration Manager 工作負載移轉到 Azure,從單一 Web 介面進行產生報告和軟體更新。

    VM 更新的圖表。

    圖 18:VM 更新。

深入了解:

實作變更管理程序

如同任何生產系統,任何類型的變更都可能會對您的環境產生影響。 您可以使用需要提交要求的變更管理程式,以便在移轉的環境中對生產系統進行變更。

  • 您可以建置變更管理的最佳做法架構,以提升系統管理員和支援人員之間的認知。
  • 您可以使用 Azure 自動化來協助針對已移轉的工作流程進行組態管理及變更追蹤。
  • 施行變更管理程序時,可以使用稽核記錄將 Azure 變更記錄連結至現有的變更要求。 如果您在沒有對應的變更要求的情況下看到所做的變更,您可以調查程式中發生錯誤的原因。

Azure 在 Azure 自動化中有變更追蹤解決方案:

  • 這個解決方案會追蹤對 Windows 與 Linux 軟體和檔案、Windows 登錄機碼、Windows 服務以及 Linux 精靈所做的變更。

  • 受監視伺服器上的變更,會傳送至 Azure 監視器進行處理。

  • 邏輯會套用至接收的資料,而雲端服務會記錄該資料。

  • 在 [變更追蹤] 儀表板上,可以輕易地看到對您伺服器基礎結構所做的變更。

    變更管理圖表的螢幕擷取畫面。

    圖19:變更管理圖。

深入了解:

後續步驟

檢閱其他最佳做法: