Condividi tramite

Considerazioni sull'inventario e sulla visibilità

  • Articolo

Quando l'organizzazione progetta e implementa l'ambiente cloud, la base per la gestione della piattaforma e il monitoraggio dei servizi della piattaforma è una considerazione fondamentale. Per garantire una corretta adozione del cloud, è necessario strutturare questi servizi per soddisfare le esigenze dell'organizzazione man mano che l'ambiente viene ridimensionato.

Le decisioni del modello operativo cloud prese nelle fasi iniziali della pianificazione influiscono direttamente sulla modalità di distribuzione delle operazioni di gestione come parte delle zone di destinazione. Il grado di centralizzazione della gestione per la piattaforma è un esempio chiave.

Usare le indicazioni contenute in questo articolo per valutare come adottare l'inventario e la visibilità nell'ambiente cloud.

Considerazioni di base sull'inventario

  • Prendere in considerazione l'uso di strumenti come un'area di lavoro di Log Analytics di Azure Monitor come confini amministrativi.
  • Determinare quali team devono usare i log generati dal sistema dalla piattaforma e chi deve accedere a tali log.

Si considerino i seguenti elementi relativi alla registrazione dei dati per determinare quali tipi di dati si potrebbero voler raccogliere e utilizzare.

Scopo Contesto
Monitoraggio della piattaforma incentrato sulle applicazioni
Includere sia i percorsi di telemetria caldi che freddi rispettivamente per le metriche e i log.
Metriche del sistema operativo, ad esempio contatori delle prestazioni e metriche personalizzate.
Log del sistema operativo, ad esempio:
  • Servizi di Informazione Internet
  • Event Tracing for Windows e syslogs
  • Eventi di integrità delle risorse
Registrazione di controllo della sicurezza Obiettivo di raggiungere una lente di sicurezza orizzontale nell'intero patrimonio di Azure dell'organizzazione.
  • Potenziale integrazione con sistemi SIEM (Security Information and Event Management) locali, ad esempio ArcSight o la piattaforma di sicurezza Onapsis
  • Potenziale integrazione con offerte SaaS (Software as a Service) come ServiceNow
  • Log attività di Azure
  • Report di controllo di Microsoft Entra
  • Servizi di diagnostica di Azure, log e metriche, eventi di controllo di Azure Key Vault, log dei flussi del gruppo di sicurezza di rete (NSG) e log eventi
  • Monitoraggio di Azure, Azure Network Watcher, Microsoft Defender for Cloud e Microsoft Sentinel
Soglie di conservazione dei dati di Azure e requisiti di archiviazione
  • Il periodo di conservazione predefinito per i log di Monitoraggio di Azure è di 30 giorni, con una conservazione massima dell'analisi di due anni e un archivio di sette anni.
  • Il periodo di conservazione predefinito per i report di Microsoft Entra (premium) è di 30 giorni.
  • Il periodo di conservazione predefinito per i log attività di Azure e i log di Application Insights è di 90 giorni.
Requisiti operativi
  • Dashboard operativi con strumenti nativi come Azure Monitor Logs o strumenti di terze parti
  • Uso di ruoli centralizzati per controllare le attività con privilegi
  • Identità gestite per le risorse di Azure](/Azure/active-directory/managed-identities-Azure-resources/overview) per l'accesso ai servizi di Azure
  • Blocchi delle risorse da proteggere dalla modifica e dall'eliminazione delle risorse

Considerazioni sulla visibilità

  • Quali team devono ricevere notifiche di avviso?
  • Sono presenti gruppi di servizi che necessitano di più team per ricevere una notifica?
  • Sono disponibili strumenti di gestione dei servizi esistenti a cui è necessario inviare avvisi?
  • Quali servizi sono considerati business critical e richiedono notifiche ad alta priorità dei problemi?

Raccomandazioni relative all'inventario e alla visibilità

  • Usare una singola area di lavoro dei log monitor per gestire centralmente le piattaforme, ad eccezione dei casi in cui il controllo degli accessi in base al ruolo di Azure, i requisiti di sovranità dei dati e i criteri di conservazione dei dati portano a richiedere aree di lavoro separate. La registrazione centralizzata è fondamentale per la visibilità richiesta dai team di gestione delle operazioni e fornisce report sulla gestione delle modifiche, sull'integrità dei servizi, sulla configurazione e sulla maggior parte degli altri aspetti delle operazioni IT. Concentrarsi su un modello di area di lavoro centralizzato riduce il lavoro amministrativo e le probabilità di lacune nell'osservabilità.

    • I team delle applicazioni possono distribuire le proprie aree di lavoro Log Analytics nelle proprie sottoscrizioni, insieme all'area di lavoro centrale del team della piattaforma a cui possono avere accesso limitato, per archiviare i log e le metriche specifici dei requisiti del carico di lavoro.

  • Esportare i log in Archiviazione di Azure se i requisiti di conservazione dei log superano sette anni. Usare l'archiviazione non modificabile con un criterio write-once e read-many per rendere i dati non cancellabili e non modificabili per un intervallo specificato dall'utente.

  • Utilizzare Azure Policy per il controllo degli accessi e la reportistica sulla conformità. Azure Policy consente di applicare impostazioni a livello di organizzazione per garantire la coerente adesione ai criteri e il rapido rilevamento delle violazioni. Per ulteriori informazioni, vedere Comprendere gli effetti dei Criteri di Azure.

  • Usare Network Watcher per monitorare in modo proattivo i flussi di traffico attraverso i log dei flussi NSG di v2. Traffic Analytics analizza i log di flusso dei gruppi di sicurezza di rete (NSG) per raccogliere informazioni approfondite sul traffico IP all'interno delle reti virtuali. Fornisce anche informazioni critiche necessarie per una gestione e un monitoraggio efficaci, ad esempio:

    • La maggior parte degli host di comunicazione e dei protocolli delle applicazioni
    • Le coppie di host che conversano di più
    • Traffico consentito o bloccato
    • Traffico in ingresso e in uscita
    • Aprire porte Internet
    • La maggior parte delle regole di blocco
    • Distribuzione del traffico per data center di Azure
    • Rete virtuale
    • Sottoreti
    • Reti non autorizzate

  • Usare blocchi delle risorse per impedire l'eliminazione accidentale di servizi condivisi critici.

  • Usare criteri di negazione per integrare le assegnazioni di ruolo di Azure. I criteri di negazione consentono di impedire distribuzioni di risorse e configurazioni che non soddisfano gli standard definiti bloccando l'invio delle richieste ai provider di risorse. La combinazione dei criteri di negazione e delle assegnazioni di ruolo di Azure garantisce che siano presenti protezioni appropriate per controllare chi può distribuire e configurare risorse e quali risorse che possono distribuire e configurare.

  • Includere gli eventi di stato di integrità dei servizi e delle risorse come parte della soluzione complessiva per il monitoraggio della piattaforma. Il rilevamento dell'integrità dei servizi e delle risorse dal punto di vista della piattaforma è un componente importante della gestione delle risorse in Azure.

  • Non inviare voci di log non elaborate ai sistemi di monitoraggio locali. Adottare invece il principio che dati nati in Azure rimangano in Azure. Se è necessaria l'integrazione SIEM locale, inviare avvisi critici anziché i log.

Acceleratore e gestione della zona di atterraggio di Azure

L'acceleratore della piattaforma di atterraggio di Azure include configurazioni guidate per distribuire le principali funzionalità di gestione di Azure. Queste aiutano la tua organizzazione a ridimensionarsi e maturare rapidamente.

La distribuzione dell'acceleratore per la zona di atterraggio di Azure include strumenti chiave di gestione e monitoraggio come:

  • Un'area di lavoro Log Analytics
  • Monitoraggio di Microsoft Defender for Cloud
  • Impostazioni di diagnostica per i log attività, le macchine virtuali e le risorse PaaS (Platform as a Service) inviate a Log Analytics

Registrazione centralizzata nell'acceleratore per la zona di atterraggio di Azure

Nel contesto dell'acceleratore di zona di destinazione di Azure, la registrazione centralizzata riguarda principalmente le operazioni della piattaforma.

Questa enfasi non impedisce l'uso della stessa area di lavoro per la registrazione di applicazioni basate su macchine virtuali. All'interno di un'area di lavoro configurata in modalità di controllo degli accessi incentrata sulle risorse, si applica il controllo degli accessi basato sui ruoli (RBAC) di Azure in modo granulare, garantendo che i team delle applicazioni abbiano accesso solo ai log delle loro risorse.

In questo modello, i team delle applicazioni traggono vantaggio dall'uso dell'infrastruttura della piattaforma esistente, riducendo così il sovraccarico di gestione.

Per le risorse non di calcolo, ad esempio le app Web o i database di Azure Cosmos DB, i team dell'applicazione possono usare le proprie aree di lavoro Log Analytics. Possono quindi instradare la diagnostica e le metriche a quegli spazi di lavoro.

I team delle applicazioni possono anche decidere di duplicare alcuni dei log disponibili nell'area di lavoro Log Analytics della piattaforma centrale per l'efficienza operativa all'interno del team. Si tratta anche di un approccio supportato all'interno dell'architettura e delle linee guida della zona di destinazione di Azure.

Passaggio successivo

Monitorare i componenti della zona di destinazione della piattaforma Azure