Come prepararsi a un imprevisto (prima che l’evento si verifichi)
Per garantire la preparazione e ridurre al minimo l'impatto degli eventi imprevisti, è essenziale seguire le raccomandazioni proattive descritte in questa unità. Queste azioni ti aiuteranno a comprendere il processo di comunicazione degli eventi imprevisti, a individuare le informazioni pertinenti e a configurare le notifiche per ricevere aggiornamenti tempestivi. Inoltre, la valutazione della resilienza delle applicazioni e l'implementazione di misure consigliate contribuiranno alla creazione di carichi di lavoro più affidabili, riducendo il potenziale impatto di un evento imprevisto. Infine, la revisione e l'implementazione delle procedure consigliate per la sicurezza rafforzeranno l'ambiente e ridurranno i rischi.
Per rimanere informato, attenuare l'impatto e proteggere l'investimento, ti consigliamo le cinque azioni seguenti:
Azione 1: Acquisire familiarità con Integrità dei servizi di Azure nel portale di Azure
A differenza della nostra pagina pubblica azure.status.microsoft, che fornisce informazioni generali solo sullo stato delle interruzioni generali, Integrità dei servizi di Azure offre dettagli personalizzati sulle risorse specifiche. Ti consente di prevedere e preparare la manutenzione pianificata e altre modifiche che possono influire sulla disponibilità delle risorse. Ti consente di interagire con gli eventi del servizio e gestire le azioni per mantenere la continuità aziendale delle applicazioni interessate. Offre informazioni dettagliate cruciali sulle vulnerabilità della piattaforma, sugli eventi imprevisti di sicurezza e sulle violazioni della privacy a livello di servizio di Azure, consentendo un'azione di richiesta per proteggere i carichi di lavoro di Azure.
Ora, esaminiamo alcune funzionalità chiave disponibili in Integrità dei servizi di Azure per migliorare la preparazione agli eventi imprevisti:
Riquadro Integrità risorse (nuova esperienza)
All'interno del pannello Integrità dei servizi del portale di Azure, Integrità risorse di Azure consente di diagnosticare e risolvere i problemi del servizio che influiscono sulle risorse di Azure. Le risorse, ad esempio macchine virtuali, app Web o database SQL, vengono valutate per l'integrità in base ai segnali provenienti da diversi servizi di Azure. Se una risorsa viene identificata come non integra, Integrità risorse esegue un'analisi dettagliata per determinare la causa radice del problema. Fornisce inoltre informazioni sulle azioni di Microsoft per risolvere i problemi relativi agli eventi imprevisti e suggerisce i passaggi che puoi seguire per risolvere il problema.
Riquadro Problemi dei servizi (nuova esperienza)
Il riquadro Problemi dei servizi mostra eventi imprevisti di servizi in corso che potrebbero influire sulle risorse. Ti consente di risalire all’origine di un problema e identificare i servizi e le aree interessate. Esaminando gli aggiornamenti più recenti, puoi ottenere informazioni dettagliate sugli interventi di Azure per risolvere l'evento imprevisto.
Funzionalità principali del riquadro Problemi dei servizi:
Informazioni dettagliate in tempo reale: Il dashboard dei problemi dei servizi offre visibilità in tempo reale sugli eventi imprevisti dei servizi di Azure che interessano le sottoscrizioni e i tenant. Se sei un amministratore tenant, puoi visualizzare eventi imprevisti o avvisi attivi rilevanti per le tue sottoscrizioni e i tenant.
Valutazione impatto risorse: La scheda Risorsa interessata nella sezione con i dettagli dell’evento imprevisto mostra quali risorse sono confermate o potenzialmente interessate. Facendo clic sulle risorse puoi accedere direttamente al riquadro Integrità risorse.
Collegamenti e spiegazioni scaricabili: Crea un collegamento per il problema, da usare nel sistema di gestione dei problemi. Puoi anche scaricare file PDF e, in alcuni casi, CSV per condividere spiegazioni complete con gli stakeholder che non hanno accesso al portale di Azure. Inoltre, puoi richiedere una verifica post-evento imprevisto (PIR) per risalire agli eventuali problemi che hanno interessato le risorse, nota in precedenza come analisi della causa radice (RCA).
Riquadro Avvisi di sicurezza
Il riquadro Avvisi di sicurezza è incentrato sulle informazioni urgenti relative alla sicurezza che influiscono sull'integrità delle sottoscrizioni e dei tenant. Fornisce informazioni dettagliate sulle vulnerabilità della piattaforma, sugli eventi imprevisti di sicurezza e sulle violazioni della privacy.
Funzionalità principali del riquadro Avvisi di sicurezza:
Informazioni dettagliate sulla sicurezza in tempo reale: Ottieni visibilità immediata sugli eventi imprevisti di sicurezza di Azure rilevanti per le sottoscrizioni e i tenant.
Valutazione impatto risorse: La scheda Risorsa interessata nella sezione con i dettagli dell’evento imprevisto evidenzia per quali risorse è stato confermato l’impatto.
Gli utenti autorizzati con i ruoli seguenti possono visualizzare le informazioni sulle risorse interessate a livello di sicurezza:
Visualizza le risorse a livello di sottoscrizione Visualizza le risorse a livello di tenant Proprietario della sottoscrizione Strumento di lettura per la sicurezza Amministrazione/sicurezza Amministratore della sottoscrizione Amministrazione globale/Amministrazione tenant Lettore per la sicurezza dell'integrità dei servizi Lettore privacy per l'integrità dei servizi di Azure Inoltre, puoi scaricare documenti PDF esplicativi da condividere con gli stakeholder che non hanno accesso diretto al portale di Azure.
Gli esempi seguenti illustrano un evento imprevisto di sicurezza che coinvolge risorse sia in ambito sottoscrizione che in ambito tenant.
Oltre ad acquisire familiarità con Integrità dei servizi di Azure, un altro passaggio fondamentale consiste nel configurare gli avvisi di Integrità dei servizi, che garantiranno notifiche tempestive e ti manterranno informato sugli eventi imprevisti e sulle informazioni importanti che potrebbero influire sui carichi di lavoro. La sezione successiva illustra in dettaglio questo argomento.
Azione 2: Configura gli avvisi sull’integrità dei servizi per rimanere informato
La configurazione delle notifiche degli avvisi sull’integrità dei servizi è essenziale e rappresenta il più importante invito all'azione per una gestione proattiva degli eventi imprevisti. Gli avvisi sull’integrità dei servizi ti consentono di ricevere notifiche tempestive tramite diversi canali, ad esempio posta elettronica, SMS, webhook e altro ancora. Questi avvisi forniscono aggiornamenti sugli eventi imprevisti del servizio, sulle attività di manutenzione pianificata, sugli eventi imprevisti di sicurezza e altre informazioni fondamentali che possono influire sui carichi di lavoro.
Puoi configurare gli avvisi sull’integrità dei servizi da uno dei riquadri "eventi attivi" nel pannello Integrità dei servizi del portale di Azure, facendo clic su Avvisi di integrità nel riquadro Integrità dei servizi o sfruttando Azure Resource Graph.
Qui puoi trovare query di esempio di Azure Resource Graph relative a Integrità dei servizi di Azure.
Integrità dei servizi tiene traccia di diversi tipi di eventi di integrità che possono influire sulle risorse, tra cui problemi del servizio, manutenzione pianificata, avvisi sull'integrità e avvisi di sicurezza. Quando configuri gli avvisi sull’integrità dei servizi, hai la possibilità di scegliere come e a chi verranno inviati questi avvisi. Puoi personalizzare gli avvisi in base alla classe di notifica sull'integrità del servizio, alle sottoscrizioni, ai servizi e alle aree interessate.
Classe delle notifiche sull'integrità dei servizi
| Tipo di evento integrità del servizio | Descrizione |
|---|---|
| Problema del servizio | Problemi dei servizi di Azure che hanno conseguenze immediate, anche noti come incidenti di servizio. |
| Manutenzione pianificata | Manutenzione imminente che può influire sulla disponibilità dei servizi in futuro. |
| Avvisi sull’integrità | Modifiche apportate ai servizi di Azure che richiedono attenzione. Ad esempio, quando devi eseguire una determinata azione, quando le funzionalità di Azure sono deprecate, requisiti di aggiornamento o se superi una quota di utilizzo. |
| Avvisi di sicurezza | Notifiche sulla sicurezza che riguardano vulnerabilità della piattaforma e violazioni della sicurezza e della privacy a livello di sottoscrizione e tenant, anche noti come incidenti di sicurezza o privacy. |
Sappiamo che hai bisogno di ricevere una notifica quando si verificano problemi che influiscono sui servizi, e gli avvisi sull’integrità dei servizi ti consentono di scegliere COME e A CHI verranno inviati questi avvisi. Gli avvisi possono essere configurati in base alla classe di notifica sull'integrità del servizio, alle sottoscrizioni interessate, ai servizi interessati e/o alle aree interessate. Puoi configurare avvisi per attivare messaggi e-mail o SMS, app per la logica, funzioni e altro ancora.
Una volta attivato un avviso, puoi definire le azioni da eseguire usando i gruppi di azioni. I gruppi di azioni sono raccolte di preferenze di notifica che determinano come e a chi vengono inviati gli avvisi.
Elenco completo dei tipi di notifica disponibili
| Tipo di notifica | Descrizione | Campi |
|---|---|---|
| Invia un messaggio di posta elettronica al ruolo di Azure Resource Manager | Invia un messaggio di posta elettronica ai membri dell’abbonamento in base al ruolo. Viene inviata un’e-mail di notifica solo all'indirizzo e-mail principale configurato per l'utente di Microsoft Entra. L’e-mail viene inviata solo ai membri utenti di Microsoft Entra del ruolo selezionato e non ai gruppi o alle entità servizio di Microsoft Entra. |
Immetti l'indirizzo e-mail principale configurato per l'utente di Microsoft Entra. Vedi E-mail. |
| Indirizzo e-mail | Assicurati che i filtri di posta elettronica e i servizi di prevenzione malware/posta indesiderata siano configurati in modo appropriato. I messaggi di posta elettronica vengono inviati dagli indirizzi di posta elettronica seguenti: - azure-noreply@microsoft.com - azureemail-noreply@microsoft.com - alerts-noreply@mail.windowsazure.com |
Immetti l’e-mail a cui deve essere inviata la notifica. |
| SMS | Le notifiche SMS supportano la comunicazione bidirezionale. L'SMS Contiene le informazioni seguenti: - Nome breve del gruppo di azioni a cui è stato inviato l'avviso - Titolo dell'avviso. L’utente può rispondere a un SMS per: - Annullare l’iscrizione a tutti gli avvisi SMS per tutti i gruppi di azioni o per un singolo gruppo di azioni. - Iscriversi di nuovo agli avvisi - Richiedere assistenza. Per altre informazioni sulle risposte SMS supportate, vedi Risposte SMS. |
Immetti il codice paese e il numero di telefono del destinatario dell’SMS. Se non puoi selezionare il codice paese/area geografica nel portale di Azure, l'SMS non è supportato per il paese o l'area geografica. Se il codice paese/area geografica non è disponibile, puoi votare in Condividi le tue idee perché il tuo paese o area geografica venga aggiunto. Come soluzione alternativa fino a quando il tuo paese non sarà supportato, configura il gruppo di azioni per chiamare un webhook in un provider SMS di terze parti che supporta il paese o l'area geografica. |
| Notifiche push dell'app Azure | Invia notifiche all'app per dispositivi mobili di Azure. Per abilitare le notifiche push sull'app per dispositivi mobili di Azure, inserisci Per altre informazioni sull'app per dispositivi mobili di Azure, vedi App per dispositivi mobili di Azure. | Nel campo e-mail dell'account Azure, immetti l'indirizzo e-mail usato come ID account quando configuri l'app per dispositivi mobili di Azure. |
| Voce | Notifica vocale. | Immetti il codice paese e il numero di telefono del destinatario della notifica. Se non puoi selezionare il codice paese/area geografica nel portale di Azure, le notifiche vocali non sono supportate per il paese o l'area geografica. Se il codice paese/area geografica non è disponibile, puoi votare in Condividi le tue idee perché il tuo paese o area geografica venga aggiunto. Come soluzione alternativa fino a quando il tuo paese non sarà supportato, configura il gruppo di azioni per chiamare un webhook in un provider chiamate vocali di terze parti che supporta il paese o l'area geografica. |
Elenco completo delle azioni che puoi attivare
| Tipo di azione | Dettagli |
|---|---|
| Runbook di Automazione | Per informazioni sui limiti dei payload del runbook di Automazione, vedi Limiti di automazione. |
| Hub eventi | Un'azione di Hub eventi pubblica le notifiche in Hub eventi. Per altre informazioni su Hub eventi, vedi Hub eventi di Azure - Una piattaforma streaming di Big Data e un servizio di inserimento di eventi. Puoi sottoscrivere il flusso di notifica degli avvisi dal ricevitore di eventi. |
| Funzioni | Chiama un endpoint trigger HTTP esistente nelle funzioni. Per altre informazioni, vedi Funzioni di Azure. Quando definisci l'azione della funzione, l'endpoint del trigger HTTP e la chiave di accesso della funzione vengono salvati nella definizione dell'azione, ad esempio, https://azfunctionurl.azurewebsites.net/api/httptrigger?code=<access_key>. Se modifichi la chiave di accesso per la funzione, devi rimuovere e ricreare l'azione della funzione nel gruppo di azioni.L'endpoint deve supportare il metodo HTTP POST. La funzione deve avere accesso all'account di archiviazione. Se non ha accesso, le chiavi non sono disponibili e l'URI della funzione non è accessibile. Scopri come ripristinare l’accesso all'account di archiviazione. |
| Gestione dei servizi IT | Un’azione Gestione dei servizi IT richiede un collegamento a Gestione dei servizi IT. Per scoprire come creare un collegamento a Gestione dei servizi IT, vedi Integrazione di Gestione dei servizi IT. |
| App per la logica | Puoi usare App per la logica di Azure per creare e personalizzare flussi di lavoro per l'integrazione e per personalizzare le notifiche sugli avvisi. |
| Webhook protetto | Quando usi un'azione webhook sicura, devi usare Microsoft Entra ID per proteggere la connessione tra il gruppo di azioni e l'endpoint, ovvero un'API Web protetta. Vedi Configurare l'autenticazione per il webhook protetto. Il webhook sicuro non supporta l'autenticazione di base. Se usi l'autenticazione di base, usa l'azione Webhook. |
| Webhook | Se usi l'azione webhook, l'endpoint webhook di destinazione deve essere in grado di elaborare i vari payload JSON generati da origini di avviso diverse. Non è possibile passare certificati di sicurezza tramite un'azione webhook. Per usare l'autenticazione di base, devi passare le credenziali tramite l'URI. Se l'endpoint webhook prevede uno schema specifico, ad esempio lo schema di Microsoft Teams, usa il tipo di azione App per la logica per modificare lo schema di avviso e soddisfare le aspettative del webhook di destinazione. Per informazioni sulle regole usate per ripetere le azioni webhook, vedi Webhook. |
Tieni presente che la maggior parte degli eventi imprevisti del servizio influisce su alcune sottoscrizioni, quindi queste non verranno visualizzate in luoghi come status.azure.com. Gli avvisi sull’integrità dei servizi possono essere configurati dal portale. Se vuoi automatizzarne la creazione, possono essere configurati anche tramite PowerShell o i modelli di Resource Manager.
Configurando in modo efficace gli avvisi sull’integrità dei servizi e i gruppi di azioni, puoi assicurarti di ricevere notifiche tempestive ed eseguire azioni appropriate per attenuare l'impatto degli eventi imprevisti sulle risorse di Azure.
Nota
Cerchi assistenza su cosa monitorare e su quali avvisi configurare? Non ti serve altro che la soluzione "Avvisi di base di Monitoraggio di Azure". Fornisce indicazioni complete e codice per implementare una baseline di avvisi della piattaforma, nonché avvisi sull’integrità dei servizi, tramite criteri e iniziative negli ambienti Azure, con opzioni per la distribuzione automatica o manuale. La soluzione include criteri predefiniti per creare automaticamente avvisi per tutti i tipi di eventi di integrità dei servizi (problema del servizio, manutenzione pianificata, avvisi di integrità e avvisi di sicurezza), gruppi di azioni e regole di elaborazione degli avvisi per vari tipi di risorse di Azure. Anche se l'obiettivo è il monitoraggio degli ambienti architettati di Zone di destinazione di Azure, offre anche indicazioni per i clienti brownfield che non sono attualmente allineati al brownfield dell'architettura ALZ brownfield.
Azione 3: Prendi in considerazione gli avvisi sull’integrità risorse o gli eventi pianificati per essere informato sui problemi specifici della risorsa
Dopo aver configurato gli avvisi sull’integrità dei servizi, valuta anche la possibilità di aggiungere avvisi sull’ntegrità delle risorse. Gli avvisi sull’integrità delle risorse di Azure possono informarti quasi in tempo reale quando in queste risorse si riscontra una modifica nello stato di integrità, indipendentemente dal motivo.
La distinzione principale tra gli avvisi “integrità dei servizi” e gli avvisi "integrità delle risorse" è che i primi vengono attivati quando si verifica un problema noto della piattaforma, ad esempio un'interruzione in corso (evento imprevisto del servizio), sottoposto a indagine da Microsoft. Al contrario, i secondi vengono attivati quando una risorsa specifica è considerata non integra, indipendentemente dalla causa di fondo.
Puoi configurare gli avvisi sull’integrità delle risorse dal riquadro Integrità risorse nel pannello Integrità dei servizi del portale di Azure.
Puoi anche creare avvisi sull’integrità delle risorse a livello di codice usando i modelli di Azure Resource Manager e Azure PowerShell. La creazione di avvisi sull’integrità delle risorse a livello di codice ti consente di creare e personalizzare gli avvisi in blocco.
Eventi pianificati per le macchine virtuali, evitando ripercussioni
Gli eventi pianificati sono un altro ottimo strumento, in cui i due tipi di "avvisi" sopra inviano notifiche a persone o sistemi, gli eventi pianificati inviano notifiche alle risorse stesse. Questo dà all’applicazione il tempo di prepararsi per la manutenzione delle macchine virtuali o per uno degli eventi di correzione automatizzati del servizio. Fornisce un segnale su un evento di manutenzione imminente (ad esempio, un riavvio imminente) in modo che l'applicazione ne sia a conoscenza e possa quindi agire per limitare l'interruzione, ad esempio eseguendo l'automazione per uscire dal pool o per rallentare in altro modo. Gli eventi pianificati sono disponibili per tutti i tipi di macchine virtuali di Azure, tra cui PaaS e IaaS sia su Windows che su Linux.
Nota
Sebbene gli avvisi sull’integrità delle risorse e gli eventi pianificati siano utili, l'invito più importante all'azione consiste nel configurare gli avvisi sull’integrità dei servizi. Questo è fondamentale perché tu sappia cosa sta accadendo alle risorse, cosa stiamo facendo e quando viene risolto.
Azione 4: Aumenta la sicurezza degli investimenti per proteggere l'ambiente
Garantisci la protezione dei dati, delle applicazioni e delle altre risorse di Azure esaminando e implementando le procedure consigliate per la sicurezza operativa. Queste procedure consigliate derivano dalla conoscenza collettiva e dall'esperienza di coloro che lavorano con le funzionalità e le caratteristiche attuali della piattaforma Azure. L'articolo viene aggiornato regolarmente per raccogliere opinioni e tecnologie in continua evoluzione.
Come punto di partenza, prendi in considerazione questi consigli principali per l'implementazione:
Richiedi la verifica in due passaggi per tutti gli utenti. Questo vale anche per gli amministratori e gli altri utenti dell'organizzazione la cui compromissione dell'account potrebbe avere un impatto significativo, ad esempio, i dirigenti del reparto finanziario. Applicare l'autenticazione a più fattori per alleviare le preoccupazioni relative a questa esposizione.
Configura e abilita i criteri di rischio nel tenant in modo da ricevere un avviso se "qualcuno" si trova nell'ambiente. Verrà creato un avviso per eventi rischiosi, ad esempio l'uso di indirizzi IP anonimi, viaggi atipici, proprietà di accesso non note, e attiverà ulteriori attività di correzione, come l'autenticazione a più fattori, la reimpostazione delle password e così via, assicurando la sicurezza dei clienti.
Controlla lo spostamento delle sottoscrizioni da e verso le directory come misura proattiva per essere preparato e consapevole della presenza di "qualcuno" nell'ambiente. Questo garantisce all'organizzazione la visibilità completa sulle sottoscrizioni usate e impedisce lo spostamento di sottoscrizioni che potrebbero passare a una directory sconosciuta.
Ruotare regolarmente le credenziali per tutti gli amministratori delle sottoscrizioni e globali come misura di protezione da potenziali violazioni della sicurezza, account compromessi o uso non consentito delle autorizzazioni con privilegi. La rotazione regolare delle credenziali aggiunge un ulteriore livello di sicurezza all'ambiente e consente di mantenere l'integrità e la riservatezza dei dati e delle risorse.
Esamina e aggiorna regolarmente e-mail e numeri di telefono di tutti gli amministratori globali all’interno del tenant
Azione 5: Aumenta la resilienza dei carichi di lavoro chiave di Azure per evitare o ridurre al minimo l'impatto
Per garantire l'affidabilità dei carichi di lavoro, è fondamentale valutarli usando i principi del Microsoft Azure Well Architected Framework (WAF) tramite la revisione di Microsoft Azure Well-Architected. Il WAF fornisce anche consigli sui test di resilienza, inclusa l'adozione di una metodologia di progettazione chaos.
Le applicazioni devono essere sottoposte a test per garantire disponibilità e resilienza. La disponibilità si riferisce alla durata in cui un'applicazione opera senza tempi di inattività significativi, mentre la resilienza misura la velocità con cui un'applicazione può eseguire il ripristino da errori.
Per integrare il lavoro con il WAF, valuta di implementare i consigli principali elencati di seguito e sfruttare gli strumenti forniti per verificare e creare resilienza nelle applicazioni:
Usa la cartella di lavoro integrata Affidabilità sul portale di Azure nel pannello Azure Advisor per valutare il comportamento di affidabilità delle applicazioni, identificare i potenziali rischi e pianificare e implementare miglioramenti.
Migliora la continuità aziendale e il ripristino di emergenza (BCDR) distribuendo i carichi di lavoro e le risorse su più aree. Fai riferimento all'elenco completo delle coppie di aree Azure per conoscere le opzioni ottimali di distribuzione tra aree.
Ottimizza la disponibilità all'interno di un'area ripartendo distribuzioni di carico di lavoro/risorse tra zone di disponibilità.
Considera l’utilizzo di dimensioni di macchine virtuali isolate in Azure per i carichi di lavoro critici che richiedono un livello elevato di isolamento. Queste dimensioni garantiscono che la macchina virtuale sia dedicata a un tipo di hardware specifico e funzioni in modo indipendente. Per altre informazioni, fare riferimento a: Isolamento per le macchine virtuali in Azure - Macchine virtuali di Azure | Microsoft Learn.
Considera l'uso delle configurazioni di manutenzione per avere un controllo e una gestione migliori sugli aggiornamenti delle macchine virtuali di Azure. Questa funzionalità ti consente di pianificare e gestire gli aggiornamenti, garantendo un'interruzione minima dei carichi di lavoro sensibili che non possono tollerare tempi di inattività durante le operazioni di manutenzione.
Migliora la ridondanza implementando ridondanza tra aree o all'interno dell'area. Per indicazioni, vedi l'esempio di un'applicazione Web con ridondanza della zona a disponibilità elevata.
Migliora la resilienza delle applicazioni usando Azure Chaos Studio. Con questo strumento, puoi introdurre intenzionalmente errori controllati sulle applicazioni Azure, per valutarne la resilienza e osservare come rispondono a varie interruzioni, ad esempio la latenza di rete, interruzioni dell'archiviazione, segreti in scadenza e errori del data center.
Usa la cartella di lavoro Ritiro dei servizi disponibile sul portale di Azure nel pannello Azure Advisor. Questo strumento integrato ti consente di rimanere informato sui ritiri dei servizi che possono influire sui carichi di lavoro critici, permettendoti di pianificare ed eseguire in modo efficace le migrazioni necessarie.
Nota
I clienti che hanno un contratto di supporto Premier/Unified possono avvalersi del team Customer Success per definire una strategia e implementare una valutazione Well-Architected Framework (WAF).