Soevereiniteitskeuzes voor het bewaken van Azure-workloads

Soevereiniteitseisen zijn vaak niet alleen van toepassing op de applicatie- en infrastructuurservices die worden gebruikt als onderdeel van een cloudworkload, maar ook op de beheeroplossingen die worden gebruikt bij de exploitatie en het beheer van die workload.

Organisaties die aan strenge soevereiniteitseisen moeten voldoen, moeten bewakingsoplossingen identificeren die voldoen aan zowel operationele als compliance-eisen. Dit zorgt ervoor dat ontwerppatronen voor het bewaken van de workload worden gebruikt door de teams die workloadmigraties plannen.

In dit artikel leert u over de verschillende doelen en best practices voor bewaking, vergelijkt u de cloud-native en brengt u uw eigen oplossingen mee.

De doelstellingen voor logboekregistratie en bewaking begrijpen

Inzicht in het gedrag van resources die in de cloud worden ingezet, is van cruciaal belang om een betrouwbare oplossing te kunnen bieden. Hoewel bewaking vaak wordt opgenomen als onderdeel van cloudworkloads, is het belangrijk om te begrijpen dat bewaking vaak om verschillende redenen wordt geïmplementeerd en ten behoeve van verschillende belanghebbenden.

Als een organisatie een holistische bewakingsoplossing in de cloud gaat ontwerpen, zou het nuttig zijn om de verschillende doelstellingen te benadrukken waarmee organisaties vaak worden geconfronteerd.

Prestaties bijhouden

Het bewaken van de prestaties van een workload kan vele vormen aannemen, waaronder het bewaken van de status van een applicatieservice, de beschikbaarheid van oplossingsonderdelen en de snelheid en responsiviteit van de oplossing. Dit type bewaking wordt vrijwel in realtime uitgevoerd om systeemproblemen zo snel mogelijk te identificeren en downtime te voorkomen.

Statistieken van dit type bewaking kunnen ook worden verzameld en samengevoegd om prestatietrends te analyseren. Dit type bewaking en de data die het produceert, worden vaak gebruikt door applicatie- en infrastructuurteams die resources beheren, maar ook door operationele en ondersteuningsteams die reageren op gebeurtenissen en incidenten.

Beveiliging bijhouden

Bewaking wordt vaak geïmplementeerd om een organisatie van detectiecontroles te voorzien die kunnen helpen risico's te beheersen. Het bewaken van beveiligingsgebeurtenissen kan een organisatie helpen snel te reageren en de gevolgen van dreigingen te minimaliseren. Bij het bewaken van dreigingen kan worden gezocht naar patronen die overeenkomen met bekende aanvalstechnieken, en het bijhouden van gebeurtenisgegevens in de loop van de tijd kan een organisatie in staat stellen forensisch onderzoek uit te voeren en hoofdoorzaakanalyses uit te voeren.

Data die wordt verzameld via beveiligingsbewaking wordt vaak gebruikt door beveiligingsteams, waaronder operationele analisten en dreigingsjagers, maar ook door IT-operations-, assurance- en auditteams.

Servicebeheer bijhouden

Naast prestatie- en beveiligingsbewaking waarbij naar het gedrag van een workload wordt gekeken, kunnen organisaties extra bewaking implementeren om naar de status van de workload te kijken. Dit type bewaking wordt vaak gebruikt om te verifiëren dat de doelstellingen van IT-servicemanagement worden behaald. Service Management-domeinen zoals configuratiebeheer, wijzigingsbeheer en softwareversievaluta vereisen vaak het bewaken van de versie of configuratie van een resource om de implementatie in een bekende goede staat te valideren.

Dit type bewaking wordt vaak gebruikt door IT-operations-, applicatie- en infrastructuurteams en beveiligingsteams om ongeoorloofde wijzigingen te identificeren.

Best practices gebruiken voor bewaking en diagnostiek

Terwijl organisaties hun bewakingsoplossingen plannen, is het handig om enkele best practices te bekijken voor het implementeren van cloud-native bewaking voor oplossingen die in Azure worden geïmplementeerd. De volgende artikelen bevatten aanbevelingen voor het ontwerpen van cloudgebaseerde bewakingsoplossingen:

• Monitoring en diagnostische best practices
• Aanbevelingen voor monitoring van goed ontworpen raamwerken

Cloud-native bewaking versus uw eigen oplossing meebrengen

Veel organisaties beschikken al over volwassen bewakingsoplossingen om on-premises systemen te bewaken, en een veel voorkomende keuze bij het plannen van een cloudmigratie is of ze een cloud-native bewakingsoplossing willen adopteren of een bestaande oplossing moeten aanpassen voor gebruik in de cloud.

Beide benaderingen hebben hun voor- en nadelen. Daarom raden we organisaties aan beide benaderingen te evalueren om te zorgen voor een goede afstemming met hun operationele en soevereiniteitsvereisten.

Logboekregistratie en bewaking als een service gebruiken

Azure biedt een selectie van cloud-native services die organisaties kunnen gebruiken om een holistische bewakingsoplossing te creëren:

• Azure Monitor is Azure's beheerde oplossing voor IT- en applicatiebewaking. Azure Monitor biedt een groot aantal IT-controletools en analysefuncties, waaronder:
  • Log Analytics - een grafische interface voor het maken en uitvoeren van query's op verzamelde loggegevens.
  • Insights - kant-en-klare monitoringervaringen met vooraf geconfigureerde gegevensinvoer, query's, waarschuwingen en visualisaties, samengesteld door Microsoft.
  • Application Insights - biedt functies voor applicatieprestatiebeheer voor door de klant geschreven code.
• Microsoft Sentinel kan worden gebruikt met Azure Monitor voor beveiligingsorkestratie, automatisering en respons (SOAR).
• Microsoft Defender voor Cloud is een cloud-native applicatiebeschermingsplatform (CNAPP) dat samenwerkt met Azure Monitor om beveiligen cloudgebaseerde applicaties te beschermen tegen bedreigingen.

Hoewel een organisatie ervoor kan kiezen om de controleaanpak helemaal opnieuw te ontwikkelen, kunnen veel organisaties profiteren van de samengestelde ervaringen in services zoals Azure Monitor en Microsoft Defender voor Cloud.

Deze services bieden mogelijk niet hetzelfde niveau van granulariteit als het gaat om het selecteren van locaties voor gegevenslocatie. Organisaties moeten dus begrijpen waar en hoe hun data wordt opgeslagen als ze ervoor kiezen om niet-regionale services op te nemen in hun bewakingsstrategie.

• Meer informatie over dataresidentie in Azure

On-premises bewakingsoplossingen uitbreiden naar Azure

Er zijn verschillende manieren waarop organisaties kunnen blijven profiteren van hun on-premises bewakingsoplossingen voor applicaties met zeer gevoelige data die niet kan worden bewaakt met behulp van PaaS-bewakingsoplossingen.

• Voor IaaS-workloads kunnen op agenten gebaseerde bewakingsoplossingen blijven worden opgenomen in installatiekopieën van virtuele machines.
• Application Performance Monitoring-oplossingen kunnen verder worden gecompileerd met door de klant ontwikkelde code.
• Logboekservers kunnen in Azure worden geïmplementeerd met behulp van virtuele machines om het clientverkeer via WAN-koppelingen te minimaliseren.
• Logboeken kunnen naar opslagaccounts worden verzonden, gestreamd met Event Hubs of toegankelijk via API.

Al deze benaderingen kunnen organisaties helpen hun bedrijfsmodel naar de cloud over te zetten, terwijl ze een hoger niveau van operationele soevereiniteit behouden voor hun on-premises bewakingssystemen. Deze benaderingen kunnen echter ook extra kosten met zich meebrengen, omdat oudere bewakingsoplossingen cloudresources zoals virtuele machines en cloudopslag verbruiken.

Een andere aanpak waarmee organisaties hun activiteiten naar de cloud kunnen overzetten, is het streamen van bewakingsgegevens van Azure Monitor naar on-premises oplossingen die worden geleverd door Azure Monitor Partners.

• Meer informatie over streaming loggegevens van Azure Monitor
• Bekijk de lijst met externe Azure Monitor Partners

Bewakingsoplossingen selecteren voor Azure-workloads

In de volgende scenario's worden enkele van de bewakingsoplossingen belicht die organisaties kunnen gebruiken om workloads te bewaken, inclusief workloads met strikte soevereiniteitsvereisten:

Bewaak Azure-resources met behulp van regionale en niet-regionale services

• Gegevensbronnen en instrumentatie: Verzamel platform- en activiteitenlogboeken op een natuurlijke manier met behulp van Azure Monitor. Verzamel logboeken van IaaS-resources met Azure Monitor Agent. Verzamel runtime-telemetrie van aangepaste toepassingen met Application Insights.
• Verzamelen en opslaan: Logboekgegevens voor een afzonderlijke werklast samenvoegen in een Log Analytics-werkruimte. Verzamel logboekgegevens voor de hele onderneming in Azure Data Lake door logboeken te streamen met Event Hubs.
• Analyse en diagnose: Genereer inzichten met behulp van samengestelde monitoringervaringen in Azure Monitor en Defender voor Cloud. Analyseer logboeken met Log Analytics of Azure Data Explorer. Automatiseer en orkestreer beveiligingsresponses met Microsoft Sentinel.

Bewaak Azure-resources met behulp van alleen regionale services

• Gegevensbronnen en instrumentatie: Verzamel platform- en activiteitenlogboeken met behulp van Azure Monitor. Verzamel runtime-telemetrie van aangepaste toepassingen met Application Insights.
• Verzamelen en opslaan: Voeg logboekgegevens toe voor een afzonderlijke workload in een Log Analytics-werkruimte die is geïmplementeerd in de gewenste regio. Stream logboekgegevens met Event Hubs naar een data lake in het door u gewenste abonnement.
• Analyse en diagnose: Analyseer logboeken met Log Analytics of Azure Data Explorer.

Azure-resources bewaken met behulp van on-premises oplossingen

• Gegevensbronnen en instrumentatie: Leg logs vast met Azure. Bewaak en exporteer deze naar de on-premises-oplossing met behulp van een opslagaccount, Event Hubs of API. Leg logboeken rechtstreeks vast met behulp van externe agenten.
• Verzamelen en opslaan: Loggegevens verzamelen en archiveren met on-premises.
• Analyse en diagnose: gebruik bestaande on-premises-oplossingen voor analyse en diagnose.

Verwante resources

• Bekijk het leertraject Azure Monitor Fundamentals om trainingen te ontdekken over het bewaken van applicaties en infrastructuur met behulp van Azure Monitor.