Zagadnienia dotyczące spisu i widoczności
Podczas projektowania i implementowania środowiska chmury w organizacji podstawą do zarządzania platformą i monitorowania usług platformy jest kluczowa kwestia. Aby zapewnić pomyślne wdrożenie chmury, należy utworzyć strukturę tych usług, aby zaspokoić potrzeby organizacji w miarę skalowania środowiska.
Decyzje dotyczące modelu operacyjnego w chmurze podejmowane we wczesnych fazach planowania mają bezpośredni wpływ na sposób dostarczania operacji zarządzania w ramach stref docelowych. Stopień, w jakim zarządzanie jest scentralizowane dla twojej platformy, jest kluczowym przykładem.
Skorzystaj ze wskazówek w tym artykule, aby wziąć pod uwagę sposób podejścia do spisu i widoczności w środowisku chmury.
Podstawowe zagadnienia dotyczące spisu
- Rozważ użycie narzędzi, takich jak obszar roboczy usługi Log Analytics usługi Azure Monitor, jako granice administracyjne.
- Ustal, które zespoły powinny używać dzienników generowanych przez system z platformy i którzy potrzebują dostępu do tych dzienników.
Rozważ następujące elementy związane z danymi rejestrowania, aby poinformować o typach danych, które warto sortować i używać.
Scope | Kontekst |
---|---|
Monitorowanie platformy skoncentrowanej na aplikacji |
Uwzględnij odpowiednio ścieżki telemetrii gorącej i zimnej dla metryk i dzienników. Metryki systemu operacyjnego, takie jak liczniki wydajności i metryki niestandardowe. Dzienniki systemu operacyjnego, takie jak:
|
Rejestrowanie inspekcji zabezpieczeń | Celem jest osiągnięcie poziomego obiektywu zabezpieczeń w całej infrastrukturze platformy Azure w organizacji.
|
Progi przechowywania danych platformy Azure i wymagania dotyczące archiwizacji |
|
Wymagania operacyjne |
|
Zagadnienia dotyczące widoczności
- Które zespoły muszą otrzymywać powiadomienia o alertach?
- Czy masz grupy usług, które wymagają powiadomienia wielu zespołów?
- Czy masz istniejące narzędzia do zarządzania usługami, do których należy wysyłać alerty?
- Które usługi są uznawane za krytyczne dla działania firmy i wymagają powiadomień o wysokim priorytcie problemów?
Zalecenia dotyczące spisu i widoczności
Użyj jednego obszaru roboczego dzienników monitorowania, aby centralnie zarządzać platformami, z wyjątkiem sytuacji, w których kontrola dostępu oparta na rolach platformy Azure (Azure RBAC), wymagania dotyczące niezależności danych i zasady przechowywania danych wymuszają oddzielne obszary robocze. Scentralizowane rejestrowanie ma kluczowe znaczenie dla widoczności wymaganej przez zespoły zarządzania operacjami i udostępnia raporty dotyczące zarządzania zmianami, kondycji usługi, konfiguracji i większości innych aspektów operacji IT. Skupienie się na scentralizowanym modelu obszaru roboczego zmniejsza nakład pracy administracyjnej i szanse na luki w obserwacji.
Wyeksportuj dzienniki do usługi Azure Storage, jeśli wymagania dotyczące przechowywania dzienników przekraczają siedem lat. Użyj niezmiennego magazynu z zasadami zapisu jednokrotnego odczytu i wielu do odczytu, aby dane nie można było wymazywać i modyfikować dla interwału określonego przez użytkownika.
Użyj usługi Azure Policy do celów kontroli dostępu i raportowania zgodności. Usługa Azure Policy umożliwia wymuszanie ustawień dla całej organizacji w celu zapewnienia spójnego przestrzegania zasad i szybkiego wykrywania naruszeń. Aby uzyskać więcej informacji, zobacz Omówienie efektów usługi Azure Policy.
Usługa Network Watcher umożliwia aktywne monitorowanie przepływów ruchu za pośrednictwem dzienników przepływu sieciowej grupy zabezpieczeń usługi Network Watcher w wersji 2. Analiza ruchu analizuje dzienniki przepływów sieciowej grupy zabezpieczeń w celu zbierania szczegółowych informacji o ruchu IP w sieciach wirtualnych. Udostępnia on również krytyczne informacje potrzebne do efektywnego zarządzania i monitorowania, takich jak:
- Większość komunikujących się hostów i protokołów aplikacji
- Większość par hostów zbieżnych
- Dozwolony lub zablokowany ruch
- Ruch przychodzący i wychodzący
- Otwieranie portów internetowych
- Większość reguł blokowania
- Dystrybucja ruchu na centrum danych platformy Azure
- Sieć wirtualna
- Podsieci
- Nieautoryzuje sieci
Użyj blokad zasobów, aby zapobiec przypadkowemu usunięciu krytycznych usług udostępnionych.
Użyj zasad odmowy, aby uzupełnić przypisania ról platformy Azure. Zasady odmowy pomagają zapobiegać wdrażaniu zasobów i konfiguracjach, które nie spełniają zdefiniowanych standardów, blokując wysyłanie żądań do dostawców zasobów. Połączenie zasad odmowy i przypisań ról platformy Azure gwarantuje, że masz odpowiednie zabezpieczenia, aby kontrolować , kto może wdrażać i konfigurować zasoby oraz jakie zasoby mogą wdrażać i konfigurować.
Uwzględnij zdarzenia usługi i kondycji zasobów w ramach ogólnego rozwiązania do monitorowania platformy. Śledzenie kondycji usługi i zasobów z perspektywy platformy jest ważnym składnikiem zarządzania zasobami na platformie Azure.
Nie wysyłaj nieprzetworzonych wpisów dziennika z powrotem do lokalnych systemów monitorowania. Zamiast tego należy przyjąć zasadę, że dane urodzone na platformie Azure pozostają na platformie Azure. Jeśli potrzebujesz lokalnej integracji rozwiązania SIEM, wyślij alerty krytyczne zamiast dzienników.
Akcelerator strefy docelowej platformy Azure i zarządzanie nią
Akcelerator strefy docelowej platformy Azure obejmuje konfigurację z opiniami w celu wdrożenia kluczowych funkcji zarządzania platformy Azure, które pomagają organizacji szybko skalować i dojrzewać.
Wdrożenie akceleratora strefy docelowej platformy Azure obejmuje narzędzia do zarządzania kluczami i monitorowania, takie jak:
- Obszar roboczy usługi Log Analytics i konto usługi Automation
- monitorowanie Microsoft Defender dla Chmury
- Ustawienia diagnostyczne dzienników aktywności, maszyn wirtualnych i zasobów platformy jako usługi (PaaS) wysyłanych do usługi Log Analytics
Scentralizowane rejestrowanie w akceleratorze strefy docelowej platformy Azure
W kontekście akceleratora strefy docelowej platformy Azure scentralizowane rejestrowanie dotyczy głównie operacji platformy.
Ten nacisk nie uniemożliwia korzystania z tego samego obszaru roboczego na potrzeby rejestrowania aplikacji opartych na maszynach wirtualnych. W obszarze roboczym skonfigurowanym w trybie kontroli dostępu skoncentrowanej na zasobach szczegółowa kontrola dostępu na podstawie ról platformy Azure jest wymuszana, co gwarantuje, że zespoły aplikacji mają dostęp tylko do dzienników z zasobów.
W tym modelu zespoły aplikacji korzystają z korzystania z istniejącej infrastruktury platformy, ponieważ zmniejsza nakład pracy związany z zarządzaniem.
W przypadku zasobów innych niż obliczeniowe, takich jak aplikacje internetowe lub bazy danych usługi Azure Cosmos DB, zespoły aplikacji mogą używać własnych obszarów roboczych usługi Log Analytics. Następnie mogą kierować diagnostykę i metryki do tych obszarów roboczych.