Partilhar via

Opções de soberania para monitorizar as cargas de trabalho do Azure

  • Artigo

Os requisitos de soberania aplicam-se frequentemente não apenas aos serviços de aplicação e infraestrutura utilizados como parte de uma carga de trabalho na cloud, mas também às soluções de gestão utilizadas na operação e administração dessa carga de trabalho.

As organizações que têm de cumprir requisitos rigorosos de soberania devem identificar soluções de monitorização que satisfaçam os requisitos operacionais e de conformidade. Isto garante que sejam utilizados padrões de conceção da monitorização da carga de trabalho pelas equipas que estão a planear migrações de carga de trabalho.

Neste artigo, irá obter mais informações sobre os diferentes objetivos e as melhores práticas de monitorização, além de comparar as abordagens nativas da cloud e trazer as suas próprias soluções.

Compreender os objetivos de registo e monitorização

Compreender o comportamento dos recursos implementados na cloud é fundamental para fornecer uma solução fiável. Embora a monitorização seja frequentemente incluída como um componente das cargas de trabalho na cloud, é importante compreender que a monitorização é frequentemente implementada por diferentes razões e para o benefício de diferentes intervenientes.

Se uma organização pretender conceber uma solução holística de monitorização na cloud, seria útil realçar os diferentes objetivos que as organizações frequentemente encontram.

Monitorizar o desempenho

A monitorização do desempenho de uma carga de trabalho pode assumir várias formas, incluindo a monitorização da integridade de um serviço da aplicação, da disponibilidade dos componentes da solução e da velocidade e capacidade de resposta da solução. Este tipo de monitorização é realizado quase em tempo real para identificar problemas no sistema o mais rápido possível e evitar períodos de indisponibilidade.

As métricas deste tipo de monitorização também podem ser recolhidas e agregadas para analisar tendências de desempenho. Este tipo de monitorização e os dados que produz são frequentemente utilizados por equipas de aplicações e infraestruturas que gerem recursos, bem como por equipas de operações e suporte que respondem a eventos e incidentes.

Monitorizar a segurança

A monitorização é frequentemente implementada para fornecer à organização controlos de deteção que podem ajudar a gerir riscos. A monitorização de eventos de segurança pode ajudar uma organização a responder rapidamente e minimizar o efeito das ameaças. A monitorização de ameaças pode procurar padrões que correspondem a técnicas de ataque conhecidas e a manutenção de dados de eventos ao longo do tempo pode permitir que uma organização conduza investigações forenses e execute análises de causa raiz.

Os dados recolhidos da monitorização de segurança são frequentemente utilizados por equipas de segurança, incluindo analistas de operações e investigadores de ameaças, bem como equipas de operações, garantia e auditoria de TI.

Monitorizar a gestão de serviços

Juntamente com a monitorização de desempenho e segurança que analisa o comportamento de uma carga de trabalho, as organizações podem implementar monitorização adicional para observar o estado da carga de trabalho. Este tipo de monitorização é frequentemente utilizado para verificar se os objetivos da Gestão de Serviços de TI estão a ser alcançados. Os domínios de Gestão de Serviços, como a gestão de configuração, o controlo de alterações e moeda de versão de software, geralmente exigem a monitorização da versão ou a configuração de um recurso para validar a implementação num bom estado conhecido.

Este tipo de monitorização é frequentemente utilizado por equipas de operações de TI, equipas de aplicações e infraestrutura, e equipas de segurança para identificar alterações não autorizadas.

Utilizar as melhores práticas de monitorização e diagnóstico

À medida que as organizações planeiam as suas soluções de monitorização, é útil rever algumas melhores práticas para implementar a monitorização nativa da cloud para as soluções implementadas no Azure. Os artigos seguintes contêm recomendações para conceber soluções de monitorização baseadas na cloud:

Monitorização nativa da cloud vs. traga a sua própria solução

Muitas organizações já possuem soluções de monitorização maduras para monitorizar sistemas no local e uma escolha comum ao planear uma migração para a cloud é adotar uma solução de monitorização nativa da cloud ou adaptar uma solução existente para utilização na cloud.

Ambas as abordagens têm as as suas vantagens e desvantagens, pelo que recomendamos que as organizações avaliem ambas as abordagens para garantir um bom alinhamento com os seus requisitos operacionais e de soberania.

Utilizar registos e a monitorização como um serviço

O Azure oferece uma seleção de serviços nativos da cloud que as organizações podem utilizar para criar uma solução de monitorização holística:

  • O Azure Monitor é o solução gerida do Azure para monitoramento de TI e aplicativos. O Azure Monitor fornece uma série de ferramentas de monitorização de TI e caraterísticas de análise, incluindo:
    • Log Analytics - uma interface gráfica para criar e executar consultas em relação aos dados de log coletados.
    • Insights - experiências de monitoramento prontas para uso com entradas de dados, consultas, alertas e visualizações pré-configuradas, com curadoria de Microsoft.
    • Application Insights - Fornece recursos de gerenciamento de desempenho de aplicativos para código escrito pelo cliente.
  • O Microsoft Sentinel pode ser usado com o Azure Monitor para orquestração, automação e resposta de segurança (SOAR).
  • Microsoft O Defender for Cloud é uma plataforma de proteção de aplicativos nativa da nuvem (CNAPP) que funciona com o Azure Monitor para proteger aplicativos baseados em nuvem contra ameaças.

Embora uma organização possa optar por desenvolver a sua abordagem de monitorização do zero, muitas organizações podem beneficiar das experiências organizadas em serviços como o Azure Monitor e o Microsoft Defender para a Cloud.

Estes serviços podem não fornecer o mesmo nível de granularidade quando se trata de selecionar locais para a residência dos dados, pelo que as organizações devem compreender onde e como os seus dados são armazenados se decidirem incorporar serviços não regionais na sua estratégia de monitorização.

Alargar as soluções de monitorização no local ao Azure

Existem diversas formas de as organizações continuarem a tirar partido das suas soluções de monitorização no local para aplicações com dados altamente confidenciais que não podem ser monitorizados com soluções de monitorização PaaS.

  • Para as cargas de trabalho de IaaS, as soluções de monitorização baseadas em agentes podem continuar a ser incluídas nas imagens de máquina virtual.
  • As soluções de Monitorização de Desempenho de Aplicações podem continuar a ser compiladas com o código desenvolvido pelo cliente.
  • Os servidores de registo podem ser implementados no Azure utilizando máquinas virtuais para minimizar o tráfego do cliente através de ligações WAN.
  • Os registos podem ser enviados para contas de armazenamento, transmitidos com Hubs de Eventos ou acedidos através da API.

Todas estas abordagens podem ajudar as organizações a fazer a transição do seu modelo de operações para a cloud, mantendo um nível mais elevado de soberania operacional para os seus sistemas de monitorização no local. No entanto, estas abordagens também podem adicionar custos extra, pois as soluções de monitorização legadas consomem recursos da cloud, como máquinas virtuais e armazenamento na cloud.

Uma outra abordagem que pode ajudar as organizações a fazer a transição das suas operações para a cloud é transmitir dados de monitorização do Azure Monitor para soluções no local fornecidas pelos Parceiros do Azure Monitor.

Selecionar soluções de monitorização para cargas de trabalho do Azure

Os seguintes cenários realçam algumas das soluções de monitorização que as organizações podem utilizar para monitorizar cargas de trabalho, incluindo cargas de trabalho com requisitos de soberania rigorosos:

Monitorizar os recursos do Azure utilizando serviços regionais e não regionais

  • Fontes de dados e instrumentação: Colete registros de plataforma e atividades nativamente usando o Azure Monitor. Recolha registos de recursos IaaS utilizando o Agente do Azure Monitor. Recolha telemetria de runtime de aplicações personalizadas utilizando o Application Insights.
  • Coleta e armazenamento: agrega dados de log para uma carga de trabalho individual em um espaço de trabalho do Log Analytics. Agregue dados de registo de toda a empresa no Azure Data Lake transmitindo registos em fluxo utilizando Hubs de Eventos.
  • Análise e Diagnóstico: Gere insights usando experiências de monitoramento selecionadas no Azure Monitor e no Defender for Cloud. Analise os registos utilizando o Log Analytics ou o Azure Data Explorer. Automatize e orquestre respostas de segurança utilizando o Microsoft Sentinel.

Monitorizar os recursos do Azure utilizando apenas serviços regionais

  • Fontes de dados e instrumentação: Colete logs de plataforma e atividades usando o Azure Monitor. Recolha telemetria de runtime de aplicações personalizadas utilizando o Application Insights.
  • Coleta e armazenamento: agrega dados de log para uma carga de trabalho individual em um espaço de trabalho do Log Analytics implantado na região desejada. Transmita dados de registo em fluxo com Hubs de Eventos para um data lake na subscrição pretendida.
  • Análise e diagnóstico: Analise logs usando o Log Analytics ou o Azure Data Explorer.

Monitorize os recursos do Azure utilizando soluções no local

  • Fontes de dados e instrumentação: Capture logs com Azure Monitore e exporte para no local solução usando conta de armazenamento, Hubs de Eventos ou API. Capture registos diretamente utilizando agentes de terceiros.
  • Coleta e armazenamento: Agregar e arquivar dados de log no local.
  • Análise e Diagnóstico: Utilize as soluções no local existentes para análise e diagnóstico.