Рекомендации по инвентаризации и видимости
Когда ваша организация разрабатывает и внедряет облачную среду, ключевым аспектом является основа для управления платформой и мониторинга платформенных служб. Чтобы обеспечить успешное внедрение облака, необходимо структурировать эти службы в соответствии с потребностями вашей организации по мере масштабирования среды.
Решения облачной операционной модели, которые вы принимаете на ранних этапах планирования, напрямую влияют на то, как управленческие операции выполняются в рамках зон размещения. Степень централизованного управления для вашей платформы является ключевым примером.
Используйте рекомендации, приведенные в этой статье, чтобы подумать о том, как следует подходить к инвентаризации и видимости в облачной среде.
Основные рекомендации по инвентаризации
- Рассмотрите возможность использования таких средств, как рабочая область Azure Monitor Log Analytics в качестве административных границ.
- Определите, какие команды должны использовать системные журналы из платформы и которым требуется доступ к этим журналам.
Рассмотрим следующие элементы, связанные с ведением журнала данных, чтобы определить типы данных, которые вы можете захотеть собрать и использовать.
Размах | Контекст |
---|---|
Мониторинг платформы, ориентированной на приложения |
Включите как горячие, так и холодные каналы телеметрии для метрик и журналов соответственно. Метрики операционной системы, такие как счетчики производительности и пользовательские метрики. Журналы операционной системы, такие как:
|
Ведение журнала аудита безопасности | Стремитесь обеспечить горизонтальное представление безопасности всей облачной инфраструктуры Azure вашей организации.
|
Пороговые значения хранения данных Azure и требования к архивации |
|
Операционные требования |
|
Рекомендации по видимости
- Какие команды должны получать уведомления об оповещениях?
- У вас есть группы услуг, для которых необходимо уведомление нескольких команд?
- Есть ли у вас существующие средства управления службами, в которые необходимо отправить оповещения?
- Какие службы считаются критически важными для бизнеса и требуют уведомлений о проблемах с высоким приоритетом?
Рекомендации по инвентаризации и видимости
Используйте одну рабочую область мониторинга журналов для централизованного управления платформами, за исключением случаев, когда управление доступом на основе ролей Azure (Azure RBAC), требования к независимости данных и политики хранения данных требует отдельных рабочих областей. Централизованное ведение журнала крайне важно для видимости, необходимой командами управления операциями, и управляет отчетами об управлении изменениями, работоспособности служб, конфигурации и большинстве других аспектов ИТ-операций. Сосредоточение внимания на централизованной модели рабочей области сокращает административные усилия и вероятность пробелов в наблюдаемости.
- Команды приложений могут развертывать собственные рабочие области Log Analytics в своих подписках, а также центральную рабочую область группы платформы, к которым они могут иметь ограниченный доступ, чтобы хранить журналы и метрики, относящиеся к их требованиям к рабочей нагрузке.
Экспортируйте журналы в службу хранилища Azure, если требования к хранению журналов превышают семь лет. Используйте неизменяемое хранилище с политикой записи однократно, считываемой многими, чтобы сделать данные неизменяемыми и не изменяемыми для указанного пользователем интервала.
Используйте политику Azure для управления доступом и отчетности о соответствии. Политика Azure позволяет применять параметры всей организации, чтобы обеспечить согласованное соблюдение политик и быстрое обнаружение нарушений. Дополнительные сведения см. в статье Общие сведения о эффектах политики Azure.
Используйте наблюдатель за сетями для упреждающего мониторинга трафика через журналы потоков NSG версии 2. Аналитика трафика анализирует журналы потоков NSG, чтобы получить подробные сведения о IP-трафике в виртуальных сетях. Она также предоставляет критически важные сведения, необходимые для эффективного управления и мониторинга, например:
- Большинство узлов, участвующих в обмене данными, и протоколов приложений
- Большинство конверсирующих пар хостов
- Разрешенный или заблокированный трафик
- Входящий и исходящий трафик
- Открытие интернет-портов
- Большинство правил блокировки
- Распределение трафика для центра обработки данных Azure
- Виртуальная сеть
- Подсетей
- Незаконные сети
Используйте блокировки ресурсов, чтобы предотвратить случайное удаление критически важных совместно используемых служб.
Используйте политики запрета для дополнения назначений ролей Azure. Политики запрета помогают предотвратить развертывание ресурсов и конфигурации, которые не соответствуют определенным стандартам, блокируя отправку запросов поставщикам ресурсов. Объединение политик запрета и назначений ролей Azure гарантирует наличие соответствующих ограничений для управления теми, кто может развертывать и настраивать ресурсы, и ресурсами, которые они могут развертывать и настраивать.
Включите службы и события работоспособности ресурсов в рамках общего решения мониторинга платформы. Отслеживание работоспособности служб и ресурсов с точки зрения платформы является важным компонентом управления ресурсами в Azure.
Не отправляйте необработанные записи журнала обратно в локальные системы мониторинга. Вместо этого придерживайтесь принципа, что данных, созданных в Azure, остается в Azure. Если требуется локальная интеграция SIEM, отправьте критические уведомления вместо журналов.
Акселератор посадочной зоны Azure и управление
Акселератор целевой зоны Azure включает в себя рекомендуемую конфигурацию для развертывания ключевых возможностей управления Azure, которые помогают вашей организации быстро масштабировать и зрелые.
Развертывание ускорителя посадочной зоны Azure включает средства управления ключами и мониторинга, такие как:
- Рабочая область Log Analytics
- Мониторинг Microsoft Defender для облака
- Параметры диагностики для журналов действий, виртуальных машин и платформы как службы (PaaS), отправленных в Log Analytics
Централизованный журнал данных в ускорителе зоны высадки Azure
В контексте акселератора целевой зоны Azure централизованное ведение журнала в основном связано с операциями платформы.
Этот акцент не предотвращает использование той же рабочей области для ведения журнала приложений на основе виртуальных машин. В рабочей области, настроенной в режиме управления доступом, ориентированном на ресурсы, применяется детальная функция Azure RBAC, которая гарантирует, что команды приложений имеют доступ только к журналам из своих ресурсов.
В этой модели команды приложений получают выгоду от использования существующей инфраструктуры платформы, так как она снижает затраты на управление.
Для нечисловых ресурсов, таких как веб-приложения или базы данных Azure Cosmos DB, команды приложений могут использовать собственные рабочие области Log Analytics. Затем они могут направлять диагностику и метрики в эти рабочие области.
Команды приложений также могут принять решение дублировать некоторые журналы, доступные в рабочей области Log Analytics центральной платформы для повышения эффективности работы в своей команде. Это также поддерживаемая схема в архитектуре и рекомендациях посадочной зоны Azure.