Поделиться через

Рекомендации по инвентаризации и видимости

  • Статья

Когда ваша организация разрабатывает и внедряет облачную среду, ключевым аспектом является основа для управления платформой и мониторинга платформенных служб. Чтобы обеспечить успешное внедрение облака, необходимо структурировать эти службы в соответствии с потребностями вашей организации по мере масштабирования среды.

Решения облачной операционной модели, которые вы принимаете на ранних этапах планирования, напрямую влияют на то, как управленческие операции выполняются в рамках зон размещения. Степень централизованного управления для вашей платформы является ключевым примером.

Используйте рекомендации, приведенные в этой статье, чтобы подумать о том, как следует подходить к инвентаризации и видимости в облачной среде.

Основные рекомендации по инвентаризации

  • Рассмотрите возможность использования таких средств, как рабочая область Azure Monitor Log Analytics в качестве административных границ.
  • Определите, какие команды должны использовать системные журналы из платформы и которым требуется доступ к этим журналам.

Рассмотрим следующие элементы, связанные с ведением журнала данных, чтобы определить типы данных, которые вы можете захотеть собрать и использовать.

Размах Контекст
Мониторинг платформы, ориентированной на приложения
Включите как горячие, так и холодные каналы телеметрии для метрик и журналов соответственно.
Метрики операционной системы, такие как счетчики производительности и пользовательские метрики.
Журналы операционной системы, такие как:
  • Службы информации интернета
  • Трассировка событий для Windows и системных журналов
  • События состояния ресурсов
Ведение журнала аудита безопасности Стремитесь обеспечить горизонтальное представление безопасности всей облачной инфраструктуры Azure вашей организации.
  • Потенциальная интеграция с локальными системами безопасности и системы управления событиями (SIEM), такими как ArcSight или платформа безопасности Onapsis
  • Потенциальная интеграция с программным обеспечением как услуга (SaaS), например ServiceNow
  • Журналы действий Azure
  • Отчеты аудита Microsoft Entra
  • Службы диагностики Azure, журналы и метрики, события аудита Azure Key Vault, журналы потоков группы безопасности сети (NSG) и журналы событий
  • Azure Monitor, Наблюдатель за сетями Azure, Microsoft Defender для облака и Microsoft Sentinel
Пороговые значения хранения данных Azure и требования к архивации
  • Срок хранения по умолчанию для журналов Azure Monitor составляет 30 дней, при этом максимальный срок хранения аналитики составляет два года и архив за семь лет.
  • Срок хранения по умолчанию для отчетов Microsoft Entra (премиум) составляет 30 дней.
  • Срок хранения по умолчанию для журналов действий Azure и журналов Application Insights составляет 90 дней.
Операционные требования
  • Операционные панели мониторинга с собственными инструментами, такими как журналы Azure Monitor или сторонние средства
  • Использование централизованных ролей для управления привилегированными действиями
  • Управляемые удостоверения для ресурсов Azure](/Azure/active-directory/managed-identities-Azure-resources/overview) для доступа к службам Azure
  • Блокировки ресурсов для защиты от редактирования и удаления ресурсов

Рекомендации по видимости

  • Какие команды должны получать уведомления об оповещениях?
  • У вас есть группы услуг, для которых необходимо уведомление нескольких команд?
  • Есть ли у вас существующие средства управления службами, в которые необходимо отправить оповещения?
  • Какие службы считаются критически важными для бизнеса и требуют уведомлений о проблемах с высоким приоритетом?

Рекомендации по инвентаризации и видимости

  • Используйте одну рабочую область мониторинга журналов для централизованного управления платформами, за исключением случаев, когда управление доступом на основе ролей Azure (Azure RBAC), требования к независимости данных и политики хранения данных требует отдельных рабочих областей. Централизованное ведение журнала крайне важно для видимости, необходимой командами управления операциями, и управляет отчетами об управлении изменениями, работоспособности служб, конфигурации и большинстве других аспектов ИТ-операций. Сосредоточение внимания на централизованной модели рабочей области сокращает административные усилия и вероятность пробелов в наблюдаемости.

    • Команды приложений могут развертывать собственные рабочие области Log Analytics в своих подписках, а также центральную рабочую область группы платформы, к которым они могут иметь ограниченный доступ, чтобы хранить журналы и метрики, относящиеся к их требованиям к рабочей нагрузке.

  • Экспортируйте журналы в службу хранилища Azure, если требования к хранению журналов превышают семь лет. Используйте неизменяемое хранилище с политикой записи однократно, считываемой многими, чтобы сделать данные неизменяемыми и не изменяемыми для указанного пользователем интервала.

  • Используйте политику Azure для управления доступом и отчетности о соответствии. Политика Azure позволяет применять параметры всей организации, чтобы обеспечить согласованное соблюдение политик и быстрое обнаружение нарушений. Дополнительные сведения см. в статье Общие сведения о эффектах политики Azure.

  • Используйте наблюдатель за сетями для упреждающего мониторинга трафика через журналы потоков NSG версии 2. Аналитика трафика анализирует журналы потоков NSG, чтобы получить подробные сведения о IP-трафике в виртуальных сетях. Она также предоставляет критически важные сведения, необходимые для эффективного управления и мониторинга, например:

    • Большинство узлов, участвующих в обмене данными, и протоколов приложений
    • Большинство конверсирующих пар хостов
    • Разрешенный или заблокированный трафик
    • Входящий и исходящий трафик
    • Открытие интернет-портов
    • Большинство правил блокировки
    • Распределение трафика для центра обработки данных Azure
    • Виртуальная сеть
    • Подсетей
    • Незаконные сети

  • Используйте блокировки ресурсов, чтобы предотвратить случайное удаление критически важных совместно используемых служб.

  • Используйте политики запрета для дополнения назначений ролей Azure. Политики запрета помогают предотвратить развертывание ресурсов и конфигурации, которые не соответствуют определенным стандартам, блокируя отправку запросов поставщикам ресурсов. Объединение политик запрета и назначений ролей Azure гарантирует наличие соответствующих ограничений для управления теми, кто может развертывать и настраивать ресурсы, и ресурсами, которые они могут развертывать и настраивать.

  • Включите службы и события работоспособности ресурсов в рамках общего решения мониторинга платформы. Отслеживание работоспособности служб и ресурсов с точки зрения платформы является важным компонентом управления ресурсами в Azure.

  • Не отправляйте необработанные записи журнала обратно в локальные системы мониторинга. Вместо этого придерживайтесь принципа, что данных, созданных в Azure, остается в Azure. Если требуется локальная интеграция SIEM, отправьте критические уведомления вместо журналов.

Акселератор посадочной зоны Azure и управление

Акселератор целевой зоны Azure включает в себя рекомендуемую конфигурацию для развертывания ключевых возможностей управления Azure, которые помогают вашей организации быстро масштабировать и зрелые.

Развертывание ускорителя посадочной зоны Azure включает средства управления ключами и мониторинга, такие как:

  • Рабочая область Log Analytics
  • Мониторинг Microsoft Defender для облака
  • Параметры диагностики для журналов действий, виртуальных машин и платформы как службы (PaaS), отправленных в Log Analytics

Централизованный журнал данных в ускорителе зоны высадки Azure

В контексте акселератора целевой зоны Azure централизованное ведение журнала в основном связано с операциями платформы.

Этот акцент не предотвращает использование той же рабочей области для ведения журнала приложений на основе виртуальных машин. В рабочей области, настроенной в режиме управления доступом, ориентированном на ресурсы, применяется детальная функция Azure RBAC, которая гарантирует, что команды приложений имеют доступ только к журналам из своих ресурсов.

В этой модели команды приложений получают выгоду от использования существующей инфраструктуры платформы, так как она снижает затраты на управление.

Для нечисловых ресурсов, таких как веб-приложения или базы данных Azure Cosmos DB, команды приложений могут использовать собственные рабочие области Log Analytics. Затем они могут направлять диагностику и метрики в эти рабочие области.

Команды приложений также могут принять решение дублировать некоторые журналы, доступные в рабочей области Log Analytics центральной платформы для повышения эффективности работы в своей команде. Это также поддерживаемая схема в архитектуре и рекомендациях посадочной зоны Azure.

Следующий шаг

Контролируйте компоненты зоны размещения платформы Azure