共用方式為

庫存和可見性考慮

  • 發行項

當您的組織設計和實作雲端環境時,平臺管理和平臺服務監視的基礎是一個關鍵考慮。 若要確保雲端採用成功,您必須建構這些服務,以符合貴組織的需求,因為您的環境會隨著規模調整。

您在早期規劃階段中做出的雲端作業模型決策,會直接影響管理作業在登陸區域中的傳遞方式。 平臺的集中式管理程度是關鍵範例。

在雲端環境中,使用本文中的指引來考慮您應該如何管理盤點和可見度。

基本庫存考量

  • 請考慮使用像是 Azure 監視器 Log Analytics 工作區這類工具當作系統管理界限。
  • 判斷哪些小組應該使用來自平臺的系統產生的記錄,以及需要存取這些記錄的人員。

請考慮下列與記錄數據相關的項目,以確定您可能想要收集和使用的資料類型。

範圍 上下文
以應用程式為中心的平台監視
 包含適用於度量的高頻遙測路徑,以及適用於日誌的低頻遙測路徑。
操作系統的指標,例如性能計數器和自定義指標。
作業系統記錄檔,例如:
  • 網際網路資訊服務
  • Windows 和 syslogs 的事件追蹤
  • 資源健康狀況事件
安全稽核日誌記錄 目標是在您的組織中透過 Azure 全部資產來實現橫向安全視角。
  • 可能與內部部署安全性資訊和事件管理 (SIEM) 系統整合,例如 ArcSight 或 Onapsis 安全性平臺
  • 可能與軟體即服務 (SaaS) 供應專案整合,例如 ServiceNow
  • Azure 活動記錄
  • Microsoft Entra 稽核報告
  • Azure 診斷服務、記錄和計量、Azure Key Vault 稽核事件、網路安全組 (NSG) 流量記錄和事件記錄
  • Azure 監視器、Azure 網路觀察者、Microsoft 雲端防護方案 (Microsoft Defender for Cloud),以及 Microsoft Sentinel
Azure 數據保留閾值和封存需求
  • Azure 監視器記錄的預設保留期間為 30 天,最大分析保留期為兩年,封存為七年。
  • Microsoft Entra 報表的預設保留期限為 30 天。
  • Azure 活動記錄和 Application Insights 記錄的預設保留期限為 90 天。
作業需求
  • 使用原生工具的操作儀表板,例如 Azure Monitor Logs 或第三方工具
  • 使用集中式角色來控制特權活動
  • 適用於 Azure 資源的受控識別](/Azure/active-directory/managed-identities-Azure-resources/overview) 以存取 Azure 服務
  • 資源鎖定以防止編輯和刪除資源

可見度考慮

  • 哪些小組需要接收警示通知?
  • 您是否有需要多個小組才能收到通知的服務群組?
  • 您是否已有需要傳送警示的現有服務管理工具?
  • 哪些服務被視為業務關鍵,需要高優先順序的問題通知?

盤點與可視性建議

  • 使用單一 監視記錄工作區 來集中管理平台,除非 Azure 角色型存取控制(Azure RBAC)、資料主權需求和資料保留原則要求個別工作區。 集中式記錄對於作業管理小組所需的可見度至關重要,並驅動有關變更管理、服務健康情況、設定和其他 IT 作業層面的報告。 採用集中式工作區模型可以減少管理工作量,並降低觀測性差距的風險。

    • 應用程式小組可以在自己的訂用帳戶中部署自己的Log Analytics工作區,以及他們可能具有有限存取權的中央平臺小組工作區,以儲存其工作負載需求專屬的記錄和計量。

  • 如果您的記錄保留需求超過七年,請導出記錄至 Azure 記憶體。 使用不可變的記憶體搭配寫入一次、讀取多的原則,使用戶指定的間隔數據不可清除且不可修改。

  • 使用 Azure 原則進行訪問控制和合規性報告。 Azure 原則可讓您強制執行整個組織的設定,以確保一致的原則遵循和快速違規偵測。 如需詳細資訊,請參閱 瞭解 Azure 政策效果

  • 使用網路監看員主動監視 網路監看員 NSG 流量記錄 v2中的流量流動。 流量分析 分析 NSG 流量記錄,以收集有關虛擬網路內 IP 流量的深入見解。 它也提供有效管理和監視所需的重要資訊,例如:

    • 大多數通訊主機和應用程式通訊協定
    • 大部分的通訊主機配對
    • 允許或封鎖的流量
    • 輸入和輸出流量
    • 開啟因特網埠
    • 大部分封鎖規則
    • 每個 Azure 資料中心的流量分佈
    • 虛擬網路
    • 子網
    • 流氓網路

  • 使用 資源鎖定 以防止意外刪除重要的共享服務。

  • 使用 拒絕策略 來補充 Azure 角色指派。 拒絕原則有助於防止資源部署和設定不符合定義標準,方法是封鎖要求傳送至資源提供者。 結合拒絕原則和 Azure 角色指派,可確保您已具備適當的安全防護措施,以控制誰 可以部署和設定資源,以及哪些 資源他們可以部署和設定。

  • 在整體平台監控方案中,納入 服務資源 的健康事件。 從平臺的觀點追蹤服務和資源健康情況,是 Azure 中資源管理的重要元件。

  • 請勿將原始記錄項目傳送回內部部署監視系統。 相反地,採用在 Azure 中出生的數據 保留在 Azure的原則。 如果您需要內部部署 SIEM 整合,請傳送 重大警示 而非記錄。

Azure 登陸區域加速器和管理

Azure 登陸區域加速器包含有意見的設定,可部署重要的 Azure 管理功能,以協助您的組織快速調整和成熟。

Azure 登陸區域加速器部署包含金鑰管理和監視工具,例如:

  • Log Analytics 工作區
  • 適用於雲端監視的 Microsoft Defender
  • 傳送至 Log Analytics 的活動記錄、虛擬機和平臺即服務 (PaaS) 資源的診斷設定

Azure 著陸區加速器中的集中式日誌記錄

在 Azure 登陸區域加速器的內容中,集中式記錄主要涉及平台作業。

此強調不會防止針對以 VM 為基礎的應用程式記錄使用相同的工作區。 在以資源為中心的訪問控制模式中設定的工作區內,會強制執行細粒度的 Azure RBAC,以確保您的應用程式小組只能存取其資源的記錄。

在此模型中,應用程式小組受益於使用現有的平臺基礎結構,因為它可降低其管理額外負荷。

針對 Web 應用程式或 Azure Cosmos DB 資料庫等非計算資源,您的應用程式小組可以使用自己的 Log Analytics 工作區。 然後,他們可以將診斷和度量路由傳送至這些工作區。

應用程式小組也可以決定複製中央平臺小組Log Analytics工作區中可用的一些記錄,以提升小組內的營運效率。 這也是 Azure 登陸區域架構和指引內支援的方法。

下一步

監視您的 Azure 平臺登陸區域元件