Důležité informace o inventáři a viditelnosti

  • Článek

Vzhledem k tomu, že vaše organizace navrhuje a implementuje vaše cloudové prostředí, je základem monitorování služeb platformy a služeb platformy klíčové aspekty. Abyste zajistili úspěšné přijetí cloudu, musíte tyto služby strukturovat tak, aby vyhovovaly potřebám vaší organizace při škálování vašeho prostředí.

Rozhodnutí o provozním modelu cloudu, která provedete v počátečních fázích plánování, přímo ovlivňují způsob, jakým se operace správy doručují jako součást cílových zón. Klíčovým příkladem je míra centralizované správy pro vaši platformu.

V doprovodných materiálech v tomto článku zvažte, jak byste měli přistupovat k inventáři a viditelnosti ve vašem cloudovém prostředí.

Základní aspekty inventáře

  • Zvažte použití nástrojů, jako je pracovní prostor služby Azure Monitor Log Analytics, jako jsou hranice správy.
  • Určete, které týmy by měly používat systémem generované protokoly z platformy a kteří potřebují přístup k těmto protokolům.

Zvažte následující položky související s protokolováním dat, abyste informovali, jaké typy dat můžete chtít sloučit a používat.

Obor Kontext
Monitorování platforem orientovaných na aplikace
Zahrnout horké i studené cesty telemetrie pro metriky a protokoly( v uvedeném pořadí).
Metriky operačního systému, jako jsou čítače výkonu a vlastní metriky.
Protokoly operačního systému, například:
  • Internet Information Services
  • Trasování událostí pro Windows a syslogy
  • Události služby Resource Health
Protokolování auditu zabezpečení Snažte se dosáhnout horizontálního hlediska zabezpečení v rámci celého majetku Azure vaší organizace.
  • Potenciální integrace s místními systémy zabezpečení a správou událostí (SIEM), jako je ArcSight nebo platforma zabezpečení Onapsis
  • Potenciální integrace s nabídkami saas (software jako služba), jako je ServiceNow
  • Protokoly aktivit Azure
  • Sestavy auditu Microsoft Entra
  • Diagnostické služby Azure, protokoly a metriky, události auditu služby Azure Key Vault, protokoly toků skupin zabezpečení sítě (NSG) a protokoly událostí
  • Azure Monitor, Azure Network Watcher, Microsoft Defender for Cloud a Microsoft Sentinel
Prahové hodnoty uchovávání dat Azure a požadavky na archivaci
  • Výchozí doba uchovávání protokolů služby Azure Monitor je 30 dnů s maximálním uchováváním analýz na dva roky a archivem sedmi let.
  • Výchozí doba uchovávání pro sestavy Microsoft Entra (Premium) je 30 dnů.
  • Výchozí doba uchovávání protokolů aktivit Azure a protokolů Přehledy aplikací je 90 dnů.
Provozní požadavky
  • Provozní řídicí panely s nativními nástroji, jako jsou protokoly služby Azure Monitor nebo nástroje třetích stran
  • Použití centralizovaných rolí k řízení privilegovaných aktivit
  • Spravované identity pro prostředky Azure](/Azure/active-directory/managed-identityies-Azure-resources/overview) pro přístup ke službám Azure
  • Zámky prostředků, které chrání před úpravami a odstraňováním prostředků

Důležité informace o viditelnosti

  • Které týmy potřebují dostávat oznámení o upozorněních?
  • Máte skupiny služeb, které potřebují dostávat oznámení více týmů?
  • Máte existující nástroje pro správu služeb, na které potřebujete odesílat upozornění?
  • Které služby jsou považovány za důležité obchodní a vyžadují oznámení o problémech s vysokou prioritou?

Doporučení pro inventarizaci a viditelnost

  • K centrální správě platforem použijte jeden pracovní prostor protokolů monitorování s výjimkou případů, kdy řízení přístupu na základě role v Azure (Azure RBAC), požadavky na suverenitu dat a zásady uchovávání dat vyžadují samostatné pracovní prostory. Centralizované protokolování je důležité pro viditelnost vyžadovanou provozními týmy pro správu a řídí sestavy o správě změn, stavu služeb, konfiguraci a většině dalších aspektů provozu IT. Zaměření na centralizovaný model pracovního prostoru snižuje administrativní úsilí a šance na mezery v pozorovatelnosti.
  • Pokud požadavky na uchovávání protokolů překročí sedm let, exportujte do Azure Storage protokoly. Pomocí neměnného úložiště se zásadou jen pro čtení 1 zápis pro čtení můžete data ne erasovatelná a neupravovatelná pro uživatelem zadaný interval.
  • K řízení přístupu a vytváření sestav dodržování předpisů použijte Azure Policy. Azure Policy umožňuje vynucovat nastavení pro celou organizaci, abyste zajistili konzistentní dodržování zásad a rychlou detekci porušení předpisů. Další informace najdete v tématu Vysvětlení efektů Azure Policy.
  • Pomocí služby Network Watcher můžete proaktivně monitorovat toky provozu prostřednictvím protokolů toků NSG služby Network Watcher v2. Analýza provozu analyzuje protokoly toku NSG za účelem shromáždění podrobných přehledů o provozu IP v rámci virtuálních sítí. Poskytuje také důležité informace, které potřebujete k efektivní správě a monitorování, například:
    • Většina komunikujících hostitelů a aplikačních protokolů
    • Většina párů hostitelů konversující
    • Povolený nebo blokovaný provoz
    • Příchozí a odchozí provoz
    • Otevření internetových portů
    • Většina blokujících pravidel
    • Distribuce provozu na datacentrum Azure
    • Virtuální síť
    • Podsítě
    • Rogue networks
  • Zámky prostředků použijte k zabránění náhodnému odstranění důležitých sdílených služeb.
  • K doplnění přiřazení rolí Azure použijte zásady zamítnutí. Zásady zamítnutí pomáhají zabránit nasazením a konfiguracím prostředků, které nesplňují definované standardy, blokováním požadavků odesílaných poskytovatelům prostředků. Kombinace zásad zamítnutí a přiřazení rolí Azure zajišťuje, že máte k dispozici odpovídající mantinely, abyste mohli řídit , kdo může nasazovat a konfigurovat prostředky a které prostředky mohou nasazovat a konfigurovat.
  • Zahrňte události stavu služeb a prostředků jako součást celkového řešení pro monitorování platformy. Sledování stavu služeb a prostředků z hlediska platformy je důležitou součástí správy prostředků v Azure.
  • Neodesílejte nezpracované položky protokolu zpět do místních systémů monitorování. Místo toho přijměte princip, který se data narodila v Azure, zůstává v Azure. Pokud potřebujete místní integraci SIEM, místo protokolů odešlete kritická upozornění .

Akcelerátor a správa cílových zón Azure

Akcelerátor cílové zóny Azure zahrnuje názornou konfiguraci pro nasazení klíčových možností správy Azure, které vaší organizaci pomůžou rychle škálovat a zdokonalit.

Nasazení akcelerátoru cílových zón Azure zahrnuje nástroje pro správu klíčů a monitorování, jako jsou:

  • Pracovní prostor služby Log Analytics a účet Automation
  • Monitorování Microsoft Defenderu pro cloud
  • Nastavení diagnostiky pro protokoly aktivit, virtuální počítače a prostředky paaS (platforma jako služba) odeslané do Log Analytics

Centralizované protokolování v akcelerátoru cílových zón Azure

V kontextu akcelerátoru cílových zón Azure se centralizované protokolování primárně zabývá provozem platformy.

Tento důraz nezabrání použití stejného pracovního prostoru pro protokolování aplikace založené na virtuálních počítačích. V rámci pracovního prostoru nakonfigurovaného v režimu řízení přístupu zaměřeném na prostředky se vynucuje podrobný azure RBAC, který zajišťuje, že vaše aplikační týmy mají přístup jenom k protokolům ze svých prostředků.

V tomto modelu využívají aplikační týmy využití stávající infrastruktury platformy, protože snižuje režijní náklady na správu.

Pro jiné než výpočetní prostředky, jako jsou webové aplikace nebo databáze Azure Cosmos DB, můžou vaše aplikační týmy používat své vlastní pracovní prostory služby Log Analytics. Pak můžou směrovat diagnostiku a metriky do těchto pracovních prostorů.

Další kroky

Monitorování komponent cílové zóny platformy Azure