Ajánlott eljárások az Azure-ba áttelepített munkaterhelések biztonságossá tételéhez és kezeléséhezBest practices to secure and manage workloads migrated to Azure

A migrálás tervezése során magán a migráláson kívül gondolni kell az Azure-ban a migrálást követően használt biztonsági és felügyeleti modellre is.As you plan and design for migration, in addition to thinking about the migration itself, you need to consider your security and management model in Azure after migration. Ez a cikk az áttelepítés után az Azure-környezet védelméhez szükséges tervezési és ajánlott eljárásokat ismerteti.This article describes planning and best practices for securing your Azure deployment after migrating. Emellett ismerteti a folyamatban lévő feladatokat is, amelyekkel az üzemelő példányok optimális szinten tarthatók.It also covers ongoing tasks to keep your deployment running at an optimal level.

Fontos

A cikkben ismertetett ajánlott eljárások és vélemények az Azure platformnak és -szolgáltatásoknak a cikk írásakor elérhető funkcióit veszik alapul.The best practices and opinions described in this article are based on the Azure platform and service features available at the time of writing. A funkciók és képességek idővel változnak.Features and capabilities change over time.

Migrált számítási feladatok védelmének biztosításaSecure migrated workloads

A migrálást követően a legfontosabb feladat a migrált számítási feladatok védelmének biztosítása a belső és külső fenyegetésekkel szemben.After migration, the most critical task is to secure migrated workloads from internal and external threats. Az alábbi ajánlott eljárások segítséget nyújtanak ebben:These best practices help you to do that:

  • Megismerheti az Azure Security Center monitorozási megoldásait, értékeléseit és javaslatait.Learn how to work with the monitoring, assessments, and recommendations provided by Azure Security Center.
  • Megismerheti az Azure-ban tárolt adatok titkosításának ajánlott eljárásait.Get best practices for encrypting your data in Azure.
  • Megvédheti virtuális gépeit a kártevők és a rosszindulatú támadások ellen.Protect your VMs from malware and malicious attacks.
  • Biztonságban tarthatja bizalmas adatait a migrált webalkalmazásokban.Keep sensitive information secure in migrated web apps.
  • Ellenőrizheti, hogy ki férhet hozzá Azure-előfizetéseihez és -erőforrásaihoz a migrálást követően.Verify who can access your Azure subscriptions and resources after migration.
  • Rendszeresen áttekintheti az Azure naplóit és biztonsági naplóit.Review your Azure auditing and security logs on a regular basis.
  • Megismerheti és kiértékelheti az Azure által biztosított speciális biztonsági funkciókat.Understand and evaluate advanced security features that Azure offers.

Ezeket az ajánlott eljárásokat részletesebben az alábbi szakaszokban ismertetjük.These best practices are described in more detail in the sections that follow.

Ajánlott eljárás: Azure Security Center javaslatok követéseBest practice: Follow Azure Security Center recommendations

Az Azure-bérlői rendszergazdáknak engedélyeznie kell a munkaterhelések elleni védelmet biztosító biztonsági funkciókat.Azure tenant admins need to enable security features that protect workloads from attacks. Az Azure Security Center egységesített biztonságfelügyeleti megoldást biztosít.Azure Security Center provides unified security management. A Security Centerban biztonsági házirendeket alkalmazhat a számítási feladatok között, korlátozhatja a fenyegetéseket, és észlelheti és reagálhat a támadásokra.From Security Center, you can apply security policies across workloads, limit threat exposure, and detect and respond to attacks. Security Center elemzi az erőforrásokat és a konfigurációkat az Azure-bérlők között, és biztonsági javaslatokat tesz, beleértve a következőket:Security Center analyzes resources and configurations across Azure tenants, and makes security recommendations, including:

  • Központosított házirendek kezelése: Győződjön meg arról, hogy a vállalati vagy hatósági követelményeknek való megfelelés a hibrid Felhőbeli számítási feladatokban központilag kezeli a biztonsági szabályzatokat.Centralized policy management: Ensure compliance with company or regulatory security requirements by centrally managing security policies across all your hybrid cloud workloads.
  • Folyamatos biztonsági értékelés: A gépek, hálózatok, tárolási és adatszolgáltatások, valamint az alkalmazások biztonsági állapotának figyelése a lehetséges biztonsági problémák felderítése érdekében.Continuous security assessment: Monitor the security posture of machines, networks, storage and data services, and applications to discover potential security issues.
  • Gyakorlatban használható javaslatok: A biztonsági rések kijavítása a támadók számára, rangsorolt és végrehajtható biztonsági javaslatokkal.Actionable recommendations: Remediate security vulnerabilities before they can be exploited by attackers, with prioritized and actionable security recommendations.
  • Rangsorolt riasztások és incidensek: Először a legfontosabb fenyegetésekre koncentrálhat, a rangsorolt biztonsági riasztásokkal és incidensekkel.Prioritized alerts and incidents: Focus on the most critical threats first, with prioritized security alerts and incidents.

Az értékelések és javaslatok mellett a Azure Security Center más biztonsági funkciókat is biztosít, amelyeket adott erőforrásokhoz engedélyezhet.In addition to assessments and recommendations, Azure Security Center provides other security features that you can enable for specific resources.

  • Igény szerinti (Just-in-time, JIT) hozzáférés.Just-in-time (JIT) access. Csökkentse a hálózati támadási felületet az Azure-beli virtuális gépeken található felügyeleti portokra vonatkozó, igény szerinti, vezérelt hozzáféréssel.Reduce your network attack surface with just-in-time, controlled access to management ports on Azure VMs.
    • Az interneten megnyitott VM RDP-3389 porton keresztül elérhetővé teszi a virtuális gépeket a rossz szereplőkkel folytatott folyamatos tevékenységhez.Having VM RDP port 3389 open on the internet exposes VMs to continual activity from bad actors. Az Azure IP-címei jól ismertek, és a hackerek folyamatosan figyelik azokat, a támadásokat lehetővé tevő nyitott 3389-es portokat keresve.Azure IP addresses are well-known, and hackers continually probe them for attacks on open 3389 ports.
    • Az igény szerinti hálózati biztonsági csoportok (NSG-EK) és a bejövő szabályok, amelyek korlátozzák az adott port megnyitásának időtartamát.Just-in-time uses network security groups (NSGs) and incoming rules that limit the amount of time that a specific port is open.
    • Ha az igény szerinti hozzáférés engedélyezve van, Security Center ellenőrzi, hogy a felhasználó szerepköralapú hozzáférés-vezérléssel (RBAC) rendelkezik-e írási hozzáférési engedélyekkel a virtuális gépekhez.With just-in-time access enabled, Security Center checks that a user has role-based access control (RBAC) write access permissions for a VM. Emellett megadhatja azokat a szabályokat, amelyekkel a felhasználók csatlakozhatnak a virtuális gépekhez.In addition, you can specify rules for how users can connect to VMs. Ha az engedélyek rendben vannak, a rendszer jóváhagyja a hozzáférési kérést, és Security Center konfigurálja a NSG, hogy a megadott időtartamra vonatkozóan engedélyezze a bejövő forgalmat a kiválasztott portokon.If permissions are OK, an access request is approved, and Security Center configures NSGs to allow inbound traffic to the selected ports for the amount of time you specify. A NSG az idő lejárta után visszatérhetnek az előző állapotába.NSGs return to their previous state when the time expires.
  • Adaptív alkalmazások vezérlői.Adaptive application controls. A dinamikus engedélyezési listák használatával megtarthatja a szoftvereket és a kártevőket a virtuális gépeken.Keep software and malware off VMs by controlling which applications run on them, by using dynamic allow lists.
    • Az adaptív alkalmazás-vezérlőelemek lehetővé teszik az alkalmazások jóváhagyását, és megakadályozhatja, hogy a rosszindulatú felhasználók vagy rendszergazdák ne telepítsenek nem jóváhagyott vagy bevett alkalmazásokat a virtuális gépekre.Adaptive application controls allow you to approve applications, and prevent rogue users or administrators from installing unapproved or vetting software applications on your VMs.
      • Letilthatja vagy riasztást kaphat a kártékony alkalmazások futtatására, a nemkívánatos vagy kártékony alkalmazások elkerülésére és a szervezete alkalmazási biztonsági házirendjének való megfelelés biztosítására.You can block or alert attempts to run malicious applications, avoid unwanted or malicious applications, and ensure compliance with your organization's application security policy.
  • A fájlok integritásának figyelése.File Integrity Monitoring. Biztosíthatja a virtuális gépeken futó fájlok integritását.Ensure the integrity of files running on VMs.
    • A virtuális gépekkel kapcsolatos problémák megoldásához nem szükséges szoftvert telepítenie.You don't need to install software to cause VM issues. A rendszerfájlok módosítása szintén okozhatja a virtuális gépek meghibásodását vagy a teljesítményük romlását.Changing a system file can also cause VM failure or performance degradation. A fájl integritásának figyelése megvizsgálja a rendszerfájlok és a beállításjegyzék beállításait a változásokhoz, és értesíti, ha valami frissül.File Integrity Monitoring examines system files and registry settings for changes, and notifies you if something is updated.
    • A Security Center javaslatokat tesz arra vonatkozóan, hogy mely fájlokat érdemes monitorozni.Security Center recommends which files you should monitor.

tudj meg többet:Learn more:

Ajánlott eljárás: az adattitkosításBest practice: Encrypt data

A titkosítás fontos része az Azure biztonsági eljárásainak.Encryption is an important part of Azure security practices. A titkosítás valamennyi szinten való engedélyezésével megelőzhető, hogy jogosulatlan felek hozzáférhessenek bizalmas adatokhoz, beleértve az átvitel alatt álló és az inaktív adatokat is.Ensuring that encryption is enabled at all levels helps prevent unauthorized parties from gaining access to sensitive data, including data in transit and at rest.

Az infrastruktúra-szolgáltatás (IaaS) titkosításaEncryption for infrastructure as a service (IaaS)

  • Virtuális gépek: A virtuális gépek esetében a Azure Disk Encryption segítségével titkosíthatja a Windows-és Linux-IaaS virtuálisgép-lemezeit.Virtual machines: For VMs, you can use Azure Disk Encryption to encrypt your Windows and Linux IaaS VM disks.
    • A Azure Disk Encryption a BitLocker for Windows és a Linux dm-crypt használatával biztosítja a kötetek titkosítását az operációs rendszer és az adatlemezek számára.Azure Disk Encryption uses BitLocker for Windows, and dm-crypt for Linux, to provide volume encryption for the operating system and data disks.
    • Használhat Azure által létrehozott titkosítási kulcsot, vagy megadhatja saját, az Azure Key Vaultban tárolt titkosítási kulcsait.You can use an encryption key created by Azure, or you can supply your own encryption keys, safeguarded in Azure Key Vault.
    • A Azure Disk Encryption a IaaS VM-adatok biztonságos állapotban vannak (a lemezen) és a virtuális gép indításakor.With Azure Disk Encryption, IaaS VM data is secured at rest (on the disk) and during VM boot.
      • Az Azure Security Center riasztást küld, ha azt észleli, hogy egyes virtuális gépek nincsenek titkosítva.Azure Security Center alerts you if you have VMs that aren't encrypted.
  • Tárterület: Az Azure Storage-ban tárolt Rest-adatok védelme.Storage: Protect at-rest data stored in Azure Storage.
    • Az Azure Storage-fiókokban tárolt adatai titkosíthatók a Microsoft által generált AES-kulcsok használatával, amelyek FIPS 140-2-kompatibilisek, vagy használhat saját kulcsokat is.Data stored in Azure Storage accounts can be encrypted by using Microsoft-generated AES keys that are FIPS 140-2 compliant, or you can use your own keys.
    • Az Azure Storage-titkosítás minden új és meglévő Storage-fiók esetében engedélyezve van, és nem tiltható le.Azure Storage encryption is enabled for all new and existing storage accounts, and it can't be disabled.

Titkosítás a platform szolgáltatásként (Péter)Encryption for platform as a service (PaaS)

A IaaS eltérően, amelyekben a saját virtuális gépeket és infrastruktúrát felügyeli, a Pásti-modell platformon és az infrastruktúrán a szolgáltató kezeli.Unlike IaaS, in which you manage your own VMs and infrastructure, in a PaaS model platform and infrastructure is managed by the provider. Az alapvető alkalmazás-logikára és-képességekre koncentrálhat.You can focus on core application logic and capabilities. Mivel a PaaS-szolgáltatásoknak rengeteg különböző típusa van, biztonsági okokból minden egyes szolgáltatás kiértékelése egyedileg történik.With so many different types of PaaS services, each service is evaluated individually for security purposes. Példaként lássuk, hogyan engedélyezheti a titkosítást Azure SQL Databasehoz.As an example, let's see how you might enable encryption for Azure SQL Database.

  • Always encrypted: Az inaktív adatok védelme érdekében használja a SQL Server Management Studio Always Encrypted varázslóját.Always Encrypted: Use the Always Encrypted wizard in SQL Server Management Studio to protect data at rest.
    • Always Encrypted kulcsot hoz létre az egyes oszlopok adatai titkosításához.You create an Always Encrypted key to encrypt individual column data.
    • Az Always Encrypted-kulcsok tárolhatók titkosítva az adatbázis metaadatai között, vagy egy megbízható kulcstárolóban, például az Azure Key Vaultban.Always Encrypted keys can be stored as encrypted in database metadata, or stored in trusted key stores such as Azure Key Vault.
    • Ennek a funkciónak a használatához valószínűleg meg kell változtatnia az alkalmazás módosításait.Most likely, to use this feature, you'll need to make application changes.
  • Transzparens adattitkosítás (TDE): A Azure SQL Database védi az adatbázis, a társított biztonsági másolatok és a tranzakciós naplófájlok valós idejű titkosításával és visszafejtésével.Transparent data encryption (TDE): Protect the Azure SQL Database with real-time encryption and decryption of the database, associated backups, and transaction log files at rest.
    • A TDE lehetővé teszi, hogy a titkosítási tevékenységek az alkalmazási réteg módosítása nélkül kerüljenek érvénybe.TDE allows encryption activities to take place without changes at the application layer.
    • A TDE használhatja a Microsoft által biztosított titkosítási kulcsokat, vagy használhatja a saját kulcsát is.TDE can use encryption keys provided by Microsoft, or you can bring your own key.

tudj meg többet:Learn more:

Ajánlott eljárás: virtuális gépek védelmének antimalware-melBest practice: Protect VMs with antimalware

Előfordulhat, hogy a régebbi Azure-áttelepített virtuális gépek nem rendelkeznek a megfelelő szintű kártevő szoftverrel.In particular, older Azure-migrated VMs might not have the appropriate level of antimalware installed. Az Azure ingyenes végponti szolgáltatással segít megvédeni a virtuális gépeket a vírusok, kémprogramok és más kártevők ellen.Azure provides a free endpoint solution that helps protect VMs from viruses, spyware, and other malware.

  • A Microsoft antimalware for Azure Cloud Services és a Virtual Machines riasztásokat hoz létre, amikor ismert kártékony vagy nemkívánatos szoftver próbálkozik a telepítéssel.Microsoft Antimalware for Azure Cloud Services and virtual machines generates alerts when known malicious or unwanted software tries to install itself.

  • Egyetlen ügynöki megoldás, amely a háttérben, emberi beavatkozás nélkül fut.It's a single agent solution that runs in the background, without human intervention.

  • Azure Security Center egyszerűen azonosíthatja azokat a virtuális gépeket, amelyeken nem fut az Endpoint Protection, és szükség szerint telepítheti a Microsoft antimalware-t.In Azure Security Center, you can easily identify VMs that don't have endpoint protection running, and install Microsoft antimalware as needed.

    Képernyőkép a virtuális gépek antimalware szolgáltatásáról. 1. ábra: antimalware a virtuális gépekhez.Screenshot of Antimalware for VMs. Figure 1: Antimalware for VMs.

tudj meg többet:Learn more:

Ajánlott eljárás: webalkalmazások biztonságossá tételeBest practice: Secure web apps

A migrált webalkalmazások esetében többféle probléma is felmerülhet:Migrated web apps face a couple of issues:

  • A legtöbb régebbi webalkalmazás jellemzően bizalmas adatokat tárol a konfigurációs fájlokban.Most legacy web applications tend to have sensitive information inside configuration files. Az ilyen adatokat tartalmazó fájlok biztonsági problémákat jelenthetnek az alkalmazások biztonsági mentésekor, vagy ha az alkalmazás kódja be van jelölve a verziókövetés vagy a forrás-ellenőrzés során.Files containing such information can present security issues when applications are backed up, or when application code is checked into or out of source control.
  • Ha egy virtuális gépen található webalkalmazásokat telepít át, akkor valószínű, hogy a gépet egy helyszíni hálózatról és tűzfallal védett környezetből helyezi át az internetre csatlakozó környezetbe.When you migrate web apps residing in a VM, you're likely moving that machine from an on-premises network and firewall-protected environment, to an environment facing the internet. Ilyenkor be kell vetni egy olyan megoldást, amely elvégzi ugyanazt, amit a helyszíni védelmi erőforrások.Make sure that you set up a solution that does the same work as your on-premises protection resources.

Az Azure a következő megoldásokat kínálja:Azure provides the following solutions:

  • Azure Key Vault: Napjainkban a webalkalmazás-fejlesztők lépéseket tesznek annak biztosítására, hogy a bizalmas adatok ne legyenek kiszivárgott ezekből a fájlokból.Azure Key Vault: Today, web app developers are taking steps to ensure that sensitive information isn't leaked from these files. Az adatok biztonságossá tételének egyik módja az adatok kinyerése a fájlokból, és áthelyezése az Azure Key Vaultba.One method to secure information is to extract it from files and put it into an Azure Key Vault.

    • A Key Vault használatával központosíthatja az alkalmazások titkos fájljainak tárolását, és szabályozhatja azok eloszlását.You can use Key Vault to centralize storage of application secrets, and control their distribution. A biztonsági információk nem szükségesek az alkalmazás fájljaiban való tárolásához.It avoids the need to store security information in application files.
    • Az alkalmazások az URI-k használatával biztonságosan férhetnek hozzá az adatokhoz a tárolóban anélkül, hogy egyéni kódot kellene megadniuk.Applications can securely access information in the vault by using URIs, without needing custom code.
    • Azure Key Vault lehetővé teszi az Azure biztonsági vezérlőkön keresztüli hozzáférés zárolását, valamint a működés közbeni kulcsok zökkenőmentes megvalósítását.Azure Key Vault allows you to lock down access via Azure security controls, and to seamlessly implement rolling keys. A Microsoft nem látja vagy kinyeri az adatait.Microsoft doesn't see or extract your data.
  • App Service Environment a Power apps számára: Ha egy áttelepített alkalmazáshoz külön védelemre van szükség, vegye fontolóra App Service Environment és webalkalmazási tűzfal hozzáadását az alkalmazás erőforrásainak védelméhez.App Service Environment for Power Apps: If an application that you migrate needs extra protection, consider adding App Service Environment and Web Application Firewall to protect the application resources.

    • A App Service Environment teljesen elkülönített és dedikált környezetet biztosít az alkalmazások futtatásához, például a Windows-és Linux-webalkalmazások, a Docker-tárolók, a mobil alkalmazások és a függvények alkalmazásai számára.App Service Environment provides a fully isolated and dedicated environment for running applications, such as Windows and Linux web apps, Docker containers, mobile apps, and function apps.
    • Ez nagyon nagy léptékű alkalmazások esetében hasznos, elkülönítést és biztonságos hálózati hozzáférést igényel, vagy nagy memória-kihasználtsággal rendelkezik.It's useful for applications that are very high scale, require isolation and secure network access, or have high memory utilization.
  • Webalkalmazási tűzfal: Ez az Azure Application Gateway szolgáltatása, amely központosított védelmet biztosít a webes alkalmazások számára.Web Application Firewall: This is a feature of Azure Application Gateway that provides centralized protection for web apps.

    • A háttérrendszerbeli kód módosítása nélkül védi a webalkalmazásokat.It protects web apps without requiring back-end code modifications.
    • Egyszerre több webalkalmazást is véd, Application Gateway mögött.It protects multiple web apps at the same time, behind Application Gateway.
    • A webalkalmazási tűzfalat Azure Monitor használatával figyelheti.You can monitor Web Application Firewall by using Azure Monitor. A webalkalmazási tűzfal integrálva van Azure Security Centerba.Web Application Firewall is integrated into Azure Security Center.

    Azure Key Vault és biztonságos webalkalmazások ábrája. 2. ábra: Azure Key Vault.Diagram of Azure Key Vault and secure web apps. Figure 2: Azure Key Vault.

tudj meg többet:Learn more:

Ajánlott eljárás: előfizetés-és erőforrás-engedélyek áttekintéseBest practice: Review subscriptions and resource permissions

A számítási feladatok migrálása és Azure-ban való futtatása során a számítási feladatokhoz hozzáféréssel rendelkező munkatársakkal kell együttműködni.As you migrate your workloads and run them in Azure, staff with workload access move around. A biztonsági csapatnak rendszeresen ellenőriznie kell az Azure-bérlő és az erőforráscsoportok hozzáféréseit.Your security team should review access to your Azure tenant and resource groups on a regular basis. Az Azure többféle megoldást is kínál az identitáskezeléshez és hozzáférés-vezérlés védelméhez, például szerepköralapú hozzáférés-vezérlést (RBAC) az Azure-erőforrások hozzáférési engedélyeinek jóváhagyásához.Azure has offerings for identity management and access control security, including role-based access control (RBAC) to authorize permissions to access Azure resources.

  • Az RBAC rendeli hozzá a rendszerbiztonsági tagok hozzáférési engedélyeit.RBAC assigns access permissions for security principals. A rendszerbiztonsági tag felhasználók, csoportok (felhasználók készlete), egyszerű szolgáltatásnév (az alkalmazások és szolgáltatások által használt identitás) és a felügyelt identitások (az Azure által automatikusan kezelt Azure Active Directory identitás).Security principals represent users, groups (a set of users), service principals (identity used by applications and services), and managed identities (an Azure Active Directory identity automatically managed by Azure).
  • A RBAC szerepköröket rendelhet a rendszerbiztonsági tagokhoz, például a tulajdonoshoz, a közreműködőhöz és az olvasóhoz, valamint a szerepkör-definíciók (engedélyek gyűjteménye), amelyek meghatározzák a szerepkörök által végrehajtható műveleteket.RBAC can assign roles to security principals, such as owner, contributor and reader, and role definitions (a collection of permissions) that define the operations that can be performed by the roles.
  • Az RBAC emellett beállíthat hatóköröket is, amelyek meghatározzák a szerepkörökre vonatkozó korlátozásokat.RBAC can also set scopes that set the boundary for a role. A hatókör több szinten adható meg (például felügyeleti csoport, előfizetés, erőforráscsoport, erőforrás).Scope can be set at several levels, including a management group, subscription, resource group, or resource.
  • Győződjön meg arról, hogy az Azure-hozzáféréssel rendelkező rendszergazdák csak azokat az erőforrásokat érhetik el, amelyeket engedélyezni szeretne.Ensure that admins with Azure access can access only resources that you want to allow. Ha az Azure-ban előre meghatározott szerepkörök nem eléggé részletesek, létrehozhat egyéni szerepköröket is a hozzáférési engedélyek elkülönítése és korlátozása céljából.If the predefined roles in Azure aren't granular enough, you can create custom roles to separate and limit access permissions.

Győződjön meg arról, hogy az Azure-hozzáféréssel rendelkező rendszergazdák csak azokat az erőforrásokat érhetik el, amelyeket engedélyezni szeretne.Ensure that admins with Azure access can access only resources that you want to allow. Ha az Azure-ban előre meghatározott szerepkörök nem eléggé részletesek, létrehozhat egyéni szerepköröket is a hozzáférési engedélyek elkülönítése és korlátozása céljából.If the predefined roles in Azure aren't granular enough, you can create custom roles to separate and limit access permissions.

Képernyőfelvétel a hozzáférés-vezérlésről.Screenshot of Access control. 3. ábra: hozzáférés-vezérlés.Figure 3: Access control.

tudj meg többet:Learn more:

Ajánlott eljárás: ellenőrzési és biztonsági naplók áttekintéseBest practice: Review audit and security logs

Az Azure Active Directory (Azure AD) tevékenységnaplókat állít elő, amelyek az Azure Monitorban tekinthetők meg.Azure Active Directory (Azure AD) provides activity logs that appear in Azure Monitor. Ezek a naplók rögzítik az Azure-bérlők által végrehajtott műveleteket, valamint hogy azokat mikor és ki hajtotta végre.The logs capture the operations performed in Azure tenancy, when they occurred, and who performed them.

  • A naplók a bérlői feladatelőzményeket tartalmazzák.Audit logs show the history of tasks in the tenant. A bejelentkezési tevékenységnaplókban a feladatok végrehajtói láthatók.Sign-in activity logs show who carried out the tasks.

  • A biztonsági jelentésekhez való hozzáférést az Ön Azure AD-licence szabályozza.Access to security reports depends on your Azure AD license. Az ingyenes és az alapszintű licenccel a kockázatos felhasználók és bejelentkezések listája olvasható. A prémium szintű licenccel a mögöttes eseményekre vonatkozó információk olvashatók.With the free and basic licenses, you get a list of risky users and sign-ins. With the premium licenses, you get underlying event information.

  • A tevékenységnaplók átirányíthatók különböző végpontokra a hosszú távú megőrzés és elemzések elvégzése céljából.You can route activity logs to various endpoints for long-term retention and data insights.

  • Gyakori eljárás a naplók áttekintése, vagy a biztonsági és az eseménykezelő (SIEM) eszközeinek integrálása a rendellenességek automatikus ellenőrzéséhez.Make it a common practice to review the logs, or integrate your security information and event management (SIEM) tools to automatically review abnormalities. Ha nem prémium szintű licencet használ, sokat kell elemezni, vagy az SIEM-rendszer használatával.If you're not using a premium license, you'll need to do a lot of analysis yourself, or by using your SIEM system. Az elemzés magában foglalja a kockázatos bejelentkezések és események, valamint az egyéb felhasználói támadási minták keresését.Analysis includes looking for risky sign-ins and events, and other user attack patterns.

    Képernyőkép az Azure AD-felhasználókról és-csoportokról. 4. ábra: Azure ad-felhasználók és-csoportok.Screenshot of Azure AD Users and groups. Figure 4: Azure AD users and groups.

tudj meg többet:Learn more:

Ajánlott eljárás: egyéb biztonsági funkciók kiértékeléseBest practice: Evaluate other security features

Az Azure további, speciális beállításokkal rendelkező biztonsági funkciókat is kínál.Azure provides other security features that provide advanced security options. Vegye figyelembe, hogy a következő ajánlott eljárások némelyike kiegészítő licenceket és prémium szintű lehetőségeket igényel.Note that some of the following best practices require add-on licenses and premium options.

  • Azure AD-felügyeleti egységek (AU-k) implementálása.Implement Azure AD administrative units (AU). A felügyeleti feladatok támogatási munkatársaknak való delegálása az alapszintű Azure hozzáférés-kezeléssel nehézkes lehet.Delegating administrative duties to support staff can be tricky with just basic Azure access control. A szervezeti biztonság szempontjából nem feltétlenül ideális megoldás, ha a támogatási munkatársak felügyeleti hozzáférést kapnak az összes csoporthoz az Azure AD-ben.Giving support staff access to administer all the groups in Azure AD might not be the ideal approach for organizational security. AU-k használatával az Azure-beli erőforrások tárolókba különíthetők el, a helyszíni szervezeti egységekhez (OU) hasonló módon.Using AU allows you to segregate Azure resources into containers in a similar way to on-premises organizational units (OU). Az AU használatához az AU-rendszergazdának prémium szintű Azure AD-licenccel kell rendelkeznie.To use AU, the AU admin must have a premium Azure AD license. További információ: felügyeleti egységek kezelése Azure Active Directoryban.For more information, see Administrative units management in Azure Active Directory.
  • Többtényezős hitelesítés használata.Use multi-factor authentication. Ha rendelkezik prémium szintű Azure AD-licenccel, engedélyezheti és kikényszerítheti a többtényezős hitelesítést a rendszergazdai fiókok esetében.If you have a premium Azure AD license, you can enable and enforce multi-factor authentication on your admin accounts. A fiókokhoz tartozó hitelesítő adatok leggyakrabban adathalászat útján kerülnek illetéktelen kezekbe.Phishing is the most common way that accounts credentials are compromised. Ha egy hibás szereplő rendelkezik rendszergazdai fiók hitelesítő adataival, a rendszer nem állítja le őket a messzemenő műveletektől, például az összes erőforráscsoport törlésével.When a bad actor has admin account credentials, there's no stopping them from far-reaching actions, such as deleting all of your resource groups. A többtényezős hitelesítés többféleképp is megvalósítható, például e-mailben, hitelesítő alkalmazással vagy telefonos szöveges üzenetekkel.You can establish multi-factor authentication in several ways, including with email, an authenticator app, and phone text messages. Rendszergazdaként kiválaszthatja a legkevésbé zavaró megoldást.As an administrator, you can select the least intrusive option. A többtényezős hitelesítés a Threat Analytics és a feltételes hozzáférési szabályzatok segítségével véletlenszerűen igényli a többtényezős hitelesítési kérdésre adott válaszokat.Multi-factor authentication integrates with threat analytics and conditional access policies to randomly require a multi-factor authentication challenge response. További információk a biztonsági útmutatókról és a többtényezős hitelesítés beállításáról.Learn more about security guidance, and how to set up multi-factor authentication.
  • Feltételes hozzáférés megvalósítása.Implement conditional access. A legtöbb kis-és közepes méretű szervezetnél az Azure-rendszergazdák és a támogatási csapat valószínűleg egyetlen földrajzi helyen találhatók.In most small and medium-sized organizations, Azure admins and the support team are probably located in a single geography. Ebben az esetben a legtöbb bejelentkezés ugyanabból a területből származik.In this case, most sign-ins come from the same areas. Ha a hely IP-címei meglehetősen statikusak, akkor érdemes megtekinteni, hogy nem jelennek meg rendszergazdai bejelentkezések ezeken a területeken kívül.If the IP addresses of these locations are fairly static, it makes sense that you shouldn't see administrator sign-ins from outside these areas. Ha a rendszergazda hitelesítő adatai megsérülnek, akkor is, ha egy távoli rossz kezelő megsért egy olyan biztonsági funkciót, mint a feltételes hozzáférés a többtényezős hitelesítéssel együtt, hogy megakadályozza a távoli helyekről való bejelentkezést.Even if a remote bad actor compromises an administrator's credentials, you can implement security features like conditional access, combined with multi-factor authentication, to prevent signing in from remote locations. Ez megakadályozhatja a hamisított helyszínek véletlenszerű IP-címekről való kiválasztását is.This can also prevent spoofed locations from random IP addresses. További információ a feltételes hozzáférésről és az Azure ad-beli feltételes hozzáférésre vonatkozó ajánlott eljárások áttekintéséről .Learn more about conditional access and review best practices for conditional access in Azure AD.
  • Tekintse át a vállalati alkalmazások engedélyeit.Review enterprise application permissions. A rendszergazdák az idő múlásával kiválaszthatják a Microsoft és a harmadik felek hivatkozásait anélkül, hogy tudnák a szervezetre gyakorolt hatásukat.Over time, admins select Microsoft and third-party links without knowing their affect on the organization. A hivatkozások bemutatják az Azure-alkalmazásokhoz engedélyeket hozzárendelő engedélyezési képernyőket.Links can present consent screens that assign permissions to Azure apps. Ez lehetővé teheti az Azure AD-információk olvasását, vagy akár teljes hozzáférést is biztosít a teljes Azure-előfizetés kezeléséhez.This might allow access to read Azure AD data, or even full access to manage your entire Azure subscription. Rendszeresen tekintse át azokat az alkalmazásokat, amelyekhez a rendszergazdák és a felhasználók hozzáférhetnek az Azure-erőforrásokhoz.You should regularly review the applications to which your admins and users have allowed access to Azure resources. Győződjön meg arról, hogy ezek az alkalmazások csak a szükséges engedélyekkel rendelkeznek.Ensure that these applications have only the permissions that are necessary. Továbbá negyedévente vagy félévente a felhasználókat az alkalmazás lapjaira mutató hivatkozással is elvégezheti, hogy tisztában legyenek azokkal az alkalmazásokkal, amelyekhez hozzáférést engedélyeztek a szervezeti adatként.Additionally, quarterly or semi-annually you can email users with a link to application pages, so that they're aware of the applications to which they've allowed access to their organizational data. További információ: nem várt alkalmazás a saját alkalmazások listájában, valamint az alkalmazás-hozzárendelések vezérlése az Azure ad-ben.For more information, see Unexpected application in my applications list, and how to control application assignments in Azure AD.

Felügyelt migrált számítási feladatokManaged migrated workloads

Az alábbi részekben az Azure-felügyelettel kapcsolatos ajánlott eljárásokat ajánljuk, beleértve a következőket:In the following sections, we'll recommend some best practices for Azure management, including:

  • Ajánlott eljárások az Azure-erőforráscsoportokhoz és -erőforrásokhoz, például az intelligens névhasználat, a véletlen törlés megelőzése, az erőforrás-engedélyek kezelése és a hatékony erőforrás-címkézés.Best practices for Azure resource groups and resources, including smart naming, preventing accidental deletion, managing resource permissions, and effective resource tagging.
  • Gyors áttekintést kaphat a tervek használatáról az üzemelő példányok környezeteinek létrehozásához és felügyeletéhez.Get a quick overview on using blueprints for building and managing your deployment environments.
  • Tekintse át a minta Azure-architektúrákat, amelyek segítséget nyújtanak az üzemelő példányok migrálás utáni létrehozásához.Review sample Azure architectures to learn from as you build your post-migration deployments.
  • Ha több előfizetéssel rendelkezik, összegyűjtheti azokat felügyeleti csoportokba, és irányítási beállításokat alkalmazhat a csoportokon.If you have multiple subscriptions, you can gather them into management groups, and apply governance settings to those groups.
  • Megfelelőségi szabályzatokat alkalmazhat az Azure-erőforrásain.Apply compliance policies to your Azure resources.
  • Összeállíthat egy üzletmenet-folytonossági és vészhelyreállítási (BCDR-) stratégiát, amely biztosítja az adatok biztonságát, a környezet rugalmasságát és az erőforrások folyamatos működését a leállások során.Put together a business continuity and disaster recovery (BCDR) strategy to keep data safe, your environment resilient, and resources up and running when outages occur.
  • Rendelkezésreállási csoportokba gyűjtheti a virtuális gépeket a rugalmasság és a magas rendelkezésre állás biztosításához.Group VMs into availability groups for resilience and high availability. Felügyelt lemezeket használhat a virtuálisgép-lemezek és a tárolók egyszerűbb kezeléséhez.Use managed disks for ease of VM disk and storage management.
  • Diagnosztikai naplózást engedélyezhet az Azure-erőforrások esetében, riasztásokat és forgatókönyveket hozhat létre a proaktív hibaelhárításhoz, és használhatja az Azure irányítópultját az üzemelő példány állapotának egységes nézetben történő áttekintéséhez.Enable diagnostic logging for Azure resources, build alerts and playbooks for proactive troubleshooting, and use the Azure dashboard for a unified view of your deployment health and status.
  • Megismerkedhet az Azure támogatási csomagjával, annak implementálásával, a virtuális gépek naprakészen tartásának ajánlott eljárásaival, és változáskezelési folyamatokat helyezhet üzembe.Understand your Azure support plan and how to implement it, get best practices for keeping VMs up-to-date, and put processes in place for change management.

Ajánlott eljárás: erőforráscsoportok neveBest practice: Name resource groups

Győződjön meg arról, hogy az erőforráscsoportok olyan hasznos nevekkel rendelkeznek, amelyeket a rendszergazdák és a csoport tagjai egyszerűen felismernek és kereshetnek.Ensure that your resource groups have meaningful names that admins and support team members can easily recognize and scan. Ez jelentősen növelheti a termelékenységet és a hatékonyságot.This can drastically improve productivity and efficiency.

Ha Azure AD Connect használatával szinkronizálja helyszíni Active Directory az Azure AD-be, érdemes megfontolnia a helyszíni biztonsági csoportok nevének egyeztetését az Azure-beli erőforráscsoportok neveivel.If you're synchronizing your on-premises Active Directory to Azure AD by using Azure AD Connect, consider matching the names of security groups on-premises to the names of resource groups in Azure.

Az erőforráscsoport elnevezésének képernyőképeScreenshot of resource group naming. 5. ábra: erőforráscsoport elnevezéseFigure 5: Resource group naming.

tudj meg többet:Learn more:

Ajánlott eljárás: Az erőforráscsoportok törlési zárolásának megvalósításaBest practice: Implement delete locks for resource groups

Senki nem szeretné, hogy az erőforráscsoportját véletlenül töröljék.The last thing you need is for a resource group to disappear because it was deleted accidentally. Javasoljuk, hogy a törlési zárolásokat implementálja, hogy ez ne történjen meg.We recommend that you implement delete locks, so that this doesn't happen.

Képernyőkép a zárolások törléséről.Screenshot of delete locks. 6. ábra: zárolások törlése.Figure 6: Delete locks.

tudj meg többet:Learn more:

Ajánlott eljárás: az erőforrás-hozzáférési engedélyek megismeréseBest practice: Understand resource access permissions

Az előfizetés tulajdonosa hozzáféréssel rendelkezik az előfizetésben található összes erőforráscsoporthoz és erőforráshoz.A subscription owner has access to all the resource groups and resources in your subscription.

  • Ehhez az értékes szerepkörhöz kevés embert ajánlott hozzáadni.Add people sparingly to this valuable assignment. Az ilyen típusú engedélyek használati következményeinek ismerete fontos a környezet biztonsága és stabilitása szempontjából.Understanding the ramifications of these types of permissions is important in keeping your environment secure and stable.
  • Ügyeljen arra, hogy a megfelelő erőforráscsoportokba helyezze az erőforrásokat:Make sure you place resources in appropriate resource groups:
    • Rendezze csoportokba a hasonló életciklusú erőforrásokat.Match resources with a similar lifecycle together. Ideális esetben nincs szükség erőforrások áthelyezésére, ha egy teljes erőforráscsoportot kell törölni.Ideally, you shouldn't need to move a resource when you need to delete an entire resource group.
    • A függvényeket és a számítási feladatokat kiszolgáló erőforrásokat érdemes egy helyre helyezni az egyszerűbb kezelhetőség érdekében.Resources that support a function or workload should be placed together for simplified management.

tudj meg többet:Learn more:

Ajánlott eljárás: az erőforrások hatékony címkézéseBest practice: Tag resources effectively

Gyakran csak az erőforrásokhoz kapcsolódó erőforráscsoport-név használata nem biztosít elegendő metaadatokat a mechanizmusok hatékony megvalósításához, például a belső számlázást vagy az előfizetésen belüli felügyeletet.Often, using only a resource group name related to resources won't provide enough metadata for effective implementation of mechanisms, such as internal billing or management within a subscription.

  • Ajánlott eljárásként az Azure-címkék használatával olyan hasznos metaadatokat adhat hozzá, amelyekkel lekérdezheti és bejelenthetheti a jelentést.As a best practice, use Azure tags to add useful metadata that can be queried and reported on.

  • A címkék segítségével logikailag rendszerezhetők az erőforrások, az Ön által megadott tulajdonságok szerint.Tags provide a way to logically organize resources with properties that you define. A címkék használhatók erőforráscsoportok vagy közvetlenül az erőforrások esetében is.Tags can be applied to resource groups or resources directly.

  • A címkék használhatók erőforráscsoportok vagy különálló erőforrások esetében is.Tags can be applied on a resource group or on individual resources. Az erőforráscsoportok címkéit a csoportban található erőforrások nem öröklik.Resource group tags aren't inherited by the resources in the group.

  • A címkézést automatizálhatja PowerShell vagy Azure Automation használatával, vagy címkézheti az egyes csoportokat és erőforrásokat.You can automate tagging by using PowerShell or Azure Automation, or tag individual groups and resources.

  • Ha már üzembe lett helyezve egy kérelem- és változáskezelési rendszer, akkor a kérelemben található információk egyszerűen felhasználhatók a vállalati erőforráscímkék feltöltéséhez.If you have a request and change management system in place, then you can easily use the information in the request to populate your company-specific resource tags.

    A címkézés képernyőképe. 7. ábra: címkézés.Screenshot of tagging. Figure 7: Tagging.

tudj meg többet:Learn more:

Ajánlott eljárás: tervrajzok implementálásaBest practice: Implement blueprints

Ahogy a terv lehetővé teszi a mérnökök és az építészek számára a projekt kialakítási paramétereinek összerajzolását, az Azure BluePrints szolgáltatás lehetővé teszi, hogy a felhőalapú építészek és a központi informatikai csoportok megismételhető készletet adjanak meg az Azure-erőforrások számára.Just as a blueprint allows engineers and architects to sketch a project's design parameters, the Azure Blueprints service enables cloud architects and central IT groups to define a repeatable set of Azure resources. Ez segít a szervezet szabványainak, mintáinak és követelményeinek megvalósításában és betartásában.This helps them to implement and adhere to an organization's standards, patterns, and requirements. Az Azure-tervezetek használatával a fejlesztői csapatok gyorsan készíthetnek és hozhatnak létre olyan új környezeteket, amelyek megfelelnek a szervezeti megfelelőségi követelményeknek.Using Azure Blueprints, development teams can rapidly build and create new environments that meet organizational compliance requirements. Ezek az új környezetek beépített összetevőkkel, például hálózatkezeléssel rendelkeznek a fejlesztés és a továbbítás felgyorsításához.These new environments have a set of built-in components, such as networking, to speed up development and delivery.

  • Terveket használhat az erőforráscsoportok, az Azure Resource Manager-sablonok, illetve a szabályzat- és szabály-hozzárendelések üzembe helyezésének összehangolásához.Use blueprints to orchestrate the deployment of resource groups, Azure Resource Manager templates, and policy and role assignments.
  • A tervrajzok tárolása egy globálisan elosztott szolgáltatásban, Azure Cosmos DB.Store blueprints in a globally distributed service, Azure Cosmos DB. A tervobjektumok több Azure-régióba vannak replikálva.Blueprint objects are replicated to multiple Azure regions. A replikáció alacsony késést, magas rendelkezésre állást és konzisztens hozzáférést biztosít egy tervhez, függetlenül attól, hogy a terv milyen régiót helyez üzembe.Replication provides low latency, high availability, and consistent access to a blueprint, regardless of the region to which a blueprint deploys resources.

tudj meg többet:Learn more:

Ajánlott eljárás: az Azure-beli hivatkozási architektúrák áttekintéseBest practice: Review Azure reference architectures

A biztonságos, méretezhető és felügyelhető számítási feladatok Azure-beli létrehozása ijesztő feladat lehet.Building secure, scalable, and manageable workloads in Azure can be daunting. A folyamatos módosítások miatt nehéznek bizonyulhat naprakészen tartani az optimális környezet fenntartásához szükséges különböző szolgáltatásokat.With continual changes, it can be difficult to keep up with different features for an optimal environment. Ilyenkor jól jöhet, ha van előttünk egy referencia a számítási feladatok tervezéséhez és migrálásához.Having a reference to learn from can be helpful when designing and migrating your workloads. Az Azure és az Azure-partnerek számos különböző minta referenciaarchitektúrát hoztak már létre, különböző típusú környezetekhez.Azure and Azure partners have built several sample reference architectures for various types of environments. E minták célja, hogy ötleteket nyújtsanak, amelyekből tanulhatunk, és amelyekre építhetünk.These samples are designed to provide ideas that you can learn from and build on.

A referenciaarchitektúrák forgatókönyvek szerint vannak rendezve.Reference architectures are arranged by scenario. A kezeléssel, a rendelkezésre állással, a méretezhetőséggel és a biztonsággal kapcsolatos ajánlott eljárásokat és tanácsokat tartalmaznak.They contain best practices and advice on management, availability, scalability, and security. A App Service Environment teljesen elkülönített és dedikált környezetet biztosít az alkalmazások futtatásához, például a Windows-és Linux-webalkalmazások, a Docker-tárolók, a mobil alkalmazások és a függvények futtatásához.App Service Environment provides a fully isolated and dedicated environment for running applications, such as Windows and Linux web apps, Docker containers, mobile apps, and functions. Az App Service olyan Azure-funkciókkal bővíti az alkalmazásokat, mint a biztonság, a terheléselosztás, az automatikus skálázás és az automatikus kezelés.App Service adds the power of Azure to your application, with security, load balancing, autoscaling, and automated management. DevOps-képességeket is biztosít, mint például a folyamatos üzembe helyezés az Azure DevOpsból és GitHubról, a csomagkezelés, az átmeneti környezetek, az egyéni tartomány és az SSL-tanúsítványok.You can also take advantage of its DevOps capabilities, such as continuous deployment from Azure DevOps and GitHub, package management, staging environments, custom domain, and SSL certificates. App Service olyan alkalmazások esetében hasznos, amelyek elkülönítést és biztonságos hálózati hozzáférést igényelnek, és amelyek nagy mennyiségű memóriát és más, méretezést igénylő erőforrásokat használnak.App Service is useful for applications that need isolation and secure network access, and those that use high amounts of memory and other resources that need to scale.

tudj meg többet:Learn more:

Ajánlott eljárás: erőforrások kezelése az Azure felügyeleti csoportjaivalBest practice: Manage resources with Azure management groups

Ha a vállalatnak több előfizetése is van, kezelni kell azok hozzáféréseit, szabályzatait és megfelelőségét.If your organization has multiple subscriptions, you need to manage access, policies, and compliance for them. Az Azure-beli felügyeleti csoportok hatóköre az előfizetések fölötti szint.Azure management groups provide a level of scope above subscriptions. Adunk néhány tippet:Here are some tips:

  • Az előfizetéseket felügyeleti csoportok nevű tárolóba szervezheti, és irányítási feltételeket alkalmazhat rájuk.You organize subscriptions into containers called management groups, and apply governance conditions to them.
  • A felügyeleti csoporton belüli összes előfizetés automatikusan örökli a felügyeleti csoport feltételeit.All subscriptions in a management group automatically inherit the management group conditions.
  • A felügyeleti csoportok nagy méretű, nagyvállalati szintű felügyeletet biztosítanak, függetlenül attól, hogy milyen típusú előfizetések vannak.Management groups provide large-scale, enterprise-grade management, no matter what type of subscriptions you have.
  • Alkalmazhat például egy olyan felügyeleticsoport-szabályzatot, amely korlátozza, hogy mely régiókban lehet létrehozni virtuális gépeket.For example, you can apply a management group policy that limits the regions in which VMs can be created. A szabályzat ezt követően minden felügyeleti csoportra, előfizetésre és erőforrásra érvényes lesz az adott felügyeleti csoporton belül.This policy is then applied to all management groups, subscriptions, and resources under that management group.
  • A felügyeleti csoportok és előfizetések rugalmas szerkezetének létrehozásával hierarchiába rendezheti erőforrásait az egységes szabályzat- és hozzáférés-kezeléshez.You can build a flexible structure of management groups and subscriptions, to organize your resources into a hierarchy for unified policy and access management.

Az alábbi ábrán egy példa látható szabályozási hierarchia létrehozására felügyeleti csoportok használatával.The following diagram shows an example of creating a hierarchy for governance by using management groups.

Felügyeleti csoportok diagramjaDiagram of management groups. 8. ábra: felügyeleti csoportok.Figure 8: Management groups.

tudj meg többet:Learn more:

Ajánlott eljárás: Azure Policy üzembe helyezéseBest practice: Deploy Azure Policy

Az Azure Policy egy olyan szolgáltatás, amelynek használatával szabályzatokat hozhat létre, rendelhet hozzá és kezelhet.Azure Policy is a service that you use to create, assign, and manage policies. A házirendek különböző szabályokat és hatásokat kényszerítenek az erőforrásokra, így az erőforrások megfelelnek a vállalati szabványoknak és a szolgáltatói szerződéseknek.Policies enforce different rules and effects over your resources, so those resources stay compliant with your corporate standards and service-level agreements.

Az Azure Policy kiértékeli az erőforrásokat, és megkeresi azokat, amelyek nem felelnek meg a szabályzatoknak.Azure Policy evaluates your resources, scanning for those not compliant with your policies. Létrehozhat például egy olyan szabályzatot, amely csak egy adott SKU-méretet engedélyez a virtuális gépek számára a környezetben.For example, you can create a policy that allows only a specific SKU size for VMs in your environment. A Azure Policy a rendszer kiértékeli ezt a beállítást az erőforrások létrehozásakor és frissítésekor, valamint a meglévő erőforrások keresésekor.Azure Policy will evaluate this setting when you create and update resources, and when scanning existing resources. Vegye figyelembe, hogy az Azure olyan beépített szabályzatokat biztosít, amelyeket hozzárendelhet, vagy létrehozhatja a sajátját is.Note that Azure provides some built-in policies that you can assign, or you can create your own.

Képernyőkép a Azure Policyról.Screenshot of Azure Policy. 9. ábra: Azure Policy.Figure 9: Azure Policy.

tudj meg többet:Learn more:

Ajánlott eljárás: BCDR stratégia implementálásaBest practice: Implement a BCDR strategy

Az üzletmenet-folytonosság és a vész-helyreállítás tervezése (BCDR) kritikus fontosságú feladat, amelyet az Azure-áttelepítés tervezési folyamatának részeként kell végrehajtania.Planning for business continuity and disaster recovery (BCDR) is a critical exercise that you should complete as part of your Azure migration planning process. Jogi értelemben a szerződések tartalmazhatnak olyan vis maior záradékot, amely egy nagyobb erő, például a hurrikánok vagy a földrengések miatt elmenti a kötelezettségeket.In legal terms, your contracts might include a force majeure clause that excuses obligations due to a greater force, such as hurricanes or earthquakes. Emellett azonban kötelessége, hogy biztosítsa, hogy a szolgáltatások továbbra is működőképesek legyenek, és szükség esetén állítsa helyre a katasztrófát.But you also have obligations around your ability to ensure that services will continue to run, and recover where necessary, when disaster strikes. Azon, hogy erre képesek vagyunk-e, a vállalat jövője múlhat.Your ability to do this can make or break your company's future.

Nagy vonalakban a BCDR-stratégiának a következőkre kell kitérnie:Broadly, your BCDR strategy must consider:

  • Az adatbiztonsági mentés: Az adatok biztonságának megőrzése, hogy könnyen helyreállítható legyen, ha kimaradás történik.Data backup: How to keep your data safe so that you can recover it easily if outages occur.
  • Vész- helyreállítás: Az alkalmazások rugalmas és elérhetővé tétele, ha kimaradások történnek.Disaster recovery: How to keep your applications resilient and available if outages occur.

A BCDR beállításaSet up BCDR

Az Azure-ba való Migrálás során megértette, hogy bár az Azure platform tartalmaz néhány beépített rugalmassági képességet, meg kell terveznie az Azure-telepítést, hogy kihasználhassa őket.When migrating to Azure, understand that although the Azure platform provides some built-in resiliency capabilities, you need to design your Azure deployment to take advantage of them.

  • A BCDR-megoldás a vállalati célkitűzésektől függ, és az Azure-telepítési stratégia is befolyásolja.Your BCDR solution will depend on your company objectives, and is influenced by your Azure deployment strategy. Az IaaS- és a PaaS-alapú üzemelő példányok különböző kihívásokat támasztanak a BCDR irányába.Infrastructure as a service (IaaS) and platform as a service (PaaS) deployments present different challenges for BCDR.
  • A bevezetésük után a BCDR-megoldásokat rendszeresen tesztelni kell annak ellenőrzéséhez, hogy a stratégia továbbra is életképes-e.After they are in place, your BCDR solutions should be tested regularly to check that your strategy remains viable.

IaaS üzemelő példány biztonsági mentéseBack up an IaaS deployment

A legtöbb esetben a migrálás után a helyszíni számítási feladat el lesz távolítva, az adatok biztonsági mentésére szolgáló helyszíni stratégiát tehát ki kell terjeszteni vagy le kell cserélni.In most cases, an on-premises workload is retired after migration, and your on-premises strategy for backing up data must be extended or replaced. Ha a teljes adatközpontját az Azure-ba telepíti át, akkor az Azure-technológiák vagy harmadik féltől származó integrált megoldások használatával teljes biztonsági mentési megoldást kell megterveznie és implementálnia.If you migrate your entire datacenter to Azure, you'll need to design and implement a full backup solution by using Azure technologies, or third-party integrated solutions.

Az Azure IaaS virtuális gépeken futó számítási feladatok esetében az alábbi biztonsági mentési megoldásokat érdemes használni:For workloads running on Azure IaaS VMs, consider these backup solutions:

  • Azure Backup: Az alkalmazással konzisztens biztonsági mentést biztosít az Azure Windows és Linux rendszerű virtuális gépekhez.Azure Backup: Provides application-consistent backups for Azure Windows and Linux VMs.
  • Tárolási Pillanatképek: Pillanatképeket hoz a blob Storage-ról.Storage snapshots: Takes snapshots of Blob storage.

Azure BackupAzure Backup

A Azure Backup az Azure Storage-ban tárolt adathelyreállítási pontokat hoz létre.Azure Backup creates data recovery points that are stored in Azure Storage. Az Azure Backuppal biztonsági másolatok készíthetők az Azure-beli virtuális gépek lemezeiről, illetve az Azure Filesról (előzetes verzió).Azure Backup can back up Azure VM disks, and Azure Files (preview). Azure Files biztosítson fájlmegosztást a felhőben, amely a Server Message Block (SMB) protokollon keresztül érhető el.Azure Files provide file shares in the cloud, accessible via Server Message Block (SMB).

A virtuális gépek biztonsági mentését Azure Backup a következő módokon végezheti el:You can use Azure Backup to back up VMs in the following ways:

  • Közvetlen biztonsági mentés a virtuális gép beállításaiból.Direct backup from VM settings. Az Azure Backuppal közvetlenül a virtuális gép beállításaiból készíthet biztonsági másolatot a virtuális gépekről az Azure Portalon.You can back up VMs with Azure Backup directly from the VM options in the Azure portal. Naponta egyszer biztonsági másolatot készíthet a virtuális gépről, és igény szerint visszaállíthatja a virtuális gépet.You can back up the VM once per day, and you can restore the VM disk as needed. A Azure Backup az alkalmazás-kompatibilis adatpillanatképeket veszi át, és nincs telepítve ügynök a virtuális gépre.Azure Backup takes application-aware data snapshots, and no agent is installed on the VM.
  • Közvetlen biztonsági mentés egy Recovery Services-tárolóban.Direct backup in a Recovery Services vault. Az IaaS virtuális gépek biztonsági mentéséhez üzembe helyezhet egy Azure Backup Recovery Services-tárolót.You can back up your IaaS VMs by deploying an Azure Backup Recovery Services vault. Ez egyetlen helyet biztosít a biztonsági másolatok nyomon követéséhez és kezeléséhez, valamint a részletes biztonsági mentési és visszaállítási lehetőségekhez.This provides a single location to track and manage backups, as well as granular backup and restore options. A biztonsági mentés naponta háromszor, a fájl-és a mappa szintjén jelenik meg.Backup is up to three times a day, at the file and folder levels. Nem az alkalmazással kompatibilis, és a Linux nem támogatott.It isn't application-aware, and Linux isn't supported. Telepítse a Microsoft Azure Recovery Services-(MARS-) ügynököt minden olyan virtuális gépre, amelyről biztonsági másolatot szeretne készíteni ezzel a módszerrel.Install the Microsoft Azure recovery services (MARS) agent on each VM that you want to back up by using this method.
  • A virtuális gép Azure Backup-kiszolgálóra való védelemmel.Protect the VM to Azure Backup server. A Azure Backup-kiszolgáló Azure Backup ingyenes.Azure Backup server is provided free with Azure Backup. A virtuális gép biztonsági mentése a helyi Azure Backup Server Storage-ba történik.The VM is backed up to local Azure Backup server storage. Ezután biztonsági mentést készít a Azure Backup-kiszolgálóról az Azure-ba egy tárolóban.You then back up the Azure Backup server to Azure in a vault. A Backup alkalmazással kompatibilis, a biztonsági mentés gyakoriságának és megőrzésének teljes részletessége mellett.Backup is application-aware, with full granularity over backup frequency and retention. Az alkalmazás szintjén biztonsági mentést készíthet, például SQL Server vagy SharePoint biztonsági mentésével.You can back up at the application level, for example by backing up SQL Server or SharePoint.

A biztonság érdekében a Azure Backup AES-256 használatával titkosítja a repülés közbeni adatátvitelt.For security, Azure Backup encrypts data in-flight by using AES-256. HTTPS-kapcsolaton keresztül küldi el az Azure-t.It sends it over HTTPS to Azure. Az Azure-ban tárolt biztonsági másolatok az Azure Storage encryptionhasználatával titkosíthatók.Backed-up data-at-rest in Azure is encrypted by using Azure Storage encryption.

Képernyőkép a Azure Backupról. 10. ábra: Azure Backup.Screenshot of Azure Backup. Figure 10: Azure Backup.

tudj meg többet:Learn more:

Storage-pillanatképekStorage snapshots

Az Azure-beli virtuális gépek tárolása lapblobok formájában történik az Azure Storage-ben.Azure VMs are stored as page blobs in Azure Storage. A pillanatképek rögzítik a blobok állapotát egy adott időpontban.Snapshots capture the blob state at a specific point in time. Egy másik megoldás az Azure-beli virtuális gépek lemezeinek biztonsági mentésére, ha pillanatképet készít a Storage-blobokról, majd átmásolja őket egy másik tárfiókba.As an alternative backup method for Azure VM disks, you can take a snapshot of storage blobs and copy them to another storage account.

Átmásolhat egy teljes blobot, vagy egy növekményes pillanatkép-példány segítségével átmásolhatja csak a módosításokat, így tárhelyet takaríthat meg.You can copy an entire blob, or use an incremental snapshot copy to copy only delta changes and reduce storage space. További óvintézkedésként engedélyezheti a blob Storage-fiókok helyreállítható törlését.As an extra precaution, you can enable soft delete for Blob storage accounts. Ha ez a funkció engedélyezve van, a törölt blob törlésre van megjelölve, de nem távolítható el azonnal.With this feature enabled, a blob that's deleted is marked for deletion, but not immediately purged. Az átmeneti időszakban visszaállíthatja a blobot.During the interim period, you can restore the blob.

tudj meg többet:Learn more:

Külső biztonsági mentésThird-party backup

A fentieken kívül külső megoldások is használhatók az Azure-beli virtuális gépek és tárolók biztonsági mentésére egy helyi tárolóba vagy egyéb felhőalapú szolgáltatóknál.In addition, you can use third-party solutions to back up Azure VMs and storage containers to local storage or other cloud providers. További információkért lásd: biztonsági mentési megoldások az Azure Marketplace-en.For more information, see Backup solutions in Azure Marketplace.

Vész-helyreállítás beállítása IaaS-alkalmazásokhozSet up disaster recovery for IaaS applications

Az adatok védelme mellett a BCDR-tervezésnek meg kell fontolnia, hogy az alkalmazások és munkaterhelések Hogyan érhetők el vészhelyzet esetén.In addition to protecting data, BCDR planning must consider how to keep applications and workloads available if a disaster occurs. Az Azure IaaS-alapú virtuális gépeken és az Azure Storage-on futó munkaterhelések esetében vegye figyelembe a következő részben ismertetett megoldásokat.For workloads that run on Azure IaaS VMs and Azure Storage, consider the solutions in the following sections.

Azure Site RecoveryAzure Site Recovery

A Azure Site Recovery az elsődleges Azure-szolgáltatás, amely biztosítja, hogy az Azure-beli virtuális gépek online állapotba kerüljenek, és elérhetővé tett virtuálisgép-alkalmazások is előfordulhatnak.Azure Site Recovery is the primary Azure service for ensuring that Azure VMs can be brought online, and VM applications made available, when outages occur.

Site Recovery replikálja a virtuális gépeket egy elsődlegesről egy másodlagos Azure-régióba.Site Recovery replicates VMs from a primary to a secondary Azure region. Ha a katasztrófa meghiúsul, a virtuális gépeket az elsődleges régióból hajtja végre, és a másodlagos régióban továbbra is a megszokott módon érheti el azokat.If disaster strikes, you fail VMs over from the primary region, and continue accessing them as normal in the secondary region. Amikor visszaáll a normális működés, a virtuális gépek visszavehetők az elsődleges régióba.When operations return to normal, you can fail back VMs to the primary region.

Azure Site Recovery ábrája.Diagram of Azure Site Recovery. 11. ábra: Site Recovery.Figure 11: Site Recovery.

tudj meg többet:Learn more:

Ajánlott eljárás: felügyelt lemezek és rendelkezésre állási készletek használataBest practice: Use managed disks and availability sets

Az Azure rendelkezésreállási csoportokat használ a virtuális gépek logikai csoportosításához, és az egy készlethez tartozó virtuális gépek elkülönítéséhez a többi erőforrástól.Azure uses availability sets to logically group VMs together, and to isolate VMs in a set from other resources. A rendelkezésre állási csoportba tartozó virtuális gépek több tartalék tartományba vannak osztva, külön alrendszerekkel, amelyek megvédik a helyi hibákat.VMs in an availability set are spread across multiple fault domains with separate subsystems, which protects against local failures. A virtuális gépek több frissítési tartomány között is elterjednek, ami megakadályozza a készletben lévő összes virtuális gép egyidejű újraindítását.The VMs are also spread across multiple update domains, preventing a simultaneous reboot of all VMs in the set.

Az Azure Managed Disks a virtuálisgép-lemezekhez társított Storage-fiókok kezelésével egyszerűbbé teszi az Azure-Virtual Machines lemezes felügyeletét.Azure managed disks simplify disk management for Azure Virtual Machines by managing the storage accounts associated with the VM disks.

  • Használja a felügyelt lemezeket, ahol csak lehetséges.Use managed disks wherever possible. Csak meg kell adnia a használni kívánt tárterület típusát és a szükséges lemez méretét, az Azure pedig létrehozza és felügyeli a lemezt.You only have to specify the type of storage you want to use and the size of disk you need, and Azure creates and manages the disk for you.

  • A meglévő lemezeket felügyelt lemezekre alakíthatja.You can convert existing disks to managed disks.

  • Érdemes a virtuális gépeket rendelkezésreállási csoportokban létrehozni a magas fokú rugalmasság és rendelkezésre állás érdekében.You should create VMs in availability sets for high resilience and availability. Tervezett vagy nem tervezett leállások esetén a rendelkezésre állási csoportok biztosítják, hogy a készletben legalább egy virtuális gép elérhető maradjon.When planned or unplanned outages occur, availability sets ensure that at least one VM in the set remains available.

    A felügyelt lemezek ábrája. 12. ábra: felügyelt lemezek.Diagram of managed disks. Figure 12: Managed disks.

tudj meg többet:Learn more:

Ajánlott eljárás: az erőforrás-használat és a teljesítmény monitorozásaBest practice: Monitor resource usage and performance

Lehetséges, hogy számítási feladatait a rendkívül kiterjedt skálázhatóság miatt helyezte át az Azure-ba.You might have moved your workloads to Azure for its immense scaling capabilities. A számítási feladat áthelyezése azonban nem jelenti azt, hogy az Azure automatikusan bevezeti a skálázást a bevitel nélkül.But moving your workload doesn't mean that Azure will automatically implement scaling without your input. Bemutatunk két példát:Here are two examples:

  • Ha a marketing szervezet leküld egy új, 300 százalékkal nagyobb forgalmat lebonyolító televíziós hirdetményt, akkor ez a hely rendelkezésre állásával kapcsolatos problémákat okozhat.If your marketing organization pushes a new television advertisement that drives 300 percent more traffic, this might cause site availability issues. Az újonnan áttelepített számítási feladat elérheti a hozzárendelt korlátozásokat, és összeomlást eredményezhet.Your newly migrated workload might hit assigned limits, and crash.
  • Ha a rendszer elosztott szolgáltatásmegtagadási (DDoS) támadást végez az áttelepített számítási feladatokon, akkor ebben az esetben nem kívánja méretezni a méretezést.If there's a distributed denial-of-service (DDoS) attack on your migrated workload, in this case you don't want to scale. Szeretné megakadályozni, hogy a támadások forrása elérje az erőforrásokat.You want to prevent the source of the attacks from reaching your resources.

Ez a két eset különböző felbontással rendelkezik, de mindkét esetben a használat és a teljesítmény monitorozásával kapcsolatos információkra van szüksége.These two cases have different resolutions, but for both you need insight into what's happening with usage and performance monitoring.

  • Azure Monitor segíthet feldolgozni ezeket a mérőszámokat, és választ kaphat a riasztásokkal, az automatikus skálázással, a Event Hubsokkal és a Logic Appsokkal kapcsolatban.Azure Monitor can help surface these metrics, and provide response with alerts, autoscaling, Event Hubs, and Logic Apps.

  • A harmadik féltől származó SIEM-alkalmazást is integrálhatja az Azure-naplók naplózási és teljesítménybeli eseményeinek figyelésére.You can also integrate your third-party SIEM application to monitor the Azure logs for auditing and performance events.

    Képernyőkép a Azure Monitorról. 13. ábra: Azure monitor.Screenshot of Azure Monitor. Figure 13: Azure Monitor.

tudj meg többet:Learn more:

Ajánlott eljárás: diagnosztikai naplózás engedélyezéseBest practice: Enable diagnostic logging

Az Azure-erőforrások jelentős mennyiségű naplózási mérőszámot és telemetriai adatot állítanak elő.Azure resources generate a fair number of logging metrics and telemetry data. Alapértelmezés szerint a legtöbb erőforrástípus esetében nincs engedélyezve a diagnosztikai naplózás.By default, most resource types don't have diagnostic logging enabled. Ha engedélyezi a diagnosztikai naplózást az erőforrásain, lekérdezheti a naplózási adatokat, amelyek alapján riasztásokat és forgatókönyveket hozhat létre.By enabling diagnostic logging across your resources, you can query logging data, and build alerts and playbooks based on it.

Ha engedélyezi a diagnosztikai naplózást, minden erőforráshoz bizonyos kategóriák fognak tartozni.When you enable diagnostic logging, each resource will have a specific set of categories. Kiválaszthat egy vagy több naplózási kategóriát, és megadhatja a naplóadatok mentési helyét.You select one or more logging categories, and a location for the log data. Naplók küldhetők a Storage-fiókba, az Event hub-ba vagy Azure Monitor naplókba.Logs can be sent to a storage account, event hub, or to Azure Monitor Logs.

Képernyőkép a diagnosztikai naplózásról. 14. ábra: diagnosztikai naplózás.Screenshot of diagnostic logging. Figure 14: Diagnostic logging.

tudj meg többet:Learn more:

Ajánlott eljárás: riasztások és forgatókönyvek beállításaBest practice: Set up alerts and playbooks

Ha az Azure-erőforrások esetében engedélyezve van a diagnosztikai naplózás, akkor a naplóadatok felhasználásával elkezdhet egyéni riasztásokat létrehozni.With diagnostic logging enabled for Azure resources, you can start to use logging data to create custom alerts.

  • A riasztások proaktívan értesítik arról, ha bizonyos feltételek teljesülnek a monitorozási adatok esetében.Alerts proactively notify you when conditions are found in your monitoring data. Ezt követően még azelőtt kezelheti a problémákat, mielőtt a rendszer felhasználói észlelnék azokat.You can then address issues before system users notice them. Riasztást kaphat a metrikus értékekről, a naplóbeli keresési lekérdezésekről, a műveletnapló eseményeiről, a platform állapotáról és a webhely rendelkezésre állásáról.You can alert on metric values, log search queries, activity log events, platform health, and website availability.

  • A riasztások aktiválásakor futtathat egy logikai alkalmazás forgatókönyvét.When alerts are triggered, you can run a logic app playbook. A forgatókönyvek segítségével automatizálható és összehangolható a válaszadás egy bizonyos riasztásra.A playbook helps you to automate and orchestrate a response to a specific alert. A forgatókönyvek Azure Logic Apps-alapúak.Playbooks are based on Azure Logic Apps. A Logic app-sablonok használatával létrehozhat forgatókönyveket, vagy létrehozhat sajátt is.You can use logic app templates to create playbooks, or create your own.

  • Egy egyszerű példa: létrehozhat egy riasztást, amely akkor aktiválódik, ha egy hálózati biztonsági csoporton portkeresés megy végbe.As a simple example, you can create an alert that triggers when a port scan happens against a network security group. A forgatókönyv beállítható úgy, hogy futáskor azonosítsa és zárolja azt az IP-címet, amelyről a keresést indították.You can set up a playbook that runs and locks down the IP address of the scan origin.

  • Egy másik példa egy olyan alkalmazás, amely memóriavesztés van.Another example is an application with a memory leak. Ha a memóriahasználat elér egy adott szintet, egy forgatókönyv segítségével újraindítható a folyamat.When the memory usage gets to a certain point, a playbook can recycle the process.

    Képernyőkép a riasztásokról. 15. ábra: riasztások.Screenshot of alerts. Figure 15: Alerts.

tudj meg többet:Learn more:

Ajánlott eljárás: az Azure irányítópult használataBest practice: Use the Azure dashboard

Az Azure Portal egy egységesített felületet biztosító webes konzol, amely sokféle alkalmazás összeállítását, kezelését és monitorozását teszi lehetővé, az egyszerű webalkalmazásoktól egészen az összetett, felhőalapú megoldásokig.The Azure portal is a web-based unified console that allows you to build, manage, and monitor everything from simple web apps to complex cloud applications. Az irányítópultja testre szabható, és kisegítő lehetőségekkel is rendelkezik.It includes a customizable dashboard and accessibility options.

  • Több irányítópultot is létrehozhat, és megoszthatja azokat másokkal, akik hozzáférhetnek az Azure-előfizetésekhez.You can create multiple dashboards, and share them with others who have access to your Azure subscriptions.

  • Ezzel a megosztott modellel a csapat betekintést nyerhet az Azure-környezetbe, így proaktívan tud eljárni a felhőbeli rendszerek felügyelete során.With this shared model, your team has visibility into the Azure environment, allowing them to be proactive when managing systems in the cloud.

    Képernyőkép az Azure-irányítópultról. 16. ábra: Azure-irányítópult.Screenshot of Azure dashboard. Figure 16: Azure dashboard.

tudj meg többet:Learn more:

Ajánlott eljárás: a támogatási csomagok ismertetéseBest practice: Understand support plans

Előbb vagy utóbb együtt kell majd működnie a saját vagy a Microsoft támogatási szolgálatával.At some point, you will need to collaborate with your support staff or Microsoft support staff. Létfontosságú, hogy vészhelyreállítás és hasonló helyzetek esetére rendelkezésre álljanak a támogatási szabályzatok és eljárások.Having a set of policies and procedures for support during scenarios such as disaster recovery is vital. Emellett a rendszergazdákat és a támogatási munkatársakat is be kell tanítani a szóban forgó szabályzatok alkalmazására.In addition, your admins and support staff should be trained on implementing those policies.

  • Abban a valószínűtlen esetben, ha egy Azure-szolgáltatással kapcsolatos probléma hatással lenne a számítási feladatra, a rendszergazdáknak tudniuk kell, hogyan küldhetnek támogatási jegyet a Microsoftnak a legmegfelelőbb és leghatékonyabb módon.In the unlikely event that an Azure service issue affects your workload, admins should know how to submit a support ticket to Microsoft in the most appropriate and efficient way.

  • Ismerkedjen meg az Azure-hoz kínált különböző támogatási csomagokkal.Familiarize yourself with the various support plans offered for Azure. A fejlesztői példányok számára dedikált válaszidőt, a Premier szintű támogatást 15 percnél rövidebb válaszidő alapján támogatják.They range from response times dedicated to developer instances, to premier support with a response time of less than 15 minutes.

    Képernyőkép a támogatási csomagokról. 17. ábra: támogatási csomagok.Screenshot of support plans. Figure 17: Support plans.

tudj meg többet:Learn more:

Ajánlott eljárás: frissítések kezeléseBest practice: Manage updates

Az Azure-beli virtuális gépek naprakészen tartása a legújabb operációs rendszerrel és szoftverfrissítésekkel komoly munkát igényel.Keeping Azure VMs updated with the latest operating system and software updates is a massive chore. Az összes virtuális gép felszínének képessége, a szükséges frissítések kiszűrése és a frissítések automatikus leküldése rendkívül értékes.The ability to surface all VMs, figure out which updates they need, and automatically push those updates is extremely valuable.

  • Az operációs rendszer frissítéseinek kezeléséhez Azure Automation Update Management is használhatja.You can use Update Management in Azure Automation to manage operating system updates. Ez az Azure-ban, a helyszínen és más felhőalapú szolgáltatókban üzembe helyezett Windows-és Linux-számítógépeket futtató gépekre vonatkozik.This applies to machines that run Windows and Linux computers that are deployed in Azure, on-premises, and in other cloud providers.

  • A frissítéskezeléssel minden ügynökszámítógépen gyorsan felmérhető az elérhető frissítések állapota, és elvégezhető a frissítések telepítése is.Use Update Management to quickly assess the status of available updates on all agent computers, and manage update installation.

  • A virtuális gépek frissítéskezelését közvetlenül az Azure Automation-fiókjából engedélyezheti.You can enable Update Management for VMs directly from an Azure Automation account. A virtuális gépeket egyesével is frissítheti a virtuális gép oldalán az Azure Portalon.You can also update a single VM from the VM page in the Azure portal.

  • Emellett az Azure-beli virtuális gépeket System Center Configuration Manager használatával is regisztrálhatja.In addition, you can register Azure VMs with System Center Configuration Manager. Ezután áttelepítheti az Configuration Manager munkafolyamatot az Azure-ba, és egyetlen webes felületen végezheti el a jelentéskészítést és a szoftverfrissítéseket.You can then migrate the Configuration Manager workload to Azure, and do reporting and software updates from a single web interface.

    A virtuális gépek frissítéseinek ábrája. 18. ábra: frissítések.Diagram of VM updates. Figure 18: Updates.

tudj meg többet:Learn more:

Változáskezelési folyamat megvalósításaImplement a change management process

Akárcsak az éles rendszerek esetében, bármilyen típusú módosítás hatással lehet a környezetre.As with any production system, making any type of change can affect your environment. A migrált környezetekben hasznos lehet egy olyan változáskezelési folyamat, amely kérelem elküldéséhez köti az éles rendszerek módosításainak elvégzését.A change management process that requires requests to be submitted in order to make changes to production systems is a valuable addition in your migrated environment.

  • Létrehozhatók változáskezeléssel kapcsolatos ajánlott eljárási keretrendszerek is a rendszergazdák és a támogatási munkatársak továbbképzése céljából.You can build best practice frameworks for change management to raise awareness in administrators and support staff.
  • Az Azure Automation segítséget nyújthat a konfigurációk felügyeletében és a migrált munkafolyamatok változásainak nyomon követésében.You can use Azure Automation to help with configuration management and change tracking for your migrated workflows.
  • A változás-kezelési folyamat kényszerítése során a naplók segítségével összekapcsolhatja az Azure-beli módosítási naplókat a meglévő módosítási kérelmekkel.When enforcing change management process, you can use audit logs to link Azure change logs to existing change requests. Ezt követően, ha megjelenik egy megfelelő módosítási kérelem nélkül végrehajtott módosítás, megvizsgálhatja, hogy mi volt a hiba a folyamat során.Then, if you see a change made without a corresponding change request, you can investigate what went wrong in the process.

Az Azure változás-követési megoldással rendelkezik Azure Automationban:Azure has a change-tracking solution in Azure Automation:

  • Ez a megoldás nyomon követi a windowsos és linuxos szoftverek és fájlok, Windows-beállításkulcsok, Windows-szolgáltatások és Linux-démonok módosításait.The solution tracks changes to Windows and Linux software and files, Windows registry keys, Windows services, and Linux daemons.

  • A figyelt kiszolgálókon végrehajtott módosításokat a rendszer elküldje a feldolgozásra Azure Monitor.Changes on monitored servers are sent to Azure Monitor for processing.

  • A rendszer a kapott adatokra alkalmazza a logikát, a Cloud Service pedig rögzíti az adatokat.Logic is applied to the received data, and the cloud service records the data.

  • A Change Tracking (változások követése) irányítópulton egyszerűen megtekintheti a kiszolgálói infrastruktúrában végrehajtott módosításokat.On the change tracking dashboard, you can easily see the changes that were made in your server infrastructure.

    Képernyőfelvétel a változások kezeléséről. 19. ábra: a változások kezelése.Screenshot of change management. Figure 19: Change management.

tudj meg többet:Learn more:

Következő lépésekNext steps

Egyéb ajánlott eljárások áttekintése:Review other best practices: