Share via

Considerazioni sull'inventario e la visibilità

  • Articolo

Quando l'organizzazione progetta e implementa l'ambiente cloud, la base per la gestione della piattaforma e il monitoraggio dei servizi della piattaforma è una considerazione fondamentale. Per garantire una corretta adozione del cloud, è necessario strutturare questi servizi per soddisfare le esigenze dell'organizzazione man mano che l'ambiente viene ridimensionato.

Le decisioni del modello operativo cloud prese nelle fasi iniziali della pianificazione influiscono direttamente sulla modalità di distribuzione delle operazioni di gestione come parte delle zone di destinazione. Il grado di centralizzazione della gestione per la piattaforma è un esempio chiave.

Usare le indicazioni contenute in questo articolo per valutare come adottare l'inventario e la visibilità nell'ambiente cloud.

Considerazioni sull'inventario di base

  • Prendere in considerazione l'uso di strumenti come un'area di lavoro Log Analytics di Monitoraggio di Azure come limiti amministrativi.
  • Determinare quali team devono usare i log generati dal sistema dalla piattaforma e chi deve accedere a tali log.

Si considerino gli elementi seguenti relativi alla registrazione dei dati per informare i tipi di dati che è possibile usare e comprimere.

Ambito Contesto
Monitoraggio della piattaforma incentrato sulle applicazioni
Includere rispettivamente percorsi di telemetria ad accesso frequente e a freddo per metriche e log.
Metriche del sistema operativo, ad esempio contatori delle prestazioni e metriche personalizzate.
Log del sistema operativo, ad esempio:
  • Internet Information Services
  • Event Tracing for Windows e syslogs
  • Eventi di Integrità risorse
Log di controllo di sicurezza Obiettivo di raggiungere una lente di sicurezza orizzontale nell'intero patrimonio di Azure dell'organizzazione.
  • Potenziale integrazione con sistemi SIEM (Security Information and Event Management) locali, ad esempio ArcSight o la piattaforma di sicurezza Onapsis
  • Potenziale integrazione con offerte SaaS (Software as a Service) come ServiceNow
  • Log attività di Azure
  • Report di controllo di Microsoft Entra
  • Servizi di diagnostica di Azure, log e metriche, eventi di controllo di Azure Key Vault, log dei flussi del gruppo di sicurezza di rete (NSG) e log eventi
  • Monitoraggio di Azure, Azure Network Watcher, Microsoft Defender for Cloud e Microsoft Sentinel
Soglie di conservazione dei dati e requisiti di archiviazione di Azure
  • Il periodo di conservazione predefinito per i log di Monitoraggio di Azure è di 30 giorni, con una conservazione massima dell'analisi di due anni e un archivio di sette anni.
  • Il periodo di conservazione predefinito per i report di Microsoft Entra (premium) è di 30 giorni.
  • Il periodo di conservazione predefinito per i log attività di Azure e i log di Application Insights è di 90 giorni.
Requisiti operativi
  • Dashboard operativi con strumenti nativi, ad esempio i log di Monitoraggio di Azure o strumenti di terze parti
  • Uso di ruoli centralizzati per controllare le attività con privilegi
  • Identità gestite per le risorse di Azure](/Azure/active-directory/managed-identities-Azure-resources/overview) per l'accesso ai servizi di Azure
  • Blocchi delle risorse da proteggere dalla modifica e dall'eliminazione delle risorse

Considerazioni sulla visibilità

  • Quali team devono ricevere notifiche di avviso?
  • Sono presenti gruppi di servizi che necessitano di più team per ricevere una notifica?
  • Sono disponibili strumenti di gestione dei servizi esistenti a cui è necessario inviare avvisi?
  • Quali servizi sono considerati business critical e richiedono notifiche ad alta priorità dei problemi?

Raccomandazioni per l'inventario e la visibilità

  • Usare un'area di lavoro dei log di monitoraggio singola per gestire le piattaforme centralmente, ad eccezione dei casi in cui il controllo degli accessi in base al ruolo di Azure, i requisiti di sovranità dei dati e i criteri di conservazione dei dati impongono aree di lavoro separate. La registrazione centralizzata è fondamentale per la visibilità richiesta dai team di gestione delle operazioni e fornisce report sulla gestione delle modifiche, sull'integrità dei servizi, sulla configurazione e sulla maggior parte degli altri aspetti delle operazioni IT. La convergenza su un modello di area di lavoro centralizzato consente di ridurre le attività amministrative e le probabilità di lacune nell'osservabilità.

  • Esportare i log in Archiviazione di Azure se i requisiti di conservazione dei log superano sette anni. Usare l'archiviazione non modificabile con criteri write-once e read-many per rendere i dati non cancellabili e non modificabili per un intervallo specificato dall'utente.

  • Usare Criteri di Azure per il controllo di accesso e la creazione di report di conformità. Criteri di Azure consente di applicare le impostazioni a livello di organizzazione per garantire l'aderenza coerente ai criteri e il rilevamento rapido delle violazioni. Per altre informazioni, vedere Informazioni sugli effetti di Criteri di Azure.

  • Usare Network Watcher per monitorare in modo proattivo i flussi di traffico tramite log dei flussi del gruppo di sicurezza di rete di Network Watcher v2. Analisi del traffico analizza i log dei flussi dei gruppi di sicurezza di rete per raccogliere informazioni approfondite sul traffico IP all'interno delle reti virtuali. Fornisce anche informazioni critiche necessarie per una gestione e un monitoraggio efficaci, ad esempio:

    • La maggior parte di host e protocolli applicativi di comunicazione
    • Coppie host più converse
    • Traffico consentito o bloccato
    • Traffico in ingresso e in uscita
    • Porte Internet aperte
    • La maggior parte delle regole di blocco
    • Distribuzione del traffico per un data center di Azure
    • Rete virtuale
    • Subnet
    • Reti non autorizzate

  • Usare i blocchi delle risorse per impedire l'eliminazione accidentale di servizi condivisi critici.

  • Usare i criteri di negazione per integrare le assegnazioni di ruolo di Azure. I criteri di negazione consentono di impedire distribuzioni di risorse e configurazioni che non soddisfano gli standard definiti bloccando l'invio delle richieste ai provider di risorse. La combinazione dei criteri di negazione e delle assegnazioni di ruolo di Azure garantisce che siano presenti protezioni appropriate per controllare chi può distribuire e configurare le risorse e quali risorse possono distribuire e configurare.

  • Includere eventi di integrità del servizio e delle risorse come parte della soluzione di monitoraggio globale della piattaforma. Il monitoraggio dell'integrità dei servizi e delle risorse dal punto di vista della piattaforma è un componente importante della gestione delle risorse in Azure.

  • Non inviare voci di log di dati non elaborati ai sistemi di monitoraggio locali. Adottare invece il principio che i dati nati in Azure rimangano in Azure. Se è necessaria l'integrazione SIEM locale, inviare avvisi critici anziché log.

Acceleratore e gestione della zona di destinazione di Azure

L'acceleratore di zona di destinazione di Azure include la configurazione con opinioni per distribuire le principali funzionalità di gestione di Azure che consentono all'organizzazione di ridimensionare e maturare rapidamente.

La distribuzione dell'acceleratore di zona di destinazione di Azure include strumenti di gestione delle chiavi e monitoraggio come:

  • Un'area di lavoro Log Analytics e account di Automazione
  • Monitoraggio di Microsoft Defender for Cloud
  • Impostazioni di diagnostica per log attività, macchine virtuali e risorse platform as a service (PaaS) inviate a Log Analytics

Registrazione centralizzata nell'acceleratore della zona di destinazione di Azure

Nel contesto dell'acceleratore della zona di destinazione di Azure, la registrazione centralizzata riguarda principalmente le operazioni della piattaforma.

Questa enfasi non impedisce l'uso della stessa area di lavoro per la registrazione di applicazioni basate su macchine virtuali. All'interno di un'area di lavoro configurata in modalità di controllo degli accessi incentrata sulle risorse, viene applicato un controllo degli accessi in base al ruolo granulare di Azure, che garantisce che i team dell'applicazione abbiano accesso solo ai log dalle risorse.

In questo modello, i team delle applicazioni traggono vantaggio dall'uso dell'infrastruttura della piattaforma esistente, riducendo così il sovraccarico di gestione.

Per le risorse non di calcolo, ad esempio le app Web o i database di Azure Cosmos DB, i team dell'applicazione possono usare le proprie aree di lavoro Log Analytics. Possono quindi instradare la diagnostica e le metriche a tali aree di lavoro.

Passaggio successivo

Monitorare i componenti della zona di destinazione della piattaforma Azure