Aanbevolen procedures voor het beveiligen en beheren van werk belastingen die zijn gemigreerd naar AzureBest practices to secure and manage workloads migrated to Azure

Bij het plannen en vormgeven van de migratie moet u niet alleen nadenken over de migratie zelf, maar ook rekening houden met uw beveiligings-en beheermodel in Azure na de migratie.As you plan and design for migration, in addition to thinking about the migration itself, you need to consider your security and management model in Azure after migration. In dit artikel worden de plannings-en aanbevolen procedures beschreven voor het beveiligen van uw Azure-implementatie na de migratie.This article describes planning and best practices for securing your Azure deployment after migrating. Het omvat ook lopende taken om ervoor te zorgen dat uw implementatie op een optimaal niveau wordt uitgevoerd.It also covers ongoing tasks to keep your deployment running at an optimal level.

Belangrijk

De best practices en adviezen die in dit artikel worden beschreven, zijn gebaseerd op het Azure-platform en de servicefuncties voor zover die bekend zijn op het moment van schrijven.The best practices and opinions described in this article are based on the Azure platform and service features available at the time of writing. Functies en mogelijkheden veranderen in de loop van de tijd.Features and capabilities change over time.

Gemigreerde workloads beveiligenSecure migrated workloads

Na de migratie is het van het allerhoogste belang dat gemigreerde workloads goed worden beveiligd tegen interne en externe bedreigingen.After migration, the most critical task is to secure migrated workloads from internal and external threats. Dit kunt u realiseren aan de hand van de volgende best practices:These best practices help you to do that:

  • ontdek hoe u de controlefunctie, evaluaties en aanbevelingen van Azure Security Center kunt gebruiken en toepassen.Learn how to work with the monitoring, assessments, and recommendations provided by Azure Security Center.
  • lees de best practices voor het versleutelen van uw gegevens in Azure.Get best practices for encrypting your data in Azure.
  • beveilig uw VM's tegen malware en schadelijke aanvallen.Protect your VMs from malware and malicious attacks.
  • zorg ervoor dat gevoelige informatie in gemigreerde web-apps goed wordt beveiligd.Keep sensitive information secure in migrated web apps.
  • controleer wie er na de migratie toegang heeft tot uw Azure-abonnementen en -resources.Verify who can access your Azure subscriptions and resources after migration.
  • raadpleeg regelmatig de audit- en beveiligingslogboeken van Azure.Review your Azure auditing and security logs on a regular basis.
  • zorg ervoor dat u met geavanceerde beveiligingsfuncties van Azure kunt werken en op basis hiervan conclusies kunt trekken.Understand and evaluate advanced security features that Azure offers.

Deze aanbevolen procedures worden uitgebreid beschreven in de volgende secties.These best practices are described in more detail in the sections that follow.

Aanbevolen procedure: Volg Azure Security Center aanbevelingenBest practice: Follow Azure Security Center recommendations

Azure-Tenant beheerders moeten beveiligings functies inschakelen die werk belastingen beveiligen tegen aanvallen.Azure tenant admins need to enable security features that protect workloads from attacks. Azure Security Center biedt geïntegreerd beveiligingsbeheer.Azure Security Center provides unified security management. Vanuit Security Center kunt u beveiligings beleid Toep assen op werk belastingen, bloot stelling aan bedreigingen beperken en aanvallen detecteren en erop reageren.From Security Center, you can apply security policies across workloads, limit threat exposure, and detect and respond to attacks. Security Center analyseert resources en configuraties over Azure-tenants en maakt beveiligings aanbevelingen, waaronder:Security Center analyzes resources and configurations across Azure tenants, and makes security recommendations, including:

  • Gecentraliseerd beleids beheer: Zorg ervoor dat de beveiligings vereisten voor het bedrijf of de regelgeving worden nageleefd door het beveiligings beleid voor al uw hybride werk belastingen in de Cloud centraal te beheren.Centralized policy management: Ensure compliance with company or regulatory security requirements by centrally managing security policies across all your hybrid cloud workloads.
  • Continue beveiligings evaluatie: Bewaak de beveiligings postuur van machines, netwerken, opslag en gegevens Services en toepassingen om mogelijke beveiligings problemen te detecteren.Continuous security assessment: Monitor the security posture of machines, networks, storage and data services, and applications to discover potential security issues.
  • Aanbevelingen voor actie: Herstel beveiligings problemen voordat ze kunnen worden misbruikt door aanvallers, met prioriteits-en actie bare beveiligings aanbevelingen.Actionable recommendations: Remediate security vulnerabilities before they can be exploited by attackers, with prioritized and actionable security recommendations.
  • Waarschuwingen en incidenten met prioriteit: Richt u eerst op de meest kritieke bedreigingen met de prioriteit van beveiligings waarschuwingen en incidenten.Prioritized alerts and incidents: Focus on the most critical threats first, with prioritized security alerts and incidents.

Naast evaluaties en aanbevelingen biedt Azure Security Center andere beveiligings functies die u kunt inschakelen voor specifieke bronnen.In addition to assessments and recommendations, Azure Security Center provides other security features that you can enable for specific resources.

  • Just-in-time-toegang (JIT).Just-in-time (JIT) access. Verminder de kwets baarheid van uw netwerk met Just-in-time, gecontroleerde toegang tot beheer poorten op Azure-Vm's.Reduce your network attack surface with just-in-time, controlled access to management ports on Azure VMs.
    • Met de RDP-poort 3389 van de VM op internet kunnen Vm's worden weer gegeven voor continue activiteit van ongeldige actors.Having VM RDP port 3389 open on the internet exposes VMs to continual activity from bad actors. Azure-IP-adressen zijn goed bekend en hackers testen deze voortdurend voor aanvallen op geopende 3389-poorten.Azure IP addresses are well-known, and hackers continually probe them for attacks on open 3389 ports.
    • Just-in-time maakt gebruik van netwerk beveiligings groepen (Nsg's) en binnenkomende regels die de hoeveelheid tijd beperken dat een specifieke poort is geopend.Just-in-time uses network security groups (NSGs) and incoming rules that limit the amount of time that a specific port is open.
    • Wanneer just-in-time-toegang is ingeschakeld, wordt door Security Center gecontroleerd of een gebruiker op rollen gebaseerd toegangs beheer (RBAC) toegangs machtigingen voor een virtuele machine heeft.With just-in-time access enabled, Security Center checks that a user has role-based access control (RBAC) write access permissions for a VM. Daarnaast kunt u regels opgeven voor de manier waarop gebruikers verbinding kunnen maken met Vm's.In addition, you can specify rules for how users can connect to VMs. Als machtigingen in orde zijn, wordt een toegangs aanvraag goedgekeurd en Security Center zo geconfigureerd dat Nsg's het binnenkomend verkeer naar de geselecteerde poorten toestaat voor de hoeveelheid tijd die u opgeeft.If permissions are OK, an access request is approved, and Security Center configures NSGs to allow inbound traffic to the selected ports for the amount of time you specify. Nsg's terug naar de vorige status wanneer de tijd verloopt.NSGs return to their previous state when the time expires.
  • Adaptieve toepassings besturings elementen.Adaptive application controls. Bewaar software en malware uit op Vm's door te controleren welke toepassingen er worden uitgevoerd, door dynamische acceptatie lijsten te gebruiken.Keep software and malware off VMs by controlling which applications run on them, by using dynamic allow lists.
    • Met besturings elementen voor adaptieve toepassingen kunt u toepassingen goed keuren en voor komen dat Rogue gebruikers of beheerders niet-goedgekeurde of hebben software toepassingen op uw Vm's installeren.Adaptive application controls allow you to approve applications, and prevent rogue users or administrators from installing unapproved or vetting software applications on your VMs.
      • U kunt proberen om schadelijke toepassingen uit te voeren, ongewenste of schadelijke toepassingen te blok keren en te voldoen aan het beleid voor toepassings beveiliging van uw organisatie.You can block or alert attempts to run malicious applications, avoid unwanted or malicious applications, and ensure compliance with your organization's application security policy.
  • Bestands integriteit controleren.File Integrity Monitoring. Zorg voor de integriteit van bestanden die op VM's worden uitgevoerd.Ensure the integrity of files running on VMs.
    • U hoeft geen software te installeren om VM-problemen te veroorzaken.You don't need to install software to cause VM issues. Wanneer een systeembestand wordt gewijzigd, kan dit er ook toe leiden dat een VM niet (goed) werkt of de prestaties verslechteren.Changing a system file can also cause VM failure or performance degradation. Met controle van bestands integriteit worden systeem bestanden en register instellingen gecontroleerd op wijzigingen en wordt u gewaarschuwd als er iets wordt bijgewerkt.File Integrity Monitoring examines system files and registry settings for changes, and notifies you if something is updated.
    • Door Security Center wordt aanbevolen welke bestanden u moet controleren.Security Center recommends which files you should monitor.

Meer informatie:Learn more:

Best practice: gegevens versleutelenBest practice: Encrypt data

Versleuteling is een belangrijk onderdeel van beveiligingsmethoden in Azure.Encryption is an important part of Azure security practices. Wanneer versleuteling wordt toegepast op alle niveaus, wordt voorkomen dat onbevoegden toegang krijgen tot gevoelige gegevens, waaronder gegevens die worden verplaatst en gegevens die zijn opgeslagen.Ensuring that encryption is enabled at all levels helps prevent unauthorized parties from gaining access to sensitive data, including data in transit and at rest.

Versleuteling voor de infra structuur als een service (IaaS)Encryption for infrastructure as a service (IaaS)

  • Virtuele machines: Voor virtuele machines kunt u Azure Disk Encryption gebruiken voor het versleutelen van uw virtuele Windows-en Linux IaaS-VM-schijven.Virtual machines: For VMs, you can use Azure Disk Encryption to encrypt your Windows and Linux IaaS VM disks.
    • Azure Disk Encryption gebruikt BitLocker voor Windows en dm-crypt voor Linux om volume versleuteling voor het besturings systeem en de gegevens schijven te bieden.Azure Disk Encryption uses BitLocker for Windows, and dm-crypt for Linux, to provide volume encryption for the operating system and data disks.
    • U kunt een versleutelingssleutel gebruiken die door Azure is gemaakt, maar u kunt ook uw eigen versleutelingssleutels opgeven die in Azure Key Vault worden bewaard.You can use an encryption key created by Azure, or you can supply your own encryption keys, safeguarded in Azure Key Vault.
    • Met Azure Disk Encryption worden IaaS VM-gegevens beveiligd in rust (op de schijf) en tijdens het opstarten van de virtuele machine.With Azure Disk Encryption, IaaS VM data is secured at rest (on the disk) and during VM boot.
      • U wordt door Azure Security Center gewaarschuwd als u over VM's beschikt die niet zijn versleuteld.Azure Security Center alerts you if you have VMs that aren't encrypted.
  • Opslag: Beveilig op rest gegevens die zijn opgeslagen in Azure Storage.Storage: Protect at-rest data stored in Azure Storage.
    • Gegevens die zijn opgeslagen in Azure Storage accounts kunnen worden versleuteld met door micro soft gegenereerde AES-sleutels die FIPS 140-2-compatibel zijn, of u kunt uw eigen sleutels gebruiken.Data stored in Azure Storage accounts can be encrypted by using Microsoft-generated AES keys that are FIPS 140-2 compliant, or you can use your own keys.
    • Azure Storage versleuteling is ingeschakeld voor alle nieuwe en bestaande opslag accounts en kan niet worden uitgeschakeld.Azure Storage encryption is enabled for all new and existing storage accounts, and it can't be disabled.

Versleuteling voor platform as a Service (PaaS)Encryption for platform as a service (PaaS)

In tegens telling tot IaaS, waarbij u uw eigen Vm's en infra structuur beheert, wordt het platform en de infra structuur van een PaaS-model beheerd door de provider.Unlike IaaS, in which you manage your own VMs and infrastructure, in a PaaS model platform and infrastructure is managed by the provider. U kunt zich richten op de logica en mogelijkheden van de kern toepassing.You can focus on core application logic and capabilities. Er zijn veel verschillende soorten PaaS-services en elke service wordt afzonderlijk geëvalueerd voor beveiligingsdoeleinden.With so many different types of PaaS services, each service is evaluated individually for security purposes. Als voor beeld ziet u hoe u versleuteling kunt inschakelen voor Azure SQL Database.As an example, let's see how you might enable encryption for Azure SQL Database.

  • Always Encrypted: Gebruik de wizard Always Encrypted in SQL Server Management Studio om gegevens op rest te beveiligen.Always Encrypted: Use the Always Encrypted wizard in SQL Server Management Studio to protect data at rest.
    • U maakt een Always Encrypted sleutel om afzonderlijke kolom gegevens te versleutelen.You create an Always Encrypted key to encrypt individual column data.
    • Always Encrypted-sleutels kunnen versleuteld worden opgeslagen in databasemetagegevens of worden opgeslagen in vertrouwde opslagplaatsen voor sleutels, zoals Azure Key Vault.Always Encrypted keys can be stored as encrypted in database metadata, or stored in trusted key stores such as Azure Key Vault.
    • Als u deze functie waarschijnlijk wilt gebruiken, moet u de toepassings wijzigingen aanbrengen.Most likely, to use this feature, you'll need to make application changes.
  • Transparent Data Encryption (TDE): Beveilig de Azure SQL Database met realtime versleuteling en ontsleuteling van de data base, gekoppelde back-ups en transactie logboek bestanden in rust.Transparent data encryption (TDE): Protect the Azure SQL Database with real-time encryption and decryption of the database, associated backups, and transaction log files at rest.
    • TDE maakt het mogelijk dat versleutelings activiteiten zonder wijzigingen worden uitgevoerd op de toepassingslaag.TDE allows encryption activities to take place without changes at the application layer.
    • TDE kunnen versleutelings sleutels van micro soft gebruiken, of u kunt uw eigen sleutel meenemen.TDE can use encryption keys provided by Microsoft, or you can bring your own key.

Meer informatie:Learn more:

Aanbevolen procedure: Vm's beveiligen met antimalwareBest practice: Protect VMs with antimalware

Met name oudere virtuele Azure-migreerden mogelijk niet het juiste niveau van antimalware geïnstalleerd.In particular, older Azure-migrated VMs might not have the appropriate level of antimalware installed. Azure biedt een gratis eindpuntoplossing waarmee VM's worden beveiligd tegen virussen, spyware en andere malware.Azure provides a free endpoint solution that helps protect VMs from viruses, spyware, and other malware.

  • Micro soft antimalware voor Azure Cloud Services en virtuele machines genereert waarschuwingen wanneer bekende of ongewenste software zichzelf probeert te installeren.Microsoft Antimalware for Azure Cloud Services and virtual machines generates alerts when known malicious or unwanted software tries to install itself.

  • Het is een oplossing voor één agent die op de achtergrond wordt uitgevoerd zonder menselijke tussen komst.It's a single agent solution that runs in the background, without human intervention.

  • In Azure Security Center kunt u eenvoudig Vm's identificeren waarvoor geen Endpoint Protection wordt uitgevoerd en vervolgens micro soft-anti-malware installeren als dat nodig is.In Azure Security Center, you can easily identify VMs that don't have endpoint protection running, and install Microsoft antimalware as needed.

    Scherm opname van antimalware voor Vm's. Afbeelding 1: antimalware voor vm's.Screenshot of Antimalware for VMs. Figure 1: Antimalware for VMs.

Meer informatie:Learn more:

Aanbevolen procedure: Web-apps beveiligenBest practice: Secure web apps

Bij gemigreerde web-apps kunnen zich een aantal problemen voordoen:Migrated web apps face a couple of issues:

  • De meeste verouderde webtoepassingen bevatten vaak gevoelige informatie in de configuratiebestanden.Most legacy web applications tend to have sensitive information inside configuration files. Bestanden die dergelijke informatie bevatten, kunnen beveiligings problemen presen teren bij het maken van een back-up van toepassingen of wanneer toepassings code is ingecheckt of uit broncode beheer bestaat.Files containing such information can present security issues when applications are backed up, or when application code is checked into or out of source control.
  • Wanneer u web-apps in een virtuele machine migreert, wordt deze machine waarschijnlijk verplaatst van een on-premises netwerk en firewall beveiligde omgeving naar een omgeving die gericht is op internet.When you migrate web apps residing in a VM, you're likely moving that machine from an on-premises network and firewall-protected environment, to an environment facing the internet. Zorg ervoor dat u een oplossing instelt die hetzelfde realiseert als uw on-premises beveiligingsresources.Make sure that you set up a solution that does the same work as your on-premises protection resources.

Azure biedt de volgende oplossingen:Azure provides the following solutions:

  • Azure Key Vault: Tegenwoordig voeren web app-ontwikkel aars stappen uit om ervoor te zorgen dat gevoelige informatie niet wordt gelekt van deze bestanden.Azure Key Vault: Today, web app developers are taking steps to ensure that sensitive information isn't leaked from these files. Een methode om gegevens te beveiligen, is door deze uit bestanden te halen en in een instantie van Azure Key Vault te plaatsen.One method to secure information is to extract it from files and put it into an Azure Key Vault.

    • U kunt Key Vault gebruiken om de opslag van toepassings geheimen te centraliseren en de distributie te beheren.You can use Key Vault to centralize storage of application secrets, and control their distribution. Zo voor komt u dat beveiligings gegevens worden opgeslagen in toepassings bestanden.It avoids the need to store security information in application files.
    • Toepassingen hebben veilig toegang tot informatie in de kluis door gebruik te maken van Uri's, zonder aangepaste code te hoeven gebruiken.Applications can securely access information in the vault by using URIs, without needing custom code.
    • Met Azure Key Vault kunt u de toegang vergren delen via de beveiligings controles van Azure en kunt u de Rolling sleutels naadloos implementeren.Azure Key Vault allows you to lock down access via Azure security controls, and to seamlessly implement rolling keys. Micro soft kan uw gegevens niet zien of extra heren.Microsoft doesn't see or extract your data.
  • App service Environment voor Power-apps: Als voor een toepassing die u migreert extra beveiliging nodig is, kunt u App Service Environment en Web Application firewall toevoegen om de toepassings bronnen te beveiligen.App Service Environment for Power Apps: If an application that you migrate needs extra protection, consider adding App Service Environment and Web Application Firewall to protect the application resources.

    • App Service Environment biedt een volledig geïsoleerde en toegewezen omgeving voor het uitvoeren van toepassingen, zoals Windows-en Linux-web-apps, docker-containers, mobiele apps en functie-apps.App Service Environment provides a fully isolated and dedicated environment for running applications, such as Windows and Linux web apps, Docker containers, mobile apps, and function apps.
    • Het is handig voor toepassingen die zeer hoog worden geschaald, die isolatie en beveiligde netwerk toegang vereisen of een hoog geheugen gebruik hebben.It's useful for applications that are very high scale, require isolation and secure network access, or have high memory utilization.
  • Web Application firewall: Dit is een functie van Azure-toepassing gateway die gecentraliseerde beveiliging biedt voor web-apps.Web Application Firewall: This is a feature of Azure Application Gateway that provides centralized protection for web apps.

    • Hiermee worden web-apps beveiligd zonder dat er wijzigingen in de back-endcode hoeft te worden aangebracht.It protects web apps without requiring back-end code modifications.
    • Het beschermt meerdere web-apps op hetzelfde moment, achter Application Gateway.It protects multiple web apps at the same time, behind Application Gateway.
    • U kunt Web Application firewall bewaken met behulp van Azure Monitor.You can monitor Web Application Firewall by using Azure Monitor. Web Application firewall is geïntegreerd in Azure Security Center.Web Application Firewall is integrated into Azure Security Center.

    Diagram van Azure Key Vault en beveiligde web-apps. Afbeelding 2: Azure Key Vault.Diagram of Azure Key Vault and secure web apps. Figure 2: Azure Key Vault.

Meer informatie:Learn more:

Aanbevolen procedure: abonnementen controleren en machtigingen voor bronnenBest practice: Review subscriptions and resource permissions

Wanneer u uw workloads migreert en uitvoert in Azure, kunnen medewerkers die toegang hebben tot de workloads van locatie veranderen.As you migrate your workloads and run them in Azure, staff with workload access move around. Uw beveiligingsteam moet regelmatig de toegang tot uw Azure-tenant en resourcegroepen controleren.Your security team should review access to your Azure tenant and resource groups on a regular basis. Azure biedt beveiligingsmogelijkheden door middel van identiteits- en toegangsbeheer, zoals op rollen gebaseerd toegangsbeheer (RBAC) waarmee rechten worden toegekend voor toegang tot Azure-resources.Azure has offerings for identity management and access control security, including role-based access control (RBAC) to authorize permissions to access Azure resources.

  • Met RBAC worden toegangsrechten toegewezen voor beveiligingsprincipals.RBAC assigns access permissions for security principals. Beveiligings-principals vertegenwoordigen gebruikers, groepen (een verzameling gebruikers), service-principals (identiteit die wordt gebruikt door toepassingen en Services) en beheerde identiteiten (een Azure Active Directory identiteit die automatisch door Azure wordt beheerd).Security principals represent users, groups (a set of users), service principals (identity used by applications and services), and managed identities (an Azure Active Directory identity automatically managed by Azure).
  • RBAC kan rollen toewijzen aan beveiligings-principals, zoals eigenaar, Inzender en lezer, en roldefinities (een verzameling machtigingen) waarmee de bewerkingen worden gedefinieerd die door de rollen kunnen worden uitgevoerd.RBAC can assign roles to security principals, such as owner, contributor and reader, and role definitions (a collection of permissions) that define the operations that can be performed by the roles.
  • Met RBAC kunnen ook bereiken worden ingesteld die de grenzen voor een rol aangeven.RBAC can also set scopes that set the boundary for a role. Het bereik kan op verschillende niveaus worden ingesteld, zoals een beheergroep, abonnement, resourcegroep of resource.Scope can be set at several levels, including a management group, subscription, resource group, or resource.
  • Zorg ervoor dat beheerders met Azure Access alleen toegang hebben tot resources die u wilt toestaan.Ensure that admins with Azure access can access only resources that you want to allow. Als de vooraf gedefinieerde rollen in Azure niet gedetailleerd genoeg zijn, kunt u aangepaste rollen maken om de toegangsrechten te scheiden en te beperken.If the predefined roles in Azure aren't granular enough, you can create custom roles to separate and limit access permissions.

Zorg ervoor dat beheerders met Azure Access alleen toegang hebben tot resources die u wilt toestaan.Ensure that admins with Azure access can access only resources that you want to allow. Als de vooraf gedefinieerde rollen in Azure niet gedetailleerd genoeg zijn, kunt u aangepaste rollen maken om de toegangsrechten te scheiden en te beperken.If the predefined roles in Azure aren't granular enough, you can create custom roles to separate and limit access permissions.

Scherm afbeelding van toegangs beheer.Screenshot of Access control. Afbeelding 3: toegangs beheer.Figure 3: Access control.

Meer informatie:Learn more:

Aanbevolen procedure: controle-en beveiligings logboeken controlerenBest practice: Review audit and security logs

Azure Active Directory (Azure AD) biedt activiteitenlogboeken die in Azure Monitor worden weergegeven.Azure Active Directory (Azure AD) provides activity logs that appear in Azure Monitor. In de logboeken wordt vastgelegd welke bewerkingen zijn uitgevoerd in Azure-tenants, wanneer deze zijn uitgevoerd en wie deze heeft uitgevoerd.The logs capture the operations performed in Azure tenancy, when they occurred, and who performed them.

  • In auditlogboeken wordt de geschiedenis van taken in de tenant weergegeven.Audit logs show the history of tasks in the tenant. In logboeken met aanmeldingsactiviteiten wordt weergegeven wie de taken heeft uitgevoerd.Sign-in activity logs show who carried out the tasks.

  • De toegang tot beveiligingsrapporten is afhankelijk van uw Azure AD-licentie.Access to security reports depends on your Azure AD license. Met de gratis en basis licenties krijgt u een lijst met Risk ante gebruikers en aanmeldingen. Met de Premium-licenties krijgt u informatie over de onderliggende gebeurtenis.With the free and basic licenses, you get a list of risky users and sign-ins. With the premium licenses, you get underlying event information.

  • U kunt activiteitenlogboeken doorsturen naar verschillende eindpunten voor langetermijnretentie en gegevensinzichten.You can route activity logs to various endpoints for long-term retention and data insights.

  • Maak het een gemeen schappelijke gewoonte om de logboeken te bekijken of Integreer uw SIEM-hulpprogram ma's (Security Information and Event Management) om afwijkingen automatisch te controleren.Make it a common practice to review the logs, or integrate your security information and event management (SIEM) tools to automatically review abnormalities. Als u geen Premium-licentie gebruikt, moet u zelf een groot aantal analyses uitvoeren, of met behulp van uw SIEM-systeem.If you're not using a premium license, you'll need to do a lot of analysis yourself, or by using your SIEM system. In de analyses wordt onder andere gezocht naar risicovolle aanmeldingen en gebeurtenissen, en andere patronen van gebruikersaanvallen.Analysis includes looking for risky sign-ins and events, and other user attack patterns.

    Scherm opname van Azure AD-gebruikers en-groepen. Afbeelding 4: Azure AD-gebruikers en-groepen.Screenshot of Azure AD Users and groups. Figure 4: Azure AD users and groups.

Meer informatie:Learn more:

Aanbevolen procedure: andere beveiligings functies evaluerenBest practice: Evaluate other security features

Azure biedt andere beveiligingsfuncties met geavanceerde beveiligingsopties.Azure provides other security features that provide advanced security options. Houd er rekening mee dat voor een aantal van de volgende aanbevolen procedures extra licenties en Premium-opties zijn vereist.Note that some of the following best practices require add-on licenses and premium options.

  • Azure AD-beheereenheden implementeren.Implement Azure AD administrative units (AU). Het delegeren van beheertaken aan ondersteuningsmedewerkers kan lastig zijn met alleen het standaardtoegangsbeheer van Azure.Delegating administrative duties to support staff can be tricky with just basic Azure access control. Het verlenen van toegang aan ondersteuningsmedewerkers om alle groepen in Azure AD te beheren, is waarschijnlijk niet de ideale methode voor de beveiliging van de organisatie.Giving support staff access to administer all the groups in Azure AD might not be the ideal approach for organizational security. Met beheereenheden kunt u Azure-resources van elkaar scheiden in containers op een vergelijkbare manier als met on-premises organisatie-eenheden.Using AU allows you to segregate Azure resources into containers in a similar way to on-premises organizational units (OU). Als u AU wilt gebruiken, moet de AU-beheerder een Premium Azure AD-licentie hebben.To use AU, the AU admin must have a premium Azure AD license. Zie beheer eenheden beheren in azure Active Directoryvoor meer informatie.For more information, see Administrative units management in Azure Active Directory.
  • Multi-factor Authentication gebruiken.Use multi-factor authentication. Als u over een Premium-licentie voor Azure AD beschikt, kunt u meervoudige verificatie inschakelen en afdwingen voor uw beheerdersaccounts.If you have a premium Azure AD license, you can enable and enforce multi-factor authentication on your admin accounts. Phishing is de meest voorkomende manier waarop inbreuk wordt gemaakt op inloggegevens voor accounts.Phishing is the most common way that accounts credentials are compromised. Wanneer een ongeldige actor referenties voor het beheerders account heeft, wordt het niet meer gestopt om de acties te stoppen, zoals het verwijderen van al uw resource groepen.When a bad actor has admin account credentials, there's no stopping them from far-reaching actions, such as deleting all of your resource groups. U kunt op verschillende manieren meervoudige verificatie instellen, bijvoorbeeld met e-mail of door middel van een verificatie-app en tekstberichten via telefoon.You can establish multi-factor authentication in several ways, including with email, an authenticator app, and phone text messages. Als beheerder kunt u voor de minst hinderlijke optie kiezen.As an administrator, you can select the least intrusive option. Multi-factor Authentication integreert met Threat Analytics en beleid voor voorwaardelijke toegang om een multi-factor Authentication-vraag naar een wille keurige verificatie te vereisen.Multi-factor authentication integrates with threat analytics and conditional access policies to randomly require a multi-factor authentication challenge response. Meer informatie over beveiligingsrichtlijnen en het instellen van meervoudige verificatie.Learn more about security guidance, and how to set up multi-factor authentication.
  • Implementeer voorwaardelijke toegang.Implement conditional access. In de meeste kleine en middel grote organisaties bevinden Azure-beheerders en het ondersteunings team zich waarschijnlijk in één geografie.In most small and medium-sized organizations, Azure admins and the support team are probably located in a single geography. In dit geval zijn de meeste aanmeldingen afkomstig uit dezelfde gebieden.In this case, most sign-ins come from the same areas. Als de IP-adressen van deze locaties tamelijk statisch zijn, is het verstandig om beheerders aanmeldingen van buiten deze gebieden niet te zien.If the IP addresses of these locations are fairly static, it makes sense that you shouldn't see administrator sign-ins from outside these areas. Zelfs als een externe slechte actor de referenties van een beheerder heeft aangetast, kunt u beveiligings functies zoals voorwaardelijke toegang, gecombineerd met multi-factor Authentication, implementeren om te voor komen dat u zich aanmeldt vanaf externe locaties.Even if a remote bad actor compromises an administrator's credentials, you can implement security features like conditional access, combined with multi-factor authentication, to prevent signing in from remote locations. Dit kan ook verhinderen dat vervalste locaties van wille keurige IP-adressen.This can also prevent spoofed locations from random IP addresses. Meer informatie over voorwaardelijke toegang en Aanbevolen procedures voor voorwaardelijke toegang in azure AD.Learn more about conditional access and review best practices for conditional access in Azure AD.
  • Controleer de machtigingen voor bedrijfs toepassingen.Review enterprise application permissions. In de loop van de tijd selecteren beheerders de koppelingen van micro soft en van derden zonder dat ze van invloed zijn op de organisatie.Over time, admins select Microsoft and third-party links without knowing their affect on the organization. Koppelingen kunnen schermen voor toestemming geven waarmee machtigingen worden toegewezen aan Azure-apps.Links can present consent screens that assign permissions to Azure apps. Dit kan ervoor zorgen dat toegang tot Azure AD-gegevens of zelfs volledige toegang tot het hele Azure-abonnement wordt beheerd.This might allow access to read Azure AD data, or even full access to manage your entire Azure subscription. U moet regel matig de toepassingen controleren waartoe uw beheerders en gebruikers toegang hebben tot Azure-resources.You should regularly review the applications to which your admins and users have allowed access to Azure resources. Zorg ervoor dat deze toepassingen alleen de benodigde machtigingen hebben.Ensure that these applications have only the permissions that are necessary. Daarnaast kunt u per kwar taal of per jaar gebruikers e-mailen met een koppeling naar toepassings pagina's, zodat ze op de hoogte zijn van de toepassingen waarvoor ze toegang tot hun bedrijfs gegevens hebben toegestaan.Additionally, quarterly or semi-annually you can email users with a link to application pages, so that they're aware of the applications to which they've allowed access to their organizational data. Zie onverwachte toepassing in de lijst met toepassingenvoor meer informatie en toepassings toewijzingen beheren in azure AD.For more information, see Unexpected application in my applications list, and how to control application assignments in Azure AD.

Beheerde gemigreerde workloadsManaged migrated workloads

In de volgende secties worden enkele aanbevolen procedures voor het beheer van Azure aanbevolen, waaronder:In the following sections, we'll recommend some best practices for Azure management, including:

  • best practices voor Azure-resourcegroepen en -resources, zoals slimme naamgeving, het voorkomen van onopzettelijk verwijderen, het beheren van resourcerechten en het effectief taggen van resources.Best practices for Azure resource groups and resources, including smart naming, preventing accidental deletion, managing resource permissions, and effective resource tagging.
  • bekijk een beknopt overzicht over het gebruik van blauwdrukken voor het maken en beheren van uw implementatieomgevingen.Get a quick overview on using blueprints for building and managing your deployment environments.
  • bekijk voorbeelden van Azure-architecturen waaruit u lering kunt trekken wanneer u implementaties opzet na de migratie.Review sample Azure architectures to learn from as you build your post-migration deployments.
  • als u meerdere abonnementen hebt, kunt u deze in beheergroepen samenbrengen en governance-instellingen op deze groepen toepassen.If you have multiple subscriptions, you can gather them into management groups, and apply governance settings to those groups.
  • pas nalevingsbeleid toe op uw Azure-resources.Apply compliance policies to your Azure resources.
  • stel een BCDR-strategie (Business Continuity and Disaster Recovery) op om uw gegevens veilig, uw omgeving flexibel en resources actief te houden wanneer er een storing optreedt.Put together a business continuity and disaster recovery (BCDR) strategy to keep data safe, your environment resilient, and resources up and running when outages occur.
  • Groepeer VM's in beschikbaarheidsgroepen voor flexibiliteit en hoge beschikbaarheid.Group VMs into availability groups for resilience and high availability. Gebruik Managed Disks voor het gemak van het beheer van VM-schijven en opslag.Use managed disks for ease of VM disk and storage management.
  • schakel logboekregistratie voor diagnostische gegevens in voor Azure-resources, stel waarschuwingen en playbooks samen voor proactieve probleemoplossing en gebruik het Azure-dashboard voor een geheeloverzicht van de implementatiestatus en status.Enable diagnostic logging for Azure resources, build alerts and playbooks for proactive troubleshooting, and use the Azure dashboard for a unified view of your deployment health and status.
  • lees meer over uw Azure-ondersteuningsabonnement en de implementatie hiervan, bekijk de best practices voor het up-to-date houden van VM's en stel processen op voor wijzigingsbeheer.Understand your Azure support plan and how to implement it, get best practices for keeping VMs up-to-date, and put processes in place for change management.

Aanbevolen procedure: resource groepen een naamBest practice: Name resource groups

Zorg ervoor dat de resource groepen zinvolle namen hebben die team leden van beheerders en ondersteuning gemakkelijk kunnen herkennen en scannen.Ensure that your resource groups have meaningful names that admins and support team members can easily recognize and scan. Dit kan drastische productiviteit en efficiëntie verbeteren.This can drastically improve productivity and efficiency.

Als u uw on-premises Active Directory synchroniseert met Azure AD met behulp van Azure AD Connect, kunt u overwegen om de namen van de beveiligings groepen on-premises te vergelijken met de namen van resource groepen in Azure.If you're synchronizing your on-premises Active Directory to Azure AD by using Azure AD Connect, consider matching the names of security groups on-premises to the names of resource groups in Azure.

Scherm opname van de naam van de resource groep.Screenshot of resource group naming. Afbeelding 5: naamgeving van resource groepen.Figure 5: Resource group naming.

Meer informatie:Learn more:

Best practice: Verwijder vergrendelingen voor resource groepen implementerenBest practice: Implement delete locks for resource groups

Het laatste wat u wilt, is dat een resourcegroep ontbreekt omdat deze per ongeluk is verwijderd.The last thing you need is for a resource group to disappear because it was deleted accidentally. We raden u aan om verwijderings vergrendelingen te implementeren, zodat dit niet gebeurt.We recommend that you implement delete locks, so that this doesn't happen.

Scherm opname van Verwijder vergrendelingen.Screenshot of delete locks. Afbeelding 6: vergren delingen verwijderen.Figure 6: Delete locks.

Meer informatie:Learn more:

Best practice: toegangs machtigingen voor resources begrijpenBest practice: Understand resource access permissions

Een abonnementseigenaar heeft toegang tot alle resourcegroepen en resources in uw abonnement.A subscription owner has access to all the resource groups and resources in your subscription.

  • Wees spaarzaam met het toevoegen van personen aan deze waardevolle toewijzing.Add people sparingly to this valuable assignment. Het is belangrijk dat u weet wat de implicaties zijn van dit soort rechten, zodat uw omgeving veilig en stabiel blijft.Understanding the ramifications of these types of permissions is important in keeping your environment secure and stable.
  • Zorg ervoor dat u resources in de juiste resource groepen plaatst:Make sure you place resources in appropriate resource groups:
    • Plaats resources met een vergelijkbare levenscyclus in eenzelfde groep.Match resources with a similar lifecycle together. In het ideale geval zou u geen resource hoeven te verplaatsen wanneer u een hele resourcegroep wilt verwijderen.Ideally, you shouldn't need to move a resource when you need to delete an entire resource group.
    • Resources die een functie of workload ondersteunen, moeten in eenzelfde groep worden geplaatst zodat deze eenvoudiger kunnen worden beheerd.Resources that support a function or workload should be placed together for simplified management.

Meer informatie:Learn more:

Best practice: resources efficiënt labelenBest practice: Tag resources effectively

Vaak biedt het gebruik van alleen een resource groepsnaam met betrekking tot resources niet genoeg meta gegevens voor een doel matige implementatie van mechanismen, zoals interne facturering of beheer binnen een abonnement.Often, using only a resource group name related to resources won't provide enough metadata for effective implementation of mechanisms, such as internal billing or management within a subscription.

  • Gebruik Azure Tags als best practice om handige meta gegevens toe te voegen die kunnen worden opgevraagd en gerapporteerd.As a best practice, use Azure tags to add useful metadata that can be queried and reported on.

  • Tags bieden een manier om resources logisch te ordenen met eigenschappen die u definieert.Tags provide a way to logically organize resources with properties that you define. Tags kunnen rechtstreeks worden toegepast op resourcegroepen of resources.Tags can be applied to resource groups or resources directly.

  • Tags kunnen worden toegepast op een resourcegroep of op afzonderlijke resources.Tags can be applied on a resource group or on individual resources. Resourcegroeptags worden niet overgenomen door de resources in de groep.Resource group tags aren't inherited by the resources in the group.

  • U kunt labels automatiseren met Power shell of Azure Automation, of afzonderlijke groepen en resources labelen.You can automate tagging by using PowerShell or Azure Automation, or tag individual groups and resources.

  • Als u een aanvraag- en wijzigingsbeheersysteem hebt opgezet, kunt u eenvoudig de gegevens in de aanvraag gebruiken om uw bedrijfsspecifieke resourcetags te vullen.If you have a request and change management system in place, then you can easily use the information in the request to populate your company-specific resource tags.

    Scherm afbeelding van labelen. Afbeelding 7: labelen.Screenshot of tagging. Figure 7: Tagging.

Meer informatie:Learn more:

Best practice: schema's implementerenBest practice: Implement blueprints

Net als bij een blauw druk kunnen ingenieurs en architecten de ontwerp parameters van een project schetsen, de service Azure-blauw drukken maakt Cloud architecten en centrale IT-groepen mogelijk om een Herhaal bare set Azure-resources te definiëren.Just as a blueprint allows engineers and architects to sketch a project's design parameters, the Azure Blueprints service enables cloud architects and central IT groups to define a repeatable set of Azure resources. Dit helpt hen bij het implementeren en voldoen aan de normen, patronen en vereisten van een organisatie.This helps them to implement and adhere to an organization's standards, patterns, and requirements. Met behulp van Azure-blauw drukken kunnen ontwikkel teams snel nieuwe omgevingen bouwen en maken die voldoen aan de nalevings vereisten van de organisatie.Using Azure Blueprints, development teams can rapidly build and create new environments that meet organizational compliance requirements. Deze nieuwe omgevingen hebben een aantal ingebouwde onderdelen, zoals netwerken, om de ontwikkeling en levering te versnellen.These new environments have a set of built-in components, such as networking, to speed up development and delivery.

  • Gebruik blauwdrukken om de implementatie van resourcegroepen, Azure Resource Manager-sjablonen en beleids- en roltoewijzingen te organiseren.Use blueprints to orchestrate the deployment of resource groups, Azure Resource Manager templates, and policy and role assignments.
  • Sla blauw drukken op in een wereld wijd gedistribueerde service, Azure Cosmos DB.Store blueprints in a globally distributed service, Azure Cosmos DB. Blauwdrukobjecten worden naar meerdere Azure-regio's gerepliceerd.Blueprint objects are replicated to multiple Azure regions. Replicatie biedt een lage latentie, hoge Beschik baarheid en consistente toegang tot een blauw druk, ongeacht de regio waarop een blauw druk resources implementeert.Replication provides low latency, high availability, and consistent access to a blueprint, regardless of the region to which a blueprint deploys resources.

Meer informatie:Learn more:

Aanbevolen procedure: Azure-referentie architecturen controlerenBest practice: Review Azure reference architectures

Het maken van veilige, schaalbare en beheerbare workloads in Azure kan een lastige klus zijn.Building secure, scalable, and manageable workloads in Azure can be daunting. Met de voortdurende wijzigingen kan het lastig zijn om de ontwikkelingen voor verschillende functies bij te houden voor een optimale omgeving.With continual changes, it can be difficult to keep up with different features for an optimal environment. Een referentiearchitectuur waaruit lering kan worden getrokken, kan nuttig zijn bij het ontwerpen en migreren van uw workloads.Having a reference to learn from can be helpful when designing and migrating your workloads. Azure en Azure-partners hebben verschillende referentiearchitecturen voor diverse soorten omgevingen ontwikkeld die als voorbeeld dienen.Azure and Azure partners have built several sample reference architectures for various types of environments. Met deze voorbeelden kunt u leerzame ideeën opdoen en u kunt ze als uitgangspunt gebruiken.These samples are designed to provide ideas that you can learn from and build on.

Referentiearchitecturen zijn geordend op scenario.Reference architectures are arranged by scenario. Ze bevatten aanbevolen procedures en advies over beheer, Beschik baarheid, schaal baarheid en beveiliging.They contain best practices and advice on management, availability, scalability, and security. App Service Environment biedt een volledig geïsoleerde en toegewezen omgeving voor het uitvoeren van toepassingen, zoals Windows-en Linux-web-apps, docker-containers, mobiele apps en functions.App Service Environment provides a fully isolated and dedicated environment for running applications, such as Windows and Linux web apps, Docker containers, mobile apps, and functions. Met App Service voegt u de mogelijkheden van Microsoft Azure, zoals beveiliging, taakverdeling, automatisch schalen en geautomatiseerd beheer, toe aan uw toepassing.App Service adds the power of Azure to your application, with security, load balancing, autoscaling, and automated management. U kunt ook gebruikmaken van de DevOps-mogelijkheden, zoals continue implementatie van Azure DevOps en GitHub, pakketbeheer, faseringsomgevingen, aangepast domein en SSL-certificaten.You can also take advantage of its DevOps capabilities, such as continuous deployment from Azure DevOps and GitHub, package management, staging environments, custom domain, and SSL certificates. App Service is handig voor toepassingen waarvoor isolatie en veilige toegang tot het netwerk nodig zijn, en die die veel geheugen en andere resources gebruiken die moeten worden geschaald.App Service is useful for applications that need isolation and secure network access, and those that use high amounts of memory and other resources that need to scale.

Meer informatie:Learn more:

Aanbevolen procedure: resources beheren met Azure-beheer groepenBest practice: Manage resources with Azure management groups

Als uw organisatie meerdere abonnementen heeft, moet u de toegang, het beleid en de naleving hiervoor beheren.If your organization has multiple subscriptions, you need to manage access, policies, and compliance for them. Azure-beheergroepen bieden een bereikniveau dat hoger is dan abonnementen.Azure management groups provide a level of scope above subscriptions. Hier vindt u enkele tips:Here are some tips:

  • U kunt abonnementen in containers met de naam beheer groepen organiseren en hiervoor governance-voor waarden Toep assen.You organize subscriptions into containers called management groups, and apply governance conditions to them.
  • Alle abonnementen in een beheergroep nemen automatisch de beheergroepvoorwaarden over.All subscriptions in a management group automatically inherit the management group conditions.
  • Beheer groepen bieden grootschalig beheer op ondernemings niveau, ongeacht het type abonnementen dat u hebt.Management groups provide large-scale, enterprise-grade management, no matter what type of subscriptions you have.
  • U kunt bijvoorbeeld een beheergroepsbeleid toepassen waarmee de regio's worden beperkt waarin VM's kunnen worden gemaakt.For example, you can apply a management group policy that limits the regions in which VMs can be created. Dit beleid wordt vervolgens toegepast op alle beheergroepen, abonnementen en resources die onder die beheergroep vallen.This policy is then applied to all management groups, subscriptions, and resources under that management group.
  • U kunt een flexibele structuur van beheergroepen en abonnementen maken om uw resources in een hiërarchie te ordenen voor een uniform beleid en toegangsbeheer.You can build a flexible structure of management groups and subscriptions, to organize your resources into a hierarchy for unified policy and access management.

Het volgende diagram laat een voorbeeld zien van hoe een hiërarchie voor governance kan worden gemaakt met behulp van beheergroepen.The following diagram shows an example of creating a hierarchy for governance by using management groups.

Diagram van beheer groepen.Diagram of management groups. Afbeelding 8: beheer groepen.Figure 8: Management groups.

Meer informatie:Learn more:

Aanbevolen procedure: Azure Policy implementerenBest practice: Deploy Azure Policy

Azure Policy is een service die u gebruikt om beleidsregels te maken, toe te wijzen en te beheren.Azure Policy is a service that you use to create, assign, and manage policies. Beleids regels afdwingen verschillende regels en effecten ten opzichte van uw resources, zodat deze resources blijven voldoen aan uw bedrijfs normen en service overeenkomsten.Policies enforce different rules and effects over your resources, so those resources stay compliant with your corporate standards and service-level agreements.

Azure Policy evalueert uw resources en scant op resources die niet voldoen aan de beleidsregels.Azure Policy evaluates your resources, scanning for those not compliant with your policies. U kunt bijvoorbeeld een beleid maken waarmee alleen een specifieke SKU-grootte voor Vm's in uw omgeving wordt toegestaan.For example, you can create a policy that allows only a specific SKU size for VMs in your environment. Azure Policy wordt deze instelling geëvalueerd wanneer u resources maakt en bijwerkt en wanneer u bestaande resources scant.Azure Policy will evaluate this setting when you create and update resources, and when scanning existing resources. Houd er rekening mee dat Azure een aantal ingebouwde beleids regels biedt die u kunt toewijzen, of u kunt uw eigen beleid maken.Note that Azure provides some built-in policies that you can assign, or you can create your own.

Scherm opname van Azure Policy.Screenshot of Azure Policy. Afbeelding 9: Azure Policy.Figure 9: Azure Policy.

Meer informatie:Learn more:

Aanbevolen procedure: een BCDR-strategie implementerenBest practice: Implement a BCDR strategy

Planning voor bedrijfs continuïteit en herstel na nood gevallen (BCDR) is een belang rijke oefening die u moet uitvoeren als onderdeel van uw Azure-migratie plannings proces.Planning for business continuity and disaster recovery (BCDR) is a critical exercise that you should complete as part of your Azure migration planning process. In juridische voor waarden kunnen uw contracten een clausule van overmacht bevatten die excuses verplichtingen veroorzaakt door een grotere kracht, zoals orkanen of aard bevingen.In legal terms, your contracts might include a force majeure clause that excuses obligations due to a greater force, such as hurricanes or earthquakes. Maar u hebt ook verplichtingen om ervoor te zorgen dat de services blijven worden uitgevoerd en wanneer dat nodig is, wanneer dit nood zakelijk is.But you also have obligations around your ability to ensure that services will continue to run, and recover where necessary, when disaster strikes. Uw vermogen om services in alle omstandigheden uit te voeren, kan het verschil tussen succes en mislukking betekenen voor uw bedrijf.Your ability to do this can make or break your company's future.

In uw BCDR-strategie moet rekening worden gehouden met het volgende:Broadly, your BCDR strategy must consider:

  • Gegevens back-up: Uw gegevens veilig houden zodat u deze eenvoudig kunt herstellen als er storingen optreden.Data backup: How to keep your data safe so that you can recover it easily if outages occur.
  • Herstel na nood geval: Hoe u uw toepassingen flexibel en beschikbaar kunt houden als er storingen optreden.Disaster recovery: How to keep your applications resilient and available if outages occur.

BCDR instellenSet up BCDR

Wanneer u migreert naar Azure, moet u er rekening mee houden dat hoewel het Azure-platform een aantal ingebouwde tolerantie mogelijkheden biedt, u uw Azure-implementatie wilt ontwerpen om ze te kunnen gebruiken.When migrating to Azure, understand that although the Azure platform provides some built-in resiliency capabilities, you need to design your Azure deployment to take advantage of them.

  • Uw BCDR-oplossing is afhankelijk van de doel stellingen van uw bedrijf en wordt beïnvloed door uw Azure-implementatie strategie.Your BCDR solution will depend on your company objectives, and is influenced by your Azure deployment strategy. IaaS- (Infrastructure as a Service) en PaaS-implementaties (Platform as a Service) bieden verschillende uitdagingen voor BCDR.Infrastructure as a service (IaaS) and platform as a service (PaaS) deployments present different challenges for BCDR.
  • Nadat ze zijn geïmplementeerd, moeten uw BCDR-oplossingen regel matig worden getest om te controleren of uw strategie levensvatbaar blijft.After they are in place, your BCDR solutions should be tested regularly to check that your strategy remains viable.

Back-up maken van een IaaS-implementatieBack up an IaaS deployment

In de meeste gevallen wordt een on-premises workload buiten gebruik gesteld na de migratie en moet uw on-premises strategie voor het maken van back-ups van gegevens worden uitgebreid of vervangen.In most cases, an on-premises workload is retired after migration, and your on-premises strategy for backing up data must be extended or replaced. Als u uw hele Data Center naar Azure migreert, moet u een volledige back-upoplossing ontwerpen en implementeren met behulp van Azure-technologieën of geïntegreerde oplossingen van derden.If you migrate your entire datacenter to Azure, you'll need to design and implement a full backup solution by using Azure technologies, or third-party integrated solutions.

Voor workloads die op Azure IaaS-VM's worden uitgevoerd, kunt u de volgende back-upoplossingen gebruiken:For workloads running on Azure IaaS VMs, consider these backup solutions:

  • Azure Backup: Biedt toepassings consistente back-ups voor Azure Windows-en Linux-Vm's.Azure Backup: Provides application-consistent backups for Azure Windows and Linux VMs.
  • Opslag momentopnamen: Maakt moment opnamen van Blob Storage.Storage snapshots: Takes snapshots of Blob storage.

Azure BackupAzure Backup

Azure Backup maakt gegevens herstel punten die zijn opgeslagen in Azure Storage.Azure Backup creates data recovery points that are stored in Azure Storage. Met Azure Backup kunnen back-ups worden gemaakt van schijven voor Azure-VM's en Azure Files (preview-versie).Azure Backup can back up Azure VM disks, and Azure Files (preview). Azure Files bestands shares op te geven in de Cloud, toegankelijk via Server Message Block (SMB).Azure Files provide file shares in the cloud, accessible via Server Message Block (SMB).

U kunt Azure Backup gebruiken om een back-up te maken van virtuele machines op de volgende manieren:You can use Azure Backup to back up VMs in the following ways:

  • Maak rechtstreeks vanuit de VM-instellingen een back-up.Direct backup from VM settings. U kunt met Azure Backup rechtstreeks vanuit de VM-opties in Azure Portal een back-up maken van VM's.You can back up VMs with Azure Backup directly from the VM options in the Azure portal. U kunt eenmaal per dag een back-up maken van de VM en u kunt de VM-schijf naar behoefte herstellen.You can back up the VM once per day, and you can restore the VM disk as needed. Azure Backup moment opnamen van toepassings bewuste gegevens maakt en er geen agent is geïnstalleerd op de VM.Azure Backup takes application-aware data snapshots, and no agent is installed on the VM.
  • Maak rechtstreeks een back-up in een Recovery Services kluis.Direct backup in a Recovery Services vault. U kunt een back-up maken van uw IaaS-VM's door een Azure Backup Recovery Services-kluis te implementeren.You can back up your IaaS VMs by deploying an Azure Backup Recovery Services vault. Dit biedt één locatie voor het bijhouden en beheren van back-ups, evenals gedetailleerde opties voor back-up en herstel.This provides a single location to track and manage backups, as well as granular backup and restore options. De back-up is Maxi maal drie keer per dag, op het niveau van bestanden en mappen.Backup is up to three times a day, at the file and folder levels. Het is niet toepassings bewust en Linux wordt niet ondersteund.It isn't application-aware, and Linux isn't supported. Installeer de Microsoft Azure Recovery Services-agent (MARS) op elke virtuele machine waarvan u een back-up wilt maken met behulp van deze methode.Install the Microsoft Azure recovery services (MARS) agent on each VM that you want to back up by using this method.
  • Beveilig de virtuele machine met Azure Backup-Server.Protect the VM to Azure Backup server. Azure Backup Server gratis wordt meegeleverd met Azure Backup.Azure Backup server is provided free with Azure Backup. Er wordt een back-up gemaakt van de virtuele machine naar de lokale Azure Backup Server-opslag.The VM is backed up to local Azure Backup server storage. Vervolgens maakt u een back-up van de Azure Backup-Server naar Azure in een kluis.You then back up the Azure Backup server to Azure in a vault. Backup is toepassings bewust, met volledige granulatie over de back-upfrequentie en retentie.Backup is application-aware, with full granularity over backup frequency and retention. U kunt een back-up maken op het niveau van de toepassing, bijvoorbeeld door een back-up te maken van SQL Server of share point.You can back up at the application level, for example by backing up SQL Server or SharePoint.

Voor de beveiliging worden Azure Backup gegevens in de vlucht versleuteld met behulp van AES-256.For security, Azure Backup encrypts data in-flight by using AES-256. Het verzendt de service via HTTPS naar Azure.It sends it over HTTPS to Azure. Back-ups van gegevens die in Azure worden opgeslagen, worden versleuteld met behulp van Azure Storage versleuteling.Backed-up data-at-rest in Azure is encrypted by using Azure Storage encryption.

Scherm opname van Azure Backup. Afbeelding 10: Azure backup.Screenshot of Azure Backup. Figure 10: Azure Backup.

Meer informatie:Learn more:

Momentopnamen van opslagStorage snapshots

Azure VM's worden in Azure Storage opgeslagen als pagina-blobs.Azure VMs are stored as page blobs in Azure Storage. Met momentopnamen wordt de blobstatus op een specifiek moment vastgelegd.Snapshots capture the blob state at a specific point in time. Als alternatieve back-upmethode voor schijven van Azure VM's kunt u een momentopname van opslagblobs maken en deze naar een ander opslagaccount kopiëren.As an alternative backup method for Azure VM disks, you can take a snapshot of storage blobs and copy them to another storage account.

U kunt een hele blob kopiëren of een incrementele momentopnamekopie gebruiken om alleen deltawijzigingen te kopiëren en de opslagruimte te verminderen.You can copy an entire blob, or use an incremental snapshot copy to copy only delta changes and reduce storage space. Als extra voorzorgsmaatregel kunt u de optie voor het voorlopig verwijderen van Blob Storage-accounts inschakelen.As an extra precaution, you can enable soft delete for Blob storage accounts. Als deze functie is ingeschakeld, wordt een verwijderde BLOB gemarkeerd voor verwijdering, maar niet onmiddellijk verwijderd.With this feature enabled, a blob that's deleted is marked for deletion, but not immediately purged. Tijdens de tijdelijke periode kunt u de BLOB herstellen.During the interim period, you can restore the blob.

Meer informatie:Learn more:

Back-up van derdenThird-party backup

Daarnaast kunt u oplossingen van derden gebruiken om in de lokale opslag of andere cloudproviders back-ups te maken van Azure VM's en opslagcontainers.In addition, you can use third-party solutions to back up Azure VMs and storage containers to local storage or other cloud providers. Zie back-upoplossingen in azure Marketplacevoor meer informatie.For more information, see Backup solutions in Azure Marketplace.

Herstel na nood geval instellen voor IaaS-toepassingenSet up disaster recovery for IaaS applications

Naast het beveiligen van gegevens moet BCDR-planning overwegen hoe u toepassingen en werk belastingen beschikbaar houdt als er sprake is van een nood geval.In addition to protecting data, BCDR planning must consider how to keep applications and workloads available if a disaster occurs. Voor workloads die worden uitgevoerd op Azure IaaS Vm's en Azure Storage, moet u rekening houden met de oplossingen in de volgende secties.For workloads that run on Azure IaaS VMs and Azure Storage, consider the solutions in the following sections.

Azure Site RecoveryAzure Site Recovery

Azure Site Recovery is de primaire Azure-service om ervoor te zorgen dat Azure-Vm's online kunnen worden gebracht en VM-toepassingen beschikbaar worden gemaakt wanneer er storingen optreden.Azure Site Recovery is the primary Azure service for ensuring that Azure VMs can be brought online, and VM applications made available, when outages occur.

Site Recovery Vm's van een primaire naar een secundaire Azure-regio worden gerepliceerd.Site Recovery replicates VMs from a primary to a secondary Azure region. Als er een ramp optreedt, mislukken de Vm's van de primaire regio en kunt u ze blijven gebruiken als normaal in de secundaire regio.If disaster strikes, you fail VMs over from the primary region, and continue accessing them as normal in the secondary region. Wanneer alles weer in de normale staat is hersteld, kunt u een failback uitvoeren naar de primaire regio.When operations return to normal, you can fail back VMs to the primary region.

Diagram van Azure Site Recovery.Diagram of Azure Site Recovery. Afbeelding 11: Site Recovery.Figure 11: Site Recovery.

Meer informatie:Learn more:

Aanbevolen procedure: beheerde schijven en beschikbaarheids sets gebruikenBest practice: Use managed disks and availability sets

Azure gebruikt beschikbaarheidssets om VM's logisch te groeperen en VM's in een set te isoleren van andere resources.Azure uses availability sets to logically group VMs together, and to isolate VMs in a set from other resources. Vm's in een beschikbaarheidsset worden verdeeld over meerdere fout domeinen met afzonderlijke subsystemen, die bescherming bieden tegen lokale storingen.VMs in an availability set are spread across multiple fault domains with separate subsystems, which protects against local failures. De virtuele machines worden ook verspreid over meerdere update domeinen, voor komen dat alle virtuele machines in de set gelijktijdig opnieuw worden opgestart.The VMs are also spread across multiple update domains, preventing a simultaneous reboot of all VMs in the set.

Met Azure Managed disks wordt schijf beheer voor Azure Virtual Machines vereenvoudigd door de opslag accounts te beheren die zijn gekoppeld aan de VM-schijven.Azure managed disks simplify disk management for Azure Virtual Machines by managing the storage accounts associated with the VM disks.

  • Gebruik Managed disks waar mogelijk.Use managed disks wherever possible. U hoeft alleen het type opslag op te geven dat u wilt gebruiken en de grootte van de schijf die u nodig hebt, en Azure maakt en beheert de schijf voor u.You only have to specify the type of storage you want to use and the size of disk you need, and Azure creates and manages the disk for you.

  • U kunt bestaande schijven converteren naar Managed disks.You can convert existing disks to managed disks.

  • U kunt het beste VM's in beschikbaarheidssets maken zodat u over meer flexibiliteit en een hoge beschikbaarheid beschikt.You should create VMs in availability sets for high resilience and availability. Wanneer geplande of ongeplande storingen optreden, zorgt u ervoor dat er ten minste één virtuele machine in de set beschikbaar blijft.When planned or unplanned outages occur, availability sets ensure that at least one VM in the set remains available.

    Diagram van Managed disks. Afbeelding 12: Managed disks.Diagram of managed disks. Figure 12: Managed disks.

Meer informatie:Learn more:

Best practice: het gebruik en de prestaties van resources bewakenBest practice: Monitor resource usage and performance

Mogelijk hebt u de workloads naar Azure verplaatst vanwege de enorme schaalmogelijkheden.You might have moved your workloads to Azure for its immense scaling capabilities. Het verplaatsen van uw werk belasting betekent echter niet dat Azure automatisch schalen implementeert zonder uw invoer.But moving your workload doesn't mean that Azure will automatically implement scaling without your input. Hier volgen twee voorbeelden:Here are two examples:

  • Als uw marketing organisatie een nieuwe televisie-aankondiging pusht die 300 procent meer verkeer stuurt, kan dit leiden tot problemen met de site-Beschik baarheid.If your marketing organization pushes a new television advertisement that drives 300 percent more traffic, this might cause site availability issues. De zojuist gemigreerde werk belasting kan wijzen op toegewezen limieten en crashes.Your newly migrated workload might hit assigned limits, and crash.
  • Als er sprake is van een gedistribueerde Denial-of-service-aanval (DDoS) op uw gemigreerde werk belasting, kunt u in dit geval niet schalen.If there's a distributed denial-of-service (DDoS) attack on your migrated workload, in this case you don't want to scale. U wilt voor komen dat de bron van de aanvallen uw resources bereiken.You want to prevent the source of the attacks from reaching your resources.

Deze twee gevallen hebben verschillende resoluties, maar voor zowel u moet inzicht hebben in wat er gebeurt met de bewaking van gebruik en prestaties.These two cases have different resolutions, but for both you need insight into what's happening with usage and performance monitoring.

  • Met Azure Monitor kunt u deze metrische gegevens weer geven en reageren op waarschuwingen, automatisch schalen, Event Hubs en Logic Apps.Azure Monitor can help surface these metrics, and provide response with alerts, autoscaling, Event Hubs, and Logic Apps.

  • U kunt ook uw SIEM-toepassing van derden integreren om de Azure-logboeken te controleren op controle-en prestatie gebeurtenissen.You can also integrate your third-party SIEM application to monitor the Azure logs for auditing and performance events.

    Scherm opname van Azure Monitor. Afbeelding 13: Azure monitor.Screenshot of Azure Monitor. Figure 13: Azure Monitor.

Meer informatie:Learn more:

Aanbevolen procedure: diagnostische logboek registratie inschakelenBest practice: Enable diagnostic logging

Azure-resources genereren een behoorlijk aantal metrische gegevens voor de logboekregistratie en telemetriegegevens.Azure resources generate a fair number of logging metrics and telemetry data. Standaard is registratie in het diagnoselogboek voor de meeste resourcetypen niet ingeschakeld.By default, most resource types don't have diagnostic logging enabled. Door registratie in het diagnoselogboek in te schakelen voor uw resources kunt u logboekregistratiegegevens opvragen en op basis hiervan waarschuwingen en playbooks maken.By enabling diagnostic logging across your resources, you can query logging data, and build alerts and playbooks based on it.

Wanneer u registratie in het diagnoselogboek inschakelt, kunt u voor elke resource kiezen uit een aantal specifieke categorieën.When you enable diagnostic logging, each resource will have a specific set of categories. U selecteert een of meer logboekregistratiecategorieën en een locatie voor de logboekgegevens.You select one or more logging categories, and a location for the log data. Logboeken kunnen worden verzonden naar een opslag account, Event Hub of Azure Monitor-Logboeken.Logs can be sent to a storage account, event hub, or to Azure Monitor Logs.

Scherm opname van diagnostische logboek registratie. Afbeelding 14: diagnostische logboek registratie.Screenshot of diagnostic logging. Figure 14: Diagnostic logging.

Meer informatie:Learn more:

Best practice: waarschuwingen en playbooks instellenBest practice: Set up alerts and playbooks

Wanneer registratie in het diagnoselogboek is ingeschakeld voor Azure-resources, kunt u logboekregistratiegegevens gaan gebruiken om aangepaste waarschuwingen te maken.With diagnostic logging enabled for Azure resources, you can start to use logging data to create custom alerts.

  • Met waarschuwingen wordt u proactief op de hoogte gesteld wanneer aan bepaalde voorwaarden wordt voldaan in uw controlegegevens.Alerts proactively notify you when conditions are found in your monitoring data. U kunt vervolgens de problemen oplossen voordat gebruikers deze opmerken.You can then address issues before system users notice them. U kunt een waarschuwing over metrische waarden, zoek query's, activiteiten logboek gebeurtenissen, de platform status en beschik baarheid van de website melden.You can alert on metric values, log search queries, activity log events, platform health, and website availability.

  • Wanneer waarschuwingen worden geactiveerd, kunt u een logische app-Playbook uitvoeren.When alerts are triggered, you can run a logic app playbook. Met een playbook kunt u een reactie op een specifieke waarschuwing automatiseren en coördineren.A playbook helps you to automate and orchestrate a response to a specific alert. Playbooks zijn gebaseerd op Azure Logic Apps.Playbooks are based on Azure Logic Apps. U kunt sjablonen voor logische apps gebruiken om playbooks te maken of uw eigen sjabloon maken.You can use logic app templates to create playbooks, or create your own.

  • Als eenvoudig voorbeeld kunt u een waarschuwing maken die wordt geactiveerd wanneer een poortscan plaatsvindt voor een netwerkbeveiligingsgroep.As a simple example, you can create an alert that triggers when a port scan happens against a network security group. U kunt een playbook instellen die wordt uitgevoerd en die het IP-adres van de scanoorsprong blokkeert.You can set up a playbook that runs and locks down the IP address of the scan origin.

  • Een ander voor beeld is een toepassing met een geheugenlek.Another example is an application with a memory leak. Wanneer het geheugengebruik een bepaald punt bereikt, kan een playbook het proces recyclen.When the memory usage gets to a certain point, a playbook can recycle the process.

    Scherm opname van waarschuwingen. Afbeelding 15: waarschuwingen.Screenshot of alerts. Figure 15: Alerts.

Meer informatie:Learn more:

Aanbevolen procedure: het Azure-dash board gebruikenBest practice: Use the Azure dashboard

Azure Portal is een webgebaseerde, geïntegreerde console waarmee u alles kunt ontwikkelen, beheren en bewaken: van eenvoudige web-apps tot complexe cloudtoepassingen.The Azure portal is a web-based unified console that allows you to build, manage, and monitor everything from simple web apps to complex cloud applications. De portal bevat aanpasbare dashboards en toegankelijkheidsopties.It includes a customizable dashboard and accessibility options.

  • U kunt meerdere Dash boards maken en deze delen met anderen die toegang hebben tot uw Azure-abonnementen.You can create multiple dashboards, and share them with others who have access to your Azure subscriptions.

  • Met dit gedeelde model heeft uw team inzicht in de Azure-omgeving, waardoor het proactief kan reageren bij het beheren van systemen in de cloud.With this shared model, your team has visibility into the Azure environment, allowing them to be proactive when managing systems in the cloud.

    Scherm opname van het Azure-dash board. Afbeelding 16: Azure-dash board.Screenshot of Azure dashboard. Figure 16: Azure dashboard.

Meer informatie:Learn more:

Best practice: ondersteunings abonnementen begrijpenBest practice: Understand support plans

Vroeg of laat moet u samenwerken met de ondersteuningsmedewerkers of ondersteuningsmedewerkers van Microsoft.At some point, you will need to collaborate with your support staff or Microsoft support staff. Het is van essentieel belang dat u beleid en procedures instelt voor ondersteuning tijdens scenario's zoals herstel na noodgevallen.Having a set of policies and procedures for support during scenarios such as disaster recovery is vital. Daarnaast moeten uw beheerders en ondersteuningsmedewerkers worden getraind om het beleid te implementeren.In addition, your admins and support staff should be trained on implementing those policies.

  • In het onwaarschijnlijke geval dat een Azure-serviceprobleem gevolgen heeft voor uw workload, moeten beheerders weten hoe ze juist en efficiënt een ondersteuningsticket kunnen verzenden naar Microsoft.In the unlikely event that an Azure service issue affects your workload, admins should know how to submit a support ticket to Microsoft in the most appropriate and efficient way.

  • Neem de verschillende ondersteuningsabonnementen voor Azure door.Familiarize yourself with the various support plans offered for Azure. Ze variëren van reactie tijden die specifiek zijn voor instanties van ontwikkel aars tot Premier Support met een reactie tijd van minder dan 15 minuten.They range from response times dedicated to developer instances, to premier support with a response time of less than 15 minutes.

    Scherm opname van ondersteunings abonnementen. Afbeelding 17: ondersteunings abonnementen.Screenshot of support plans. Figure 17: Support plans.

Meer informatie:Learn more:

Aanbevolen procedure: updates beherenBest practice: Manage updates

Het up-to-date houden van Azure-VM's met betrekking tot het nieuwste besturingssysteem en software-updates is een enorme klus.Keeping Azure VMs updated with the latest operating system and software updates is a massive chore. De mogelijkheid om alle virtuele machines te laten belichten, te bepalen welke updates ze nodig hebben, en deze updates automatisch te pushen is zeer waardevol.The ability to surface all VMs, figure out which updates they need, and automatically push those updates is extremely valuable.

  • U kunt Updatebeheer in Azure Automation gebruiken om updates van het besturings systeem te beheren.You can use Update Management in Azure Automation to manage operating system updates. Dit is van toepassing op computers waarop Windows-en Linux-computers worden uitgevoerd en die zijn geïmplementeerd in azure, on-premises en in andere cloud providers.This applies to machines that run Windows and Linux computers that are deployed in Azure, on-premises, and in other cloud providers.

  • Gebruik Updatebeheer om snel de status van de beschikbare updates op alle agentcomputers te bekijken en de installatie van updates te beheren.Use Update Management to quickly assess the status of available updates on all agent computers, and manage update installation.

  • U kunt Updatebeheer voor VM's rechtstreeks vanuit uw Azure Automation-account inschakelen.You can enable Update Management for VMs directly from an Azure Automation account. U kunt ook één VM bijwerken op de pagina met VM's in Azure Portal.You can also update a single VM from the VM page in the Azure portal.

  • Daarnaast kunt u Azure-Vm's registreren bij System Center Configuration Manager.In addition, you can register Azure VMs with System Center Configuration Manager. U kunt de Configuration Manager werk belasting vervolgens migreren naar Azure en rapportages en software-updates uitvoeren vanuit één webinterface.You can then migrate the Configuration Manager workload to Azure, and do reporting and software updates from a single web interface.

    Diagram van VM-updates. Afbeelding 18: updates.Diagram of VM updates. Figure 18: Updates.

Meer informatie:Learn more:

Een wijzigingsbeheerproces implementerenImplement a change management process

Net als bij elk productiesysteem kan elk type wijziging invloed hebben op uw omgeving.As with any production system, making any type of change can affect your environment. Een wijzigingsbeheerproces waarbij aanvragen moeten worden ingediend om wijzigingen in productiesystemen te kunnen aanbrengen, is een waardevolle toevoeging aan uw gemigreerde omgeving.A change management process that requires requests to be submitted in order to make changes to production systems is a valuable addition in your migrated environment.

  • U kunt best practice frameworks maken voor het wijzigingsbeheer zodat beheerders en ondersteuningsmedewerkers weten hoe ze moeten handelen.You can build best practice frameworks for change management to raise awareness in administrators and support staff.
  • U kunt Azure Automation gebruiken ter ondersteuning van het configuratiebeheer en het bijhouden van wijzigingen voor uw gemigreerde werkstromen.You can use Azure Automation to help with configuration management and change tracking for your migrated workflows.
  • Bij het afdwingen van een wijzigings beheer proces kunt u audit Logboeken gebruiken om Azure-wijzigings logboeken te koppelen aan bestaande wijzigings aanvragen.When enforcing change management process, you can use audit logs to link Azure change logs to existing change requests. Als er een wijziging wordt aangebracht zonder een bijbehorende wijzigings aanvraag, kunt u onderzoeken wat er in het proces mis is gegaan.Then, if you see a change made without a corresponding change request, you can investigate what went wrong in the process.

Azure heeft een oplossing voor het bijhouden van wijzigingen in Azure Automation:Azure has a change-tracking solution in Azure Automation:

  • De oplossing houdt wijzigingen bij in Windows- en Linux-software en -bestanden, Windows-registersleutels, Windows-services en Linux-daemon.The solution tracks changes to Windows and Linux software and files, Windows registry keys, Windows services, and Linux daemons.

  • Wijzigingen op bewaakte servers worden naar Azure Monitor verzonden voor verwerking.Changes on monitored servers are sent to Azure Monitor for processing.

  • Logica wordt toegepast op de ontvangen gegevens en de gegevens worden geregistreerd door de Cloud service.Logic is applied to the received data, and the cloud service records the data.

  • In het dash board wijzigingen bijhouden kunt u eenvoudig de wijzigingen zien die zijn aangebracht in uw server infrastructuur.On the change tracking dashboard, you can easily see the changes that were made in your server infrastructure.

    Scherm afbeelding van wijzigings beheer. Afbeelding 19: wijzigings beheer.Screenshot of change management. Figure 19: Change management.

Meer informatie:Learn more:

Volgende stappenNext steps

Bekijk andere best practices:Review other best practices: