Metodtips för att skydda och hantera arbetsbelastningar som migreras till AzureBest practices for securing and managing workloads migrated to Azure

När du planerar och utformar inför migreringen måste du, förutom att fundera över själva migreringen, ta hänsyn till din säkerhets- och hanteringsmodell i Azure efter migreringen.As you plan and design for migration, in addition to thinking about the migration itself, you need to consider your security and management model in Azure after migration. I den här artikeln beskrivs planering och metodtips för att skydda din Azure-distribution efter migreringen, och för pågående aktiviteter för att köra distributionen på en optimal nivå.This article describes planning and best practices for securing your Azure deployment after migrating, and for ongoing tasks to keep your deployment running at an optimal level.

Viktigt

De metodtips och åsikter som beskrivs i den här artikeln baseras på de tillgängliga funktionerna i Azure-plattformen och -tjänsten när den skrevs.The best practices and opinions described in this article are based on the Azure platform and service features available at the time of writing. Funktioner förändras över tid.Features and capabilities change over time.

Skydda migrerade arbetsbelastningarSecure migrated workloads

Efter migreringen är den mest kritiska uppgiften att skydda migrerade arbetsbelastningar mot interna och externa hot.After migration, the most critical task is to secure migrated workloads from internal and external threats. Dessa metodtips hjälper dig att göra det:These best practices help you to do that:

Bästa praxis: Följ Azure Security Center rekommendationerBest practice: Follow Azure Security Center recommendations

Microsoft arbetar hårt för att säkerställa att Azure-klientorganisationsadministratörer har den information som behövs för att aktivera säkerhetsfunktioner som skyddar arbetsbelastningar mot attacker.Microsoft works hard to ensure that Azure tenant admins have the information needed to enable security features that protect workloads from attacks. Azure Security Center tillhandahåller enhetlig säkerhetshantering.Azure Security Center provides unified security management. Från Security Center kan du tillämpa säkerhetsprinciper i arbetsbelastningar, begränsa hotexponering samt identifiera och åtgärda attacker.From the Security Center, you can apply security policies across workloads, limit threat exposure, and detect and respond to attacks. Security Center analyserar resurser och konfigurationer i Azure-klientorganisationer och ger säkerhetsrekommendationer, inklusive:Security Center analyzes resources and configurations across Azure tenants and makes security recommendations, including:

  • Centraliserad princip hantering: Se till att företagets eller regelns säkerhets krav efterlevs genom att centralt hantera säkerhets principer i alla dina hybrid moln arbets belastningar.Centralized policy management: Ensure compliance with company or regulatory security requirements by centrally managing security policies across all your hybrid cloud workloads.
  • Kontinuerlig säkerhets utvärdering: Övervaka säkerhets position för datorer, nätverk, lagrings-och data tjänster och program för att identifiera potentiella säkerhets problem.Continuous security assessment: Monitor the security posture of machines, networks, storage and data services, and applications to discover potential security issues.
  • Rekommendationer som rekommenderas: Åtgärda säkerhets risker innan de kan utnyttjas av angripare med prioriterade och åtgärdade säkerhets rekommendationer.Actionable recommendations: Remediate security vulnerabilities before they can be exploited by attackers with prioritized and actionable security recommendations.
  • Prioriterade aviseringar och incidenter: Fokusera på de mest kritiska hoten först med prioriterade säkerhets aviseringar och incidenter.Prioritized alerts and incidents: Focus on the most critical threats first with prioritized security alerts and incidents.

Förutom utvärderingar och rekommendationer innehåller Azure Security Center andra säkerhetsfunktioner som kan aktiveras för specifika resurser.In addition to assessments and recommendations, the Azure Security Center provides other security features that can be enabled for specific resources.

  • JIT-åtkomst (just-in-Time).Just-in-time (JIT) access. Minska nätverkets angreppsyta med begränsad just-in-time-åtkomst till hanteringsportar på virtuella Azure-datorer.Reduce your network attack surface with just in time, controlled access to management ports on Azure VMs.
    • Om RDP-port 3389 är öppen på Internet exponeras virtuella datorer för kontinuerlig obehörig aktivitet.Having VM RDP port 3389 open on the internet exposes VMs to continual bad actor activity. Azures IP-adresser är välkända och hackare söker kontinuerligt av dem för attacker på öppna 3389-portar.Azure IP addresses are well-known, and hackers continually probe them for attacks on open 3389 ports.
    • Med just-in-time används nätverkssäkerhetsgrupper (NSG) och inkommande regler som begränsar hur lång tid en specifik port är öppen.Just in time uses network security groups (NSGs) and incoming rules that limit the amount of time that a specific port is open.
    • Med just-in-time aktiverat kontrollerar Security Center att en användare har skrivbehörighet enligt rollbaserad åtkomstkontroll (RBAC) för en virtuell dator.With just in time enabled, Security Center checks that a user has role-based access control (RBAC) write access permissions for a VM. Ange även regler för hur användarna kan ansluta till virtuella datorer.In addition, specify rules for how users can connect to VMs. Om behörigheterna är okej godkänns en åtkomstbegäran och Security Center konfigurerar NSG:er att tillåta inkommande trafik till de valda portarna under den tid du anger.If permissions are OK, an access request is approved and Security Center configures NSGs to allow inbound traffic to the selected ports for the amount of time you specify. NSG:er återgår till sitt tidigare tillstånd när tiden går ut.NSGs are return to their previous state when the time expires.
  • Anpassningsbara program kontroller.Adaptive application controls. Håll programvara och skadlig kod borta från virtuella datorer genom att begränsa vilka appar som körs på dem med hjälp av dynamiska listor över tillåtna.Keep software and malware off VMs by controlling which apps run on them using dynamic allow lists.
    • Med anpassningsbara programkontroller kan du godkänna appar och förhindra att falska användare eller administratörer installerar ej godkända appar eller kontrollerar appar på dina virtuella datorer.Adaptive application controls allow you to approve apps, and prevent rogue users or administrators from installing unapproved or vetting software apps on your VMs.
      • Du kan blockera eller avisera om försök att köra skadliga appar, undvika oönskade eller skadliga appar och säkerställa efterlevnad av organisationens appsäkerhetsprincip.You can block or alert attempts to run malicious apps, avoid unwanted or malicious apps, and ensure compliance with your organization's app security policy.
  • Övervakning av fil integritet.File Integrity Monitoring. Säkerställ integriteten för filer som körs på virtuella datorer.Ensure the integrity of files running on VMs.
    • Du behöver inte installera program vara för att orsaka problem med virtuella datorer.You don't need to install software to cause VM issues. Att ändra en systemfil kan också orsaka fel eller prestandaförsämring.Changing a system file can also cause VM failure or performance degradation. Med övervakning av filintegritet undersöks ändringar av systemfiler och registerinställningar, och du meddelas om något uppdateras.File integrity Monitoring examines system files and registry settings for changes, and notifies you if something is updated.
    • Security Center rekommenderar vilka filer du bör övervaka.Security Center recommends which files you should monitor.

Lära sig mer:Learn more:

Bästa praxis: kryptera dataBest practice: Encrypt data

Kryptering är en viktig del av Azures säkerhetspraxis.Encryption is an important part of Azure security practices. Att se till att kryptering är aktiverat på alla nivåer hjälper till att förhindra att obehöriga parter får åtkomst till känsliga data, inklusive data under överföring och i vila.Ensuring that encryption is enabled at all levels helps prevent unauthorized parties from gaining access to sensitive data, including data in transit and at rest.

Kryptering för IaaSEncryption for IaaS

  • Virtuella datorer: För virtuella datorer kan du använda Azure Disk Encryption för att kryptera dina Windows-och Linux-IaaS VM-diskar.Virtual machines: For VMs, you can use Azure Disk Encryption to encrypt your Windows and Linux IaaS VM disks.
    • Diskkryptering tillhandahåller volymkryptering av operativsystem- och datadiskar med hjälp av BitLocker för Windows och DM-Crypt för Linux.Disk encryption uses BitLocker for Windows, and DM-Crypt for Linux to provide volume encryption for the OS and data disks.
    • Du kan använda en krypteringsnyckel som skapas av Azure eller ange egna krypteringsnycklar, som skyddas i Azure Key Vault.You can use an encryption key created by Azure, or you can supply your own encryption keys, safeguarded in Azure Key Vault.
    • Med diskkryptering skyddas IaaS-VM-data i vila (på disken) och vid start av virtuella datorer.With Disk Encryption, IaaS VM data is secured at rest (on the disk) and during VM boot.
      • Azure Security Center varnar dig om du har virtuella datorer som inte är krypterade.Azure Security Center alerts you if you have VMs that aren't encrypted.
  • Lagring: Skydda i rest-data som lagras i Azure Storage.Storage: Protect at rest data stored in Azure storage.
    • Data som lagras i Azure Storage-konton kan krypteras med hjälp av Microsoft-genererade AES-nycklar som är FIPS 140-2-kompatibla, eller så kan du använda egna nycklar.Data stored in Azure storage accounts can be encrypted using Microsoft-generated AES keys that are FIPS 140-2 compliant, or you can use your own keys.
    • Kryptering för lagringstjänst aktiveras för alla nya och befintliga lagringskonton och kan inte inaktiveras.Storage Service Encryption is enabled for all new and existing storage accounts and can't be disabled.

Kryptering för PaaSEncryption for PaaS

Till skillnad från IaaS där du hanterar dina egna virtuella datorer och infrastruktur hanteras plattform och infrastruktur i en PaaS-modell av providern, vilket gör att du kan fokusera på central applogik och -funktioner.Unlike IaaS where you manage your own VMs and infrastructure, in a PaaS model platform and infrastructure is managed by the provider, leaving you to focus on core app logic and capabilities. Med så många olika typer av PaaS-tjänster utvärderas varje tjänst separat av säkerhetsskäl.With so many different types of PaaS services, each service is evaluated individually for security purposes. Som ett exempel tittar vi på hur vi kan aktivera kryptering för Azure SQL Database.As an example, let's see how we might enable encryption for Azure SQL Database.

  • Always Encrypted: Använd guiden Always Encrypted i SQL Server Management Studio för att skydda data i vila.Always Encrypted: Use the Always Encrypted Wizard in SQL Server Management Studio to protect data at rest.
    • Du skapar en Always Encrypted-nyckel för att kryptera enskilda kolumndata.You create Always Encrypted key to encrypt individual column data.
    • Always Encrypted-nycklar kan lagras som krypterade i databasmetadata eller lagras i betrodda nyckelarkiv, till exempel Azure Key Vault.Always Encrypted keys can be stored as encrypted in database metadata, or stored in trusted key stores such as Azure Key Vault.
    • Appändringar krävs sannolikt för att använda den här funktionen.App changes will probably be needed to use this feature.
  • Transparent data kryptering (TDE): Skydda Azure SQL Database med kryptering och dekryptering i real tid av databasen, tillhör ande säkerhets kopior och transaktionsloggfiler i vila.Transparent data encryption (TDE): Protect the Azure SQL Database with real-time encryption and decryption of the database, associated backups, and transaction log files at rest.
    • TDE gör att krypteringsaktiviteter kan genomföras utan ändringar på applagret.TDE allows encryption activities to take place without changes at the app layer.
    • TDE kan använda krypterings nycklar från Microsoft, eller så kan du ta med din egen nyckel.TDE can use encryption keys provided by Microsoft, or you can bring your own key.

Lära sig mer:Learn more:

Bästa praxis: skydda virtuella datorer med program mot skadlig kodBest practice: Protect VMs with antimalware

I synnerhet kanske äldre Azure-migrerade virtuella datorer inte har rätt nivå av program mot skadlig kod installerade.In particular, older Azure-migrated VMs may not have the appropriate level of antimalware installed. Azure tillhandahåller en kostnadsfri slutpunktslösning som hjälper till att skydda virtuella datorer mot virus, spionprogram och annan skadlig kod.Azure provides a free endpoint solution that helps protect VMs from viruses, spyware, and other malware.

  • Microsoft Antimalware för Azure genererar aviseringar när känd skadlig eller oönskad programvara försöker installera sig själv.Microsoft Antimalware for Azure generates alerts when known malicious or unwanted software tries to install itself.

  • Det är en lösning med en agent som körs i bakgrunden utan mänsklig inblandning.It's a single agent solution that runs in the background without human intervention.

  • I Azure Security Center kan du enkelt identifiera virtuella datorer som inte har slutpunktsskydd igång och installera Microsoft Antimalware vid behov.In Azure Security Center, you can easily identify VMs that don't have endpoint protection running, and install Microsoft Antimalware as needed.

    Program mot skadlig kod för virtuella datorer Program mot skadlig kod för virtuella datorerAntimalware for VMs Antimalware for VMs

Lära sig mer:Learn more:

Bästa praxis: säkra webbapparBest practice: Secure web apps

Migrerade webbappar har ett par problem:Migrated web apps face a couple of issues:

  • De flesta äldre webbappar har känslig information i konfigurationsfiler.Most legacy web applications tend to have sensitive information inside configuration files. Filer som innehåller sådan information kan innebära säkerhetsproblem när appar säkerhetskopieras eller när appkod checkas in i eller ut från källkontroll.Files containing such information can present security issues when apps are backed up, or when app code is checked into or out of source control.
  • När du migrerar webbappar som finns på en virtuell dator flyttar du dessutom sannolikt datorn från ett lokalt nätverk och en brandväggsskyddad miljö till en Internetriktad miljö.In addition, when you migrate web apps residing in a VM, you are likely moving that machine from an on-premises network and firewall-protected environment to an environment facing the internet. Se till att du konfigurerar en lösning som utför samma arbete som dina lokala skyddsresurser.Make sure that you set up a solution that does the same work as your on-premises protection resources.

Azure tillhandahåller ett par lösningar:Azure provides a couple of solutions:

  • Azure Key Vault: I dag vidtar webbappars utvecklare steg för att se till att känslig information inte läcker ut från dessa filer.Azure Key Vault: Today, web app developers are taking steps to ensure that sensitive information isn't leaked from these files. En metod för att skydda information är att extrahera den från filer och placera den i Azure Key Vault.One method to secure information is to extract it from files and put it into an Azure Key Vault.

    • Du kan använda Key Vault för att centralisera lagringen av apphemligheter och kontrollera deras distribution.You can use Key Vault to centralize storage of app secrets, and control their distribution. Det gör att säkerhetsinformation inte behöver lagras i appfiler.It avoids the need to store security information in app files.
    • Appar kan på ett säkert sätt komma åt information i valvet med hjälp av URI:er, utan att behöva anpassad kod.Apps can securely access information in the vault using URIs, without needing custom code.
    • Med Azure Key Vault kan du låsa åtkomst via Azure-säkerhetskontroller och sömlöst implementera "uppdatering av nycklar".Azure Key Vault allows you to lock down access via Azure security controls and to seamlessly implement 'rolling keys'. Microsoft kan inte se eller extrahera dina data.Microsoft does not see or extract your data.
  • App Service-miljön: Om en app som du migrerar behöver extra skydd kan du överväga att lägga till en App Service-miljön och brand vägg för webbaserade program för att skydda app-resurserna.App Service Environment: If an app you migrate needs extra protection, you can consider adding an App Service Environment and web application firewall to protect the app resources.

    • Azure App Service-miljön tillhandahåller en fullständigt isolerad och dedikerad miljö där du kan köra App Service-appar som Windows- och Linux-webbappar, Docker-containrar, mobilappar och funktioner.The Azure App Service Environment provides a fully isolated and dedicated environment in which to running App Service apps such as Windows and Linux web apps, Docker containers, mobile apps, and functions.
    • Den är användbar för appar som är mycket storskaliga, kräver isolering och säker nätverksåtkomst eller har hög minnesanvändning.It's useful for apps that are very high scale, require isolation and secure network access or have high memory utilization.
  • Brand vägg för webbaserade program: En funktion i Azure Application Gateway som tillhandahåller centraliserat skydd för Web Apps.Web application firewall: A feature of Azure Application Gateway that provides centralized protection for web apps.

    • Den skyddar webbappar utan att kräva ändringar i serverdelskoden.It protects web apps without requiring back-end code modifications.
    • Den skyddar flera webbappar samtidigt bakom en programgateway.It protects multiple web apps at the same time behind an application gateway.
    • En brand vägg för webbaserade program kan övervakas med hjälp av Azure Monitor och integreras i Azure Security Center.A web application firewall can be monitored using Azure Monitor and is integrated into Azure Security Center.

    Skydda webbappar Azure Key VaultSecure web apps Azure Key Vault

Lära sig mer:Learn more:

Bästa praxis: granska prenumerationer och resurs behörigheterBest practice: Review subscriptions and resource permissions

När du migrerar dina arbetsbelastningar och kör dem i Azure flyttas personal med arbetsbelastningsåtkomst runt.As you migrate your workloads and run them in Azure, staff with workload access move around. Ditt säkerhetsteam bör regelbundet granska åtkomst till din Azure-klientorganisation och -resursgrupper.Your security team should review access to your Azure tenant and resource groups on a regular basis. Azure har erbjudanden för identitetshantering och åtkomstkontrollsäkerhet, inklusive rollbaserad åtkomstkontroll (RBAC) för att ge behörighet att komma åt Azure-resurser.Azure has offerings for identity management and access control security, including role-based access control (RBAC) to authorize permissions to access Azure resources.

  • RBAC tilldelar åtkomstbehörigheter för säkerhetshuvudkonton.RBAC assigns access permissions for security principals. Säkerhetshuvudkonton representerar användare, grupper (en uppsättning användare), tjänsthuvudnamn (identitet som används av appar och tjänster) och hanterade identiteter (en Azure Active Directory-identitet som hanteras automatiskt av Azure).Security principals represent users, groups (a set of users), service principals (identity used by apps and services), and managed identities (an Azure Active Directory identity automatically managed by Azure).

  • RBAC kan tilldela roller till säkerhetshuvudkonton, till exempel ägare, deltagare och läsare, samt rolldefinitioner (en samling behörigheter) som definierar de åtgärder som kan utföras av rollerna.RBAC can assign roles to security principles, such as owner, contributor and reader, and role definitions (a collection of permissions) that define the operations that can be performed by the roles.

  • RBAC kan också ange omfång som avgör gränsen för en roll.RBAC can also set scopes that set the boundary for a role. Omfånget kan anges på flera nivåer, inklusive en hanteringsgrupp, prenumeration, resursgrupp eller resurs.Scope can be set at several levels, including a management group, subscription, resource group, or resource.

  • Se till att administratörer med Azure-åtkomst endast kan komma åt resurser som du vill tillåta.Ensure that admins with Azure access can access only resources that you want to allow. Om de fördefinierade rollerna i Azure inte är tillräckligt detaljerade kan du skapa anpassade roller för att avgränsa och begränsa åtkomstbehörigheter.If the predefined roles in Azure aren't granular enough, you can create custom roles to separate and limit access permissions.

    Åtkomstkontroll Åtkomstkontroll – IAMAccess control Access control - IAM

Lära sig mer:Learn more:

Bästa praxis: granska gransknings-och säkerhets loggarBest practice: Review audit and security logs

Azure Active Directory (Azure AD) tillhandahåller aktivitetsloggar som visas i Azure Monitor.Azure Active Directory (Azure AD) provides activity logs that appear in Azure Monitor. Loggarna registrerar de åtgärder som utförs i Azure-klientorganisationen, när de utfördes och vem som utförde dem.The logs capture the operations performed in Azure tenancy, when they occurred, and who performed them.

  • Spårningsloggar visar historiken för aktiviteter i klientorganisationen.Audit logs show the history of tasks in the tenant. Inloggningsaktivitetsloggar visar vem som utförde aktiviteterna.Sign-in activity logs show who carried out the tasks.

  • Åtkomst till säkerhetsrapporter är beroende av din Azure AD-licens.Access to security reports depends on your Azure AD license. I kostnads fri och grundläggande visas en lista över riskfyllda användare och inloggningar. I Premium 1-och Premium 2-versioner får du underliggande händelse information.In Free and Basic, you get a list of risky users and sign-ins. In Premium 1 and Premium 2 editions you get underlying event information.

  • Du kan dirigera aktivitetsloggar till olika slutpunkter för långsiktig kvarhållning och datainsikter.You can route activity logs to various endpoints for long-term retention and data insights.

  • Gör det till en vana att granska loggarna eller integrera SIEM-verktygen (Security Information and Event Management) för att automatiskt granska avvikelser.Make it a common practice to review the logs or integrate your security information and event management (SIEM) tools to automatically review abnormalities. Om du inte använder Premium 1 eller 2 måste du göra mycket analys själv eller med SIEM-systemet.If you're not using Premium 1 or 2, you'll need to do a lot of analysis yourself or using your SIEM system. Analys innefattar att söka efter riskfyllda inloggningar och händelser, och andra mönster för användarangrepp.Analysis includes looking for risky sign-ins and events, and other user attack patterns.

    Användare och grupper i Azure AD-användare och-grupperUsers and Groups Azure AD Users and Groups

Lära sig mer:Learn more:

Bästa praxis: utvärdera andra säkerhetsfunktionerBest practice: Evaluate other security features

Azure innehåller andra säkerhetsfunktioner som tillhandahåller avancerade säkerhetsalternativ.Azure provides other security features that provide advanced security options. Vissa av dessa metodtips kräver tilläggslicenser och premiumalternativ.Some of these best practices require add-on licenses and premium options.

  • Implementera administrativa Azure AD-enheter (AU).Implement Azure AD administrative units (AU). Det kan vara svårt att delegera administrativa uppgifter till supportpersonal med bara grundläggande Azure-åtkomstkontroll.Delegating administrative duties to support staff can be tricky with just basic Azure access control. Att ge supportpersonal åtkomst att administrera alla grupper i Azure AD kanske inte är den idealiska metoden för organisationens säkerhet.Giving support staff access to administer all the groups in Azure AD might not be the ideal approach for organizational security. Med AU kan du fördela Azure-resurser i containrar på ett sätt som liknar lokala organisationsenheter (OU).Using AU allows you to segregate Azure resources into containers in a similar way to on-premises organizational units (OU). Om du vill använda AU måste AU-administratören ha en premium Azure AD-licens.To use AU the AU admin must have a premium Azure AD license. Läs mer.Learn more.
  • Använd Multi-Factor Authentication.Use multi-factor authentication. Om du har en premium Azure AD-licens kan du aktivera och tillämpa multifaktorautentisering på dina administratörskonton.If you have a premium Azure AD license, you can enable and enforce multi-factor authentication on your admin accounts. Nätfiske är det vanligaste sättet som kontons autentiseringsuppgifter komprometteras.Phishing is the most common way that accounts credentials are compromised. När en obehörig har ett administratörskontos autentiseringsuppgifter finns det inget som hindrar dem från omfattande åtgärder, till exempel att ta bort alla resursgrupper.Once a bad actor has admin account credentials, there's no stopping them from far-reaching actions, such as deleting all your resource groups. Du kan tillämpa multifaktorautentisering på flera olika sätt, bland annat med e-post, en autentiseringsapp och textmeddelanden.You can establish multi-factor authentication in several ways, including with email, an authenticator app, and phone text messages. Som administratör kan du välja det minst störande alternativet.As an administrator, you can select the least intrusive option. Multifaktorautentisering integreras med hotanalys och principer för villkorlig åtkomst för att slumpmässigt kräva ett svar på en multifaktorautentiseringsutmaning.Multi-factor authentication integrates with threat analytics and conditional access policies to randomly require a multi-factor authentication challenge respond. Läs mer om säkerhetsvägledning och hur du konfigurerar multifaktorautentisering.Learn more about security guidance, and how to set up multi-factor authentication.
  • Implementera villkorlig åtkomst.Implement conditional access. I de flesta små och medelstora organisationer finns Azure-administratörer och supportteamet förmodligen i en enda geografisk region.In most small and medium size organizations, Azure admins and the support team are probably located in a single geography. I det här fallet kommer de flesta inloggningar från samma områden.In this case, most logins will come from the same areas. Om IP-adresserna för dessa platser är relativt statiska är det rimligt att du inte ser administratörsinloggningar utanför dessa områden.If the IP addresses of these locations are fairly static, it makes sense that you shouldn't see administrator logins from outside these areas. Även om en fjärran sluten icke-skadad aktör komprometterar en administratörs autentiseringsuppgifter, kan du implementera säkerhetsfunktioner som villkorlig åtkomst kombinerat med Multi-Factor Authentication för att förhindra inloggning från fjärranslutna platser eller från falska platser från slumpmässiga IP-adresser.Even if a remote bad actor compromises an administrator's credentials, you can implement security features like conditional access combined with multi-factor authentication to prevent signing in from remote locations, or from spoofed locations from random IP addresses. Läs mer om villkorlig åtkomst och granska metodtips för villkorlig åtkomst i Azure AD.Learn more about conditional access, and review best practices for conditional access in Azure AD.
  • Granska behörigheter för företagsprogram.Review Enterprise Application permissions. Över tid väljer administratörer Microsoft- och tredjepartslänkar utan att känna till deras inverkan på organisationen.Over time, admins select Microsoft and third-party links without knowing their impact on the organization. Länkar kan öppna medgivandeskärmar som tilldelar behörigheter till Azure-appar, och kan tillåta åtkomst att läsa Azure AD-data eller till och med fullständig åtkomst att hantera hela Azure-prenumerationen.Links can present consent screens that assign permissions to Azure apps, and might allow access to read Azure AD data, or even full access to manage your entire Azure subscription. Du bör regelbundet granska apparna som administratörer och användare har gett åtkomst till Azure-resurser.You should regularly review the apps to which your admins and users have allowed access to Azure resources. Se till att dessa appar bara har de behörigheter som krävs.Ensure that these apps have only the permissions that are necessary. Varje kvartal eller halvår kan du dessutom skicka e-post till användare med en länk till appsidor så att de är medvetna om vilka appar de har gett åtkomst till sina organisationsdata.Additionally, quarterly or semi-annually you can email users with a link to app pages so that they're aware of the apps to which they've allowed access to their organizational data. Läs mer om programtyper och hur du styr apptilldelningar i Azure AD.Learn more about application types, and how to control app assignments in Azure AD.

Hanterade migrerade arbetsbelastningarManaged migrated workloads

I det här avsnittet rekommenderar vi några metodtips för Azure-hantering, inklusive:In this section we'll recommend some best practices for Azure management, including:

  • Hantera resurser: metod tips för Azures resurs grupper och resurser, inklusive Smart namngivning, förhindra oavsiktlig borttagning, hantering av resurs behörigheter och effektiv resurs markering.Manage resources: Best practices for Azure resource groups and resources, including smart naming, preventing accidental deletion, managing resource permissions, and effective resource tagging.
  • Använd skisser: få en snabb översikt över hur du använder ritningar för att skapa och hantera dina distributions miljöer.Use blueprints: Get a quick overview on using blueprints for building and managing your deployment environments.
  • Granska arkitekturer: se exempel på Azure-arkitekturer för att lära dig av när du skapar distributioner efter migreringen.Review architectures: Review sample Azure architectures to learn from as you build your post-migration deployments.
  • Konfigurera hanterings grupper: om du har flera prenumerationer kan du samla in dem i hanterings grupper och använda styrnings inställningar för dessa grupper.Set up management groups: If you have multiple subscriptions, you can gather them into management groups, and apply governance settings to those groups.
  • Konfigurera åtkomst principer: tillämpa efterlevnadsprinciper på dina Azure-resurser.Set up access policies: Apply compliance policies to your Azure resources.
  • Implementera en BCDR-strategi: samla in en strategi för affärs kontinuitet och haveri beredskap (BCDR) för att skydda data, din miljö och få resurser igång när avbrott uppstår.Implement a BCDR strategy: Put together a business continuity and disaster recovery (BCDR) strategy to keep data safe, your environment resilient, and resources up and running when outages occur.
  • Hantera virtuella datorer: gruppera virtuella datorer i tillgänglighets grupper för återhämtning och hög tillgänglighet.Manage VMs: Group VMs into availability groups for resilience and high availability. Använd hanterade diskar för enkel disk- och lagringshantering för virtuella datorer.Use managed disks for ease of VM disk and storage management.
  • Övervaka resursanvändning: Aktivera diagnostikloggning för Azure-resurser, skapa aviseringar och spel böcker för proaktiv fel sökning och Använd Azure-instrumentpanelen för en enhetlig vy över din distributions hälsa och status.Monitor resource usage: Enable diagnostic logging for Azure resources, build alerts and playbooks for proactive troubleshooting, and use the Azure dashboard for a unified view of your deployment health and status.
  • Hantera support och uppdateringar: förstå ditt support avtal för Azure och hur du implementerar det, få bästa praxis för att hålla virtuella datorer uppdaterade och placera processer i stället för ändrings hantering.Manage support and updates: Understand your Azure support plan and how to implement it, get best practices for keeping VMs up-to-date, and put processes in place for change management.

Bästa praxis: namnge resurs grupperBest practice: Name resource groups

Om resursgrupperna har beskrivande namn som administratörer och medlemmar i supportteamet enkelt kan identifiera och navigera förbättras produktiviteten och effektiviteten avsevärt.Ensuring that your resource groups have meaningful names that admins and support team members can easy recognize and navigate will drastically improve productivity and efficiency.

  • Vi rekommenderar att du följer Azures namngivningskonventioner.We recommend following Azure naming conventions.

  • Om du synkroniserar din lokala Active Directory till Azure AD med hjälp av Azure AD Connect bör du överväga att matcha namnen på säkerhetsgrupper lokalt mot namnen på resursgrupper i Azure.If you're synchronizing your on-premises Active Directory to Azure AD using Azure AD Connect, consider matching the names of security groups on-premises to the names of resource groups in Azure.

    Namnge resurs grupp namnNaming Resource group naming

Lära sig mer:Learn more:

Bästa praxis: implementera ta bort lås för resurs grupperBest practice: Implement delete locks for resource groups

Det sista du behöver är att en resursgrupp försvinner eftersom den tagits bort av misstag.The last thing you need is for a resource group to disappear because it was deleted accidentally. Vi rekommenderar att du implementerar borttagningslås så att det inte sker.We recommend that you implement delete locks so that this doesn't happen.

Ta bort lås ta bort låsDelete locks Delete locks

Lära sig mer:Learn more:

Bästa praxis: förstå resurs åtkomst behörigheterBest practice: Understand resource access permissions

En prenumerationsägare har åtkomst till alla resursgrupper och resurser i prenumerationen.A subscription owner has access to all the resource groups and resources in your subscription.

  • Var försiktig med att ge personer den här värdefulla tilldelningen.Add people sparingly to this valuable assignment. Det är viktigt att förstå konsekvenserna av dessa typer av behörigheter för att hålla miljön säker och stabil.Understanding the ramifications of these types of permissions is important in keeping your environment secure and stable.
  • Se till att placera resurser i lämpliga resursgrupper:Make sure you place resources in appropriate resources groups:
    • Matcha resurser med liknande livscykel tillsammans.Match resources with a similar lifecycle together. Du bör helst inte behöva flytta en resurs när du behöver ta bort en hel resursgrupp.Ideally, you shouldn't need to move a resource when you need to delete an entire resource group.
    • Resurser som rör en funktion eller arbetsbelastning bör placeras tillsammans för förenklad hantering.Resources that support a function or workload should be placed together for simplified management.

Lära sig mer:Learn more:

Bästa praxis: tagga resurser effektivtBest practice: Tag resources effectively

Om du bara använder ett resursgruppsnamn som är relaterat till resurser får du ofta inte tillräckligt med metadata för effektiv implementering av mekanismer som intern fakturering eller hantering i en prenumeration.Often, using only a resource group name related to resources won't provide enough metadata for effective implementation of mechanisms such as internal billing or management within a subscription.

  • Som ett metodtips bör du använda Azure-taggar för att lägga till användbara metadata som kan efterfrågas och rapporteras.As a best practice, you should use Azure tags to add useful metadata that can be queried and reported on.

  • Taggar ger ett sätt att organisera resurser logiskt med egenskaper som du definierar.Tags provide a way to logically organize resources with properties that you define. Taggar kan tillämpas direkt på resursgrupper eller resurser.Tags can be applied to resource groups or resources directly.

  • Taggar kan tillämpas på en resursgrupp eller på enskilda resurser.Tags can be applied on a resource group or on individual resources. En resursgrupps taggar ärvs inte av resurserna i gruppen.Resource group tags aren't inherited by the resources in the group.

  • Du kan automatisera taggning med PowerShell eller Azure Automation, eller tagga enskilda grupper och resurser.You can automate tagging using PowerShell or Azure Automation, or tag individual groups and resources. Taggningsmetod eller självbetjäning.-tagging approach or a self-service one. Om du har ett system för begäranden och ändringshantering kan du enkelt använda informationen i begäran för att fylla i företagsspecifika resurstaggar.If you have a request and change management system in place, then you can easily use the information in the request to populate your company-specific resource tags.

    Taggning TaggningTagging Tagging

Lära sig mer:Learn more:

Bästa praxis: implementera skisserBest practice: Implement blueprints

Precis som skiss låter ingenjörer och arkitekter skissa ett projekts design parametrar, och Azure-ritningar gör det möjligt för moln arkitekter och centrala IT-team att definiera en upprepnings bar uppsättning Azure-resurser som implementerar och följer en organisations standarder, mönster och krav.Just as blueprint allows engineers and architects to sketch a project's design parameters, Azure Blueprints enable cloud architects and central IT teams to define a repeatable set of Azure resources that implements and adheres to an organization's standards, patterns, and requirements. Med hjälp av Azure Blueprints kan utvecklingsteam snabbt skapa nya miljöer som uppfyller organisationens krav på efterlevnad och som har en uppsättning inbyggda komponenter, till exempel nätverk, för att påskynda utveckling och leverans.Using Azure Blueprints, development teams can rapidly build and create new environments that meet organizational compliance requirements, and that have a set of built-in components, such as networking, to speed up development and delivery.

  • Använd skisser för att samordna distributionen av resursgrupper, Azure Resource Manager-mallar och princip- och rolltilldelningar.Use blueprints to orchestrate the deployment of resource groups, Azure Resource Manager templates, and policy and role assignments.
  • Skisser lagras i en globalt distribuerad Azure Cosmos DB.Blueprints are stored in a globally distributed Azure Cosmos DB. Skissobjekt replikeras till flera Azure-regioner.Blueprint objects are replicated to multiple Azure regions. Replikering ger låg svarstid, hög tillgänglighet och konsekvent åtkomst till skisser, oavsett vilken region en skiss distribuerar resurser till.Replication provides low latency, high availability, and consistent access to blueprint, regardless of the region to which a blueprint deploys resources.

Lära sig mer:Learn more:

Bästa praxis: granska Azure Reference arkitekturerBest practice: Review Azure reference architectures

Det kan kännas överväldigande att skapa säkra, skalbara och hanterbara arbetsbelastningar i Azure.Building secure, scalable, and manageable workloads in Azure can be daunting. Med kontinuerliga ändringar kan det vara svårt att hålla reda på olika funktioner för en optimal miljö.With continual changes, it can be difficult to keep up with different features for an optimal environment. Att ha en referens att lära dig av kan vara till hjälp när du utformar och migrerar dina arbetsbelastningar.Having a reference to learn from can be helpful when designing and migrating your workloads. Azure och Azure-partner har skapat flera exempel på referensarkitekturer för olika typer av miljöer.Azure and Azure partners have built several sample reference architectures for various types of environments. Dessa exempel är utformade för att ge idéer som du kan lära dig av och bygga vidare på.These samples are designed to provide ideas that you can learn from and build on.

Referensarkitekturer ordnas efter scenario.Reference architectures are arranged by scenario. De innehåller bästa praxis och råd om hantering, tillgänglighet, skalbarhet och säkerhet.They contain best practices and advice on management, availability, scalability, and security. Azure App Service-miljön tillhandahåller en fullständigt isolerad och dedikerad miljö där du kan köra App Service-appar, inklusive Windows- och Linux-webbappar, Docker-containrar, mobilappar och funktioner.The Azure App Service Environment provides a fully isolated and dedicated environment in which to run App Service apps, including Windows and Linux web apps, Docker containers, mobile apps, and functions. App Service lägger till kraften hos Azure i ditt program, med säkerhet, belastningsutjämning, automatisk skalning och automatiserad hantering.App Service adds the power of Azure to your application, with security, load balancing, autoscaling, and automated management. Du kan även dra nytta av dess DevOps-funktioner, till exempel kontinuerlig distribution från Azure DevOps och GitHub, pakethantering, mellanlagringsmiljöer, anpassade domäner och SSL-certifikat.You can also take advantage of its DevOps capabilities, such as continuous deployment from Azure DevOps and GitHub, package management, staging environments, custom domain, and SSL certificates. App Service är användbart för appar som behöver isolering och säker nätverksåtkomst, och de som använder stora mängder minne och andra resurser som behöver skalas.App Service is useful for apps that need isolation and secure network access, and those that use high amounts of memory and other resources that need to scale.

Lära sig mer:Learn more:

Bästa praxis: hantera resurser med Azures hanterings grupperBest practice: Manage resources with Azure management groups

Om din organisation har flera prenumerationer behöver du hantera åtkomst, principer och efterlevnad för dem.If your organization has multiple subscriptions, you need to manage access, policies, and compliance for them. Med Azures hanteringsgrupper får du en hanteringsnivå över prenumerationsnivån.Azure management groups provide a level of scope above subscriptions.

  • Du kan ordna prenumerationerna i containrar som kallas hanteringsgrupper och tillämpa styrningsvillkor för dem.You organize subscriptions into containers called management groups and apply governance conditions to them.
  • Alla prenumerationer i en hanteringsgrupp ärver automatiskt hanteringsgruppens villkor.All subscriptions in a management group automatically inherit the management group conditions.
  • Hanteringsgrupper ger storskalig hantering i företagsklass, oavsett vilken typ av prenumeration du har.Management groups provide large-scale enterprise-grade management, no matter what type of subscriptions you have.
  • Du kan till exempel tillämpa en hanteringsgruppsprincip som begränsar regionerna där virtuella datorer kan skapas.For example, you can apply a management group policy that limits the regions in which VMs can be created. Den här principen tillämpas sedan för alla hanteringsgrupper, prenumerationer och resurser under hanteringsgruppen.This policy is then applied to all management groups, subscriptions, and resources under that management group.
  • Du kan skapa en flexibel struktur för hanteringsgrupper och prenumerationer, för att organisera dina resurser i en hierarki för enhetlig princip- och åtkomsthantering.You can build a flexible structure of management groups and subscriptions, to organize your resources into a hierarchy for unified policy and access management.

Följande diagram visar ett exempel på att skapa en hierarki för styrning med hjälp av hanteringsgrupper.The following diagram shows an example of creating a hierarchy for governance using management groups.

Hanteringsgrupper HanteringsgrupperManagement groups Management groups

Lära sig mer:Learn more:

Bästa praxis: Distribuera Azure PolicyBest practice: Deploy Azure Policy

Azure Policy är en tjänst i Azure som används för att skapa, tilldela och hantera principer.Azure Policy is a service in Azure that you use to create, assign and, manage policies.

  • Principer tillämpar olika regler och effekter på dina resurser så att resurserna efterlever dina företagsstandarder och serviceavtal.Policies enforce different rules and effects over your resources, so those resources stay compliant with your corporate standards and service level agreements.

  • Azure Policy utvärderar resurserna och söker efter sådana som inte följer principerna.Azure Policy evaluates your resources, scanning for those not compliant with your policies.

  • Du kan till exempel skapa en princip som endast tillåter en specifik SKU-storlek för virtuella datorer i miljön.For example, you could create a policy that allows only a specific SKU size for VMs in your environment. Azure Policy utvärderar inställningen när den skapar och uppdaterar resurser, och när den söker efter befintliga resurser.Azure Policy will evaluate this setting when creating and updating resources, and when scanning existing resources.

  • Azure innehåller några inbyggda principer som du kan tilldela, eller så kan du skapa egna.Azure provides some built-in policies that you can assign, or you can create your own.

    Azure Policy Azure PolicyAzure Policy Azure Policy

Lära sig mer:Learn more:

Bästa praxis: implementera en BCDR-strategiBest practice: Implement a BCDR strategy

Planering av BCDR (affärskontinuitet och haveriberedskap) är en viktig övning som du bör utföra som en del i planeringsprocessen för Azure-migrering.Planning for business continuity and disaster recovery (BCDR), is a critical exercise that you should complete as part of your Azure migration planning process. I juridiska termer kan dina kontrakt innehålla en force majeure-paragraf som eliminerar skyldigheter på grund av en större kraft, till exempel orkaner eller jordbävningar.In legal terms, your contracts may include a force majeure clause that excuses obligations due to a greater force such as hurricanes or earthquakes. Men du har också skyldigheter som rör din förmåga att se till att tjänsterna fortsätter att köras, och återställs när det behövs, vid ett haveri.However, you also have obligations around your ability to ensure that services will continue to run, and recover where necessary, when disaster strike. Din förmåga att göra detta kan avgöra ditt företags framtid.Your ability to do this can make or break your company's future.

BCDR-strategin måste i huvudsak omfatta:Broadly, your BCDR strategy must consider:

  • Säkerhets kopiering av data: Se till att dina data är säkra så att du enkelt kan återställa dem om avbrott uppstår.Data backup: How to keep your data safe so that you can recover it easily if outages occur.
  • Haveri beredskap: Hur du håller dina appar elastiska och tillgängliga om avbrott uppstår.Disaster recovery: How to keep your apps resilient and available if outages occur.

Konfigurera BCDRSet up BCDR

När du migrerar till Azure är det viktigt att förstå att även om Azure-plattformen tillhandahåller dessa inbyggda återhämtningsfunktioner måste du utforma Azure-distributionen för att dra nytta av Azure-funktioner och -tjänster som tillhandahåller hög tillgänglighet, haveriberedskap och säkerhetskopiering.When migrating to Azure, it's important to understand that although the Azure platform provides these inbuilt resiliency capabilities, you need to design your Azure deployment to take advantage of Azure features and services that provide high availability, disaster recovery, and backup.

  • Din BCDR-lösning beror på företagets mål och påverkas av din strategi för Azure-distributionen.Your BCDR solution will depend on your company objectives and is influenced by your Azure deployment strategy. IaaS- (infrastruktur som en tjänst) och PaaS-distributioner (plattform som en tjänst) innebär olika utmaningar för BCDR.Infrastructure as a service (IaaS) and platform as a service (PaaS) deployments present different challenges for BCDR.
  • När BCDR-lösningarna är på plats bör de testas regelbundet för att kontrollera att strategin fortfarande är användbar.Once in place, your BCDR solutions should be tested regularly to check that your strategy remains viable.

Säkerhetskopiera en IaaS-distributionBack up an IaaS deployment

I de flesta fall tas en lokal arbetsbelastning ur bruk efter migreringen och din lokala strategi för säkerhetskopiering av data måste utökas eller ersättas.In most cases, an on-premises workload is retired after migration, and your on-premises strategy for backing up data must be extended or replaced. Om du migrerar hela datacentret till Azure måste du utforma och implementera en fullständig säkerhetskopieringslösning med hjälp av Azure-tekniker eller integrerade tredjepartslösningar.If you migrate your entire datacenter to Azure, you'll need to design and implement a full backup solution using Azure technologies, or third-party integrated solutions.

För arbetsbelastningar som körs på virtuella Azure IaaS-datorer bör du fundera på följande säkerhetskopieringslösningar:For workloads running on Azure IaaS VMs, consider these backup solutions:

  • Azure Backup: Tillhandahåller programkonsekventa säkerhets kopieringar för virtuella Azure Windows-och Linux-datorer.Azure Backup: Provides application-consistent backups for Azure Windows and Linux VMs.
  • Lagrings ögonblicks bilder: Tar ögonblicks bilder av Blob Storage.Storage snapshots: Takes snapshots of blob storage.

Azure BackupAzure Backup

Med Azure Backup skapas dataåterställningspunkter som lagras i Azure Storage.Azure Backup creates data recovery points that are stored in Azure storage. Azure Backup kan säkerhetskopiera Azure-VM-diskar och Azure Files (förhandsversion).Azure Backup can back up Azure VM disks, and Azure Files (preview). Azure Files tillhandahåller filresurser i molnet som kan nås via SMB.Azure Files provide file shares in the cloud, accessible via SMB.

Du kan använda Azure Backup för att säkerhetskopiera virtuella datorer på ett par olika sätt.You can use Azure Backup to back up VMs in a couple of ways.

  • Direkt säkerhetskopiering från VM-inställningar.Direct backup from VM settings. Du kan säkerhetskopiera virtuella datorer med Azure Backup direkt från alternativen för virtuella datorer i Azure-portalen.You can back up VMs with Azure Backup directly from the VM options in the Azure portal. Du kan säkerhetskopiera den virtuella datorn en gång per dag och du kan återställa den virtuella dator disken efter behov.You can back up the VM once per day, and you can restore the VM disk as needed. Azure Backup tar appmedvetna dataögonblicksbilder (VSS) och ingen agent installeras på den virtuella datorn.Azure Backup takes app-aware data snapshots (VSS), and no agent is installed on the VM.
  • Direkt säkerhetskopiering i ett Recovery Services-valv.Direct backup in a Recovery Services vault. Du kan säkerhetskopiera virtuella IaaS-datorer genom att distribuera ett Azure Backup Recovery Services-valv.You can back up your IaaS VMs by deploying an Azure Backup Recovery Services vault. Det ger en enda plats för att spåra och hantera säkerhetskopior samt detaljerade alternativ för säkerhetskopiering och återställning.This provides a single location to track and manage backups as well as granular backup and restore options. Säkerhetskopieringen sker upp till tre gånger per dag, på fil-/mappnivå.Backup is up to three times a day, at the file/folder level. Den är inte appmedveten och Linux stöds inte.It isn't app-aware and Linux isn't supported. Installera MARS-agenten (Microsoft Azure Recovery Services) på varje virtuell dator som du vill säkerhetskopiera med den här metoden.Install the Microsoft Azure Recovery Services (MARS) agent on each VM that you want to back up using this method.
  • Skydda den virtuella datorn med Azure Backup Server.Protect the VM to Azure Backup Server. Azure Backup Server tillhandahålls utan kostnad med Azure Backup.Azure Backup Server is provided free with Azure Backup. Den virtuella datorn säkerhetskopieras till lokal Azure Backup Server-lagring.The VM is backed up to local Azure Backup Server storage. Sedan säkerhetskopierar du Azure Backup Server till Azure i ett valv.You then back up the Azure Backup Server to Azure in a vault. Säkerhetskopieringen är appmedveten, med fullständig kornighet för säkerhetskopieringsfrekvens och -kvarhållning.Backup is app-aware, with full granularity over backup frequency and retention. Du kan säkerhetskopiera på appnivå, till exempel genom att säkerhetskopiera SQL Server eller SharePoint.You can back up at the app level, for example by backing up SQL Server or SharePoint.

Av säkerhets Azure Backup krypteras data i flygning med AES-256 och skickas via HTTPS till Azure.For security, Azure Backup encrypts data in-flight using AES-256 and sends it over HTTPS to Azure. Säkerhetskopierade vilande data i Azure krypteras med hjälp av kryptering för lagringstjänst (SSE), och data för överföring och lagring.Backed-up data at-rest in Azure is encrypted using Storage Service Encryption (SSE), and data for transmission and storage.

Azure Backup Azure BackupAzure Backup Azure Backup

Lära sig mer:Learn more:

Ögonblicksbilder för lagringStorage snapshots

Virtuella Azure-datorer lagras som sidblobbar i Azure Storage.Azure VMs are stored as page blobs in Azure Storage.

  • Ögonblicksbilder registrerar blobtillståndet vid en viss tidpunkt.Snapshots capture the blob state at a specific point in time.
  • Som en alternativ säkerhetskopieringsmetod för Azure-VM-diskar kan du ta en ögonblicksbild av lagringsblobbar och kopiera dem till ett annat lagringskonto.As an alternative backup method for Azure VM disks, you can take a snapshot of storage blobs and copy them to another storage account.
  • Du kan kopiera en hel blob eller använda en inkrementell ögonblicksbildskopia för att bara kopiera deltaändringar och minska lagringsutrymmet.You can copy an entire blob, or use an incremental snapshot copy to copy only delta changes and reduce storage space.
  • Som en extra försiktighetsåtgärd kan du aktivera mjuk borttagning för bloblagringskonton.As an extra precaution, you can enable soft delete for blob storage accounts. När den här funktionen är aktiverad markeras en blob som tas bort för borttagning men rensas inte omedelbart.With this feature enabled, a blob that's deleted is marked for deletion but not immediately purged. Under övergångsperioden kan blobben återställas.During the interim period, the blob can be restored.

Lära sig mer:Learn more:

Säkerhetskopiering från tredje partThird-party backup

Dessutom kan du använda tredjepartslösningar för att säkerhetskopiera virtuella Azure-datorer och lagringscontainrar till lokal lagring eller andra molnleverantörer.In addition, you can use third-party solutions to back up Azure VMs and storage containers to local storage or other cloud providers. Mer information finns i säkerhets kopierings lösningar på Azure Marketplace.For more information, see backup solutions in the Azure Marketplace.

Konfigurera haveriberedskap för IaaS-apparSet up disaster recovery for IaaS apps

Förutom att skydda data måste planeringen av BCDR överväga hur du ska hålla appar och arbets belastningar tillgängliga om en katastrof inträffar.In addition to protecting data, BCDR planning must consider how to keep apps and workloads available if a disaster occurs. För arbetsbelastningar som körs på virtuella Azure IaaS-datorer och Azure-lagring bör du fundera på följande lösningar:For workloads running on Azure IaaS VMs and Azure storage consider these solutions:

Azure Site RecoveryAzure Site Recovery

Azure Site Recovery är den primära Azure-tjänsten för att se till att virtuella Azure-datorer kan tas online och VM-appar kan göras tillgängliga vid avbrott.Azure Site Recovery is the primary Azure service for ensuring that Azure VMs can be brought online and VM apps made available when outages occur.

Site Recovery replikerar virtuella datorer från en primär till en sekundär Azure-region.Site Recovery replicates VMs from a primary to secondary Azure region. När ett haveri inträffar redundansväxlar du virtuella datorer från den primära regionen och fortsätter att komma åt dem som vanligt i den sekundära regionen.When disaster strikes, you fail VMs over from the primary region, and continue accessing them as normal in the secondary region. När driften återgår till det normala kan du återställa virtuella datorer till den primära regionen.When operations return to normal, you can fail back VMs to the primary region.

Azure Site Recovery Site RecoveryAzure Site Recovery Site Recovery

Lära sig mer:Learn more:

Bästa praxis: Använd hanterade diskar och tillgänglighets uppsättningarBest practice: Use managed disks and availability sets

Azure använder tillgänglighetsuppsättningar för att gruppera virtuella datorer logiskt och för att isolera virtuella datorer i en uppsättning från andra resurser.Azure uses availability sets to logically group VMs together, and to isolate VMs in a set from other resources. Virtuella datorer i en tillgänglighets uppsättning sprids över flera fel domäner med separata under system, vilket skyddar mot lokala fel.VMs in an availability set are spread across multiple fault domains with separate subsystems, which protects against local failures. De virtuella datorerna sprids också över flera uppdaterings domäner, vilket förhindrar en samtidig omstart av alla virtuella datorer i uppsättningen.The VMs are also spread across multiple update domains, preventing a simultaneous reboot of all VMs in the set.

Azure Managed disks fören klar disk hanteringen för virtuella Azure-datorer genom att hantera lagrings konton som är kopplade till de virtuella dator diskarna.Azure managed disks simplify disk management for Azure virtual machines by managing the storage accounts associated with the VM disks.

  • Använd Managed disks när det är möjligt.Use managed disks wherever possible. Du behöver bara ange vilken typ av lagring som du vill använda och storleken på den disk du behöver, så skapar och hanterar Azure disken åt dig.You only have to specify the type of storage you want to use and the size of disk you need, and Azure creates and manages the disk for you.

  • Du kan konvertera befintliga diskar till hanterade diskar.You can convert existing disks to managed disks.

  • Du bör skapa virtuella datorer i tillgänglighetsuppsättningar för hög återhämtning och tillgänglighet.You should create VMs in availability sets for high resilience and availability. När planerade eller oplanerade avbrott uppstår kontrollerar tillgänglighets uppsättningar att minst en virtuell dator i uppsättningen är tillgänglig.When planned or unplanned outages occur, availability sets ensure that at least one VM in the set remains available.

    Managed disks Managed disksManaged disks Managed disks

Lära sig mer:Learn more:

Bästa praxis: övervaka resursanvändning och prestandaBest practice: Monitor resource usage and performance

Du kanske har flyttat dina arbetsbelastningar till Azure för dess omfattande skalningsfunktioner.You might have moved your workloads to Azure for its immense scaling capabilities. Men om du flyttar din arbetsbelastning innebär det inte att Azure automatiskt implementerar skalning utan åtgärd från dig.However, moving your workload doesn't mean that Azure will automatically implement scaling without your input. Som exempel:As an example:

  • Om din marknadsföringsorganisation kör en ny TV-annons som genererar 300 % mer trafik kan det orsaka problem med webbplatstillgänglighet.If your marketing organization pushes a new TV advertisement that drives 300% more traffic, this could cause site availability issues. Arbetsbelastningen du migrerade nyligen kan nå tilldelade gränser och krascha.Your newly migrated workload might hit assigned limits and crash.
  • Ett annat exempel kan vara en DDoS-attack (Distributed Denial-of-Service) på den migrerade arbetsbelastningen.Another example might be a distributed denial-of-service (DDoS) attack on your migrated workload. I det här fallet kanske du inte vill skala, utan förhindra att attackernas källa når dina resurser.In this case you might not want to scale, but to prevent the source of the attacks from reaching your resources.

Dessa två fall har olika lösningar, men för båda behöver du en insikt om vad som händer med användnings- och prestandaövervakning.These two cases have different resolutions, but for both you need an insight into what's happening with usage and performance monitoring.

  • Azure Monitor kan visa dessa mått och ge svar med aviseringar, automatisk skalning, händelsehubbar, logikappar med mera.Azure Monitor can help surface these metrics, and provide response with alerts, autoscaling, event hubs, logic apps and more.

  • Förutom Azure-övervakning kan du integrera ditt SIEM-program från tredje part för att övervaka gransknings- och prestandahändelser i Azure-loggarna.In addition to Azure monitoring, you can integrate your third-party SIEM application to monitor the Azure logs for auditing and performance events.

    Azure Monitor Azure MonitorAzure Monitor Azure Monitor

Lära sig mer:Learn more:

Bästa praxis: Aktivera diagnostisk loggningBest practice: Enable diagnostic logging

Azure-resurser genererar ett antal loggningsmått och telemetridata.Azure resources generate a fair number of logging metrics and telemetry data.

  • Som standard är inte diagnostisk loggning aktiverad för de flesta resurstyper.By default, most resource types don't have diagnostic logging enabled.
  • Genom att aktivera diagnostisk loggning för dina resurser kan du efterfråga loggningsdata och skapa aviseringar och spelböcker baserat på det.By enabling diagnostic logging across your resources, you can query logging data, and build alerts and playbooks based on it.
  • När du aktiverar diagnostisk loggning har varje resurs en specifik uppsättning kategorier.When you enable diagnostic logging, each resource will have a specific set of categories. Du väljer en eller flera loggningskategorier och en plats för loggdata.You select one or more logging categories, and a location for the log data. Loggar kan skickas till ett lagringskonto, en händelsehubb eller till Azure Monitor-loggar.Logs can be sent to a storage account, event hub, or to Azure Monitor logs.

Diagnostisk loggning Diagnostisk loggningDiagnostic logging Diagnostic logging

Lära sig mer:Learn more:

Bästa praxis: Konfigurera aviseringar och spel böckerBest practice: Set up alerts and playbooks

Med diagnostisk loggning aktiverad för Azure-resurser kan du börja använda loggningsdata för att skapa anpassade aviseringar.With diagnostic logging enabled for Azure resources, you can start to use logging data to create custom alerts.

  • Med aviseringar meddelas du proaktivt när villkor hittas i dina övervakningsdata.Alerts proactively notify you when conditions are found in your monitoring data. Sedan kan du åtgärda problem innan systemanvändarna märker dem.You can then address issues before system users notice them. Du kan avisera om till exempel måttvärden, loggsökningsfrågor, aktivitetslogghändelser, plattformshälsa och webbplatstillgänglighet.You can alert on things like metric values, log search queries, activity log events, platform health, and website availability.

  • När aviseringar utlöses kan du köra en logikappsspelbok.When alerts are triggered, you can run a Logic App Playbook. En spelbok hjälper dig att automatisera och samordna ett svar på en specifik avisering.A playbook helps you to automate and orchestrate a response to a specific alert. Spelböcker baseras på Azure-logikappar.Playbooks are based on Azure Logic Apps. Du kan använda logikappsmallar för att skapa spelböcker, eller skapa egna.You can use Logic App templates to create playbooks, or create your own.

  • Som ett enkelt exempel kan du skapa en avisering som utlöses när en portsökning sker mot en nätverkssäkerhetsgrupp.As a simple example, you can create an alert that triggers when a port scan happens against a network security group. Du kan konfigurera en spelbok som kör och låser sökningskällans IP-adress.You can set up a playbook that runs and locks down the IP address of the scan origin.

  • Ett annat exempel kan vara en app med en minnesläcka.Another example might be an app with a memory leak. När minnesanvändningen når en viss punkt kan en spelbok återvinna processen.When the memory usage gets to a certain point, a playbook can recycle the process.

    Aviseringar AviseringarAlerts Alerts

Lära sig mer:Learn more:

Bästa praxis: använda Azure-instrumentpanelenBest practice: Use the Azure dashboard

Azure-portalen är en webbaserad enhetlig konsol som du kan använda för att skapa, hantera och övervaka allt från enkla webbappar till komplexa molnprogram.The Azure portal is a web-based unified console that allows you to build, manage, and monitor everything from simple web apps to complex cloud applications. Den innehåller en anpassningsbar instrumentpanel och hjälpmedelsalternativ.It includes a customizable dashboard and accessibility options.

  • Du kan skapa flera instrumentpaneler och dela dem med andra som har åtkomst till dina Azure-prenumerationer.You can create multiple dashboards and share them with others who have access to your Azure subscriptions.

  • Med den här delade modellen har ditt team insyn i Azure-miljön, så att de kan vara proaktiva när de hanterar system i molnet.With this shared model, your team has visibility into the Azure environment, allowing them to be proactive when managing systems in the cloud.

    Azure-instrumentpanel Azure-instrumentpanelAzure dashboard Azure dashboard

Lära sig mer:Learn more:

Bästa praxis: förstå support avtalBest practice: Understand support plans

Vid något tillfälle måste du samarbeta med din supportpersonal eller Microsofts supportpersonal.At some point, you will need to collaborate with your support staff or Microsoft support staff. Det är viktigt att ha en uppsättning principer och procedurer för support vid scenarier som haveriberedskap.Having a set of policies and procedures for support during scenarios such as disaster recovery is vital. Dessutom bör dina administratörer och supportpersonal utbildas i att implementera dessa principer.In addition, your admins and support staff should be trained on implementing those policies.

  • Om ett problem med Azure-tjänsten mot förmodan påverkar din arbetsbelastning bör administratörer veta hur de skickar in en supportbegäran till Microsoft på det lämpligaste och effektivaste sättet.In the unlikely event that an Azure service issue affects your workload, admins should know how to submit a support ticket to Microsoft in the most appropriate and efficient way.

  • Bekanta dig med de olika supportplanerna som erbjuds för Azure.Familiarize yourself with the various support plans offered for Azure. De sträcker sig från svarstider som är dedikerade för Developer-instanser till Premier Support med en svarstid på mindre än 15 minuter.They range from response times dedicated to Developer instances, to Premier support with a response time of less than 15 minutes.

    Supportplaner SupportplanerSupport plans Support plans

Lära sig mer:Learn more:

Bästa praxis: hantera uppdateringarBest practice: Manage updates

Det är en enorm uppgift att se till att virtuella Azure-datorer är uppdaterade med de senaste operativsystems- och programuppdateringarna.Keeping Azure VMs updated with the latest operating system and software updates is a massive chore. Möjligheten att kontrollera alla virtuella datorer, för att ta reda på vilka uppdateringar de behöver och automatiskt skicka dessa uppdateringar, är mycket värdefull.The ability to surface all VMs, to figure out which updates they need, and to automatically push those updates is extremely valuable.

  • Du kan använda Uppdateringshantering i Azure Automation för att hantera operativsystemsuppdateringar för datorer som kör Windows- och Linux-datorer som distribueras i Azure, lokalt och i andra molnleverantörer.You can use Update Management in Azure Automation to manage operating system updates for machines running Windows and Linux computers that are deployed in Azure, on-premises, and in other cloud providers.

  • Använd Uppdateringshantering för att snabbt bedöma status för tillgängliga uppdateringar på alla agentdatorer och hantera installationen av uppdateringar.Use Update Management to quickly assess the status of available updates on all agent computers, and manage update installation.

  • Du kan aktivera Uppdateringshantering för virtuella datorer direkt via ett Azure Automation-konto.You can enable Update Management for VMs directly from an Azure Automation account. Du kan också uppdatera en enskild virtuell dator från VM-sidan i Azure-portalen.You can also update a single VM from the VM page in the Azure portal.

  • Dessutom kan virtuella Azure-datorer registreras med System Center Configuration Manager.In addition, Azure VMs can be registered with System Center Configuration Manager. Du kan sedan migrera Configuration Manager-arbetsbelastningen till Azure och utföra rapportering och programuppdateringar från ett enda webbgränssnitt.You could then migrate the Configuration Manager workload to Azure, and do reporting and software updates from a single web interface.

    VM-uppdateringar UppdateringarVM updates Updates

Lära sig mer:Learn more:

Implementera en ändringshanteringsprocessImplement a change management process

Precis som med andra produktionssystem kan alla typer av ändringar påverka din miljö.As with any production system, making any type of change can affect your environment. En ändringshanteringsprocess som kräver att begäranden skickas in för att göra ändringar i produktionssystem är ett värdefullt tillägg i den migrerade miljön.A change management process that requires requests to be submitted in order to make changes to production systems is a valuable addition in your migrated environment.

  • Du kan ta fram metodtipsramverk för ändringshantering för att öka medvetenheten hos administratörer och supportpersonal.You can build best practice frameworks for change management to raise awareness in administrators and support staff.
  • Du kan använda Azure Automation för hjälp med konfigurationshantering och ändringsspårning för migrerade arbetsflöden.You can use Azure Automation to help with configuration management and change tracking for your migrated workflows.
  • När du tillämpar ändringshanteringsprocessen kan du använda spårningsloggar för att länka Azure-ändringsloggar till förmodat (eller inte) befintliga ändringsbegäranden.When enforcing change management process, you can use audit logs to link Azure change logs to presumably (or not) existing change requests. Så om du ser att en ändring görs utan motsvarande ändringsbegäran kan du undersöka vad som gått fel i processen.So that if you see a change made without a corresponding change request, you can investigate what went wrong in the process.

Azure har en lösning för ändringsspårning i Azure Automation:Azure has a change tracking solution in Azure Automation:

  • Lösningen spårar ändringar i Windows- och Linux-programvara och -filer, Windows-registernycklar, Windows-tjänster och Linux-daemon.The solution tracks changes to Windows and Linux software and files, Windows registry keys, Windows services, and Linux daemons.

  • Ändringar på övervakade servrar skickas till Azure Monitor-tjänsten i molnet för bearbetning.Changes on monitored servers are sent to the Azure Monitor service in the cloud for processing.

  • Logik tillämpas på mottagna data och molntjänsten registrerar data.Logic is applied to the received data and the cloud service records the data.

  • På instrumentpanelen Ändringsspårning kan du enkelt se vilka ändringar som gjorts i serverinfrastrukturen.On the Change Tracking dashboard, you can easily see the changes that were made in your server infrastructure.

    Ändringshantering ÄndringshanteringChange management Change management

Lära sig mer:Learn more:

Nästa stegNext steps

Läs andra metodtips:Review other best practices: