Metod tips för att skydda och hantera arbets belastningar som migrerats till AzureBest practices to secure and manage workloads migrated to Azure

När du planerar och utformar inför migreringen måste du, förutom att fundera över själva migreringen, ta hänsyn till din säkerhets- och hanteringsmodell i Azure efter migreringen.As you plan and design for migration, in addition to thinking about the migration itself, you need to consider your security and management model in Azure after migration. I den här artikeln beskrivs planering och bästa praxis för att skydda din Azure-distribution efter migrering.This article describes planning and best practices for securing your Azure deployment after migrating. Det omfattar också pågående aktiviteter för att hålla din distribution på en optimal nivå.It also covers ongoing tasks to keep your deployment running at an optimal level.

Viktigt

De metodtips och åsikter som beskrivs i den här artikeln baseras på de tillgängliga funktionerna i Azure-plattformen och -tjänsten när den skrevs.The best practices and opinions described in this article are based on the Azure platform and service features available at the time of writing. Funktioner förändras över tid.Features and capabilities change over time.

Skydda migrerade arbetsbelastningarSecure migrated workloads

Efter migreringen är den mest kritiska uppgiften att skydda migrerade arbetsbelastningar mot interna och externa hot.After migration, the most critical task is to secure migrated workloads from internal and external threats. Dessa metodtips hjälper dig att göra det:These best practices help you to do that:

  • Lär dig hur du arbetar med övervakning, utvärderingar och rekommendationer som tillhandahålls av Azure Security Center.Learn how to work with the monitoring, assessments, and recommendations provided by Azure Security Center.
  • Få metodtips för att kryptera dina data i Azure.Get best practices for encrypting your data in Azure.
  • Skydda dina virtuella datorer mot skadlig kod och skadliga attacker.Protect your VMs from malware and malicious attacks.
  • Skydda känslig information i migrerade webbappar.Keep sensitive information secure in migrated web apps.
  • Kontrollera vilka som har åtkomst till dina Azure-prenumerationer och -resurser efter migreringen.Verify who can access your Azure subscriptions and resources after migration.
  • Granska regelbundet dina spårnings- och säkerhetsloggar i Azure.Review your Azure auditing and security logs on a regular basis.
  • Förstå och utvärdera avancerade säkerhetsfunktioner som Azure erbjuder.Understand and evaluate advanced security features that Azure offers.

Dessa metod tips beskrivs i detalj i de avsnitt som följer.These best practices are described in more detail in the sections that follow.

Bästa praxis: Följ Azure Security Center rekommendationerBest practice: Follow Azure Security Center recommendations

Azures klient administratörer måste aktivera säkerhetsfunktioner som skyddar arbets belastningar mot attacker.Azure tenant admins need to enable security features that protect workloads from attacks. Security Center tillhandahåller enhetlig säkerhets hantering.Security Center provides unified security management. Från Security Center kan du tillämpa säkerhets principer för arbets belastningar, begränsa hot exponering och identifiera och svara på attacker.From Security Center, you can apply security policies across workloads, limit threat exposure, and detect and respond to attacks. Security Center analyserar resurser och konfigurationer över Azure-klienter och gör säkerhets rekommendationer, inklusive:Security Center analyzes resources and configurations across Azure tenants, and makes security recommendations, including:

  • Centraliserad princip hantering: Se till att företagets eller regelns säkerhets krav efterlevs genom att centralt hantera säkerhets principer i alla dina hybrid moln arbets belastningar.Centralized policy management: Ensure compliance with company or regulatory security requirements by centrally managing security policies across all your hybrid cloud workloads.
  • Kontinuerlig säkerhets utvärdering: Övervaka säkerhets position för datorer, nätverk, lagrings-och data tjänster och program för att identifiera potentiella säkerhets problem.Continuous security assessment: Monitor the security posture of machines, networks, storage and data services, and applications to discover potential security issues.
  • Rekommendationer som rekommenderas: Åtgärda säkerhets risker innan de kan utnyttjas av angripare, med prioriterade och åtgärdade säkerhets rekommendationer.Actionable recommendations: Remediate security vulnerabilities before they can be exploited by attackers, with prioritized and actionable security recommendations.
  • Prioriterade aviseringar och incidenter: Fokusera på de mest kritiska hoten först, med prioriterade säkerhets aviseringar och incidenter.Prioritized alerts and incidents: Focus on the most critical threats first, with prioritized security alerts and incidents.

Förutom utvärderingar och rekommendationer ger Security Center andra säkerhetsfunktioner som du kan aktivera för vissa resurser.In addition to assessments and recommendations, Security Center provides other security features that you can enable for specific resources.

  • JIT-åtkomst (just-in-Time).Just-in-time (JIT) access. Minska din nätverks Attacks yta med JIT, kontrollerad åtkomst till hanterings portar på virtuella Azure-datorer.Reduce your network attack surface with JIT, controlled access to management ports on Azure VMs.
    • När den virtuella datorns RDP-port 3389 är öppen på Internet exponeras virtuella datorer för kontinuerlig aktivitet från dåliga aktörer.Having VM RDP port 3389 open on the internet exposes VMs to continual activity from bad actors. Azures IP-adresser är välkända och hackare söker kontinuerligt av dem för attacker på öppna 3389-portar.Azure IP addresses are well-known, and hackers continually probe them for attacks on open 3389 ports.
    • JIT använder nätverks säkerhets grupper (NSG: er) och inkommande regler som begränsar hur lång tid en specifik port är öppen.JIT uses network security groups (NSGs) and incoming rules that limit the amount of time that a specific port is open.
    • När JIT-åtkomst är aktiverat kontrollerar Security Center att en användare har Azure-rollbaserad åtkomst kontroll (Azure RBAC) Skriv behörighet för en virtuell dator.With JIT access enabled, Security Center checks that a user has Azure role-based access control (Azure RBAC) write access permissions for a VM. Dessutom kan du ange regler för hur användare kan ansluta till virtuella datorer.In addition, you can specify rules for how users can connect to VMs. Om behörigheterna är OK godkänns en åtkomstbegäran och Security Center konfigurerar NSG: er att tillåta inkommande trafik till de valda portarna under den tid som du anger.If permissions are OK, an access request is approved, and Security Center configures NSGs to allow inbound traffic to the selected ports for the amount of time you specify. NSG: er återgår till sitt tidigare tillstånd när tiden går ut.NSGs return to their previous state when the time expires.
  • Anpassningsbara program kontroller.Adaptive application controls. Behåll program vara och skadlig kod från virtuella datorer genom att kontrol lera vilka program som körs på dem med hjälp av dynamiska listor över tillåtna.Keep software and malware off VMs by controlling which applications run on them, by using dynamic allow lists.
    • Med anpassningsbara program kontroller kan du godkänna program och hindra falska användare och administratörer från att installera ej godkända eller först konsumentsajter program på dina virtuella datorer.Adaptive application controls allow you to approve applications, and prevent rogue users or administrators from installing unapproved or vetting software applications on your VMs.
      • Du kan blockera eller varna försök att köra skadliga program, undvika oönskade eller skadliga program och se till att organisationens program säkerhets princip efterlevs.You can block or alert attempts to run malicious applications, avoid unwanted or malicious applications, and ensure compliance with your organization's application security policy.
  • Övervakning av fil integritet.File Integrity Monitoring. Säkerställ integriteten för filer som körs på virtuella datorer.Ensure the integrity of files running on VMs.
    • Du behöver inte installera program vara för att orsaka problem med virtuella datorer.You don't need to install software to cause VM issues. Att ändra en systemfil kan också orsaka fel eller prestandaförsämring.Changing a system file can also cause VM failure or performance degradation. Övervakning av fil integritet undersöker systemfiler och register inställningar för ändringar och meddelar dig om något har uppdaterats.File Integrity Monitoring examines system files and registry settings for changes, and notifies you if something is updated.
    • Security Center rekommenderar vilka filer du bör övervaka.Security Center recommends which files you should monitor.

Lära sig mer:Learn more:

Bästa praxis: kryptera dataBest practice: Encrypt data

Kryptering är en viktig del av Azures säkerhetspraxis.Encryption is an important part of Azure security practices. Att se till att kryptering är aktiverat på alla nivåer hjälper till att förhindra att obehöriga parter får åtkomst till känsliga data, inklusive data under överföring och i vila.Ensuring that encryption is enabled at all levels helps prevent unauthorized parties from gaining access to sensitive data, including data in transit and at rest.

Kryptering för infrastruktur som en tjänstEncryption for infrastructure as a service

  • Virtuella datorer: För virtuella datorer kan du använda Azure Disk Encryption för att kryptera din Windows-och Linux-infrastruktur som en tjänst (IaaS) VM-diskar.Virtual machines: For VMs, you can use Azure Disk Encryption to encrypt your Windows and Linux infrastructure as a service (IaaS) VM disks.
    • Azure Disk Encryption använder BitLocker för Windows och dm-crypt för Linux för att tillhandahålla volym kryptering för operativ systemet och data diskar.Azure Disk Encryption uses BitLocker for Windows, and dm-crypt for Linux, to provide volume encryption for the operating system and data disks.
    • Du kan använda en krypteringsnyckel som skapas av Azure eller ange egna krypteringsnycklar, som skyddas i Azure Key Vault.You can use an encryption key created by Azure, or you can supply your own encryption keys, safeguarded in Azure Key Vault.
    • Med Azure Disk Encryption säkras IaaS VM-data i vila (på disken) och vid start av virtuella datorer.With Azure Disk Encryption, IaaS VM data is secured at rest (on the disk) and during VM boot.
      • Security Center varnar dig om du har virtuella datorer som inte är krypterade.Security Center alerts you if you have VMs that aren't encrypted.
  • Lagring: Skydda vilande data som lagras i Azure Storage.Storage: Protect at-rest data stored in Azure Storage.
    • Data som lagras i Azure Storage-konton kan krypteras med hjälp av Microsoft-genererade AES-nycklar som är FIPS 140-2-kompatibla, eller så kan du använda dina egna nycklar.Data stored in Azure Storage accounts can be encrypted by using Microsoft-generated AES keys that are FIPS 140-2 compliant, or you can use your own keys.
    • Azure Storage kryptering har Aktiver ATS för alla nya och befintliga lagrings konton och kan inte inaktive ras.Azure Storage encryption is enabled for all new and existing storage accounts, and it can't be disabled.

Kryptering för plattform som en tjänstEncryption for platform as a service

Till skillnad från IaaS hanteras i en plattform som en tjänst (PaaS) modell plattform och infrastruktur av providern, där du hanterar dina egna virtuella datorer och infrastrukturer.Unlike IaaS, in which you manage your own VMs and infrastructure, in a platform as a service (PaaS) model platform and infrastructure is managed by the provider. Du kan fokusera på grundläggande program logik och-funktioner.You can focus on core application logic and capabilities. Med så många olika typer av PaaS-tjänster utvärderas varje tjänst separat av säkerhetsskäl.With so many different types of PaaS services, each service is evaluated individually for security purposes. Vi kan till exempel se hur du kan aktivera kryptering för Azure SQL Database.As an example, let's see how you might enable encryption for Azure SQL Database.

  • Always Encrypted: Använd guiden Always Encrypted i SQL Server Management Studio för att skydda data i vila.Always Encrypted: Use the Always Encrypted wizard in SQL Server Management Studio to protect data at rest.
    • Du skapar en Always Encrypted nyckel för att kryptera enskilda kolumn data.You create an Always Encrypted key to encrypt individual column data.
    • Always Encrypted-nycklar kan lagras som krypterade i databasmetadata eller lagras i betrodda nyckelarkiv, till exempel Azure Key Vault.Always Encrypted keys can be stored as encrypted in database metadata, or stored in trusted key stores such as Azure Key Vault.
    • Förmodligen måste du göra program ändringar för att använda den här funktionen.Most likely, you'll need to make application changes to use this feature.
  • Transparent data kryptering (TDE): Skydda Azure SQL Database med kryptering och dekryptering i real tid av databasen, tillhör ande säkerhets kopior och transaktionsloggfiler i vila.Transparent data encryption (TDE): Protect the Azure SQL Database with real-time encryption and decryption of the database, associated backups, and transaction log files at rest.
    • TDE tillåter att krypterings aktiviteter sker utan ändringar på program nivån.TDE allows encryption activities to take place without changes at the application layer.
    • TDE kan använda krypterings nycklar från Microsoft, eller så kan du ta med din egen nyckel.TDE can use encryption keys provided by Microsoft, or you can bring your own key.

Lära sig mer:Learn more:

Bästa praxis: skydda virtuella datorer med program mot skadlig kodBest practice: Protect VMs with antimalware

I synnerhet kanske äldre Azure-migrerade virtuella datorer inte har rätt nivå av program vara för program vara installerad.In particular, older Azure-migrated VMs might not have the appropriate level of antimalware installed. Azure tillhandahåller en kostnadsfri slutpunktslösning som hjälper till att skydda virtuella datorer mot virus, spionprogram och annan skadlig kod.Azure provides a free endpoint solution that helps protect VMs from viruses, spyware, and other malware.

  • Microsoft Antimalware för Azure Cloud Services och Virtual Machines genererar aviseringar när en känd skadlig eller oönskad program vara försöker installera sig själv.Microsoft Antimalware for Azure Cloud Services and Virtual Machines generates alerts when known malicious or unwanted software tries to install itself.

  • Det är en lösning med en agent som körs i bakgrunden utan mänsklig inblandning.It's a single agent solution that runs in the background without human intervention.

  • I Security Center kan du identifiera virtuella datorer som inte har Endpoint Protection att köra och installera Microsoft Antimalware vid behov.In Security Center, you can identify VMs that don't have endpoint protection running and install Microsoft antimalware as needed.

    Skärm bild av program mot skadlig kod för virtuella datorer. Bild 1: program mot skadlig kod för virtuella datorer.Screenshot of Antimalware for VMs. Figure 1: Antimalware for VMs.

Lära sig mer:Learn more:

Bästa praxis: säkra webbapparBest practice: Secure web apps

Migrerade webbappar har ett par problem:Migrated web apps face a couple of issues:

  • De flesta äldre webbappar har känslig information i konfigurationsfiler.Most legacy web applications tend to have sensitive information inside configuration files. Filer som innehåller sådan information kan innebära säkerhets problem när program säkerhets kopie ras eller när program kod checkas in eller ut ur käll kontrollen.Files containing such information can present security issues when applications are backed up, or when application code is checked into or out of source control.
  • När du migrerar webbappar som finns på en virtuell dator flyttar du förmodligen datorn från en lokal miljö och brand Väggs skyddad miljö till en miljö som är riktad mot Internet.When you migrate web apps residing in a VM, you're likely moving that machine from an on-premises network and firewall-protected environment, to an environment facing the internet. Se till att du konfigurerar en lösning som utför samma arbete som dina lokala skyddsresurser.Make sure that you set up a solution that does the same work as your on-premises protection resources.

Azure tillhandahåller följande lösningar:Azure provides the following solutions:

  • Azure Key Vault: I dag vidtar webbappars utvecklare steg för att se till att känslig information inte läcker ut från dessa filer.Azure Key Vault: Today, web app developers are taking steps to ensure that sensitive information isn't leaked from these files. En metod för att skydda information är att extrahera den från filer och placera den i Azure Key Vault.One method to secure information is to extract it from files and put it into an Azure Key Vault.

    • Du kan använda Key Vault för att centralisera lagringen av program hemligheter och kontrol lera deras distribution.You can use Key Vault to centralize storage of application secrets, and control their distribution. Det gör att du inte behöver lagra säkerhets information i programfiler.It avoids the need to store security information in application files.
    • Program kan få säker åtkomst till information i valvet med hjälp av URI: er, utan att behöva anpassad kod.Applications can securely access information in the vault by using URIs, without needing custom code.
    • Med Azure Key Vault kan du låsa åtkomst via Azures säkerhets kontroller och för att sömlöst implementera löpande nycklar.Azure Key Vault allows you to lock down access via Azure security controls, and to seamlessly implement rolling keys. Microsoft varken ser eller extraherar dina data.Microsoft doesn't see or extract your data.
  • App Service-miljön för Power Apps: Om ett program som du migrerar behöver extra skydd bör du överväga att lägga till App Service-miljön och brand vägg för webbaserade program för att skydda program resurserna.App Service Environment for Power Apps: If an application that you migrate needs extra protection, consider adding App Service Environment and Web Application Firewall to protect the application resources.

    • App Service-miljön ger en helt isolerad och dedikerad miljö för att köra program, till exempel Windows-och Linux-webbappar, Docker-behållare, mobilappar och Function-appar.App Service Environment provides a fully isolated and dedicated environment for running applications, such as Windows and Linux web apps, Docker containers, mobile apps, and function apps.
    • Det är användbart för program som är mycket storskaliga, kräver isolering och säker nätverks åtkomst, eller har hög minnes användning.It's useful for applications that are very high scale, require isolation and secure network access, or have high memory utilization.
  • Brand vägg för webbaserade program: Detta är en funktion i Azure Application Gateway som tillhandahåller centraliserat skydd för Web Apps.Web Application Firewall: This is a feature of Azure Application Gateway that provides centralized protection for web apps.

    • Den skyddar webbappar utan att kräva ändringar i serverdelskoden.It protects web apps without requiring back-end code modifications.
    • Den skyddar flera webbappar samtidigt, bakom Application Gateway.It protects multiple web apps at the same time, behind Application Gateway.
    • Du kan övervaka brand väggen för webbaserade program med hjälp av Azure Monitor.You can monitor Web Application Firewall by using Azure Monitor. Brand väggen för webbaserade program är integrerad i Security Center.Web Application Firewall is integrated into Security Center.

    Diagram över Azure Key Vault-och säkra webbappar. Bild 2: Azure Key Vault.Diagram of Azure Key Vault and secure web apps. Figure 2: Azure Key Vault.

Lära sig mer:Learn more:

Bästa praxis: granska prenumerationer och resurs behörigheterBest practice: Review subscriptions and resource permissions

När du migrerar dina arbetsbelastningar och kör dem i Azure flyttas personal med arbetsbelastningsåtkomst runt.As you migrate your workloads and run them in Azure, staff with workload access move around. Ditt säkerhetsteam bör regelbundet granska åtkomst till din Azure-klientorganisation och -resursgrupper.Your security team should review access to your Azure tenant and resource groups on a regular basis. Azure har erbjudanden för identitets hantering och åtkomst kontroll säkerhet, inklusive rollbaserad åtkomst kontroll i Azure (Azure RBAC) för att ge behörighet att få åtkomst till Azure-resurser.Azure has offerings for identity management and access control security, including Azure role-based access control (Azure RBAC) to authorize permissions to access Azure resources.

  • Azure RBAC tilldelar åtkomst behörigheter för säkerhets objekt.Azure RBAC assigns access permissions for security principals. Säkerhets objekt representerar användare, grupper (en uppsättning användare), tjänstens huvud namn (identitet som används av program och tjänster) och hanterade identiteter (en Azure Active Directory identitet som hanteras automatiskt av Azure).Security principals represent users, groups (a set of users), service principals (identity used by applications and services), and managed identities (an Azure Active Directory identity automatically managed by Azure).
  • Azure RBAC kan tilldela roller till säkerhets objekt (till exempel ägare, deltagare och läsare) och roll definitioner (en samling behörigheter) som definierar de åtgärder som rollerna kan utföra.Azure RBAC can assign roles to security principals (such as Owner, Contributor, and Reader) and role definitions (a collection of permissions) that define the operations that the roles can perform.
  • Azure RBAC kan också ange omfång som anger gränserna för en roll.Azure RBAC can also set scopes that set the boundary for a role. Omfattningen kan ställas in på flera nivåer, inklusive en hanterings grupp, en prenumeration, en resurs grupp eller en resurs.The scope can be set at several levels, including a management group, subscription, resource group, or resource.
  • Se till att administratörer med Azure-åtkomst endast kan komma åt resurser som du vill tillåta.Ensure that admins with Azure access can access only resources that you want to allow. Om de fördefinierade rollerna i Azure inte är tillräckligt detaljerade kan du skapa anpassade roller för att avgränsa och begränsa åtkomstbehörigheter.If the predefined roles in Azure aren't granular enough, you can create custom roles to separate and limit access permissions.

Se till att administratörer med Azure-åtkomst endast kan komma åt resurser som du vill tillåta.Ensure that admins with Azure access can access only resources that you want to allow. Om de fördefinierade rollerna i Azure inte är tillräckligt detaljerade kan du skapa anpassade roller för att avgränsa och begränsa åtkomstbehörigheter.If the predefined roles in Azure aren't granular enough, you can create custom roles to separate and limit access permissions.

Skärm bild av åtkomst kontroll.Screenshot of Access control. Bild 3: åtkomst kontroll.Figure 3: Access control.

Lära sig mer:Learn more:

Bästa praxis: granska gransknings-och säkerhets loggarBest practice: Review audit and security logs

Azure AD innehåller aktivitets loggar som visas i Azure Monitor.Azure AD provides activity logs that appear in Azure Monitor. Loggarna registrerar de åtgärder som utförs i Azure-klientorganisationen, när de utfördes och vem som utförde dem.The logs capture the operations performed in Azure tenancy, when they occurred, and who performed them.

  • Spårningsloggar visar historiken för aktiviteter i klientorganisationen.Audit logs show the history of tasks in the tenant. Inloggningsaktivitetsloggar visar vem som utförde aktiviteterna.Sign-in activity logs show who carried out the tasks.

  • Åtkomst till säkerhetsrapporter är beroende av din Azure AD-licens.Access to security reports depends on your Azure AD license. Med de kostnads fria och grundläggande licenserna får du en lista över riskfyllda användare och inloggningar. Med Premium-licenserna får du underliggande händelse information.With the free and basic licenses, you get a list of risky users and sign-ins. With the premium licenses, you get underlying event information.

  • Du kan dirigera aktivitetsloggar till olika slutpunkter för långsiktig kvarhållning och datainsikter.You can route activity logs to various endpoints for long-term retention and data insights.

  • Gör det till en vanlig metod för att granska loggarna eller integrera dina SIEM-verktyg (Security information and Event Management) för att automatiskt granska avvikelser.Make it a common practice to review the logs, or integrate your security information and event management (SIEM) tools to automatically review abnormalities. Om du inte använder en Premium-licens behöver du göra mycket analys själv eller genom att använda SIEM-systemet.If you're not using a premium license, you'll need to do a lot of analysis yourself, or by using your SIEM system. Analys innefattar att söka efter riskfyllda inloggningar och händelser, och andra mönster för användarangrepp.Analysis includes looking for risky sign-ins and events, and other user attack patterns.

    Skärm bild av Azure AD-användare och-grupper. Bild 4: användare och grupper i Azure AD.Screenshot of Azure AD Users and groups. Figure 4: Azure AD users and groups.

Lära sig mer:Learn more:

Bästa praxis: utvärdera andra säkerhetsfunktionerBest practice: Evaluate other security features

Azure innehåller andra säkerhetsfunktioner som tillhandahåller avancerade säkerhetsalternativ.Azure provides other security features that provide advanced security options. Observera att vissa av följande metod tips kräver tilläggs licenser och Premium alternativ.Note that some of the following best practices require add-on licenses and premium options.

  • Implementera administrativa Azure AD-enheter (AU).Implement Azure AD administrative units (AU). Det kan vara svårt att delegera administrativa uppgifter till supportpersonal med bara grundläggande Azure-åtkomstkontroll.Delegating administrative duties to support staff can be tricky with just basic Azure access control. Att ge supportpersonal åtkomst att administrera alla grupper i Azure AD kanske inte är den idealiska metoden för organisationens säkerhet.Giving support staff access to administer all the groups in Azure AD might not be the ideal approach for organizational security. Med AU kan du åtskilja Azure-resurser i behållare på ett liknande sätt för lokala organisationsenheter (OU).Using AU allows you to segregate Azure resources into containers in a similar way to on-premises organizational units (OUs). För att använda Australien måste AU-administratören ha en Premium Azure AD-licens.To use AUs, the AU admin must have a premium Azure AD license. Mer information finns i hantering av administrativa enheter i Azure AD.For more information, see Administrative units management in Azure AD.
  • Använd Multi-Factor Authentication.Use multi-factor authentication. Om du har en premium Azure AD-licens kan du aktivera och tillämpa multifaktorautentisering på dina administratörskonton.If you have a premium Azure AD license, you can enable and enforce multi-factor authentication on your admin accounts. Nätfiske är det vanligaste sättet som kontons autentiseringsuppgifter komprometteras.Phishing is the most common way that accounts credentials are compromised. När en felaktig aktör har autentiseringsuppgifter för administratörs kontot finns det inget som hindrar dem från att ta slut på åtgärder, till exempel att ta bort alla resurs grupper.When a bad actor has admin account credentials, there's no stopping them from far-reaching actions, such as deleting all of your resource groups. Du kan tillämpa multifaktorautentisering på flera olika sätt, bland annat med e-post, en autentiseringsapp och textmeddelanden.You can establish multi-factor authentication in several ways, including with email, an authenticator app, and phone text messages. Som administratör kan du välja det minst störande alternativet.As an administrator, you can select the least intrusive option. Multi-Factor Authentication integreras med hot analyser och principer för villkorlig åtkomst för att slumpmässigt kräva ett svar på Multi-Factor Authentication-svar.Multi-factor authentication integrates with threat analytics and conditional access policies to randomly require a multi-factor authentication challenge response. Läs mer om säkerhetsvägledning och hur du konfigurerar multifaktorautentisering.Learn more about security guidance, and how to set up multi-factor authentication.
  • Implementera villkorlig åtkomst.Implement conditional access. I de flesta små och medel stora organisationer finns Azure-administratörer och support teamet förmodligen i samma geografi.In most small and medium-sized organizations, Azure admins and the support team are probably located in a single geography. I det här fallet kommer de flesta inloggningar från samma områden.In this case, most sign-ins come from the same areas. Om IP-adresserna för dessa platser är relativt statiska, är det klokt att du inte ser administratörs inloggningar utanför dessa områden.If the IP addresses of these locations are fairly static, it makes sense that you shouldn't see administrator sign-ins from outside these areas. Även om en fjärran sluten aktör angriper en administratörs autentiseringsuppgifter, kan du implementera säkerhetsfunktioner som villkorlig åtkomst, kombinerat med Multi-Factor Authentication, för att förhindra inloggning från fjärranslutna platser.Even if a remote bad actor compromises an administrator's credentials, you can implement security features like conditional access, combined with multi-factor authentication, to prevent signing in from remote locations. Detta kan även förhindra falska platser från slumpmässiga IP-adresser.This can also prevent spoofed locations from random IP addresses. Läs mer om villkorlig åtkomst och Granska metod tips för villkorlig åtkomst i Azure AD.Learn more about conditional access and review best practices for conditional access in Azure AD.
  • Granska behörigheter för företags program.Review enterprise application permissions. Med tiden väljer administratörer Microsoft och länkar från tredje part utan att känna till deras påverkan på organisationen.Over time, admins select Microsoft and third-party links without knowing their affect on the organization. Länkar kan presentera medgivande skärmar som tilldelar behörigheter till Azure-appar.Links can present consent screens that assign permissions to Azure apps. Detta kan ge åtkomst till att läsa Azure AD-data eller till och med fullständig åtkomst för att hantera hela Azure-prenumerationen.This might allow access to read Azure AD data, or even full access to manage your entire Azure subscription. Du bör regelbundet granska de program som dina administratörer och användare har tillåtit åtkomst till Azure-resurser.You should regularly review the applications to which your admins and users have allowed access to Azure resources. Se till att dessa program bara har de behörigheter som krävs.Ensure that these applications have only the permissions that are necessary. Dessutom kan du e-posta varje kvartal eller halvår till användare med en länk till program sidor, så att de är medvetna om de program som de har åtkomst till deras organisations data.Additionally, quarterly or semi-annually you can email users with a link to application pages, so that they're aware of the applications to which they've allowed access to their organizational data. Mer information finns i oväntat program i listan Mina programoch hur du styr program tilldelningar i Azure AD.For more information, see Unexpected application in my applications list, and how to control application assignments in Azure AD.

Hanterade migrerade arbetsbelastningarManaged migrated workloads

I följande avsnitt rekommenderar vi några metod tips för Azure-hantering, inklusive:In the following sections, we'll recommend some best practices for Azure management, including:

  • Metodtips för Azure-resursgrupper och -resurser, inklusive smart namngivning, förhindrande av oavsiktlig borttagning, hantering av resursbehörigheter och effektiv resurstaggning.Best practices for Azure resource groups and resources, including smart naming, preventing accidental deletion, managing resource permissions, and effective resource tagging.
  • Få en snabb översikt över hur du använder skisser för att skapa och hantera distributionsmiljöer.Get a quick overview on using blueprints for building and managing your deployment environments.
  • Granska exempel på Azure-arkitekturer att lära dig av när du skapar distributioner efter migreringen.Review sample Azure architectures to learn from as you build your post-migration deployments.
  • Om du har flera prenumerationer kan du samla dem i hanteringsgrupper och använda styrningsinställningar för dessa grupper.If you have multiple subscriptions, you can gather them into management groups, and apply governance settings to those groups.
  • Tillämpa efterlevnadsprinciper på dina Azure-resurser.Apply compliance policies to your Azure resources.
  • Utforma en BCDR-strategi (affärskontinuitet och haveriberedskap) för att se till att data skyddas, miljön är motståndskraftig och resurser fungerar vid avbrott.Put together a business continuity and disaster recovery (BCDR) strategy to keep data safe, your environment resilient, and resources up and running when outages occur.
  • Gruppera virtuella datorer i tillgänglighetsgrupper för motståndskraft och hög tillgänglighet.Group VMs into availability groups for resilience and high availability. Använd hanterade diskar för enkel disk- och lagringshantering för virtuella datorer.Use managed disks for ease of VM disk and storage management.
  • Aktivera diagnostisk loggning för Azure-resurser, skapa aviseringar och spelböcker för proaktiv felsökning och använd Azure-instrumentpanelen för en enhetlig vy över distributionens hälsa och status.Enable diagnostic logging for Azure resources, build alerts and playbooks for proactive troubleshooting, and use the Azure dashboard for a unified view of your deployment health and status.
  • Förstå ditt support avtal för Azure och hur du implementerar det, få bästa praxis för att hålla virtuella datorer uppdaterade och placera processer i stället för ändrings hantering.Understand your Azure Support plan and how to implement it, get best practices for keeping VMs up-to-date, and put processes in place for change management.

Bästa praxis: namnge resurs grupperBest practice: Name resource groups

Se till att dina resurs grupper har meningsfulla namn som administratörer och support grupp medlemmar enkelt kan identifiera och skanna.Ensure that your resource groups have meaningful names that admins and support team members can easily recognize and scan. Detta kan drastiskt förbättra produktiviteten och effektiviteten.This can drastically improve productivity and efficiency.

Om du synkroniserar din lokala Active Directory till Azure AD med hjälp av Azure AD Connect bör du överväga att matcha namnen på säkerhets grupperna lokalt till namnen på resurs grupperna i Azure.If you're synchronizing your on-premises Active Directory to Azure AD by using Azure AD Connect, consider matching the names of security groups on-premises to the names of resource groups in Azure.

Skärm bild av namngivning av resurs grupper.Screenshot of resource group naming. Bild 5: namngivning av resurs grupper.Figure 5: Resource group naming.

Lära sig mer:Learn more:

Bästa praxis: implementera ta bort lås för resurs grupperBest practice: Implement delete locks for resource groups

Det sista du behöver är att en resursgrupp försvinner eftersom den tagits bort av misstag.The last thing you need is for a resource group to disappear because it was deleted accidentally. Vi rekommenderar att du implementerar borttagnings lås, så att det inte sker.We recommend that you implement delete locks, so that this doesn't happen.

Skärm bild av borttagnings lås.Screenshot of delete locks. Bild 6: ta bort lås.Figure 6: Delete locks.

Lära sig mer:Learn more:

Bästa praxis: förstå resurs åtkomst behörigheterBest practice: Understand resource access permissions

En prenumerationsägare har åtkomst till alla resursgrupper och resurser i prenumerationen.A subscription owner has access to all the resource groups and resources in your subscription.

  • Var försiktig med att ge personer den här värdefulla tilldelningen.Add people sparingly to this valuable assignment. Det är viktigt att förstå konsekvenserna av dessa typer av behörigheter för att hålla miljön säker och stabil.Understanding the ramifications of these types of permissions is important in keeping your environment secure and stable.
  • Se till att du placerar resurser i lämpliga resurs grupper:Make sure you place resources in appropriate resource groups:
    • Matcha resurser med liknande livscykel tillsammans.Match resources with a similar lifecycle together. Du bör helst inte behöva flytta en resurs när du behöver ta bort en hel resursgrupp.Ideally, you shouldn't need to move a resource when you need to delete an entire resource group.
    • Resurser som rör en funktion eller arbetsbelastning bör placeras tillsammans för förenklad hantering.Resources that support a function or workload should be placed together for simplified management.

Lära sig mer:Learn more:

Bästa praxis: tagga resurser effektivtBest practice: Tag resources effectively

Om du bara använder ett resurs grupp namn som är relaterat till resurser får du ofta inte tillräckligt med metadata för effektiv implementering av mekanismer, till exempel intern fakturering eller hantering i en prenumeration.Often, using only a resource group name related to resources won't provide enough metadata for effective implementation of mechanisms, such as internal billing or management within a subscription.

  • Vi rekommenderar att du använder Azure-taggar för att lägga till användbara metadata som kan frågas och rapporteras.As a best practice, use Azure tags to add useful metadata that can be queried and reported on.

  • Taggar ger ett sätt att organisera resurser logiskt med egenskaper som du definierar.Tags provide a way to logically organize resources with properties that you define. Taggar kan tillämpas direkt på resursgrupper eller resurser.Tags can be applied to resource groups or resources directly.

  • Taggar kan tillämpas på en resursgrupp eller på enskilda resurser.Tags can be applied on a resource group or on individual resources. En resursgrupps taggar ärvs inte av resurserna i gruppen.Resource group tags aren't inherited by the resources in the group.

  • Du kan automatisera taggning genom att använda PowerShell eller Azure Automation, eller tagga enskilda grupper och resurser.You can automate tagging by using PowerShell or Azure Automation, or tag individual groups and resources.

  • Om du har ett system för begäranden och ändringshantering kan du enkelt använda informationen i begäran för att fylla i företagsspecifika resurstaggar.If you have a request and change management system in place, then you can easily use the information in the request to populate your company-specific resource tags.

    Skärm bild av taggning. Bild 7: tagga.Screenshot of tagging. Figure 7: Tagging.

Lära sig mer:Learn more:

Bästa praxis: implementera skisserBest practice: Implement blueprints

Precis som en skiss gör det möjligt för tekniker och arkitekter att skissa upp ett projekts design parametrar, tjänsten Azure-ritningar gör det möjligt för moln arkitekter och centrala IT-grupper att definiera en upprepnings bar uppsättning Azure-resurser.Just as a blueprint allows engineers and architects to sketch a project's design parameters, the Azure Blueprints service enables cloud architects and central IT groups to define a repeatable set of Azure resources. Detta hjälper dem att implementera och följa en organisations standarder, mönster och krav.This helps them to implement and adhere to an organization's standards, patterns, and requirements. Med hjälp av Azure-ritningar kan utvecklings team snabbt bygga och skapa nya miljöer som uppfyller organisationens krav på efterlevnad.Using Azure Blueprints, development teams can rapidly build and create new environments that meet organizational compliance requirements. Dessa nya miljöer har en uppsättning inbyggda komponenter, till exempel nätverk, för att påskynda utvecklingen och leveransen.These new environments have a set of built-in components, such as networking, to speed up development and delivery.

  • Använd skisser för att samordna distributionen av resursgrupper, Azure Resource Manager-mallar och princip- och rolltilldelningar.Use blueprints to orchestrate the deployment of resource groups, Azure Resource Manager templates, and policy and role assignments.
  • Lagra ritningar i en globalt distribuerad tjänst Azure Cosmos DB.Store blueprints in a globally distributed service, Azure Cosmos DB. Skissobjekt replikeras till flera Azure-regioner.Blueprint objects are replicated to multiple Azure regions. Replikering ger låg latens, hög tillgänglighet och konsekvent åtkomst till en skiss, oavsett vilken region en skiss distribuerar resurser till.Replication provides low latency, high availability, and consistent access to a blueprint, regardless of the region to which a blueprint deploys resources.

Lära sig mer:Learn more:

Bästa praxis: granska Azure Reference arkitekturerBest practice: Review Azure reference architectures

Det kan kännas överväldigande att skapa säkra, skalbara och hanterbara arbetsbelastningar i Azure.Building secure, scalable, and manageable workloads in Azure can be daunting. Med kontinuerliga ändringar kan det vara svårt att hålla reda på olika funktioner för en optimal miljö.With continual changes, it can be difficult to keep up with different features for an optimal environment. Att ha en referens att lära dig av kan vara till hjälp när du utformar och migrerar dina arbetsbelastningar.Having a reference to learn from can be helpful when designing and migrating your workloads. Azure och Azure-partner har skapat flera exempel på referensarkitekturer för olika typer av miljöer.Azure and Azure partners have built several sample reference architectures for various types of environments. Dessa exempel är utformade för att ge idéer som du kan lära dig av och bygga vidare på.These samples are designed to provide ideas that you can learn from and build on.

Referensarkitekturer ordnas efter scenario.Reference architectures are arranged by scenario. De innehåller bästa praxis och råd om hantering, tillgänglighet, skalbarhet och säkerhet.They contain best practices and advice on management, availability, scalability, and security. App Service-miljön ger en helt isolerad och dedikerad miljö för att köra program, till exempel Windows-och Linux-webbappar, Docker-behållare, mobilappar och-funktioner.App Service Environment provides a fully isolated and dedicated environment for running applications, such as Windows and Linux web apps, Docker containers, mobile apps, and functions. App Service lägger till kraften hos Azure i ditt program, med säkerhet, belastningsutjämning, automatisk skalning och automatiserad hantering.App Service adds the power of Azure to your application, with security, load balancing, autoscaling, and automated management. Du kan även dra nytta av dess DevOps-funktioner, till exempel kontinuerlig distribution från Azure DevOps och GitHub, pakethantering, mellanlagringsmiljöer, anpassade domäner och SSL-certifikat.You can also take advantage of its DevOps capabilities, such as continuous deployment from Azure DevOps and GitHub, package management, staging environments, custom domain, and SSL certificates. App Service är användbart för program som behöver isolering och säker nätverks åtkomst, och de som använder stora mängder minne och andra resurser som behöver skalas.App Service is useful for applications that need isolation and secure network access, and those that use high amounts of memory and other resources that need to scale.

Lära sig mer:Learn more:

Bästa praxis: hantera resurser med Azures hanterings grupperBest practice: Manage resources with Azure management groups

Om din organisation har flera prenumerationer behöver du hantera åtkomst, principer och efterlevnad för dem.If your organization has multiple subscriptions, you need to manage access, policies, and compliance for them. Azure-hanteringsgrupper ger en omgångsnivå som omfattar prenumerationer.Azure management groups provide a level of scope above subscriptions. Här följer några tips:Here are some tips:

  • Du ordnar prenumerationer i behållare som kallas för hanterings grupper och tillämpar styrnings villkor för dem.You organize subscriptions into containers called management groups, and apply governance conditions to them.
  • Alla prenumerationer i en hanteringsgrupp ärver automatiskt hanteringsgruppens villkor.All subscriptions in a management group automatically inherit the management group conditions.
  • Hanterings grupper ger storskalig hantering i företags klass, oavsett vilken typ av prenumerationer du har.Management groups provide large-scale, enterprise-grade management, no matter what type of subscriptions you have.
  • Du kan till exempel tillämpa en hanteringsgruppsprincip som begränsar regionerna där virtuella datorer kan skapas.For example, you can apply a management group policy that limits the regions in which VMs can be created. Den här principen tillämpas sedan för alla hanteringsgrupper, prenumerationer och resurser under hanteringsgruppen.This policy is then applied to all management groups, subscriptions, and resources under that management group.
  • Du kan skapa en flexibel struktur för hanteringsgrupper och prenumerationer, för att organisera dina resurser i en hierarki för enhetlig princip- och åtkomsthantering.You can build a flexible structure of management groups and subscriptions, to organize your resources into a hierarchy for unified policy and access management.

Följande diagram visar ett exempel på hur du skapar en styrningshierarki med hjälp av hanteringsgrupper.The following diagram shows an example of creating a hierarchy for governance by using management groups.

Diagram över hanterings grupper.Diagram of management groups. Bild 8: hanterings grupper.Figure 8: Management groups.

Lära sig mer:Learn more:

Bästa praxis: Distribuera Azure PolicyBest practice: Deploy Azure Policy

Azure Policy är en tjänst som används till att skapa, tilldela och hantera principer.Azure Policy is a service that you use to create, assign, and manage policies. Principer tillämpar olika regler och effekter för dina resurser, så att resurserna följer företagets standarder och service nivå avtal.Policies enforce different rules and effects over your resources, so those resources stay compliant with your corporate standards and service-level agreements.

Azure Policy utvärderar resurserna och söker efter sådana som inte följer principerna.Azure Policy evaluates your resources, scanning for those not compliant with your policies. Du kan till exempel skapa en princip som endast tillåter en speciell SKU-storlek för virtuella datorer i din miljö.For example, you can create a policy that allows only a specific SKU size for VMs in your environment. Azure Policy kommer att utvärdera den här inställningen när du skapar och uppdaterar resurser, och när du söker efter befintliga resurser.Azure Policy will evaluate this setting when you create and update resources, and when scanning existing resources. Observera att Azure innehåller några inbyggda principer som du kan tilldela, eller så kan du skapa egna.Note that Azure provides some built-in policies that you can assign, or you can create your own.

Skärm bild av Azure Policy.Screenshot of Azure Policy. Bild 9: Azure Policy.Figure 9: Azure Policy.

Lära sig mer:Learn more:

Bästa praxis: implementera en BCDR-strategiBest practice: Implement a BCDR strategy

Planera för BCDR är en viktig övning som du bör utföra som en del av planerings processen för Azure-migrering.Planning for BCDR is a critical exercise that you should complete as part of your Azure migration planning process. I juridiska villkor kan kontrakten innehålla en force majeure -sats som kräver skyldigheter på grund av en större kraft, till exempel orkaner eller jord bävningar.In legal terms, your contracts might include a force majeure clause that excuses obligations due to a greater force, such as hurricanes or earthquakes. Men du måste se till att viktiga tjänster fortsätter att köras och att de kan återställas när katastrofen inträffar.But you must ensure that essential services continue to run and recover when disaster strikes. Din förmåga att göra detta kan avgöra ditt företags framtid.Your ability to do this can make or break your company's future.

BCDR-strategin måste i huvudsak omfatta:Broadly, your BCDR strategy must consider:

  • Säkerhets kopiering av data: Se till att dina data är säkra så att du enkelt kan återställa dem om avbrott uppstår.Data backup: How to keep your data safe so that you can recover it easily if outages occur.
  • Haveri beredskap: Hur du håller dina program elastiska och tillgängliga om avbrott uppstår.Disaster recovery: How to keep your applications resilient and available if outages occur.

Konfigurera BCDRSet up BCDR

När du migrerar till Azure, vet du att även om Azure-plattformen tillhandahåller några inbyggda återhämtnings funktioner, måste du utforma din Azure-distribution för att kunna utnyttja dem.When migrating to Azure, understand that although the Azure platform provides some built-in resiliency capabilities, you need to design your Azure deployment to take advantage of them.

  • Din BCDR-lösning kommer att vara beroende av företagets mål och påverkas av din strategi för Azure-distribution.Your BCDR solution will depend on your company objectives, and is influenced by your Azure deployment strategy. IaaS- (infrastruktur som en tjänst) och PaaS-distributioner (plattform som en tjänst) innebär olika utmaningar för BCDR.Infrastructure as a service (IaaS) and platform as a service (PaaS) deployments present different challenges for BCDR.
  • När de är på plats bör dina BCDR-lösningar testas regelbundet för att kontrol lera att strategin förblir livskraftig.After they are in place, your BCDR solutions should be tested regularly to check that your strategy remains viable.

Säkerhetskopiera en IaaS-distributionBack up an IaaS deployment

I de flesta fall tas en lokal arbetsbelastning ur bruk efter migreringen och din lokala strategi för säkerhetskopiering av data måste utökas eller ersättas.In most cases, an on-premises workload is retired after migration, and your on-premises strategy for backing up data must be extended or replaced. Om du migrerar hela data centret till Azure måste du utforma och implementera en fullständig säkerhets kopierings lösning med hjälp av Azure-teknik eller integrerade lösningar från tredje part.If you migrate your entire datacenter to Azure, you'll need to design and implement a full backup solution by using Azure technologies, or third-party integrated solutions.

För arbetsbelastningar som körs på virtuella Azure IaaS-datorer bör du fundera på följande säkerhetskopieringslösningar:For workloads running on Azure IaaS VMs, consider these backup solutions:

  • Azure Backup: Tillhandahåller programkonsekventa säkerhets kopieringar för virtuella Azure Windows-och Linux-datorer.Azure Backup: Provides application-consistent backups for Azure Windows and Linux VMs.
  • Lagrings ögonblicks bilder: Tar ögonblicks bilder av Blob Storage.Storage snapshots: Takes snapshots of Blob Storage.

Azure BackupAzure Backup

Azure Backup skapar data återställnings punkter som lagras i Azure Storage.Azure Backup creates data recovery points that are stored in Azure Storage. Azure Backup kan säkerhetskopiera Azure-VM-diskar och Azure Files (förhandsversion).Azure Backup can back up Azure VM disks, and Azure Files (preview). Azure Files tillhandahålla fil resurser i molnet som kan nås via Server Message Block (SMB).Azure Files provide file shares in the cloud, accessible via Server Message Block (SMB).

Du kan använda Azure Backup för att säkerhetskopiera virtuella datorer på följande sätt:You can use Azure Backup to back up VMs in the following ways:

  • Direkt säkerhetskopiering från VM-inställningar.Direct backup from VM settings. Du kan säkerhetskopiera virtuella datorer med Azure Backup direkt från alternativen för virtuella datorer i Azure-portalen.You can back up VMs with Azure Backup directly from the VM options in the Azure portal. Du kan säkerhetskopiera den virtuella datorn en gång per dag och du kan återställa den virtuella dator disken efter behov.You can back up the VM once per day, and you can restore the VM disk as needed. Azure Backup använder program medveten data ögonblicks bilder och ingen agent är installerad på den virtuella datorn.Azure Backup takes application-aware data snapshots, and no agent is installed on the VM.
  • Direkt säkerhetskopiering i ett Recovery Services-valv.Direct backup in a Recovery Services vault. Du kan säkerhetskopiera virtuella IaaS-datorer genom att distribuera ett Azure Backup Recovery Services-valv.You can back up your IaaS VMs by deploying an Azure Backup Recovery Services vault. Detta ger en enda plats för att spåra och hantera säkerhets kopior, samt detaljerade alternativ för säkerhets kopiering och återställning.This provides a single location to track and manage backups, as well as granular backup and restore options. Säkerhets kopieringen är upp till tre gånger per dag på fil-och mappnivå.Backup is up to three times a day, at the file and folder levels. Den är inte program medveten och Linux stöds inte.It isn't application-aware, and Linux isn't supported. Installera MARS-agenten (Microsoft Azure Recovery Services) på varje virtuell dator som du vill säkerhetskopiera med hjälp av den här metoden.Install the Microsoft Azure recovery services (MARS) agent on each VM that you want to back up by using this method.
  • Skydda den virtuella datorn så att den Azure Backup-servern.Protect the VM to Azure Backup server. Azure Backup Server tillhandahålls utan Azure Backup.Azure Backup server is provided free with Azure Backup. Den virtuella datorn har säkerhetskopierats till den lokala Azure Backup Server lagringen.The VM is backed up to local Azure Backup server storage. Du säkerhetskopierar sedan Azure Backup-servern till Azure i ett valv.You then back up the Azure Backup server to Azure in a vault. Backup är program medveten, med fullständig granularitet över säkerhets kopierings frekvens och kvarhållning.Backup is application-aware, with full granularity over backup frequency and retention. Du kan säkerhetskopiera på program nivå, till exempel genom att säkerhetskopiera SQL Server eller SharePoint.You can back up at the application level, for example by backing up SQL Server or SharePoint.

Av säkerhets Azure Backup krypteras data i flygning med hjälp av AES-256.For security, Azure Backup encrypts data in-flight by using AES-256. Den skickar den via HTTPS till Azure.It sends it over HTTPS to Azure. Säkerhetskopierade data – i vila i Azure krypteras med hjälp av Azure Storage kryptering.Backed-up data-at-rest in Azure is encrypted by using Azure Storage encryption.

Skärm bild av Azure Backup. Bild 10: Azure Backup.Screenshot of Azure Backup. Figure 10: Azure Backup.

Lära sig mer:Learn more:

Ögonblicksbilder för lagringStorage snapshots

Virtuella Azure-datorer lagras som sidblobbar i Azure Storage.Azure VMs are stored as page blobs in Azure Storage. Ögonblicksbilder registrerar blobtillståndet vid en viss tidpunkt.Snapshots capture the blob state at a specific point in time. Som en alternativ säkerhetskopieringsmetod för Azure-VM-diskar kan du ta en ögonblicksbild av lagringsblobbar och kopiera dem till ett annat lagringskonto.As an alternative backup method for Azure VM disks, you can take a snapshot of storage blobs and copy them to another storage account.

Du kan kopiera en hel blob eller använda en inkrementell ögonblicksbildskopia för att bara kopiera deltaändringar och minska lagringsutrymmet.You can copy an entire blob, or use an incremental snapshot copy to copy only delta changes and reduce storage space. Som en extra försiktighet kan du aktivera mjuk borttagning för Blob Storage-konton.As an extra precaution, you can enable soft delete for Blob Storage accounts. När den här funktionen är aktive rad är en blob som tas bort markerad för borttagning, men inte omedelbart rensad.With this feature enabled, a blob that's deleted is marked for deletion, but not immediately purged. Under interims perioden kan du återställa blobben.During the interim period, you can restore the blob.

Lära sig mer:Learn more:

Säkerhetskopiering från tredje partThird-party backup

Dessutom kan du använda tredjepartslösningar för att säkerhetskopiera virtuella Azure-datorer och lagringscontainrar till lokal lagring eller andra molnleverantörer.In addition, you can use third-party solutions to back up Azure VMs and storage containers to local storage or other cloud providers. Mer information finns i säkerhets kopierings lösningar på Azure Marketplace.For more information, see Backup solutions in Azure Marketplace.

Konfigurera katastrof återställning för IaaS-programSet up disaster recovery for IaaS applications

Förutom att skydda data måste BCDR planera för att se hur du håller program och arbets belastningar tillgängliga om en katastrof inträffar.In addition to protecting data, BCDR planning must consider how to keep applications and workloads available if a disaster occurs. För arbets belastningar som körs på virtuella Azure IaaS-datorer och Azure Storage bör du tänka på lösningarna i följande avsnitt.For workloads that run on Azure IaaS VMs and Azure Storage, consider the solutions in the following sections.

Azure Site RecoveryAzure Site Recovery

Azure Site Recovery är den primära Azure-tjänsten för att säkerställa att virtuella Azure-datorer kan anslutas och virtuella dator program som är tillgängliga, när avbrott inträffar.Azure Site Recovery is the primary Azure service for ensuring that Azure VMs can be brought online, and VM applications made available, when outages occur.

Site Recovery replikerar virtuella datorer från en primär till en sekundär Azure-region.Site Recovery replicates VMs from a primary to a secondary Azure region. Om haveriet inträffar kan du redundansväxla virtuella datorer från den primära regionen och fortsätta att komma åt dem som normalt i den sekundära regionen.If disaster strikes, you fail VMs over from the primary region, and continue accessing them as normal in the secondary region. När driften återgår till det normala kan du återställa virtuella datorer till den primära regionen.When operations return to normal, you can fail back VMs to the primary region.

Diagram över Azure Site Recovery.Diagram of Azure Site Recovery. Bild 11: Site Recovery.Figure 11: Site Recovery.

Lära sig mer:Learn more:

Bästa praxis: Använd hanterade diskar och tillgänglighets uppsättningarBest practice: Use managed disks and availability sets

Azure använder tillgänglighetsuppsättningar för att gruppera virtuella datorer logiskt och för att isolera virtuella datorer i en uppsättning från andra resurser.Azure uses availability sets to logically group VMs together, and to isolate VMs in a set from other resources. Virtuella datorer i en tillgänglighets uppsättning sprids över flera fel domäner med separata under system, vilket skyddar mot lokala fel.VMs in an availability set are spread across multiple fault domains with separate subsystems, which protects against local failures. De virtuella datorerna sprids också över flera uppdaterings domäner, vilket förhindrar en samtidig omstart av alla virtuella datorer i uppsättningen.The VMs are also spread across multiple update domains, preventing a simultaneous reboot of all VMs in the set.

Azure Managed disks fören klar disk hanteringen för Azure Virtual Machines genom att hantera de lagrings konton som är kopplade till de virtuella dator diskarna.Azure managed disks simplify disk management for Azure Virtual Machines by managing the storage accounts associated with the VM disks.

  • Använd Managed disks när det är möjligt.Use managed disks wherever possible. Du behöver bara ange vilken typ av lagring som du vill använda och storleken på den disk du behöver, så skapar och hanterar Azure disken åt dig.You only have to specify the type of storage you want to use and the size of disk you need, and Azure creates and manages the disk for you.

  • Du kan konvertera befintliga diskar till hanterade diskar.You can convert existing disks to managed disks.

  • Du bör skapa virtuella datorer i tillgänglighetsuppsättningar för hög återhämtning och tillgänglighet.You should create VMs in availability sets for high resilience and availability. När planerade eller oplanerade avbrott uppstår kontrollerar tillgänglighets uppsättningar att minst en virtuell dator i uppsättningen är tillgänglig.When planned or unplanned outages occur, availability sets ensure that at least one VM in the set remains available.

    Diagram över hanterade diskar. Bild 12: hanterade diskar.Diagram of managed disks. Figure 12: Managed disks.

Lära sig mer:Learn more:

Bästa praxis: övervaka resursanvändning och prestandaBest practice: Monitor resource usage and performance

Du kanske har flyttat dina arbetsbelastningar till Azure för dess omfattande skalningsfunktioner.You might have moved your workloads to Azure for its immense scaling capabilities. Men om du flyttar din arbets belastning innebär det inte att Azure automatiskt implementerar skalning utan dina inuppgifter.But moving your workload doesn't mean that Azure will automatically implement scaling without your input. Här följer två exempel:Here are two examples:

  • Om din marknadsförings organisation skickar en ny TV-annons som driver 300 procent mer trafik kan detta leda till problem med platsens tillgänglighet.If your marketing organization pushes a new television advertisement that drives 300 percent more traffic, this might cause site availability issues. Nyligen migrerade arbets belastningar kan träffa tilldelade gränser och krascha.Your newly migrated workload might hit assigned limits, and crash.
  • Om det finns ett DDoS-angrepp (distributed denial-of-Service) på din migrerade arbets belastning, i det här fallet vill du inte skala.If there's a distributed denial-of-service (DDoS) attack on your migrated workload, in this case you don't want to scale. Du vill förhindra källan till angreppen från att nå dina resurser.You want to prevent the source of the attacks from reaching your resources.

Dessa två fall har olika lösningar, men för båda behöver du inblick i vad som händer med användning och prestanda övervakning.These two cases have different resolutions, but for both you need insight into what's happening with usage and performance monitoring.

  • Azure Monitor kan hjälpa dessa mått och ge svar på aviseringar, autoskalning, Event Hubs och Logic Apps.Azure Monitor can help surface these metrics, and provide response with alerts, autoscaling, Event Hubs, and Logic Apps.

  • Du kan också integrera ditt SIEM-program från tredje part för att övervaka Azure-loggarna för gransknings-och prestanda händelser.You can also integrate your third-party SIEM application to monitor the Azure logs for auditing and performance events.

    Skärm bild av Azure Monitor. Bild 13: Azure Monitor.Screenshot of Azure Monitor. Figure 13: Azure Monitor.

Lära sig mer:Learn more:

Bästa praxis: Aktivera diagnostisk loggningBest practice: Enable diagnostic logging

Azure-resurser genererar ett antal loggningsmått och telemetridata.Azure resources generate a fair number of logging metrics and telemetry data. Som standard är inte diagnostisk loggning aktiverad för de flesta resurstyper.By default, most resource types don't have diagnostic logging enabled. Genom att aktivera diagnostisk loggning för dina resurser kan du efterfråga loggningsdata och skapa aviseringar och spelböcker baserat på det.By enabling diagnostic logging across your resources, you can query logging data, and build alerts and playbooks based on it.

När du aktiverar diagnostisk loggning har varje resurs en specifik uppsättning kategorier.When you enable diagnostic logging, each resource will have a specific set of categories. Du väljer en eller flera loggningskategorier och en plats för loggdata.You select one or more logging categories, and a location for the log data. Loggar kan skickas till ett lagrings konto, händelsehubben eller till Azure Monitor loggar.Logs can be sent to a storage account, event hub, or to Azure Monitor Logs.

Skärm bild av diagnostisk loggning. Bild 14: diagnostisk loggning.Screenshot of diagnostic logging. Figure 14: Diagnostic logging.

Lära sig mer:Learn more:

Bästa praxis: Konfigurera aviseringar och spel böckerBest practice: Set up alerts and playbooks

Med diagnostisk loggning aktiverad för Azure-resurser kan du börja använda loggningsdata för att skapa anpassade aviseringar.With diagnostic logging enabled for Azure resources, you can start to use logging data to create custom alerts.

  • Med aviseringar meddelas du proaktivt när villkor hittas i dina övervakningsdata.Alerts proactively notify you when conditions are found in your monitoring data. Sedan kan du åtgärda problem innan systemanvändarna märker dem.You can then address issues before system users notice them. Du kan varna för Mät värden, logga Sök frågor, aktivitets logg händelser, plattforms hälsa och webbplats tillgänglighet.You can alert on metric values, log search queries, activity log events, platform health, and website availability.

  • När aviseringar utlöses kan du köra ett Logic app-Spelbok.When alerts are triggered, you can run a logic app playbook. En spelbok hjälper dig att automatisera och samordna ett svar på en specifik avisering.A playbook helps you to automate and orchestrate a response to a specific alert. Spelböcker baseras på Azure-logikappar.Playbooks are based on Azure Logic Apps. Du kan använda Logic app-mallar för att skapa spel böcker eller skapa egna.You can use logic app templates to create playbooks, or create your own.

  • Som ett enkelt exempel kan du skapa en avisering som utlöses när en ports ökning sker mot en NSG.As a simple example, you can create an alert that triggers when a port scan happens against an NSG. Du kan konfigurera en spelbok som kör och låser sökningskällans IP-adress.You can set up a playbook that runs and locks down the IP address of the scan origin.

  • Ett annat exempel är ett program med en minnes läcka.Another example is an application with a memory leak. När minnesanvändningen når en viss punkt kan en spelbok återvinna processen.When the memory usage gets to a certain point, a playbook can recycle the process.

    Skärm bild av aviseringar. Bild 15: aviseringar.Screenshot of alerts. Figure 15: Alerts.

Lära sig mer:Learn more:

Bästa praxis: använda Azure-instrumentpanelenBest practice: Use the Azure dashboard

Azure-portalen är en webbaserad enhetlig konsol som du kan använda för att skapa, hantera och övervaka allt från enkla webbappar till komplexa molnprogram.The Azure portal is a web-based unified console that allows you to build, manage, and monitor everything from simple web apps to complex cloud applications. Den innehåller en anpassningsbar instrumentpanel och hjälpmedelsalternativ.It includes a customizable dashboard and accessibility options.

  • Du kan skapa flera instrumentpaneler och dela dem med andra som har åtkomst till dina Azure-prenumerationer.You can create multiple dashboards and share them with others who have access to your Azure subscriptions.

  • Med den här delade modellen har ditt team insyn i Azure-miljön, som hjälper dem att proaktivt när de hanterar system i molnet.With this shared model, your team has visibility into the Azure environment, which helps them them to be proactive when managing systems in the cloud.

    Skärm bild av en Azure-instrumentpanel.

    Skärm bild av Azure-instrumentpanelen. Bild 16: Azure-instrumentpanel.Screenshot of Azure dashboard. Figure 16: Azure dashboard.

Lära sig mer:Learn more:

Bästa praxis: förstå support avtalBest practice: Understand support plans

Vid något tillfälle måste du samarbeta med din supportpersonal eller Microsofts supportpersonal.At some point, you will need to collaborate with your support staff or Microsoft support staff. Det är viktigt att ha en uppsättning principer och procedurer för support vid scenarier som haveriberedskap.Having a set of policies and procedures for support during scenarios such as disaster recovery is vital. Dessutom bör dina administratörer och supportpersonal utbildas i att implementera dessa principer.In addition, your admins and support staff should be trained on implementing those policies.

  • Om ett problem med Azure-tjänsten mot förmodan påverkar din arbetsbelastning bör administratörer veta hur de skickar in en supportbegäran till Microsoft på det lämpligaste och effektivaste sättet.In the unlikely event that an Azure service issue affects your workload, admins should know how to submit a support ticket to Microsoft in the most appropriate and efficient way.

  • Bekanta dig med de olika supportplanerna som erbjuds för Azure.Familiarize yourself with the various support plans offered for Azure. De sträcker sig från svars tider som är reserverade för Developer-instanser, till Premier Support med en svars tid på mindre än 15 minuter.They range from response times dedicated to developer instances, to premier support with a response time of less than 15 minutes.

    Skärm bild av support avtal. Bild 17: support planer.Screenshot of support plans. Figure 17: Support plans.

Lära sig mer:Learn more:

Bästa praxis: hantera uppdateringarBest practice: Manage updates

Det är en enorm uppgift att se till att virtuella Azure-datorer är uppdaterade med de senaste operativsystems- och programuppdateringarna.Keeping Azure VMs updated with the latest operating system and software updates is a massive chore. Möjligheten att placera ut alla virtuella datorer, ta reda på vilka uppdateringar de behöver och automatiskt skicka dessa uppdateringar till mycket värdefullt.The ability to surface all VMs, figure out which updates they need, and automatically push those updates is extremely valuable.

  • Du kan använda Uppdateringshantering i Azure Automation för att hantera uppdateringar av operativ system.You can use Update Management in Azure Automation to manage operating system updates. Detta gäller för datorer som kör Windows-och Linux-datorer som distribueras i Azure, lokalt och i andra moln leverantörer.This applies to machines that run Windows and Linux computers that are deployed in Azure, on-premises, and in other cloud providers.

  • Använd Uppdateringshantering för att snabbt bedöma status för tillgängliga uppdateringar på alla agentdatorer och hantera installationen av uppdateringar.Use Update Management to quickly assess the status of available updates on all agent computers, and manage update installation.

  • Du kan aktivera Uppdateringshantering för virtuella datorer direkt via ett Azure Automation-konto.You can enable Update Management for VMs directly from an Azure Automation account. Du kan också uppdatera en enskild virtuell dator från VM-sidan i Azure-portalen.You can also update a single VM from the VM page in the Azure portal.

  • Dessutom kan du registrera virtuella Azure-datorer med System Center Configuration Manager.In addition, you can register Azure VMs with System Center Configuration Manager. Du kan sedan migrera Configuration Manager arbets belastningen till Azure och göra rapporterings-och program uppdateringar från ett enda webb gränssnitt.You can then migrate the Configuration Manager workload to Azure and do reporting and software updates from a single web interface.

    Diagram över VM-uppdateringar. Bild 18: uppdateringar av virtuella datorer.Diagram of VM updates. Figure 18: VM updates.

Lära sig mer:Learn more:

Implementera en ändringshanteringsprocessImplement a change management process

Precis som med andra produktionssystem kan alla typer av ändringar påverka din miljö.As with any production system, making any type of change can affect your environment. En ändringshanteringsprocess som kräver att begäranden skickas in för att göra ändringar i produktionssystem är ett värdefullt tillägg i den migrerade miljön.A change management process that requires requests to be submitted in order to make changes to production systems is a valuable addition in your migrated environment.

  • Du kan ta fram metodtipsramverk för ändringshantering för att öka medvetenheten hos administratörer och supportpersonal.You can build best practice frameworks for change management to raise awareness in administrators and support staff.
  • Du kan använda Azure Automation för hjälp med konfigurationshantering och ändringsspårning för migrerade arbetsflöden.You can use Azure Automation to help with configuration management and change tracking for your migrated workflows.
  • När du tillämpar processen för ändrings hantering kan du använda gransknings loggar för att länka Azure Change-loggar till befintliga ändrings begär Anden.When enforcing change management process, you can use audit logs to link Azure change logs to existing change requests. Om du ser en ändring som har gjorts utan en motsvarande ändringsbegäran kan du undersöka vad som gått fel i processen.Then, if you see a change made without a corresponding change request, you can investigate what went wrong in the process.

Azure har en lösning för ändrings spårning i Azure Automation:Azure has a change-tracking solution in Azure Automation:

  • Lösningen spårar ändringar i Windows- och Linux-programvara och -filer, Windows-registernycklar, Windows-tjänster och Linux-daemon.The solution tracks changes to Windows and Linux software and files, Windows registry keys, Windows services, and Linux daemons.

  • Ändringar av övervakade servrar skickas till Azure Monitor för bearbetning.Changes on monitored servers are sent to Azure Monitor for processing.

  • Logiken tillämpas på mottagna data och moln tjänsten registrerar data.Logic is applied to the received data, and the cloud service records the data.

  • På instrument panelen för ändrings spårning kan du enkelt se de ändringar som har gjorts i Server infrastrukturen.On the change tracking dashboard, you can easily see the changes that were made in your server infrastructure.

    Skärm bild av ett diagram för ändrings hantering.

    Bild 19: ett ändrings hanterings diagram.Figure 19: A change management chart.

Lära sig mer:Learn more:

Nästa stegNext steps

Läs andra metodtips:Review other best practices: