Considérations relatives à l’inventaire et à la visibilité

Lorsque votre organisation conçoit et implémente votre environnement cloud, la base de la supervision de vos services de plateforme et de gestion des services de plateforme est un élément clé à prendre en compte. Pour garantir une adoption réussie du cloud, vous devez structurer ces services pour répondre aux besoins de votre organisation à mesure que votre environnement est mis à l’échelle.

Les décisions de modèle de fonctionnement dans le cloud que vous avez prises dans le cadre des phases de planification antérieures influencent directement la manière dont les opérations de gestion sont fournies dans le cadre de vos zones d’atterrissage. Le degré de centralisation de la gestion pour votre plateforme est un exemple clé.

Utilisez les instructions de cet article pour réfléchir à l’approche de l’inventaire et de la visibilité dans votre environnement cloud.

Considérations sur l’inventaire de base

  • Utilisez un espace de travail Log Analytics d’Azure Monitor en tant que limites administratives.
  • Déterminez les équipes qui utiliseront les journaux générés par le système à partir de la plateforme et qui doivent accéder à ces journaux.

Tenez compte des éléments suivants liés à la journalisation des données pour déterminer les types de données que vous souhaiterez peut-être compiler et utiliser.

Étendue Context
Surveillance de la plateforme centrée sur l’application
Incluez les chemins de télémétrie à chaud et à froid pour les indicateurs de performance et les journaux, respectivement.
Métriques du système d’exploitation, comme les compteurs de performances et les métriques personnalisées.
Journaux du système d’exploitation, par exemple :
  • Services Internet (IIS)
  • Suivi d’événements pour Windows et syslogs
  • Événements d’intégrité des ressources
Journal d’audit de sécurité Viser à atteindre un objectif de sécurité horizontal pour l’ensemble de l’espace Azure de votre organisation.
  • Intégration potentielle avec des systèmes SIEM (Security information and Event Management) locaux, tels qu’ArcSight ou la plateforme de sécurité Onapsis
  • Intégration potentielle avec des offres SaaS (software as a service) telles que ServiceNow
  • Journaux d’activité Azure
  • Rapports d’audit Microsoft Entra
  • Services de diagnostic, journaux et métriques Azure, événements d’audit Azure Key Vault, journaux de flux de groupe de sécurité réseau (NSG) et journaux d’événements
  • Azure Monitor, Azure Network Watcher, Microsoft Defender pour le cloud et Microsoft Sentinel
Seuils de conservation et d’archivage des données Azure
  • La période de rétention par défaut pour les journaux Azure Monitor s’élève à 30 jours, avec une conservation de l’analytique maximale de deux ans et un archivage de sept ans.
  • La période de rétention par défaut pour les rapports Microsoft Entra (Premium) est de 30 jours.
  • La période de rétention par défaut pour les journaux d’activité Azure et les journaux Application Insights s’élève à 90 jours.
Exigences opérationnelles
  • Tableaux de bord opérationnels avec des outils natifs tels que Journaux Azure Monitor ou des outils tiers
  • Utilisation de rôles centralisés pour contrôler les activités privilégiées
  • Identités managées pour les ressources Azure](/Azure/active-directory/managed-identities-Azure-resources/overview) pour l’accès aux services Azure
  • Verrous de ressources pour protéger la modification et la suppression des ressources

Considérations relatives à la visibilité

  • Quelles équipes doivent recevoir des notifications d’alerte ?
  • Avez-vous des groupes de services qui ont besoin que plusieurs équipes soient averties ?
  • Avez-vous des outils de gestion des services existants en place auxquels vous devez envoyer des alertes ?
  • Quels services sont considérés comme critiques pour l’entreprise et ont besoin de notifications de problèmes de priorité élevée ?

Recommandations relatives à l’inventaire et à la visibilité

  • Utilisez un seul espace de travail de journaux de supervision pour gérer les plateformes de manière centralisée, sauf quand des exigences en matière de contrôle d’accès en fonction du rôle Azure (RBAC Azure), de souveraineté des données et de stratégies de conservation des données nécessitent des espaces de travail distincts. La journalisation centralisée est essentielle à la visibilité requise par les équipes de gestion des opérations, et génère des rapports sur la gestion des modifications, l’intégrité des services, la configuration et la plupart des autres aspects des opérations informatiques. Le fait de se concentrer sur un modèle d’espace de travail centralisé réduit l’effort administratif et les risques de manque d’observabilité.

  • Exportez les journaux vers le Stockage Azure si vos exigences de rétention des journaux dépassent sept ans. Utilisez le stockage immuable avec une stratégie de non-réinscription(une seule écriture, plusieurs lectures) afin de rendre les données non effaçables et non modifiables pendant un intervalle de temps spécifié par l’utilisateur.

  • Utilisez Azure Policy pour la génération de rapports de contrôle d’accès et de conformité. Azure Policy permet d’appliquer des paramètres à l’ensemble de l’organisation pour garantir le respect constant de la stratégie et la détection rapide des violations. Pour plus d’informations, consultez Comprendre les effets d’Azure Policy.

  • Utilisez Network Watcher pour surveiller de manière proactive les flux de trafic via les journaux de flux de groupe de sécurité réseau Network Watcher v2. Traffic Analytics analyse les journaux de flux du groupe de sécurité réseau pour recueillir des informations approfondies sur le trafic IP au sein des réseaux virtuels. Il fournit également des informations critiques dont vous avez besoin pour une gestion et une surveillance efficaces, comme :

    • La plupart des hôtes de communication et des protocoles d’application
    • La plupart des paires d’hôtes en conversation
    • Trafic autorisé ou bloqué
    • Trafic entrant et sortant
    • Ports Internet ouverts
    • La plupart des règles de blocage
    • Distribution du trafic par centre de données Azure
    • Réseau virtuel
    • Sous-réseaux
    • Réseaux non autorisés
  • Utilisez des verrous de ressources pour éviter la suppression accidentelle de services partagés critiques.

  • Utilisez des stratégies de refus pour compléter les attributions de rôles Azure. Les stratégies de refus permettent d’empêcher les déploiements et les configurations de ressources qui ne répondent pas aux normes définies en bloquant l’envoi des demandes aux fournisseurs de ressources. La combinaison de stratégies de refus et d’attributions de rôles Azure garantit que les garde-fous appropriés sont en place pour contrôler qui peut déployer et configurer des ressources, et quelles ressources ils peuvent déployer et configurer.

  • Incluez des événements d’intégrité de service et de ressource dans le cadre de votre solution globale de surveillance de la plateforme. Le suivi de l’intégrité de service et de ressource du point de vue de la plateforme est une composante importante de la gestion des ressources dans Azure.

  • N’envoyez pas d’entrées de journal brutes aux systèmes de surveillance locaux. Au lieu de cela, adoptez le principe en vertu duquel les données nées dans Azure restent dans Azure. Si une intégration SIEM locale est requise, envoyez des alertes critiques au lieu de journaux.

Accélérateur et gestion de la zone d’atterrissage Azure

L’accélérateur de zone d’atterrissage d’Azure comprend une configuration conseillée qui déploie les principales fonctionnalités de gestion d’Azure pour aider les organisations à atteindre rapidement l’échelle et la maturité.

Les outils de gestion et de surveillance des clés inclus dans le déploiement d’accélérateurs de zone d’atterrissage Azure sont les suivants :

  • Espace de travail Log Analytics et compte Automation
  • Surveillance de Microsoft Defender pour le cloud
  • Paramètres de diagnostic pour les journaux d’activité, les machines virtuelles et les ressources PaaS (Platform as a service) envoyées à Log Analytics

Journalisation centralisée dans l’accélérateur de zone d’atterrissage Azure

Dans le contexte de l’accélérateur de la zone d’atterrissage Azure, la journalisation centralisée concerne principalement les opérations de plateforme.

Cela n’empêche pas d’utiliser le même espace de travail pour journaliser des applications basées sur des machines virtuelles. Avec un espace de travail configuré dans un mode de contrôle d’accès centré sur les ressources, un contrôle RBAC Azure précis est appliqué pour garantir que les équipes d’applications aient accès seulement aux journaux de leurs ressources.

Dans ce modèle, les équipes d’applications bénéficient de l’utilisation de l’infrastructure de plateforme existante en réduisant leur surcharge de gestion.

Pour les ressources non liées au calcul, telles que des applications web ou des bases de données Azure Cosmos DB, vos équipes d’applications peuvent utiliser leurs propres espaces de travail Log Analytics. Elles peuvent ensuite acheminer les diagnostics et les indicateurs de performance vers ces espaces de travail.

Étape suivante

Analyse des composants de votre zone d'atterrissage de la plateforme Azure