Överväganden för inventering och synlighet

När din organisation utformar och implementerar din molnmiljö är grunden för övervakning av plattformshantering och plattformstjänster en viktig faktor. För att säkerställa en lyckad molnimplementering måste du strukturera dessa tjänster för att uppfylla organisationens behov när din miljö skalar.

De beslut om molndriftsmodeller som du fattar i tidiga planeringsfaser påverkar direkt hur hanteringsåtgärder levereras som en del av dina landningszoner. I vilken grad hanteringen är centraliserad för din plattform är ett viktigt exempel.

Använd vägledningen i den här artikeln för att fundera över hur du bör hantera inventering och synlighet i din molnmiljö.

Grundläggande inventeringsöverväganden

  • Överväg att använda verktyg som en Azure Monitor Log Analytics-arbetsyta som administrativa gränser.
  • Avgör vilka team som ska använda de systemgenererade loggarna från plattformen och vem som behöver åtkomst till dessa loggar.

Överväg följande objekt som rör loggningsdata för att informera om vilka typer av data du kanske vill sortera och använda.

Omfattning Kontext
Programcentrerad plattformsövervakning
Inkludera både frekventa och kalla telemetrisökvägar för mått respektive loggar.
Operativsystemmått, till exempel prestandaräknare och anpassade mått.
Operativsystemloggar, till exempel:
  • Internet Information Services
  • Händelsespårning för Windows och syslogs
  • Resource Health-händelser
Loggning av säkerhetsgranskning Sträva efter att uppnå en horisontell säkerhetslins i hela organisationens Azure-egendom.
  • Potentiell integrering med lokala system för säkerhetsinformation och händelsehantering (SIEM), till exempel ArcSight eller Säkerhetsplattformen Onapsis
  • Potentiell integrering med SaaS-erbjudanden (programvara som en tjänst) som ServiceNow
  • Azure-aktivitetsloggar
  • Microsoft Entra-granskningsrapporter
  • Azure-diagnostiktjänster, loggar och mått, Azure Key Vault-granskningshändelser, nätverkssäkerhetsgruppsflödesloggar (NSG) och händelseloggar
  • Azure Monitor, Azure Network Watcher, Microsoft Defender för molnet och Microsoft Sentinel
Tröskelvärden för Azure-datakvarhållning och arkiveringskrav
  • Standardkvarhållningsperioden för Azure Monitor-loggar är 30 dagar, med en maximal kvarhållning av analys på två år och arkiv på sju år.
  • Standardkvarhållningsperioden för Microsoft Entra-rapporter (premium) är 30 dagar.
  • Standardkvarhållningsperioden för Azure-aktivitetsloggar och Application Insights-loggar är 90 dagar.
Driftkrav
  • Använda instrumentpaneler med inbyggda verktyg som Azure Monitor-loggar eller verktyg från tredje part
  • Använda centraliserade roller för att kontrollera privilegierade aktiviteter
  • Hanterade identiteter för Azure-resurser](/Azure/active-directory/managed-identities-Azure-resources/overview) för åtkomst till Azure-tjänster
  • Resurslås för att skydda mot redigering och borttagning av resurser

Synlighetsöverväganden

  • Vilka team behöver ta emot aviseringsaviseringar?
  • Har du grupper av tjänster som behöver flera team för att meddelas?
  • Har du befintliga Service Management-verktyg på plats som du behöver skicka aviseringar till?
  • Vilka tjänster anses vara affärskritiska och kräver meddelanden med hög prioritet om problem?

Inventerings- och synlighetsrekommendationer

  • Använd en arbetsyta för övervakningsloggar för att hantera plattformar centralt, förutom där rollbaserad åtkomstkontroll i Azure (Azure RBAC), krav på datasuveränitet och principer för datakvarhållning kräver separata arbetsytor. Centraliserad loggning är avgörande för den synlighet som krävs av drifthanteringsteam och driver rapporter om ändringshantering, tjänsthälsa, konfiguration och de flesta andra aspekter av IT-åtgärder. Att fokusera på en centraliserad arbetsytemodell minskar den administrativa ansträngningen och risken för luckor i observerbarheten.

  • Exportera loggar till Azure Storage om dina krav på loggkvarhållning överskrider sju år. Använd oföränderlig lagring med en skriv-en gång, read-many-princip för att göra data icke-raderbara och icke-ändringsbara för ett användardefingivet intervall.

  • Använd Azure Policy för åtkomstkontroll och efterlevnadsrapportering. Med Azure Policy kan du tillämpa organisationsomfattande inställningar för att säkerställa konsekvent principefterlevnad och snabb identifiering av överträdelser. Mer information finns i Förstå Azure Policy-effekter.

  • Använd Network Watcher för att proaktivt övervaka trafikflöden via NSG-flödesloggar för Network Watcher v2. Traffic Analytics analyserar NSG-flödesloggar för att samla in djupa insikter om IP-trafik i virtuella nätverk. Den innehåller också viktig information som du behöver för effektiv hantering och övervakning, till exempel:

    • De flesta kommunicerande värdar och programprotokoll
    • De flesta konverserande värdpar
    • Tillåten eller blockerad trafik
    • Inkommande och utgående trafik
    • Öppna Internetportar
    • De flesta blockeringsregler
    • Trafikdistribution per ett Azure-datacenter
    • Virtuellt nätverk
    • Undernät
    • Oseriösa nätverk
  • Använd resurslås för att förhindra oavsiktlig borttagning av kritiska delade tjänster.

  • Använd neka-principer för att komplettera Azure-rolltilldelningar. Neka principer hjälper till att förhindra resursdistributioner och konfigurationer som inte uppfyller definierade standarder genom att blockera begäranden från att skickas till resursprovidrar. Genom att kombinera neka-principer och Azure-rolltilldelningar ser du till att du har lämpliga skyddsräcken för att styra vem som kan distribuera och konfigurera resurser och vilka resurser de kan distribuera och konfigurera.

  • Inkludera händelser för tjänst - och resurshälsa som en del av din övergripande plattformsövervakningslösning. Att spåra tjänstens och resurshälsan ur plattformsperspektivet är en viktig del av resurshanteringen i Azure.

  • Skicka inte tillbaka råloggposter till lokala övervakningssystem. Anta i stället principen att data som föds i Azure stannar i Azure. Om du behöver lokal SIEM-integrering skickar du kritiska aviseringar i stället för loggar.

Accelerator och hantering av Azure-landningszoner

Acceleratorn i Azure-landningszonen innehåller en åsiktskonfiguration för att distribuera viktiga Azure-hanteringsfunktioner som hjälper din organisation att snabbt skala och mogna.

Distributionen av azure-landningszonens accelerator innehåller viktiga hanterings- och övervakningsverktyg som:

  • En Log Analytics-arbetsyta och ett Automation-konto
  • Microsoft Defender för molnet övervakning
  • Diagnostikinställningar för aktivitetsloggar, virtuella datorer och PaaS-resurser (plattform som en tjänst) som skickas till Log Analytics

Centraliserad loggning i Azure-landningszonacceleratorn

När det gäller azure-landningszonacceleratorn handlar centraliserad loggning främst om plattformsåtgärder.

Den här betoningen förhindrar inte användning av samma arbetsyta för VM-baserad programloggning. I en arbetsyta som konfigurerats i resurscentrerat åtkomstkontrollläge tillämpas detaljerad Azure RBAC, vilket säkerställer att dina programteam endast har åtkomst till loggarna från sina resurser.

I den här modellen drar programteam nytta av användningen av befintlig plattformsinfrastruktur eftersom det minskar deras hanteringskostnader.

För icke-beräkningsresurser, till exempel webbappar eller Azure Cosmos DB-databaser, kan dina programteam använda sina egna Log Analytics-arbetsytor. De kan sedan dirigera diagnostik och mått till dessa arbetsytor.

Gå vidare

Övervaka komponenterna i din Azure-plattformslandningszon