Observabilité dans Azure enclave

Azure Enclave fournit des fonctionnalités d’observabilité intégrées pour prendre en charge la surveillance sécurisée, évolutive et centralisée des environnements stratégiques. Ces fonctionnalités aident les gestionnaires de la communauté et les propriétaires d’enclaves à appliquer la conformité, à examiner les anomalies et à garantir l’intégrité opérationnelle entre les charges de travail isolées.

Les éléments suivants sont activés par défaut pour les ressources d’enclave Azure :

  • Par défaut, l’espace de travail Log Analytics est déployé dans le groupe de ressources géré par la communauté.
  • (Facultatif) L’espace de travail Log Analytics est déployé dans le groupe de ressources managé de l’enclave
  • Le compte de stockage est déployé au sein du groupe de ressources géré Enclave
  • Les journaux de flux du réseau virtuel pour chaque enclave sont activés, dirigés vers le compte de stockage de l’enclave et envoyés à l’espace de travail Log Analytics de la communauté et/ou de l’enclave
  • Les paramètres de diagnostic sont activés sur les ressources déployées dans des groupes de ressources gérés par la communauté et l’enclave

Observabilité centralisée et isolée

L’observabilité dans Azure Enclave repose sur un modèle de journalisation à deux niveaux qui prend en charge la journalisation de diagnostic centralisée et isolée des enclaves à l’aide de Azure Monitor, de Log Analytics et de comptes de stockage.

Observabilité au niveau de la communauté

Chaque communauté créée dans Azure Enclave comprend un espace de travail de Log Analytics centralisé. Cet espace de travail est conçu pour :

  • Agréger les diagnostics et les métriques de toutes les enclaves au sein de la communauté.
  • Fournissez un seul volet de verre pour la surveillance et l’interrogation des diagnostics et des journaux de flux.
  • Prendre en charge l’analytique, les alertes et le suivi de conformité entre enclaves.

Lorsque la communauté est créée, l’espace de travail est automatiquement créé. L’espace de travail peut être sélectionné comme destination de diagnostic par enclave ou propriétaires de charge de travail pendant les opérations de déploiement ou de mise à jour. L’accès public est désactivé pour l’espace de travail community Log-A, mais il n’est pas isolé par défaut sur le réseau. Pour configurer l’accès public ou l’isolation réseau, envisagez d’ajouter une sécurité de liaison privée.

Note

Les paramètres de diagnostic provenant des ressources d’enclave (telles que les charges de travail, les adresses IP publiques ou les passerelles d’application) peuvent être configurés pour transmettre les journaux à l’espace de travail centralisé afin de permettre une supervision unifiée.

Observabilité au niveau de l’enclave

En plus de l’espace de travail de la communauté, chaque Enclave dispose d’un espace de travail Log Analytics isolé propre à cette enclave. Cet espace de travail est optimisé pour les cas d’utilisation de journalisation au niveau de l’enclave et inclut les caractéristiques suivantes :

  • Stockage par défaut des journaux de flux du réseau virtuel, activés automatiquement pour chaque enclave.
  • Paramètres de diagnostic facultatifs pour les ressources délimitées aux enclaves, telles que les charges de travail internes et les composants réseau.
  • Conçu pour répondre aux exigences d’isolation ou réglementaires qui empêchent l’agrégation des journaux inter-enclaves.

Les administrateurs peuvent choisir de conserver les diagnostics d’enclave confidentiels en envoyant les journaux uniquement à cet espace de travail isolé.

Destinations de journalisation configurables

Azure Enclave prend en charge les configurations de journalisation flexibles qui permettent aux propriétaires de ressources de choisir entre :

Destination de journalisation Objectif Utilisation par défaut
Espace de travail Community Log Analytics Permet une surveillance centralisée et une analyse inter-enclaves Optional
Espace de travail enclave Log Analytics Maintient l’isolation au niveau de l’enclave et la souveraineté des données Valeur par défaut pour les journaux de flux de réseau virtuel

Vous pouvez configurer les paramètres de diagnostic via le portail Azure, l’interface CLI ou les modèles Bicep/ARM pendant ou après le déploiement.

Important

Les journaux de flux du réseau virtuel sont toujours envoyés par défaut à l’espace de travail propre à l’enclave afin de préserver la visibilité au niveau du réseau, même dans les environnements isolés.

Scénarios d’observabilité courants

Scénario Stratégie de journalisation
Tableau de bord de l’état de santé inter-enclaves Envoyer des diagnostics de toutes les enclaves à l’espace de travail Community Log Analytics centralisé
Enclave réglementée avec des contrôles de données stricts Conserver les diagnostics dans l’espace de travail Log Analytics spécifique aux enclaves
Rétention à long terme à des fins d’audit Envoyer les journaux vers un compte de stockage avec des paramètres de rétention définis par une stratégie
Investigation réseau ou repérage des menaces Utiliser l’espace de travail d’enclave pour analyser les journaux de flux de réseau virtuel par défaut

Configurer des groupes de ressources Network Watcher

Pour éviter les problèmes potentiels liés à la création du journal de flux de réseau virtuel , configurez le NetworkWatcherRG groupe de ressources manuellement à l’avance et attribuez à l’application le Mission EnclaveOwner rôle sur ce groupe de ressources, ou vérifiez que l’installation et l’attribution de rôle se sont produites automatiquement avant de créer votre première enclave dans l’abonnement.

Pour atténuer ce problème potentiel, pour chaque abonnement, créez manuellement le groupe de ressources NetworkWatcher appelé NetworkWatcherRG dans de nouveaux abonnements, puis accordez l’application Mission EnclaveOwner enclave Azure sur NetworkWatcherRG :

  1. Sélectionnez le NetworkWatcherRG groupe de ressources, sélectionnez Access control (IAM), puis sélectionnez Add et Add role assignment.

    Capture d’écran montrant la sélection du rôle à ajouter pour le groupe de ressources dans le portail.

  2. Sélectionnez Privileged administrator roles, sélectionnez owner, puis sélectionnez Next.

    Capture d’écran montrant la vue de sélection pour l’ajout du rôle de propriétaire dans le portail.

  3. Sélectionnez Select members, tapez Mission Enclave dans la recherche et sélectionnez l’application Mission Enclave , sélectionnez Select, puis Next.

    Capture d’écran montrant comment sélectionner l’application Mission Enclave dans le portail.

  4. Si votre abonnement nécessite une condition, sélectionnez Allow user to assign all roles except privileged administrator roles Owner, UAA, RBAC (Recommended), puis sélectionnez Review + assign.

    Capture d’écran montrant l’affichage ajouter une condition si votre abonnement l’exige.

  5. Une fois la mise à jour terminée, vous pouvez commencer à déployer les ressources Azure Enclave.

Lorsqu’une communauté ou une enclave est créée, Azure Enclave tente les étapes suivantes :

  1. Vérifiez si le NetworkWatcherRG existe. Si ce n’est pas le cas, essayez de créer ce groupe de ressources.
  2. Vérifiez si l’application Mission Enclave a une affectation permanente Owner sur NetworkWatcherRG. Si ce n’est pas le cas, essayez d’affecter l’application Mission Enclave en tant qu’affectation permanente Owner sur NetworkWatcherRG. Même si une autorisation héritée Owner existe, une tentative de création d’une affectation permanente Owner est effectuée.
  3. Si une étape échoue, les déploiements d’enclaves risquent d’échouer lors de la tentative de création des journaux de flux du réseau virtuel.