Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Enclave fournit des fonctionnalités d’observabilité intégrées pour prendre en charge la surveillance sécurisée, évolutive et centralisée des environnements stratégiques. Ces fonctionnalités aident les gestionnaires de la communauté et les propriétaires d’enclaves à appliquer la conformité, à examiner les anomalies et à garantir l’intégrité opérationnelle entre les charges de travail isolées.
Les éléments suivants sont activés par défaut pour les ressources d’enclave Azure :
- Par défaut, l’espace de travail Log Analytics est déployé dans le groupe de ressources géré par la communauté.
- (Facultatif) L’espace de travail Log Analytics est déployé dans le groupe de ressources managé de l’enclave
- Le compte de stockage est déployé au sein du groupe de ressources géré Enclave
- Les journaux de flux du réseau virtuel pour chaque enclave sont activés, dirigés vers le compte de stockage de l’enclave et envoyés à l’espace de travail Log Analytics de la communauté et/ou de l’enclave
- Les paramètres de diagnostic sont activés sur les ressources déployées dans des groupes de ressources gérés par la communauté et l’enclave
Observabilité centralisée et isolée
L’observabilité dans Azure Enclave repose sur un modèle de journalisation à deux niveaux qui prend en charge la journalisation de diagnostic centralisée et isolée des enclaves à l’aide de Azure Monitor, de Log Analytics et de comptes de stockage.
Observabilité au niveau de la communauté
Chaque communauté créée dans Azure Enclave comprend un espace de travail de Log Analytics centralisé. Cet espace de travail est conçu pour :
- Agréger les diagnostics et les métriques de toutes les enclaves au sein de la communauté.
- Fournissez un seul volet de verre pour la surveillance et l’interrogation des diagnostics et des journaux de flux.
- Prendre en charge l’analytique, les alertes et le suivi de conformité entre enclaves.
Lorsque la communauté est créée, l’espace de travail est automatiquement créé. L’espace de travail peut être sélectionné comme destination de diagnostic par enclave ou propriétaires de charge de travail pendant les opérations de déploiement ou de mise à jour. L’accès public est désactivé pour l’espace de travail community Log-A, mais il n’est pas isolé par défaut sur le réseau. Pour configurer l’accès public ou l’isolation réseau, envisagez d’ajouter une sécurité de liaison privée.
Note
Les paramètres de diagnostic provenant des ressources d’enclave (telles que les charges de travail, les adresses IP publiques ou les passerelles d’application) peuvent être configurés pour transmettre les journaux à l’espace de travail centralisé afin de permettre une supervision unifiée.
Observabilité au niveau de l’enclave
En plus de l’espace de travail de la communauté, chaque Enclave dispose d’un espace de travail Log Analytics isolé propre à cette enclave. Cet espace de travail est optimisé pour les cas d’utilisation de journalisation au niveau de l’enclave et inclut les caractéristiques suivantes :
- Stockage par défaut des journaux de flux du réseau virtuel, activés automatiquement pour chaque enclave.
- Paramètres de diagnostic facultatifs pour les ressources délimitées aux enclaves, telles que les charges de travail internes et les composants réseau.
- Conçu pour répondre aux exigences d’isolation ou réglementaires qui empêchent l’agrégation des journaux inter-enclaves.
Les administrateurs peuvent choisir de conserver les diagnostics d’enclave confidentiels en envoyant les journaux uniquement à cet espace de travail isolé.
Destinations de journalisation configurables
Azure Enclave prend en charge les configurations de journalisation flexibles qui permettent aux propriétaires de ressources de choisir entre :
| Destination de journalisation | Objectif | Utilisation par défaut |
|---|---|---|
| Espace de travail Community Log Analytics | Permet une surveillance centralisée et une analyse inter-enclaves | Optional |
| Espace de travail enclave Log Analytics | Maintient l’isolation au niveau de l’enclave et la souveraineté des données | Valeur par défaut pour les journaux de flux de réseau virtuel |
Vous pouvez configurer les paramètres de diagnostic via le portail Azure, l’interface CLI ou les modèles Bicep/ARM pendant ou après le déploiement.
Important
Les journaux de flux du réseau virtuel sont toujours envoyés par défaut à l’espace de travail propre à l’enclave afin de préserver la visibilité au niveau du réseau, même dans les environnements isolés.
Scénarios d’observabilité courants
| Scénario | Stratégie de journalisation |
|---|---|
| Tableau de bord de l’état de santé inter-enclaves | Envoyer des diagnostics de toutes les enclaves à l’espace de travail Community Log Analytics centralisé |
| Enclave réglementée avec des contrôles de données stricts | Conserver les diagnostics dans l’espace de travail Log Analytics spécifique aux enclaves |
| Rétention à long terme à des fins d’audit | Envoyer les journaux vers un compte de stockage avec des paramètres de rétention définis par une stratégie |
| Investigation réseau ou repérage des menaces | Utiliser l’espace de travail d’enclave pour analyser les journaux de flux de réseau virtuel par défaut |
Configurer des groupes de ressources Network Watcher
Pour éviter les problèmes potentiels liés à la création du journal de flux de réseau virtuel , configurez le NetworkWatcherRG groupe de ressources manuellement à l’avance et attribuez à l’application le Mission EnclaveOwner rôle sur ce groupe de ressources, ou vérifiez que l’installation et l’attribution de rôle se sont produites automatiquement avant de créer votre première enclave dans l’abonnement.
Pour atténuer ce problème potentiel, pour chaque abonnement, créez manuellement le groupe de ressources NetworkWatcher appelé NetworkWatcherRG dans de nouveaux abonnements, puis accordez l’application Mission EnclaveOwner enclave Azure sur NetworkWatcherRG :
Sélectionnez le
NetworkWatcherRGgroupe de ressources, sélectionnezAccess control (IAM), puis sélectionnezAddetAdd role assignment.
Sélectionnez
Privileged administrator roles, sélectionnezowner, puis sélectionnezNext.
Sélectionnez
Select members, tapezMission Enclavedans la recherche et sélectionnez l’applicationMission Enclave, sélectionnezSelect, puisNext.
Si votre abonnement nécessite une condition, sélectionnez
Allow user to assign all roles except privileged administrator roles Owner, UAA, RBAC (Recommended), puis sélectionnezReview + assign.
Une fois la mise à jour terminée, vous pouvez commencer à déployer les ressources Azure Enclave.
Lorsqu’une communauté ou une enclave est créée, Azure Enclave tente les étapes suivantes :
- Vérifiez si le
NetworkWatcherRGexiste. Si ce n’est pas le cas, essayez de créer ce groupe de ressources. - Vérifiez si l’application
Mission Enclavea une affectation permanenteOwnersurNetworkWatcherRG. Si ce n’est pas le cas, essayez d’affecter l’applicationMission Enclaveen tant qu’affectation permanenteOwnersurNetworkWatcherRG. Même si une autorisation héritéeOwnerexiste, une tentative de création d’une affectation permanenteOwnerest effectuée. - Si une étape échoue, les déploiements d’enclaves risquent d’échouer lors de la tentative de création des journaux de flux du réseau virtuel.