Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Azure Enclave fornece recursos internos de observabilidade para dar suporte ao monitoramento seguro, escalonável e centralizado de ambientes críticos. Esses recursos ajudam os Gerentes da Comunidade e os Proprietários de Enclave a impor a conformidade, investigar anomalias e garantir a integridade operacional em cargas de trabalho isoladas.
Os seguintes são habilitados por padrão para recursos do enclave de Azure:
- Log Analytics Workspace é implantado no Grupo de Recursos Gerenciados da Comunidade por padrão
- (Opcional) Log Analytics Workspace é implantado no grupo de recursos gerenciados do enclave
- A conta de armazenamento é implantada no Grupo de Recursos Gerenciados do Enclave
- Os Logs de Fluxo da Rede Virtual de cada enclave estão habilitados, apontam para a Conta de Armazenamento do enclave e são encaminhados para o workspace do Log Analytics da Comunidade e/ou do enclave
- As configurações de diagnóstico são habilitadas em recursos implantados em grupos de recursos gerenciados pela Comunidade e pelo Enclave
Observabilidade centralizada e isolada
A observabilidade no Azure Enclave baseia-se em um modelo de logging em duas camadas que oferece suporte ao logging de diagnóstico centralizado e ao logging de diagnóstico isolado no enclave usando Azure Monitor, Log Analytics e Contas de Armazenamento.
Observabilidade em nível de comunidade
Cada Community criada no Azure Enclave inclui um espaço de trabalho centralizado do Log Analytics. Este workspace foi projetado para:
- Agregar diagnósticos e métricas de todos os enclaves dentro da comunidade.
- Forneça um único painel de vidro para monitorar e consultar logs de diagnóstico e fluxo.
- Oferece suporte a análises entre enclaves, alertas e acompanhamento de conformidade.
Quando a comunidade é criada, o workspace é criado automaticamente. O espaço de trabalho pode ser selecionado como destino para diagnóstico pelos proprietários do enclave ou da carga de trabalho durante operações de implantação ou atualização. O acesso público está desativado para o espaço de trabalho Community Log-A, mas, por padrão, ele não é isolado da rede. Para configurar o acesso público ou o isolamento de rede, considere adicionar segurança de link privado.
Note
As configurações de diagnóstico de recursos de enclave (como cargas de trabalho, IPs públicos ou Gateways de Aplicativo) podem ser configuradas para enviar logs para o espaço de trabalho centralizado a fim de oferecer suporte ao monitoramento unificado.
Observabilidade no nível do enclave
Além do espaço de trabalho da Comunidade, cada Enclave recebe um espaço de trabalho isolado do Log Analytics dedicado especificamente a esse enclave. Este espaço de trabalho é otimizado para casos de uso de logs em nível de enclave e inclui as seguintes características:
- Armazenamento padrão de logs de fluxo da rede virtual, que são habilitados automaticamente para cada enclave.
- Configurações de diagnóstico opcionais para recursos com escopo de enclave, como cargas de trabalho internas e componentes de rede.
- Projetado para atender a requisitos de isolamento ou requisitos regulatórios que impedem a agregação de logs entre enclaves.
Os administradores podem optar por manter os diagnósticos do enclave privados ao enviar logs apenas para este espaço de trabalho isolado.
Destinos de log configuráveis
Azure Enclave dá suporte a configurações de log flexíveis que permitem que os proprietários de recursos escolham entre:
| Destino de registro em log | Purpose | Uso Padrão |
|---|---|---|
| Espaço de trabalho do Log Analytics da comunidade | Habilita o monitoramento centralizado e a análise entre enclaves | Optional |
| Workspace Log Analytics enclave | Mantém o isolamento no nível do enclave e a soberania de dados | Padrão para logs de fluxo de rede virtual |
Você pode definir as configurações de diagnóstico por meio do portal Azure, da CLI ou dos modelos Bicep/ARM durante ou após a implantação.
Importante
Os logs de fluxo da Rede Virtual são sempre enviados, por padrão, para o espaço de trabalho específico do enclave para garantir que a visibilidade no nível de rede seja preservada, mesmo em ambientes isolados.
Cenários comuns de observabilidade
| Scenario | Estratégia de registro |
|---|---|
| Painel de saúde multienclave | Enviar diagnósticos de todos os enclaves para o espaço de trabalho centralizado do Community Log Analytics |
| Enclave regulamentado com controles de dados estritos | Manter o diagnóstico dentro do workspace Log Analytics específico do enclave |
| Retenção de longo prazo para fins de auditoria | Enviar logs para uma conta de armazenamento com configurações de retenção controladas por política |
| Investigação de rede ou busca de ameaças | Use o espaço de trabalho do enclave para analisar os logs de fluxo da rede virtual padrão |
Configurar grupos de recursos Observador de Rede
Para evitar possíveis problemas com a criação do log de fluxo da rede virtual, configure manualmente com antecedência o grupo de recursos NetworkWatcherRG e atribua ao aplicativo Mission Enclave a função Owner nesse grupo de recursos, ou verifique se essa configuração e essa atribuição de função ocorreram automaticamente antes de criar seu primeiro enclave na assinatura.
Para atenuar esse possível problema, para cada assinatura, crie manualmente o grupo de recursos NetworkWatcher chamado NetworkWatcherRG em novas assinaturas e conceda o Mission Enclave aplicativo Owner enclave Azure no NetworkWatcherRG:
Selecione o
NetworkWatcherRGgrupo de recursos, selecioneAccess control (IAM), selecioneAddeAdd role assignment.
Selecione
Privileged administrator roles, selecioneownere, em seguida, selecioneNext.
Selecione
Select members, digiteMission Enclavena pesquisa e selecione o aplicativoMission Enclave, selecioneSelecte, em seguida,Next.
Se sua assinatura exigir uma condição, selecione
Allow user to assign all roles except privileged administrator roles Owner, UAA, RBAC (Recommended)e selecioneReview + assign.
Depois que a atualização for concluída, você poderá começar a implantar recursos do Azure Enclave.
Quando uma comunidade ou enclave é criado, Azure Enclave tenta as seguintes etapas:
- Verifique se
NetworkWatcherRGexiste. Caso contrário, tente criar esse grupo de recursos. - Verifique se o aplicativo
Mission Enclavetem uma atribuição permanenteOwneremNetworkWatcherRG. Caso contrário, tente atribuir oMission EnclaveAplicativo como uma atribuição permanenteOwneremNetworkWatcherRG. Mesmo que exista uma permissão herdadaOwner, será feita uma tentativa de criar uma atribuição permanenteOwner. - Se qualquer etapa falhar, as implantações de enclave poderão falhar ao tentar criar logs de fluxo de rede virtual.