Observabilidade no enclave Azure

Azure Enclave fornece recursos internos de observabilidade para dar suporte ao monitoramento seguro, escalonável e centralizado de ambientes críticos. Esses recursos ajudam os Gerentes da Comunidade e os Proprietários de Enclave a impor a conformidade, investigar anomalias e garantir a integridade operacional em cargas de trabalho isoladas.

Os seguintes são habilitados por padrão para recursos do enclave de Azure:

  • Log Analytics Workspace é implantado no Grupo de Recursos Gerenciados da Comunidade por padrão
  • (Opcional) Log Analytics Workspace é implantado no grupo de recursos gerenciados do enclave
  • A conta de armazenamento é implantada no Grupo de Recursos Gerenciados do Enclave
  • Os Logs de Fluxo da Rede Virtual de cada enclave estão habilitados, apontam para a Conta de Armazenamento do enclave e são encaminhados para o workspace do Log Analytics da Comunidade e/ou do enclave
  • As configurações de diagnóstico são habilitadas em recursos implantados em grupos de recursos gerenciados pela Comunidade e pelo Enclave

Observabilidade centralizada e isolada

A observabilidade no Azure Enclave baseia-se em um modelo de logging em duas camadas que oferece suporte ao logging de diagnóstico centralizado e ao logging de diagnóstico isolado no enclave usando Azure Monitor, Log Analytics e Contas de Armazenamento.

Observabilidade em nível de comunidade

Cada Community criada no Azure Enclave inclui um espaço de trabalho centralizado do Log Analytics. Este workspace foi projetado para:

  • Agregar diagnósticos e métricas de todos os enclaves dentro da comunidade.
  • Forneça um único painel de vidro para monitorar e consultar logs de diagnóstico e fluxo.
  • Oferece suporte a análises entre enclaves, alertas e acompanhamento de conformidade.

Quando a comunidade é criada, o workspace é criado automaticamente. O espaço de trabalho pode ser selecionado como destino para diagnóstico pelos proprietários do enclave ou da carga de trabalho durante operações de implantação ou atualização. O acesso público está desativado para o espaço de trabalho Community Log-A, mas, por padrão, ele não é isolado da rede. Para configurar o acesso público ou o isolamento de rede, considere adicionar segurança de link privado.

Note

As configurações de diagnóstico de recursos de enclave (como cargas de trabalho, IPs públicos ou Gateways de Aplicativo) podem ser configuradas para enviar logs para o espaço de trabalho centralizado a fim de oferecer suporte ao monitoramento unificado.

Observabilidade no nível do enclave

Além do espaço de trabalho da Comunidade, cada Enclave recebe um espaço de trabalho isolado do Log Analytics dedicado especificamente a esse enclave. Este espaço de trabalho é otimizado para casos de uso de logs em nível de enclave e inclui as seguintes características:

  • Armazenamento padrão de logs de fluxo da rede virtual, que são habilitados automaticamente para cada enclave.
  • Configurações de diagnóstico opcionais para recursos com escopo de enclave, como cargas de trabalho internas e componentes de rede.
  • Projetado para atender a requisitos de isolamento ou requisitos regulatórios que impedem a agregação de logs entre enclaves.

Os administradores podem optar por manter os diagnósticos do enclave privados ao enviar logs apenas para este espaço de trabalho isolado.

Destinos de log configuráveis

Azure Enclave dá suporte a configurações de log flexíveis que permitem que os proprietários de recursos escolham entre:

Destino de registro em log Purpose Uso Padrão
Espaço de trabalho do Log Analytics da comunidade Habilita o monitoramento centralizado e a análise entre enclaves Optional
Workspace Log Analytics enclave Mantém o isolamento no nível do enclave e a soberania de dados Padrão para logs de fluxo de rede virtual

Você pode definir as configurações de diagnóstico por meio do portal Azure, da CLI ou dos modelos Bicep/ARM durante ou após a implantação.

Importante

Os logs de fluxo da Rede Virtual são sempre enviados, por padrão, para o espaço de trabalho específico do enclave para garantir que a visibilidade no nível de rede seja preservada, mesmo em ambientes isolados.

Cenários comuns de observabilidade

Scenario Estratégia de registro
Painel de saúde multienclave Enviar diagnósticos de todos os enclaves para o espaço de trabalho centralizado do Community Log Analytics
Enclave regulamentado com controles de dados estritos Manter o diagnóstico dentro do workspace Log Analytics específico do enclave
Retenção de longo prazo para fins de auditoria Enviar logs para uma conta de armazenamento com configurações de retenção controladas por política
Investigação de rede ou busca de ameaças Use o espaço de trabalho do enclave para analisar os logs de fluxo da rede virtual padrão

Configurar grupos de recursos Observador de Rede

Para evitar possíveis problemas com a criação do log de fluxo da rede virtual, configure manualmente com antecedência o grupo de recursos NetworkWatcherRG e atribua ao aplicativo Mission Enclave a função Owner nesse grupo de recursos, ou verifique se essa configuração e essa atribuição de função ocorreram automaticamente antes de criar seu primeiro enclave na assinatura.

Para atenuar esse possível problema, para cada assinatura, crie manualmente o grupo de recursos NetworkWatcher chamado NetworkWatcherRG em novas assinaturas e conceda o Mission Enclave aplicativo Owner enclave Azure no NetworkWatcherRG:

  1. Selecione o NetworkWatcherRG grupo de recursos, selecione Access control (IAM), selecione Add e Add role assignment.

    Captura de tela mostrando a seleção para adicionar função ao grupo de recursos no portal.

  2. Selecione Privileged administrator roles, selecione ownere, em seguida, selecione Next.

    Captura de tela mostrando a tela de seleção para adicionar a função de proprietário no portal.

  3. Selecione Select members, digite Mission Enclave na pesquisa e selecione o aplicativo Mission Enclave, selecione Select e, em seguida, Next.

    Captura de tela mostrando como selecionar o aplicativo Enclave de Missão no portal.

  4. Se sua assinatura exigir uma condição, selecione Allow user to assign all roles except privileged administrator roles Owner, UAA, RBAC (Recommended)e selecione Review + assign.

    Captura de tela mostrando a tela de adicionar condição, se sua assinatura exigir isso.

  5. Depois que a atualização for concluída, você poderá começar a implantar recursos do Azure Enclave.

Quando uma comunidade ou enclave é criado, Azure Enclave tenta as seguintes etapas:

  1. Verifique se NetworkWatcherRG existe. Caso contrário, tente criar esse grupo de recursos.
  2. Verifique se o aplicativo Mission Enclave tem uma atribuição permanente Owner em NetworkWatcherRG. Caso contrário, tente atribuir o Mission Enclave Aplicativo como uma atribuição permanente Owner em NetworkWatcherRG. Mesmo que exista uma permissão herdada Owner, será feita uma tentativa de criar uma atribuição permanente Owner.
  3. Se qualquer etapa falhar, as implantações de enclave poderão falhar ao tentar criar logs de fluxo de rede virtual.