Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
O Azure Enclave oferece funcionalidades de observabilidade incorporadas para suportar monitorização segura, escalável e centralizada de ambientes críticos para a missão. Estas capacidades ajudam os Gestores de Comunidade e os Proprietários de Enclaves a fazer cumprir a conformidade, investigar anomalias e garantir a saúde operacional em cargas de trabalho isoladas.
Os seguintes estão ativados por defeito para os recursos do Azure Enclave:
- A Área de Trabalho do Log Analytics é implementada no Grupo de Recursos Gerido pela Comunidade por predefinição
- (Opcional) O Log Analytics Workspace é implementado no Managed Resource Group do enclave
- A Conta de Armazenamento é implementada no Grupo de Recursos Geridos do Enclave
- Os registos de fluxo da Rede Virtual de cada enclave são ativados e configurados para apontar para a Conta de Armazenamento do enclave, sendo encaminhados para a área de trabalho do Log Analytics da Community e/ou do Enclave
- As definições de diagnóstico estão ativadas para recursos implementados em Grupos de Recursos geridos pela Community e pelo Enclave
Observabilidade centralizada e isolada
A observabilidade no Azure Enclave é construída sobre um modelo de registo de dois níveis que suporta tanto o registo de diagnóstico centralizado como o isolado do enclave usando Azure Monitor, Log Analytics e Storage Accounts.
Observabilidade ao nível da comunidade
Cada comunidade criada no Azure Enclave inclui um espaço de trabalho centralizado de Log Analytics. Este espaço de trabalho foi concebido para:
- Reúne diagnósticos e métricas de todos os enclaves na comunidade.
- Forneça um único painel de vidro para monitorizar e consultar diagnósticos e registos de fluxo.
- Suportar análises entre enclaves, alertas e acompanhamento de conformidade.
Quando a comunidade é criada, o espaço de trabalho é criado automaticamente. O espaço de trabalho pode ser selecionado como destino de diagnóstico pelo enclave ou pelos proprietários da carga de trabalho durante operações de implementação ou atualização. O acesso público está desativado para o espaço de trabalho Community Log-A, mas não está isolado da rede por defeito. Para configurar o acesso público ou o isolamento da rede, considere adicionar segurança de ligação privada.
Note
As definições de diagnóstico dos recursos do enclave (como cargas de trabalho, IPs públicos ou Gateways de Aplicação) podem ser configuradas para enviar registos para o espaço de trabalho centralizado para suportar monitorização unificada.
Observabilidade ao nível do enclave
Para além do espaço de trabalho da Comunidade, cada Enclave está equipado com um espaço de trabalho isolado de Log Analytics, especificamente direcionado para esse enclave. Este espaço de trabalho está otimizado para casos de uso de registo ao nível do enclave e inclui as seguintes características:
- Armazenamento padrão dos registos de fluxo da Rede Virtual, que são ativados automaticamente para cada enclave.
- Definições de diagnóstico opcionais para recursos com âmbito de enclave, como cargas de trabalho internas e componentes de rede.
- Concebido para cumprir requisitos de isolamento ou regulamentação que impedem a agregação de registos entre enclaves.
Os administradores podem optar por manter os diagnósticos do enclave privados, enviando registos apenas para este espaço de trabalho isolado.
Destinos de registo configuráveis
O Azure Enclave suporta configurações flexíveis de registo que permitem aos proprietários de recursos escolher entre:
| Destino de Exploração de Madeira | Purpose | Uso padrão |
|---|---|---|
| Espaço de trabalho Community Log Analytics | Permite monitorização centralizada e análises entre enclaves | Optional |
| Espaço de trabalho Enclave Log Analytics | Mantém o isolamento ao nível do enclave e a soberania dos dados | Predefinição para os registos de fluxo da rede virtual |
Pode configurar definições de diagnóstico através do portal Azure, CLI ou templates Bicep/ARM durante ou após a implementação.
Importante
Os registos de fluxos da Rede Virtual são sempre enviados, por defeito, para a área de trabalho específica do enclave, para assegurar a preservação da visibilidade ao nível da rede, mesmo em ambientes isolados.
Cenários comuns de observabilidade
| Scenario | Estratégia de Exploração Florestal |
|---|---|
| Painel de saúde entre enclaves | Envie diagnósticos de todos os enclaves para o espaço de trabalho centralizado Community Log Analytics |
| Enclave regulado com controlos de dados rigorosos | Mantém os diagnósticos dentro do espaço de trabalho específico de Log Analytics do enclave |
| Retenção a longo prazo para efeitos de auditoria | Envie registos para uma Conta de Armazenamento com definições de retenção controladas por políticas |
| Investigação de rede ou caça a ameaças | Utilize a área de trabalho do enclave para analisar os registos de fluxo predefinidos da rede virtual |
Configurar grupos de recursos do Observador de Rede
Para evitar potenciais problemas com a criação de registos de fluxo de rede virtual , configure o NetworkWatcherRG grupo de recursos manualmente com antecedência e atribua à Mission Enclave aplicação o Owner papel nesse grupo de recursos, ou verifique se a configuração e atribuição de funções foram feitas automaticamente antes de criar o seu primeiro enclave na subscrição.
Para mitigar este potencial problema, para cada subscrição, crie manualmente o grupo de recursos NetworkWatcher chamado NetworkWatcherRG para novas subscrições e depois conceda a Mission Enclave aplicação Owner Azure Enclave no NetworkWatcherRG:
Selecione o
NetworkWatcherRGgrupo de recursos, selecioneAccess control (IAM), depois selecioneAddeAdd role assignment.
Selecione
Privileged administrator roles, selecioneowner, depois selecioneNext.
Selecione
Select members, escrevaMission Enclavena pesquisa e selecione aMission Enclaveaplicação, selecioneSelect, depoisNext.
Se a sua subscrição exigir uma condição, selecione
Allow user to assign all roles except privileged administrator roles Owner, UAA, RBAC (Recommended), depois selecioneReview + assign.
Quando a atualização estiver concluída, pode começar a implementar os recursos do Azure Enclave.
Quando uma comunidade ou enclave é criada, o Azure Enclave tenta os seguintes passos:
- Verifique se
NetworkWatcherRGexiste. Caso contrário, tente criar esse grupo de recursos. - Verifique se a
Mission EnclaveApp tem uma atribuiçãoOwnerpermanente emNetworkWatcherRG. Caso contrário, tente atribuir a aplicaçãoMission Enclavecomo atribuição permanenteOwneremNetworkWatcherRG. Mesmo que exista uma permissão herdadaOwner, é tentada a criação de uma atribuição permanenteOwner. - Se algum passo falhar, as implementações do enclave podem falhar ao tentar criar registos de fluxo de rede virtual.