Observabilidade no Azure Enclave

O Azure Enclave oferece funcionalidades de observabilidade incorporadas para suportar monitorização segura, escalável e centralizada de ambientes críticos para a missão. Estas capacidades ajudam os Gestores de Comunidade e os Proprietários de Enclaves a fazer cumprir a conformidade, investigar anomalias e garantir a saúde operacional em cargas de trabalho isoladas.

Os seguintes estão ativados por defeito para os recursos do Azure Enclave:

  • A Área de Trabalho do Log Analytics é implementada no Grupo de Recursos Gerido pela Comunidade por predefinição
  • (Opcional) O Log Analytics Workspace é implementado no Managed Resource Group do enclave
  • A Conta de Armazenamento é implementada no Grupo de Recursos Geridos do Enclave
  • Os registos de fluxo da Rede Virtual de cada enclave são ativados e configurados para apontar para a Conta de Armazenamento do enclave, sendo encaminhados para a área de trabalho do Log Analytics da Community e/ou do Enclave
  • As definições de diagnóstico estão ativadas para recursos implementados em Grupos de Recursos geridos pela Community e pelo Enclave

Observabilidade centralizada e isolada

A observabilidade no Azure Enclave é construída sobre um modelo de registo de dois níveis que suporta tanto o registo de diagnóstico centralizado como o isolado do enclave usando Azure Monitor, Log Analytics e Storage Accounts.

Observabilidade ao nível da comunidade

Cada comunidade criada no Azure Enclave inclui um espaço de trabalho centralizado de Log Analytics. Este espaço de trabalho foi concebido para:

  • Reúne diagnósticos e métricas de todos os enclaves na comunidade.
  • Forneça um único painel de vidro para monitorizar e consultar diagnósticos e registos de fluxo.
  • Suportar análises entre enclaves, alertas e acompanhamento de conformidade.

Quando a comunidade é criada, o espaço de trabalho é criado automaticamente. O espaço de trabalho pode ser selecionado como destino de diagnóstico pelo enclave ou pelos proprietários da carga de trabalho durante operações de implementação ou atualização. O acesso público está desativado para o espaço de trabalho Community Log-A, mas não está isolado da rede por defeito. Para configurar o acesso público ou o isolamento da rede, considere adicionar segurança de ligação privada.

Note

As definições de diagnóstico dos recursos do enclave (como cargas de trabalho, IPs públicos ou Gateways de Aplicação) podem ser configuradas para enviar registos para o espaço de trabalho centralizado para suportar monitorização unificada.

Observabilidade ao nível do enclave

Para além do espaço de trabalho da Comunidade, cada Enclave está equipado com um espaço de trabalho isolado de Log Analytics, especificamente direcionado para esse enclave. Este espaço de trabalho está otimizado para casos de uso de registo ao nível do enclave e inclui as seguintes características:

  • Armazenamento padrão dos registos de fluxo da Rede Virtual, que são ativados automaticamente para cada enclave.
  • Definições de diagnóstico opcionais para recursos com âmbito de enclave, como cargas de trabalho internas e componentes de rede.
  • Concebido para cumprir requisitos de isolamento ou regulamentação que impedem a agregação de registos entre enclaves.

Os administradores podem optar por manter os diagnósticos do enclave privados, enviando registos apenas para este espaço de trabalho isolado.

Destinos de registo configuráveis

O Azure Enclave suporta configurações flexíveis de registo que permitem aos proprietários de recursos escolher entre:

Destino de Exploração de Madeira Purpose Uso padrão
Espaço de trabalho Community Log Analytics Permite monitorização centralizada e análises entre enclaves Optional
Espaço de trabalho Enclave Log Analytics Mantém o isolamento ao nível do enclave e a soberania dos dados Predefinição para os registos de fluxo da rede virtual

Pode configurar definições de diagnóstico através do portal Azure, CLI ou templates Bicep/ARM durante ou após a implementação.

Importante

Os registos de fluxos da Rede Virtual são sempre enviados, por defeito, para a área de trabalho específica do enclave, para assegurar a preservação da visibilidade ao nível da rede, mesmo em ambientes isolados.

Cenários comuns de observabilidade

Scenario Estratégia de Exploração Florestal
Painel de saúde entre enclaves Envie diagnósticos de todos os enclaves para o espaço de trabalho centralizado Community Log Analytics
Enclave regulado com controlos de dados rigorosos Mantém os diagnósticos dentro do espaço de trabalho específico de Log Analytics do enclave
Retenção a longo prazo para efeitos de auditoria Envie registos para uma Conta de Armazenamento com definições de retenção controladas por políticas
Investigação de rede ou caça a ameaças Utilize a área de trabalho do enclave para analisar os registos de fluxo predefinidos da rede virtual

Configurar grupos de recursos do Observador de Rede

Para evitar potenciais problemas com a criação de registos de fluxo de rede virtual , configure o NetworkWatcherRG grupo de recursos manualmente com antecedência e atribua à Mission Enclave aplicação o Owner papel nesse grupo de recursos, ou verifique se a configuração e atribuição de funções foram feitas automaticamente antes de criar o seu primeiro enclave na subscrição.

Para mitigar este potencial problema, para cada subscrição, crie manualmente o grupo de recursos NetworkWatcher chamado NetworkWatcherRG para novas subscrições e depois conceda a Mission Enclave aplicação Owner Azure Enclave no NetworkWatcherRG:

  1. Selecione o NetworkWatcherRG grupo de recursos, selecione Access control (IAM), depois selecione Add e Add role assignment.

    Captura de ecrã que mostra a seleção para adicionar uma função no grupo de recursos no portal.

  2. Selecione Privileged administrator roles, selecione owner, depois selecione Next.

    Captura de ecrã que mostra o ecrã de seleção da função Proprietário a adicionar no portal.

  3. Selecione Select members, escreva Mission Enclave na pesquisa e selecione a Mission Enclave aplicação, selecione Select, depois Next.

    Captura de ecrã a mostrar como selecionar a aplicação Mission Enclave no portal.

  4. Se a sua subscrição exigir uma condição, selecione Allow user to assign all roles except privileged administrator roles Owner, UAA, RBAC (Recommended), depois selecione Review + assign.

    Captura de ecrã que mostra a visualização de adicionar condição se a tua subscrição assim o exigir.

  5. Quando a atualização estiver concluída, pode começar a implementar os recursos do Azure Enclave.

Quando uma comunidade ou enclave é criada, o Azure Enclave tenta os seguintes passos:

  1. Verifique se NetworkWatcherRG existe. Caso contrário, tente criar esse grupo de recursos.
  2. Verifique se a Mission Enclave App tem uma atribuição Owner permanente em NetworkWatcherRG. Caso contrário, tente atribuir a aplicação Mission Enclave como atribuição permanente Owner em NetworkWatcherRG. Mesmo que exista uma permissão herdada Owner, é tentada a criação de uma atribuição permanente Owner.
  3. Se algum passo falhar, as implementações do enclave podem falhar ao tentar criar registos de fluxo de rede virtual.