Scelte di sovranità per il monitoraggio dei carichi di lavoro di Azure

I requisiti di sovranità spesso si applicano non solo ai servizi applicativi e infrastrutturali utilizzati come parte di un carico di lavoro cloud, ma anche alle soluzioni di gestione utilizzate nel funzionamento e nell'amministrazione di tale carico di lavoro.

Le organizzazioni che devono soddisfare requisiti di sovranità rigorosi devono identificare soluzioni di monitoraggio che soddisfino sia i requisiti operativi che quelli di conformità. Ciò garantisce che gli schemi progettuali per il monitoraggio dei carichi di lavoro vengano utilizzati dai team che stanno pianificando le migrazioni dei carichi di lavoro.

In questo articolo vengono descritti i diversi obiettivi e le procedure consigliate per il monitoraggio e confronterai gli approcci con una soluzione nativa del cloud e una soluzione personalizzata.

Informazioni sugli obiettivi per registrazione e monitoraggio

Comprendere il comportamento delle risorse distribuite nel cloud è fondamentale per fornire una soluzione affidabile. Sebbene il monitoraggio sia spesso incluso come componente dei carichi di lavoro cloud, è importante comprendere che viene spesso implementato per motivi diversi e a vantaggio di diversi stakeholder.

Se un'organizzazione ha l'intenzione di progettare una soluzione di monitoraggio olistico nel cloud, sarebbe utile evidenziare i diversi obiettivi che spesso le organizzazioni incontrano.

Monitorare le prestazioni

Il monitoraggio delle prestazioni di un carico di lavoro può assumere molte forme, incluso il monitoraggio dell'integrità di un servizio applicativo, la disponibilità dei componenti della soluzione e la velocità e la reattività della soluzione. Questo tipo di monitoraggio viene eseguito quasi in tempo reale per identificare i problemi del sistema il prima possibile ed evitare tempi di inattività.

Le metriche di questo tipo di monitoraggio possono anche essere raccolte e aggregate per analizzare le tendenze delle prestazioni. Questo tipo di monitoraggio e i dati che produce vengono spesso utilizzati da team dedicati all'applicazione e all'infrastruttura che gestiscono le risorse, nonché dai team operativi e di supporto che rispondono a eventi e incidenti.

Monitorare la sicurezza

Il monitoraggio viene spesso implementato per fornire a un'organizzazione controlli che possano aiutare a gestire il rischio. Il monitoraggio degli eventi di sicurezza può aiutare un'organizzazione a rispondere rapidamente e a ridurre al minimo l'effetto delle minacce. Il monitoraggio delle minacce può cercare schemi che corrispondono a tecniche di attacco note e il mantenimento dei dati degli eventi nel tempo può consentire a un'organizzazione di condurre esami diagnostici ed eseguire l'analisi della causa radice.

I dati raccolti tramite il monitoraggio della sicurezza vengono spesso utilizzati dai team di sicurezza, inclusi analisti operativi e cacciatori di minacce, nonché dai team di operazioni IT, garanzia e audit.

Monitorare la gestione dei servizi

Oltre al monitoraggio delle prestazioni e della sicurezza che esamina il comportamento di un carico di lavoro, le organizzazioni possono implementare ulteriori monitoraggi per esaminare lo stato del carico di lavoro. Questo tipo di monitoraggio viene spesso utilizzato per verificare che gli obiettivi di gestione dei servizi IT vengano raggiunti. I domini di gestione dei servizi come la gestione della configurazione, il controllo delle modifiche e la valuta della versione del software spesso richiedono il monitoraggio della versione o della configurazione di una risorsa per convalidare la distribuzione in uno stato di validità noto.

Questo tipo di monitoraggio viene spesso utilizzato dai team delle operazioni IT, dai team delle applicazioni e dell'infrastruttura e dai team di sicurezza per identificare modifiche non autorizzate.

Utilizzare procedure consigliate per il monitoraggio e la diagnostica

Mentre le organizzazioni pianificano le proprie soluzioni di monitoraggio, è utile esaminare alcune procedure consigliate per l'implementazione del monitoraggio nativo nel cloud per soluzioni distribuite in Azure. I seguenti articoli contengono raccomandazioni per la progettazione di soluzioni di monitoraggio basate su cloud:

• Monitoraggio e diagnosi: buone pratiche
• Raccomandazioni per il monitoraggio del framework ben progettato

Monitoraggio nativo nel cloud e soluzione personalizzata

Molte organizzazioni dispongono già di soluzioni di monitoraggio mature per monitorare i sistemi locali e una scelta comune quando si pianifica una migrazione cloud è se adottare una soluzione di monitoraggio nativa nel cloud oppure adattare una soluzione esistente da utilizzare nel cloud.

Entrambi questi approcci presentano vantaggi e svantaggi, pertanto consigliamo alle organizzazioni di valutare entrambi gli approcci per garantire un buon allineamento ai requisiti operativi e di sovranità.

Utilizzare registrazione e monitoraggio come servizio

Azure offre una selezione di servizi nativi nel cloud che le organizzazioni possono utilizzare per creare una soluzione di monitoraggio olistico:

• Azure Monitor è Azure's soluzione gestita per il monitoraggio IT e delle applicazioni. Monitoraggio di Azure offre una serie di funzionalità di analisi e di strumenti per il monitoraggio IT, tra cui:
  • Log Analytics : un'interfaccia grafica per creare ed eseguire query sui dati di log raccolti.
  • Insights : esperienze di monitoraggio pronte all'uso con input di dati, query, avvisi e visualizzazioni preconfigurati, curati da Microsoft.
  • Application Insights - fornisce funzionalità di gestione delle prestazioni delle applicazioni per il codice scritto dal cliente.
• Microsoft Sentinel può essere utilizzato con Azure Monitor per l'orchestrazione della sicurezza, l'automazione e risposta (SOAR).
• Microsoft Defender for Cloud è una piattaforma di protezione delle applicazioni cloud-native (CNAPP) che funziona con Azure Monitor per proteggere proteggere le applicazioni basate su cloud dalle minacce.

Sebbene sia possibile scegliere di sviluppare da zero il proprio approccio al monitoraggio, molte organizzazioni possono trarre vantaggio dalle esperienze curate in servizi come Monitoraggio di Azure e Microsoft Defender per il cloud.

Questi servizi potrebbero non fornire lo stesso livello di granularità quando si tratta di selezionare le posizioni per la residenza dei dati, quindi le organizzazioni devono comprendere dove e come vengono archiviati i loro dati se scelgono di incorporare servizi non regionali nella loro strategia di monitoraggio.

• Scopri di più sulla residenza dei dati in Azure

Estendere soluzioni di monitoraggio locale ad Azure

Esistono diversi modi in cui le organizzazioni possono continuare a sfruttare le proprie soluzioni di monitoraggio locale per applicazioni con dati altamente sensibili che non possono essere monitorati utilizzando soluzioni di monitoraggio PaaS.

• Per i carichi di lavoro IaaS, le soluzioni di monitoraggio basate su agenti possono continuare a essere incluse nelle immagini delle macchine virtuali.
• Le soluzioni di monitoraggio delle prestazioni delle applicazioni possono continuare a essere compilate con codice sviluppato dal cliente.
• I server di registrazione possono essere distribuiti in Azure usando macchine virtuali per ridurre al minimo il traffico client nei collegamenti WAN.
• I log possono essere inviati ad account di archiviazione, trasmessi in streaming con Hub eventi o accessibili tramite API.

Tutti questi approcci possono aiutare le organizzazioni a trasferire il proprio modello operativo nel cloud mantenendo un livello più elevato di sovranità operativa per i propri sistemi di monitoraggio locale. Tuttavia, questi approcci possono anche comportare costi aggiuntivi poiché le soluzioni di monitoraggio legacy consumano risorse cloud come macchine virtuali e spazio di archiviazione nel cloud.

Un altro approccio che può aiutare le organizzazioni nella migrazione al cloud consiste nel trasmettere in streaming i dati di monitoraggio da Monitoraggio di Azure a soluzioni locali fornite dai partner di Monitoraggio di Azure.

• Scopri di più sui dati di log in streaming da Azure Monitor
• Visualizza l'elenco dei partner di monitoraggio di terze parti Azure

Selezionare soluzioni di monitoraggio per carichi di lavoro di Azure

Gli scenari seguenti evidenziano alcune delle soluzioni di monitoraggio che le organizzazioni possono utilizzare per monitorare i carichi di lavoro, inclusi quelli con requisiti di sovranità rigorosi:

Monitorare le risorse di Azure usando servizi regionali e non regionali

• Fonti dati e strumentazione: Raccogli i registri delle piattaforme e delle attività in modo nativo utilizzando Azure Monitor. Raccogliere i log dalle risorse IaaS usando l'agente di Monitoraggio di Azure. Raccogliere i dati di telemetria di runtime da applicazioni personalizzate utilizzando Application Insights.
• Raccolta e archiviazione: aggrega i dati di registro per un singolo carico di lavoro in un'area di lavoro di Log Analytics. Aggregare dati di log in tutta l'azienda in Azure Data Lake eseguendo lo streaming dei log con Hub eventi.
• Analisi e diagnosi: genera approfondimenti utilizzando esperienze di monitoraggio curate in Azure Monitor e Defender for Cloud. Analizzare i log con Log Analytics o Esplora dati di Azure. Automatizzare e orchestrare le risposte per la sicurezza usando Microsoft Sentinel.

Monitorare le risorse di Azure usando solo servizi regionali

• Fonti dati e strumentazione: Raccogliere i registri della piattaforma e delle attività utilizzando Azure Monitor. Raccogliere i dati di telemetria di runtime da applicazioni personalizzate utilizzando Application Insights.
• Raccolta e archiviazione: aggrega i dati di registro per un singolo carico di lavoro in un' area di lavoro di Log Analytics distribuita nella regione desiderata. Trasmettere i dati di log tramite streaming con Hub eventi a un data lake nella sottoscrizione desiderata.
• Analisi e diagnosi: Analizza i log utilizzando Log Analytics o Azure Data Explorer.

Monitorare le risorse di Azure usando soluzioni locali

• Fonti dati e strumentazione: Acquisisci i registri con Azure Monitora ed esporta nella soluzione locale utilizzando l'account di archiviazione, Hub eventi o l'API. Acquisire i log direttamente utilizzando agenti di terze parti.
• Raccolta e archiviazione: Aggregazione e archiviazione dei dati di registro locale.
• Analisi e diagnosi: Utilizzare le soluzioni locale esistenti per analisi e diagnosi.

Risorse correlate

• Vedi il percorso di apprendimento Concetti fondamentali di Monitoraggio di Azure per informazioni su corsi di formazione sul monitoraggio di applicazioni e infrastrutture tramite Monitoraggio di Azure.