Succesvol Azure-beheer vanuit één centraal punt

Voor zo’n centrale control & management plane heb je één managementsubscriptie nodig, waar alle benodigde logging naartoe wordt gestuurd. Vanuit dat punt worden alle dashboards opgesteld en workbooks en alerting geïnitieerd. Alle auditdata gaat dus naar deze centrale log analytics. Door alle logging naar één plek te sturen, mis je geen data en kan de data door verschillende teams uitgelezen worden.

Ook kun je door alle logging naar één plek te sturen de juiste dwarsdoorsneden maken voor analyses, zonder dat je data mist. Hoewel je alles vastlegt op één plek, is er wel een autorisatiemechanisme beschikbaar om te bepalen wie welke informatie mag zien.

Policies voor control & management plane

Je zet policies in om ervoor te zorgen dat de logging, met name audit en performance data, naar je centrale control & management plane wordt gestuurd. Door de inzet van policies weet je zeker dat je geen data uit de verschillende subscripties mist. Deze gedachtegang is cloud native. Dit principe kun je met Azure ARC uitbreiden naar een hybride omgeving door resources onder Azure ARC-beheer naar dezelfde log analytics te laten loggen.

Meer weten over policy driven cloud governance? Check het artikel Policy driven governance: vangrails voor cloud.

Met policy driven control beheer je niet alleen je governance en policies, maar ook de tooling die je daarvoor inzet. Idealiter kies je voor één tooling die zo veel mogelijk kan afdekken en aansluit bij jouw platform. Zo voorkom je dat je in de situatie komt waarbij je meer met het beheer bezig bent dan met het oplossen van governanceproblemen.

Role-based access control

Bij een single control & management plane kun je role-based access toepassen, waarmee je gedifferentieerde toegang per team biedt. Dit maakt het gemakkelijk om logs te beheren, te doorzoeken en kruiselings te correleren. Zo kun je er bijvoorbeeld voor zorgen dat de security officer (links in afbeelding hieronder) alle data kan zien, terwijl de beheerders van de oplossingen alleen datgene kunnen zien waar ze toegang tot hebben verkregen (rechts). Bij het gebruik van een single log analytics weet je dus zeker dat de beheerders niet teveel zien en overziet security juist het hele landschap.

Inzicht in klantomgeving

Om inzicht te krijgen in een klantomgeving wordt Azure Lighthouse gebruikt. Met Azure Lighthouse kunnen dienstverleners operaties op schaal uitvoeren over meerdere klantomgevingen tegelijk, waardoor beheertaken efficiënter worden. Om gegevens te verzamelen moeten Log Analytics workspaces worden aangemaakt. Microsoft raadt aan deze workspaces rechtstreeks in de tenants van de klant aan te maken. Zo blijven klantgegevens in hun tenants, in plaats van te worden geëxporteerd naar de Cloud Management Services- (CMS-) omgeving. Dit maakt gecentraliseerde monitoring mogelijk van alle bronnen of diensten die door Log Analytics worden ondersteund zonder dat deze informatie de klantomgeving verlaat.

On premise naar cloud

Ga je van on-premises naar de cloud, gebruik dan cloudtooling in plaats van onpremise-tooling. Wanneer je on-premises tooling in de cloud gebruikt, wijk je af van een van de andere design principles: blijf zo dicht mogelijk bij het platform. Doe je dit niet, dan loop je snel achter met alle nieuwe ontwikkelingen binnen de cloud. Hierdoor wordt je beheer complexer. Deze ontwikkelingen volgen elkaar in de cloud veel sneller op dan in on-premises-omgeving. Bovendien zijn de meeste leveranciers van on-premises-tooling niet op deze veranderingen ingericht.