Partnerzy obsługujący setki subskrypcji swoich klientów często stają przed wyzwaniem, jak skalować swoje zasoby w celu automatyzacji monitoringu Azure. Coraz bardziej rozbudowane scenariusze wdrożeń, wymagający zleceniodawcy oraz ich potrzeby obligują do wykorzystania nowoczesnych i skalowalnych narzędzi.
Jednym z przykładów rozwiązania, jakie wykorzystujemy w Sii dla rozwiązania tego zagadnienia, jest Azure Lighthouse.
Azure Lighthouse – do czego służy to rozwiązanie?
Azure Lighthouse to usługa opracowana przez firmę Microsoft, która zapewnia zaawansowaną automatyzację usług w chmurze Azure. Umożliwia ona zarządzanie zasobami Azure należącymi do różnych tenantów z poziomu jednego centralnego środowiska. Poziom i zakres dostępu dla inżynierów jest zawsze określany przez klienta, natomiast po stronie inżynierów Sii jest zbudowanie interfejsów, paneli zarządzania i innych rozwiązań dla zespołu Service Desk.
Korzystając z usługi Azure Lighthouse, istnieje wiele sposobów na usprawnienie zarządzania:
- Azure Delegated Resource Management: możemy bezpiecznie zarządzać zasobami platformy Azure swoich klientów w ramach własnej dzierżawy bez konieczności przełączania się między subskrypcjami klientów. Subskrypcje klientów i grupy zasobów można przydzielić do określonych użytkowników i ról w zarządzaniu dzierżawą, uzyskując możliwość usunięcia dostępu w razie potrzeby. Informacje dotyczące zarządzania dzierżawcami można wyświetlić na stronie „Moi klienci” w portalu Azure. Portal Azure zawiera stronę „Delegacje”, która umożliwia klientom wyświetlanie dostępu do usługodawcy i zarządzanie nim.
- Azure Resource Manager (ARM) Templates: możemy używać szablonów ARM do dołączania przydzielonych zasobów klienta i wykonywania zadań zarządzania między dzierżawcami.
- Azure Marketplace: możemy świadczyć usługi klientom za pomocą ofert publicznych lub prywatnych w Azure Marketplace oraz automatycznie dołączać je do usługi Azure Lighthouse.
Wsparcie innych usług
Azure Lighthouse posiada dodatkowo dedykowane rozwiązania do wsparcia szeregu usług Azure takich jak np.:
- Azure Arc,
- Azure Automation,
- Azure Backup,
- Azure Cost Management,
- Azure Kubernetes Services,
- Azure Monitor,
- Azure Security Center,
- Azure Sentinel,
- Azure Service Health,
- Azure Site Recovery.
Wprowadza do w/w usług dodatkowe możliwości centralizacji procesu ich monitoringu w jednolitej konsoli.
Inżynier ServiceDesk, odpowiedzialny za wybrany zakres usług, dostaje pulpit z wykresami i alertami związanymi z obsługiwanym przez niego rozwiązaniem dla określonych klientów – jeden pulpit dla nawet setek klientów.
Zagadnienia bezpieczeństwa
Bezpieczeństwo klienta
Azure Lighthouse posiada wbudowane rozwiązania, które zapewniają bezpieczeństwo dla klienta. Klienci mogą kontrolować, kto może uzyskać dostęp do ich subskrypcji, zasobów i typów operacji, jakie można wykonać. Rozwiązanie przynosi również korzyści zespołom IT bowiem umożliwia skalowanie usługi przy lepszym zarządzaniu lokalnymi zasobami.
Rozwiązanie Azure Lighthouse daje administratorom możliwość uzyskiwania informacji o np. najlepszych rozwiązaniach z Azure Advisor w jednym oknie i podjęcia odpowiednich działań dla dowolnego klienta lub kilku na raz. Zatem zmniejszamy w ten sposób liczbę potrzebnych działań do minimum po stronie IT. W ten sam sposób możemy monitorować incydenty związane z zabezpieczeniami w wielu obszarach roboczych klientów na podstawie usługi Azure Sentinel.
Pomoc techniczna z poziomu środowiska klienta
Azure Lighthouse umożliwia tworzenie żądań pomocy technicznej z poziomu środowiska klienta. Możemy dzięki takim działaniom skorzystać z własnej umowy wsparcia. Pozwala to również „ominąć” pośrednika. Nie musimy już prosić klienta o wygenerowanie raportu, zbieranie dzienników, wysyłanie informacji, aby przekazać je personelowi pomocy technicznej platformy Azure. Możemy uzyskać dostęp do wszystkich tych informacji i przekazać je bezpośrednio osobie wspierającej. Oszczędzając sobie i klientowi trochę cennego czasu.
Scentralizowany zestaw zasad bezpieczeństwa
Usługa ta umożliwia nam również scentralizowany zestaw zasad zabezpieczeń, które możemy stosować do wszystkich naszych klientów jednocześnie. Dzięki temu wszelkie poprawki lub nowe zasady dotyczące najlepszych praktyk można szybko i skutecznie zastosować.
Wszystkie podejmowane działania mogą być po stronie klienta rejestrowane i na bieżąco monitorowane, dzięki czemu klient posiada możliwość weryfikacji, jakiego rodzaju zmiany zostały wprowadzone, w jakim zasobie i przez kogo.
Środki ostrożności podczas korzystania z Azure Lighthouse
Azure Lighthouse znacznie ułatwia pracę administratorom i inżynierom, ale musimy zachować ostrożność podczas korzystania z niego. Jeśli zapewniamy pełny dostęp na poziomie kontrybutora, ważne jest, aby mieć dobre zarządzanie.
Oto kilka najważniejszych wskazówek, jak zmniejszyć ryzyko potencjalnych problemów:
- Zmiana nazwy subskrypcji platformy Azure, tak aby zawierała nazwę klienta, tj. nie używaj wszystkich nazw „Microsoft Azure” lub podobnych, ponieważ trudno będzie je odróżnić.
- Upewnij się, że korzystasz z uwierzytelniania wieloskładnikowego w celu zabezpieczenia kont użytkowników.
- Użyj zasady najmniejszych uprawnień dla przypisanych grup usługi Azure AD, np. nie dodawaj wszystkich do grupy usługi Azure AD z delegowanym dostępem „współautora”, jeśli nie jest to wymagane.
- Rozważ przypisanie dostępu do grup zasobów zamiast pełnych subskrypcji platformy Azure.
- Użyj Azure Policy, aby wstawić bariery wdrażania i egzekwować standardy u wszystkich swoich klientów.
- Rozważ użycie zarządzania tożsamością uprzywilejowaną (PIM), aby wymusić dostęp administratora just-in-time na podstawie zatwierdzenia/ograniczenia czasowego.
Korzyści wykorzystania Azure Lighthouse
Zalety dla klienta
Usługi realizowane poprzez Azure Lighthouse umożliwiają klientom skupienie się na rozwoju biznesu i własnych rozwiązań, a mniej na ciągłym monitoringu zasobów. Dzięki możliwości kontroli dostępu klient może przekazać dostawcy do monitoringu tylko te usługi, dla których potrzebuje wsparcia – wciąż zachowując pełną kontrolę nad zasobami.
Przypisywanie dostępów o wyższym poziomie uprawnień niż odczyt można dodatkowo oprzeć o rozwiązanie PIM (Privileged Access Management), dzięki czemu klient za każdym razem będzie mógł podjąć decyzję o podniesieniu uprawnień dla inżynierów na określony czas dla określonych zasobów.
Korzyści dla infrastruktury
Interesującym przykładem wykorzystania Azure Lighthouse jest dostarczanie specjalistycznego oprogramowania dla wielu klientów. Dostawca aplikacji poprzez w/w rozwiązanie może świadczyć dodatkowe wsparcie również dla infrastruktury, która utrzymuje aplikację, zapewniając kompleksową usługę, jednocześnie zachowując wysoki poziom bezpieczeństwa oraz izolacji. Dane i aplikacja są nadal pod pełną kontrolą klienta w jego własnej subskrypcji.
Poprawa bezpieczeństwa
Wykorzystanie m.in. Azure Sentinel poprzez Azure Lighthouse pozwala klientom na zwiększenie poziomu bezpieczeństwa poprzez otrzymanie zaawansowanego rozwiązania typu SOC. Narzędzie ułatwi pracę zespołu inżynierów security, którzy mogą analizować zdarzenia związane z bezpieczeństwem dla wielu klientów równocześnie w jednolitym interfejsie. Wsparciem działań inżynierów security jest usługa Azure Sentinel, którą można połączyć z Azure Lighthouse.
Natywnie usługa Azure Sentinel może świadczyć swoje usługi tylko jednemu dzierżawcy, więc jeśli wykonujemy usługę dla wielu klientów i musimy monitorować dzienniki zabezpieczeń i incydenty swoich klientów, może to być trudne, ponieważ zawsze konieczne jest przełączanie się między dzierżawami. Dzięki Azure Lighthouse mamy teraz możliwość zarządzania i monitorowania wielu instancji Sentinel z jednego portalu lub jednego dzierżawcy, co znacznie ułatwia pracę security, ponieważ centralizuje wszystkie instancje Sentinel w jednym miejscu.
I na koniec… koszty
Usługa Azure Lighthouse nie ma większego wpływu na koszty po stronie klienta – samo rozwiązanie jest bezpłatne, jedyne koszty które mogą się pojawić dotyczą magazynu logów i ew. dodatkowej transmisji danych. Są to jednak niewielkie koszty.
***
Jeśli interesują Cię rozwiązania Azure, zachęcamy do przeczytania artykułów o Usługach Azure Policy i Azure Blueprint oraz Azure LogicApp oraz FunctionApp.
***
Jeśli ciekawi Cię, jakich rozwiązań używa DevOps Engineer i czym powinna charakteryzować się osoba na tym stanowisku, obejrzyj video i posłuchaj, jak Artur opowiada o swoich obowiązkach:
Super. Fajnie byłoby czytać jeszcze więcej treści o Azure i samej chmurze 🙂
Dzięki! Myślę, że sukcesywnie będzie pojawiało się więcej wpisów zarówno o Azure jak i chmurze 🙂 Stay tuned 🙂