Sdílet prostřednictvím

Důležité informace o cílové zóně Brownfieldu

  • Článek

Nasazení brownfieldu je existující prostředí, které vyžaduje úpravy odpovídající cílové architektuře cílové zóny Azure a osvědčeným postupům. Pokud potřebujete vyřešit scénář nasazení brownfieldu, zvažte, jak začít s existujícím prostředím Microsoft Azure. Tento článek shrnuje pokyny, které najdete jinde v dokumentaci k připravenosti architektury přechodu na cloud. Další informace najdete v části Úvod do metodologie připravenosti architektury přechodu na cloud.

Organizace prostředků

V prostředí brownfield jste už vytvořili své prostředí Azure. Není ale nikdy příliš pozdě použít osvědčené principy organizace prostředků a pokračovat dál. Zvažte implementaci některého z následujících návrhů:

  • Pokud vaše aktuální prostředí skupiny pro správu nepoužívá, zvažte je. Skupiny pro správu jsou klíčem ke správě zásad, přístupu a dodržování předpisů napříč předplatnými ve velkém měřítku. Skupiny pro správu vám pomůžou s implementací.
  • Pokud vaše aktuální prostředí používá skupiny pro správu, při vyhodnocování implementace zvažte pokyny ve skupinách pro správu.
  • Pokud máte v aktuálním prostředí existující předplatná, zvažte pokyny v předplatných , abyste zjistili, jestli je efektivně používáte. Předplatná fungují jako hranice zásad a správy a jsou jednotky škálování.
  • Pokud máte v aktuálním prostředí existující prostředky, zvažte použití pokynů k pojmenování a označování , abyste mohli ovlivnit strategii označování a zásady vytváření názvů v budoucnu.
  • Azure Policy je užitečné při vytváření a vynucování konzistence týkajících se taxonomických značek.

Zabezpečení

Pokud chcete upřesnit stav zabezpečení stávajícího prostředí Azure týkající se ověřování, autorizace a účtování, je průběžný iterativní proces. Zvažte implementaci následujících doporučení:

  • Nasaďte cloudovou synchronizaci Microsoft Entra Connect, abyste svým místním uživatelům Doména služby Active Directory Services (AD DS) poskytli zabezpečené jednotné přihlašování (SSO) k aplikacím založeným na ID Microsoft Entra. Další výhodou konfigurace hybridní identity je vynucování vícefaktorového ověřování Microsoft Entra (MFA) a microsoft Entra Password Protection k další ochraně těchto identit.
  • Zajištění zabezpečeného ověřování pro cloudové aplikace a prostředky Azure pomocí podmíněného přístupu Microsoft Entra.
  • Implementujte Microsoft Entra Privileged Identity Management , abyste zajistili přístup s nejnižšími oprávněními a podrobné generování sestav v celém prostředí Azure. Týmy by měly zahájit opakované kontroly přístupu, aby se zajistilo, že správné lidi a zásady služeb mají aktuální a správné úrovně autorizace. Projděte si také pokyny k řízení přístupu.
  • Využijte doporučení, upozorňování a možnosti nápravy v programu Microsoft Defender pro cloud. Váš bezpečnostní tým může také integrovat Microsoft Defender for Cloud do Microsoft Sentinelu , pokud potřebují robustnější, centrálně spravované hybridní a multicloudové řešení správy událostí zabezpečení (SIEM) / Řešení Orchestraation and Response (SOAR).

Řízení

Stejně jako zabezpečení Azure není zásady správného řízení Azure "jedna a hotovo". Jedná se spíše o neustále se vyvíjející proces standardizace a vynucování dodržování předpisů. Zvažte implementaci následujících ovládacích prvků:

  • Projděte si naše doprovodné materiály k vytvoření směrného plánu správy pro vaše hybridní nebo multicloudové prostředí.
  • Implementace funkcí služby Microsoft Cost Management , jako jsou rozsahy fakturace, rozpočty a upozornění, aby vaše útraty v Azure zůstaly v předepsané mezích
  • Použití Služby Azure Policy k vynucení mantinelí zásad správného řízení v nasazeních Azure a aktivaci úloh nápravy za účelem přenesení stávajících prostředků Azure do kompatibilního stavu
  • Zvažte správu nároků Microsoft Entra za účelem automatizace požadavků Azure, přiřazení přístupu, kontrol a vypršení platnosti.
  • Využijte doporučení Azure Advisoru k zajištění optimalizace nákladů a efektivity provozu v Azure, z nichž obě jsou základními principy architektury Microsoft Azure Well-Architected Framework.

Sítě

Je pravda, že refaktoring již zavedené infrastruktury virtuální sítě Azure může být pro mnoho firem náročným výtahem. To znamená, že zvažte začlenění následujících pokynů do návrhu, implementace a údržby sítě:

  • Projděte si naše osvědčené postupy pro plánování, nasazení a údržbu hvězdicové topologie virtuální sítě Azure.
  • Zvažte Použití Azure Virtual Network Manageru (Preview) k centralizaci pravidel zabezpečení skupiny zabezpečení sítě (NSG) napříč několika virtuálními sítěmi.
  • Azure Virtual WAN sjednocuje sítě, zabezpečení a směrování, které firmám pomůžou vytvářet bezpečnější a rychlejší hybridní cloudové architektury.
  • Privátní přístup k datovým službám Azure pomocí služby Azure Private Link Služba Private Link zajišťuje, aby vaši uživatelé a aplikace komunikují s klíčovými službami Azure pomocí páteřní sítě Azure a privátních IP adres místo přes veřejný internet.

Další kroky

Teď, když máte přehled důležitých informací o prostředí Azure brownfield, tady jsou některé související zdroje informací, které byste měli zkontrolovat: