Koncepty SLZ
Tento článek vysvětluje různé koncepty spojené se suverénní cílovou zónou (SLZ).
Metody nasazení a konfigurace pro SLZ
Organizace, které chtějí zefektivnit přijetí, mohou nakonfigurovat SLZ z jednoho souboru parametrů a nasadit ji spuštěním jednoho skriptu. Soubor parametrů a jemu přidružená orchestrace nasazení zajišťují konzistenci v rámci prostředí prostřednictvím metod, jako je použití běžné konvence pojmenování zdrojů a standardizace v rámci prostředí. Tento návrh umožňuje organizaci rychle začít s SLZ, aniž by se musela odkazovat na mnoho kroků ručního nasazení a různé zdroje dokumentace.
Když organizace potřebují prokázat oddělení povinností a dodržování nejmenších oprávnění, mohou nakonfigurovat SLZ z jednoho nebo více souborů parametrů. Organizace mohou rozdělit nasazení do jednotlivých kroků na základě funkčních oblastí. Například tým, který poskytuje předplatná a konfiguruje skupiny pro správu, to může udělat jako jednu aktivitu nasazení a zároveň umožnit samostatnému týmu spravovat zásady a dodržování předpisů v těchto rozsazích. Tyto jednotlivé kroky nasazení vyžadují koordinaci, ale umožňují podrobnější nasazení.
Další informace o počátečním nasazení celého SLZ najednou nebo pomocí jednotlivých kroků nasazení najdete v dokumentaci Suverénní cílová zóna na GitHubu.
Pokročilá vlastní nastavení SLZ
Soubor parametrů SLZ pomáhá organizaci tím, že plně konfiguruje jejich nasazení a zajišťuje konzistenci ve všech částech prostředí. Organizace by si měly prostudovat možnosti konfigurace a určit vhodná nastavení pro jejich nasazení.
Soubor parametrů SLZ však nemůže poskytnout úplné možnosti konfigurace pro každé možné nastavení, které si zákazník může přát. V případě, že potřebujete více funkcí, doporučujeme následující možnosti:
Požádejte o nové možnosti konfigurace prostřednictvím žádosti o funkci. Doporučujeme tyto nové funkce požadovat při řešení obecných nebo běžných problémů.
Proveďte úpravy po nasazení SLZ. Kroky po nasazení se doporučují, když organizace potřebují umístit více kontrol nebo vytvořit další zdroje před poskytnutím oprávnění vlastníkům úloh používat prostředí.
Vytvořte si a udržujte místní kopii úložiště SLZ. Tuto možnost doporučujeme používat pro organizace, které potřebují úplnou kontrolu nad konfigurací svého prostředí nebo vyžadují, aby jejich ovládací prvky zabezpečení byly zapracovány do prostředí.
Použití vlastních zásad
Zásady Azure jsou určeny k tomu, aby poskytovaly odpovídající viditelnost a technické mantinely, aby bylo zajištěno dodržování stavu dodržování předpisů. Pro mnoho organizací je zásadní, aby tyto zásady byly zabudovány do prostředí ještě před nasazením úloh. Orchestrace SLZ poskytuje možnost vytvářet a nasazovat vlastní definice zásad a přiřazení spolu s nasazením SLZ a v určených rozsazích v rámci nasazení. Orchestrace poskytuje organizacím jistotu, že jejich jedinečné požadavky na shodu jsou splněny od samého začátku. Organizace, které nepotřebují vlastní zásady, mohou také použít orchestraci k přiřazení vestavěných sad zásad.
Naše dokumentace k náhledu sad zásad v rámci portfolia zásad obsahuje další informace o tom, jak používat vlastní zásady v rámci SLZ.
Minimalizace nákladů pro pilotní projekty
Při nasazování pilotních projektů nebo provádění zkoušky konceptu je důležité být svědomitý ohledně nákladů. Výchozí nastavení pro SLZ vytváří nasazení připravené pro produkční provoz, které může být finančně nedostupné pro organizace, které ještě nejsou připraveny na produkční provoz. Orchestrace SLZ poskytuje přepínače pro mnoho zdrojů a organizace by měly určit, které z nich jsou nezbytné pro jejich nasazení.
Doporučujeme prohlédnout si následující nabídky produktů:
Azure Ochrana DDoS: Doporučujeme standardní SKU kvůli jeho lepším možnostem v oblasti tvarování provozu, nápravy a viditelnosti událostí DDoS. Můžete však použít základní SKU pro neprodukční prostředí.
Azure Firewall: Azure Firewall umožňuje organizacím vybudovat silné zabezpečení sítě kolem jejich nasazení SLZ. Organizace však mohou najít další síťové prostředky Azure jako vhodné technologie pro budování zabezpečení kolem neprodukčních prostředí.
Azure VPN Gateway: Nabídky Azure VPN Gateway a ExpressRoute umožňují organizaci propojit jejich místní prostředí s Azure. Organizace však nemusí potřebovat neprodukční prostředí, aby měly tento typ síťového připojení a místo toho mohou používat Azure Bastion nebo jiné přístupové technologie.