Freigeben über

Passen Sie die Azure-Zielzonenarchitektur an die Anforderungen an

  • Artikel

Im Rahmen der Azure-Zielzone-Anleitung stehen mehrere Referenzimplementierungsoptionen zur Verfügung:

  • Azure-Zielzone mit Azure Virtual WAN
  • Azure-Zielzone mit herkömmlichem Hub und Spoke
  • Azure-Zielzonen-Foundation
  • Azure-Zielzone für kleine Unternehmen

Diese Optionen können Ihrer Organisation einen schnellen Einstieg ermöglichen, indem Sie Konfigurationen nutzen, die die konzeptionelle Architektur der Azure-Zielzone und bewährte Methoden in den Designbereichen bereitstellen.

Die Referenzimplementierungen basieren auf den bewährten Methoden und Erkenntnissen von Microsoft Teams aus Engagements mit Kunden und Partnern. Dieses Wissen stellt die "80"-Seite der 80/20-Regel dar. Die verschiedenen Implementierungen nehmen Positionen zu technischen Entscheidungen, die Teil des Architekturentwurfsprozesses sind.

Da nicht alle Anwendungsfälle identisch sind, können nicht alle Organisationen einen Implementierungsansatz genau wie vorgesehen verwenden. Sie müssen die Überlegungen verstehen, wenn eine Anforderung für die Anpassung identifiziert wird.

Was ist ein „Zielzonenarchetyp“ in Azure-Zielzonen?

Ein Archetyp für eine Zielzone beschreibt, was erfüllt sein muss, damit eine Zielzone (Azure-Abonnement) die erwartete Umgebung und die Complianceanforderungen in einem bestimmten Umfang erfüllen kann. Beispiele:

  • Azure Policy-Zuweisungen.
  • RBAC-Zuweisungen (rollenbasierte Zugriffssteuerung).
  • Zentral verwaltete Ressourcen wie z. B. Netzwerk.

Aufgrund der Art und Weise, wie die Richtlinienvererbung in Azure funktioniert, betrachten Sie jede Verwaltungsgruppe in der Ressourcenhierarchie als Beitrag zur endgültigen Ausgabe des Zielzonenarchetyps. Überlegen Sie, was auf den oberen Ebenen in der Ressourcenhierarchie angewendet wird, wenn Sie die unteren Ebenen entwerfen.

Es gibt eine enge Beziehung zwischen Verwaltungsgruppen und Zielzonen-Archetypen, aber eine Verwaltungsgruppe allein ist kein Zielzonen-Archetyp. Stattdessen ist sie Teil des Frameworks, das Sie verwenden, um jeden der Zielzonenarchetypen in Ihrer Umgebung zu implementieren.

Sie können diese Beziehung in der konzeptionellen Architektur der Azure Landing Zone sehen. Richtlinienzuweisungen werden in der Zwischenstammverwaltungsgruppe erstellt, z. B. Contoso, für Einstellungen, die für alle Workloads gelten müssen. Weitere Richtlinienzuweisungen werden auf niedrigeren Ebenen der Hierarchie für spezifischere Anforderungen erstellt.

Die Platzierung des Abonnements innerhalb der Verwaltungsgruppenhierarchie bestimmt die daraus resultierende Festlegung von Azure-Richtlinien und Zugriffssteuerungen (IAM), die auf diese bestimmte Zielzone (Azure-Abonnement) vererbt, angewendet und durchgesetzt werden.

Möglicherweise sind weitere Prozesse und Tools erforderlich, um sicherzustellen, dass eine Landezone über die erforderlichen zentral verwalteten Ressourcen verfügt. Einige Beispiele sind:

  • Diagnoseeinstellungen zum Senden von Aktivitätsprotokolldaten an einen Log Analytics-Arbeitsbereich.
  • Kontinuierliche Exporteinstellungen für Microsoft Defender für Cloud.
  • Virtuelles Netzwerk mit verwalteten IP-Adressräumen für Anwendungsworkloads.
  • Anbindung von virtuellen Netzwerken an einen verteilten Denial-of-Service (DDoS)-Schutz.

Anmerkung

In den Referenzimplementierungen der Azure-Zielzonen werden Azure-Richtlinien mit DeployIfNotExists- und Modify-Effekten verwendet, um die Bereitstellung einiger der vorherigen Ressourcen zu erreichen. Sie folgen dem Designprinzip der richtliniengesteuerten Governance.

Weitere Informationen finden Sie unter Einführen richtliniengesteuerter Schutzmaßnahmen.

Integrierte Archetypen für die konzeptionelle Architektur der Azure-Zielzone

Die konzeptionelle Architektur umfasst Beispiel-Zielzonenarchetypen für Anwendungsworkloads wie corp und online. Diese Archetypen können für Ihre Organisation gelten und Ihre Anforderungen erfüllen. Möglicherweise möchten Sie Änderungen an diesen Archetypen vornehmen oder neue erstellen. Ihre Entscheidung hängt von den Bedürfnissen und Anforderungen Ihrer Organisation ab.

Tipp

Überprüfen Sie die Zielzonenarchetypen im Azure-Zielzonenbeschleuniger unter Verwaltungsgruppen im Azure-Zielzonenbeschleuniger.

Möglicherweise möchten Sie auch an anderer Stelle in der Ressourcenhierarchie Änderungen erstellen. Wenn Sie die Hierarchie für die Implementierung von Azure-Zielzonen für Ihr Unternehmen planen, befolgen Sie die Richtlinien in den Entwurfsbereichen.

Die folgenden Archetypen der Landungszone aus der konzeptionellen Architektur helfen Ihnen, ihren Zweck und die beabsichtigte Verwendung zu verstehen:

Zielzonenarchetyp (Verwaltungsgruppe) Zweck oder Verwendung
Corp Die dedizierte Verwaltungsgruppe für Unternehmenszielzonen. Diese Gruppe ist für Workloads gedacht, die Konnektivität oder Hybridkonnektivität zum Unternehmensnetzwerk über den Hub im Konnektivitätsabonnement erfordern.
Online Die dedizierte Verwaltungsgruppe für Onlinezielzonen. Diese Gruppe ist für Workloads gedacht, die möglicherweise eine direkte ein-/ausgehende Internetverbindung benötigen oder für diejenigen Workloads, die kein virtuelles Netzwerk erfordern.
Sandkasten Die dedizierte Verwaltungsgruppe für Abonnements, die in Organisationen nur für Tests und Exploration verwendet werden. Diese Abonnements werden sicher von den Unternehmens- und Onlinezielzonen getrennt. Sandboxes verfügen auch über weniger restriktive Richtlinien, die das Testen, Erkunden und Konfigurieren von Azure-Diensten ermöglichen.

Szenarien, in denen Anpassungen erforderlich sein können

Wie bereits erwähnt, werden in Konzeptionelle Architektur der Azure-Zielzone gängige Zielzonenarchetypen vorgestellt. Das sind corp und online. Diese Archetypen sind nicht festgelegt und sie sind nicht die einzigen zulässigen Zielzonenarchetypen für Anwendungsworkloads. Möglicherweise müssen Sie Die Archetypen der Landezone an Ihre Bedürfnisse und Anforderungen anpassen.

Bevor Sie Zielzonenarchetypen anpassen, ist es wichtig, die Konzepte zu verstehen und auch den Bereich der Hierarchie zu visualisieren, der vorgeschlagen wird. Das folgende Diagramm zeigt die Standardhierarchie der konzeptionellen Architektur der Azure-Zielzone.

Diagramm, das die Standardhierarchie der Azure Landing Zone mit hervorgehobenen Anpassungsbereichen zeigt.

Zwei Bereiche der Hierarchie werden hervorgehoben. Eine befindet sich unterhalb der Zielzonen, und die andere befindet sich unter der Plattform.

Anpassen der Archetypen von Anwendungszielzonen

Beachten Sie den Bereich, der unter der Verwaltungsgruppe Zielzonen in Blau hervorgehoben ist. Es ist der am häufigsten verwendete und sicherste Ort in der Hierarchie, um mehr Archetypen hinzuzufügen, um neue oder mehr Anforderungen zu erfüllen, die nicht mehr Richtlinienzuweisungen zu einem vorhandenen Archetyp mithilfe der vorhandenen Hierarchie hinzugefügt werden können.

Sie können beispielsweise eine neue Anforderung haben, eine Reihe von Anwendungslasten zu hosten, die die Complianceanforderungen der Zahlungskartenindustrie (PCI) erfüllen müssen. Diese neue Anforderung muss jedoch nicht auf alle Workloads in Ihrem gesamten Bestand angewendet werden.

Es gibt eine einfache und sichere Möglichkeit, diese neue Anforderung zu erfüllen. Erstellen Sie eine neue Verwaltungsgruppe namens PCI unterhalb der Verwaltungsgruppe Zielzonen in der Hierarchie. Sie können der neuen PCI-Verwaltungsgruppe weitere Richtlinien wie die Richtlinieninitiative zur Einhaltung gesetzlicher Bestimmungen durch Microsoft Defender for Cloud für PCI v3.2.1:2018 zuweisen. Diese Aktion bildet einen neuen Archetyp.

Jetzt können Sie neue oder vorhandene Azure-Abonnements in die neue PCI-Verwaltungsgruppe verschieben, um die erforderlichen Richtlinien zu erben und den neuen Archetyp zu erstellen.

Ein weiteres Beispiel ist Microsoft Cloud for Sovereignty, das Verwaltungsgruppen für vertrauliches Compute hinzufügt und auf den Einsatz in regulierten Branchen ausgerichtet ist. Microsoft Cloud for Sovereignty stellt Werkzeuge, Anleitungen und Leitlinien für die Einführung öffentlicher Cloud-Lösungen mit geeigneten Souveränitätskontrollen bereit.

Tipp

Sie müssen wissen, was Sie berücksichtigen müssen und was passiert, wenn Sie Azure-Abonnements zwischen Verwaltungsgruppen in Bezug auf RBAC und Azure-Richtlinie verschieben. Weitere Informationen finden Sie unter Übertragen vorhandener Azure-Umgebungen auf die konzeptionelle Architektur der Azure-Zielzone.

Angepasste Archetypen von Zielzonen für Plattformen

Möglicherweise möchten Sie auch den Bereich anpassen, der in Orange unter der Plattformverwaltungsgruppe hervorgehoben ist. Die Zonen in diesem Bereich werden als Plattformzielzonen bezeichnet.

Beispielsweise verfügen Sie möglicherweise über ein dediziertes SOC-Team, das einen eigenen Archetyp benötigt, um seine Workloads zu hosten. Diese Workloads müssen Azure Policy und RBAC-Zuordnungsanforderungen erfüllen, die sich von denen der Verwaltungsverwaltungsgruppe unterscheiden.

Erstellen Sie eine neue Sicherheitsverwaltungsgruppe unterhalb der Plattformverwaltungsgruppe in der Hierarchie. Sie können ihm die erforderlichen Azure-Richtlinien und RBAC-Rollen zuweisen.

Jetzt können Sie neue oder vorhandene Azure-Abonnements in die neue Sicherheitsverwaltungsgruppe verschieben, um die erforderlichen Richtlinien zu erben und den neuen Archetyp zu erstellen.

Beispiel für eine angepasste Azure-Zielzonenhierarchie

Das folgende Diagramm zeigt eine maßgeschneiderte Azure-Zielzonenhierarchie. Es verwendet Beispiele aus dem vorherigen Diagramm.

Diagramm, das eine maßgeschneiderte Azure-Zielzonenhierarchie zeigt.

Zu berücksichtigende Punkte

Beachten Sie die folgenden Punkte, wenn Sie darüber nachdenken, wie Sie die Implementierung der Azure Landing Zone Archetypen in der Hierarchie anpassen:

  • Das Anpassen der Hierarchie ist nicht obligatorisch. Die standardmäßigen Archetypen und Hierarchien, die wir bereitstellen, sind für die meisten Szenarien geeignet.

  • Erstellen Sie ihre Organisationshierarchie, Teams oder Abteilungen nicht in Archetypen neu.

  • Versuchen Sie immer, auf den vorhandenen Archetypen und -hierarchien aufzubauen, um neue Anforderungen zu erfüllen.

  • Erstellen Sie nur neue Archetypen, wenn sie wirklich benötigt werden.

    Beispielsweise ist eine neue Complianceanforderung wie PCI nur für eine Teilmenge von Anwendungsworkloads erforderlich und muss nicht auf alle Workloads angewendet werden.

  • Erstellen Sie nur neue Archetypen in den hervorgehobenen Bereichen, die in den vorherigen Diagrammen angezeigt werden.

  • Vermeiden Sie es, über eine Hierarchietiefe von vier Ebenen hinauszugehen, um Komplexität und unnötige Ausschlüsse zu vermeiden. Erweitern Sie Archetypen horizontal statt vertikal in der Hierarchie.

  • Erstellen Sie keine Archetypen für Umgebungen wie Entwicklung, Test und Produktion.

    Weitere Informationen finden Sie unter Wie gehen wir in der konzeptionellen Architektur der Azure-Zielzonen für Workloads mit „Dev/Test/Produktion“ um?

  • Wenn Sie aus einer Brownfield-Umgebung kommen oder einen Ansatz zum Hosten von Abonnements in der Zielzonenverwaltungsgruppe mit Richtlinien im Erzwingungsmodus „Nur Überwachung“ suchen, überprüfen Sie das Szenario: Übergang einer Umgebung durch Duplizieren einer Zielzonenverwaltungsgruppe