SLZ-Konzepte
In diesem Artikel erfahren Sie mehr über die verschiedenen Konzepte im Zusammenhang mit einer Sovereign Landing Zone (SLZ).
Bereitstellungs- und Konfigurationsmethoden für eine SLZ
Für Organisationen, die die Einführung rationalisieren möchten, können Sie eine SLZ aus einer einzelnen Parameterdatei konfigurieren und diese bereistellen, indem Sie ein einzelnes Skript ausführen. Die Parameterdatei und die zugehörige Bereitstellungsorchestrierung sorgen für Konsistenz innerhalb von Umgebung, beispielsweise durch die Verwendung einer gemeinsamen Benennungskonvention für Ressourcen und Standardisierung innerhalb von Umgebung. Dieses Design ermöglicht einer Organisation den schnellen Einstieg in eine SLZ, ohne auf viele manuelle Bereitstellungsschritte und verschiedene Dokumentationsquellen zurückgreifen zu müssen.
Wenn Organisationen die Aufgabentrennung und die Einhaltung der Mindestprivilegien nachweisen müssen, können sie eine SLZ aus einer oder mehreren Parameterdateien konfigurieren. Organisationen können die Bereitstellung je nach Funktionsbereich in einzelne Schritte unterteilen. Beispielsweise kann das Team, das Abonnements bereitstellt und Verwaltungsgruppen konfiguriert, dies als eine Bereitstellungsaktivität tun und gleichzeitig einem separaten Team die Verwaltung von Richtlinien und Compliance in diesen Bereichen ermöglichen. Diese einzelnen Bereitstellungsschritte erfordern eine Koordination, ermöglichen jedoch eine detailliertere Bereitstellungserfahrung.
Weitere Informationen zur anfänglichen Bereitstellung der gesamten SLZ auf einmal oder zur Verwendung einzelner Bereitstellungsschritte finden Sie in der Sovereign Landing Zone auf GitHub.
Erweiterte Anpassungen in SLZ
Die SLZ-Parameterdatei hilft einer Organisation, indem sie ihre Bereitstellung vollständig konfiguriert und die Konsistenz in allen Teilen der Umgebung gewährleistet. Organisationen sollten die Konfigurationsoptionen überprüfen, um die geeigneten Einstellungen für ihre Bereitstellung zu ermitteln.
Allerdings kann die SLZ-Parameterdatei nicht vollständige Konfigurationsoptionen für jede mögliche Einstellung bereitstellen, die ein Kunde möglicherweise haben möchte. Für den Fall, dass mehr Funktionen benötigt werden, empfehlen wir die folgenden Optionen:
Fordern Sie neue Konfigurationsfunktionen über eine Funktionsanfrage an. Wir empfehlen, diese neuen Funktionen anzufordern, wenn Sie allgemeine oder allgemeine Herausforderungen angehen.
Nehmen Sie nach der SLZ-Bereitstellung Anpassungen vor. Schritte nach der Bereitstellung werden empfohlen, wenn Unternehmen mehr Kontrollen einrichten oder zusätzliche Ressourcen erstellen müssen, bevor sie Workload-Besitzern Berechtigungen zur Nutzung der Umgebung erteilen.
Fork und verwalten Sie eine lokale Kopie des SLZ-Repositorys. Wir empfehlen die Verwendung dieser Option für Organisationen, die eine vollständige Konfigurationskontrolle über ihre Umgebung benötigen oder verlangen, dass ihre Sicherheitskontrollen in die Umgebung integriert sind.
Benutzerdefinierte Richtlinien verwenden
Azure-Richtlinien sollen angemessene Sichtbarkeit und technische Leitplanken bieten, um sicherzustellen, dass ein Compliance-Status aufrechterhalten wird. Für viele Organisationen ist es von entscheidender Bedeutung, dass diese Richtlinien vor der Bereitstellung von Workloads in die Umgebung integriert werden. Die SLZ-Orchestrierung bietet die Möglichkeit, benutzerdefinierte Richtliniendefinitionen und -zuweisungen zu erstellen und zusammen mit einer SLZ-Bereitstellung und in bestimmten Bereichen innerhalb der Bereitstellung bereitzustellen. Die Orchestrierung gibt Unternehmen die Gewissheit, dass ihre individuellen Compliance-Anforderungen von Anfang an erfüllt sind. Organisationen, die keine benutzerdefinierten Richtlinien benötigen, können die Orchestrierung auch verwenden, um integrierte Richtliniensätze zuzuweisen.
Unsere Dokumentation zu Vorschau-Richtliniensätzen im Richtlinienportfolio enthält weitere Informationen zur Verwendung benutzerdefinierter Richtlinien innerhalb einer SLZ.
Minimieren Sie die Kosten für Piloten
Bei der Pilotierung oder Durchführung eines Proof-of-Concept ist es wichtig, sich der Kostenauswirkungen bewusst zu sein. Die Standardeinstellungen für das SLZ erstellen eine produktionsbereite Bereitstellung, was für Unternehmen, die noch nicht produktionsbereit sind, zu hohen Kosten führen kann. Die SLZ-Orchestrierung bietet Schalter für viele Ressourcen, und Organisationen sollten bestimmen, welche für ihre Bereitstellung erforderlich sind.
Wir empfehlen, die folgenden Produktangebote zu prüfen:
Azure DDoS-Schutz: Wir empfehlen die Standard-SKU aufgrund ihrer erweiterten Funktionen zur Verkehrsgestaltung, Behebung und Transparenz bei DDoS-Ereignissen. Sie können jedoch die Basis-SKU für Nicht-Produktionsumgebungen verwenden.
Azure-Firewall: Die Azure-Firewall ermöglicht Organisationen, eine starke Netzwerksicherheit rund um ihre SLZ-Bereitstellung aufzubauen. Organisationen können jedoch auch andere Azure-Netzwerkressourcen als geeignete Technologien zum Aufbau von Sicherheit in Nicht-Produktionsumgebungen finden.
Azure VPN Gateway: Die Azure VPN Gateway- und ExpressRoute-Angebote ermöglichen es einer Organisation, ihre Verbinden-Umgebungen auf Azure zu Verbinden. Allerdings benötigen Organisationen möglicherweise keine Nicht-Produktionsumgebungen, um über diese Art von Netzwerkkonnektivität zu verfügen, und können stattdessen Azure Bastion oder andere Zugriffstechnologien verwenden.