Bereitstellen sicherer Infrastrukturen mithilfe einer Zielzone
Eine Azure-Zielzone ist eine Umgebung, die den wichtigsten Entwurfsprinzipien in acht Entwurfsbereichen folgt. Diese Entwurfsprinzipien berücksichtigen alle Anwendungsportfolios und ermöglichen die Migration, Modernisierung und Innovation von Anwendungen im großen Stil. Eine Azure-Landezone verwendet Abonnements zum Isolieren und Skalieren der Anwendungs- und Plattformressourcen. Abonnements für Anwendungsressourcen werden als Anwendungszielzonen und Abonnements für Plattformressourcen als Plattformzielzonen bezeichnet.
Eine Azure-Zielzonenarchitektur ist skalierbar und modular, um verschiedene Bereitstellungsanforderungen zu erfüllen. Eine wiederholbare Infrastruktur ermöglicht es Ihnen, Konfigurationen und Steuerelemente konsistent auf jedes Abonnement anzuwenden. Module erleichtern das Bereitstellen und Ändern bestimmter Komponenten der Azure-Zielzonenarchitektur, wenn sich Ihre Anforderungen weiterentwickeln.
Plattformzielzonen vs. Anwendungszielzonen
Eine Azure-Zielzone besteht aus Plattformzielzonen und Anwendungszielzonen. Es ist sinnvoll, die Funktion von beiden näher zu erläutern.
Plattformzielzone: Eine Plattformzielzone ist ein Abonnement, das gemeinsame Dienste (Identität, Konnektivität, Verwaltung) für Anwendungen in Anwendungszielzonen bereitstellt. Die Konsolidierung dieser gemeinsam genutzten Dienste verbessert häufig die betriebliche Effizienz. Mindestens ein zentrales Team verwaltet die Plattformzielzonen.
Anwendungszielzone: Eine Anwendungszielzone ist ein Abonnement zum Hosten einer Anwendung. Sie stellen Anwendungszielzonen im Voraus durch Code bereit und verwenden Verwaltungsgruppen, um ihnen Richtlinienkontrollen zuzuweisen.
Es gibt drei grundlegende Ansätze zum Verwalten von Anwendungszielzonen. Sie sollten je nach Ihren Anforderungen (1) ein zentrales Team, (2) ein Anwendungsteam oder (3) einen gemeinsamen Teamverwaltungsansatz verwenden (siehe Tabelle).
| Ansatz zur Verwaltung von Anwendungszielzonen | Beschreibung |
|---|---|
| Zentrale Teamverwaltung | Ein zentrales IT-Team betreibt die Zielzone vollständig. Das Team wendet Steuerelemente und Plattformtools sowohl auf die Plattform- als auch auf die Anwendungszielzonen an. |
| Verwaltung durch ein Anwendungsteam | Ein Plattformverwaltungsteam delegiert die gesamte Anwendungszielzone an ein Anwendungsteam. Das Anwendungsteam verwaltet und betreut die Umgebung. Die Richtlinien der Verwaltungsgruppe stellen sicher, dass das Plattformteam weiterhin die Anwendungszielzone steuert. Sie können weitere Richtlinien auf Abonnementebene hinzufügen und alternative Tools für die Bereitstellung, Sicherung oder Überwachung von Anwendungszielzonen verwenden. |
| Gemeinsame Verwaltung | Mit Technologieplattformen wie AKS oder AVS verwaltet ein zentrales IT-Team den zugrunde liegenden Dienst. Die Anwendungsteams sind für die Anwendungen verantwortlich, die auf den Technologieplattformen ausgeführt werden. Sie müssen für dieses Modell verschiedene Steuerelemente oder Zugriffsberechtigungen verwenden. Diese Steuerelemente und Berechtigungen unterscheiden sich von denen, die Sie beim zentralen Verwalten von Anwendungszielzonen verwenden. |
Azure-Zielzonenbeschleuniger
Beschleuniger sind Infrastructure-as-Code-Implementierungen, mit denen Sie eine Azure-Zielzone ordnungsgemäß bereitstellen können. Wir haben einen Beschleuniger für Plattformzielzonen und mehrere Beschleuniger für Anwendungszielzonen, die Sie bereitstellen können.
Beschleuniger für Plattformzielzonen
Es gibt eine vorgefertigte Bereitstellungsoberfläche, den Beschleuniger für das Azure-Zielzonenportal. Der Beschleuniger für das Azure-Zielzonenportals stellt die konzeptionelle Architektur bereit (siehe Abbildung 1) und wendet vordefinierte Konfigurationen auf wichtige Komponenten wie Verwaltungsgruppen und Richtlinien an. Er eignet sich für Organisationen, in denen die konzeptionelle Architektur mit dem geplanten Betriebsmodell und der Ressourcenstruktur übereinstimmt.
Sie sollten den Beschleuniger für das Azure-Zielzonenportal verwenden, wenn Sie Ihre Umgebung mit dem Azure-Portal verwalten möchten.
Erstellen skalierbarer, modularer Azure-Zielzonen
Microsoft bietet das Cloud Adoption Framework, um Kunden einen bewährten Ausgangspunkt für ihre Cloud-Journey bereitzustellen, einschließlich der Secure-Methodik.
Eine weitere kritische Komponente des Cloud Adoption Framework in der Ready-Methodik ist die Azure-Zielzone, die die Cloudeinführung beschleunigt, indem sie automatisierte Implementierung ganzer Architekturen und Betriebsumgebungen, einschließlich Sicherheitselementen, bereitstellt. Bewährte Sicherheitsmethoden sind in Azure-Zielzonen integriert. Mit Zielzonen können Sie Ihre ersten Workloads schnell und sicher migrieren und dabei bewährten Sicherheits- und Governancemethoden anwenden.
Während Sie die Zielzone Ihrer Organisation entwerfen und implementieren, verwenden Sie die unten aufgeführte Referenzarchitektur als Zielendzustand. Sie erfasst ausgereifte und skalierte Überlegungen zur Umgebungsgestaltung.
Wir empfehlen die Verwendung von Azure-Zielzonen in Ihren Cloudeinführungsplänen, wenn möglich. Zielzonen bieten einen architektonischen Ausgangspunkt. Azure-Zielzonen helfen Ihnen, bewährte Sicherheitsmethoden und andere bewährte Methoden zu befolgen, sei es, dass Sie eine neue Workload bereitstellen, vorhandene Workloads migrieren oder bereits bereitgestellte Workloads verbessern. Die Verwendung von Zielzonen hilft Ihnen bei der Befolgung bewährter Methoden, unabhängig davon, ob Sie sie alle gleichzeitig oder inkrementell implementieren.
Hinweis
Ihre Organisation kann die Azure-Zielzonenarchitektur so anpassen, dass sie Ihren individuellen Geschäftsanforderungen entspricht.
Azure-Zielzonen enthalten Code, der den IT- und Sicherheitsteams Ihrer Organisation die Arbeit erleichtert. Zielzonen bieten eine reproduzierbare, vorhersagbare Methode zum Anwenden einer vorlagenbasierten Implementierung. Diese Implementierung umfasst einen Bereitstellungsansatz, Entwurfsprinzipien und Designbereiche. Zielzonen unterstützen Sicherheits-, Verwaltungs- und Governanceprozesse sowie Plattformautomatisierung und DevOps.
Verwenden von Zero Trust-Prinzipien
Ihre Organisation kann Azure-Zielzonen basierend auf Azure Security Benchmark (ASB) bewährten Methoden und Zero Trust (ZT) Prinzipien anpassen, die in der Zielarchitektur enthalten sind. Entwickeln Sie sich in Richtung der an bewährten Methoden orientierten Zielarchitektur, wobei Sie andere Sicherheitsaspekte und Zero Trust-Prinzipien implementieren, die inkrementell auf dem Sicherheits- und Governance-MVP Ihrer Organisation aufbauen und dieses verbessern.
Erweitern Sie Zero Trust-Architekturansätze, die niemals vertrauen und immer überprüfen. Integrieren Sie eine End-to-End-Strategie in Ihren digitalen Bestand, die Identitäten, Endpunkte, Netzwerk, Daten, Anwendungen und Infrastruktur umfasst.
Befolgen von Sicherheitsempfehlungen des Azure-Sicherheitsbenchmarks
Es wird empfohlen, dass Ihre Organisation die Sicherheitsempfehlungen mit hohen Auswirkungen des Azure-Sicherheitsbenchmarks befolgt. Anleitungen finden sich auch in Azure-Zielzonen und dem Cloud Adoption Framework selbst. Nehmen Sie ASB-Empfehlungen als Teil Ihrer Architekturstrategie auf, indem Sie alle relevanten Dokumentationen und dienstspezifischen Baselines lesen.
Tipp
Azure-Zielzonen weisen die ASB-Richtlinie standardmäßig auf der obersten Ebene in der Hierarchie zu. Diese Vorgehensweise stellt sicher, dass alle Abonnements und Workloads in der Zielzone auf ASB-Compliance überwacht werden.