Consideraciones sobre la zona de aterrizaje de brownfield
Una implementación de brownfield es un entorno existente que requiere modificaciones para alinearse con la arquitectura de destino de la zona de aterrizaje de Azure y los procedimientos recomendados. Cuando necesite resolver un escenario de implementación de brownfield, considere el entorno de Microsoft Azure existente como el lugar para iniciarse. En este artículo se resumen las instrucciones que se encuentran en otra parte de la documentación de Cloud Adoption Framework Ready Para obtener más información, consulte Introducción a la metodología de Cloud Adoption Framework Listo.
Organización de recursos
En un entorno brownfield, ya ha establecido el entorno de Azure. Sin embargo, nunca es demasiado tarde aplicar los principios de la organización de recursos probados ahora y continuar. Considere la posibilidad de implementar cualquiera de las sugerencias siguientes:
- Si el entorno actual no usa grupos de administración, téngalos en cuenta. Los grupos de administración son clave para administrar las directivas, el acceso y el cumplimiento entre suscripciones a gran escala. Los grupos de administración pueden ayudar a guiar la implementación.
- Si su entorno actual usa grupos de administración, considere la posibilidad de usar la guía de los grupos de administración al evaluar la implementación.
- Si tiene suscripciones existentes en su entorno actual, considere la posibilidad de usar la guía de las suscripciones para ver si las usa de manera eficaz. Las suscripciones actúan como límites de directiva y administración y son unidades de escalado.
- Si tiene recursos existentes en el entorno actual, considere la posibilidad de usar la guía de nomenclatura y etiquetado para influir en la estrategia de etiquetado y las convenciones de nomenclatura en el futuro.
- Azure Policy resulta útil para establecer y aplicar la coherencia con respecto a las etiquetas taxonómicas.
Seguridad
Refinar la posición de seguridad del entorno de Azure existente con respecto a la autenticación, autorización y contabilidad es un proceso continuo e iterativo. Considere la posibilidad de implementar las siguientes recomendaciones:
- Implemente la sincronización en la nube de Microsoft Entra Connect para proporcionar a los usuarios de Active Directory Domain Services (AD DS) el inicio de sesión único (SSO) seguro en las aplicaciones respaldadas por Microsoft Entra ID. Una ventaja adicional para configurar la identidad híbrida es que puede aplicar Microsoft Entra Multi-Factor Authentication (MFA) y la protección con contraseña de Microsoft Entra para proteger aún más estas identidades
- Proporcione autenticación segura a las aplicaciones en la nube y los recursos de Azure con el Acceso condicional de Microsoft Entra.
- Implemente Privileged Identity Management de Microsoft Entra para garantizar el acceso con privilegios mínimos y la creación de informes profundos en todo el entorno de Azure. Los equipos deben comenzar las revisiones de acceso periódicas para garantizar que las personas y los principios de servicio adecuados tengan niveles de autorización actuales y correctos. Además, estudie la guía de control de acceso.
- Use las recomendaciones, las alertas y las funcionalidades de corrección de Microsoft Defender for Cloud. El equipo de seguridad también puede integrar Microsoft Defender for Cloud en Microsoft Sentinel si necesitan una solución híbrida, administrada centralmente y de administración de eventos de información de seguridad multinube (SIEM)/Orquestación y respuesta de seguridad (SOAR).
Gobernanza
Al igual que la seguridad de Azure, la gobernanza de Azure no es una propuesta "dicho y hecho". En su lugar, es un proceso en constante evolución de normalización y cumplimiento normativo. Considere la posibilidad de implementar los siguientes controles:
- Revise nuestra guía para establecer una línea base de administración para su entorno híbrido o multinube
- Implemente características de Microsoft Cost Management, como ámbitos de facturación, presupuestos y alertas para asegurarse de que el gasto de Azure permanece dentro de los límites prescritos
- Use Azure Policy para aplicar límites de protección de gobernanza en las implementaciones de Azure y desencadenar tareas de corrección para poner los recursos de Azure existentes en un estado compatible
- Considere la posibilidad de administrar derechos de Microsoft Entra para automatizar las solicitudes de Azure, las asignaciones de acceso, las revisiones y la expiración
- Siga las recomendaciones de Azure Advisor para garantizar la optimización de costos y la excelencia operativa en Azure, ambos son principios básicos de Microsoft Azure Well-Architected Framework.
Redes
Es cierto que la refactorización de una infraestructura de Azure Virtual Network (VNET) ya establecida puede ser una gran elevación para muchas empresas. Dicho esto, considere la posibilidad de incorporar las siguientes instrucciones en los esfuerzos de diseño, implementación y mantenimiento de la red:
- Revise nuestros procedimientos recomendados para planear, implementar y mantener topologías en estrella tipo centro y radio de Azure
- Considere la posibilidad de usar Azure Virtual Network Manager (versión preliminar) para centralizar las reglas de seguridad del grupo de seguridad de red (NSG) en varias redes virtuales
- Azure Virtual WAN unifica las redes, la seguridad y el enrutamiento para ayudar a las empresas a crear arquitecturas de nube híbridas más seguras y más rápidas
- Acceda a los servicios de datos de Azure de forma privada con Azure Private Link. El servicio Private Link garantiza que los usuarios y las aplicaciones se comuniquen con los servicios clave de Azure mediante la red troncal de Azure y las direcciones IP privadas en lugar de a través de la red pública de Internet
Pasos siguientes
Ahora que tiene información general sobre las consideraciones sobre el entorno de Azure Brownfield, estos son algunos recursos relacionados para revisar: