Déployer des infrastructures sécurisées en utilisant une zone d’atterrissage
Une zone d'atterrissage Azure est un environnement qui suit les principes de conception clés sur huit domaines de conception. Ces principes de conception prennent en charge tous les portefeuilles d’applications et permettent la migration, la modernisation et l’innovation des applications à grande échelle. Une zone d’atterrissage Azure utilise des abonnements pour isoler et mettre à l’échelle les ressources d’application et de plateforme. Les abonnements des ressources d’application sont appelés zones d’atterrissage d’application et les abonnements pour les ressources de plateforme sont appelés zones d’atterrissage de plateforme.
Une architecture de zone d’atterrissage Azure est évolutive et modulaire pour répondre à divers besoins de déploiement. Une infrastructure reproductible vous permet d’appliquer à chaque abonnement des configurations et des contrôles de manière cohérente. Les modules facilitent le déploiement et la modification de composants spécifiques de l’architecture de zone d’atterrissage Azure à mesure que vos besoins évoluent.
Zones d’atterrissage de plateforme vs zones d’atterrissage d’application
Un environnement de zone d’atterrissage Azure se compose de zones d’atterrissage de plateforme et d’application. Il est utile de détailler la fonction de ces deux zones.
Zone d’atterrissage de plateforme : une zone d’atterrissage de plateforme est un abonnement qui fournit des services partagés (identité, connectivité, administration) aux applications dans les zones d’atterrissage des applications. La consolidation de ces services partagés améliore souvent l’efficacité opérationnelle. Une ou plusieurs équipes centrales gèrent les zones d’atterrissage de plateforme.
Zone d’atterrissage d’application : une zone d’atterrissage d’application est un abonnement permettant d’héberger une application. Vous pré-approvisionnez des zones d’atterrissage d’application via du code et utilisez des groupes d’administration pour leur attribuer des contrôles de stratégie.
Il existe trois approches principales pour gérer les zones d’atterrissage d’application. Vous devez utiliser une équipe centrale (1), une équipe d’application (2) ou une approche d’administration d’équipe partagée (3), en fonction de vos besoins (voir le tableau).
| Approche de la gestion des zones d’atterrissage d’application | Description |
|---|---|
| Gestion centralisée d’équipe | Une équipe informatique centrale exploite entièrement la zone d’atterrissage. L’équipe applique des contrôles et des outils de plateforme aux zones d’atterrissage de la plateforme et de l’application. |
| Gestion de l’équipe d’application | Une équipe d’administration de plateforme délègue toute la zone d’atterrissage d’application à une équipe d’application. L’équipe d’application gère et prend en charge l’environnement. Les stratégies de groupe d’administration garantissent que l’équipe de plateforme continue de gouverner la zone d’atterrissage d’application. Vous pouvez ajouter d’autres stratégies à l’étendue de l’abonnement et utiliser d’autres outils pour le déploiement, la sécurisation ou la surveillance des zones d’atterrissage d’application. |
| Gestion partagée | Une équipe informatique centrale gère le service sous-jacent grâce aux plateformes technologiques comme AKS ou AVS. Les équipes d’application sont responsables des applications exécutées sur les plateformes technologiques. Vous devez utiliser d’autres contrôles ou autorisations d’accès pour ce modèle. Ces contrôles et autorisations diffèrent de ceux que vous utilisez pour la gestion centralisée les zones d’atterrissage d’application. |
Accélérateurs de zone d’atterrissage Azure
Les accélérateurs sont des implémentations d’infrastructure en tant que code qui vous aident à bien déployer une zone d’atterrissage Azure. Nous disposons d’un accélérateur de zone d’atterrissage de plateforme et plusieurs accélérateurs de zone d’atterrissage d’application que vous pouvez déployer.
Accélérateur de zone d’atterrissage de plateforme
Il existe une expérience de déploiement prête à l’emploi appelée accélérateur de portail de zone d’atterrissage Azure. L’accélérateur du portail de zone d’atterrissage Azure déploie l’architecture conceptuelle (voir la figure 1) et applique des configurations prédéterminées aux composants clés comme les groupes et stratégies d’administration. Il convient aux organisations pour lesquelles l’architecture conceptuelle s’aligne sur le modèle d’exploitation et la structure des ressources planifiés.
Vous devez utiliser l’accélérateur du portail de zone d’atterrissage Azure si vous envisagez de gérer votre environnement avec le portail Azure.
Créer des zones d’atterrissage Azure évolutives et modulaires
Microsoft propose Cloud Adoption Framework pour fournir aux clients un point de départ pour le parcours cloud, y compris la méthodologie sécurisée.
Un autre composant essentiel de Cloud Adoption Framework dans la méthodologie Ready est la zone d'atterrissage Azure, qui accélère l'adoption du cloud en fournissant une mise en œuvre automatisée d'architectures et d'environnements d'exploitation complets, y compris les éléments de sécurité. Les bonnes pratiques de sécurité sont intégrées dans les zones d’atterrissage Azure. Avec les zones d’atterrissage, vous pouvez migrer rapidement et en toute sécurité vos premières charges de travail avec des bonnes pratiques de sécurité et de gouvernance intégrées.
Pendant que vous concevez et implémentez la zone d’atterrissage de votre organisation, utilisez l’architecture de référence ci-dessous comme état final cible. Cela prend en compte les considérations de conception environnementale matures et mises à l’échelle.
Nous vous recommandons d’utiliser des zones d’atterrissage Azure si possible dans vos plans d’adoption du cloud. Les zones d’atterrissage fournissent un point de départ architectural. Les zones d'atterrissage Azure vous aident à respecter la sécurité et d'autres bonnes pratiques, que vous déployiez une nouvelle charge de travail, que vous fassiez migrer des charges de travail existantes ou que vous amélioriez des charges de travail déjà déployées. L’utilisation de zones d’atterrissage vous permet de suivre les bonnes pratiques que vous implémentez toutes en même temps ou de façon incrémentielle.
Notes
Votre organisation peut personnaliser l’architecture de la zone d’atterrissage Azure pour répondre à vos besoins métier spécifiques.
Les zones d'atterrissage Azure contiennent du code qui facilite la tâche des équipes informatiques et de sécurité de votre entreprise. Les zones d'atterrissage offrent une méthode répétable et prévisible pour appliquer un modèle de mise en œuvre. Cette implémentation inclut une approche de déploiement, des principes de conception et des domaines de conception. Les zones d’atterrissage prennent en charge les processus de sécurité, de gestion et de gouvernance, ainsi que l’automatisation de la plateforme et les DevOps.
Utiliser les principes de Confiance Zéro
Votre organisation peut adapter les zones d’atterrissage Azure en fonction des bonnes pratiques Azure Security Benchmark (ASB) et des principes de Confiance zéro (ZT), inclus dans l’architecture cible. Progressez vers l'architecture cible alignée sur les bonnes pratiques, en mettant en œuvre d'autres considérations de sécurité et les principes de confiance zéro qui s'appuient progressivement sur le MVP de sécurité et de gouvernance de votre organisation et l'améliorent.
Étendez les approches architecturales de confiance zéro qui ne font jamais confiance et vérifient toujours. Intégrez une stratégie de bout en bout dans votre état numérique qui englobe les identités, les points d'extrémité, le réseau, les données, les applications et l'infrastructure.
Suivez les recommandations de sécurité d’Azure Security Benchmark
Nous recommandons à votre organisation de suivre les recommandations de sécurité à fort impact d'Azure Security Benchmark. Il existe également des conseils dans les zones d'atterrissage d'Azure et dans Cloud Adoption Framework. Incluez les recommandations ASB dans le cadre de votre stratégie architecturale en examinant toutes les lignes de base pertinentes en matière de documentation et de service.
Conseil
Les zones d’atterrissage Azure attribuent la stratégie ASB par défaut au haut de sa hiérarchie. Cette approche garantit que tous les abonnements et charges de travail de la zone d’atterrissage sont surveillés pour la conformité ASB.