SLZ-concepten
In dit artikel worden de verschillende concepten uitgelegd die verband houden met een soevereine landingszone (SLZ).
Implementatie- en configuratiemethoden voor een SLZ
Organisaties die de adoptie willen stroomlijnen, kunnen een SLZ configureren via een enkelvoudig parameterbestand en het implementeren door eenenkelvoudig schrift uit te voeren. Het parameterbestand en de bijbehorende implementatie-orkestratie zorgen voor consistentie binnen omgeving via methoden zoals het gebruik van een gemeenschappelijke naamgevingsconventie voor resources en standaardisatie binnen de omgeving. Dankzij dit ontwerp kan een organisatie snel aan de slag met een SLZ, zonder dat hiervoor veel handmatige implementatiestappen en diverse documentatiebronnen hoeven te worden geraadpleegd.
Wanneer organisaties de scheiding van taken en het houden aan de minste bevoegdheden moeten tonen, kunnen ze een SLZ configureren op basis van een of meer parameterbestanden. Organisaties kunnen de implementatie opdelen in afzonderlijke stappen op basis van functionele gebieden. Het team dat abonnementen levert en beheergroepen configureert, kan dit bijvoorbeeld doen als één implementatieactiviteit, terwijl een afzonderlijk team nog steeds het beleid en de naleving binnen deze bereiken kan beheren. Deze afzonderlijke implementatiestappen vereisen coördinatie, maar maken een meer gedetailleerde implementatie-ervaring mogelijk.
Zie voor meer informatie over het in eerste instantie implementeren van de gehele SLZ in één keer of het gebruik van afzonderlijke implementatiestappen de documentatie van Soevereine landingszone op GitHub.
Geavanceerde aanpassingen in de SLZ
Het SLZ-parameterbestand helpt een organisatie bij het volledig configureren van de implementatie en het garanderen van consistentie in alle delen van de omgeving. Organisaties moeten de configuratieopties bekijken om de juiste instellingen voor hun implementatie te bepalen.
Het SLZ-parameterbestand kan echter geen volledige configuratieopties bieden voor elke mogelijke instelling die een klant wil hebben. In het geval dat er meer mogelijkheden nodig zijn, raden we de volgende opties aan:
Vraag nieuwe configuratiemogelijkheden aan via een functieaanvraag. We raden u aan om deze nieuwe mogelijkheden aan te vragen bij het aanpakken van algemene of gemeenschappelijke uitdagingen.
Maak aanpassingen na SLZ-implementatie. Stappen na de implementatie worden aanbevolen wanneer organisaties meer controles moeten uitvoeren of extra resources moeten creëren voordat ze machtigingen verlenen aan eigenaren van workloads om de omgeving te gebruiken.
Onderhoud een lokale kopie van de SLZ-opslagplaats. We raden u aan deze optie te gebruiken voor organisaties die volledige configuratiecontrole over hun omgeving nodig hebben of vereisen dat hun beveiligingscontroles in de omgeving worden ingebed.
Aangepast beleid gebruiken
Azure Policy is bedoeld om de juiste zichtbaarheid en technische vangrails te bieden om ervoor te zorgen dat een nalevingshouding wordt aangenomen. Voor veel organisaties is het van cruciaal belang dat dit beleid in de omgeving wordt ingebouwd voordat workloads worden geïmplementeerd. De SLZ-orkestratie biedt de mogelijkheid om aangepaste beleidsdefinities en -toewijzingen te maken en te implementeren naast een SLZ-implementatie en op gespecificeerde bereiken binnen de implementatie. De orkestratie geeft organisaties het vertrouwen dat hun unieke nalevingsvereisten vanaf het begin gelden. Organisaties die geen aangepast beleid nodig hebben, kunnen de orkestratie ook gebruiken om ingebouwde beleidssets toe te wijzen.
Onze documentatie over preview-beleidssets binnen het beleidsportfolio bevat meer informatie over het gebruik van aangepast beleid binnen een SLZ.
Kosten voor pilots minimaliseren
Bij het testen of uitvoeren van een proof-of-concept is het belangrijk om rekening te houden met de kostenimplicaties. De standaardinstellingen voor de SLZ zorgen voor een productieklare implementatie, wat onbetaalbaar kan zijn voor organisaties die nog niet klaar zijn voor productie. De SLZ-orkestratie biedt schakelopties voor veel resources, en organisaties moeten bepalen welke nodig zijn voor hun implementatie.
We raden u aan het volgende productaanbod te bekijken:
Azure DDoS-beveiliging: Wij raden de standaard-SKU aan vanwege de verbeterde mogelijkheden op het gebied van verkeersvorming, herstel en inzicht in DDoS-gebeurtenissen. U kunt de basis-SKU echter gebruiken voor niet-productieomgevingen.
Azure Firewall: Met de Azure Firewall kunnen organisaties een sterke netwerkbeveiliging opbouwen rond hun SLZ-implementatie. Organisaties kunnen echter andere Azure-netwerkresources vinden als geschikte technologieën voor het bouwen van beveiliging rond niet-productieomgevingen.
Azure VPN Gateway: Met de Azure VPN Gateway- en ExpressRoute-aanbiedingen kan een organisatie hun on-premises-omgevingen Verbinden naar Azure. Organisaties hebben echter mogelijk geen niet-productieomgevingen nodig om dit type netwerkconnectiviteit te hebben en kunnen in plaats daarvan Azure Bastion of andere toegangstechnologieën gebruiken.