Wdrażanie bezpiecznych infrastruktury przy użyciu strefy docelowej
Strefa docelowa platformy Azure to środowisko, które jest zgodne z kluczowymi zasadami projektowania w ośmiu obszarach projektowania. Te zasady projektowania obejmują wszystkie portfolio aplikacji i umożliwiają migrację, modernizację i innowacje aplikacji na dużą skalę. Strefa docelowa platformy Azure używa subskrypcji do izolowania i skalowania zasobów aplikacji i zasobów platformy. Subskrypcje zasobów aplikacji są nazywane strefami docelowymi aplikacji, a subskrypcje dla zasobów platformy są nazywane strefami docelowymi platformy.
Architektura strefy docelowej platformy Azure jest skalowalna i modularna w celu spełnienia różnych potrzeb związanych z wdrażaniem. Powtarzalna infrastruktura umożliwia spójne stosowanie konfiguracji i kontrolek do każdej subskrypcji. Moduły ułatwiają wdrażanie i modyfikowanie określonych składników architektury strefy docelowej platformy Azure w miarę rozwoju wymagań.
Strefy docelowe platformy a strefy docelowe aplikacji
Strefa docelowa platformy Azure składa się ze stref docelowych platformy i stref docelowych aplikacji. Warto wyjaśnić funkcję obu bardziej szczegółowo.
Strefa docelowa platformy: strefa docelowa platformy to subskrypcja, która zapewnia usługi udostępnione (tożsamość, łączność, zarządzanie) aplikacjom w strefach docelowych aplikacji. Konsolidacja tych usług udostępnionych często poprawia wydajność operacyjną. Co najmniej jeden centralny zespół zarządza strefami docelowymi platformy.
Strefa docelowa aplikacji: strefa docelowa aplikacji to subskrypcja do hostowania aplikacji. Strefy docelowe aplikacji należy wstępnie aprowizować za pomocą kodu i używać grup zarządzania do przypisywania do nich kontrolek zasad.
Istnieją trzy główne podejścia do zarządzania strefami docelowymi aplikacji. Należy użyć (1) centralnego zespołu, (2) zespołu aplikacji lub (3) wspólnego podejścia do zarządzania zespołem w zależności od potrzeb (patrz tabela).
| Podejście do zarządzania strefami docelowymi aplikacji | Opis |
|---|---|
| Centralne zarządzanie zespołem | Centralny zespół IT w pełni obsługuje strefę docelową. Zespół stosuje kontrolki i narzędzia platformy do stref docelowych platformy i aplikacji. |
| Zarządzanie zespołem aplikacji | Zespół administracyjny platformy deleguje całą strefę docelową aplikacji do zespołu aplikacji. Zespół aplikacji zarządza środowiskiem i obsługuje je. Zasady grupy zarządzania zapewniają, że zespół platformy nadal zarządza strefą docelową aplikacji. Możesz dodać inne zasady w zakresie subskrypcji i użyć alternatywnych narzędzi do wdrażania, zabezpieczania lub monitorowania stref docelowych aplikacji. |
| Współużytkowane zarządzanie | Dzięki platformom technologicznym, takim jak AKS lub AVS, centralny zespół IT zarządza podstawową usługą. Zespoły aplikacji są odpowiedzialne za aplikacje działające na platformach technologicznych. Musisz użyć różnych kontrolek lub uprawnień dostępu dla tego modelu. Te kontrolki i uprawnienia różnią się od tych, których używasz do centralnego zarządzania strefami docelowymi aplikacji. |
Akceleratory strefy docelowej platformy Azure
Akceleratory to implementacje infrastruktury jako kodu, które ułatwiają prawidłowe wdrażanie strefy docelowej platformy Azure. Mamy akcelerator strefy docelowej platformy i kilka akceleratorów strefy docelowej aplikacji, które można wdrożyć.
Akcelerator strefy docelowej platformy
Istnieje gotowe środowisko wdrażania nazywane akceleratorem portalu strefy docelowej platformy Azure. Akcelerator portalu strefy docelowej platformy Azure wdraża architekturę koncepcyjną (patrz rysunek 1) i stosuje wstępnie określone konfiguracje do kluczowych składników, takich jak grupy zarządzania i zasady. Odpowiada ona organizacjom, których architektura koncepcyjna jest zgodna z zaplanowanym modelem operacyjnym i strukturą zasobów.
Jeśli planujesz zarządzać środowiskiem za pomocą witryny Azure Portal, użyj akceleratora portalu strefy docelowej platformy Azure.
Tworzenie skalowalnych, modułowych stref docelowych platformy Azure
Firma Microsoft oferuje przewodnik Cloud Adoption Framework, aby zapewnić klientom sprawdzony punkt wyjścia dla podróży w chmurze, w tym metodologię Secure.
Innym krytycznym składnikiem przewodnika Cloud Adoption Framework w metodologii Gotowe jest strefa docelowa platformy Azure, która przyspiesza wdrażanie chmury, zapewniając zautomatyzowaną implementację kompletnych architektur i środowisk operacyjnych, w tym elementów zabezpieczeń. Najlepsze rozwiązania w zakresie zabezpieczeń są zintegrowane ze strefami docelowymi platformy Azure. Dzięki strefom docelowym można szybko i bezpiecznie migrować swoje pierwsze obciążenia dzięki najlepszym rozwiązaniom w zakresie zabezpieczeń i ładu.
Podczas projektowania i implementowania strefy docelowej organizacji użyj poniższej architektury referencyjnej jako docelowego stanu końcowego. Przechwytuje ona dojrzałe i skalowane w poziomie zagadnienia dotyczące projektowania środowiska.
Zalecamy używanie stref docelowych platformy Azure, jeśli jest to możliwe w planach wdrażania chmury. Strefy docelowe zapewniają punkt początkowy architektury. Strefy docelowe platformy Azure ułatwiają przestrzeganie zabezpieczeń i innych najlepszych rozwiązań niezależnie od tego, czy wdrażasz nowe obciążenie, migrujesz istniejące obciążenia, czy ulepszasz już wdrożone obciążenia. Korzystanie ze stref docelowych ułatwia stosowanie najlepszych rozwiązań niezależnie od tego, czy wdrażasz je wszystkie jednocześnie, czy przyrostowo.
Uwaga
Twoja organizacja może dostosować architekturę strefy docelowej platformy Azure, aby spełnić unikatowe wymagania biznesowe.
Strefy docelowe platformy Azure zawierają kod, który ułatwia zespołom IT i zespołom ds. zabezpieczeń organizacji. Strefy docelowe oferują powtarzalną, przewidywalną metodę stosowania implementacji templatized. Ta implementacja obejmuje podejście wdrażania, zasady projektowania i obszary projektowania. Strefy docelowe obsługują procesy zabezpieczeń, zarządzania i ładu, a także automatyzacji platformy i metodyki DevOps.
Korzystanie z zasad zero trust
Twoja organizacja może dostosować strefy docelowe platformy Azure w oparciu o najlepsze rozwiązania dotyczące testów porównawczych zabezpieczeń platformy Azure (ASB) i zasady zerowego zaufania (ZT), które są uwzględnione w architekturze docelowej. Przejdź do architektury docelowej dostosowanej do najlepszych rozwiązań, implementując inne zagadnienia dotyczące zabezpieczeń i zasady zerowego zaufania, które przyrostowo opierają się na zabezpieczeniach i zapewnianiu ładu w organizacji.
Rozszerzanie podejścia architektury Zero Trust, które nigdy nie ufają i zawsze weryfikują. Zintegruj kompleksową strategię w całym stanie cyfrowym, która obejmuje tożsamości, punkty końcowe, sieć, dane, aplikacje i infrastrukturę.
Postępuj zgodnie z zaleceniami dotyczącymi zabezpieczeń testu porównawczego zabezpieczeń platformy Azure
Zalecamy, aby Twoja organizacja przestrzegała zaleceń dotyczących zabezpieczeń mających duży wpływ na test porównawczy zabezpieczeń platformy Azure. Istnieją również wskazówki dotyczące stref docelowych platformy Azure i samej struktury Cloud Adoption Framework. Uwzględnij zalecenia usługi ASB w ramach strategii architektury, przeglądając wszystkie odpowiednie dokumenty i punkty odniesienia specyficzne dla usługi.
Napiwek
Strefy docelowe platformy Azure domyślnie przypisują zasady USŁUGI ASB na początku swojej hierarchii. Takie podejście gwarantuje, że wszystkie subskrypcje i obciążenia w strefie docelowej są monitorowane pod kątem zgodności usługi ASB.