Conceitos da SLZ
Este artigo explica os vários conceitos associados a uma Zona de Pouso Soberana (SLZ).
Métodos de implementação e configuração para uma SLZ
Para organizações que desejam agilizar a adoção, podem configurar uma SLZ a partir de um único ficheiro de parâmetros e implementá-lo executando um script singular. O ficheiro de parâmetros e a respetiva orquestração de implementação associada fornecem consistência no ambiente através de métodos, como a utilização de uma convenção de nomenclatura comum para recursos e padronização no ambiente. Este design permite que uma organização comece rapidamente a utilizar um SLZ sem ter de referenciar muitos passos de implementação manuais e várias origens de documentação.
Quando as organizações precisam de demonstrar separação de deveres e adesão ao menor privilégio, podem configurar uma SLZ a partir de um ou mais ficheiros de parâmetros. As organizações podem dividir a implementação em passos individuais com base em áreas funcionais. Por exemplo, a equipa que fornece as subscrições e configura grupos de gestão pode fazê-lo como uma atividade de implementação, ao mesmo tempo que permite que uma equipa separada gira as políticas e a conformidade nestes âmbitos. Estes passos individuais de implementação exigem coordenação, mas permitem uma experiência de implementação mais granular.
Para obter mais informações sobre como implementar inicialmente toda a SLZ de uma só vez ou utilizar passos de implementação individuais, consulte a documentação da Zona de Pouso Soberana no GitHub.
Personalizações avançadas da SLZ
O ficheiro de parâmetros da SLZ ajuda uma organização configurando totalmente a sua implementação e garantindo consistência em todas as partes do ambiente. As organizações devem rever as opções de configuração para determinar as definições adequadas para a sua implementação.
No entanto, o ficheiro de parâmetros de SLZ não pode fornecer opções de configuração completas para todas as definições possíveis que um cliente deseje ter. Caso sejam necessárias mais capacidades, recomendamos as seguintes opções:
Solicite novas capacidades de configuração através de um pedido de funcionalidade. Recomendamos que solicite estas novas capacidades ao abordar desafios comuns ou de utilização geral.
Faça personalizações após a implementação da SLZ. Os passos pós-implementação são recomendados quando as organizações precisam de colocar mais controlos ou criar recursos adicionais antes de fornecerem permissões para os proprietários da carga de trabalho utilizarem o ambiente.
Bifurque e mantenha uma cópia local do repositório da SLZ. Recomendamos que utilize esta opção para organizações que precisam do controlo completo da configuração sobre o seu ambiente ou que exigem que os seus controlos de segurança sejam incorporados no ambiente.
Utilizar políticas personalizados
As Políticas do Azure destinam-se a fornecer visibilidade adequada e verificadores de integridade técnicos para garantir que uma postura de conformidade é mantida. Para muitas organizações, é crucial que estas políticas sejam incorporadas no ambiente antes da implementação das cargas de trabalho. A orquestração da SLZ fornece a capacidade de criar e implementar definições e atribuições de políticas personalizadas juntamente com uma implementação de SLZ e em âmbitos especificados dentro da implementação. A orquestração proporciona às organizações a confiança de que os seus requisitos exclusivos de conformidade estão em vigor desde o início. As organizações que não precisam de políticas personalizadas também podem utilizar a orquestração para atribuir conjuntos de políticas incorporadas.
A nossa documentação sobre conjuntos de políticas de pré-visualização no portefólio de políticas contém mais informações sobre como utilizar as políticas personalizadas numa SLZ.
Minimizar os custos para os pilotos
Ao testar ou conduzir uma prova de conceito, é importante estar consciente das implicações ao nível dos custos. As predefinições da SLZ criam uma implementação pronta para produção, o que pode ter um custo proibitivo para organizações que ainda não estão prontas para produção. A orquestração da SLZ fornece seletores para muitos recursos e as organizações devem determinar quais são necessários para a sua implementação.
Recomendamos rever as seguintes ofertas de produtos:
Azure Proteção contra DDoS: Recomendamos o SKU padrão devido aos seus maiores recursos em torno da modelagem de tráfego, correção e visibilidade de eventos DDoS. No entanto, pode utilizar o SKU básico para ambientes que não sejam de produção.
Azure Firewall: O Firewall Azure permite que as organizações criem uma forte segurança de rede em torno de sua implantação de SLZ. No entanto, as organizações podem encontrar outros recursos de rede do Azure como tecnologias adequadas para criar segurança em ambientes que não sejam de produção.
Azure VPN Gateway: As ofertas Azure VPN Gateway e ExpressRoute permitem que uma organização conecte seus ambientes no local ao Azure. No entanto, as organizações podem não precisar de ambientes que não sejam de produção para ter este tipo de conectividade de rede e, em alternativa, podem utilizar o Azure Bastion ou outras tecnologias de acesso.