Implante infraestruturas seguras usando uma zona de aterrissagem

Concluído

Uma zona de aterrissagem do Azure é um ambiente que segue os principais princípios de design em oito áreas de design. Esses princípios de design acomodam todos os portfólios de aplicativos e permitem a migração, modernização e inovação de aplicativos em escala. Uma zona de aterrissagem do Azure usa assinaturas para isolar e dimensionar recursos de aplicativos e recursos de plataforma. As assinaturas para recursos de aplicativos são chamadas de zonas de aterrissagem de aplicativos e as assinaturas para recursos de plataforma são chamadas de zonas de aterrissagem de plataforma.

Uma arquitetura de zona de aterrissagem do Azure é escalável e modular para atender a várias necessidades de implantação. Uma infraestrutura repetível permite que você aplique configurações e controles a cada assinatura de forma consistente. Os módulos facilitam a implantação e a modificação de componentes específicos da arquitetura da zona de aterrissagem do Azure à medida que seus requisitos evoluem.

Zonas de aterragem da plataforma vs. zonas de aterragem da aplicação

Uma zona de aterrissagem do Azure consiste em zonas de aterrissagem de plataforma e zonas de aterrissagem de aplicativos. Vale a pena explicar a função de ambos com mais detalhes.

Zona de aterrissagem de plataforma: uma zona de aterrissagem de plataforma é uma assinatura que fornece serviços compartilhados (identidade, conectividade, gerenciamento) para aplicativos em zonas de aterrissagem de aplicativos. A consolidação desses serviços compartilhados geralmente melhora a eficiência operacional. Uma ou mais equipas centrais gerem as zonas de aterragem da plataforma.

Zona de aterrissagem de aplicativos: uma zona de aterrissagem de aplicativos é uma assinatura para hospedar um aplicativo. Você pré-provisiona zonas de aterrissagem de aplicativos por meio de código e usa grupos de gerenciamento para atribuir controles de política a elas.

Há três abordagens principais para gerenciar zonas de aterrissagem de aplicativos. Você deve usar uma (1) equipe central, (2) equipe de aplicativo ou (3) abordagem de gerenciamento de equipe compartilhada, dependendo de suas necessidades (consulte a tabela).

Abordagem de gerenciamento da zona de aterrissagem de aplicativos Descrição
Gestão central da equipa Uma equipe central de TI opera totalmente a zona de pouso. A equipe aplica controles e ferramentas de plataforma às zonas de aterrissagem da plataforma e do aplicativo.
Gestão da equipa de aplicação Uma equipe de administração de plataforma delega toda a zona de aterrissagem do aplicativo a uma equipe de aplicativo. A equipe do aplicativo gerencia e dá suporte ao ambiente. As políticas do grupo de gerenciamento garantem que a equipe da plataforma ainda governe a zona de aterrissagem do aplicativo. Você pode adicionar outras políticas no escopo da assinatura e usar ferramentas alternativas para implantar, proteger ou monitorar zonas de aterrissagem de aplicativos.
Gestão partilhada Com plataformas tecnológicas como AKS ou AVS, uma equipe central de TI gerencia o serviço subjacente. As equipas de aplicação são responsáveis pelas aplicações executadas em cima das plataformas tecnológicas. Você precisa usar controles ou permissões de acesso diferentes para esse modelo. Esses controles e permissões diferem daqueles que você usa para gerenciar zonas de aterrissagem de aplicativos centralmente.

Aceleradores de zona de aterrissagem do Azure

Os aceleradores são implementações de infraestrutura como código que ajudam a implantar uma zona de aterrissagem do Azure corretamente. Temos um acelerador de zona de aterrissagem de plataforma e vários aceleradores de zona de aterrissagem de aplicativos que você pode implantar.

Acelerador da zona de aterragem da plataforma

Há uma experiência de implantação pronta chamada acelerador do portal da zona de aterrissagem do Azure. O acelerador do portal da zona de aterrissagem do Azure implanta a arquitetura conceitual (consulte a figura 1) e aplica configurações predeterminadas a componentes-chave, como grupos e políticas de gerenciamento. Adequa-se a organizações cuja arquitetura conceitual se alinha com o modelo operacional planejado e a estrutura de recursos.

Você deve usar o acelerador do portal da zona de aterrissagem do Azure se planeja gerenciar seu ambiente com o portal do Azure.

Crie zonas de aterrissagem escaláveis e modulares do Azure

A Microsoft oferece o Cloud Adoption Framework para fornecer aos clientes um ponto de partida comprovado para a jornada na nuvem, incluindo a metodologia Secure.

Outro componente crítico do Cloud Adoption Framework na metodologia Ready é a zona de aterrissagem do Azure, que acelera a adoção da nuvem fornecendo implementação automatizada de arquiteturas completas e ambientes operacionais, incluindo elementos de segurança. As práticas recomendadas de segurança são integradas nas zonas de aterrissagem do Azure. Com as zonas de destino, você pode migrar suas primeiras cargas de trabalho de forma rápida e segura com as melhores práticas de segurança e governança.

Ao projetar e implementar a zona de aterrissagem da sua organização, use a arquitetura de referência abaixo como um estado final de destino. Ele captura considerações de design ambiental maduras e escalonadas.

Recomendamos usar as zonas de aterrissagem do Azure quando possível em seus planos de adoção de nuvem. As zonas de desembarque fornecem um ponto de partida arquitetónico. As zonas de aterrissagem do Azure ajudam você a seguir a segurança e outras práticas recomendadas, quer você implante uma nova carga de trabalho, migre cargas de trabalho existentes ou melhore cargas de trabalho já implantadas. A utilização de zonas de aterragem ajuda-o a seguir as melhores práticas, quer as implemente todas de uma vez ou de forma incremental.

Nota

Sua organização pode personalizar a arquitetura da zona de aterrissagem do Azure para atender aos seus requisitos de negócios exclusivos.

As zonas de aterrissagem do Azure contêm código que facilita para as equipes de TI e segurança da sua organização. As zonas de pouso oferecem um método repetível e previsível para aplicar uma implementação modelada. Essa implementação inclui uma abordagem de implantação, princípios de design e áreas de design. As zonas de aterrissagem suportam processos de segurança, gerenciamento e governança, bem como automação de plataforma e DevOps.

Diagrama mostrando um exemplo de uma hierarquia de zona de aterrissagem do Azure para vários locatários.

Use os princípios do Zero Trust

Sua organização pode adaptar as zonas de aterrissagem do Azure com base nas práticas recomendadas do ASB (Azure Security Benchmark) e nos princípios ZT (Zero Trust), que estão incluídos na arquitetura de destino. Mude para a arquitetura de destino alinhada às melhores práticas, implementando outras considerações de segurança e princípios de Zero Trust que incrementalmente se baseiam e melhoram o MVP de segurança e governança da sua organização.

Estenda as abordagens arquitetônicas do Zero Trust que nunca confiam e sempre verificam. Integre uma estratégia completa em todo o seu estado digital que engloba identidades, endpoints, rede, dados, aplicativos e infraestrutura.

Siga as recomendações de segurança do Azure Security Benchmark

Recomendamos que sua organização siga as recomendações de segurança de alto impacto do Benchmark de Segurança do Azure. Também há orientações nas zonas de aterrissagem do Azure e na própria Cloud Adoption Framework. Inclua recomendações ASB como parte de sua estratégia de arquitetura, analisando toda a documentação pertinente e linhas de base específicas do serviço.

Gorjeta

As zonas de aterrissagem do Azure atribuem a política ASB por padrão ao topo de sua hierarquia. Essa abordagem garante que todas as assinaturas e cargas de trabalho na zona de destino sejam monitoradas quanto à conformidade com o ASB.