Рекомендации по целевой зоне Браунфилда

Развертывание браунфилда — это существующая среда, требующая изменения для соответствия целевой архитектуре целевой зоны Azure и рекомендациям. Если необходимо устранить сценарий развертывания браунфилда, рассмотрите существующую среду Microsoft Azure в качестве начала. В этой статье приведены инструкции, приведенные в документации по Cloud Adoption Framework Ready, дополнительные сведения см . в статье "Введение в методологию подготовки Cloud Adoption Framework Ready".

Организация ресурсов

В среде браунфилда вы уже создали среду Azure. Но это никогда не поздно, чтобы применить проверенные принципы организации ресурсов сейчас и двигаться вперед. Рассмотрите возможность реализации любого из следующих предложений:

• Если текущая среда не использует группы управления, рассмотрите их. Группы управления являются ключевыми для управления политиками, доступом и соответствием между подписками в масштабе. Группы управления помогают управлять реализацией.
• Если в текущей среде используются группы управления, рассмотрите рекомендации в группах управления при оценке реализации.
• Если у вас есть подписки в текущей среде, ознакомьтесь с рекомендациями в подписках , чтобы узнать, эффективно ли вы используете их. Подписки действуют как границы политики и управления и являются единицами масштабирования.
• Если у вас есть ресурсы в текущей среде, рекомендуется использовать рекомендации по именованию и тегам , чтобы повлиять на стратегию тегов и соглашения об именовании.
• Политика Azure полезно для установления и обеспечения согласованности в отношении таксономических тегов.

Безопасность

Чтобы уточнить уровень безопасности существующей среды Azure в отношении проверки подлинности, авторизации и учета, является текущим итеративным процессом. Рассмотрите возможность реализации следующих рекомендаций.

• Разверните облачную синхронизацию Microsoft Entra Connect, чтобы предоставить локальным пользователям службы домен Active Directory (AD DS) безопасный единый вход (SSO) в приложения, поддерживаемые идентификатором Microsoft Entra. Еще одним преимуществом настройки гибридного удостоверения является применение многофакторной проверки подлинности (MFA) Microsoft Entra и Защиты паролей Microsoft Entra для дальнейшей защиты этих удостоверений
• Обеспечение безопасной проверки подлинности в облачных приложениях и ресурсах Azure с помощью условного доступа Microsoft Entra.
• Реализуйте Microsoft Entra управление привилегированными пользователями, чтобы обеспечить минимальный доступ и глубокие отчеты во всей среде Azure. Teams должны начать повторяющиеся проверки доступа, чтобы обеспечить правильные люди и принципы обслуживания имеют текущие и правильные уровни авторизации. Кроме того, изучите руководство по управлению доступом.
• Используйте рекомендации, оповещения и возможности исправления Microsoft Defender для облака. Ваша команда безопасности также может интегрировать Microsoft Defender для облака в Microsoft Sentinel, если они нуждаются в более надежном, централизованно управляемом гибридном и многооблачном решении siEM/Security Information Event Management (SIEM)/Security Orchestration and Response (SOAR).

Система управления

Как и безопасность Azure, управление Azure не является "одним и выполненным" предложением. Скорее, это постоянно развивающийся процесс стандартизации и соблюдения требований. Рассмотрите возможность реализации следующих элементов управления:

• Ознакомьтесь с нашим руководством по созданию базовых показателей управления для гибридной или многооблачной среды.
• Реализация таких функций управления затратами Майкрософт, как области выставления счетов, бюджеты и оповещения, чтобы гарантировать, что расходы Azure остаются в пределах указанных границ.
• Используйте Политика Azure для принудительного применения защиты системы управления в развертываниях Azure и активации задач исправления, чтобы перенести существующие ресурсы Azure в соответствующее состояние.
• Рассмотрите возможность управления правами Microsoft Entra для автоматизации запросов Azure, назначений доступа, проверок и истечения срока действия
• Примените рекомендации помощника по Azure, чтобы обеспечить оптимизацию затрат и эффективность работы в Azure, оба из которых являются основными принципами Microsoft Azure Well-Architected Framework.

Сеть

Верно, что рефакторинг уже установленной инфраструктуры виртуальной сети Azure может быть тяжелым подъемом для многих предприятий. Таким образом, рассмотрите возможность включения следующих рекомендаций в разработку сети, реализацию и обслуживание.

• Ознакомьтесь с нашими рекомендациями по планированию, развертыванию и обслуживанию концентратора виртуальных сетей Azure и периферийных топологий.
• Рассмотрим azure виртуальная сеть Manager (предварительная версия) для централизовать правила безопасности группы безопасности сети (NSG) в нескольких виртуальных сетях.
• Azure Виртуальная глобальная сеть унифицировать сети, безопасность и маршрутизацию, чтобы помочь предприятиям создавать гибридные облачные архитектуры безопаснее и быстрее
• Доступ к службам данных Azure в частном порядке с помощью Приватный канал Azure. Служба Приватный канал обеспечивает взаимодействие пользователей и приложений с ключевыми службами Azure с помощью магистральной сети Azure и частных IP-адресов вместо общедоступного Интернета

Следующие шаги

Теперь, когда у вас есть обзор рекомендаций по среде Браунфилда Azure, ниже приведены некоторые связанные ресурсы для просмотра:

• Целевые зоны Azure Bicep — поток развертывания
• Microsoft Well-Architected Framework
• Средства и шаблоны Cloud Adoption Framework