Överväganden för Brownfield-landningszon
En brownfield-distribution är en befintlig miljö som kräver ändringar för att anpassa sig till Målarkitekturen för Azure-landningszonen och metodtips. När du behöver lösa ett scenario med brownfield-distribution bör du överväga din befintliga Microsoft Azure-miljö som startpunkt. Den här artikeln sammanfattar vägledningen som finns någon annanstans i dokumentationen klar för Cloud Adoption Framework För mer information, se Introduktion till Cloud Adoption Framework Ready-metoden.
Resursorganisering
I en brunfältsmiljö har du redan etablerat din Azure-miljö. Men det är aldrig för sent att tillämpa beprövade principer för resursorganisationen nu och framåt. Överväg att implementera något av följande förslag:
- Om din aktuella miljö inte använder hanteringsgrupper bör du överväga dem. Hanteringsgrupper är nyckeln till att hantera principer, åtkomst och efterlevnad i flera prenumerationer i stor skala. Hanteringsgrupper hjälper dig att vägleda implementeringen.
- Om din aktuella miljö använder hanteringsgrupper bör du överväga vägledningen i hanteringsgrupper när du utvärderar implementeringen.
- Om du har befintliga prenumerationer i din aktuella miljö bör du överväga vägledningen i prenumerationer för att se om du använder dem effektivt. Prenumerationer fungerar som princip- och hanteringsgränser och är skalningsenheter.
- Om du har befintliga resurser i din aktuella miljö kan du överväga att använda vägledningen för namngivning och taggning för att påverka taggningsstrategin och namngivningskonventionerna framöver.
- Azure Policy är användbart för att upprätta och framtvinga konsekvens när det gäller taxonomiska taggar.
Säkerhet
Att förfina din befintliga Azure-miljös säkerhetsstatus när det gäller autentisering, auktorisering och redovisning är en pågående iterativ process. Överväg att implementera följande rekommendationer:
- Distribuera Microsoft Entra Connect-molnsynkronisering för att ge dina lokala Active Directory-domän Services-användare (AD DS) säker enkel inloggning (SSO) till dina Microsoft Entra ID-stödda program. En annan fördel med att konfigurera hybrididentitet är att du kan använda Microsoft Entra multifaktorautentisering (MFA) och Microsoft Entra Password Protection för att ytterligare skydda dessa identiteter
- Ge säker autentisering till dina molnappar och Azure-resurser med hjälp av villkorsstyrd åtkomst i Microsoft Entra.
- Implementera Microsoft Entra Privileged Identity Management för att säkerställa åtkomst med lägsta behörighet och djuprapportering i hela Azure-miljön. Teams bör påbörja återkommande åtkomstgranskningar för att säkerställa att rätt personer och tjänstprinciper har aktuella och korrekta auktoriseringsnivåer. Studera även vägledningen för åtkomstkontroll.
- Använd funktionerna för rekommendationer, aviseringar och reparation i Microsoft Defender för molnet. Ditt säkerhetsteam kan också integrera Microsoft Defender för molnet i Microsoft Sentinel om de behöver en mer robust, centralt hanterad hybrid- och SIEM-lösning (Security Information Event Management) för flera moln/SOAR-lösning (Security Orchestration and Response).
Kontroll
Precis som Med Azure-säkerhet är Azure-styrning inte ett "ett och gjort"-förslag. Det är snarare en ständigt växande process för standardisering och efterlevnadsefterlevnad. Överväg att implementera följande kontroller:
- Läs vår vägledning för att upprätta en hanteringsbaslinje för din hybrid- eller multimolnsmiljö
- Implementera Microsoft Cost Management-funktioner som faktureringsomfång, budgetar och aviseringar för att säkerställa att dina Azure-utgifter håller sig inom föreskrivna gränser
- Använd Azure Policy för att framtvinga styrningsskydd i Azure-distributioner och utlösa reparationsåtgärder för att försätta befintliga Azure-resurser i ett kompatibelt tillstånd
- Överväg att hantera Microsoft Entra-rättigheter för att automatisera Azure-begäranden, åtkomsttilldelningar, granskningar och förfallodatum
- Använd Azure Advisor-rekommendationer för att säkerställa kostnadsoptimering och driftseffektivitet i Azure, som båda är grundläggande principer för Microsoft Azure Well-Architected Framework.
Nätverk
Det är sant att omstrukturering av en redan etablerad infrastruktur för virtuella Azure-nätverk (VNet) kan vara ett stort lyft för många företag. Överväg att införliva följande vägledning i din nätverksdesign, implementering och underhållsarbete:
- Läs våra metodtips för att planera, distribuera och underhålla Azure VNet-hubb- och ekertopologier
- Överväg Azure Virtual Network Manager (förhandsversion) för att centralisera säkerhetsregler för nätverkssäkerhetsgrupp (NSG) i flera virtuella nätverk
- Azure Virtual WAN förenar nätverk, säkerhet och routning för att hjälpa företag att skapa hybridmolnarkitekturer säkrare och snabbare
- Få åtkomst till Azure-datatjänster privat med Azure Private Link. Private Link-tjänsten ser till att dina användare och program kommunicerar med viktiga Azure-tjänster med hjälp av Azure-stamnätverket och privata IP-adresser i stället för via det offentliga Internet
Nästa steg
Nu när du har en översikt över miljööverväganden för Azure brownfield finns här några relaterade resurser att granska: