Distribuera säkra infrastrukturer med hjälp av en landningszon
En Azure-landningszon är en miljö som följer viktiga designprinciper inom åtta designområden. Dessa designprinciper passar alla programportföljer och möjliggör programmigrering, modernisering och innovation i stor skala. En Azure-landningszon använder prenumerationer för att isolera och skala programresurser och plattformsresurser. Prenumerationer för programresurser kallas programlandningszoner och prenumerationer för plattformsresurser kallas plattformslandningszoner.
En arkitektur i Azure-landningszonen är skalbar och modulär för att uppfylla olika distributionsbehov. Med en repeterbar infrastruktur kan du tillämpa konfigurationer och kontroller på varje prenumeration konsekvent. Moduler gör det enkelt att distribuera och ändra specifika komponenter i Azure-landningszonens arkitektur allt eftersom dina krav utvecklas.
Plattformslandningszoner jämfört med programlandningszoner
En Azure-landningszon består av plattformslandningszoner och programlandningszoner. Det är värt att förklara funktionen för båda mer detaljerat.
Plattformslandningszon: En plattformslandningszon är en prenumeration som tillhandahåller delade tjänster (identitet, anslutning, hantering) till program i programlandningszoner. Att konsolidera dessa delade tjänster förbättrar ofta driftseffektiviteten. Ett eller flera centrala team hanterar plattformslandningszonerna.
Landningszon för program: En programlandningszon är en prenumeration som värd för ett program. Du etablerar programlandningszoner i förväg via kod och använder hanteringsgrupper för att tilldela principkontroller till dem.
Det finns tre huvudsakliga metoder för att hantera programlandningszoner. Du bör använda ett (1) centralt team, (2) programteam eller (3) delad teamhanteringsmetod, beroende på dina behov (se tabell).
| Hanteringsmetod för programlandningszon | Beskrivning |
|---|---|
| Central teamhantering | Ett centralt IT-team driver landningszonen fullt ut. Teamet tillämpar kontroller och plattformsverktyg på plattforms- och programlandningszonerna. |
| Hantering av programteam | Ett plattformsadministrationsteam delegerar hela programlandningszonen till ett programteam. Programteamet hanterar och stöder miljön. Hanteringsgruppens principer säkerställer att plattformsteamet fortfarande styr programlandningszonen. Du kan lägga till andra principer i prenumerationsomfånget och använda alternativa verktyg för att distribuera, skydda eller övervaka programlandningszoner. |
| Delad hantering | Med teknikplattformar som AKS eller AVS hanterar ett centralt IT-team den underliggande tjänsten. Programteamen ansvarar för de program som körs ovanpå teknikplattformarna. Du måste använda olika kontroller eller åtkomstbehörigheter för den här modellen. Dessa kontroller och behörigheter skiljer sig från de som du använder för att hantera programlandningszoner centralt. |
Acceleratorer för Azure-landningszoner
Acceleratorer är implementeringar av infrastruktur som kod som hjälper dig att distribuera en Azure-landningszon korrekt. Vi har en plattformsaccelerator för landningszoner och flera acceleratorer för programlandningszoner som du kan distribuera.
Plattformsaccelerator för landningszon
Det finns en färdig distributionsupplevelse som kallas Portalacceleratorn för Azure-landningszonen. Portalacceleratorn i Azure-landningszonen distribuerar den konceptuella arkitekturen (se bild 1) och tillämpar fördefinierade konfigurationer på viktiga komponenter som hanteringsgrupper och principer. Den passar organisationer vars konceptuella arkitektur överensstämmer med den planerade driftsmodellen och resursstrukturen.
Du bör använda portalacceleratorn för Azure-landningszonen om du planerar att hantera din miljö med Azure-portalen.
Skapa skalbara, modulära Azure-landningszoner
Microsoft erbjuder Cloud Adoption Framework för att ge kunderna en beprövad startpunkt för molnresan, inklusive säker metodik.
En annan viktig komponent i Cloud Adoption Framework i ready-metoden är Azure-landningszonen, som påskyndar molnimplementeringen genom att tillhandahålla automatiserad implementering av fullständiga arkitekturer och driftsmiljöer, inklusive säkerhetselement. Metodtips för säkerhet är integrerade i Azure-landningszoner. Med landningszoner kan du snabbt och säkert migrera dina första arbetsbelastningar med inbakade metodtips för säkerhet och styrning.
När du utformar och implementerar organisationens landningszon använder du referensarkitekturen nedan som målsluttillstånd. Den fångar upp mogna och utskalade miljödesignöverväganden.
Vi rekommenderar att du använder Azure-landningszoner när det är möjligt i dina molnimplementeringsplaner. Landningszoner ger en arkitekturstartpunkt. Azure-landningszoner hjälper dig att följa säkerhet och andra metodtips oavsett om du distribuerar en ny arbetsbelastning, migrerar befintliga arbetsbelastningar eller förbättrar redan distribuerade arbetsbelastningar. Med landningszoner kan du följa metodtipsen om du implementerar dem alla samtidigt eller stegvis.
Kommentar
Din organisation kan anpassa Arkitekturen för Azure-landningszoner så att den uppfyller dina unika affärskrav.
Azure-landningszoner innehåller kod som gör det enklare för organisationens IT- och säkerhetsteam. Landningszoner erbjuder en repeterbar, förutsägbar metod för att tillämpa en templaterad implementering. Implementeringen omfattar en distributionsmetod, designprinciper och designområden. Landningszoner stöder säkerhets-, hanterings- och styrningsprocesser samt plattformsautomatisering och DevOps.
Använda Nolltillit principer
Din organisation kan anpassa Azure-landningszoner baserat på metodtips för Azure Security Benchmark (ASB) och Nolltillit-principer (ZT), som ingår i målarkitekturen. Gå mot den metodanpassade målarkitekturen, implementera andra säkerhetsöverväganden och Nolltillit principer som stegvis bygger på och förbättrar organisationens säkerhets- och styrnings-MVP.
Utöka Nolltillit arkitekturmetoder som aldrig litar på och alltid verifierar. Integrera en strategi från slutpunkt till slutpunkt i ditt digitala tillstånd som omfattar identiteter, slutpunkter, nätverk, data, program och infrastruktur.
Följ säkerhetsrekommendationerna för Azure Security Benchmark
Vi rekommenderar att din organisation följer säkerhetsrekommendationerna med hög effekt i Azure Security Benchmark. Det finns också vägledning i Azure-landningszoner och själva Cloud Adoption Framework. Inkludera ASB-rekommendationer som en del av din arkitekturstrategi genom att granska all relevant dokumentation och tjänstspecifika baslinjer.
Dricks
Azure-landningszoner tilldelar som standard ASB-principen överst i hierarkin. Den här metoden säkerställer att alla prenumerationer och arbetsbelastningar i landningszonen övervakas för ASB-efterlevnad.