你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站，请访问 https://docs.azure.cn。

为国防云采用而采用

采用方法侧重于防御工作负载，属于云采用的任务领域。 工作负载是支持特定功能的资源集合。 任务域是循环的。 域在工作负载的整个生命周期内循环访问采用、保护和管理方法。

图 1：域跟踪器 - 任务域

在采用阶段，防御工作负载在云中开始其旅程，并随时间推移迭代利用云优势。 采用包括迁移、现代化和创新：

• 迁移将工作负载引入云。
• 现代化可降低总拥有成本 (TCO) ，同时提高安全性、性能和效率。
• 创新是国防组织开始构建云原生解决方案以满足数据需求的地方。

在采用阶段，需要注意一些重要的注意事项。

创建定制的迁移计划

防御工作负载的迁移必须是安全的，并且通常需要最少的停机时间。 防御团队应与其云代理和客户代表合作，以构建满足每个工作负载需求的迁移计划。 正确的迁移计划将节省时间、金钱和麻烦。

迁移注意事项 - 有不同的迁移方法。 在防御环境中考虑的一个重要策略是分阶段迁移方法。 分阶段迁移方法是一种常见策略，适用于任务至关重要的大型旧工作负载。 一般思路是一次迁移工作负载的一部分，以便在迁移期间最终用户仍可访问该工作负载。 迁移过程中，工作负载在混合状态下运行。 此迁移策略会增加复杂性和成本，但有时是必要的。

但是，并非所有应用程序都需要分阶段迁移。 有些不够小或不够重要，足以引起这种程度的关注。 任务所有者需要根据防御策略评估每个工作负载的重要性，以创建适用于每个工作负载的迁移策略。

Azure 具有可迁移防御工作负载的迁移工具。 有关详细信息，请参阅：

• Azure Migrate 服务概述
• Azure Gov 云中的 Azure Migrate 服务

安全数据传输 - 在迁移过程中保持数据加密非常重要。 有两种main方法可用于将加密数据传输到云。 它可以在防御网络和云环境之间传输专用连接。 但是，对于需要几天时间才能完成的传输，Azure 导入/导出服务是最佳数据迁移选项。 加密数据加载到外部硬盘上，发送到Azure 政府数据中心，并上传到相应的云环境。

有关详细信息，请参阅 使用 Azure 导入/导出。

激励现代化

现代化完全是为了最大化价值，应该成为任务所有者的优先事项。 如果没有现代化，就很难体验云的真正优势，也很难体验更多的功能，减少工作量和金钱。 此处有两个与要求和技术相关的最佳做法。

现代化要求 - 获取云服务的方式可能会影响现代化步伐。 防御组织通常会将登陆区域与位于其上的工作负载分开操作。 最佳方法是让云代理生成和管理登陆区域，同时让任务所有者团队管理平台上的工作负载。 但是，这种职责分离会创建安全边界，但也可能会扼杀现代化。 因此，任务所有者必须激励技术团队采用新技术，以便防御工作负载能够满足当前和未来的需求。 将现代化构建为需求并针对现代化目标设置里程碑是一种有效的方法。 需要技术解决方案建议，以概述现代化工作如何与流程改进、应用程序增强和数据库配置保持一致。 建议的解决方案应与任务目标保持一致。

有关详细信息，请参阅 现代化对齐。

考虑平台即服务 (PaaS) - Azure 基础结构即服务 (IaaS) 解决方案提供许多防御组织所需的技术控制级别。 IaaS 控件的缺点是工作效率较低。 生产力意味着少做事，多做多事。 管理技术团队花费的时间越多，他们进行创新的时间就越少。

PaaS 解决方案提供控制和生产力的平衡。 如果它们在 Azure Gov Cloud 中可用，则它们已获得批准且足够安全，可供使用。 由于供应商锁定和失去控制，许多国防组织对 PaaS 解决方案持谨慎之心。 这种反应很好，但此处不适用。

PaaS 解决方案是平台。 任务所有者控制代码和数据，但卸载底层基础结构的管理。 Azure 处理基础结构强化、修补、缩放和预配。 平台将供应商锁定的风险降到最低，并且可以提高安全性。 防御组织在优化日常安全任务时，可以更加专注于应用程序安全性并改进代码。 PaaS 解决方案可帮助国防组织更快地实现任务目标。

有关详细信息，请参阅 PaaS 采用。

尽可能使用 DevOps

DevOps 是一种专注于提供价值的敏捷方法。 DevOps 将开发和操作同步到旨在快速产生价值的迭代过程中。 任务优先顺序是关键机制。 当工作优先时，团队首先完成优先级最高的任务。 工作也是有时间限制的，以创建一个反馈循环，以加速学习和加快交付。

防御标准和风险缓解过程往往限制了防御组织实现真正的 DevOps 的程度。 协议、法规和协定生命周期迫使防御开发和操作进入瀑布框架。 但是，可以在这些法规的范围内应用 DevOps 原则。 下面是一些 DevOps 建议：

与现有流程保持一致 - DevOps 不应中断现有结构。 它应该与它保持一致。 值得考虑的是，完全采用 DevOps 如何增强工作负载，但在此之前，DevOps 应在现有操作中工作。 如果当前操作更具瀑布性，DevOps 策略可以在这些连续的里程碑之间发挥作用。 DevOps 实现应考虑到许多防御风险管理流程所基于的强制移交和顺序检查点。 忽略当前系统的方法注定要失败。

快速改进 - 通过评审多次循环访问任务的能力使技术团队能够快速改进开发和操作。 团队应致力于开发最低可行产品和概念证明，并对其进行改进，直到达到任务目标。

使用持续集成和持续部署 (CI/CD) - CI/CD 是一个标准 DevOps 概念。 这是一种自动化方法，用于不断改进代码并将其部署到生产环境。 很少是将任务关键型工作负载上的代码更改直接部署到生产环境，因此需要针对防御方案修改此方法。 对于任务关键型工作负载，建议使用两个 CI/CD 管道。 第一个 CI/CD 管道应创建可进行严格测试的阶段部署。 只有在通过所有必需的测试后，才能将代码部署到生产环境。 开发团队需要微调流程，以确保测试可以在分阶段交付结果到达时尽快完成。 有关 CI/CD 功能的详细信息，请参阅 Azure Pipelines。

DevOps 工具 - 需要采用 DevOps 工具才能使 DevOps 正常工作。 创建所需 DevOps 工具的列表，其中包含映射到其 DevOps 流程的影响级别授权。 此映射可能是建议的一个很好的要求，有助于确定可以采用多少 DevOps。

有关 DevOps 的详细信息，请参阅：

• 进程现代化
• Azure DevOps

后续步骤

接下来是安全方法，云提供了用于保护工作负载的安全专业人员有用工具。

安全