你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
准备好采用防御云
现成的方法是云采用的平台领域的第一步。
图 1:域跟踪器 - 平台域
现成的方法侧重于构建云平台。 我们将此云平台称为登陆区域。 登陆区域是核心服务、工作负载和应用程序的所在地。 它们为安全和资源管理奠定了基础。 它们支持企业规模的应用程序迁移、现代化和创新。 登陆区域是部署服务、应用程序和工作负载的位置。 下面是云代理应遵循的登陆区域生成的关键注意事项。
构建安全登陆区域
在登陆区域中,云代理生成平台环境,任务所有者管理工作负载环境。 这些工作负载环境继承平台的安全控制。 登陆区域是工作负载安全性的基础,必须安全。 国防组织通常具有适用于登陆区域的体系结构的符合性标准。 云代理将负责构建一个登陆区域以满足这些标准。 有关登陆区域的信息,请参阅:
下面是有关登陆区域部署的一些常规体系结构建议:
在云和防御网络之间放置防火墙 - 体系结构应使用防火墙、入侵检测系统 (IDS) 和/或入侵防护系统 (IPS) 来保护防御网络免受源自云的攻击。 它应位于防御网络中,检查和筛选从云进入防御网络的所有流量。 此放置将在两个环境之间提供屏障。
检查所有入站流量 - 在发送到应用程序之前,通过安全堆栈路由所有入站流量。 安全堆栈应位于其自己的环境中,并且应在路由到云应用程序之前检查和筛选流量。
隔离安全管理工具 - 为安全管理工具创建单独的环境。 安全管理环境至少应包括漏洞扫描、主机扫描、终结点保护和集中式日志记录。
指定体系结构所有者 - 任务所有者应指定其人员的单个成员来拥有登陆区域安全性。 此人应负责与云代理协调、管理标识和访问以及限制提升的权限。
有关详细信息,请参阅:
定义运营和管理预期
任务所有者和云中转站应在登陆区域生成期间定义操作和管理的预期。 工作负载在其整个生命周期中将严重依赖平台。 平台标识、管理或连接配置中的更改会影响托管工作负载。 请务必在平台生成期间同步期望和优先级,以便任务所有者和云代理对成功有一个共同的了解。 在生产环境上线之前建立牢固的工作关系将有助于降低风险。
我们针对运营和管理提供以下建议:
建立通信通道 - 任务所有者应建立通信通道供云代理使用。 通信应频繁、一致且清晰。 特派团所有者还应在常会之外就任何紧急事项提供实地通信。 通信将最大程度地减少与任务目标之间的风险和技术偏差。 应写下、解释并让云代理访问期望值。 云中转站和任务所有者之间的定期同步将有助于确保云代理了解任务所有者及其工作负载的安全性、性能和财务要求。
选择操作度量 - 确定如何评审操作度量值。 任务所有者和云代理应确定如何接收反馈并做出改进。
共享核心服务 - 在大多数情况下,云代理应提供共享服务供任务所有者使用。 共享服务包括用于安全客户端计算的 Azure 虚拟桌面和共享 DevOps 工具集(如 Azure DevOps)。 云中转站还可以共享具有治理的公共数据平台或共享容器平台。 共享常见服务可节省资金并提高合规性。
讨论基础结构自动化 - 正常运行的云代理将构建基础结构即代码 (IaC) 模板,以一致且快速地构建安全的工作负载环境。 这些 IaC 模板可以生成强化的 VM、函数、存储等。 代理甚至可以通过代码构建整个任务所有者登陆区域,以确保一致性和合规性。
建立更改管理过程 - 在云中需要更改。 事实上,云的主要优势是能够加速变革。 加速积极变革是数字化转型的目标。 任务所有者和云中转站必须建立变更管理流程。 更改管理应考虑到标准、正常和紧急更改请求。 每个请求类型都应有自己的流程,这些流程经过优化和简化,以确保一致性、速度和安全性。
有关详细信息,请参阅:
后续步骤
现成的方法侧重于构建云平台。 治理方法侧重于监管平台的安全性、成本和管理。