使用登陆区域部署安全基础结构

Azure 登陆区域是遵循八个设计领域的主要设计原则的环境。这些设计原则适用于所有应用程序组合，并大规模启用应用程序迁移、现代化和创新。 Azure 登陆区域使用订阅来隔离和缩放应用程序资源和平台资源。对应用程序资源的订阅称为应用程序登陆区域，对平台资源的订阅则称为平台登陆区域。

Azure 登陆区域体系结构可缩放且模块化，以满足各种部署需求。使用可重复的基础结构，可以一致地将配置和控件应用到每个订阅。随着需求的发展，模块可以轻松部署和修改特定的 Azure 登陆区域体系结构组件。

平台登陆区域与应用程序登陆区域

Azure 登陆区域由平台登陆区域和应用程序登陆区域组成。这值得更详细地解释这两者的功能。

平台登陆区域：平台登陆区域是向应用程序登陆区域中的应用程序提供共享服务（标识、连接性、管理）的订阅。合并这些共享服务通常会提高运营效率。一个或多个中心团队管理平台登陆区域。

应用程序登陆区域：应用程序登陆区域是用于托管应用程序的订阅。通过代码预先预配应用程序登陆区域，并使用管理组向其分配策略控制。

管理应用程序登陆区域有三种主要方法。应根据你的需求使用 (1) 中心团队、(2) 应用程序团队或 (3) 共享团队管理方法（见表）。

应用程序登陆区域管理方法	描述
中心团队管理	中心 IT 团队全面运营登陆区域。该团队将控件和平台工具应用于平台和应用程序登陆区域。
应用程序团队管理	平台管理团队将整个应用程序登陆区域委托给应用程序团队。应用程序团队管理并支持该环境。管理组策略可确保平台团队仍控制应用程序登陆区域。你可以在订阅范围内添加其他策略，并使用替代工具部署、保护或监视应用程序登陆区域。
共享管理	借助 AKS 或 AVS 等技术平台，中心 IT 团队可以管理基础服务。应用程序团队负责在技术平台上运行的应用程序。你需要对此模型使用不同的控件或访问权限。这些控件和权限不同于集中管理应用程序登陆区域时使用的控件和权限。

加速器是基础结构即代码实现，可帮助正确部署 Azure 登陆区域。我们有一个平台登陆区域加速器和多个可以部署的应用程序登陆区域加速器。

有一种称为 Azure 登陆区域门户加速器的现成部署体验。 Azure 登陆区域门户加速器部署概念体系结构（见图 1），并将预先确定的配置应用于管理组和策略等关键组件。它适合概念体系结构与计划的操作模型和资源结构保持一致的组织。

如果计划使用 Azure 门户管理环境，则应使用 Azure 登陆区域门户加速器。

Microsoft 提供云采用框架，为客户提供云旅程的成熟起点，包括安全方法。

就绪方法中云采用框架的另一个关键组成部分是 Azure 登陆区域，它通过提供完整的体系结构和操作环境（包括安全元素）的自动化实现来加速云采用。安全最佳做法集成到 Azure 登陆区域中。借助登陆区域，你可以使用烘焙的安全和治理最佳做法快速安全地迁移第一个工作负荷。

在设计和实现组织的登陆区域时，请使用下面的参考体系结构作为目标结束状态。它捕获成熟的和横向扩展的环境设计注意事项。

建议在云采用计划中尽可能使用 Azure 登陆区域。登陆区域提供体系结构起点。无论你是部署新工作负荷、迁移现有工作负荷还是改进已部署的工作负荷，Azure 登陆区域都有助于你遵循安全性和其他最佳做法。使用登陆区域有助于你遵循最佳做法，无论你是一次性实现它们还是以增量方式实现它们。

注意

组织可以自定义 Azure 登陆区体系结构以满足独特的业务需求。

Azure 登陆区域包含代码，使组织的 IT 和安全团队更容易进行操作。登陆区域提供可重复、可预测的方法，用于应用模板化实现。该实现包括部署方法、设计原则和设计领域。登陆区域支持安全性、管理和治理流程，以及平台自动化和 DevOps。

显示多个租户的 Azure 登陆区域层次结构示例的示意图。

你的组织可以根据 Azure 安全基准 (ASB) 最佳做法和零信任 (ZT) 原则来调整 Azure 登陆区域，这些原则包含在目标体系结构中。争取实现与最佳做法相符的目标体系结构，实施其他安全注意事项和零信任原则，以便以增量方式构建和改进组织的安全和治理 MVP。

扩展“从不信任，始终进行验证”的零信任体系结构方法。跨数字状态集成端到端策略，其中包含标识、终结点、网络、数据、应用程序和基础结构。

建议组织遵循 Azure 安全基准的具有重大影响的安全建议。 Azure 登陆区域和云采用框架本身中也有指导。通过查看所有相关的文档和特定于服务的基线，将 ASB 建议包括在体系结构策略中。

提示

默认情况下，Azure 登陆区域将 ASB 策略分配到其层次结构的顶部。此方法可确保对登陆区域中的所有订阅和工作负荷进行监视，以符合 ASB 的要求。