Brownfield 登陸區域考量
棕色地帶部署是現有的環境,需要修改以配合 Azure 登陸區域目標架構和最佳做法。 當您需要解決棕色地帶部署案例時,請考慮現有的Microsoft Azure 環境作為起點。 本文摘要說明 雲端採用架構 就緒檔中找到的指引。如需詳細資訊,請參閱 雲端採用架構 就緒方法簡介。
資源組織
在棕色地帶環境中,您已建立 Azure 環境。 但是現在套用經過證實 的資源組織原則 並向前邁進,從來就不是太晚了。 請考慮實作下列任何建議:
- 如果您的目前環境未使用管理群組,請考慮它們。 管理群組是大規模管理訂用帳戶的原則、存取和合規性的關鍵。 管理群組 可協助您的實作。
- 如果您目前的環境使用管理群組,請在評估您的實作時,考慮管理群組中的指引。
- 如果您的目前環境中有現有的訂用帳戶,請考慮訂用帳戶中的 指引,以查看您是否有效地使用這些訂 用帳戶。 訂用帳戶會作為原則和管理界限,而且是縮放單位。
- 如果您的目前環境中已有資源,請考慮使用命名和標記中的指引來影響您的標記策略和未來命名慣例。
- Azure 原則 有助於建立和強制執行分類標記的一致性。
安全性
若要精簡您現有的 Azure 環境 有關驗證、授權和會計的安全性狀態 ,這是持續反覆的程式。 請考慮實作下列建議:
- 部署 Microsoft Entra Connect 雲端同步,為您的本機 Active Directory Domain Services (AD DS) 使用者提供對 Microsoft Entra ID 支援應用程式的安全單一登入 (SSO)。 設定混合式身分識別的另一個優點是您可以強制執行 Microsoft Entra 多重要素驗證 (MFA) 和 Microsoft Entra 密碼保護 ,以進一步保護這些身分識別
- 使用 Microsoft Entra 條件式存取,為您的雲端應用程式和 Azure 資源提供安全驗證。
- 實作 Microsoft Entra Privileged Identity Management,以確保整個 Azure 環境中的最低權限存取和深入報告。 Teams 應該開始週期性存取權檢閱,以確保正確的人員和服務原則具有目前且正確的授權等級。 此外,請 研究訪問控制指引。
- 使用適用於雲端的 Microsoft Defender 建議、警示和補救功能。 如果您的安全性小組需要更強固、集中管理的混合式和多重雲端安全性資訊事件管理 (SIEM)/安全性協調與回應 (SOAR) 解決方案,您的安全性小組也可以將適用於雲端的 Microsoft Defender 整合到 Microsoft Sentinel。
治理
與 Azure 安全性一樣, Azure 治理 不是「一個已完成」的主張。 相反地,這是一個不斷演變的標準化和合規性強制執行程式。 請考慮實作下列控件:
- 檢閱我們的指引,以為您的混合式或多重雲端環境建立管理基準
- 實 作Microsoft成本管理功能 ,例如計費範圍、預算和警示,以確保您的 Azure 費用會保留在規定的範圍內
- 使用 Azure 原則 在 Azure 部署上強制執行治理防護措施,並觸發補救工作,讓現有的 Azure 資源進入合規狀態
- 請考慮 Microsoft Entra 權利管理 ,以自動化 Azure 要求、存取指派、檢閱和到期
- 套用 Azure Advisor 建議,以確保 Azure 中的成本優化和營運卓越,這兩者都是 Azure 良好架構Microsoft的核心原則。
網路
重構已建立的 Azure 虛擬網路 (VNet) 基礎結構 ,對於許多企業來說,確實是一個沉重的提升。 也就是說,請考慮將下列指引納入您的網路設計、實作和維護工作:
- 檢閱我們的最佳做法,以規劃、部署和維護 Azure VNet 中樞和輪輻拓撲
- 請考慮 Azure 虛擬網絡 管理員 (預覽版) 以跨多個 VNet 將網路安全組 (NSG) 安全性規則集中
- Azure 虛擬 WAN 會統一網路、安全性和路由,以協助企業建置混合式雲端架構更安全且更快速
- 使用 Azure Private Link 私下存取 Azure 資料服務。 Private Link 服務會使用 Azure 骨幹網路和私人 IP 位址,而不是透過公用因特網,確保您的使用者和應用程式與主要 Azure 服務通訊
下一步
現在您已概略瞭解 Azure 布朗菲爾德環境考慮,以下是一些要檢閱的相關資源: