共用方式為

規劃防禦雲端採用

  • 發行項

計劃方法屬於雲端採用的指令領域。

顯示網域追蹤器的圖。它會顯示命令、平台和任務。命令項目被突出顯示,以顯示我們在雲端應用的命令網域中。 圖 1:網域追蹤器 - 命令網域

規劃方法論是任務擁有者準備採用雲端技術的過程。 他們需要定義需求、制定決策,以協助達成任務目標,並讓適當的項目關係人參與。 這些計劃會決定人員和平臺管理需求。 適當的規劃有助於確保專案獲得利害關係人的支持。

我們建議使用雲中介,而規劃是任務擁有者選擇使用雲中介服務的策略。 我們假設任務擁有者已定義符合其目標的技術需求。 如果沒有,那麼在決定雲端中介策略之前,這是一個必須事先具備的必要條件。 使用雲端仲介是國防組織的最佳作法,因為這種關係提供了許多優點。 某些防禦組織會強制使用命令鏈結中的特定雲端代理程式。 鑒於雲端代理程式的重要性和優點,值得探索雲端代理程序的優點和方法。

雲端代理人權益

雲端代理程式是建置和管理雲端平臺的集中式群組。 雲端代理程式會執行管理雲端環境所需的許多工作,並讓任務擁有者更容易採用雲端。 防禦組織有時會有雲端代理程式需求,而任務擁有者應該將這些需求納入其計劃。 如果任務擁有者可以從多個雲端代理程式中選取,則必須判斷哪個雲端代理程式為此專案提供最佳服務和價格。

雲端代理人提供下列優點:

控管的平臺登陸區域 - 裝載於防禦環境中的服務、解決方案和應用程式需要受控的環境。 雲端代理程式會建置和維護符合合規性需求的受控平臺環境(平臺登陸區域)。

Azure 登陸區域提供目標架構,其中包含國防應用程式所需的所有元件,以便安全、可靠且符合成本效益的雲端作業(請參閱圖 2)。 Azure 登陸區域會遵循八個設計區域的主要原則。 Azure 登陸區域環境包含平臺登陸區域和應用程式登陸區域。

  • 平臺登陸區域:平臺登陸區域是一個訂用帳戶,可提供多個應用程式所使用的核心服務。 在範例架構中(見圖 2),紅色概述的元件和訂用帳戶是平臺登陸區域。 它們會將身分識別、管理和連線等共用服務提供給此環境中的應用程式。

  • 應用程式登陸區域:應用程式登陸區域是裝載應用程式的訂用帳戶。 在範例架構中(見圖 2),藍色方塊會概述應用程式登陸區域。 架構中有兩個應用程式登陸區域:「應用程式登陸區域 A1 訂用帳戶」和「應用程式登陸區域 A2 訂用帳戶」。 架構只會詳細顯示「應用程式登陸區域 A2 訂用帳戶」。

Azure 登陸區域架構的圖表。顯示平臺登陸區域和應用程式登陸區域的範例架構。其會顯示Microsoft Entra 租使用者,其下方有管理群組。管理群組分成平臺、登陸區域、已解除委任和沙盒。在這些管理群組和子管理群組下,其下方有訂用帳戶。此架構會顯示這些訂用帳戶的內容。平臺登陸區域管理群組包含身分識別、管理和聯機訂用帳戶。平臺登陸區域訂用帳戶周圍有黑匣子。應用程式登陸區域管理群組包含兩個應用程式登陸區域訂用帳戶。其中一個訂用帳戶的內容會詳細顯示。應用程式登陸區域訂用帳戶周圍有紅色方塊。 圖 2:概念性 Azure 登陸區域架構

如果沒有雲端代理程式,任務擁有者會負責應用程式登陸區域和平臺登陸區域。 但是,使用雲端代理程式時,任務擁有者只需要管理應用程式登陸區域,而且可以專注於將應用程式現代化,以符合任務目標。 雲端代理程式承擔平臺登陸區域中核心服務的技術責任。

平臺登陸區域具有包含下列專業領域的設計決策:

  • 成本管理
  • 安全性基準管理
  • 身分識別基準管理
  • 資源一致性
  • 部署加速

如需詳細資訊,請參閱 平臺與應用程式登陸區域

核心服務 - 雲端代理程式會實作和管理核心服務,例如身分識別、網路和管理。 在大部分情況下,雲端代理程式會安全地將新的雲端環境連線到內部部署網路、建置作業環境,並根據任務需求建立身分識別存取管理 (IAM) 解決方案,並強制執行原則。

平臺授權運作 (ATO) - 經驗豐富的雲端經紀人可以更快地幫助實現平臺層級的 ATO,超過任務擁有者單獨完成的速度。 平台層級 ATO 直接影響任務擁有者可以部署重要應用程式的速度。 如需詳細資訊,請參閱 加速 ATO

改善效率 - 雲端代理程式可將資訊流程自動化、不需要手動產生數據,以及管理平臺合規性需求。 此自動化可讓您及時且準確地將路由傳送至核准授權單位進行應用程式部署,以提供可追蹤性和責任性。 如果沒有雲端仲介,任務擁有者必須應對下列障礙。

  • 取得和分配基金
  • 管理監管和合規性需求
  • 從安全性小組取得核准
  • 將專案交給技術小組進行應用程式建置

這些活動可能持續數周或幾個月,在某些情況下則為數年。 雲端經紀商可簡化並加速任務擁有者的過程。

雲端經紀人策略

使用雲端代理程式時,任務擁有者有不同的考慮方法。 任務擁有者可以使用單一雲端代理程式或多個雲端代理程式,而正確的方法取決於任務需求。

單一雲端代理程式方法 - 在單一雲端代理程式方法中,任務擁有者會使用單一實體來合約雲端服務。 可能有各種支援模型,但雲端代理程式是單一連絡點。 單一雲端代理提供一個稱為租戶的雲端身分識別解決方案。 單一租用有一些獨特的優點。 單一租戶提供以下好處:

  • 藉由改善所有雲端環境的可見度和透明度,減少身分識別和存取管理的複雜性
  • 改善安全性,同時促進相容的信息共用
  • 簡化建置零信任架構
  • 提高戰士在艱困條件下的資料傳輸效率

若這些好處能滿足任務負責人的需求,那麼單一經紀商可能是更好的方法。

多個雲端代理程式方法 - 多重雲端代理程式方法會使用兩個或多個雲端代理程式來提供受控雲端服務。 多個雲端代理程式在複雜的組織中比較好,而防禦環境通常有足夠的複雜度來保證多個雲端代理程式策略。 但有一個警告。 多個雲端代理程式可以將更多風險新增至雲端採用計劃,併為組織新增更多通訊線路來管理。

下列因素可協助您判斷多個雲端代理程式方法是否是正確的方法。

  • 擁有權:任務擁有者可能需要自己的雲端代理程式。 決策團體通常需要自己的租戶端以達成任務目標,並避免因為相依性而導致的延遲。

  • 隔離:任務擁有者可能需要隔離的環境,以符合合規性、治理或身分識別的原因。 每個租戶(Microsoft Entra ID 的實例)都代表隔離的身分識別環境,並可在需要時建立強大的隔離屏障。

  • 管理:分隔複雜環境可能很適合管理和現代化您的雲端應用程式。 但是,此管理區隔會在命令鏈結中建立更高的複雜度。 要取得所有雲端資產的單一檢視愈來愈困難。

  • 安全性:不同影響層級的數據合規性可能需要經過授權的多個租戶和多個雲端代理商,並具備管理這些影響層級經驗的。

多雲端代理程式策略可用於防禦組織的不同層級。 經紀人可以指派給個別軍事分支(海軍、空中、地面)或申請團體。 選擇取決於防禦組織圍繞擁有權、隔離、管理和安全性的需求。

如需詳細資訊,請參閱 規劃概觀移轉評估檢查清單

下一步

規劃使防禦組織能夠執行任務。 組織學方法使用此計劃,開始完成非技術性的前置條件。

組織