準備好進行防禦雲端採用
就緒的方法是雲端採用平臺領域的第一個步驟。
圖 1:網域追蹤器 - 平臺網域
就緒的方法著重于建置雲端平臺。 我們將此雲端平臺稱為登陸區域。 登陸區域是核心服務、工作負載和應用程式的首頁。 它們提供安全性和資源管理的基礎。 它們可在企業級啟用應用程式移轉、現代化及創新。 登陸區域是部署服務、應用程式和工作負載的位置。 以下是雲端代理程式應遵循之登陸區域組建的重要考慮。
建置安全登陸區域
在登陸區域內,雲端代理程式會建置平臺環境,而任務擁有者會管理工作負載環境。 這些工作負載環境會繼承平臺的安全性控制。 登陸區域是工作負載安全性的基礎,而且必須安全。 防禦組織通常會有適用于登陸區域的架構合規性標準。 雲端代理程式將負責建置登陸區域以符合這些標準。 如需登陸區域的相關資訊,請參閱:
以下是登陸區域部署的一些一般架構建議:
在雲端和防禦網路之間放置防火牆 - 架構應該使用防火牆、入侵偵測系統 (IDS) 和/或入侵防護系統 (IPS) ,以保護防禦網路免于源自雲端的攻擊。 它應該位於防禦網路,並檢查並篩選所有流量標題,以從雲端進入防禦網路。 此放置會提供兩個環境之間的屏障。
檢查所有輸入流量 - 在傳送至應用程式之前,先透過安全性堆疊路由傳送所有輸入流量。 安全性堆疊應該位於自己的環境中,而且應該先檢查和篩選流量,再路由傳送至雲端應用程式。
隔離安全性管理工具 - 為您的安全性管理工具建立個別的環境。 安全性管理環境至少應包含弱點掃描、主機掃描、端點保護,以及集中式記錄。
指定架構擁有者 - 任務擁有者 應指定其人員的單一成員,以擁有登陸區域安全性。 此人員應負責與雲端代理程式協調、管理身分識別和存取權,以及限制提高的許可權。
如需詳細資訊,請參閱
定義作業和管理期望
任務擁有者和雲端代理程式應該在登陸區域建置期間定義作業和管理的預期。 工作負載會在其生命週期中高度相依于平臺。 平臺身分識別、管理或連線設定中的變更會影響裝載的工作負載。 請務必在平臺組建期間同步處理預期和優先順序,讓任務擁有者和雲端代理程式對成功有共同瞭解。 在生產環境上線之前,擁有穩固的工作關係有助於降低風險。
我們有下列作業和管理建議:
建立通道 - 任務擁有者應該建立通道供雲端代理程式使用。 通訊應該經常、一致且清楚。 任務擁有者也應該有現場通訊的可用性,以供一般會議以外的任何緊急事項使用。 通訊會將來自任務目標的風險和技術漂移降到最低。 預期應該寫下、說明並可供雲端代理程式存取。 雲端代理程式和任務擁有者之間的一般同步處理有助於確保雲端代理程式瞭解任務擁有者及其工作負載的安全性、效能和財務需求。
挑選作業度量 - 建立操作量值檢閱方式。 任務擁有者和雲端代理程式應該決定如何收到意見反應並改善意見反應。
共用核心服務 - 大部分實例中的雲端代理程式應該提供共用服務,以供任務擁有者使用。 共用服務包括適用于安全用戶端運算的 Azure 虛擬桌面,以及 Azure DevOps 等共用 DevOps 工具組。 雲端代理程式也可以與治理或共用容器平臺共用通用資料平臺。 共用泛型服務可節省成本並改善合規性。
討論基礎結構自動化 - 高效能的雲端代理程式會建置基礎結構作為程式碼 (IaC) 範本,以一致且快速地建置安全的工作負載環境。 這些 IaC 範本可以建置強化的 VM、函式、儲存體等等。 訊息代理程式甚至可以透過程式碼建置整個任務擁有者登陸區域,以確保一致性和合規性。
建立變更管理程式 - 雲端中需要變更。 事實上,雲端的主要優點是能夠加速變更。 加速正面變更是數位轉型的目標。 任務擁有者和雲端代理人建立變更管理程式非常重要。 變更管理應考慮標準、一般和緊急變更要求。 每個要求類型都應該有自己的程式,以針對一致性、速度和安全性進行優化和簡化。
如需詳細資訊,請參閱
後續步驟
就緒的方法著重于建置雲端平臺。 治理方法著重于控制平臺的安全性、成本和管理。