Přizpůsobení architektury cílové zóny Azure tak, aby splňovala požadavky

  • Článek

V rámci pokynů k cílové zóně Azure je k dispozici několik referenčních možností implementace :

  • Cílová zóna Azure s Azure Virtual WAN
  • Cílová zóna Azure s tradičním hvězdicovým centrem
  • Základ cílové zóny Azure
  • Cílová zóna Azure pro malé podniky

Tyto možnosti můžou vaší organizaci pomoct rychle začít s použitím konfigurací, které poskytují koncepční architekturu cílové zóny Azure a osvědčené postupy v oblastech návrhu.

Referenční implementace jsou založené na osvědčených postupech a informacích microsoftových týmů ze zapojení zákazníků a partnerů. Tyto znalosti představují stranu "80" pravidla 80/20. Různé implementace zaujímají stanovisko k technickým rozhodnutím, která jsou součástí procesu návrhu architektury.

Vzhledem k tomu, že ne všechny případy použití jsou stejné, ne všechny organizace mohou použít přístup implementace přesně tak, jak byl zamýšlen. Při identifikaci požadavku na přizpůsobení je potřeba porozumět tomu, co je potřeba vzít v úvahu.

Co je archetyp cílové zóny v cílových zónách Azure?

Archetyp cílové zóny popisuje, co musí být pravdivé, aby se zajistilo, že cílová zóna (předplatné Azure) splňuje očekávané požadavky na prostředí a dodržování předpisů v konkrétním rozsahu. Příklady:

  • Azure Policy přiřazení.
  • Přiřazení řízení přístupu na základě role (RBAC).
  • Centrálně spravované prostředky, jako jsou sítě.

Zvažte, že každá skupina pro správu v hierarchii prostředků přispívá do konečného výstupu archetypu cílové zóny kvůli způsobu, jakým v Azure funguje dědičnost zásad. Zamyslete se nad tím, co se použije na vyšších úrovních v hierarchii prostředků při návrhu nižších úrovní.

Mezi skupinami pro správu a archetypy cílových zón existuje těsný vztah, ale skupina pro správu sama o sobě archetyp cílové zóny není. Místo toho tvoří součást architektury, která se používá k implementaci jednotlivých archetypů cílových zón ve vašem prostředí.

Tento vztah si můžete prohlédnout v koncepční architektuře cílové zóny Azure. Přiřazení zásad se vytvářejí v zprostředkující kořenové skupině pro správu, například Contoso, pro nastavení, která se musí vztahovat na všechny úlohy. Další přiřazení zásad se vytvářejí na nižších úrovních hierarchie pro konkrétnější požadavky.

Umístění předplatného v hierarchii skupin pro správu určuje výslednou sadu přiřazení Azure Policy a řízení přístupu (IAM), která se dědí, použijí a vynucují pro danou cílovou zónu (předplatné Azure).

K zajištění požadovaných centrálně spravovaných prostředků v cílové zóně může být potřeba více procesů a nástrojů. Možné příklady:

  • Nastavení diagnostiky pro odesílání dat protokolu aktivit do pracovního prostoru služby Log Analytics
  • Nastavení průběžného exportu pro Microsoft Defender for Cloud
  • Virtuální síť se spravovanými adresní prostory IP adres pro úlohy aplikací
  • Propojení virtuálních sítí s ochranou sítě DDoS (Distributed Denial of Service).

Poznámka

V referenčních implementacích cílové zóny Azure se k nasazení některých předchozích prostředků používají zásady Azure s DeployIfNotExistsúčinky a Modify . Řídí se principem návrhu zásad správného řízení.

Další informace najdete v tématu Přijetí mantineálů řízených zásadami.

Integrované archetypy pro konceptuální architekturu cílové zóny Azure

Koncepční architektura zahrnuje příklady archetypů cílových zón pro aplikační úlohy, jako je corp a online. Tyto archetypy můžou platit pro vaši organizaci a splňovat vaše požadavky. Možná budete chtít tyto archetypy změnit nebo vytvořit nové. Vaše rozhodnutí závisí na potřebách a požadavcích vaší organizace.

Tip

Pokud chcete zkontrolovat archetypy cílových zón v akcelerátoru cílových zón Azure, přečtěte si téma Skupiny pro správu v akcelerátoru cílových zón Azure.

Změny můžete vytvořit také jinde v hierarchii prostředků. Při plánování hierarchie pro implementaci cílových zón Azure pro vaši organizaci postupujte podle pokynů v oblastech návrhu.

Následující příklady archetypu cílové zóny z koncepční architektury vám pomůžou porozumět jejich účelu a zamýšlenému použití:

Archetyp cílové zóny (skupina pro správu) Účel nebo použití
Corp Vyhrazená skupina pro správu pro cílové zóny společnosti. Tato skupina je určená pro úlohy, které vyžadují připojení nebo hybridní připojení k podnikové síti prostřednictvím centra v předplatném připojení.
Online Vyhrazená skupina pro správu pro cílové zóny online. Tato skupina je určená pro úlohy, které můžou vyžadovat přímé připojení k internetu nebo odchozí připojení, nebo pro úlohy, které nemusí vyžadovat virtuální síť.
Sandbox Vyhrazená skupina pro správu pro předplatná, která bude organizace používat jenom k testování a zkoumání. Tato předplatná se bezpečně odpojí od podnikových a online cílových zón. Sandboxy mají také přiřazenou méně omezující sadu zásad, která umožňuje testování, zkoumání a konfiguraci služeb Azure.

Scénáře, ve kterých se může vyžadovat přizpůsobení

Jak už bylo zmíněno, poskytujeme běžné archetypy cílových zón v koncepční architektuře cílové zóny Azure. Jsou corp a online. Tyto archetypy nejsou pevné a nejsou jedinými povolenými archetypy cílových zón pro úlohy aplikací. Možná budete muset přizpůsobit archetypy cílové zóny tak, aby vyhovovaly vašim potřebám a požadavkům.

Než přizpůsobíte archetypy cílových zón, je důležité pochopit koncepty a vizualizovat oblast hierarchie, kterou doporučujeme přizpůsobit. Následující diagram znázorňuje výchozí hierarchii konceptuální architektury cílové zóny Azure.

Diagram znázorňující výchozí hierarchii cílové zóny Azure se zvýrazněnými oblastmi přizpůsobení

Jsou zvýrazněny dvě oblasti hierarchie. Jedna je pod cílovými zónami a druhá pod platformou.

Přizpůsobení archetypů cílových zón aplikace

Všimněte si modře zvýrazněné oblasti pod skupinou pro správu cílových zón . Je nejběžnějším a nejbezpečnějším místem v hierarchii přidání dalších archetypů pro splnění nových nebo více požadavků, které nelze přidat jako přiřazení zásad k existujícímu archetypu pomocí existující hierarchie.

Můžete mít například nový požadavek na hostování sady aplikačních úloh, které potřebují splňovat požadavky na dodržování předpisů v odvětví platebních karet (PCI). Tento nový požadavek se ale nemusí vztahovat na všechny úlohy v rámci celého majetku.

Existuje jednoduchý a bezpečný způsob, jak tento nový požadavek splnit. Pod skupinou pro správu Cílové zóny v hierarchii vytvořte novou skupinu pro správu s názvem PCI. Nové skupině pro správu PCI můžete přiřadit další zásady, jako je Microsoft Defender pro iniciativu zásad dodržování právních předpisů v cloudu pro PCI v3.2.1:2018. Tato akce vytvoří nový archetyp.

Teď můžete umístit nová předplatná Azure nebo přesunout stávající předplatná do nové skupiny pro správu PCI , aby dědila požadované zásady a vytvořila nový archetyp.

Tip

Potřebujete vědět, co vzít v úvahu a co se stane, když přesunete předplatná Azure mezi skupinami pro správu ve vztahu k RBAC a Azure Policy. Další informace najdete v tématu Převod existujících prostředí Azure na konceptuální architekturu cílové zóny Azure.

Přizpůsobení archetypů cílových zón platformy

Můžete také přizpůsobit oblast zvýrazněnou oranžově pod skupinou pro správu platformy . Zóny v této oblasti se označují jako cílové zóny platformy.

Můžete mít například vyhrazený tým SOC, který k hostování úloh vyžaduje vlastní archetyp. Tyto úlohy musí splňovat požadavky na Azure Policy a RBAC pro přiřazení, které se liší od požadavků skupiny pro správu.

Vytvořte novou skupinu pro správu zabezpečení pod skupinou pro správu platformy v hierarchii. Můžete k ní přiřadit požadované Azure Policy a RBAC.

Teď můžete umístit nová předplatná Azure nebo přesunout stávající předplatná do nové skupiny pro správu zabezpečení , aby zdědila požadované zásady a vytvořila nový archetyp.

Příklad přizpůsobené hierarchie cílových zón Azure

Následující diagram znázorňuje přizpůsobenou hierarchii cílových zón Azure. Používá příklady z předchozího diagramu.

Diagram znázorňující přizpůsobenou hierarchii cílových zón Azure

Body ke zvážení

Při zvažování přizpůsobení implementace archetypů cílových zón Azure v hierarchii zvažte následující body:

  • Přizpůsobení hierarchie není povinné. Výchozí archetypy a hierarchie, které poskytujeme, jsou vhodné pro většinu scénářů.

  • Nevytvovávejte znovu hierarchii organizace, týmy nebo oddělení v archetypech.

  • Vždy se snažte stavět na existujících archetypech a hierarchii, aby splňovaly nové požadavky.

  • Nové archetypy vytvářejte jenom tehdy, když jsou skutečně potřeba.

    Například nový požadavek na dodržování předpisů, jako je PCI, se vyžaduje pouze pro podmnožinu aplikačních úloh a nemusí se vztahovat na všechny úlohy.

  • Nové archetypy vytvářejte pouze ve zvýrazněných oblastech zobrazených v předchozích diagramech.

  • Vyhněte se překročení hloubky hierarchie čtyř vrstev, abyste se vyhnuli složitosti a zbytečným vyloučením. Rozbalte archetypy vodorovně místo svisle v hierarchii.

  • Nevytvovávejte archetypy pro prostředí, jako je vývoj, testování a produkční prostředí.

    Další informace najdete v tématu Jak zpracováváme cílové zóny úloh pro vývoj,testování/produkční prostředí v koncepční architektuře cílových zón Azure?