Přizpůsobení architektury cílové zóny Azure tak, aby splňovala požadavky

  • Článek

V rámci pokynů k cílové zóně Azure je k dispozici několik možností referenční implementace:

  • Cílová zóna Azure se službou Azure Virtual WAN
  • Cílová zóna Azure s tradičním centrem a paprskem
  • Základ cílové zóny Azure
  • Cílová zóna Azure pro malé podniky

Tyto možnosti můžou vaší organizaci pomoct rychle začít pomocí konfigurací, které poskytují koncepční architekturu cílové zóny Azure a osvědčené postupy v oblastech návrhu.

Referenční implementace vycházejí z osvědčených postupů a učení týmů Microsoftu z zapojení zákazníků a partnerů. Tato znalost představuje stranu "80" pravidla 80/20. Různé implementace mají postoj k technickým rozhodnutím, která jsou součástí procesu návrhu architektury.

Vzhledem k tomu, že ne všechny případy použití jsou stejné, ne všechny organizace můžou použít přístup implementace přesně tak, jak to bylo zamýšleno. Je potřeba pochopit, co je potřeba vzít v úvahu, když je identifikován požadavek na přizpůsobení.

Co je archetyp cílové zóny v cílových zónách Azure?

Archetyp cílové zóny popisuje, co je potřeba splnit, aby cílová zóna (předplatné Azure) splňovala očekávané požadavky na prostředí a dodržování předpisů v určitém rozsahu. Příkladem může být:

  • Přiřazení azure Policy
  • Přiřazení řízení přístupu na základě role (RBAC).
  • Centrálně spravované prostředky, jako jsou sítě.

Zvažte každou skupinu pro správu v hierarchii prostředků jako příspěvek k konečnému výstupu archetypu cílové zóny, protože dědičnost zásad funguje v Azure. Při návrhu nižších úrovní zamyslete nad tím, co se použije na vyšších úrovních hierarchie prostředků.

Mezi skupinami pro správu a archetypy cílových zón existuje blízký vztah, ale samotná skupina pro správu není archetyp cílové zóny. Místo toho tvoří součást architektury, která se používá k implementaci jednotlivých archetypů cílových zón ve vašem prostředí.

Tento vztah můžete zobrazit v koncepční architektuře cílové zóny Azure. Přiřazení zásad se vytvářejí v zprostředkující kořenové skupině pro správu, například Contoso, pro nastavení, která se musí vztahovat na všechny úlohy. Více přiřazení zásad se vytváří na nižších úrovních hierarchie pro konkrétnější požadavky.

Umístění předplatného v hierarchii skupin pro správu určuje výslednou sadu přiřazení Azure Policy a řízení přístupu (IAM), která jsou zděděna, použita a vynucována pro danou cílovou zónu (předplatné Azure).

Aby cílové zóny měly požadované centrálně spravované prostředky, může být potřeba více procesů a nástrojů. Mezi některé příklady patří:

  • Nastavení diagnostiky pro odesílání dat protokolu aktivit do pracovního prostoru služby Log Analytics
  • Nastavení průběžného exportu pro Microsoft Defender for Cloud
  • Virtuální síť se spravovanými adresními prostory IP adres pro úlohy aplikací
  • Propojení virtuálních sítí s distribuovanou službou DDoS (Denial of Service) Network Protection

Poznámka:

V referenčních implementacích cílové zóny Azure se k nasazení některých předchozích prostředků používají zásady Azure s DeployIfNotExists efekty a Modifyefekty . Řídí se zásadou návrhu zásad správného řízení .

Další informace najdete v tématu Přijetí mantinely řízené zásadami.

Integrované archetypy pro koncepční architekturu cílové zóny Azure

Koncepční architektura zahrnuje příklady archetypů cílových zón pro aplikační úlohy, jako je corp a online. Tyto archetypy se můžou vztahovat na vaši organizaci a splňovat vaše požadavky. Tyto archetypy můžete chtít změnit nebo vytvořit nové. Vaše rozhodnutí závisí na potřebách a požadavcích vaší organizace.

Tip

Pokud chcete zkontrolovat archetypy cílových zón v akcelerátoru cílových zón Azure, projděte si skupiny pro správu v akcelerátoru cílových zón Azure.

Můžete také chtít vytvořit změny jinde v hierarchii prostředků. Při plánování hierarchie pro implementaci cílových zón Azure pro vaši organizaci postupujte podle pokynů v oblastech návrhu.

Následující příklady archetypu cílové zóny z koncepční architektury vám pomůžou porozumět jejich účelu a zamýšlenému použití:

Archetyp cílové zóny (skupina pro správu) Účel nebo použití
Corp Vyhrazená skupina pro správu pro podnikové cílové zóny. Tato skupina je určená pro úlohy, které vyžadují připojení nebo hybridní připojení k podnikové síti prostřednictvím centra v předplatném připojení.
Online Vyhrazená skupina pro správu pro online cílové zóny. Tato skupina je určená pro úlohy, které můžou vyžadovat přímé připojení k internetu pro příchozí a odchozí spojení nebo pro úlohy, které nemusí vyžadovat virtuální síť.
Izolovaný prostor (sandbox) Vyhrazená skupina pro správu pro předplatná, která se budou používat jenom k testování a zkoumání organizací. Tato předplatná se bezpečně odpojí od firemních a online cílových zón. Sandboxy mají také méně omezující sadu zásad přiřazených k povolení testování, zkoumání a konfigurace služeb Azure.

Scénáře, kdy se může vyžadovat přizpůsobení

Jak už jsme zmínili, poskytujeme společné archetypy cílových zón v koncepční architektuře cílové zóny Azure. Jsou corp a online. Tyto archetypy nejsou pevné a nejsou jedinými povolenými archetypy cílových zón pro úlohy aplikací. Možná budete muset přizpůsobit archetypy cílových zón tak, aby vyhovovaly vašim potřebám a požadavkům.

Než přizpůsobíte archetypy cílových zón, je důležité porozumět konceptům a také vizualizovat oblast hierarchie, kterou doporučujeme přizpůsobit. Následující diagram znázorňuje výchozí hierarchii koncepční architektury cílové zóny Azure.

Diagram that shows Azure landing zone default hierarchy with tailoring areas highlighted.

Jsou zvýrazněny dvě oblasti hierarchie. Jedna je pod cílovými zónami a druhá je pod platformou.

Přizpůsobení archetypů cílové zóny aplikace

Všimněte si modré oblasti pod skupinou pro správu cílových zón . Nejobvyklejším a nejbezpečnějším místem v hierarchii je přidání dalších archetypů pro splnění nových nebo více požadavků, které není možné přidat jako další přiřazení zásad k existujícímu archetypu pomocí existující hierarchie.

Můžete mít například nový požadavek na hostování sady aplikačních úloh, které potřebují splnit požadavky na dodržování předpisů v odvětví platebních karet (PCI). Tento nový požadavek se ale nemusí vztahovat na všechny úlohy v rámci celého majetku.

Existuje jednoduchý a bezpečný způsob, jak tento nový požadavek splnit. Vytvořte novou skupinu pro správu s názvem PCI pod skupinou pro správu cílových zón v hierarchii. Nové skupině pro správu PCI v3.2.1:2018 můžete přiřadit další zásady, jako je iniciativa zásad dodržování právních předpisů v programu Microsoft Defender for Cloud. Tato akce tvoří nový archetyp.

Teď můžete umístit nová nebo přesunout stávající předplatná Azure do nové skupiny pro správu PCI , aby dědila požadované zásady a vytvořila nový archetyp.

Dalším příkladem je Microsoft Cloud for Sovereignty, který přidává skupiny pro správu pro důvěrné výpočetní prostředky a je sladěný pro použití v regulovaných odvětvích. Microsoft Cloud for Sovereignty poskytuje nástroje, pokyny a mantinely pro přijetí veřejného cloudu s příslušnými kontrolními mechanismy suverenity.

Tip

Potřebujete vědět, co vzít v úvahu a co se stane, když přesunete předplatná Azure mezi skupinami pro správu ve vztahu k RBAC a Azure Policy. Další informace najdete v tématu Přechod stávajících prostředí Azure na koncepční architekturu cílové zóny Azure.

Přizpůsobení archetypů cílových zón platformy

Můžete také chtít přizpůsobit oblast zvýrazněnou oranžovou pod skupinou pro správu platformy . Zóny v této oblasti se označují jako cílové zóny platformy.

Můžete mít například vyhrazený tým SOC, který k hostování úloh vyžaduje vlastní archetyp. Tyto úlohy musí splňovat požadavky na přiřazení Azure Policy a RBAC, které se liší od požadavků skupiny pro správu.

Vytvořte novou skupinu pro správu zabezpečení pod skupinou pro správu platformy v hierarchii. Můžete mu přiřadit požadovaná přiřazení Azure Policy a RBAC.

Teď můžete do nové skupiny pro správu zabezpečení umístit nová nebo přesunout existující předplatná Azure, aby dědila požadované zásady a vytvořila nový archetyp.

Příklad přizpůsobené hierarchie cílových zón Azure

Následující diagram znázorňuje přizpůsobenou hierarchii cílových zón Azure. Používá příklady z předchozího diagramu.

Diagram that shows a tailored Azure landing zone hierarchy.

Body ke zvážení

Při zvažování přizpůsobení implementace archetypů cílových zón Azure v hierarchii zvažte následující body:

  • Přizpůsobení hierarchie není povinné. Výchozí archetypy a hierarchie, které poskytujeme, jsou vhodné pro většinu scénářů.

  • Nevytvávejte znovu hierarchii organizace, týmy ani oddělení v archetypech.

  • Vždy se snažte stavět na existujících archetypech a hierarchii, aby splňovaly nové požadavky.

  • Vytvářet nové archetypy jen tehdy, když jsou skutečně potřeba.

    Například nový požadavek na dodržování předpisů, jako je PCI, se vyžaduje jenom pro podmnožinu aplikačních úloh a nemusí se vztahovat na všechny úlohy.

  • Ve zvýrazněných oblastech zobrazených v předchozích diagramech vytvořte pouze nové archetypy.

  • Vyhněte se překročení hloubky hierarchie čtyř vrstev, abyste se vyhnuli složitosti a zbytečným vyloučením. Rozšiřte archetypy vodorovně místo svisle v hierarchii.

  • Nevytvávejte archetypy pro prostředí, jako je vývoj, testování a produkce.

    Další informace najdete v tématu Jak v koncepční architektuře cílových zón Azure zpracováváme cílové zóny úloh pro vývoj,testování a produkční prostředí?

  • Pokud pochází z prostředí brownfieldu nebo hledáte přístup k hostování předplatných ve skupině pro správu cílových zón se zásadami v režimu vynucení jen pro audit, projděte si scénář: Přechod prostředí duplikováním skupiny pro správu cílové zóny.