Überlegungen zu Brownfield-Zielzonen

Bei einer Brownfield-Bereitstellung handelt es sich um eine bestehende Umgebung, die geändert werden muss, um sie an die Zielarchitektur und die bewährten Methoden der Azure-Zielzone anzupassen. Wenn Sie ein Szenario für die Brownfield-Bereitstellung lösen müssen, sollten Sie Ihre bestehende Microsoft Azure-Umgebung als Ausgangspunkt in Betracht ziehen. Dieser Artikel enthält eine Zusammenfassung von Anleitungen, die an anderer Stelle in der Cloud Adoption Framework Ready-Dokumentation zu finden sind. Weitere Informationen finden Sie unter Einführung in die Cloud Adoption Framework Ready-Methodik.

Ressourcenorganisation

In einer Brownfield-Umgebung haben Sie Ihre Azure-Umgebung bereits eingerichtet. Dennoch ist es nie zu spät, bewährte Ressourcenorganisationsprinzipien jetzt anzuwenden und die Umgebung weiter zu entwickeln. Erwägen Sie die Implementierung der folgenden Vorschläge:

• Ziehen Sie Verwaltungsgruppen in Betracht, wenn in Ihrer aktuellen Umgebung keine verwendet werden. Verwaltungsgruppen sind für die abonnementübergreifende Verwaltung von Richtlinien, Zugriff und Compliance im großen Stil wesentlich. Verwaltungsgruppen können bei der Implementierung als Leitlinie dienen.
• Wenn in Ihrer aktuellen Umgebung Verwaltungsgruppen verwendet werden, sollten Sie bei der Bewertung Ihrer Implementierung den Leitfaden in Verwaltungsgruppen berücksichtigen.
• Wenn Sie über vorhandene Abonnements in Ihrer aktuellen Umgebung verfügen, sollten Sie den Leitfaden in Abonnements verwenden, um festzustellen, ob sie effektiv verwendet werden. Abonnements dienen als Richtlinien- und Verwaltungsgrenzen und sind Skalierungseinheiten.
• Wenn Sie über vorhandene Ressourcen in Ihrer aktuellen Umgebung verfügen, sollten Sie den Leitfaden zu Benennung und Tagging verwenden, um Ihre Taggingstrategie und Ihre Benennungskonventionen für zukünftige Entwicklungen zu beeinflussen.
• Bei der Einrichtung und Durchsetzung der Konsistenz in Bezug auf taxonomische Tags ist Azure Policy nützlich.

Sicherheit

Die Optimierung des Sicherheitsstatus Ihrer vorhandenen Azure-Umgebung im Hinblick auf Authentifizierung, Autorisierung und Abrechnung ist ein fortlaufender, iterativer Prozess. Erwägen Sie die Implementierung der folgenden Empfehlungen:

• Nutzen Sie die Top 10 Best Practices für die Azure-Sicherheit von Microsoft. Dieser Leitfaden enthält eine Zusammenfassung von Anleitungen von Microsoft-Cloudlösungsarchitekten (CSAs) sowie Microsoft Partners, die sich im Einsatz bewährt haben.
• Stellen Sie die Microsoft Entra Connect-Cloudsynchronisierung bereit, um Ihren lokalen AD DS-Benutzer*innen (Active Directory Domain Services) das sichere einmalige Anmelden (SSO) bei Ihren Microsoft Entra ID-gestützten Anwendungen zu ermöglichen. Ein weiterer Vorteil der Konfiguration einer Hybrididentität besteht darin, dass Sie die Multi-Faktor-Authentifizierung (MFA) von Microsoft Entra und den Microsoft Entra-Kennwortschutz erzwingen können, um diese Identitäten noch stärker zu schützen.
• Sichere Authentifizierung für Ihre Cloud-Anwendungen und Azure-Ressourcen durch die Verwendung von bedingten Microsoft Entra-Zugriff.
• Implementieren Sie Microsoft Entra Privileged Identity Management, um Zugriff mit geringsten Rechten und umfassende Berichterstellung in Ihrer gesamten Azure-Umgebung sicherzustellen. Teams sollte mit wiederkehrenden Zugriffsüberprüfungen beginnen, um sicherzustellen, dass die richtigen Personen und Dienstprinzipale über aktuelle und korrekte Autorisierungsebenen verfügen. Lesen Sie auch den Cloud Adoption Framework-Leitfaden zur Zugriffssteuerung.
• Verwenden Sie die Empfehlungen, Warnungen und Korrekturfunktionen von Microsoft Defender for Cloud. Ihr Sicherheitsteam kann auch Microsoft Defender for Cloud in Microsoft Sentinel integrieren, wenn sie eine robustere, zentral verwaltete Hybrid- und Multicloud-Lösung für Security Information Event Management (SIEM)/Security Orchestration and Response (SOAR) benötigen.

Governance

Wie die Azure-Sicherheit ist die Azure-Governance kein Vorhaben, das in einem Schritt erledigt werden kann. Vielmehr handelt es sich um einen sich ständig weiterentwickelnden Prozess der Standardisierung und Compliancedurchsetzung. Erwägen Sie die Implementierung der folgenden Kontrollen:

• Lesen Sie unseren Leitfaden zum Einrichten einer Verwaltungsbaseline für Ihre Hybrid- oder Multicloud-Umgebung.
• Implementieren Sie Features für die Microsoft Cost Management wie Abrechnungsbereiche, Budgets und Warnungen, um sicherzustellen, dass Ihre Ausgaben für Azure innerhalb der vorgeschriebenen Grenzen bleiben.
• Verwenden Sie Azure Policy, um Governanceleitlinien für Azure-Bereitstellungen zu erzwingen und Korrekturmaßnahmen auszulösen, um vorhandene Azure-Ressourcen in einen konformen Zustand zu bringen.
• Ziehen Sie die Microsoft Entra-Berechtigungsverwaltung in Betracht, um Azure-Anforderungen, Zugriffszuweisungen, Überprüfungen und den Ablauf zu automatisieren.
• Wenden Sie Azure Advisor-Empfehlungen an, um Kostenoptimierung und operative Exzellenz in Azure sicherzustellen, die beide Kernprinzipien des Microsoft Azure Well-Architected Framework sind.

Netzwerk

Die Umgestaltung einer bereits eingerichteten VNet-Infrastruktur in Azure kann für viele Unternehmen eine schwer zu bewältigende Aufgabe sein. In Anbetracht dessen sollten Sie die folgenden Anleitungen bei Netzwerkentwurf, -implementierung und -wartung berücksichtigen:

• Überprüfen Sie unsere bewährten Methoden zum Planen, Bereitstellen und Verwalten von Azure VNet-Hub-and-Spoke-Topologien.
• Erwägen Sie Azure Virtual Network Manager (Vorschau),, um Sicherheitsregeln für die Netzwerksicherheitsgruppe (NSG) in mehreren VNets zu zentralisieren.
• Azure Virtual WAN vereinheitlicht Netzwerk-, Sicherheits- und Routingfunktionen, um Unternehmen bei der Erstellung von Hybrid-Cloudarchitekturen sicherer und schneller zu unterstützen.
• Implementieren Sie privaten Zugriff auf Azure-Datendienste mit Azure Private Link. Der Private Link-Dienst stellt sicher, dass Ihre Benutzer und Anwendungen mit wichtigen Azure-Diensten mit privaten IP-Adressen über das Azure-Backbonenetzwerk und nicht über das öffentliche Internets kommunizieren.

Nächste Schritte

Nachdem Sie nun eine Übersicht über Erwägungen für Azure Brownfield-Umgebungen erhalten haben, sind auch die folgenden verwandten Ressourcen von Interesse:

• Azure Landing Zones Bicep – Deployment Flow
• Microsoft Well-Architected Framework
• Cloud Adoption Framework-Tools und -Vorlagen