Conceptos de SLZ
Este artículo explica los diversos conceptos asociados con una Zona de Aterrizaje Soberano (SLZ).
Métodos de implementación y configuración para una SLZ
Para las organizaciones que desean agilizar la adopción, pueden configurar una SLZ desde un solo archivo de parámetros e implementarla ejecutando un script singular. El archivo de parámetros y su orquestación de implementación asociada proporcionan coherencia dentro del entorno a través de pasos como el uso de una convención de nomenclatura común para los recursos y la estandarización dentro del entorno. Este diseño permite a una organización comenzar rápidamente con una SLZ sin tener que consultar muchos pasos de implementación manual y diversas documentaciones.
Cuando las organizaciones necesitan demostrar la separación de funciones y el cumplimiento de los privilegios mínimos, pueden configurar una SLZ a partir de uno o más archivos de parámetros. Las organizaciones pueden dividir la implementación en pasos individuales según áreas funcionales. Por ejemplo, el equipo que proporciona suscripciones y configura grupos de administración puede hacerlo como una actividad de implementación y al mismo tiempo permitir que un equipo separado administre las directivas y el cumplimiento en estos ámbitos. Estos pasos de implementación individuales requieren coordinación pero permiten una experiencia de implementación más granular.
Para obtener más información sobre cómo implementar inicialmente toda la SLZ a la vez o cómo utilizar pasos de implementación individuales, consulte la documentación Zona de aterrizaje soberano en GitHub.
Personalizaciones avanzadas para la SLZ
El archivo de parámetros SLZ ayuda a una organización a configurar completamente su implementación y garantizar la coherencia en todas las partes del entorno. Las organizaciones deben revisar las opciones de configuración para determinar la configuración adecuada para su implementación.
Sin embargo, el archivo de parámetros SLZ no puede proporcionar opciones de configuración completas para cada configuración posible que un cliente pueda desear tener. En el caso de que se necesiten más capacidades, recomendamos las siguientes opciones:
Solicite nuevas capacidades de configuración a través de una solicitud de función. Recomendamos solicitar estas nuevas capacidades al abordar desafíos comunes o de propósito general.
Realice personalizaciones después de la implementación de SLZ. Se recomiendan pasos posteriores a la implementación cuando las organizaciones necesitan colocar más controles o crear recursos adicionales antes de otorgar permisos a los propietarios de cargas de trabajo para usar el entorno.
Bifurque y mantenga una copia local del repositorio SLZ. Recomendamos utilizar esta opción para organizaciones que necesitan un control completo de la configuración de su entorno o requieren que sus controles de seguridad estén integrados en el entorno.
Usar directivas personalizadas
Las directivas de Azure están destinadas a proporcionar visibilidad adecuada y barreras técnicas para garantizar que se mantenga una postura de cumplimiento. Para muchas organizaciones, es fundamental que estas directivas se integren en el entorno antes de implementar cargas de trabajo. La orquestación SLZ proporciona la capacidad de crear e implementar definiciones y asignaciones de políticas personalizadas junto con una implementación SLZ y en ámbitos específicos dentro de la implementación. La orquestación proporciona a las organizaciones la confianza de que sus requisitos de cumplimiento únicos están implementados desde el principio. Las organizaciones que no necesitan directivas personalizadas también pueden utilizar la orquestación para asignar conjuntos de directivas integradas.
Nuestra documentación sobre conjuntos de directivas de vista previa dentro de la cartera de directivas contiene más información sobre cómo utilizar directivas personalizadas dentro de una SLZ.
Minimizar costes para los pilotos
Al poner a prueba o realizar una prueba de concepto, es importante ser consciente de las implicaciones de costos. La configuración predeterminada para SLZ crea una implementación lista para producción, lo que podría tener un costo prohibitivo para las organizaciones que aún no están listas para producción. La orquestación SLZ proporciona alternancia para muchos recursos y las organizaciones deben determinar cuáles son necesarios para su implementación.
Recomendamos revisar las siguientes ofertas de productos:
Azure DDoS Protection: recomendamos el SKU estándar debido a sus mayores capacidades en torno a la configuración del tráfico, la corrección y la visibilidad de los eventos DDoS. Sin embargo, puede utilizar el SKU básico para entornos que no son de producción.
Azure Firewall: Azure Firewall permite a las organizaciones crear una seguridad de red sólida en torno a su implementación SLZ. Sin embargo, las organizaciones pueden encontrar otros recursos de redes de Azure como tecnologías adecuadas para crear seguridad en entornos que no son de producción.
Azure VPN Gateway: las ofertas Azure VPN Gateway y ExpressRoute permiten a una organización conectar sus entornos local a Azure. Sin embargo, es posible que las organizaciones no necesiten entornos que no sean de producción para tener este tipo de conectividad de red y, en su lugar, pueden usar Azure Bastion u otras tecnologías de acceso.