Considérations relatives aux zones d'atterrissage Brownfield

Un déploiement « sur friche » (brownfield) est un environnement existant qui nécessite des modifications pour s’aligner sur l’architecture cible et les bonnes pratiques des zones d’atterrissage Azure. Quand vous devez résoudre un scénario de déploiement « sur friche », considérez votre environnement Microsoft Azure existant comme le point de départ. Cet article récapitule les conseils disponibles ailleurs dans la documentation du Cloud Adoption Framework Ready. Pour plus d’informations, consultez Présentation de la méthodologie du Cloud Adoption Framework Ready.

Organisation des ressources

Dans un environnement brownfield, vous avez déjà établi votre environnement Azure. Néanmoins, il n’est jamais trop tard pour appliquer des principes d’organisation des ressources éprouvés, dès maintenant et à l’avenir. Envisagez d’implémenter l’une des suggestions suivantes :

• Si votre environnement actuel n’utilise pas de groupes d’administration, envisagez cette possibilité. Les groupes d’administration sont essentiels pour la gestion des stratégies, des accès et de la conformité entre les différents abonnements à grande échelle. Les groupes d’administration peuvent vous guider dans votre implémentation.
• Si votre environnement actuel utilise déjà des groupes d’administration, envisagez d’utiliser les conseils sur les groupes d’administration lors de l’évaluation de votre implémentation.
• Si vous avez des abonnements existants dans votre environnement actuel, envisagez d’utiliser les conseils sur les abonnements pour voir si vous les utilisez efficacement. Les abonnements agissent comme des limites de stratégie et de gestion et sont des unités d’échelle.
• Si vous disposez de ressources existantes dans votre environnement actuel, envisagez d’utiliser les conseils de nommage et de balisage pour influencer votre stratégie de balisage et vos conventions d’affectation de noms à l’avenir.
• Azure Policy est utile pour établir et appliquer la cohérence en ce qui concerne les étiquettes taxonomiques.

Sécurité

Pour optimiser la posture de sécurité de votre environnement Azure existant en ce qui concerne l’authentification, l’autorisation et la comptabilité est un processus itératif et permanent. Envisagez d’implémenter les recommandations suivantes :

• Utilisez les 10 meilleures pratiques de sécurité Azure de Microsoft. Ce guide récapitule les conseils éprouvés élaborés par les architectes de solutions cloud Microsoft et les partenaires Microsoft.
• Déployez la synchronisation cloud Microsoft Entra Connect pour fournir à vos utilisateurs locaux Active Directory Domain Services (AD DS) l’authentification unique sécurisée sur vos applications basées sur Microsoft Entra ID. Un avantage supplémentaire de la configuration de l’identité hybride est que vous pouvez appliquer l’authentification multifacteur Microsoft Entra (MFA) et la protection par mot de passe Microsoft Entra pour protéger davantage ces identités
• Envisagez l’accès conditionnel Microsoft Entra pour fournir une authentification sécurisée à vos applications cloud et ressources Azure.
• Implémentez Microsoft Entra Privileged Identity Management pour garantir l’accès avec privilèges minimum et les rapports approfondis dans l’ensemble de votre environnement Azure. Les équipes doivent entreprendre des examens d'accès récurrents pour s'assurer que les bonnes personnes et les bons principes de service disposent de niveaux d'autorisation actuels et corrects. Étudiez également les conseils sur le contrôle d’accès du Cloud Adoption Framework.
• Utilisez les fonctionnalités de recommandations, d’alerte et de correction de Microsoft Defender pour le cloud. Votre équipe de sécurité peut également intégrer Microsoft Defender pour le Cloud dans Microsoft Sentinel si elle a besoin d’une solution SIEM (Security Information Event Management) hybride et multicloud plus robuste et centralisée/SOAR (Security Orchestration and Response).

Gouvernance

Comme la sécurité Azure, la gouvernance Azure n’est pas une proposition à appliquer ponctuellement. C’est au lieu de cela un processus en constante évolution de standardisation et d’application de la conformité. Envisagez d’implémenter les contrôles suivants :

• Passez en revue nos conseils pour établir une base de référence de gestion pour votre environnement hybride ou multicloud
• Implémentez des fonctionnalités Azure Cost Management + Billing telles que les étendues de facturation, les budgets et les alertes pour garantir que vos dépenses Azure restent dans les limites prescrites
• Utilisez Azure Policy pour appliquer des garde-fous de gouvernance sur les déploiements Azure et déclencher des tâches de correction pour mettre les ressources Azure existantes dans un état conforme
• Envisagez la gestion des droits d’utilisation Microsoft Entra pour automatiser les requêtes Azure, les affectations d’accès, les révisions et l’expiration
• Appliquez les recommandations d’Azure Advisor pour garantir l’optimisation des coûts et l’excellence opérationnelle dans Azure, qui sont tous deux des principes fondamentaux de Microsoft Azure Well-Architected Framework.

Mise en réseau

Il est vrai que la refactorisation d’une infrastructure de réseau virtuel (VNet) Azure déjà établie peut être un puissant levier pour de nombreuses entreprises. Ceci dit, envisagez d’incorporer les conseils suivants dans vos efforts de conception, d’implémentation et de maintenance du réseau :

• Passez en revue nos meilleures pratiques en matière de planification, de déploiement et de maintenance des topologies de réseau en étoile Azure VNet
• Envisagez Azure Virtual Network Manager (préversion) pour centraliser les règles de sécurité du groupe de sécurité réseau (NSG) sur plusieurs réseaux virtuels
• Azure Virtual WAN unifie les réseaux, la sécurité et le routage pour aider les entreprises à créer des architectures cloud hybrides plus sécurisées et plus rapides.
• Accédez aux services de données Azure en privé avec Azure Private Link. Le service Private Link garantit que vos utilisateurs et applications communiquent avec les services Azure clés à l’aide du réseau principal Azure et des adresses IP privées au lieu de l’Internet public

Étapes suivantes

Maintenant que vous avez une vue d’ensemble des considérations relatives à l’environnement Azure Brownfield, voici quelques ressources connexes à examiner :

• Zones d’atterrissage Azure Bicep - Flux de déploiement
• Microsoft Well-Architected Framework
• Outils et modèles Cloud Adoption Framework