Concepts SLZ
Cet article explique les divers concepts associés à une zone d’atterrissage souveraine (SLZ).
Méthodes de déploiement et de configuration d’une SLZ
Pour les organisations qui souhaitent rationaliser l’adoption, elles peuvent configurer une SLZ à partir d’un fichier de paramètres unique et la déployer en exécutant un script unique. Le fichier de paramètre et son orchestration du déploiement associée assurent la cohérence au sein de l’environnement par le biais de méthodes, par exemple en utilisant une convention de dénomination courante pour les ressources et la standardisation au sein de l’environnement. Cette conception permet à une organisation de commencer rapidement à utiliser une SLZ sans avoir à référencer de nombreuses étapes de déploiement manuelles et diverses sources de documentation.
Lorsque les organisations doivent démontrer la séparation des tâches et le respect des privilèges minimum, elles peuvent configurer une SLZ à partir d’un ou plusieurs fichiers de paramètres. Les organisations peuvent diviser le déploiement en étapes individuelles en fonction des domaines fonctionnels. Par exemple, l’équipe qui fournit les abonnements et configure les groupes de gestion peut le faire dans le cadre d’une seule activité de déploiement tout en permettant à une équipe distincte de gérer les stratégies et la conformité dans ces champs d’application. Ces étapes de déploiement individuelles nécessitent une coordination mais permettent une expérience de déploiement plus granulaire.
Pour plus d’informations sur le déploiement initial de toute la SLZ en une seule fois ou sur l’utilisation d’étapes de déploiement individuelles, consultez la documentation Zone d’atterrissage souveraine sur GitHub.
Personnalisations avancées de la SLZ
Le fichier de paramètres SLZ aide une organisation en configurant entièrement son déploiement et en garantissant la cohérence dans toutes les parties de l’environnement. Les organisations doivent examiner les options de configuration pour déterminer les paramètres appropriés pour leur déploiement.
Cependant, le fichier de paramètres SLZ ne peut pas fournir des options de configuration complètes pour tous les paramètres possibles qu’un client souhaite avoir. Dans le cas où davantage de fonctionnalités sont nécessaires, nous recommandons les options suivantes :
Demandez de nouvelles fonctionnalités de configuration via une demande de fonctionnalité. Nous vous recommandons de demander ces nouvelles fonctionnalités lorsque vous êtes confronté à des défis courants ou d’ordre général.
Effectuez des personnalisations après le déploiement de la SLZ. Les étapes postérieures au déploiement sont recommandées lorsque les organisations doivent mettre en place davantage de contrôles ou créer des ressources supplémentaires avant de fournir des autorisations aux propriétaires de charges de travail pour utiliser l’environnement.
Créez et maintenez une copie locale du référentiel SLZ. Nous recommandons d’utiliser cette option pour les organisations qui ont besoin d’un contrôle complet de la configuration de leur environnement ou qui exigent que leurs contrôles de sécurité soient intégrés dans l’environnement.
Utiliser des stratégies personnalisées
Les stratégies Azure sont destinées à fournir une visibilité appropriée et des protections techniques pour garantir le maintien d’une posture de conformité. Pour de nombreuses organisations, il est essentiel que ces stratégies soient intégrées dans l’environnement avant le déploiement des charges de travail. L’orchestration SLZ offre la possibilité de créer et de déployer des définitions et des attributions de stratégies personnalisées parallèlement à un déploiement SLZ et dans des portées spécifiées au sein du déploiement. L’orchestration donne aux organisations l’assurance que leurs exigences de conformité uniques sont en place dès le départ. Les organisations qui n’ont pas besoin de stratégies personnalisées peuvent également utiliser l’orchestration pour attribuer des ensembles de stratégies intégrés.
Notre documentation sur les ensembles de stratégies en version préliminaire dans le Portefeuille de stratégies contient davantage d’informations sur la manière d’utiliser des stratégies personnalisées dans une SLZ.
Réduire les coûts pour les pilotes
Lors du pilotage ou de la réalisation d’une démonstration de faisabilité, il est important d’être conscient des implications financières. Les paramètres par défaut de la SLZ créent un déploiement prêt pour la production, ce qui pourrait s’avérer prohibitif pour les organisations qui ne sont pas encore prêtes pour la production. L’orchestration SLZ fournit des alternatives pour de nombreuses ressources, et les organisations doivent déterminer celles qui sont nécessaires à leur déploiement.
Nous vous recommandons d’examiner les offres de produit suivantes :
Azure DDoS Protection : nous recommandons le SKU standard en raison de ses fonctionnalités améliorées pour la gestion du trafic, la correction et la visibilité des événements DDoS. Cependant, vous pouvez utiliser le SKU de base pour les environnements hors production.
Pare-feu Azure : le pare-feu Azure permet aux organisations de créer une sécurité réseau solide autour de leur déploiement SLZ. Cependant, les organisations peuvent trouver d’autres ressources réseau Azure comme technologies appropriées pour renforcer la sécurité autour des environnements hors production.
Azure VPN Gateway : les offres Azure VPN Gateway et ExpressRoute permettent à une organisation de connecter ses environnements locaux à Azure. Toutefois, les organisations n’ont peut-être pas besoin d’environnements hors production pour avoir ce type de connectivité réseau et peuvent utiliser Azure Bastion ou d’autres technologies d’accès à la place.