Megosztás a következőn keresztül:

Az Azure célzóna architektúrájának testreszabása a követelményeknek megfelelően

  • Cikk

Az Azure-beli célzóna-útmutató részeként számos referencia-megvalósítási lehetőség érhető el:

  • Azure-beli kezdőzóna az Azure Virtual WAN használatával
  • Azure-beli célzóna hagyományos központtal és küllővel
  • Az Azure kezdőzóna alaprendszere
  • Azure-beli célzóna kisvállalkozásoknak

Ezek a lehetőségek segíthetnek a szervezetnek a gyors kezdésben az Azure-beli célzóna elméleti architektúráját és a tervezési területeken ajánlott eljárásokat biztosító konfigurációkkal.

A referencia-implementációk a Microsoft-csapatok ajánlott eljárásain és az ügyfelekkel és partnerekkel való együttműködésből származó tanuláson alapulnak. Ez a tudás a 80/20 szabály "80" oldalát jelöli. A különböző implementációk az architektúratervezési folyamat részét képező műszaki döntésekre vonatkozó álláspontokat fogadnak el.

Mivel nem minden használati eset azonos, nem minden szervezet használhatja a megvalósítási megközelítést a kívánt módon. Tisztában kell lenni azzal, hogy milyen szempontokat kell figyelembe vennie a testre szabás követelményének azonosításakor.

Mi a célzóna archetípusa az Azure-beli célzónákban?

A célzóna archetípusa azt írja le, hogy minek kell igaznak lennie ahhoz, hogy a célzóna (Azure-előfizetés) megfeleljen a várt környezetnek és megfelelőségi követelményeknek egy adott hatókörben. Ide sorolhatóak például a kövekezők:

  • Azure Policy-hozzárendelések.
  • Szerepköralapú hozzáférés-vezérlési (RBAC-) hozzárendelések.
  • Központilag felügyelt erőforrások, például hálózatkezelés.

Vegye figyelembe az erőforráshierarchia minden felügyeleti csoportját, hogy hozzájáruljon a végső kezdőzóna archetípus-kimenetéhez, mivel a szabályzatöröklés az Azure-ban működik. Gondolja át, hogy mi alkalmazható az erőforrás-hierarchia felső szintjein az alacsonyabb szintek tervezésekor.

Szoros kapcsolat áll fenn a felügyeleti csoportok és a célzóna archetípusai között, de egy felügyeleti csoport önmagában nem egy kezdőzóna-archetípus. Ehelyett annak a keretrendszernek a részét képezi, amely a kezdőzóna egyes archetípusainak implementálásához használatos a környezetben.

Ezt a kapcsolatot az Azure célzóna fogalmi architektúrájában tekintheti meg. A szabályzat-hozzárendelések a köztes gyökérszintű felügyeleti csoportban (például Contoso) jönnek létre az összes számítási feladatra vonatkozó beállításokhoz. További szabályzat-hozzárendelések jönnek létre a hierarchia alacsonyabb szintjein a konkrétabb követelmények érdekében.

A felügyeleti csoport hierarchiájában az előfizetések elhelyezése határozza meg az Azure Policy- és hozzáférés-vezérlési (IAM-) hozzárendelések eredő készletét, amelyek öröklődnek, alkalmazva és kényszerítve vannak az adott kezdőzónára (Azure-előfizetés).

További folyamatokra és eszközökre lehet szükség annak biztosításához, hogy a célzónák rendelkezzenek a szükséges központilag felügyelt erőforrásokkal. Néhány példa:

  • Diagnosztikai beállítások tevékenységnapló-adatok Log Analytics-munkaterületre való küldéséhez.
  • A Felhőhöz készült Microsoft Defender folyamatos exportálási beállításai.
  • Virtuális hálózat felügyelt IP-címterekkel az alkalmazás számítási feladataihoz.
  • Virtuális hálózatok összekapcsolása elosztott szolgáltatásmegtagadási (DDoS) hálózatvédelemmel.

Feljegyzés

Az Azure-beli kezdőzóna referencia-implementációiban az azure-szabályzatok és Modifyazok DeployIfNotExists hatásai az előző erőforrások némelyikének üzembe helyezésére szolgálnak. A szabályzatalapú szabályozási tervezési elvet követik.

További információ: Szabályzatalapú védőkorlátok bevezetése.

Az Azure-beli célzóna elméleti architektúrájának beépített archetípusai

A fogalmi architektúra például a kezdőzóna archetípusait tartalmazza az olyan alkalmazás-számítási feladatokhoz, mint a corp és az online. Ezek az archetípusok vonatkozhatnak a szervezetre, és megfelelnek a követelményeknek. Érdemes lehet módosítani ezeket az archetípusokat, vagy újakat létrehozni. A döntés a szervezet igényeitől és követelményeitől függ.

Tipp.

Az Azure-beli célzónagyorsító célzóna-archetípusainak áttekintéséhez tekintse át az Azure-beli célzónagyorsító felügyeleti csoportjait.

Előfordulhat, hogy az erőforráshierarchiában máshol is szeretne módosításokat létrehozni. Amikor megtervezi a szervezet Azure-beli célzónák implementálásának hierarchiáját, kövesse a tervezési területekre vonatkozó irányelveket.

A fogalmi architektúra következő kezdőzóna-archetípus-példái segítenek megérteni a céljukat és a rendeltetésüket:

Kezdőzóna archetípusa (felügyeleti csoport) Rendeltetés vagy felhasználás
Corp A vállalati célzónák dedikált felügyeleti csoportja. Ez a csoport olyan számítási feladatokhoz készült, amelyek a kapcsolati előfizetésben lévő központon keresztül kapcsolatot vagy hibrid kapcsolatot igényelnek a vállalati hálózattal.
Online Az online célzónák dedikált felügyeleti csoportja. Ez a csoport olyan számítási feladatokhoz készült, amelyek közvetlen internetes bejövő/kimenő kapcsolatot igényelhetnek, vagy olyan számítási feladatokhoz, amelyekhez nem szükséges virtuális hálózat.
Tesztkörnyezet Az előfizetések dedikált felügyeleti csoportja, amelyet csak egy szervezet fog tesztelni és feltárni. Ezek az előfizetések biztonságosan le lesznek választva a vállalati és online kezdőzónákról. A tesztkörnyezetek emellett kevésbé korlátozó szabályzatokkal rendelkeznek az Azure-szolgáltatások tesztelésének, feltárásának és konfigurálásának engedélyezéséhez.

Olyan forgatókönyvek, ahol szükség lehet a testreszabásra

Ahogy már említettük, az Azure-beli célzóna fogalmi architektúrájában gyakori kezdőzóna-archetípusokat biztosítunk. Ők corp és online. Ezek az archetípusok nincsenek javítva, és nem az egyetlen engedélyezett kezdőzóna-archetípus az alkalmazás-számítási feladatokhoz. Előfordulhat, hogy a célzóna archetípusait az igényeinek és igényeinek megfelelően kell testre szabnia.

Mielőtt testre szabná a kezdőzóna archetípusait, fontos tisztában lenni a fogalmakkal, és megjeleníteni a hierarchia azon területét, amelyet javasoljuk, hogy testre szabjon. Az alábbi ábra az Azure-beli célzóna elméleti architektúrájának alapértelmezett hierarchiáját mutatja be.

Diagram that shows Azure landing zone default hierarchy with tailoring areas highlighted.

A hierarchia két területe van kiemelve. Az egyik a célzónák alatt, a másik pedig a Platform alatt található.

Az alkalmazás kezdőzónájának archetípusainak testreszabása

Figyelje meg a kék színnel kiemelt területet a kezdőzónák felügyeleti csoportja alatt. A hierarchia leggyakoribb és legbiztonságosabb helye, ha több archetípust ad hozzá, hogy megfeleljen azoknak az új vagy több követelményeknek, amelyeket nem lehet több szabályzat-hozzárendelésként hozzáadni egy meglévő archetípushoz a meglévő hierarchia használatával.

Előfordulhat például, hogy új követelménye van a fizetésikártya-iparág (PCI) megfelelőségi követelményeinek teljesítéséhez szükséges alkalmazásterhelések üzemeltetéséhez. Ennek az új követelménynek azonban nem kell az összes számítási feladatra vonatkoznia a teljes tulajdonban.

Ennek az új követelménynek egy egyszerű és biztonságos módja van. Hozzon létre egy ÚJ, PCI nevű felügyeleti csoportot a hierarchiában lévő Kezdőzónák felügyeleti csoport alatt. A PCI 3.2.1:2018-hoz készült Felhőhöz készült Microsoft Defender szabályozási megfelelőségi szabályzat kezdeményezéséhez hasonló további szabályzatokat rendelhet hozzá az új PCI felügyeleti csoporthoz. Ez a művelet új archetípust alkot.

Most új vagy meglévő Azure-előfizetéseket helyezhet át az új PCI felügyeleti csoportba, hogy örökölje a szükséges szabályzatokat, és létrehozhassa az új archetípust.

Egy másik példa a Microsoft Cloud for Sovereignty, amely felügyeleti csoportokat ad hozzá a bizalmas számításokhoz, és a szabályozott iparágakban való használatra van igazítva. A Microsoft Cloud for Sovereignty megfelelő szuverenitási vezérlőkkel biztosít eszközöket, útmutatást és védőkorlátokat a nyilvános felhőbevezetéshez.

Tipp.

Tudnia kell, hogy mit kell figyelembe vennie, és mi történik, ha az Azure-előfizetéseket felügyeleti csoportok között helyezi át az RBAC-hez és az Azure Policyhoz képest. További információ: Meglévő Azure-környezetek áttűnése az Azure-beli célzóna fogalmi architektúrájába.

Platform kezdőzónájának archetípusainak testreszabása

Érdemes lehet a platformfelügyeleti csoport alatt narancssárga színnel kiemelt területet is testre szabni. Az ezen a területen lévő zónákat platform-kezdőzónáknak nevezzük.

Előfordulhat például, hogy van egy dedikált SOC-csapata, amely saját archetípust igényel a számítási feladatok üzemeltetéséhez. Ezeknek a számítási feladatoknak meg kell felelniük az Azure Policy és az RBAC hozzárendelési követelményeinek, amelyek eltérnek a felügyeleti felügyeleti csoport követelményeitől.

Hozzon létre egy új biztonsági felügyeleti csoportot a platformfelügyeleti csoport alatt a hierarchiában. A szükséges Azure Policy- és RBAC-hozzárendeléseket hozzárendelheti hozzá.

Most új vagy meglévő Azure-előfizetéseket helyezhet át az új biztonsági felügyeleti csoportba, hogy örökölje a szükséges szabályzatokat, és létrehozhassa az új archetípust.

Példa egy testre szabott Azure-beli célzóna-hierarchiára

Az alábbi ábra egy testre szabott Azure-beli célzóna-hierarchiát mutat be. Az előző diagramból származó példákat használ.

Diagram that shows a tailored Azure landing zone hierarchy.

Megfontolandó szempontok

Vegye figyelembe a következő szempontokat, amikor az Azure-beli kezdőzóna archetípusainak a hierarchiában való implementálásán gondolkodik:

  • A hierarchia testreszabása nem kötelező. Az általunk biztosított alapértelmezett archetípusok és hierarchia a legtöbb forgatókönyvhez megfelelőek.

  • Ne hozza létre újra a szervezeti hierarchiát, a csapatokat vagy a részlegeket archetípusokban.

  • Mindig próbáljon meg a meglévő archetípusokra és hierarchiára építeni, hogy megfeleljen az új követelményeknek.

  • Csak akkor hozzon létre új archetípusokat, ha valóban szükség van rájuk.

    Például egy új megfelelőségi követelmény, például a PCI csak az alkalmazás számítási feladatainak egy részhalmazához szükséges, és nem kell minden számítási feladatra vonatkoznia.

  • Csak az előző diagramokon látható kiemelt területeken hozzon létre új archetípusokat.

  • Az összetettség és a szükségtelen kizárások elkerülése érdekében kerülje a négy rétegből álló hierarchiamélység túllépését. Az archetípusokat vízszintesen bontsa ki a hierarchia függőleges helyett.

  • Ne hozzon létre archetípusokat olyan környezetekhez, mint a fejlesztés, a tesztelés és az éles környezet.

    További információ: Hogyan kezeljük a fejlesztési/tesztelési/éles számítási feladatok kezdőzónáját az Azure-beli célzónák elméleti architektúrájában?

  • Ha barnamezős környezetből származik, vagy olyan megközelítést keres, amellyel előfizetéseket üzemeltethet a kezdőzónák felügyeleti csoportjában olyan szabályzatokkal, amelyek "csak naplózási" kényszerítési módban vannak, tekintse át a forgatókönyvet: Környezet váltása egy kezdőzóna-felügyeleti csoport duplikálásával