Az Azure célzóna architektúrájának testreszabása a követelményeknek megfelelően
Az Azure-beli célzóna-útmutató részeként számos referencia-megvalósítási lehetőség érhető el:
- Azure-beli kezdőzóna az Azure Virtual WAN használatával
- Azure-beli célzóna hagyományos központtal és küllővel
- Az Azure kezdőzóna alaprendszere
- Azure-beli célzóna kisvállalkozásoknak
Ezek a lehetőségek segíthetnek a szervezetnek a gyors kezdésben az Azure-beli célzóna elméleti architektúráját és a tervezési területeken ajánlott eljárásokat biztosító konfigurációkkal.
A referencia-implementációk a Microsoft-csapatok ajánlott eljárásain és az ügyfelekkel és partnerekkel való együttműködésből származó tanuláson alapulnak. Ez a tudás a 80/20 szabály "80" oldalát jelöli. A különböző implementációk az architektúratervezési folyamat részét képező műszaki döntésekre vonatkozó álláspontokat fogadnak el.
Mivel nem minden használati eset azonos, nem minden szervezet használhatja a megvalósítási megközelítést a kívánt módon. Tisztában kell lenni azzal, hogy milyen szempontokat kell figyelembe vennie a testre szabás követelményének azonosításakor.
Mi a célzóna archetípusa az Azure-beli célzónákban?
A célzóna archetípusa azt írja le, hogy minek kell igaznak lennie ahhoz, hogy a célzóna (Azure-előfizetés) megfeleljen a várt környezetnek és megfelelőségi követelményeknek egy adott hatókörben. Ide sorolhatóak például a kövekezők:
- Azure Policy-hozzárendelések.
- Szerepköralapú hozzáférés-vezérlési (RBAC-) hozzárendelések.
- Központilag felügyelt erőforrások, például hálózatkezelés.
Vegye figyelembe az erőforráshierarchia minden felügyeleti csoportját, hogy hozzájáruljon a végső kezdőzóna archetípus-kimenetéhez, mivel a szabályzatöröklés az Azure-ban működik. Gondolja át, hogy mi alkalmazható az erőforrás-hierarchia felső szintjein az alacsonyabb szintek tervezésekor.
Szoros kapcsolat áll fenn a felügyeleti csoportok és a célzóna archetípusai között, de egy felügyeleti csoport önmagában nem egy kezdőzóna-archetípus. Ehelyett annak a keretrendszernek a részét képezi, amely a kezdőzóna egyes archetípusainak implementálásához használatos a környezetben.
Ezt a kapcsolatot az Azure célzóna fogalmi architektúrájában tekintheti meg. A szabályzat-hozzárendelések a köztes gyökérszintű felügyeleti csoportban (például Contoso) jönnek létre az összes számítási feladatra vonatkozó beállításokhoz. További szabályzat-hozzárendelések jönnek létre a hierarchia alacsonyabb szintjein a konkrétabb követelmények érdekében.
A felügyeleti csoport hierarchiájában az előfizetések elhelyezése határozza meg az Azure Policy- és hozzáférés-vezérlési (IAM-) hozzárendelések eredő készletét, amelyek öröklődnek, alkalmazva és kényszerítve vannak az adott kezdőzónára (Azure-előfizetés).
További folyamatokra és eszközökre lehet szükség annak biztosításához, hogy a célzónák rendelkezzenek a szükséges központilag felügyelt erőforrásokkal. Néhány példa:
- Diagnosztikai beállítások tevékenységnapló-adatok Log Analytics-munkaterületre való küldéséhez.
- A Felhőhöz készült Microsoft Defender folyamatos exportálási beállításai.
- Virtuális hálózat felügyelt IP-címterekkel az alkalmazás számítási feladataihoz.
- Virtuális hálózatok összekapcsolása elosztott szolgáltatásmegtagadási (DDoS) hálózatvédelemmel.
Feljegyzés
Az Azure-beli kezdőzóna referencia-implementációiban az azure-szabályzatok és Modify
azok DeployIfNotExists
hatásai az előző erőforrások némelyikének üzembe helyezésére szolgálnak. A szabályzatalapú szabályozási tervezési elvet követik.
További információ: Szabályzatalapú védőkorlátok bevezetése.
Az Azure-beli célzóna elméleti architektúrájának beépített archetípusai
A fogalmi architektúra például a kezdőzóna archetípusait tartalmazza az olyan alkalmazás-számítási feladatokhoz, mint a corp és az online. Ezek az archetípusok vonatkozhatnak a szervezetre, és megfelelnek a követelményeknek. Érdemes lehet módosítani ezeket az archetípusokat, vagy újakat létrehozni. A döntés a szervezet igényeitől és követelményeitől függ.
Tipp.
Az Azure-beli célzónagyorsító célzóna-archetípusainak áttekintéséhez tekintse át az Azure-beli célzónagyorsító felügyeleti csoportjait.
Előfordulhat, hogy az erőforráshierarchiában máshol is szeretne módosításokat létrehozni. Amikor megtervezi a szervezet Azure-beli célzónák implementálásának hierarchiáját, kövesse a tervezési területekre vonatkozó irányelveket.
A fogalmi architektúra következő kezdőzóna-archetípus-példái segítenek megérteni a céljukat és a rendeltetésüket:
Kezdőzóna archetípusa (felügyeleti csoport) | Rendeltetés vagy felhasználás |
---|---|
Corp | A vállalati célzónák dedikált felügyeleti csoportja. Ez a csoport olyan számítási feladatokhoz készült, amelyek a kapcsolati előfizetésben lévő központon keresztül kapcsolatot vagy hibrid kapcsolatot igényelnek a vállalati hálózattal. |
Online | Az online célzónák dedikált felügyeleti csoportja. Ez a csoport olyan számítási feladatokhoz készült, amelyek közvetlen internetes bejövő/kimenő kapcsolatot igényelhetnek, vagy olyan számítási feladatokhoz, amelyekhez nem szükséges virtuális hálózat. |
Sandbox | Az előfizetések dedikált felügyeleti csoportja, amelyet csak egy szervezet fog tesztelni és feltárni. Ezek az előfizetések biztonságosan le lesznek választva a vállalati és online kezdőzónákról. A tesztkörnyezetek emellett kevésbé korlátozó szabályzatokkal rendelkeznek az Azure-szolgáltatások tesztelésének, feltárásának és konfigurálásának engedélyezéséhez. |
Olyan forgatókönyvek, ahol szükség lehet a testreszabásra
Ahogy már említettük, az Azure-beli célzóna fogalmi architektúrájában gyakori kezdőzóna-archetípusokat biztosítunk. Ők corp és online. Ezek az archetípusok nincsenek javítva, és nem az egyetlen engedélyezett kezdőzóna-archetípus az alkalmazás-számítási feladatokhoz. Előfordulhat, hogy a célzóna archetípusait az igényeinek és igényeinek megfelelően kell testre szabnia.
Mielőtt testre szabná a kezdőzóna archetípusait, fontos tisztában lenni a fogalmakkal, és megjeleníteni a hierarchia azon területét, amelyet javasoljuk, hogy testre szabjon. Az alábbi ábra az Azure-beli célzóna elméleti architektúrájának alapértelmezett hierarchiáját mutatja be.
A hierarchia két területe van kiemelve. Az egyik a célzónák alatt, a másik pedig a Platform alatt található.
Az alkalmazás kezdőzónájának archetípusainak testreszabása
Figyelje meg a kék színnel kiemelt területet a kezdőzónák felügyeleti csoportja alatt. A hierarchia leggyakoribb és legbiztonságosabb helye, ha több archetípust ad hozzá, hogy megfeleljen azoknak az új vagy több követelményeknek, amelyeket nem lehet több szabályzat-hozzárendelésként hozzáadni egy meglévő archetípushoz a meglévő hierarchia használatával.
Előfordulhat például, hogy új követelménye van a fizetésikártya-iparág (PCI) megfelelőségi követelményeinek teljesítéséhez szükséges alkalmazásterhelések üzemeltetéséhez. Ennek az új követelménynek azonban nem kell az összes számítási feladatra vonatkoznia a teljes tulajdonban.
Ennek az új követelménynek egy egyszerű és biztonságos módja van. Hozzon létre egy ÚJ, PCI nevű felügyeleti csoportot a hierarchiában lévő Kezdőzónák felügyeleti csoport alatt. A PCI 3.2.1:2018-hoz készült Felhőhöz készült Microsoft Defender szabályozási megfelelőségi szabályzat kezdeményezéséhez hasonló további szabályzatokat rendelhet hozzá az új PCI felügyeleti csoporthoz. Ez a művelet új archetípust alkot.
Most új vagy meglévő Azure-előfizetéseket helyezhet át az új PCI felügyeleti csoportba, hogy örökölje a szükséges szabályzatokat, és létrehozhassa az új archetípust.
Egy másik példa a Microsoft Cloud for Sovereignty, amely felügyeleti csoportokat ad hozzá a bizalmas számításokhoz, és a szabályozott iparágakban való használatra van igazítva. A Microsoft Cloud for Sovereignty megfelelő szuverenitási vezérlőkkel biztosít eszközöket, útmutatást és védőkorlátokat a nyilvános felhőbevezetéshez.
Tipp.
Tudnia kell, hogy mit kell figyelembe vennie, és mi történik, ha az Azure-előfizetéseket felügyeleti csoportok között helyezi át az RBAC-hez és az Azure Policyhoz képest. További információ: Meglévő Azure-környezetek áttűnése az Azure-beli célzóna fogalmi architektúrájába.
Platform kezdőzónájának archetípusainak testreszabása
Érdemes lehet a platformfelügyeleti csoport alatt narancssárga színnel kiemelt területet is testre szabni. Az ezen a területen lévő zónákat platform-kezdőzónáknak nevezzük.
Előfordulhat például, hogy van egy dedikált SOC-csapata, amely saját archetípust igényel a számítási feladatok üzemeltetéséhez. Ezeknek a számítási feladatoknak meg kell felelniük az Azure Policy és az RBAC hozzárendelési követelményeinek, amelyek eltérnek a felügyeleti felügyeleti csoport követelményeitől.
Hozzon létre egy új biztonsági felügyeleti csoportot a platformfelügyeleti csoport alatt a hierarchiában. A szükséges Azure Policy- és RBAC-hozzárendeléseket hozzárendelheti hozzá.
Most új vagy meglévő Azure-előfizetéseket helyezhet át az új biztonsági felügyeleti csoportba, hogy örökölje a szükséges szabályzatokat, és létrehozhassa az új archetípust.
Példa egy testre szabott Azure-beli célzóna-hierarchiára
Az alábbi ábra egy testre szabott Azure-beli célzóna-hierarchiát mutat be. Az előző diagramból származó példákat használ.
Megfontolandó szempontok
Vegye figyelembe a következő szempontokat, amikor az Azure-beli kezdőzóna archetípusainak a hierarchiában való implementálásán gondolkodik:
A hierarchia testreszabása nem kötelező. Az általunk biztosított alapértelmezett archetípusok és hierarchia a legtöbb forgatókönyvhez megfelelőek.
Ne hozza létre újra a szervezeti hierarchiát, a csapatokat vagy a részlegeket archetípusokban.
Mindig próbáljon meg a meglévő archetípusokra és hierarchiára építeni, hogy megfeleljen az új követelményeknek.
Csak akkor hozzon létre új archetípusokat, ha valóban szükség van rájuk.
Például egy új megfelelőségi követelmény, például a PCI csak az alkalmazás számítási feladatainak egy részhalmazához szükséges, és nem kell minden számítási feladatra vonatkoznia.
Csak az előző diagramokon látható kiemelt területeken hozzon létre új archetípusokat.
Az összetettség és a szükségtelen kizárások elkerülése érdekében kerülje a négy rétegből álló hierarchiamélység túllépését. Az archetípusokat vízszintesen bontsa ki a hierarchia függőleges helyett.
Ne hozzon létre archetípusokat olyan környezetekhez, mint a fejlesztés, a tesztelés és az éles környezet.
További információ: Hogyan kezeljük a fejlesztési/tesztelési/éles számítási feladatok kezdőzónáját az Azure-beli célzónák elméleti architektúrájában?
Ha barnamezős környezetből származik, vagy olyan megközelítést keres, amellyel előfizetéseket üzemeltethet a kezdőzónák felügyeleti csoportjában olyan szabályzatokkal, amelyek "csak naplózási" kényszerítési módban vannak, tekintse át a forgatókönyvet: Környezet váltása egy kezdőzóna-felügyeleti csoport duplikálásával
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: