SLZ の概念
この記事では、ソブリン ランディングゾーン (SLZ) に関連するさまざまな概念について説明します。
導入の効率化をもとめる組織であれば、単一の パラメーター ファイル から SLZ を構成し、単一のスクリプト を実行して展開できます。 パラメーター ファイルとそれに関連する展開オーケストレーションは、リソースに共通の命名規則を使用したり、環境内で標準化したりするなどの方法で、環境内の一貫性を提供します。 この設計により、組織は多くの手動展開ステップやさまざまなドキュメント ソースを参照することなく、SLZ を迅速に開始することができます。
組織が職務の分離と最小権限の遵守を実証する必要がある場合、1 つまたは複数のパラメータ ファイルから SLZ を構成できます。 組織は、機能領域に基づいて展開を個々のステップに分けることができます。 たとえば、サブスクリプションを提供し、管理グループを構成するチームは、1 つの展開アクティビティとしてこれを行う一方で、別のチームがこれらのスコープに関するポリシーとコンプライアンスを管理できるようにすることができます。 これらの個々の展開ステップには調整が必要ですが、よりきめ細かい展開が可能になります。
最初に SLZ 全体を一度に展開するか、個別の展開ステップを使用するかの詳細については、GitHub の ソブリン ランディング ゾーン ドキュメントを参照してください。
SLZ パラメータファイルは、展開を完全に構成し、環境のすべての部分で一貫性を確保することで、組織を支援します。 組織は、構成オプション を確認して、展開に適した設定を決定する必要があります。
しかし、SLZ パラメーター ファイルは、顧客が希望する可能性のあるすべての設定オプションを提供することはできません。 より多くの機能が必要な場合は、以下のオプションをお勧めします:
機能リクエスト を通じて新しい構成機能をリクエストします。 汎用的または一般的な課題に対処する場合は、これらの新機能を要求することをお勧めします。
SLZ 展開後にカスタマイズを行います。 展開後の手順は、ワークロード所有者に環境を使用する許可を与える前に、組織がより多くのコントロールを配置したり、追加のリソースを作成したりする必要がある場合に推奨されます。
SLZ リポジトリのローカル コピーをフォークして管理します。 このオプションは、環境に対する完全な構成管理が必要な組織や、セキュリティ管理が環境に組み込まれていることが必要な組織に使用することをお勧めします。
Azure ポリシーは、適切な可視性と技術的なガードレールを提供し、コンプライアンス態勢を確実に維持することを目的としています。 多くの組織にとって、ワークロードを展開する前にこれらのポリシーを環境に組み込んでおくことは極めて重要です。 SLZ オーケストレーションは、カスタム ポリシー定義と割り当てを作成し、SLZ 展開と並行して展開したり、展開内の指定スコープで展開したりする機能を提供します。 このオーケストレーションにより、企業は独自のコンプライアンス要件が最初から整っているという確信を得ることができます。 カスタム ポリシーを必要としない組織は、オーケストレーションを使って搭載されたポリシー セットを割り当てることもできます。
ポリシー ポートフォリオ 内のプレビュー ポリシーセットに関するドキュメントには、SLZ 内でカスタムポリシーを使用する方法の詳細が記載されています。
試験運用や概念実証を行う際には、コストへの影響を意識することが重要です。 SLZ の既定設定では、本番環境に対応した展開が作成されるため、まだ本番環境の準備が整っていない組織にとってはコスト高になる可能性があります。 SLZ オーケストレーションは、多くのリソースの選択肢を提供します。組織は、展開に必要なリソースを判断する必要があります。
以下の製品をご検討されることをお勧めします:
Azure DDoS保護: トラフィック シェーピング、修復、DDoSイベントの可視性に関する機能が強化されているため、標準SKUをお勧めします。 ただし、本番環境以外では基本 SKU を使用することができます。
Azureファイアウォール: Azureファイアウォールを使用すると、組織はSLZ展開の周囲に強力なネットワーク セキュリティを構築できます。 しかし、企業は、非生産環境のセキュリティ構築に適したテクノロジーとして、他の Azure ネットワーキング リソースを見つけることができます。
Azure VPN Gateway: Azure VPN GatewayおよびExpressRouteサービスにより、組織は オンプレミスの 環境をAzureに 接続 できるようになります。 しかし、非運用環境にこのようなネットワーク接続を必要とせず、代わりに Azure Bastion やその他のアクセス技術を使用できる場合もあります。