Zagadnienia dotyczące strefy docelowej Brownfield
Wdrożenie brownfield to istniejące środowisko, które wymaga modyfikacji w celu dostosowania do architektury docelowej strefy docelowej platformy Azure i najlepszych rozwiązań. Jeśli musisz rozwiązać problem ze scenariuszem wdrażania w ramach rozwiązania brownfield, rozważ istniejące środowisko platformy Microsoft Azure jako miejsce do rozpoczęcia. Ten artykuł zawiera podsumowanie wskazówek znajdujących się w innej części dokumentacji dotyczącej gotowości do przewodnika Cloud Adoption Framework. Aby uzyskać więcej informacji, zobacz Wprowadzenie do metodologii Cloud Adoption Framework Ready.
Organizacja zasobów
W środowisku brownfield udało Ci się już ustanowić środowisko platformy Azure. Ale nigdy nie jest za późno, aby zastosować sprawdzone zasady organizacji zasobów teraz i iść naprzód. Rozważ zaimplementowanie dowolnej z następujących sugestii:
- Jeśli bieżące środowisko nie korzysta z grup zarządzania, rozważ je. Grupy zarządzania są kluczem do zarządzania zasadami, dostępem i zgodnością między subskrypcjami na dużą skalę. Grupy zarządzania ułatwiają wdrażanie.
- Jeśli bieżące środowisko korzysta z grup zarządzania, należy wziąć pod uwagę wskazówki w grupach zarządzania podczas oceniania implementacji.
- Jeśli masz istniejące subskrypcje w bieżącym środowisku, zapoznaj się ze wskazówkami w subskrypcjach , aby sprawdzić, czy są one efektywnie używane. Subskrypcje działają jako granice zasad i zarządzania i są jednostkami skalowania.
- Jeśli masz istniejące zasoby w bieżącym środowisku, rozważ skorzystanie ze wskazówek dotyczących nazewnictwa i tagowania , aby wpłynąć na strategię tagowania i konwencje nazewnictwa w przyszłości.
- Usługa Azure Policy jest przydatna podczas ustanawiania i wymuszania spójności tagów taksonomicznych.
Zabezpieczenia
Aby uściślić stan zabezpieczeń istniejącego środowiska platformy Azure dotyczący uwierzytelniania, autoryzacji i księgowości, jest to ciągły proces iteracyjny. Rozważ wdrożenie następujących zaleceń:
- Skorzystaj z 10 najlepszych rozwiązań firmy Microsoft dotyczących zabezpieczeń platformy Azure. Te wskazówki zawierają podsumowanie sprawdzonych w terenie wskazówek od architektów rozwiązań w chmurze firmy Microsoft (CSA) i partnerów firmy Microsoft.
- Wdróż synchronizację z chmurą microsoft Entra Connect, aby zapewnić użytkownikom lokalnych usług domena usługi Active Directory (AD DS) bezpieczny logowanie jednokrotne (SSO) do aplikacji opartych na identyfikatorach Firmy Microsoft. Kolejną zaletą konfigurowania tożsamości hybrydowej jest wymuszenie uwierzytelniania wieloskładnikowego firmy Microsoft (MFA) i ochrony haseł firmy Microsoft Entra w celu dalszej ochrony tych tożsamości
- Zapewnij bezpieczne uwierzytelnianie aplikacjom w chmurze i zasobom platformy Azure przy użyciu dostępu warunkowego firmy Microsoft Entra.
- Zaimplementuj usługę Microsoft Entra Privileged Identity Management , aby zapewnić dostęp do najniższych uprawnień i głębokie raportowanie w całym środowisku platformy Azure. Zespoły powinny rozpocząć cykliczne przeglądy dostępu, aby upewnić się, że odpowiednie osoby i zasady obsługi mają bieżące i poprawne poziomy autoryzacji. Zapoznaj się również ze wskazówkami dotyczącymi kontroli dostępu w przewodniku Cloud Adoption Framework.
- Korzystaj z zaleceń, alertów i możliwości korygowania Microsoft Defender dla Chmury. Twój zespół ds. zabezpieczeń może również zintegrować Microsoft Defender dla Chmury z usługą Microsoft Sentinel, jeśli potrzebują bardziej niezawodnego, centralnie zarządzanego rozwiązania hybrydowego i wielochmurowego zarządzania zdarzeniami zabezpieczeń (SIEM)/Rozwiązania do orkiestracji i reagowania (SOAR).
Ład korporacyjny
Podobnie jak zabezpieczenia platformy Azure, ład platformy Azure nie jest propozycją "jednego i gotowego". Zamiast tego jest to stale ewoluujący proces standaryzacji i wymuszania zgodności. Rozważ zaimplementowanie następujących kontrolek:
- Zapoznaj się z naszymi wskazówkami dotyczącymi ustanawiania planu bazowego zarządzania dla środowiska hybrydowego lub wielochmurowego
- Implementowanie funkcji usługi Microsoft Cost Management , takich jak zakresy rozliczeniowe, budżety i alerty, aby upewnić się, że wydatki na platformę Azure pozostają w określonych granicach
- Użyj usługi Azure Policy , aby wymusić zabezpieczenia ładu we wdrożeniach platformy Azure i wyzwolić zadania korygowania, aby przywrócić istniejące zasoby platformy Azure do stanu zgodności
- Rozważ zarządzanie upoważnieniami firmy Microsoft Entra, aby zautomatyzować żądania platformy Azure, przypisania dostępu, przeglądy i wygaśnięcie
- Zastosuj rekomendacje usługi Azure Advisor , aby zapewnić optymalizację kosztów i doskonałość operacyjną na platformie Azure, z których oba są podstawowymi zasadami platformy Microsoft Azure Well-Architected Framework.
Sieć
To prawda, że refaktoryzacja już ustalonej infrastruktury sieci wirtualnej platformy Azure może być dużym wzrostem dla wielu firm. Należy jednak rozważyć uwzględnienie następujących wskazówek dotyczących projektowania, wdrażania i konserwacji sieci:
- Zapoznaj się z naszymi najlepszymi rozwiązaniami dotyczącymi planowania, wdrażania i obsługi topologii sieci wirtualnej i szprych platformy Azure
- Rozważ użycie usługi Azure Virtual Network Manager (wersja zapoznawcza) w celu scentralizowanego reguł zabezpieczeń sieciowej grupy zabezpieczeń w wielu sieciach wirtualnych
- Usługa Azure Virtual WAN łączy sieci, zabezpieczenia i routing, aby pomóc firmom tworzyć architektury chmury hybrydowej bezpieczniej i szybciej
- Dostęp do usług danych platformy Azure prywatnie za pomocą usługi Azure Private Link. Usługa Private Link zapewnia użytkownikom i aplikacjom komunikację z kluczowymi usługami platformy Azure przy użyciu sieci szkieletowej platformy Azure i prywatnych adresów IP zamiast za pośrednictwem publicznego Internetu
Następne kroki
Teraz, gdy masz już omówienie zagadnień dotyczących środowiska usługi Azure Brownfield, oto kilka powiązanych zasobów, które należy przejrzeć: