Considerações sobre a zona de pouso de Brownfield

Uma implantação brownfield é um ambiente existente que requer modificação para se alinhar à arquitetura de destino e às práticas recomendadas da zona de aterrissagem do Azure. Quando você precisar resolver um cenário de implantação brownfield, considere seu ambiente existente do Microsoft Azure como o local para começar. Este artigo resume as orientações encontradas em outro lugar na documentação Cloud Adoption Framework Ready Para obter mais informações, consulte Introdução à metodologia Cloud Adoption Framework Ready.

Organização do recurso

Em um ambiente brownfield, você já estabeleceu seu ambiente do Azure. Mas nunca é tarde para aplicar princípios comprovados de organização de recursos agora e daqui para frente. Considere implementar qualquer uma das seguintes sugestões:

• Se o seu ambiente atual não usa grupos de gerenciamento, considere-os. Os grupos de gerenciamento são fundamentais para gerenciar políticas, acesso e conformidade entre assinaturas em escala. Os grupos de gerenciamento ajudam a orientar sua implementação.
• Se seu ambiente atual usa grupos de gerenciamento, considere as diretrizes em grupos de gerenciamento ao avaliar sua implementação.
• Se você tiver assinaturas existentes em seu ambiente atual, considere as diretrizes em assinaturas para ver se você as está usando de forma eficaz. As assinaturas atuam como limites de política e gerenciamento e são unidades de escala.
• Se você tiver recursos existentes em seu ambiente atual, considere usar a orientação em nomenclatura e marcação para influenciar sua estratégia de marcação e suas convenções de nomenclatura no futuro.
• A Política do Azure é útil para estabelecer e impor consistência em relação a marcas taxonômicas.

Segurança

Refinar a postura de segurança do seu ambiente Azure existente em relação à autenticação, autorização e contabilidade é um processo contínuo e iterativo. Considere a implementação das seguintes recomendações:

• Use as 10 principais melhores práticas de segurança do Azure da Microsoft. Esta orientação resume as orientações comprovadas em campo dos arquitetos de soluções de nuvem (CSAs) da Microsoft e dos Parceiros da Microsoft.
• Implante a sincronização na nuvem do Microsoft Entra Connect para fornecer aos usuários do Active Directory Domain Services (AD DS) local um SSO (logon único) seguro para os aplicativos apoiados pelo Microsoft Entra ID. Outro benefício da configuração da identidade híbrida é que você pode impor a autenticação multifator (MFA) do Microsoft Entra e a Proteção por Senha do Microsoft Entra para proteger ainda mais essas identidades
• Considere o Acesso Condicional do Microsoft Entra para fornecer autenticação segura para seus aplicativos de nuvem e recursos do Azure.
• Implemente o Microsoft Entra Privileged Identity Management para garantir acesso com privilégios mínimos e relatórios detalhados em todo o ambiente do Azure. As equipes devem iniciar revisões de acesso recorrentes para garantir que as pessoas e os princípios de serviço certos tenham níveis de autorização atuais e corretos. Além disso, estude as diretrizes de controle de acesso do Cloud Adoption Framework.
• Use as recomendações, os alertas e os recursos de correção do Microsoft Defender para Nuvem. Sua equipe de segurança também poderá integrar o Microsoft Defender para Nuvem ao Microsoft Sentinel se precisar de uma solução de SIEM/SOAR (Gerenciamento de Eventos de Informações de Segurança/Orquestração e Resposta de Segurança) mais robusta, híbrida, multinuvem e gerenciada centralmente.

Governança

Como a segurança do Azure, a governança do Azure não é uma proposta "única e feita". Em vez disso, é um processo em constante evolução de padronização e aplicação de conformidade. Considere a implementação dos seguintes controles:

• Revise nossas diretrizes para estabelecer uma linha de base de gerenciamento para seu ambiente híbrido ou multicloud
• Implemente recursos do Gerenciamento de Custos da Microsoft, como escopos de cobrança, orçamentos e alertas para garantir que seus gastos do Azure permaneçam dentro dos limites prescritos
• Use a Política do Azure para impor barreiras de proteção de governança em implantações do Azure e acionar tarefas de correção para trazer os recursos existentes do Azure para um estado de conformidade
• Considere o gerenciamento de direitos do Microsoft Entra para automatizar solicitações do Azure, atribuições de acesso, revisões e expiração
• Aplique as recomendações do Azure Advisor para garantir a otimização de custos e a excelência operacional no Azure, que são princípios fundamentais do Microsoft Azure Well-Architected Framework.

Rede

É verdade que a refatoração de uma infraestrutura de rede virtual (VNet) já estabelecida do Azure pode ser um trabalho pesado para muitas empresas. Dito isso, considere incorporar as seguintes diretrizes aos seus esforços de projeto, implementação e manutenção de rede:

• Revise nossas práticas recomendadas para planejar, implantar e manter topologias de hub e spoke de rede virtual do Azure
• Considere o Gerenciador de Rede Virtual do Azure (Visualização) para centralizar as regras de segurança do NSG (grupo de segurança de rede) em várias VNets
• A WAN Virtual do Azure unifica rede, segurança e roteamento para ajudar as empresas a criar arquiteturas de nuvem híbrida com mais segurança e rapidez
• Acesse os serviços de dados do Azure de forma privada com o Link Privado do Azure. O serviço de Link Privado garante que seus usuários e aplicativos se comuniquem com os principais serviços do Azure usando a rede de backbone do Azure e endereços IP privados em vez de pela Internet pública

Próximas etapas

Agora que você tem uma visão geral das considerações sobre o ambiente brownfield do Azure, aqui estão alguns recursos relacionados a serem revisados:

• Azure Landing Zones Bicep - Fluxo de Implantação
• Microsoft Well-Architected Framework
• Ferramentas e modelos do Cloud Adoption Framework