Концепции SLZ
В этой статье описаны различные концепции, связанные с суверенной целевой зоной (SLZ).
Методы развертывания и конфигурации для SLZ
Организации, которые хотят упростить внедрение, могут настроить SLZ из одного файла параметров и развернуть его, запустив одиночный сценарий. Файл параметров и связанная с ним оркестровка развертывания обеспечивают согласованность в среде с помощью таких методов, как использование общего соглашения об именовании ресурсов и стандартизации в среде. Такая конструкция позволяет организации быстро приступить к работе с SLZ, не прибегая к многочисленным ручным этапам развертывания и различным источникам документации.
Когда организациям необходимо продемонстрировать разделение обязанностей и соблюдение минимальных привилегий, они могут настроить SLZ из одного или нескольких файлов параметров. Организации могут разбить развертывание на отдельные этапы в зависимости от функциональных областей. Например, группа, которая предоставляет подписки и настраивает группы управления, может делать это как одно действие по развертыванию, при этом позволяя отдельной команде управлять политиками и соблюдением требований в этих областях. Эти отдельные этапы развертывания требуют координации, но обеспечивают более детальное развертывание.
Дополнительную информацию о первоначальном развертывании всей SLZ одновременно или использовании отдельных шагов развертывания см. в документации о суверенной целевой зоне на GitHub.
Расширенные настройки для SLZ
Файл параметров SLZ помогает организации полностью настроить развертывание и обеспечить согласованность всех частей среды. Организациям следует просмотреть параметры конфигурации, чтобы определить подходящие параметры для развертывания.
Однако файл параметров SLZ не может предоставить полные параметры конфигурации для всех возможных параметров, которые могу быть нужны клиенту. В случае, когда необходимы дополнительные возможности, мы рекомендуем следующие параметры:
Запрос новых возможностей конфигурации с помощью запроса функции. Мы рекомендуем запрашивать эти новые возможности при решении универсальных или общих задач.
Настройки после развертывания SLZ. Действия после развертывания рекомендуются, когда организациям необходимо разместить дополнительные элементы управления или создать дополнительные ресурсы, прежде чем предоставлять разрешения владельцам рабочих нагрузок на использование среды.
Создание и обслуживание локальной копии репозитория SLZ. Мы рекомендуем использовать этот параметр для организаций, которым необходим полный контроль над конфигурацией своей среды или требуется, чтобы их элементы управления безопасностью были встроены в среду.
Использование пользовательских политик
Политики Azure предназначены для обеспечения соответствующей видимости и технических средств защиты для обеспечения соблюдения требований. Для многих организаций крайне важно, чтобы эти политики были встроены в среду до развертывания рабочих нагрузок. Оркестровка SLZ предоставляет возможность создавать и развертывать пользовательские определения и назначения политик одновременно с развертыванием SLZ и в определенных областях внутри развертывания. Такая оркестровка дает организациям уверенность в том, что их уникальные нормативные требования применяются с самого начала. Организации, которым не нужны пользовательские политики, также могут использовать оркестрацию для назначения встроенных наборов политик.
Наша документация по предварительным версиям наборов политик в портфеле политики содержит дополнительную информацию о том, как использовать пользовательские политики в SLZ.
Минимизация затрат для пилотных проектов
При выполнении пилотных проектов или проведении обоснования концепции важно учитывать финансовые последствия. Настройки по умолчанию для SLZ создают готовое к работе развертывание, что может оказаться чрезмерно дорогостоящим для организаций, которые еще не готовы к работе. Оркестровка SLZ предоставляет переключатели для многих ресурсов, и организации должны определить, какие из них необходимы для их развертывания.
Рекомендуем ознакомиться со следующими предложениями продуктов:
Защита Azure от атак DDoS. Мы рекомендуем стандартный номер SKU, поскольку он расширяет возможности для формирования трафика, исправления и видимости событий DDoS. Однако вы можете использовать базовый номер SKU для нерабочих сред.
Брандмауэр Azure. Брандмауэр Azure позволяет организациям обеспечить надежную сетевую безопасность вокруг развертывания SLZ. Однако организации могут найти другие сетевые ресурсы Azure в качестве подходящих технологий для обеспечения безопасности нерабочих сред.
Azure VPN Gateway. Предложения Azure VPN-шлюз и ExpressRoute позволяют организации подключать свои локальные среды к Azure. Однако организациям могут не потребоваться нерабочие среды для такого типа сетевого подключения, и вместо этого они могут использовать Azure Bastion или другие технологии доступа.