Dela via

Överväganden för Brownfield-landningszon

  • Artikel

En brownfield-distribution är en befintlig miljö som kräver ändringar för att anpassa sig till Målarkitekturen för Azure-landningszonen och metodtips. När du behöver lösa ett scenario med brownfield-distribution bör du överväga din befintliga Microsoft Azure-miljö som startpunkt. Den här artikeln sammanfattar vägledningen som finns någon annanstans i dokumentationen klar för Cloud Adoption Framework För mer information, se Introduktion till Cloud Adoption Framework Ready-metoden.

Resursorganisering

I en brunfältsmiljö har du redan etablerat din Azure-miljö. Men det är aldrig för sent att tillämpa beprövade principer för resursorganisationen nu och framåt. Överväg att implementera något av följande förslag:

  • Om din aktuella miljö inte använder hanteringsgrupper bör du överväga dem. Hanteringsgrupper är nyckeln till att hantera principer, åtkomst och efterlevnad i flera prenumerationer i stor skala. Hanteringsgrupper hjälper dig att vägleda implementeringen.
  • Om din aktuella miljö använder hanteringsgrupper bör du överväga vägledningen i hanteringsgrupper när du utvärderar implementeringen.
  • Om du har befintliga prenumerationer i din aktuella miljö bör du överväga vägledningen i prenumerationer för att se om du använder dem effektivt. Prenumerationer fungerar som princip- och hanteringsgränser och är skalningsenheter.
  • Om du har befintliga resurser i din aktuella miljö kan du överväga att använda vägledningen för namngivning och taggning för att påverka taggningsstrategin och namngivningskonventionerna framöver.
  • Azure Policy är användbart för att upprätta och framtvinga konsekvens när det gäller taxonomiska taggar.

Säkerhet

Att förfina din befintliga Azure-miljös säkerhetsstatus när det gäller autentisering, auktorisering och redovisning är en pågående iterativ process. Överväg att implementera följande rekommendationer:

  • Använd Microsofts 10 bästa metodtips för Azure-säkerhet. Den här vägledningen sammanfattar fältbeprövad vägledning från Microsofts molnlösningsarkitekter (CSA) och Microsoft Partners.
  • Distribuera Microsoft Entra Connect-molnsynkronisering för att ge dina lokala Usluge domena aktivnog direktorijuma-användare (AD DS) säker enkel inloggning (SSO) till dina Microsoft Entra ID-stödda program. En annan fördel med att konfigurera hybrididentitet är att du kan använda Microsoft Entra multifaktorautentisering (MFA) och Microsoft Entra Password Protection för att ytterligare skydda dessa identiteter
  • Ge säker autentisering till dina molnappar och Azure-resurser med hjälp av villkorsstyrd åtkomst i Microsoft Entra.
  • Implementera Microsoft Entra Privileged Identity Management för att säkerställa åtkomst med lägsta behörighet och djuprapportering i hela Azure-miljön. Teams bör påbörja återkommande åtkomstgranskningar för att säkerställa att rätt personer och tjänstprinciper har aktuella och korrekta auktoriseringsnivåer. Läs även vägledningen för Cloud Adoption Framework-åtkomstkontroll.
  • Använd funktionerna för rekommendationer, aviseringar och reparation i Microsoft Defender för molnet. Ditt säkerhetsteam kan också integrera Microsoft Defender för molnet i Microsoft Sentinel om de behöver en mer robust, centralt hanterad hybrid- och SIEM-lösning (Security Information Event Management) /SoAR-lösning (Security Orchestration and Response).

Kontroll

Precis som Med Azure-säkerhet är Azure-styrning inte ett "ett och gjort"-förslag. Det är snarare en ständigt växande process för standardisering och efterlevnadsefterlevnad. Överväg att implementera följande kontroller:

  • Läs vår vägledning för att upprätta en hanteringsbaslinje för din hybrid- eller multimolnsmiljö
  • Implementera Microsoft Cost Management-funktioner som faktureringsomfång, budgetar och aviseringar för att säkerställa att dina Azure-utgifter håller sig inom föreskrivna gränser
  • Använd Azure Policy för att framtvinga styrningsskydd i Azure-distributioner och utlösa reparationsåtgärder för att försätta befintliga Azure-resurser i ett kompatibelt tillstånd
  • Överväg att hantera Microsoft Entra-rättigheter för att automatisera Azure-begäranden, åtkomsttilldelningar, granskningar och förfallodatum
  • Använd Azure Advisor-rekommendationer för att säkerställa kostnadsoptimering och driftseffektivitet i Azure, som båda är grundläggande principer för Microsoft Azure Well-Architected Framework.

Nätverk

Det är sant att omstrukturering av en redan etablerad infrastruktur för virtuella Azure-nätverk (VNet) kan vara ett stort lyft för många företag. Överväg att införliva följande vägledning i din nätverksdesign, implementering och underhållsarbete:

  • Läs våra metodtips för att planera, distribuera och underhålla Azure VNet-hubb- och ekertopologier
  • Överväg Azure Virtual Network Manager (förhandsversion) för att centralisera säkerhetsregler för nätverkssäkerhetsgrupp (NSG) i flera virtuella nätverk
  • Azure Virtual WAN förenar nätverk, säkerhet och routning för att hjälpa företag att skapa hybridmolnarkitekturer säkrare och snabbare
  • Få åtkomst till Azure-datatjänster privat med Azure Private Link. Private Link-tjänsten ser till att dina användare och program kommunicerar med viktiga Azure-tjänster med hjälp av Azure-stamnätverket och privata IP-adresser i stället för via det offentliga Internet

Nästa steg

Nu när du har en översikt över miljööverväganden för Azure brownfield finns här några relaterade resurser att granska: