SLZ-begrepp
Denna artikel förklarar de olika koncepten förknippade med en suverän landningszon (SLZ).
Distribution och konfigurationsmetoder för en SLZ
För organisationer som vill effektivisera implementeringen kan de konfigurera en SLZ från en enskild parameterfil och distribuera den genom att köra ett enskild skript. Parameterfilen och dess tillhörande distributionsorkestrering skapar konsekvens inom miljön genom metoder, t.ex. att använda en gemensam namngivningskonvention för resurser och standardisering inom miljön. Den här designen gör att organisationen snabbt kan komma igång med en SLZ utan att behöva hänvisa till många manuella distributionssteg och olika dokumentationskällor.
När organisationer behöver visa åtskillnad av uppgifter och efterlevnad av minsta privilegier kan de konfigurera en SLZ från en eller flera parameterfiler. Organisationer kan dela upp implementeringen i individuella steg baserat på funktionsområden. Till exempel kan teamet som tillhandahåller prenumerationer och konfigurerar hanteringsgrupper göra detta som en distributionsaktivitet, samtidigt som det fortfarande gör det möjligt för ett separat team att hantera policyer och efterlevnad över dessa omfattningar. Dessa individuella implementeringssteg kräver samordning men möjliggör en mer detaljerad implementeringsupplevelse.
För mer information om att initialt distribuera hela SLZ på en gång eller använda individuella distributionssteg, se Sovereign landningszon-dokumentationen på GitHub.
Avancerade anpassningar för SLZ
SLZ-parameterfilen hjälper en organisation genom att fullständigt konfigurera deras distribution och säkerställa konsekvens i alla delar av miljön. Organisationer bör granska konfigurationsalternativen för att fastställa lämpliga inställningar för deras distribution.
SLZ-parameterfilen kan emellertid inte tillhandahålla fullständiga konfigurationsalternativ för varenda möjlig inställning som en kund kan tänkas ha. I de fall där fler funktioner behövs rekommenderar vi följande alternativ:
Begär nya konfigurationsmöjligheter genom en funktionsbegäran. Vi rekommenderar att du begär dessa nya funktioner när du tar itu med allmänna eller vanliga utmaningar.
Gör anpassningar efter SLZ-distribution. Steg efter implementering rekommenderas när organisationer behöver placera ut fler kontroller eller skapa ytterligare resurser innan de ger tillstånd för arbetsbelastningsägare att använda miljön.
Förgrena och underhåll en lokal kopia av SLZ-lagringsplatsen. Vi rekommenderar att du använder det här alternativet för organisationer som behöver en fullständig konfigurationskontroll över sin miljö, eller som kräver att deras säkerhetskontroller finns inbakade i miljön.
Använd anpassade policyer
Azure-policyerna är avsedda att tillhandahålla lämplig synlighet och tekniska skydd för att säkerställa att en efterlevnadsställning upprätthålls. För många organisationer är det avgörande att dessa policyer finns inbyggda i miljön innan arbetsbelastningar implementeras. SLZ-orkestreringen ger möjlighet för anpassade policydefinitioner och -tilldelningar att skapas och distribueras tillsammans med en SLZ-distribution samt vid specificerade omfattningar inom distributionen. Orkestreringen ger organisationer förtroende för att deras unika efterlevnadskrav är på plats redan från början. Organisationer som inte behöver anpassade policyer kan också använda orkestreringen för att tilldela inbyggda policyuppsättningar.
Vår dokumentation om förhandsgranskningspolicyuppsättningar inom Policyportföljen innehåller mer information om hur man använder anpassade policyer inom en SLZ.
Minimera kostnaderna för piloter
När du provanvänder eller genomför ett proof-of-concept är det viktigt att vara noggrann med kostnadskonsekvenserna. Standardinställningarna för SLZ skapar en produktionsklar distribution, vilket kan vara kostnadskrävande för organisationer som ännu inte är redo för produktion. SLZ-orkestreringen tillhandahåller reglage för många resurser, och organisationer bör bestämma vilka som är nödvändiga för deras distribution.
Vi rekommenderar att du granskar följande produkterbjudanden:
Azure DDoS Protection: Vi rekommenderar standard-SKU:n på grund av dess ökade möjligheter kring trafikformning, sanering och synlighet i DDoS-händelser. Du kan emellertid använda den grundläggande SKU:n för icke-produktionsmiljöer.
Azure Firewall: Azure Firewall gör det möjligt för organisationer att bygga en kraftfull nätverkssäkerhet kring sin SLZ-distribution. Organisationer kan emellertid hitta andra Azure-nätverksresurser som lämpliga tekniker för att bygga säkerhet kring icke-produktionsmiljöer.
Azure VPN Gateway: Azure VPN Gateway och ExpressRoute-erbjudandena gör det möjligt för en organisation att ansluta sina lokala miljöer till Azure. Däremot kanske organisationer inte behöver icke-produktionsmiljöer för att ha den här typen av nätverksanslutning, utan kan istället använda Azure Bastion eller annan åtkomstteknik.