你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
棕地部署是一种现有环境,需要修改才能与 Azure 登陆区域的目标架构和最佳实践保持一致。 当需要解决棕色地带部署方案时,请考虑现有Microsoft Azure 环境作为开始位置。 本文总结了在云采用框架准备文档中发现的指导。 有关详细信息,请参阅 云采用框架就绪方法简介。
资源组织
在棕地环境中,你已经建立了 Azure 环境。 但是,现在应用经过验证的 资源组织原则 并向前迈进,这从来不是太晚了。 请考虑实现以下任何建议:
- 如果当前环境不使用管理组,请考虑它们。 管理组是跨订阅大规模管理策略、访问和合规性的关键。 管理组 有助于指导实现。
- 如果当前环境使用管理组,请在评估实现时考虑管理组中的指南。
- 如果您在当前环境中有现有的订阅,请查看订阅中提供的指导,以确保您是否在有效地使用这些订阅。 订阅可充当策略与管理边界,并且是缩放单元。
- 如果当前环境中已有资源,请考虑使用 命名约定 和 标记策略 中的指南,以影响您未来的标记策略和命名约定。
- Azure Policy 可用于建立和强制执行有关分类标记的一致性。
安全性
若要优化现有 Azure 环境 与身份验证、授权和会计相关的安全状况 ,这是一个持续、迭代的过程。 请考虑实施以下建议:
- 部署 Microsoft Entra Connect 云同步,以向本地 Active Directory 域服务 (AD DS) 用户提供对 Microsoft Entra ID 支持的应用程序的安全单一登录 (SSO)。 配置混合标识的另一个好处是,可以强制实施 Microsoft Entra 多重身份验证(MFA) 和 Microsoft Entra 密码保护 ,以进一步保护这些标识
- 使用 Microsoft Entra 条件访问为云应用和 Azure 资源提供安全身份验证。
- 实现 Microsoft Entra Privileged Identity Management,以确保在整个 Azure 环境中进行最低特权访问和深度报告。 团队应开始定期访问评审,以确保正确的人员和服务原则具有最新且正确的授权级别。 此外,研究 访问控制指南。
- 使用 Microsoft Defender for Cloud 的建议、警报和修正功能。 如果安全团队需要更可靠、集中管理的混合和多云安全信息事件管理 (SIEM)/安全业务流程和响应 (SOAR) 解决方案,他们还可以将 Microsoft Defender for Cloud 集成到 Microsoft Sentinel 中。
治理
与 Azure 安全性一样,Azure 治理也不是一次性就能完成的任务。 相反,这是一个不断演变的标准化和合规性实施过程。 请考虑实现以下控件:
- 查看有关为混合或多云环境建立 管理基线 的指导
- 实现 Microsoft成本管理功能 ,例如计费范围、预算和警报,以确保 Azure 支出保持在规定的范围内
- 使用 Azure Policy 在 Azure 部署上强制实施治理防护措施,并触发修正任务,使现有 Azure 资源处于合规状态
- 考虑 Microsoft Entra 权利管理 来自动执行 Azure 请求、访问分配、评审和过期
- 应用 Azure 顾问建议来确保 Azure 中的成本优化和卓越运营,这两项都是 Azure 良好架构框架Microsoft的核心原则。
网络
的确,重构已建立的 Azure 虚拟网络(VNet)基础设施 对于许多企业来说可能是一个艰巨的任务。 也就是说,请考虑将以下指南纳入网络设计、实施和维护工作:
- 查看我们在规划、部署和维护 Azure VNet 中心辐射型拓扑方面的最佳做法
- 考虑使用 Azure 虚拟网络管理器(预览版)来集中管理跨多个虚拟网络的网络安全组(NSG)安全规则。
- Azure 虚拟 WAN统一网络、安全性和路由,以帮助企业构建混合云体系结构更安全、更快
- 使用 Azure 专用链接 私下访问 Azure 数据服务。 专用链接服务可确保用户和应用程序使用 Azure 主干网络和专用 IP 地址而不是通过公共 Internet 与关键的 Azure 服务通信
后续步骤
现在,你已大致了解 Azure 棕色地带环境注意事项,下面是一些要查看的相关资源: