布朗菲爾德登陸區域考慮
棕色地帶部署是現有的環境,需要修改以配合 Azure 登陸區域目標架構和最佳做法。 當您需要解決棕色地帶部署案例時,請考慮現有的 Microsoft Azure 環境作為起點。 本文摘要說明雲端採用架構就緒檔中其他地方找到的指引。如需詳細資訊,請參閱 雲端採用架構就緒方法簡介 。
資源組織
在棕色地帶環境中,您已建立 Azure 環境。 但是現在套用經過證實 的資源組織原則 並向前邁進,從來就不是太晚了。 請考慮實作下列任何建議:
- 如果您的目前環境未使用管理群組,請考慮它們。 管理群組是大規模管理訂用帳戶的原則、存取和合規性的關鍵。 管理群組 可協助您的實作。
- 如果您目前的環境使用管理群組,請在評估您的實作時,考慮管理群組 中的 指引。
- 如果您的目前環境中有現有的訂用帳戶,請考慮訂用帳戶中的 指引,以查看您是否有效地使用這些訂 用帳戶。 訂用帳戶會作為原則和管理界限,而且是縮放單位。
- 如果您的目前環境中已有資源,請考慮使用命名和標記 中的 指引來影響您的標記策略和未來命名慣例。
- Azure 原則有助於建立和強制執行分類標記的一致性。
安全性
若要精簡您現有的 Azure 環境 有關驗證、授權和會計的安全性狀態 ,這是持續反復的程式。 請考慮實作下列建議:
- 使用 Microsoft 的前 10 名 Azure 安全性最佳做法。 本指南摘要說明 Microsoft 雲端解決方案架構師和 Microsoft 合作夥伴的現場證明指引。
- 部署 Microsoft Entra 連線雲端同步 ,為您的本機Active Directory 網域服務 (AD DS) 使用者提供安全單一登入 (SSO) 至 Microsoft Entra 識別碼支援的應用程式。 設定混合式身分識別的另一個優點是您可以強制執行 Microsoft Entra 多重要素驗證 (MFA) 和 Microsoft Entra 密碼保護 ,以進一步保護這些身分識別
- 請考慮 使用 Microsoft Entra 條件式存取 ,為您的雲端應用程式和 Azure 資源提供安全的驗證。
- 實 作 Microsoft Entra Privileged Identity Management ,以確保整個 Azure 環境中的最低許可權存取和深層報告。 Teams 應該開始週期性存取權檢閱,以確保正確的人員和服務原則具有目前且正確的授權等級。 此外,請研究 雲端採用架構存取控制指引 。
- 使用適用於雲端的 Microsoft Defender 建議、警示和補救功能。 如果您的安全性小組需要更強固、集中管理的混合式和多重雲端安全性資訊事件管理 (SIEM)/安全性協調與回應 (SOAR) 解決方案,您的安全性小組也可以將適用於雲端的 Microsoft Defender 整合到 Microsoft Sentinel。
控管
與 Azure 安全性一樣, Azure 治理 不是「一個已完成」的主張。 相反地,這是一個不斷演變的標準化和合規性強制執行程式。 請考慮實作下列控制項:
- 檢閱我們的指引,以為您的混合式或多重雲端環境建立 管理基準
- 實 作 Azure 成本管理 + 計費功能,例如計費 範圍、預算和警示,以確保您的 Azure 費用會保留在規定的範圍內
- 使用 Azure 原則 在 Azure 部署上強制執行治理防護措施,並觸發補救工作,讓現有的 Azure 資源進入相容狀態
- 考慮 Microsoft Entra 權利管理 ,將 Azure 要求、存取指派、檢閱和到期自動化
- 套用 Azure Advisor 建議,以確保 Azure 中的成本優化和營運卓越,這兩者都是 Microsoft Azure 良好架構 的核心原則 。
網路
重構已建立的 Azure 虛擬網路 (VNet) 基礎結構 ,對於許多企業來說,確實是一個沉重的提升。 也就是說,請考慮將下列指引納入您的網路設計、實作和維護工作:
- 檢閱我們的最佳做法,以規劃、部署和維護 Azure VNet 中樞和輪輻拓撲
- 考慮 Azure 虛擬網絡管理員 (預覽) 以跨多個 VNet 集中網路安全性群組 (NSG) 安全性規則
- Azure 虛擬 WAN 會統一網路、安全性和路由,以協助企業建置混合式雲端架構更安全且更快速
- 使用 Azure Private Link 私下存取 Azure 資料服務。 Private Link 服務會使用 Azure 骨幹網路和私人 IP 位址,而不是透過公用網際網路,確保您的使用者和應用程式與主要 Azure 服務通訊
下一步
現在您已概略瞭解 Azure 布朗菲爾德環境考慮,以下是一些要檢閱的相關資源:
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應