Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Развертывание браунфилда — это существующая среда, требующая изменения для соответствия целевой архитектуре целевой зоны Azure и рекомендациям. Если необходимо устранить сценарий развертывания браунфилда, рассмотрите существующую среду Microsoft Azure в качестве начала. В этой статье приведены инструкции, приведенные в документации по Cloud Adoption Framework Ready, дополнительные сведения см. в статье "Введение в методологию подготовки Cloud Adoption Framework Ready".
Организация ресурсов
В среде браунфилда вы уже создали среду Azure. Но это никогда не поздно, чтобы применить проверенные принципы организации ресурсов сейчас и двигаться вперед. Рассмотрите возможность реализации любого из следующих предложений:
- Если текущая среда не использует группы управления, рассмотрите их. Группы управления являются ключевыми для управления политиками, доступом и соответствием между подписками в масштабе. Группы управления помогают управлять реализацией.
- Если в текущей среде используются группы управления, рассмотрите рекомендации в группах управления при оценке реализации.
- Если у вас есть подписки в текущей среде, ознакомьтесь с рекомендациями в подписках , чтобы узнать, эффективно ли вы используете их. Подписки действуют как границы политики и управления и являются единицами масштабирования.
- Если у вас есть ресурсы в текущей среде, подумайте о том, чтобы использовать рекомендации по именованию и тегам для влияния на вашу стратегию тегов и схемы именования в будущем.
- Политика Azure полезно для установления и обеспечения согласованности в отношении таксономических тегов.
Безопасность
Чтобы уточнить положение безопасности существующей среды Azure в отношении проверки подлинности, авторизации и учета, необходимо непрерывно и итеративно работать. Рассмотрите возможность реализации следующих рекомендаций.
- Разверните облачную синхронизацию Microsoft Entra Connect , чтобы предоставить локальным пользователям доменных служб Active Directory (AD DS) безопасный единый вход (SSO) в приложения, поддерживаемые идентификаторами Microsoft Entra. Еще одним преимуществом настройки гибридного удостоверения является применение многофакторной проверки подлинности (MFA) Microsoft Entra и Защиты паролей Microsoft Entra для дальнейшей защиты этих удостоверений
- Обеспечение безопасной проверки подлинности в облачных приложениях и ресурсах Azure с помощью условного доступа Microsoft Entra.
- Реализуйте Microsoft Entra Privileged Identity Management, чтобы обеспечить доступ с минимальными привилегиями и подробные отчёты во всей среде Azure. Teams должны начать повторяющиеся проверки доступа, чтобы обеспечить правильные люди и принципы обслуживания имеют текущие и правильные уровни авторизации. Кроме того, изучите руководство по управлению доступом.
- Воспользуйтесь рекомендациями, оповещениями и возможностями исправления Microsoft Defender для Облака. Ваша команда безопасности также может интегрировать Microsoft Defender для облачных технологий в Microsoft Sentinel, если им требуется более надежное, централизованно управляемое гибридное и многооблачное решение для управления событиями информационной безопасности (SIEM) и оркестрации и реагирования на безопасность (SOAR).
Система управления
Как и безопасность Azure, управление Azure не является "одним и выполненным" предложением. Скорее, это постоянно развивающийся процесс стандартизации и соблюдения требований. Рассмотрите возможность реализации следующих элементов управления:
- Ознакомьтесь с нашим руководством по созданию базовых показателей управления для гибридной или многооблачной среды.
- Реализация таких функций управления затратами Майкрософт , как области выставления счетов, бюджеты и оповещения, чтобы гарантировать, что расходы Azure остаются в пределах указанных границ.
- Для применения инструментов управления с помощью политики Azure в развертываниях Azure и активизации задач по устранению несоответствий, чтобы привести существующие ресурсы Azure в соответствующее состояние.
- Рассмотрите возможность управления правами Microsoft Entra для автоматизации запросов Azure, назначений доступа, проверок и истечения срока действия
- Примените рекомендации помощника по Azure , чтобы обеспечить оптимизацию затрат и эффективность работы в Azure, оба из которых являются основными принципами Microsoft Azure Well-Architected Framework.
Сеть
Верно, что рефакторинг уже установленной инфраструктуры виртуальной сети Azure может быть сложной задачей для многих предприятий. Таким образом, рассмотрите возможность включения следующих рекомендаций в разработку сети, реализацию и обслуживание.
- Ознакомьтесь с нашими рекомендациями по планированию, развертыванию и обслуживанию концентратора виртуальных сетей Azure и периферийных топологий.
- Рассмотрим диспетчер виртуальных сетей Azure (предварительная версия) для централизации правил безопасности группы безопасности сети (NSG) в нескольких виртуальных сетях.
- Виртуальная глобальная сеть Azure объединяет сети, безопасность и маршрутизацию, чтобы помочь предприятиям создавать гибридные облачные архитектуры безопаснее и быстрее.
- Доступ к службам данных Azure в частном порядке с помощью Приватного канала Azure. Служба Приватный канал обеспечивает взаимодействие пользователей и приложений с ключевыми службами Azure с помощью магистральной сети Azure и частных IP-адресов вместо общедоступного Интернета
Следующие шаги
Теперь, когда у вас есть обзор рекомендаций по среде Браунфилда Azure, ниже приведены некоторые связанные ресурсы для просмотра: