Развертывание безопасных инфраструктур с использованием посадочной зоны

Завершено

Посадочная зона Azure — это среда, которая следует основным принципам проектирования в восьми направлениях проектирования. Эти принципы проектирования учитывают все портфели приложений и обеспечивают миграцию приложений, модернизацию и инновации в масштабе. Зоны развертывания Azure применяют подписки для изоляции и масштабирования ресурсов приложений и ресурсов платформы. Подписки для ресурсов приложений называются целевыми зонами приложений, а подписки для ресурсов платформы называются целевыми зонами платформы.

Архитектура целевой зоны Azure масштабируема и модульна в соответствии с различными потребностями развертывания. Повторяемая инфраструктура позволяет постоянно применять конфигурации и элементы управления к каждой подписке. Модули упрощают развертывание и изменение определенных компонентов архитектуры целевой зоны Azure по мере развития требований.

Целевые зоны платформы и целевые зоны приложений

Целевая зона Azure состоит из целевых зон платформы и целевых зон приложений. Стоит объяснить функцию обоих более подробно.

Целевая зона платформы: целевая зона платформы — это подписка, которая предоставляет общие службы (удостоверения, подключение, управление) приложениям в целевых зонах приложений. Консолидация этих общих служб часто повышает эффективность работы. Одна или несколько центральных команд управляют зонами развертывания платформы.

Целевая зона приложения: целевая зона приложения — это подписка на размещение приложения. Вы предварительно подготавливаете целевые зоны приложений с помощью кода и используете группы управления, чтобы назначить им элементы управления политикой.

Существует три основных подхода к управлению целевыми зонами приложений. Вы должны использовать центральную команду (1), (2) группу приложений или (3) общий подход к управлению командами в зависимости от ваших потребностей (см. таблицу).

подход к управлению зоной развертывания приложений Описание
Централизованное управление командами Центральная ИТ-команда полностью управляет посадочной зоной. Команда применяет механизмы контроля и платформенные инструменты к зонам развертывания платформы и приложений.
Управление командами приложений Команда администрирования платформы делегирует всю целевую зону приложения команде приложений. Команда приложений управляет и поддерживает среду. Политики группы управления гарантируют, что команда платформы по-прежнему управляет целевой зоной приложения. Вы можете добавить другие политики в область подписки и использовать альтернативные средства для развертывания, защиты или мониторинга целевых зон приложений.
Общее управление С помощью таких технологических платформ, как AKS или AVS, центральная ИТ-команда управляет базовой службой. Команды приложений отвечают за приложения, работающие на основе технологических платформ. Для этой модели необходимо использовать различные элементы управления или разрешения доступа. Эти элементы управления и разрешения отличаются от тех, которые используются для централизованного управления целевыми зонами приложений.

Акселераторы начальной зоны Azure

Акселераторы — это реализации инфраструктуры как кода, которые помогают правильно развернуть целевую зону Azure. У нас есть ускоритель посадочной зоны для платформы и несколько ускорителей посадочных зон для приложений, которые можно развернуть.

Акселератор посадочной зоны платформы

Существует готовый интерфейс развертывания, называемый акселератором портала целевой зоны Azure. Акселератор портала целевой зоны Azure развертывает концептуальную архитектуру (см. рис. 1) и применяет предопределенные конфигурации к ключевым компонентам, таким как группы управления и политики. Это подходит организациям, концептуальная архитектура которых соответствует плановой операционной модели и структуре ресурсов.

Если вы планируете управлять своей средой с помощью портала Azure, вы должны использовать ускоритель стартовой зоны Azure.

Создание масштабируемых модульных посадочных зон Azure

Корпорация Майкрософт предлагает Cloud Adoption Framework для предоставления клиентам проверенной отправной точки для облачного пути, включая методологию Secure.

Еще одним важным компонентом Cloud Adoption Framework в методологии Ready является целевая зона Azure, которая ускоряет внедрение облака, обеспечивая автоматическую реализацию полных архитектур и операционных сред, включая элементы безопасности. Рекомендации по обеспечению безопасности интегрированы в посадочные зоны Azure. С помощью зон приземления вы можете быстро и безопасно перенести первые рабочие нагрузки с встроенными передовыми практиками обеспечения безопасности и управления.

При проектировании и внедрении посадочной зоны вашей организации используйте эталонную архитектуру ниже как целевое конечное состояние. Он фиксирует зрелые и масштабируемые рекомендации по проектированию окружающей среды.

Мы рекомендуем использовать целевые зоны Azure, если это возможно в планах внедрения облака. Посадочные зоны предоставляют архитектурную отправную точку. Целевые зоны Azure помогают соблюдать безопасность и другие рекомендации по развертыванию новой рабочей нагрузки, переносу существующих рабочих нагрузок или улучшению уже развернутых рабочих нагрузок. Использование зон приземления помогает следовать передовым практикам, выполняя их одновременно или постепенно.

Замечание

Ваша организация может настроить архитектуру целевой зоны Azure в соответствии с уникальными бизнес-требованиями.

Посадочные зоны Azure содержат код, облегчающий работу ИТ-отделов и групп безопасности вашей организации. Зоны высадки предлагают предсказуемый и повторяемый метод для применения шаблонной реализации. Эта реализация включает подход к развертыванию, принципы проектирования и области проектирования. Посадочные зоны поддерживают процессы обеспечения безопасности, управления и управления, а также автоматизацию платформ и DevOps.

схема, показывающая пример иерархии целевой зоны Azure для нескольких клиентов.

Использование принципов нулевого доверия

Ваша организация может адаптировать целевые зоны Azure на основе рекомендаций Azure Security Benchmark (ASB) и принципов нулевого доверия (ZT), которые включены в целевую архитектуру. Перейдите к оптимальной целевой архитектуре, реализуя другие аспекты безопасности и принципы нулевого доверия, которые постепенно опираются и улучшают безопасность и управление MVP организации.

Расширение архитектуры нулевого доверия, которое никогда не доверяйте и всегда проверяйте. Интегрируйте сквозную стратегию в вашем цифровом окружении, которая включает идентичности, конечные точки, сеть, данные, приложения и инфраструктуру.

Следуйте рекомендациям по безопасности Azure Security Benchmark

Мы рекомендуем вашей организации следовать рекомендациям по высокоэффективной безопасности Azure Security Benchmark. Также есть рекомендации в посадочных зонах Azure и в самом Фреймворке облачного внедрения. Включите рекомендации ASB в свою архитектурную стратегию, просматривая все соответствующие документы и базовые показатели для конкретных служб.

Подсказка

Посадочные зоны Azure назначают политику ASB по умолчанию в начало иерархии. Этот подход гарантирует, что все подписки и рабочие нагрузки в зоне развертывания отслеживаются для соблюдения требований ASB.