Distribuire infrastrutture sicure usando una zona di destinazione
La zona di destinazione di Azure è un ambiente che segue i principi di progettazione di base in otto aree di progettazione. Questi principi di progettazione si adattano a tutti i portfolio di applicazioni e consentono la migrazione, la modernizzazione e l'innovazione delle applicazioni su larga scala. Una zona di destinazione di Azure usa le sottoscrizioni per isolare e ridimensionare le risorse dell'applicazione e le risorse della piattaforma. Le sottoscrizioni per le risorse dell'applicazione sono denominate zone di destinazione dell'applicazione e le sottoscrizioni per le risorse della piattaforma sono denominate zone di destinazione della piattaforma.
L'architettura della zona di destinazione di Azure è scalabile e modulare per soddisfare le diverse esigenze di distribuzione. Un'infrastruttura ripetibile consente di applicare in modo coerente configurazioni e controlli a ogni sottoscrizione. I moduli semplificano la distribuzione e la modifica di componenti specifici dell'architettura della zona di destinazione di Azure man mano che i requisiti si evolvono.
Zone di destinazione della piattaforma e zone di destinazione dell'applicazione
Una zona di destinazione di Azure è costituita da zone di destinazione della piattaforma e zone di destinazione dell'applicazione. Vale la pena spiegare la funzione di entrambi in modo più dettagliato.
Zona di destinazione della piattaforma: una zona di destinazione della piattaforma è una sottoscrizione che fornisce servizi condivisi (identità, connettività, gestione) alle applicazioni nelle zone di destinazione dell'applicazione. Il consolidamento di questi servizi condivisi migliora spesso l'efficienza operativa. Uno o più team centrali gestiscono le zone di destinazione della piattaforma.
Zona di destinazione dell'applicazione: una zona di destinazione dell'applicazione è una sottoscrizione per l'hosting di un'applicazione. È possibile eseguire la pre-configurazione delle zone di destinazione delle applicazioni tramite codice e usare gruppi di gestione per assegnare criteri di controllo a tali zone.
Esistono tre approcci principali per la gestione delle zone di destinazione delle applicazioni. È consigliabile usare un approccio di gestione del team centrale (1), del team applicativo (2), o del team condiviso (3), a seconda delle vostre necessità (consultare la tabella).
| Approccio di gestione della zona di destinazione dell'applicazione | Descrizione |
|---|---|
| Gestione del team a livello centrale | Un team IT centrale gestisce completamente la zona di destinazione. Il team applica controlli e strumenti della piattaforma alle zone di destinazione della piattaforma e dell'applicazione. |
| Gestione del team di applicazioni | Un team di amministrazione della piattaforma delega l'intera zona di destinazione dell'applicazione a un team dell'applicazione. Il team dell'applicazione gestisce e supporta l'ambiente. I criteri del gruppo di gestione assicurano che il team della piattaforma continui a gestire la zona di destinazione dell'applicazione. È possibile aggiungere altri criteri nell'ambito della sottoscrizione e usare strumenti alternativi per la distribuzione, la protezione o il monitoraggio delle zone di destinazione dell'applicazione. |
| Gestione condivisa | Tramite piattaforme tecnologiche, ad esempio AKS o AVS, un team IT centrale gestisce il servizio sottostante. I team delle applicazioni sono responsabili delle applicazioni in esecuzione sulle piattaforme tecnologiche. È necessario usare controlli o autorizzazioni di accesso diversi per questo modello. Questi controlli e autorizzazioni differiscono da quelli usati per gestire centralmente le zone di destinazione dell'applicazione. |
Acceleratori di zona di destinazione di Azure
Gli acceleratori sono implementazioni di infrastruttura come codice che consentono di distribuire correttamente una zona di destinazione di Azure. È disponibile un acceleratore di zona di destinazione della piattaforma e diversi acceleratori di zona di destinazione dell'applicazione che è possibile distribuire.
Acceleratore della zona di atterraggio della piattaforma
È disponibile un'esperienza di distribuzione predefinita denominata acceleratore del portale della zona di destinazione di Azure. L'acceleratore del portale della zona di destinazione di Azure distribuisce l'architettura concettuale (vedere la figura 1) e applica configurazioni predeterminate ai componenti chiave, ad esempio i gruppi di gestione e i criteri. Si adatta alle organizzazioni la cui architettura concettuale è allineata al modello operativo pianificato e alla struttura delle risorse.
Se si prevede di gestire l'ambiente tramite il portale di Azure, è consigliabile usare l'acceleratore della zona di atterraggio di Azure.
Creare zone di destinazione di Azure scalabili e modulari
Microsoft offre il Cloud Adoption Framework come punto di partenza collaudato per il percorso verso il cloud, includendo la metodologia Secure.
Un altro componente critico di Cloud Adoption Framework nella metodologia Ready è la zona di destinazione di Azure, che accelera l'adozione del cloud fornendo un'implementazione automatizzata di architetture complete e ambienti operativi, inclusi gli elementi di sicurezza. Le procedure consigliate per la sicurezza sono integrate nelle zone di destinazione di Azure. Con le landing zones, puoi migrare rapidamente e in modo sicuro i tuoi primi carichi di lavoro con le migliori pratiche incorporate per la sicurezza e la governance.
Durante la progettazione e l'implementazione della zona di destinazione dell'organizzazione, usare l'architettura di riferimento seguente come stato finale di destinazione. Tale architettura acquisisce considerazioni sulla progettazione ambientale ben ponderate e su larga scala.
È consigliabile usare le zone di destinazione di Azure quando possibile nei piani di adozione del cloud. Le zone di atterraggio forniscono un punto di partenza architettonico. Le zone di destinazione di Azure consentono di seguire la sicurezza e altre procedure consigliate, indipendentemente dal fatto che si distribuisca un nuovo carico di lavoro, si esegua la migrazione di carichi di lavoro esistenti o si migliorino i carichi di lavoro già distribuiti. L'uso delle zone di destinazione consente di seguire le procedure consigliate, indipendentemente dal fatto che vengano implementate tutte contemporaneamente o in modo incrementale.
Annotazioni
L'organizzazione può personalizzare l'architettura della zona di destinazione di Azure per soddisfare i requisiti aziendali univoci.
Le zone di destinazione di Azure contengono codice che semplifica i team IT e di sicurezza dell'organizzazione. Le zone di destinazione offrono un metodo ripetibile e prevedibile per applicare un'implementazione templatizzata. Tale implementazione include un approccio alla distribuzione, principi di progettazione e aree di progettazione. Le zone di destinazione supportano i processi di sicurezza, gestione e governance, nonché l'automazione della piattaforma e DevOps.
Applicare i principi di Zero Trust
L'organizzazione può adattare le zone di destinazione di Azure in base alle procedure consigliate di Azure Security Benchmark (ASB) e ai principi Zero Trust (ZT), inclusi nell'architettura di destinazione. Passare all'architettura di destinazione allineata alle procedure consigliate, implementando altre considerazioni sulla sicurezza e principi Zero Trust in grado di costruire e migliorare in modo incrementale MVP per la sicurezza e la governance dell'organizzazione.
Estendere gli approcci dell’architettura Zero Trust che non considerano mai attendibili e verificano sempre. Integra una strategia end-to-end nel tuo ambiente digitale che includa identità, endpoint, rete, dati, applicazioni e infrastruttura.
Seguire le raccomandazioni sulla sicurezza di Azure Security Benchmark
È consigliabile che l'organizzazione segua le raccomandazioni sulla sicurezza ad alto impatto di Azure Security Benchmark. Sono disponibili anche indicazioni nelle zone di destinazione di Azure e in Cloud Adoption Framework stesso. Includere le raccomandazioni ASB come parte della strategia architettonica, esaminando tutta la documentazione pertinente e i parametri di riferimento specifici del servizio.
Suggerimento
Le zone di destinazione di Azure assegnano i criteri ASB per impostazione predefinita al vertice della gerarchia. Questo approccio garantisce che tutte le sottoscrizioni e i carichi di lavoro nella zona di destinazione vengano monitorati per la conformità ai criteri ASB.