Concetti della Sovereign Landing Zone
Questo articolo descrive i vari concetti associati a una Sovereign Landing Zone (SLZ).
Metodi di distribuzione e configurazione per una SLZ
Le organizzazioni che desiderano semplificare l'adozione possono configurare una SLZ da un singolo file di parametri e distribuirla eseguendo un singolo script. Il file dei parametri e la relativa orchestrazione della distribuzione associata garantiscono coerenza nell'ambiente tramite metodi quali l'utilizzo di una convenzione di denominazione comune per risorse e standardizzazione all'interno dell'ambiente. Questa progettazione consente a un'organizzazione di iniziare rapidamente a utilizzare una SLZ senza dover fare riferimento a numerosi passaggi di distribuzione manuale e a varie fonti di documentazione.
Quando le organizzazioni devono dimostrare la separazione dei compiti e il rispetto dei privilegi minimi, possono configurare una SLZ da uno o più file di parametri. Le organizzazioni possono suddividere la distribuzione in singoli passaggi in base alle aree funzionali. Ad esempio, il team che fornisce le sottoscrizioni e configura i gruppi di gestione può farlo come un'unica attività di distribuzione consentendo comunque a un team separato di gestire i criteri e la conformità in questi ambiti. Questi singoli passaggi di distribuzione richiedono un coordinamento ma consentono un'esperienza di distribuzione più granulare.
Per ulteriori informazioni sulla distribuzione iniziale dell'intera SLZ in una sola volta o sull'utilizzo dei singoli passaggi di distribuzione, vedi la documentazione Sovereign Landing Zone su GitHub.
Personalizzazioni avanzate per la SLZ
Il file dei parametri della SLZ consente a un'organizzazione di configurare completamente la propria distribuzione e di garantire la coerenza in tutte le parti dell'ambiente. Le organizzazioni devono esaminare le opzioni di configurazione per determinare le impostazioni appropriate per la distribuzione delle stesse.
Tuttavia, il file di parametri della SLZ non può fornire opzioni di configurazione complete per ogni possibile impostazione che un cliente potrebbe desiderare. Nel caso in cui siano necessarie più funzionalità, consigliamo le seguenti opzioni:
Richiedi nuove funzionalità di configurazione tramite una richiesta di funzionalità. Consigliamo di richiedere queste nuove funzionalità quando si affrontano sfide generali o comuni.
Effettua le personalizzazioni dopo la distribuzione della SLZ. I passaggi successivi alla distribuzione sono consigliati quando le organizzazioni devono implementare più controlli o creare risorse aggiuntive prima di fornire le autorizzazioni ai proprietari dei carichi di lavoro per utilizzare l'ambiente.
Effettua il fork e mantieni una copia locale del repository della SLZ. Consigliamo di utilizzare questa opzione per le organizzazioni che necessitano del controllo completo della configurazione nel proprio ambiente o che richiedono che i propri controlli di sicurezza siano integrati nell'ambiente.
Usare criteri personalizzati
I criteri di Azure hanno lo scopo di fornire visibilità e protezioni tecniche adeguate per garantire il mantenimento di un atteggiamento di conformità. Per molte organizzazioni, è fondamentale che questi criteri siano integrati nell'ambiente prima della distribuzione dei carichi di lavoro. L'orchestrazione della SLZ offre la possibilità di creare e distribuire definizioni e assegnazioni di criteri personalizzate insieme a una distribuzione della SLZ e in ambiti specificati all'interno della distribuzione. L'orchestrazione fornisce alle organizzazioni la certezza che i loro requisiti di conformità univoci siano implementati fin dall'inizio. Le organizzazioni che non necessitano di criteri personalizzati possono anche utilizzare l'orchestrazione per assegnare anche set di criteri integrati.
La nostra documentazione sui set di criteri in anteprima nel portafoglio di criteri contiene ulteriori informazioni su come utilizzare i criteri personalizzati in una Sovereign Landing Zone (SLZ).
Ridurre al minimo i costi per i piloti
Quando si pilota o si conduce un modello di verifica, è importante essere coscienziosi delle implicazioni in termini di costi. Le impostazioni predefinite per la SLZ creano una distribuzione pronta per la produzione, che potrebbe risultare proibitiva in termini di costi per le organizzazioni che non sono ancora pronte per la produzione. L'orchestrazione della SLZ fornisce opzioni per molte risorse e le organizzazioni devono determinare quali sono necessarie per la loro distribuzione.
Consigliamo di esaminare le seguenti offerte di prodotti:
Protezione DDoS di Azure: consigliamo lo SKU standard per via delle funzionalità migliorate in termini di modellazione del traffico, correzione e visibilità negli eventi DDoS. Tuttavia, puoi utilizzare lo SKU di base per ambienti non di produzione.
Firewall di Azure: il firewall di Azure consente alle organizzazioni di creare una solida sicurezza di rete per la distribuzione della SLZ. Tuttavia, le organizzazioni possono trovare altre risorse di rete di Azure come tecnologie adatte per creare sicurezza negli ambienti non di produzione.
Gateway VPN di Azure: le offerte Gateway VPN di Azure ed ExpressRoute consentono a un'organizzazione di connettere i propri ambienti locali ad Azure. Tuttavia, le organizzazioni potrebbero non aver bisogno di ambienti non di produzione per avere questo tipo di connettività di rete e possono invece usare Azure Bastion o altre tecnologie di accesso.