ブラウンフィールド ランディング ゾーンに関する考慮事項

ブラウンフィールド デプロイは、Azure ランディング ゾーンのターゲット アーキテクチャとベスト プラクティスに合わせて変更を加える必要がある既存の環境です。 ブラウンフィールド デプロイ シナリオを解決する必要がある場合は、既存の Microsoft Azure 環境から始めることを検討してください。 この記事は、クラウド導入フレームワーク準備ドキュメントの他の場所にあるガイダンスをまとめたものです。詳細については、「クラウド導入フレームワーク準備の手法の概要」を参照してください。

リソースの編成

ブラウンフィールド環境では、Azure 環境が既に確立されています。 しかし、実績のあるリソース組織の原則を今すぐ適用し、先に進むのに遅すぎることはありません。 次のいずれかの推奨事項を実装することを検討してください。

• 現在の環境で管理グループが使用されていない場合は、それを検討してください。 管理グループは、大規模なサブスクリプション全体でポリシー、アクセス、コンプライアンスを管理するために重要です。 管理グループは、実装のガイドとして役立ちます。
• 現在の環境で管理グループが使用されている場合は、実装を評価するときに管理グループのガイダンスを検討してください。
• 現在の環境に既存のサブスクリプションがある場合は、サブスクリプションのガイダンスを検討して、それらを効果的に使用しているかどうかを確認してください。 サブスクリプションはポリシーと管理の境界として機能し、スケール ユニットです。
• 現在の環境に既存のリソースがある場合は、名前付けとタグ付けのガイダンスを使用して、今後のタグ付け戦略と名前付け規則に影響を与えることを検討してください。
• Azure Policy は、分類タグに関する整合性の確立と適用に役立ちます。

セキュリティ

認証、承認、アカウンティングに関して既存の Azure 環境のセキュリティ態勢を調整することは、継続的で反復的なプロセスです。 次の推奨事項の実装を検討してください。

• Microsoft の Azure のセキュリティに関する上位 10 件のベスト プラクティスを利用します。 このガイダンスは、Microsoft クラウド ソリューション アーキテクト (CSA) と Microsoft パートナーからのフィールドで実績のあるガイダンスをまとめたものです。
• Microsoft Entra Connect クラウド同期をデプロイして、ローカル Active Directory Domain Services (AD DS) ユーザーに、Microsoft Entra ID 対応アプリケーションへのセキュリティで保護されたシングル サインオン (SSO) を提供します。 ハイブリッド ID を構成するもう 1 つの利点は、Microsoft Entra 多要素認証 (MFA) と Microsoft Entra のパスワード保護を適用して、これらの ID をさらに保護できることです
• Microsoft Entra 条件付きアクセスを使用することで、クラウド アプリと Azure リソースに対する安全な認証を実現します。
• Microsoft Entra Privileged Identity Management を実装して、Azure 環境全体で最小特権のアクセスと詳細なレポートを確保します。 チームは、適切なユーザーとサービスの原則が最新かつ正しい承認レベルを持っていることを確認するために、定期的なアクセス レビューを開始する必要があります。 クラウド導入フレームワークのアクセス制御のガイダンスも確認します。
• Microsoft Defender for Cloud の推奨事項、アラート、修復の機能を利用します。 セキュリティ チームは、より堅牢で一元管理されたハイブリッドおよびマルチクラウド セキュリティ情報イベント管理 (SIEM)/セキュリティ オーケストレーションと応答 (SOAR) ソリューションが必要な場合に、Microsoft Defender for Cloud を Microsoft Sentinel に統合することもできます。

ガバナンス

Azure のセキュリティと同様に、Azure のガバナンス は "1 回限り" の提案ではありません。 むしろこれは、標準化とコンプライアンスの適用の進化し続けるプロセスです。 次のコントロールを実装することを検討してください。

• ハイブリッドまたはマルチクラウド環境の管理ベースラインを確立するためのガイダンスを確認する
• 課金スコープ、予算、アラートなどの Microsoft Cost Management 機能を実装して、Azure の支出が所定の範囲内にとどまるようにします
• Azure Policy を使用して Azure デプロイでガバナンス ガードレールを適用し、修復タスクをトリガーして既存の Azure リソースを準拠状態にする
• Azure 要求、アクセスの割り当て、レビュー、有効期限を自動化するために Microsoft Entra エンタイトルメント管理を検討する
• Azure Advisor の推奨事項を適用して、Azure でのコストの最適化と運用の卓越性を確保する。これらはどちらも Microsoft Azure Well-Architected フレームワークのコア原則です。

ネットワーク

確かに、既に確立されている Azure 仮想ネットワーク (VNet) インフラストラクチャをリファクターすることは、多くの企業にとって面倒な作業になる可能性があります。 そのため、ネットワークの設計、実装、およびメンテナンス作業に次のガイダンスを組み込むことを検討してください。

• Azure VNet のハブ アンド スポーク トポロジの計画、デプロイ、保守に関するベスト プラクティスを確認する
• 複数の VNet 間でネットワーク セキュリティ グループ (NSG) セキュリティ規則を一元化するために Azure Virtual Network Manager (プレビュー) を検討する
• Azure Virtual WAN により、ネットワーク、セキュリティ、ルーティングを統合して、企業がハイブリッド クラウド アーキテクチャをより安全かつ迅速に構築できるようにする
• Azure Private Link を使用して Azure データ サービスにプライベートにアクセスする。 Private Link サービスにより、パブリック インターネット経由ではなく Azure バックボーン ネットワークとプライベート IP アドレスを使用して、ユーザーとアプリケーションが主要な Azure サービスと通信できるようになります

次のステップ

Azure ブラウンフィールド環境に関する考慮事項の概要を確認したので、次に示すいくつかの関連リソースを確認します。

• Azure ランディング ゾーン Bicep - デプロイ フロー
• Microsoft Well-Architected Framework
• クラウド導入フレームワークのツールとテンプレート