Considerações sobre a zona de destino brownfield

Uma implantação brownfield é um ambiente existente que requer modificação para se alinhar à arquitetura de destino e às práticas recomendadas da zona de destino do Azure. Quando você precisar resolver um cenário de implantação brownfield, considere seu ambiente existente do Microsoft Azure como o local para começar. Este artigo resume as diretrizes encontradas em outras partes da documentação do Cloud Adoption Framework Ready Para obter mais informações, consulte Introdução à metodologia Cloud Adoption Framework Ready.

Organização do recurso

Em um ambiente brownfield, você já estabeleceu seu ambiente do Azure. Mas nunca é tarde demais para aplicar princípios comprovados de organização de recursos agora e no futuro. Considere implementar qualquer uma das seguintes sugestões:

• Se o ambiente atual não usa grupos de gerenciamento, considere-os. Os grupos de gerenciamento são essenciais para gerenciar políticas, acesso e conformidade entre assinaturas em escala. Os grupos de gerenciamento ajudam a orientar sua implementação.
• Se o ambiente atual usa grupos de gerenciamento, considere as diretrizes em grupos de gerenciamento ao avaliar sua implementação.
• Se você tiver assinaturas existentes em seu ambiente atual, considere as diretrizes em assinaturas para ver se você as está usando de forma eficaz. As assinaturas atuam como limites de política e gerenciamento e são unidades de escala.
• Se você tiver recursos existentes em seu ambiente atual, considere usar as diretrizes em nomenclatura e marcação para influenciar sua estratégia de marcação e suas convenções de nomenclatura daqui para frente.
• O Azure Policy é útil para estabelecer e impor consistência em relação a marcas taxonômicas.

Segurança

Refinar a postura de segurança do ambiente existente do Azure em relação à autenticação, autorização e contabilidade é um processo contínuo e iterativo. Considere implementar as seguintes recomendações:

• Use as 10 principais melhores práticas de segurança do Azure da Microsoft. Essas diretrizes resumem as diretrizes comprovadas em campo dos CSAs (arquitetos de soluções em nuvem) da Microsoft e dos parceiros da Microsoft.
• Implante a sincronização na nuvem do Microsoft Entra Connect para fornecer aos usuários do Active Directory Domain Services (AD DS) local um SSO (logon único) seguro para os aplicativos apoiados pelo Microsoft Entra ID. Outro benefício de configurar a identidade híbrida é que você pode impor a MFA (autenticação multifator) do Microsoft Entra e a Proteção por Senha do Microsoft Entra para proteger ainda mais essas identidades
• Forneça autenticação segura para seus aplicativos de nuvem e recursos do Azure usando o Acesso Condicional do Microsoft Entra.
• Implemente o Microsoft Entra Privileged Identity Management para garantir acesso com privilégios mínimos e relatórios detalhados em todo o ambiente do Azure. As equipes devem iniciar revisões de acesso recorrentes para garantir que as pessoas e os princípios de serviço certos tenham níveis de autorização atuais e corretos. Além disso, estude as diretrizes de controle de acesso do Cloud Adoption Framework.
• Use as recomendações, os alertas e os recursos de correção do Microsoft Defender para Nuvem. Sua equipe de segurança também poderá integrar o Microsoft Defender para Nuvem ao Microsoft Sentinel se precisar de uma solução de SIEM/SOAR (Gerenciamento de Eventos de Informações de Segurança/Orquestração e Resposta de Segurança) mais robusta, híbrida, multinuvem e gerenciada centralmente.

Governança

Assim como a segurança do Azure, a governança do Azure não é uma proposta "única". Em vez disso, é um processo em constante evolução de padronização e aplicação de conformidade. Considere implementar os seguintes controles:

• Revise nossas diretrizes para estabelecer uma linha de base de gerenciamento para seu ambiente híbrido ou multicloud
• Implemente recursos do Gerenciamento de Custos da Microsoft, como escopos de cobrança, orçamentos e alertas, para garantir que seus gastos com o Azure permaneçam dentro dos limites prescritos
• Use o Azure Policy para impor proteções de governança em implantações do Azure e disparar tarefas de correção para colocar os recursos existentes do Azure em um estado de conformidade
• Considere o gerenciamento de direitos do Microsoft Entra para automatizar solicitações, atribuições de acesso, revisões e expiração do Azure
• Aplique as recomendações do Assistente do Azure para garantir a otimização de custos e a excelência operacional no Azure, ambos princípios básicos do Microsoft Azure Well-Architected Framework.

Rede

É verdade que refatorar uma infraestrutura de VNet (rede virtual) do Azure já estabelecida pode ser um trabalho pesado para muitas empresas. Dito isso, considere incorporar as seguintes diretrizes em seus esforços de design, implementação e manutenção de rede:

• Examine nossas práticas recomendadas para planejar, implantar e manter topologias hub e spoke da VNet do Azure
• Considere o Gerenciador de Rede Virtual do Azure (versão prévia) para centralizar as regras de segurança do NSG (grupo de segurança de rede) em várias VNets
• A WAN Virtual do Azure unifica a rede, a segurança e o roteamento para ajudar as empresas a criar arquiteturas de nuvem híbrida com mais segurança e rapidez
• Acesse os serviços de dados do Azure de forma privada com o Link Privado do Azure. O serviço Link Privado garante que seus usuários e aplicativos se comuniquem com os principais serviços do Azure usando a rede de backbone do Azure e endereços IP privados em vez de pela Internet pública

Próximas etapas

Agora que você tem uma visão geral das considerações sobre o ambiente brownfield do Azure, aqui estão alguns recursos relacionados a serem revisados:

• Bicep das Zonas de Destino do Azure – Fluxo de Implantação
• Microsoft Well-Architected Framework
• Ferramentas e modelos do Cloud Adoption Framework