Considerações sobre a zona de aterragem brownfield

Uma implantação brownfield é um ambiente existente que requer modificação para se alinhar à arquitetura de destino e às práticas recomendadas da zona de aterrissagem do Azure. Quando precisar resolver um cenário de implantação brownfield, considere seu ambiente existente do Microsoft Azure como o local para começar. Este artigo resume as orientações encontradas em outras partes da documentação do Cloud Adoption Framework Ready Para obter mais informações, consulte Introdução à metodologia Cloud Adoption Framework Ready.

Organização de recursos

Em um ambiente brownfield, você já estabeleceu seu ambiente do Azure. Mas nunca é tarde para aplicar princípios comprovados de organização de recursos agora e seguir em frente. Considere implementar qualquer uma das seguintes sugestões:

  • Se o seu ambiente atual não usa grupos de gerenciamento, considere-os. Os grupos de gerenciamento são fundamentais para gerenciar políticas, acesso e conformidade em assinaturas em escala. Os grupos de gerenciamento ajudam a orientar sua implementação.
  • Se seu ambiente atual usa grupos de gerenciamento, considere as orientações nos grupos de gerenciamento ao avaliar sua implementação.
  • Se tiver subscrições existentes no seu ambiente atual, considere as orientações em subscrições para ver se as está a utilizar de forma eficaz. As subscrições funcionam como limites de política e gestão e são unidades de escala.
  • Se você tiver recursos existentes em seu ambiente atual, considere usar as orientações em nomenclatura e marcação para influenciar sua estratégia de marcação e suas convenções de nomenclatura no futuro.
  • A Política do Azure é útil para estabelecer e impor consistência em relação a tags taxonômicas.

Segurança

Para refinar a postura de segurança do seu ambiente Azure existente em relação à autenticação, autorização e contabilidade é um processo contínuo e iterativo. Considere a implementação das seguintes recomendações:

  • Utilize as 10 principais práticas recomendadas de segurança do Azure da Microsoft. Este guia resume as orientações comprovadas em campo dos arquitetos de soluções em nuvem (CSAs) da Microsoft e dos parceiros da Microsoft.
  • Implante a sincronização na nuvem do Microsoft Entra Connect para fornecer aos usuários locais dos Serviços de Domínio Ative Directory (AD DS) logon único seguro (SSO) para seus aplicativos apoiados por ID do Microsoft Entra. Outro benefício de configurar a identidade híbrida é que você pode impor a autenticação multifator (MFA) do Microsoft Entra e a Proteção por Senha do Microsoft Entra para proteger ainda mais essas identidades
  • Forneça autenticação segura para seus aplicativos de nuvem e recursos do Azure usando o Acesso Condicional do Microsoft Entra.
  • Implemente o Microsoft Entra Privileged Identity Management para garantir acesso com privilégios mínimos e relatórios profundos em todo o seu ambiente do Azure. As equipes devem iniciar revisões de acesso recorrentes para garantir que as pessoas e os princípios de serviço certos tenham níveis de autorização atuais e corretos. Além disso, estude as diretrizes de controle de acesso do Cloud Adoption Framework.
  • Utilize as recomendações, alertas e recursos de correção do Microsoft Defender for Cloud. Sua equipe de segurança também pode integrar o Microsoft Defender for Cloud ao Microsoft Sentinel se precisar de uma solução híbrida e multicloud de Gerenciamento de Eventos de Segurança (SIEM)/Orquestração e Resposta de Segurança (SOAR) mais robusta e gerenciada centralmente.

Governação

Assim como a segurança do Azure, a governança do Azure não é uma proposta "una e completa". Em vez disso, é um processo em constante evolução de padronização e aplicação da conformidade. Considere a implementação dos seguintes controles:

  • Reveja as nossas orientações para estabelecer uma linha de base de gestão para o seu ambiente híbrido ou multicloud
  • Implemente recursos do Microsoft Cost Management , como escopos de cobrança, orçamentos e alertas, para garantir que seus gastos do Azure permaneçam dentro dos limites prescritos
  • Use a Política do Azure para impor proteções de governança em implantações do Azure e disparar tarefas de correção para colocar os recursos existentes do Azure em um estado compatível
  • Considere o gerenciamento de direitos do Microsoft Entra para automatizar solicitações do Azure, atribuições de acesso, revisões e expiração
  • Aplique as recomendações do Azure Advisor para garantir a otimização de custos e a excelência operacional no Azure, que são princípios fundamentais do Microsoft Azure Well-Architected Framework.

Rede

É verdade que a refatoração de uma infraestrutura de rede virtual (VNet) do Azure já estabelecida pode ser um trabalho pesado para muitas empresas. Dito isso, considere incorporar as seguintes orientações em seus esforços de projeto, implementação e manutenção de rede:

  • Analise nossas práticas recomendadas para planejar, implantar e manter topologias de hub e spoke do Azure VNet
  • Considere o Azure Virtual Network Manager (Preview) para centralizar as regras de segurança do grupo de segurança de rede (NSG) em várias redes virtuais
  • A WAN Virtual do Azure unifica a rede, a segurança e o encaminhamento para ajudar as empresas a criar arquiteturas de nuvem híbrida de forma mais segura e rápida
  • Aceda aos serviços de dados do Azure de forma privada com o Azure Private Link. O serviço Link Privado garante que seus usuários e aplicativos se comuniquem com os principais serviços do Azure usando a rede de backbone do Azure e endereços IP privados em vez de pela Internet pública

Próximos passos

Agora que você tem uma visão geral das considerações do ambiente brownfield do Azure, aqui estão alguns recursos relacionados a serem revisados: