Considerazioni sulla zona di destinazione brownfield

Una distribuzione brownfield è un ambiente esistente che richiede modifiche per allinearsi all'architettura di destinazione della zona di destinazione di Azure e alle procedure consigliate. Quando è necessario risolvere uno scenario di distribuzione brownfield, considerare l'ambiente Microsoft Azure esistente come punto di partenza. Questo articolo riepiloga le indicazioni disponibili altrove nella documentazione di Cloud Adoption Framework Ready Per altre informazioni, vedere Introduzione alla metodologia Ready di Cloud Adoption Framework.

Organizzazione delle risorse

In un ambiente brownfield è già stato stabilito l'ambiente Azure. Ma non è mai troppo tardi per applicare i principi comprovati dell'organizzazione delle risorse ora e andare avanti. Prendere in considerazione l'implementazione di uno dei suggerimenti seguenti:

• Se l'ambiente corrente non usa i gruppi di gestione, considerarli. I gruppi di gestione sono fondamentali per la gestione di criteri, accesso e conformità tra sottoscrizioni su larga scala. I gruppi di gestione guidano l'implementazione.
• Se l'ambiente corrente usa gruppi di gestione, prendere in considerazione le linee guida nei gruppi di gestione durante la valutazione dell'implementazione.
• Se sono presenti sottoscrizioni esistenti nell'ambiente corrente, prendere in considerazione le indicazioni contenute nelle sottoscrizioni per verificare se vengono usati in modo efficace. Le sottoscrizioni fungono da limiti di criteri e gestione e sono unità di scala.
• Se nell'ambiente corrente sono presenti risorse, è consigliabile usare le linee guida per la denominazione e l'assegnazione di tag per influenzare la strategia di assegnazione di tag e le convenzioni di denominazione in futuro.
• Criteri di Azure è utile per stabilire e applicare la coerenza relativa ai tag tassonomici.

Sicurezza

Per perfezionare il comportamento di sicurezza dell'ambiente Azure esistente per l'autenticazione, l'autorizzazione e la contabilità è un processo iterativo in corso. Valutare la possibilità di implementare le raccomandazioni seguenti:

• Distribuire la sincronizzazione cloud di Microsoft Entra per fornire agli utenti locali di Active Directory Domain Services (AD DS) l'accesso Single Sign-On (SSO) sicuro alle applicazioni supportate da Microsoft Entra ID. Un altro vantaggio per la configurazione dell'identità ibrida consiste nell'applicare l'autenticazione a più fattori Microsoft Entra e la protezione password di Microsoft Entra per proteggere ulteriormente queste identità
• Fornire l'autenticazione sicura alle app cloud e alle risorse di Azure usando l'accesso condizionale Microsoft Entra.
• Implementare Microsoft Entra Privileged Identity Management per garantire l'accesso con privilegi minimi e la creazione di report approfonditi nell'intero ambiente Azure. I team dovranno avviare verifiche di accesso ricorrenti per assicurarsi che le persone e le entità servizio giuste abbiano i livelli di autorizzazione corretti e aggiornati. Inoltre, studiare le linee guida per il controllo di accesso.
• Usare le raccomandazioni, gli avvisi e le funzionalità di correzione di Microsoft Defender per il cloud. Il team di sicurezza può anche integrare Microsoft Defender per il cloud in Microsoft Sentinel se necessitano di una soluzione SIEM (Security Information Event Management)/SOAR (Security Orchestration and Response) ibrida e multicloud, gestita centralmente e più affidabile.

Governance

Analogamente alla sicurezza di Azure, la governance di Azure non è una proposta "one and done". Piuttosto, si tratta di un processo in continua evoluzione di standardizzazione e applicazione della conformità. Valutare la possibilità di implementare i controlli seguenti:

• Esaminare le linee guida per stabilire una baseline di gestione per l'ambiente ibrido o multicloud
• Implementare funzionalità di Gestione costi Microsoft, ad esempio ambiti di fatturazione, budget e avvisi per garantire che la spesa di Azure rimanga entro limiti prestabiliti
• Usare Criteri di Azure per applicare protezioni di governance nelle distribuzioni di Azure e attivare le attività di correzione per portare le risorse di Azure esistenti in uno stato conforme
• Prendere in considerazione la gestione entitlement di Microsoft Entra per automatizzare le richieste di Azure, le assegnazioni di accesso, le verifiche e la scadenza
• Applicare le raccomandazioni di Azure Advisor per garantire l'ottimizzazione dei costi e l'eccellenza operativa in Azure, entrambi principi fondamentali del framework microsoft Azure Well-Architected.

Rete

È vero che il refactoring di un'infrastruttura di rete virtuale (VNet) di Azure già stabilita può essere un'operazione pesante per molte aziende. Ciò premesso, è consigliabile incorporare le linee guida seguenti nella progettazione, nell'implementazione e nelle attività di manutenzione della rete:

• Esaminare le procedure consigliate per la pianificazione, la distribuzione e la gestione di topologie hub e spoke di Rete virtuale di Azure
• Prendere in considerazione Azure Rete virtuale Manager (anteprima) per centralizzare le regole di sicurezza del gruppo di sicurezza di rete (NSG) tra più reti virtuali
• Azure rete WAN virtuale unifica rete, sicurezza e routing per aiutare le aziende a creare architetture cloud ibride più sicure e più rapide
• Accedere ai servizi dati di Azure privatamente con collegamento privato di Azure. Il servizio collegamento privato garantisce che gli utenti e le applicazioni comunichino con i servizi chiave di Azure usando la rete backbone di Azure e gli indirizzi IP privati anziché tramite Internet pubblico

Passaggi successivi

Dopo aver ottenuto una panoramica delle considerazioni sull'ambiente brownfield di Azure, ecco alcune risorse correlate da esaminare:

• Bicep zone di destinazione di Azure - Flusso di distribuzione
• Microsoft Well-Architected Framework
• Strumenti e modelli di Cloud Adoption Framework