使用登陸區域部署安全基礎結構

• 7 分鐘

Azure 登陸區域是遵循八個設計領域的主要設計準則的環境。 這些設計準則適用於所有應用程式組合，並支援大規模的應用程式移轉、現代化及創新。 Azure 登陸區域會使用訂用帳戶來隔離和調整應用程式資源及平台資源。 應用程式資源的訂用帳戶稱為應用程式登陸區域，而平台資源的訂用帳戶稱為平台登陸區域。

Azure 登陸區域結構可調整且模組化，可滿足各種部署需求。 可重複的基礎結構可讓您將設定和控制項一致地套用至每個訂用帳戶。 隨著需求的變化，模組可以讓您輕鬆部署和修改特定的 Azure 登陸區域結構元件。

平台登陸區域與應用程式登陸區域

Azure 登陸區域包含平台登陸區域和應用程式登陸區域。 值得更詳細地說明兩者的功能。

平台登陸區域：平台登陸區域是一個訂用帳戶，可為應用程式登陸區域中的應用程式提供共用服務 (身分識別、連線、管理)。 合併這些共用服務通常可提升作業效率。 一或多個中央小組會管理平台登陸區域。

應用程式登陸區域：應用程式登陸區域是用於裝載應用程式的訂用帳戶。 您可以透過程式碼預先佈建應用程式登陸區域，並使用管理群組為其指派原則控制項。

管理應用程式登陸區域主要方法有三種。 根據您的需求 (請參閱表格)，您應該使用 (1) 中央小組、(2) 應用程式小組或 (3) 共用小組管理方法。

應用程式登陸區域管理方法	說明
中央小組管理	中央 IT 小組可完全運作登陸區域。 小組會將控制項和平台工具套用至平台和應用程式登陸區域。
應用程式小組管理	平台系統管理小組會將整個應用程式登陸區域委派給應用程式小組。 應用程式小組會管理並支援環境。 管理群組原則可確保平台小組仍會控管應用程式登陸區域。 您可以在訂用帳戶範圍新增其他原則，並使用替代工具來部署、保護或監視應用程式登陸區域。
共用管理	透過 AKS 或 AVS 等技術平台，中央 IT 小組可管理基礎服務。 應用程式小組則負責在技術平台上執行的應用程式。 您需要針對此模型使用不同的控制項或存取權限。 這些控制項和權限和您用於集中管理應用程式登陸區域的控制項和權限不同。

Azure 登陸區域加速器

加速器是基礎結構即程式碼實作，可協助您正確地部署 Azure 登陸區域。 我們有平台登陸區域加速器和數個您可以部署的應用程式登陸區域加速器。

平台登陸區域加速器

有稱為 Azure 登陸區域入口網站加速器的現成部署體驗。 Azure 登陸區域入口網站加速器會部署概念結構 (請參閱圖 1)，並將預先確定的設定套用至主要元件，例如管理群組和原則。 其適合概念結構和規劃的營運模型與資源結構一致的組織。

如果您打算使用 Azure 入口網站管理環境，即應該使用 Azure 登陸區域入口網站加速器。

建置可調整、模組化的 Azure 登陸區域

Microsoft 可提供雲端採用架構，為客戶提供經過證實的雲端旅程起點，包括安全方法。

「就緒」方法中雲端採用架構的另一個重要元件是 Azure 登陸區域，其可提供完整結構和作業環境 (包括安全性元素) 的自動化實作以加速雲端採用。 安全性最佳做法已在 Azure 登陸區域中整合。 使用登陸區域，您即可使用內建的安全性和治理最佳做法，快速且安全地移轉您的第一個工作負載。

設計和實作貴組織的登陸區域時，請使用下列參考結構作為目標最終狀態。 其會擷取成熟且已擴增的環境設計考量事項。

我們建議在雲端採用方案中盡可能使用 Azure 登陸區域。 登陸區域可提供結構起點。 Azure 登陸區域可協助您遵循安全性和其他最佳做法，無論是部署新的工作負載、移轉現有的工作負載，或是改善已部署的工作負載。 使用登陸區域可協助您遵循最佳做法，無論是一次性實作或是增量式實作。

Azure 登陸區域包含可讓貴組織的 IT 和安全性小組更易於使用的程式碼。 登陸區域會提供可重複且可預測的方法來套用範本化實作。 該實作包括部署方法、設計準則和設計領域。 登陸區域可支援安全性、管理和治理流程，以及平台自動化和 DevOps。

使用零信任準則

貴組織可根據 Azure 安全性基準 (ASB) 最佳做法和零信任 (ZT) 準則來調整 Azure 登陸區域，這些準則會包含在目標結構中。 朝著符合最佳做法的目標結構邁進，實作其他安全性考量事項和零信任準則，增量式建置並提升貴組織的安全性與治理 MVP。

擴充永不信任且一律驗證的零信任結構方法。 跨數位狀態整合端對端策略，其中包含身分識別、端點、網路、資料、應用程式和基礎結構。

遵循 Azure 安全性基準的安全性建議

我們建議貴組織遵循 Azure 安全性基準的高影響力安全性建議。 Azure 登陸區域和雲端採用架構本身也有指引。 檢閱所有相關文件和服務特定基準，以將 ASB 建議納入結構策略的一部分。