Konsep SLZ
Artikel ini menjelaskan konsep yang terkait dengan Sovereign Landing Zone (SLZ).
Metode penerapan dan konfigurasi untuk SLZ
Untuk organisasi yang ingin menyederhanakan adopsi, mereka bisa mengonfigurasi SLZ dari file parameter tunggal dan menerapkannya dengan menjalankan skrip tunggal. File parameter dan orkestrasi penyebaran terkaitnya memberikan konsistensi dalam lingkungan melalui metode seperti dengan menggunakan konvensi penamaan umum untuk sumber daya dan standarisasi dalam lingkungan. Desain ini memungkinkan organisasi untuk memulai dengan cepat dengan SLZ tanpa harus mereferensikan banyak langkah penerapan manual dan berbagai sumber dokumentasi.
Ketika organisasi perlu menunjukkan pemisahan tugas dan kepatuhan terhadap hak istimewa paling rendah, mereka dapat mengonfigurasi SLZ dari satu atau lebih file parameter. Organisasi dapat membagi penerapan menjadi langkah-langkah individual berdasarkan area fungsional. Misalnya, tim yang menyediakan langganan dan mengonfigurasi grup manajemen dapat melakukannya sebagai satu aktivitas penerapan sambil tetap memungkinkan tim terpisah untuk mengelola kebijakan dan kepatuhan pada cakupan ini. Langkah-langkah penerapan individual ini memerlukan koordinasi namun memungkinkan pengalaman penerapan yang lebih terperinci.
Untuk informasi selengkapnya tentang penerapan awal seluruh SLZ sekaligus atau menggunakan langkah-langkah penerapan individual, lihat dokumentasi Sovereign Landing Zone di GitHub.
Penyesuaian Lanjutan terhadap SLZ
File parameter SLZ membantu organisasi dengan sepenuhnya mengonfigurasi penerapannya dan memastikan konsistensi di seluruh bagian lingkungan. Organisasi harus meninjau opsi konfigurasi untuk menentukan setelan yang sesuai untuk penerapannya.
Namun, file parameter SLZ tidak dapat memberikan opsi konfigurasi lengkap untuk setiap kemungkinan pengaturan yang mungkin diinginkan pelanggan. Jika diperlukan lebih banyak kemampuan, kami merekomendasikan opsi berikut:
Minta kemampuan konfigurasi baru melalui permintaan fitur. Kami merekomendasikan untuk meminta kemampuan baru ini ketika mengatasi tantangan umum atau tujuan umum.
Lakukan penyesuaian setelah penerapan SLZ. Langkah-langkah pasca penerapan direkomendasikan ketika organisasi perlu menempatkan lebih banyak kontrol atau membuat sumber daya tambahan sebelum memberikan izin bagi pemilik beban kerja untuk menggunakan lingkungan tersebut.
Buat percabangan dan pertahankan salinan lokal dari repositori SLZ. Kami merekomendasikan penggunaan opsi ini untuk organisasi yang memerlukan kontrol konfigurasi penuh atas lingkungannya atau mengharuskan kontrol keamanannya dimasukkan ke dalam lingkungan.
Gunakan kebijakan Kustom
Kebijakan Azure dimaksudkan untuk memberikan visibilitas dan pagar teknis yang sesuai untuk memastikan postur kepatuhan dipertahankan. Bagi banyak organisasi, sangat penting untuk menerapkan kebijakan ini ke dalam lingkungan sebelum menerapkan beban kerja. Orkestrasi SLZ memberikan kemampuan untuk membuat dan menerapkan definisi dan penetapan kebijakan khusus bersamaan dengan penerapan SLZ dan pada cakupan tertentu dalam penerapan tersebut. Orkestrasi memberikan organisasi keyakinan bahwa persyaratan kepatuhan unik mereka sudah diterapkan sejak awal. Organisasi yang tidak memerlukan kebijakan khusus juga dapat menggunakan orkestrasi untuk menetapkan kumpulan kebijakan bawaan juga.
Dokumentasi kami tentang kumpulan kebijakan pratinjau dalam portofolio kebijakan berisi informasi selengkapnya tentang cara menggunakan kebijakan kustom dalam SLZ.
Meminimalkan biaya untuk pilot
Saat melakukan uji coba atau melakukan pembuktian konsep, penting untuk berhati-hati terhadap implikasi biayanya. Pengaturan default untuk SLZ membuat penerapan siap produksi, yang mungkin memerlukan biaya mahal bagi organisasi yang belum siap untuk produksi. Orkestrasi SLZ menyediakan peralihan untuk banyak sumber daya, dan organisasi harus menentukan mana yang diperlukan untuk penerapannya.
Kami merekomendasikan untuk meninjau penawaran produk berikut:
Azure Perlindungan DDoS: Kami merekomendasikan SKU standar karena peningkatan kemampuannya seputar pembentukan lalu lintas, perbaikan, dan visibilitas ke dalam peristiwa DDoS. Namun, Anda dapat menggunakan SKU dasar untuk lingkungan nonproduksi.
Azure Firewall: Azure Firewall memungkinkan organisasi untuk membangun keamanan jaringan yang kuat di sekitar penerapan SLZ mereka. Namun, organisasi dapat menemukan sumber daya jaringan Azure lainnya sebagai teknologi yang sesuai untuk membangun keamanan di sekitar lingkungan nonproduksi.
Azure VPN Gateway: Penawaran VPN Gateway dan ExpressRoute Azure memungkinkan organisasi untuk menyambungkan lingkungan lokal mereka ke Azure. Namun, organisasi mungkin tidak memerlukan lingkungan nonproduksi untuk memiliki jenis konektivitas jaringan ini dan sebagai gantinya dapat menggunakan Azure Bastion atau teknologi akses lainnya.