Linee guida per l'implementazione su scala aziendaleEnterprise-scale implementation guidelines

Questo articolo illustra come iniziare a usare l'implementazione di riferimento a livello aziendale e a livello di piattaforma e gli obiettivi di progettazione del contorno.This article covers how to get started with the enterprise-scale, platform-native reference implementation and outline design objectives.

Per implementare l'architettura di livello aziendale, è necessario considerare i termini delle categorie di attività seguenti:In order to implement the enterprise-scale architecture, you must think in terms of the following categories of activities:

  1. Cosa deve essere true per l'architettura di livello Enterprise: Include le attività che devono essere eseguite dagli amministratori di Azure e Azure Active Directory (Azure AD) per stabilire una configurazione iniziale.What must be true for the enterprise-scale architecture: Encompasses activities that must be performed by the Azure and Azure Active Directory (Azure AD) administrators to establish an initial configuration. Queste attività sono sequenziali per natura e principalmente per le attività occasionali.These activities are sequential by nature and primarily one-off activities.

  2. Abilita una nuova area (File > nuova area >): Include le attività necessarie ogni volta che è necessario espandere la piattaforma di livello aziendale in una nuova area di Azure.Enable a new region (File > New > Region): Encompasses activities that are required whenever there is a need to expand the enterprise-scale platform into a new Azure region.

  3. Distribuire una nuova area di destinazione (File > nuova area di destinazione >): Si tratta di attività ricorrenti necessarie per creare un'istanza di una nuova zona di destinazione.Deploy a new landing zone (File > New > Landing Zone): These are recurring activities that are required to instantiate a new landing zone.

Per rendere operativo su larga scala, queste attività devono seguire i principi di infrastruttura come codice (IaC) e devono essere automatizzate tramite pipeline di distribuzione.To operationalize at scale, these activities must follow infrastructure-as-code (IaC) principles and must be automated by using deployment pipelines.

Cosa deve essere true per una zona di destinazione su scala aziendaleWhat must be true for an enterprise-scale landing zone

Le sezioni seguenti elencano i passaggi per completare questa categoria di attività nel Framework di adozione Microsoft Cloud per Azure.The following sections list the steps to complete this category of activity in the Microsoft Cloud Adoption Framework for Azure.

Enterprise Agreement di registrazione e Azure AD tenantEnterprise Agreement enrollment and Azure AD tenants

  1. Configurare l'amministratore Enterprise Agreement (EA) e l'account di notifica.Set up the Enterprise Agreement (EA) administrator and notification account.

  2. Creare reparti: domini aziendali/basati su Geo/org.Create departments: business domains/geo-based/org.

  3. Creare un account EA in un reparto.Create an EA account under a department.

  4. Configurare Azure AD Connect per ogni tenant Azure AD se l'identità deve essere sincronizzata dall'ambiente locale.Set up Azure AD Connect for each Azure AD tenant if the identity is to be synchronized from on-premises.

  5. Consente di stabilire l'accesso in tempo zero alle risorse di Azure e l'accesso JIT (just-in-Time) tramite Azure AD Privileged Identity Management (PIM).Establish zero standing access to Azure resources and just-in-time access via Azure AD Privileged Identity Management (PIM).

Gruppo di gestione e sottoscrizioneManagement group and subscription

  1. Creare una gerarchia del gruppo di gestione seguendo le raccomandazioni in gruppo di gestione e organizzazione della sottoscrizione.Create a management group hierarchy by following the recommendations in Management group and subscription organization.

  2. Definire i criteri per il provisioning della sottoscrizione e le responsabilità di un proprietario della sottoscrizione.Define the criteria for subscription provisioning and the responsibilities of a subscription owner.

  3. Creazione di sottoscrizioni di gestione, connettività e identità per la gestione della piattaforma, le reti globali e le risorse di connettività e identità come Active Directory controller di dominio.Create management, connectivity, and identity subscriptions for platform management, global networking, and connectivity and identity resources like Active Directory domain controllers.

  4. Configurare un repository Git per ospitare IaC ed entità servizio da usare con una pipeline della piattaforma per l'integrazione continua e la distribuzione continua.Set up a Git repository to host IaC and service principals for use with a platform pipeline for continuous integration and continuous deployment.

  5. Creazione di definizioni di ruolo personalizzate e gestione dei diritti utilizzando Azure AD PIM per gli ambiti di sottoscrizione e di gruppo di gestione.Create custom role definitions and manage entitlements by using Azure AD PIM for subscription and management group scopes.

  6. Creare le assegnazioni di criteri di Azure nella tabella seguente per le aree di destinazione.Create the Azure Policy assignments in the following table for the landing zones.

NomeName DescrizioneDescription
Deny-PublicEndpoints Nega la creazione di servizi con endpoint pubblici in tutte le aree di destinazione.Denies the creation of services with public endpoints on all landing zones.
Deploy-VM-Backup Garantisce che il backup sia configurato e distribuito in tutte le macchine virtuali nelle zone di destinazione.Ensures that backup is configured and deployed to all VMs in the landing zones.
Deploy-VNet Garantisce che tutte le zone di destinazione dispongano di una rete virtuale distribuita e che ne venga eseguita il peering nell'hub virtuale a livello di area.Ensures that all landing zones have a virtual network deployed and that it's peered to the regional virtual hub.

Guida alla governance sandboxSandbox Governance Guidance

Come descritto in dettaglio nell' area di progettazione critica del gruppo di gestione e dell'organizzazione della sottoscrizione, le sottoscrizioni inserite nella gerarchia del gruppo di gestione sandbox dovrebbero avere un approccio meno restrittivo.As detailed in the Management group and subscription organization critical design area, subscriptions placed within the Sandbox Management Group hierarchy should have a less restrictive policy approach. Poiché queste sottoscrizioni devono essere usate dagli utenti all'interno dell'azienda per sperimentare e innovazione con prodotti e servizi di Azure, che potrebbero non essere ancora consentite nella gerarchia delle zone di destinazione, per convalidare se le idee e i concetti potrebbero funzionare; prima di passare a un ambiente di sviluppo formale,As these subscriptions should be used by users within the business to experiment and innovate with Azure products and services, that may not be yet permitted in your Landing Zones hierarchy, to validate if their ideas/concepts could work; before they move into a formal development environment.

Tuttavia, queste sottoscrizioni nella gerarchia del gruppo di gestione sandbox richiedono ancora alcuni Guardrails applicati per assicurarsi che vengano usati solo in modo corretto; ad esempio, per l'innovazione, la valutazione di nuovi servizi, prodotti/funzionalità di Azure e la convalida dell'ideazione.However these subscriptions in the Sandbox Management Group hierarchy do still require some guardrails applied to ensure they are only used in the correct manner; e.g. for innovation, trialling new Azure services/products/features and ideation validation.

È quindi consigliabile:We therefore recommend:

  1. Creare le assegnazioni di criteri di Azure nella tabella seguente nell'ambito del gruppo di gestione sandbox:Create the Azure Policy assignments in the following table at the Sandbox Management Group scope:
NomeName DescrizioneDescription Note sull'assegnazioneAssignment Notes
Deny-VNET-Peering-Cross-Subscription Impedisce la creazione di connessioni peering VNET ad altri reti virtuali all'esterno della sottoscrizione.Prevents VNET peering connections being created to other VNETs outside of the subscription. Assicurarsi che questo criterio venga assegnato solo al livello di ambito della gerarchia del gruppo di gestione sandbox.Ensure this policy is only assigned to the Sandbox Management Group hierarchy scoping level.
Denied-Resources Risorse negate dalla creazione nelle sottoscrizioni sandbox.Resources that are denied from creation in the sandbox subscriptions. In questo modo si impedirà la creazione di eventuali risorse di connettività ibrida. ad esempio, VPN/ExpressRoute/VirtualWANThis will prevent any hybrid connectivity resources from being created; e.g. VPN/ExpressRoute/VirtualWAN Quando si assegna questo criterio, selezionare le risorse seguenti per negare la creazione di: gateway VPN: microsoft.network/vpngateways , gateway P2S: microsoft.network/p2svpngateways , WAN virtuali: microsoft.network/virtualwans , Hub WAN virtuale: microsoft.network/virtualhubs , circuiti ExpressRoute: microsoft.network/expressroutecircuits , gateway ExpressRoute: microsoft.network/expressroutegateways , porte ExpressRoute: microsoft.network/expressrouteports , connessioni incrociate ExpressRoute: microsoft.network/expressroutecrossconnections e gateway di rete locale: microsoft.network/localnetworkgateways .When assigning this policy select the following resources to deny the creation of: VPN Gateways: microsoft.network/vpngateways, P2S Gateways: microsoft.network/p2svpngateways, Virtual WANs: microsoft.network/virtualwans, Virtual WAN Hubs: microsoft.network/virtualhubs, ExpressRoute Circuits: microsoft.network/expressroutecircuits, ExpressRoute Gateways: microsoft.network/expressroutegateways, ExpressRoute Ports: microsoft.network/expressrouteports, ExpressRoute Cross-Connections: microsoft.network/expressroutecrossconnections and Local Network Gateways: microsoft.network/localnetworkgateways.
Deploy-Budget-Sandbox Garantisce l'esistenza di un budget per ogni sottoscrizione sandbox, con gli avvisi di posta elettronica abilitati.Ensures a budget exists for each sandbox subscription, with e-mail alerts enabled. Il budget verrà denominato: default-sandbox-budget in ogni sottoscrizione.The budget will be named: default-sandbox-budget in each subscription. Se durante l'assegnazione dei criteri i parametri non vengono modificati rispetto alle impostazioni predefinite default-sandbox-budget , verrà creato il budget () con un limite di soglia di valuta 1000 e verrà inviato un avviso di posta elettronica ai proprietari e ai collaboratori della sottoscrizione (in base all'assegnazione di ruolo RBAC) al 90% e al 100% della soglia del budget.If during the assignment of the policy the parameters are not amended from their defaults a the budget (default-sandbox-budget) will be created with a 1000 currency threshold limit and will send an e-mail alert to the subscription's owners and contributors (based on RBAC role assignment) at 90% and 100% of the budget threshold.

Rete globale e connettivitàGlobal networking and connectivity

  1. Allocare un intervallo CIDR della rete virtuale appropriato per ogni area di Azure in cui verranno distribuiti gli hub virtuali e le reti virtuali.Allocate an appropriate virtual network CIDR range for each Azure region where virtual hubs and virtual networks will be deployed.

  2. Se si decide di creare le risorse di rete tramite criteri di Azure, assegnare i criteri elencati nella tabella seguente alla sottoscrizione di connettività.If you decide to create the networking resources via Azure Policy, assign the policies listed in the following table to the connectivity subscription. In questo modo, criteri di Azure garantisce che le risorse nell'elenco seguente vengano create in base ai parametri forniti.By doing this, Azure Policy ensures the resources in the following list are created based on parameters provided.

    • Creare un'istanza standard della rete WAN virtuale di Azure.Create an Azure Virtual WAN Standard instance.
    • Creare un hub virtuale WAN virtuale di Azure per ogni area.Create an Azure Virtual WAN virtual hub for each region. Assicurarsi che sia distribuito almeno un gateway (Azure ExpressRoute o VPN) per ogni hub virtuale.Ensure that at least one gateway (Azure ExpressRoute or VPN) per virtual hub is deployed.
    • Proteggere gli hub virtuali distribuendo il firewall di Azure in ogni hub virtuale.Secure virtual hubs by deploying Azure Firewall within each virtual hub.
    • Creare criteri del firewall di Azure richiesti e assegnarli a hub virtuali protetti.Create required Azure Firewall policies and assign them to secure virtual hubs.
    • Assicurarsi che tutte le reti virtuali connesse a un hub virtuale protetto siano protette dal firewall di Azure.Ensure that all virtual networks connected to a secure virtual hub are protected by Azure Firewall.
  3. Distribuire e configurare una zona di DNS privato di Azure.Deploy and configure an Azure Private DNS zone.

  4. Eseguire il provisioning di circuiti ExpressRoute con il peering privato di Azure.Provision ExpressRoute circuits with Azure private peering. Seguire le istruzioni in creare e modificare il peering per un circuito ExpressRoute.Follow the instructions in Create and modify peering for an ExpressRoute circuit.

  5. Connettere HQs/controller di dominio locali a hub virtuali WAN virtuali di Azure tramite circuiti ExpressRoute.Connect on-premises HQs/DCs to Azure Virtual WAN virtual hubs via ExpressRoute circuits.

  6. Proteggere il traffico di rete virtuale tra hub virtuali con gruppi di sicurezza di rete (gruppi).Protect virtual network traffic across virtual hubs with network security groups (NSGs).

  7. Opzionale Configurare la crittografia tramite peering privato di ExpressRoute.(Optional) Set up encryption over ExpressRoute private peering. Seguire le istruzioni in crittografia ExpressRoute: IPSec su ExpressRoute per la rete WAN virtuale.Follow the instructions in ExpressRoute encryption: IPsec over ExpressRoute for Virtual WAN.

  8. Opzionale Connettere i rami all'hub virtuale tramite VPN.(Optional) Connect branches to the virtual hub via VPN. Seguire le istruzioni in creare una connessione da sito a sito usando la rete WAN virtuale di Azure.Follow the instructions in Create a Site-to-Site connection using Azure Virtual WAN.

  9. Opzionale Configurare ExpressRoute Copertura globale per la connessione di HQs/controller di dominio locali quando più di una posizione locale è connessa ad Azure tramite ExpressRoute.(Optional) Configure ExpressRoute Global Reach for connecting on-premises HQs/DCs when more than one on-premises location is connected to Azure via ExpressRoute. Seguire le istruzioni riportate in configurare ExpressRoute copertura globale.Follow the instructions in Configure ExpressRoute Global Reach.

L'elenco seguente mostra le assegnazioni di criteri di Azure usate quando si implementano le risorse di rete per una distribuzione su scala aziendale:The following list shows Azure Policy assignments that you use when you're implementing networking resources for an enterprise-scale deployment:

NomeName DescrizioneDescription
Deploy-FirewallPolicy Crea un criterio del firewall.Creates a firewall policy.
Deploy-VHub Questo criterio distribuisce un hub virtuale, un firewall di Azure e gateway VPN/ExpressRoute.This policy deploys a virtual hub, Azure Firewall, and VPN/ExpressRoute gateways. Configura anche la route predefinita nelle reti virtuali connesse al firewall di Azure.It also configures the default route on connected virtual networks to Azure Firewall.
Deploy-VWAN Distribuisce una rete WAN virtuale.Deploys a Virtual WAN.

Sicurezza, governance e conformitàSecurity, governance, and compliance

  1. Definire e applicare un Framework di abilitazione del servizio per assicurarsi che i servizi di Azure soddisfino i requisiti di sicurezza e governance aziendali.Define and apply a service enablement framework to ensure Azure services meet enterprise security and governance requirements.

  2. Creare definizioni personalizzate per il controllo degli accessi in base al ruolo.Create custom role-based access control definitions.

  3. Abilita Azure AD PIM e scopri le risorse di Azure per semplificare PIM.Enable Azure AD PIM and discover Azure resources to facilitate PIM.

  4. Creare gruppi Azure AD solo per la gestione del piano di controllo di Azure per le risorse usando Azure AD PIM.Create Azure AD-only groups for the Azure control plane management of resources by using Azure AD PIM.

  5. Applicare i criteri elencati nella tabella seguente per assicurarsi che i servizi di Azure siano conformi ai requisiti aziendali.Apply policies listed in the following table to ensure Azure services are compliant to enterprise requirements.

  6. Definire una convenzione di denominazione e applicarla tramite criteri di Azure.Define a naming convention and enforce it via Azure Policy.

  7. Creare una matrice di criteri in tutti gli ambiti (ad esempio, abilitare il monitoraggio per tutti i servizi di Azure tramite criteri di Azure).Create a policy matrix at all scopes (for example, enable monitoring for all Azure services via Azure Policy).

Per applicare lo stato di conformità a livello aziendale, è necessario utilizzare i seguenti criteri.The following policies should be used to enforce company-wide compliance status.

NomeName DescrizioneDescription
Allowed-ResourceLocation Specifica l'area consentita in cui è possibile distribuire le risorse.Specifies the allowed region where resources can be deployed.
Allowed-RGLocation Specifica l'area consentita in cui è possibile distribuire i gruppi di risorse.Specifies the allowed region where resource groups can be deployed.
Denied-Resources Risorse negate per l'azienda.Resources that are denied for the company.
Deny-AppGW-Without-WAF Consente ai gateway applicazione distribuiti con il firewall applicazione Web di Azure abilitato.Allows application gateways deployed with Azure Web Application Firewall enabled.
Deny-IP-Forwarding Nega l'invio di indirizzi IP.Denies IP forwarding.
Deny-RDP-From-Internet Nega le connessioni RDP da Internet.Denies RDP connections from the internet.
Deny-Subnet-Without-Nsg Nega la creazione di subnet senza NSG.Denies subnet creation without an NSG.
Deploy-ASC-CE Configura l'esportazione continua del Centro sicurezza di Azure nell'area di lavoro Log Analytics.Sets up Azure Security Center continuous export to your Log Analytics workspace.
Deploy-ASC-Monitoring Abilita il monitoraggio nel centro sicurezza.Enables monitoring in Security Center.
Deploy-ASC-Standard Garantisce che lo standard del Centro sicurezza sia abilitato per le sottoscrizioni.Ensures that subscriptions have Security Center Standard enabled.
Deploy-Diag-ActivityLog Abilita il log attività di diagnostica e l'invio al Log Analytics.Enables diagnostics activity log and forwarding to Log Analytics.
Deploy-Diag-LogAnalytics
Deploy-VM-Monitoring Garantisce che il monitoraggio della macchina virtuale sia abilitato.Ensures that VM monitoring is enabled.

Identità della piattaformaPlatform identity

  1. Se si creano le risorse di identità tramite criteri di Azure, assegnare i criteri elencati nella tabella seguente alla sottoscrizione di identità.If you create the identity resources via Azure Policy, assign the policies listed in the following table to the identity subscription. In questo modo, criteri di Azure garantisce che le risorse nell'elenco seguente vengano create in base ai parametri forniti.By doing this, Azure Policy ensures that the resources in the following list are created based on the parameters provided.

  2. Distribuire i controller di dominio Active Directory.Deploy the Active Directory domain controllers.

Nell'elenco seguente sono illustrati i criteri che è possibile usare quando si implementano le risorse di identità per una distribuzione su scala aziendale.The following list shows policies that you can use when you're implementing identity resources for an enterprise-scale deployment.

NomeName DescrizioneDescription
DataProtectionSecurityCenter Protezione dei dati creata automaticamente dal centro sicurezza.Data protection automatically created by Security Center.
Deploy-VNet-Identity Distribuisce una rete virtuale nella sottoscrizione di identità in host (ad esempio, DC).Deploys a virtual network into the identity subscription to host (for example, DC).

Gestione e monitoraggio della piattaformaPlatform management and monitoring

  1. Creare dashboard di conformità e sicurezza dei criteri per le visualizzazioni organizzative e incentrate sulle risorse.Create policy compliance and security dashboards for organizational and resource-centric views.

  2. Creare un flusso di lavoro per i segreti della piattaforma (entità servizio e account di automazione) e il rollover della chiave.Create a workflow for platform secrets (service principals and automation account) and key rollover.

  3. Configurare l'archiviazione a lungo termine e la conservazione per i log all'interno Log Analytics.Set up long-term archiving and retention for logs within Log Analytics.

  4. Configurare Azure Key Vault per archiviare i segreti della piattaforma.Set up Azure Key Vault to store platform secrets.

  5. Se si creano le risorse di gestione della piattaforma tramite criteri di Azure, assegnare i criteri elencati nella tabella seguente alla sottoscrizione di gestione.If you create the platform management resources via Azure Policy, assign the policies listed in the following table to the management subscription. In questo modo, criteri di Azure garantisce che le risorse nell'elenco seguente vengano create in base ai parametri forniti.By doing this, Azure Policy ensures that the resources in the following list are created based on parameters provided.

NomeName DescrizioneDescription
Deploy-LA-Config Configurazione dell'area di lavoro Log Analytics.Configuration of the Log Analytics workspace.
Deploy-Log-Analytics Distribuisce un'area di lavoro Log Analytics.Deploys a Log Analytics workspace.

File > nuova area >File > New > Region

  1. Se si creano le risorse di rete tramite criteri di Azure, assegnare i criteri elencati nella tabella seguente alla sottoscrizione di connettività.If you create the networking resources via Azure Policy, assign the policies listed in the following table to the connectivity subscription. In questo modo, criteri di Azure garantisce che le risorse nell'elenco seguente vengano create in base ai parametri forniti.By doing this, Azure Policy ensures that the resources in the following list are created based on parameters provided.

    • Nella sottoscrizione di connettività creare un nuovo hub virtuale all'interno della rete WAN virtuale esistente.In the connectivity subscription, create a new virtual hub within the existing Virtual WAN.
    • Proteggere l'hub virtuale distribuendo il firewall di Azure nell'hub virtuale e collegare i criteri del firewall nuovi o esistenti al firewall di Azure.Secure virtual hub by deploying Azure Firewall within the virtual hub and link existing or new firewall policies to Azure Firewall.
    • Assicurarsi che tutte le reti virtuali connesse a un hub virtuale protetto siano protette dal firewall di Azure.Ensure that all virtual networks connected to a secure virtual hub are protected by Azure Firewall.
  2. Connettere l'hub virtuale alla rete locale tramite ExpressRoute o VPN.Connect the virtual hub to the on-premises network via either ExpressRoute or VPN.

  3. Proteggi il traffico di rete virtuale tra hub virtuali tramite gruppi.Protect virtual network traffic across virtual hubs via NSGs.

  4. Opzionale Configurare la crittografia tramite peering privato di ExpressRoute.(Optional) Set up encryption over ExpressRoute private peering.

NomeName DescrizioneDescription
Deploy-VHub Questo criterio distribuisce un hub virtuale, un firewall di Azure e gateway (VPN/ExpressRoute).This policy deploys a virtual hub, Azure Firewall, and gateways (VPN/ExpressRoute). Configura anche la route predefinita nelle reti virtuali connesse al firewall di Azure.It also configures the default route on connected virtual networks to Azure Firewall.

File > nuova area di destinazione > per le applicazioni e i carichi di lavoroFile > New > Landing Zone for applications and workloads

  1. Creare una sottoscrizione e spostarla nell' Landing Zones ambito del gruppo di gestione.Create a subscription and move it under the Landing Zones management group scope.

  2. Creare gruppi di Azure AD per la sottoscrizione, ad esempio Owner , Reader e Contributor .Create Azure AD groups for the subscription, such as Owner, Reader, and Contributor.

  3. Creare Azure AD diritti PIM per i gruppi di Azure AD stabiliti.Create Azure AD PIM entitlements for established Azure AD groups.