Conceitos de SLZ
Este artigo explica sobre os vários conceitos associados a uma Zona de Destino Soberana (SLZ).
Métodos de implantação e configuração para uma SLZ
Para organizações que desejam agilizar a adoção, elas podem configurar uma SLZ a partir de um único arquivo de parâmetro e implantá-lo executando um script singular. O arquivo de parâmetros e sua orquestração de implantação associada fornecem consistência no ambiente por meio de etapas como o uso de uma convenção de nomenclatura comum para recursos e padronização no ambiente. Esse design permite que uma organização comece rapidamente a usar um SLZ sem precisar consultar muitas etapas manuais de implantação e diversas documentações.
Quando as organizações precisam demonstrar separação de tarefas e adesão ao privilégio mínimo, elas podem configurar uma SLZ a partir de um ou mais arquivos de parâmetros. As organizações podem dividir a implantação em etapas individuais com base nas áreas funcionais. Por exemplo, a equipe que fornece assinaturas e configura grupos de gerenciamento pode fazer isso como uma atividade de implantação, ao mesmo tempo que permite que uma equipe separada gerencie políticas e conformidade nestes escopos. Essas etapas individuais de implantação exigem coordenação, mas permitem uma experiência de implantação mais granular.
Para obter mais informações sobre como implantar inicialmente toda a SLZ de uma só vez ou usar etapas de implantação individuais, consulte a documentação da Zona de Destino Soberana no GitHub.
Personalizações avançadas para a SLZ
O arquivo de parâmetros da SLZ ajuda uma organização configurando totalmente sua implantação e garantindo consistência em todas as partes do ambiente. As organizações devem revisar as opções de configuração para determinar as configurações apropriadas para sua implantação.
No entanto, o arquivo de parâmetros da SLZ não pode fornecer opções de configuração completas para todas as configurações possíveis que um cliente deseja ter. Caso sejam necessárias mais recursos, recomendamos as seguintes opções:
Solicite novos recursos de configuração por meio de uma solicitação de recurso. Recomendamos solicitar esses novos recursos ao abordar desafios comuns ou de uso geral.
Faça personalizações após a implantação da SLZ. As etapas pós-implantação são recomendadas quando as organizações precisam colocar mais controles ou criar recursos adicionais antes de fornecer permissões para os proprietários da carga de trabalho usarem o ambiente.
Crie fork e mantenha uma cópia local do repositório da SLZ. Recomendamos usar esta opção para organizações que precisam de controle completo de configuração sobre seu ambiente ou que exigem que seus controles de segurança sejam incorporados ao ambiente.
Usar políticas personalizadas
As Políticas do Azure destinam-se a fornecer visibilidade adequada e proteções técnicas para garantir que uma postura de conformidade seja mantida. Para muitas organizações, é importante que estas políticas sejam incorporadas no ambiente antes da implantação de cargas de trabalho. A orquestração de SLZ fornece a capacidade de criar e implantar definições e atribuições de políticas personalizadas junto com uma implantação de SLZ e em escopos especificados dentro da implantação. A orquestração proporciona às organizações a confiança de que seus requisitos exclusivos de conformidade estão em vigor desde o início. As organizações que não precisam de políticas personalizadas também podem usar a orquestração para atribuir conjuntos de políticas integradas.
Nossa documentação sobre conjuntos de políticas de visualização no Portfólio de políticas contém mais informações sobre como usar políticas personalizadas em uma SLZ.
Minimize os custos para os pilotos
Ao testar ou conduzir uma prova de conceito, é importante estar consciente das implicações de custos. As configurações padrão do SLZ criam uma implantação pronta para produção, o que pode ter um custo proibitivo para organizações que ainda não estão prontas para produção. A orquestração de SLZ fornece alternância para muitos recursos, e as organizações devem determinar quais são necessários para sua implantação.
Recomendamos revisar as seguintes ofertas de produtos:
Proteção DDoS do Azure: recomendamos o SKU padrão devido aos seus recursos aumentados em relação à modelagem de tráfego, correção e visibilidade em eventos DDoS. No entanto, você pode usar o SKU básico para ambientes que não sejam de produção.
Firewall do Azure: o Firewall do Azure permite que as organizações criem uma forte segurança de rede em torno da implantação da SLZ. No entanto, as organizações podem encontrar outros recursos de rede do Azure como tecnologias adequadas para criar segurança em ambientes que não sejam de produção.
Gateway de VPN do Azure: as ofertas de Gateway de VPN do Azure e ExpressRoute permitem que uma organização conecte seus ambientes locais ao Azure. No entanto, as organizações podem não precisar de ambientes que não sejam de produção para ter este tipo de conectividade de rede e podem utilizar o Azure Bastion ou outras tecnologias de acesso.