Contoso · 2018-10-16 · Кампус в Париже Региональный центральный офис Contoso в Microsoft Cloud Сеть Сетевая инфраструктура

Показательный пример внедрения

Microsoft Cloud вымышленной

глобальной организацией

Contoso

в Microsoft

Cloud 1 2 3 4 5Это статья 1 из 6.

Корпорация Contoso

Всемирная организация Contoso

Элементы реализации Microsoft Cloud корпорацией Contoso

Сеть

Сеть включает возможность подключения к облачным предложениям от корпорации Майкрософт и полосу пропускания, достаточную для поддержки пиковых нагрузок. Возможности подключения распределяются между локальными подключениями к Интернету и инфраструктурой частной сети корпорации Contoso.

Удостоверения

Корпорация Contoso использует лес AD Windows Server в качестве своего внутреннего поставщика удостоверений, а также создает федерацию со сторонними поставщиками для клиентов и партнеров. Корпорация Contoso должна использовать внутренний набор учетных записей для облачных предложений корпорации Майкрософт. При доступе к облачным приложениям для клиентов и партнеров также должны использоваться сторонние поставщики удостоверений.

Безопасность

Система безопасности для облачных удостоверений и данных должна включать защиту данных, управление правами администраторов, средство отслеживания угроз, а также реализованные политики управления данными и безопасностью.

Управление

Для управления облачными приложениями и рабочими нагрузками SaaS потребуется возможность поддерживать параметры, данные, учетные записи, политики и разрешения, а также отслеживать текущие работоспособность и производительность. Существующие средства управления серверами будут использоваться для управления виртуальными машинами в Azure IaaS.

ИТ-архитекторы корпорации Contoso определили приведенные ниже элементы при планировании принятия облачных предложений корпорации Майкрософт.

Облачное удостоверение Майкрософт для корпоративных архитекторов

Облачное удостоверение Майкрософт для корпоративных архитекторов

Облачные сети Майкрософт для корпоративных архитекторовОблачные сети Майкрософт для корпоративных архитекторов

Обеспечение безопасности в облаке Майкрософт для корпоративных архитекторов

Обеспечение безопасности в облаке Майкрософт для корпоративных архитекторов

В офисах корпорации Contoso по всему миру используется трехуровневая среда.

Корпорация Contoso — это всемирная компания с главным офисом в Париже, Франция. Эта

организация занимается производством, продажей и поддержкой более чем 100 000 продуктов.

Сентябрь 2016 г. © Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены. Вы можете отправить отзыв об этой документации по адресу [email protected].© Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены. Вы можете отправить отзыв об этой документации по адресу [email protected].

Подчиненные офисыРегиональные центральные офисы

Главный офисГлавный офис

Главный офис корпорации Contoso представляет собой большой корпоративный кампус в окрестностях Парижа с множеством зданий для административных, инженерных и производственных объектов. Все центры данных и интернет-серверы Contoso находятся в главном офисе в Париже.

В главном офисе работает 15 000 сотрудников.

Региональные центральные офисы, 60 % персонала которых заняты продажами и поддержкой, обслуживают определенный регион мира. Каждый региональный центральный офис подключен к главному офису в Париже с помощью канала глобальной сети с высокой пропускной способностью.

В каждом региональном центральном офисе работает в среднем 2000 сотрудников.

Подчиненные офисы, где продажами и поддержкой занимаются 80 % персонала, расположены в ключевых городах и подрегионах. Благодаря этому клиенты Contoso могут получить необходимые услуги и поддержку на месте. Каждый подчиненный офис подключен к региональному центральному офису с помощью канала глобальной сети с высокой пропускной способностью.

В каждом подчиненном офисе работает в среднем 250 сотрудников.

25 % трудовых

ресурсов корпорации

Contoso выезжают

к клиенту и работают

вне офиса, причем

процент таких

сотрудников выше

в региональных

центральных

и подчиненных офисах.

Улучшение поддержки

мобильных

сотрудников — важная

бизнес-цель

корпорации Contoso.

6

http://aka.ms/cloudarchidentity


http://aka.ms/cloudarchnetworking


http://aka.ms/cloudarchsecurity


mailto:[email protected]





Contoso

в Microsoft

Cloud

ИТ-инфраструктура и потребности корпорации Contoso

Сопоставление бизнес-задач организации Contoso с облачными предложениями корпорации Майкрософт

Существующая ИТ-инфраструктура корпорации Contoso

SaaSПрограммное обеспечение как услуга

Azure PaaSПлатформа как услуга

Azure IaaSИнфраструктура как услуга

В корпорации Contoso используется по большей части централизованная ИТ-инфраструктура,

причем центры обработки данных приложений расположены в главном офисе в Париже.

Корпорация Contoso как раз переходит с локальной, централизованной ИТ-инфраструктуры на облачную, включающую личные рабочие нагрузки на основе облака, приложения и гибридные сценарии.

Бизнес-задачи корпорации Contoso

Соблюдение региональных нормативных требований

Чтобы избежать штрафов и поддерживать хорошие отношения с местными органами власти, корпорации Contoso необходимо обеспечить соответствие нормативным требованиям в отношении хранения и шифрования данных.

1Улучшение управления поставщиками и партнерами

Партнерская экстрасеть устаревает и дорогая в обслуживании. Корпорация Contoso решила заменить ее на облачное решение, в котором используется федеративная проверка подлинности.

2Улучшение производительности мобильных сотрудников, управления устройствами и возможностей доступа

Количество мобильных сотрудников корпорации Contoso увеличивается, поэтому ей требуется решение по управлению устройствами, чтобы улучшить защиту интеллектуальной собственности и доступ к ресурсам.

3

Уменьшение инфраструктуры удаленного доступа

Перемещение ресурсов, часто используемых удаленными сотрудниками, в облако позволит корпорации Contoso сэкономить деньги, уменьшив затраты на обслуживание и поддержку решения для удаленного доступа к ним.

4Уменьшение масштаба локальных центров данных

Центры данных Contoso содержат сотни серверов, некоторые из которых выполняют устаревшие или архивные функции, что отвлекает ИТ-специалистов от ценных рабочих нагрузок.

5Вычисление с вертикальным масштабированием и ресурсы хранилища для обработки на конец квартала

Финансовый учет и обработка прогнозов на конец квартала, а также управление запасами требуют краткосрочного увеличения количества серверов и объема хранилища.

6


InternetInternetDMZ

Партнерская

экстрасеть



Удаленный доступ или прокси-сервер

Общедоступный веб-сайт

Удаленные

и мобильные

сотрудники

Удаленные

и мобильные


Внутренний

брандмауэр

Внешний


В зоне DMZ корпорации Contoso

различные наборы серверов

обеспечивают такие возможности:

удаленный доступ к интрасети

Contoso и веб-прокси для

сотрудников в главном офисе

в Париже;

размещение общедоступного веб-

сайта Contoso, на котором клиенты

могут заказать продукты, компоненты

и принадлежности;

размещение партнерской экстрасети

Contoso для связи и совместной

работы партнеров.


Центры

обработки

данных

приложений

Центры

обработки

данных


Локальные


Локальные


Office 365: основные

приложения для повышения

производительности отдельных

пользователей и групп

в облаке.

Dynamics 365. Управление

клиентами и поставщиками

в облаке. Удаление

партнерской экстрасети

в зоне DMZ.

Intune/EMS: управление

устройствами с iOS и Android.

Размещение документов

о продажах и поддержке,

а также информационных

систем с помощью облачных

приложений.

Мобильные приложения

размещаются в облаке, а не

в центре обработки данных

в Париже.

Перемещение архивных

и устаревших систем на облачные

серверы.

Перенос редко используемых

приложений и данных из

локальных центров данных.

Добавление временных серверов

и хранилища для обработки

данных на конец квартала.

2

1 3

3

3

3 4

5

5

6

5

1 2 3 4 5Это статья 2 из 6. 6



Кампус в ПарижеКампус в Париже

Региональный центральный офис

Региональный центральный офис

Contoso

в Microsoft

Cloud

Сеть

Сетевая инфраструктура корпорации Contoso

Чтобы внедрить облачную инфраструктуру, сетевые инженеры корпорации Contoso

принципиально изменили путь сетевого трафика к облачным службам. Следует не только

оптимизировать трафик на локальные серверы и в центры данных, но и в равной мере

оптимизировать весь интернет-трафик.




Инфраструктура приложений

корпорации Contoso

Корпорация Contoso имеет приведенную ниже сетевую инфраструктуру.

Локальная сеть

Через каналы глобальной сети главный офис в Париже подключается к региональным офисам, а те в свою очередь — к подчиненным офисам в звездообразной конфигурации.

В каждом офисе маршрутизаторы направляют трафик на узлы или точки беспроводного доступа в подсетях, использующих частное пространство IP-адресов.

Подключение к Интернету

Каждый офис отдельно подключен к Интернету через прокси-сервер.

Подключение обычно реализуется с помощью канала глобальной сети к локальному поставщику услуг Интернета, который также предоставляет общедоступные IP-адреса для прокси-сервера.

Присутствие в Интернете

Корпорации Contoso принадлежит общедоступное доменное имя contoso.com.

Общедоступный веб-сайт Contoso для заказа продуктов — это набор серверов в подключенном к Интернету центре данных, расположенном в кампусе в Париже.

Корпорация Contoso использует диапазон общедоступных IP-адресов в Интернете, доступный круглосуточно и без выходных.

Региональные

серверы



серверы


Центральные

центры данных





Подчиненный офисПодчиненный офис

Сервер

кэширования

Сервер

кэширования

Корпорация Contoso разработала архитектуру приложений и серверов в указанных ниже целях.

Подчиненные офисы используют локальные серверыкэширования для хранения часто используемыхдокументов и внутренних веб-сайтов.

Региональные центральные офисы используютрегиональные серверы приложений для региональныхи подчиненных офисов. Эти серверысинхронизируются с серверами в главном офисев Париже.

В кампусе в Париже расположены центры данныхс централизованными серверами приложений,которые обслуживают всю организацию.

60 % ресурсов, необходимых сотрудникам подчиненных или региональных центральных офисов, могут обслуживаться серверами подчиненных и региональных центральных офисов. Дополнительные 40 % запросов на ресурсы должны передаваться в кампус в Париже по каналу глобальной сети.

60 %

100 %

Продолжение см. на следующей странице

1 2 3 4 5Это статья 3 из 6. 6



http://aka.ms/tune

http://aka.ms/tune

http://aka.ms/expressrouteoffice365







Ресурсы

облачной сети

Использование ExpressRoute корпорацией Contoso

ExpressRoute — это выделенное подключение глобальной сети от вашего

расположения к расположению пиринга Microsoft, которое соединяет вашу сеть

с облачной сетью Microsoft. Подключения ExpressRoute отличаются предсказуемой

производительностью и обеспечивают выполнение соглашения об уровне

обслуживания со временем бесперебойной работы 99,9 %.

ExpressRoute обеспечивает ваше подключение к сети Microsoft Cloud и всем

расположениям центров данных Майкрософт на одном континенте. Трафик,

передаваемый между расположением облачного пиринга и целевым центром

данных Майкрософт, проходит через сеть Microsoft Cloud.

С помощью ExpressRoute Premium вы можете передавать данные в любой центр

данных Майкрософт на любом континенте из любого расположения пиринга

Майкрософт на любом континенте. Трафик между континентами передается по

сети Microsoft Cloud.

Оптимизация компьютеров сотрудников для доступа к Интернету

Отдельные компьютеры будут проверены, чтобы убедиться в наличии на них последних версий стека TCP/IP, браузера, драйверов сетевого адаптера, а также обновлений для системы безопасности и операционной

системы.

1Анализ использования подключения к Интернету в каждом офисе и его увеличение при необходимости

Текущее использование Интернета будет проанализировано для каждого офиса. Пропускная способность канала глобальной сети будет увеличена, если Интернет

используется на 70 % или выше.

2Анализ систем DMZ в каждом офиса для оптимальной производительности

Для оптимальной производительности будут проанализированы брандмауэры, IDS и другие системы, использующие Интернет. Прокси-серверы будут при необходимости

обновлены.

3

Путь корпорации Contoso к готовности облачной сети

Ниже приведены результаты анализа, который корпорация Contoso провела относительно изменений,

необходимых для реализации различных облачных предложений корпорации Майкрософт в ее сети.

Для достижения высокой популярности служб SaaS у пользователей необходимо высокодоступное и производительное подключение к Интернету или напрямую к службам Microsoft Cloud.

Текущее подключение мобильных пользователей к Интернету считается достаточным.

Что касается пользователей в интрасети Contoso, каждый офис необходимо проанализировать и оптимизировать, чтобы обеспечить оптимальную пропускную способность Интернета и время кругового пути к центру данных Microsoft в Европе, в котором размещены клиенты Office 365, EMS и Dynamics 365.

Облачные предложения SaaSOffice 365, EMS и Dynamics 365

Чтобы оптимизировать поддержку мобильных сотрудников, устаревшие приложения и некоторые сайты обмена файлами дорабатываются и развертываются в качестве приложений Azure PaaS. Для оптимальной производительности корпорация Contoso планирует развертывать новые приложения из нескольких центров данных Azure по всему миру. Диспетчер трафика Azure отправляет запросы клиентских приложений (созданные мобильным пользователем или на компьютере в офисе) в ближайший центр данных Azure, в котором размещено приложение.

ИТ-отделу понадобится повысить производительность приложения PaaS и добавить возможность распределения трафика в свое решение для наблюдения за работоспособностью системы.

Azure PaaSМобильные приложения

Чтобы переместить некоторые устаревшие и архивные серверы из центров данных в кампусе в Париже и при необходимости добавить серверы для обработки данных на конец квартала, корпорация Contoso планирует использовать виртуальные машины, запущенные в службах инфраструктуры Azure.

Виртуальные сети Azure, которые содержат эти серверы, необходимо спроектировать таким образом, чтобы исключить перекрытие адресных пространств, маршрутизации и интегрированной службы доменных имен (DNS).

ИТ-отдел должен включить эти новые серверы в свою систему управления сетями и их мониторинга.

Azure IaaSСерверные рабочие нагрузки

Анализ сети Contoso

На основе анализа текущего и будущего трафика в облачные предложения корпорации Майкрософт,

а также ее требований в отношении высокого качества обслуживания для связи по Skype корпорация

Contoso провела оценку сети и реализовала подключение ExpressRoute Premium типа "любой-к-

любому" (на основе MPLS) между главным офисом в Париже и расположение пиринга корпорации

Майкрософт в Европе.

Стабильная производительность

приложений SaaS для персонала

кампуса в Париже

Так как в кампусе в Париже 15 000 сотрудников одновременно получают доступ к Office 365, Intune и Dynamics 365, корпорация Contoso хочет удостовериться, что доступ стабилен и не препятствует региональному интернет-трафику.

Стабильная производительность для

администрирования распределенных

приложений Azure PaaS

Все разработчики приложений и ИТ-администраторы основной инфраструктуры корпорации Contoso работают в кампусе в Париже.

Так как приложения Azure PaaS распределяются между различными центрами данных Azure по всему миру, корпорация Contoso нуждается в стабильной производительности кампуса в Париже для администрирования приложений и ресурсов хранилища, которые включают целый терабайты документов.

Стабильная производительность для

администрирования серверов в Azure

IaaS

Администраторы центров данных Contoso работают в кампусе в Париж, а серверы, развертываемые в Azure, представляют собой расширение центра данных в Париже.

Корпорация Contoso нуждается в стабильной производительности этих новых серверов для доступа к устаревшим приложениям и архивному хранилищу, а также для обработки данных на конец квартала.

Добавление подключения ExpressRoute Premium для кампуса в Париже

Обеспечивает постоянный доступ к облачным предложениям SaaS для сотрудников кампуса в Париже и администрирования рабочих

нагрузок Azure PaaS и IaaS по всему миру.

4Создание и проверка профиля диспетчера трафика Azure для приложений Azure PaaS

Проверка профиля диспетчера трафика Azure, который использует метод маршрутизации производительности для распределения интернет-трафика между региональными

расположениями.

5Резервирование частного адресного пространства для виртуальных сетей Azure

Резервирование частного адресного пространства для виртуальных сетей Azure и их подсетей в зависимости от запланированного количества кратко-

и долгосрочных серверов.

6

http://aka.ms/tune

Сетевое планирование и настройка

производительности для Office 365

http://aka.ms/tune

Сетевое планирование и настройка

производительности для Office 365ExpressRoute для Office 365


ExpressRoute для Office 365


Облачные сети Майкрософт для

корпоративных архитекторов









http://aka.ms/tune

http://aka.ms/tune







Contoso

в Microsoft

Cloud

Удостоверения

Лес Windows Server AD корпорации Contoso

Корпорация Майкрософт включает удостоверение как услугу (IDaaS) в свои облачные

предложения. Чтобы принять облачную инфраструктуру, решение IDaaS корпорации Contoso

должно использовать локального поставщика удостоверений и включать федеративную проверку

подлинности с привлечением текущих, надежных, сторонних поставщиков удостоверений.




InternetInternetDMZDMZ





Общедоступны

й веб-сайт

Общедоступны

й веб-сайт

Клиенты

и партнеры

Клиенты

и партнеры

Внешний


Внешний


Инфраструктура федеративной проверки подлинности Contoso

AD FSAD FS

Корпорация Contoso использует один лес Windows Server Active Directory (AD) для contoso.com с семью доменами (по одному для каждого региона мира). Главный офис, региональные центральные офисы и подчиненные офисы включают контроллеры доменов для локальной проверки подлинности и авторизации.

Корпорация Contoso хочет учетные записи и группы в лесу contoso.com для проверки подлинности и авторизации своих облачных приложений и рабочих нагрузок.

Корпорация Contoso разрешает:

клиентам использовать свои учетные записиМайкрософт, Facebook или Google Mail для входана общедоступныйвеб-сайт;

поставщикам и партнерам использовать свои учетные

записи LinkedIn, Salesforce или Google Mail для входав партнерскую экстрасеть.

Серверы служб федерации Active Directory (AD FS) в DMZ проверяют подлинность учетных данных клиентов, используемых для доступа к общедоступному веб-сайту, и учетные данные партнера для доступа к партнерской экстрасети.

Когда корпорация Contoso перенесет свой общедоступный веб-сайт в Azure Web App, а партнерскую экстрасеть — в Dynamics 365, она хочет продолжить использование этих сторонних поставщиков удостоверений для своих клиентов и партнеров.

Для этого будет настроена федерация между клиентами Contoso Azure AD и этими сторонними поставщиками удостоверений.


1 2 3 4 5Это статья 4 из 6. 6



https://azure.microsoft.com/services/expressroute/




http://go.microsoft.com/fwlink/p/?LinkId=524282







Ресурсы

облачных

удостоверений

Синхронизация службы каталогов для леса Windows Server AD корпорации Contoso

Корпорация Contoso развернула средство Azure AD Connect в кластере серверов в своем центре данных в Париже. Средство Azure AD Connect синхронизирует изменения, внесенные в лес Windows Server AD в contoso.com, с клиентом Azure AD, который совместно используется подписками корпорации Contoso на Office 365, EMS, Dynamics 365 и Azure. Дополнительные сведения о подписках, лицензиях, учетных записях пользователей и клиентах см. в разделе 5.

Корпорация Contoso настроила федеративную проверку подлинности, которая обеспечивает единый вход для ее сотрудников. Когда пользователь, который уже вошел в лес Windows Server AD в домене contoso.com, получает доступ к облачному ресурсу Microsoft SaaS или PaaS, ему не надо будет вводить пароль.

Трафик синхронизации службы каталогов проходит через подключение ExpressRoute Premium из кампуса в главном офисе в сеть Microsoft Cloud.

Региональный офис 1



Клиент Office 365 в Европе

Серверы проверки

подлинности


Сервер Azure

AD Connect

Сервер Azure

AD Connect

Microsoft Cloud

ExpressRoute

Premium

ExpressRoute

Premium

КлиентAzure ADКлиент

Azure ADКлиент

Azure AD

Географическое распределение трафика проверки подлинности ContosoЧтобы оптимизировать поддержку мобильных и удаленных сотрудников, корпорация Contoso развернула наборы серверов проверки подлинности в своих региональных офисах. Эта инфраструктура обеспечивает распределение нагрузки, а также избыточность и более высокую производительность при проверке подлинности учетных данных, которые пользователи предоставляют для доступа к облачным предложениям корпорации Майкрософт, использующим общий клиент Azure AD.

Чтобы распределить нагрузку запросов проверки подлинности, корпорация Contoso настроила диспетчер трафика Azure с профилем, который использует метод производительность маршрутизации, направляющий клиентов, которые проходят проверку подлинности, на ближайший набор серверов проверки подлинности.

Избыточность для инфраструктуры проверки подлинности в главном офисе в Azure IaaS

Диспетчер трафикаДиспетчер трафика

5. Клиентский компьютер отправляет запрос на проверку подлинности напрокси-сервер веб-приложений, который пересылает запрос на серверAD FS.

6. Сервер AD FS запрашивает учетные данные пользователя с клиентскогокомпьютера.

7. Клиентский компьютер отправляет учетные данные пользователя безего участия.

8. Сервер AD FS проверяет учетные данные с помощью контроллерадомена Windows Server AD в региональном офисе и возвращает маркербезопасности на клиентский компьютер.

9. Клиентский компьютер отправляет маркер безопасности в Office 365.

10. После успешной проверки Office 365 кэширует маркер безопасностии отправляет веб-страницу, запрошенную в шаге 1, на клиентскийкомпьютер.

1. Клиентский компьютер инициирует связь с веб-страницей в клиентеOffice 365 в Европе (например, sharepoint.contoso.com).

2. Office 365 обратно отправляет запрос на отправку подтвержденияпроверки подлинности. Запрос содержит URL-адрес контакта дляпроверки подлинности.

3. Клиентский компьютер пытается разрешить DNS-имя в URL-адресе дляIP-адреса.

4. Диспетчер трафика Azure получает запрос DNS и отвечаетклиентскому компьютеру, предоставив IP-адрес прокси-серверавеб-приложений в региональном офисе, ближайшем к клиентскомукомпьютеру.

Пример процесса проверки подлинности

DMZ

Прокси-

серверы

веб-


Прокси-

серверы

веб-


Серверы AD FSСерверы AD FS

Региональный офис

Внутренний брандмауэр

Контроллеры

доменов

Windows Server

AD

Контроллеры

доменов

Windows Server

AD

Запрос на

проверку


DMZ

Прокси-

серверы веб-














Виртуальная сеть

ExpressRoute

Premium

ExpressRoute

Premium

Прокси-серверы

веб-приложений






Чтобы обеспечить избыточность для удаленных и мобильных работников в главном офисе в Париже, в котором работает 15 000 сотрудников, корпорация Contoso развернула второй набор прокси-серверов приложений и серверов AD FS в Azure IaaS.

Когда основные серверы проверки подлинности в зоне DMZ главного офиса становятся недоступными, ИТ-специалисты переключаются на избыточный набор, развернутый в Azure IaaS. Последующие запросы на проверку подлинности, отправленные с компьютеров в офисе в Париже, используют этот набор в Azure IaaS до устранения проблемы с доступностью.

Для переключения в двух направлениях корпорация Contoso обновляет профиль диспетчера трафика Azure для региона "Париж", чтобы использовать другой набор IP-адресов для прокси-серверов веб-приложений:

когда серверы проверки подлинности DMZдоступны, используются IP-адреса серверовв DMZ;

когда серверы проверки подлинности DMZ

недоступны, используются IP-адресасерверов в Azure IaaS.

http://go.microsoft.com/fwlink/p/?LinkId=524282http://go.microsoft.com/fwlink/p/?LinkId=524282

Инфографика: облачные

удостоверения и управление

доступом

http://go.microsoft.com/fwlink/p/?LinkId=524281http://go.microsoft.com/fwlink/p/?LinkId=524281

Синхронизация каталога с Office 365 —

простая задача

Клиентский компьютер

ШлюзШлюз

Облачное удостоверение

Майкрософт для



Облачное удостоверение

Майкрософт для















Contoso

в Microsoft

Cloud

Подписки, лицензии и учетные записи пользователей


Структура корпорации Contoso

Для согласованного использования удостоверений и выставления счетов на все облачные предложения, корпорация

Майкрософт предоставляет иерархию организаций, подписок, лицензий и учетных записей пользователей.




Intune/EMS500 лицензий

Intune/EMS500 лицензий

Dynamics 365100 лицензийDynamics 365100 лицензий


подписки

Azure


подписки

Azure

Корпорация

Contoso

КлиентAzure ADКлиент

Azure AD

Office 365Office 365

Корпоративный E3500 лицензий

Учетные записи пользователей,

синхронизированные из леса Windows Server AD домена

contoso.com

Корпоративный E5200 лицензий

Подписки Azure корпорации Contoso Корпорация Contoso разработала представленную ниже иерархию для своих подписок Azure.

Contoso находится на верхнем уровне согласно

соглашению Enterprise с корпорацией Майкрософт.

Имеется набор учетных записей, соответствующихразным регионам мира, в которых корпорацияContoso ведет свою деятельность, на основе доменовлеса Windows Server AD корпорации Contoso.

В каждом регионе есть одна или несколько подписокна основе потребностей региона в разработке,тестировании и развертывания производственныхмощностей.

Каждая подписка Azure может быть связана с одним клиентом Azure AD, содержащим учетные записи пользователей и группы для проверки подлинности и авторизации в службах Azure. Для рабочих подписок используется общий клиент Contoso Azure AD.

ОрганизацияКоммерческое предприятие, использующее облачные предложения корпорации Майкрософт. Как правило, она определяется по общедоступному доменному имени DNS, например contoso.com.

ПодпискиПодписка на облачные предложения Microsoft SaaS (Office 365, Intune/EMS и Dynamics 365) представляет собой определенный продукт и набор приобретенных пользовательских лицензий.

Подписка на Azure обеспечивает выставление счетов на используемые облачные службы для организации.

ЛицензииВ случае облачных предложений корпорации Майкрософт на основе SaaS лицензия позволяет определенному пользователю пользоваться облачными службами.

Что касается Azure, лицензии на программное обеспечение включены в цены на службы, но в некоторых случаях понадобится приобрести дополнительные лицензии на программное обеспечение.

Учетные записи пользователейУчетные записи пользователей хранятся в клиенте Azure AD и могут быть синхронизированы с локальным поставщиком удостоверений, например Windows Server AD.

Организация Корпорация Contoso определяется по ее

общедоступному доменному имени contoso.com.

Подписки и лицензии Корпорация Contoso использует

следующие подписки и лицензии:

продукт Office 365 корпоративный E3 с 500 лицензиями;

продукт Office 365 корпоративный E5 с 200 лицензиями;

продукт EMS с 500 лицензиями;

продукт Dynamics 365 с 100 лицензиями;

несколько подписок Azure для разных регионов.

Учетные записи пользователей Общий клиент Azure AD содержит список учетных записей пользователей и групп, используемых всеми подписками корпорации Contoso, за исключением подписок Azure на разработку и тестирование.

Что касается облачных предложений SaaS, клиент представляет собой региональное

расположение, в котором расположены серверы, обеспечивающие облачные

службы. Корпорация Contoso выбрала европейский регион для размещения своих

клиентов Office 365, EMS и Dynamics 365.

Рабочие нагрузки служб и приложений PaaS и IaaS могут размещаться в любом

центре данных Azure в мире.

Клиент Azure AD — это определенный экземпляр Azure AD, содержащий учетные

записи и группы. Общий клиент Azure AD, который содержит синхронизированные

учетные записи для леса Contoso Windows Server AD, обеспечивает платформу IDaaS

для всех облачных предложений корпорации Майкрософт.

Подписки, лицензии, учетные записи и клиенты для облачных предложений корпорации МайкрософтПодписки, лицензии, учетные записи и клиенты для облачных предложений корпорации Майкрософт

Клиенты

1 2 3 4 5Это статья 5 из 6. 6

contoso.com

Рекомендации относительно подписок и учетных записей AzureРекомендации относительно подписок и учетных записей Azure



https://www.microsoft.com/en-us/server-cloud/products/microsoft-intune/overview.aspx

https://www.microsoft.com/en-us/server-cloud/products/microsoft-intune/overview.aspx

https://www.microsoft.com/dynamics/default.aspx

https://www.microsoft.com/dynamics/default.aspx

https://products.office.com/en-us/business/get-latest-office-365-for-your-business-with-2016-visit-office

https://products.office.com/en-us/business/get-latest-office-365-for-your-business-with-2016-visit-office

https://technet.microsoft.com/library/mt765146.aspx

https://technet.microsoft.com/library/mt765146.aspx

https://azure.microsoft.com/documentation/articles/virtual-machines-linux-infrastructure-subscription-accounts-guidelines/

https://azure.microsoft.com/documentation/articles/virtual-machines-linux-infrastructure-subscription-accounts-guidelines/

Contoso в

Microsoft

Cloud

БезопасностьКорпорация Contoso серьезно относится к собственной информационной безопасности и защите данных. При

переносе своей ИТ-инфраструктуры в облако она убедилась, что требования к безопасности локальной среды

выполнены и реализованы в облачных предложениях корпорации Майкрософт.




ACL для минимальных

прав доступа

Разрешения на доступ учетных записей к ресурсам в облаке и их соответствующие возможности должны

соответствовать рекомендациям относительно минимальным правам доступа.

Шифрование неактивных

данных в облакеВсе данные, хранящиеся на дисках или в другом месте в облаке, должны быть зашифрованы.

Шифрование интернет-

трафика

В Интернете запрещено передавать данные в виде обычного текста. Всегда используйте HTTPS-подключения, IPsec

или другие методы сквозного шифрования данных.

Надежная проверка

подлинности при доступе

к облачным ресурсам

При доступе к облачным ресурсам требуется проверка подлинности, причем (по возможности) многофакторная.

Требования корпорации Contoso к безопасности в облаке

Классификация конфиденциальности данных корпорации Contoso

Уровень 1. Низкая ценность для бизнеса

Данные шифруются и доступны только пользователям, прошедшим проверку подлинности.

Обеспечивается для всех данных, которые хранятся локально и в облачном хранилище, а также рабочих нагрузок, таких как Office 365. Данные шифруются при нахождении в службе, а также по пути между службой и клиентскими устройствами.

Примеры данных уровня 1 — это обычный обмен деловой информацией (электронная почта) и файлы для администраторов, а также специалистов по продажам и поддержке.

Уровень 2: Средняя ценность для бизнеса

Уровень 1, а также строгая проверка подлинности и защита от потери данных.

Строгая проверка подлинности включает многофакторную проверку подлинности и проверку с помощью SMS-сообщения. Защита от потери данных предотвращает передачу конфиденциальных или важных сведений за пределы локальной сети.

Примеры данных уровня 2 — финансовые и юридические сведения, а также данные об исследованиях и разработке новых продуктов.

Уровень 3. Высокая ценность для бизнеса

Уровень 2, а также самые высокие уровни шифрования, проверки подлинности и аудита.

Самые высокие уровни шифрования неактивных данных и данных в облаке, которые соответствуют региональным нормативным правилам, в сочетании с многофакторной проверкой подлинности с использованием смарт-карт, детального аудита и оповещений.

Примеры данных уровня 3 — персональные данные клиентов и партнеров, а также технические характеристики продуктов и защищаемые методы производства.

Набор средств для классификации данныхНабор средств для классификации данных

Используя набор средств для классификации данных от Майкрософт, корпорация Contoso проанализировала данные и

определила приведенные ниже уровни.

Сопоставление облачных предложений корпорации Майкрософт и компонентов

с уровнями данных Contoso

Протокол HTTPS для всехподключений

Шифрование неактивных данных

Многофакторная проверкаподлинности (MFA) Azure ADс SMS-сообщениями

Система управления правамиAzure (RMS)

Azure AD MFA с использованиемсмарт-карт

Условный доступ к Intune




Поддержка только HTTPS-подключений

Шифрование файлов, хранящихсяв Azure

Использование хранилищаключей Azure для ключейшифрования

Azure AD MFA с использованиемSMS-сообщений

Azure RMS Azure AD MFA с использованием

смарт-карт

Требуется протокол HTTPS илиIPsec для доступа к серверу

Шифрование диска Azure

MFA с использованием SMS-сообщений

MFA с использованием смарт-карт

1 2 3 4 5Это статья 6 из 6. 6


Azure IaaSAzure PaaSSaaS


Ресурсы

безопасности

в облаке

Безопасность в облачном мире. Курс

академии Microsoft Virtual Academy

http://aka.ms/securecustomermva



http://aka.ms/securecustomermvahttp://aka.ms/o365infoprotect

Защита информации

в Office 365

http://aka.ms/o365infoprotect


в Office 365

Обеспечение безопасности

в облаке Майкрософт для







https://msdn.microsoft.com/library/hh204743.aspx











Ресурсы

безопасности

в облаке

Информационные политики корпорации Contoso

Оптимизация учетных записей

администраторов для облака

Корпорация Contoso провела обширную

проверку существующих учетных записей

администраторов Windows Server AD

и настроила серию учетных записей

администраторов и групп в облаке.

1 Анализ классификации данных в три

уровня

Корпорация Contoso провела

тщательную проверку и определила три

уровня, которые использовались с целью

выбора компонентов облачных

предложений корпорации Майкрософт

для защиты самых ценных данных.

2 Определение политик защиты при

доступе к информации и ее хранении

для уровней данных

На основе уровней данных корпорация

Contoso определила подробные

требования, которые будут

использоваться для уточнения будущих

рабочих ИТ-нагрузок при перемещении

в облако.

3

Путь корпорации Contoso к готовности к безопасности в облаке

Предоставление доступа всемпользователям

Предоставление доступасотрудникам, субподрядчиками партнерам корпорации Contoso

Использование MFA, TLS и MAM

Предоставление доступаруководителям и ведущимсотрудникам инженерного и производственного отделов

RMS только с управляемыми сетевыми устройствами




6 месяцев

2 года

7 лет

С шифрованием

Использование хэш-значений для обеспечения целостности данных

Использование цифровых подписей для обеспечения неотрекаемости

Доступ Хранение данных Защита информации






http://aka.ms/securecustomermvahttp://aka.ms/o365infoprotect


в Office 365



в Office 365



















Documents

Contoso · 2018-10-16 · Кампус в Париже Региональный центральный офис Contoso в Microsoft Cloud Сеть Сетевая инфраструктура