Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Показательный пример внедрения
Microsoft Cloud вымышленной
глобальной организацией
Contoso
в Microsoft
Cloud 1 2 3 4 5Это статья 1 из 6.
Корпорация Contoso
Всемирная организация Contoso
Элементы реализации Microsoft Cloud корпорацией Contoso
Сеть
Сеть включает возможность подключения к облачным предложениям от корпорации Майкрософт и полосу пропускания, достаточную для поддержки пиковых нагрузок. Возможности подключения распределяются между локальными подключениями к Интернету и инфраструктурой частной сети корпорации Contoso.
Удостоверения
Корпорация Contoso использует лес AD Windows Server в качестве своего внутреннего поставщика удостоверений, а также создает федерацию со сторонними поставщиками для клиентов и партнеров. Корпорация Contoso должна использовать внутренний набор учетных записей для облачных предложений корпорации Майкрософт. При доступе к облачным приложениям для клиентов и партнеров также должны использоваться сторонние поставщики удостоверений.
Безопасность
Система безопасности для облачных удостоверений и данных должна включать защиту данных, управление правами администраторов, средство отслеживания угроз, а также реализованные политики управления данными и безопасностью.
Управление
Для управления облачными приложениями и рабочими нагрузками SaaS потребуется возможность поддерживать параметры, данные, учетные записи, политики и разрешения, а также отслеживать текущие работоспособность и производительность. Существующие средства управления серверами будут использоваться для управления виртуальными машинами в Azure IaaS.
ИТ-архитекторы корпорации Contoso определили приведенные ниже элементы при планировании принятия облачных предложений корпорации Майкрософт.
Облачное удостоверение Майкрософт для корпоративных архитекторов
Облачное удостоверение Майкрософт для корпоративных архитекторов
Облачные сети Майкрософт для корпоративных архитекторовОблачные сети Майкрософт для корпоративных архитекторов
Обеспечение безопасности в облаке Майкрософт для корпоративных архитекторов
Обеспечение безопасности в облаке Майкрософт для корпоративных архитекторов
В офисах корпорации Contoso по всему миру используется трехуровневая среда.
Корпорация Contoso — это всемирная компания с главным офисом в Париже, Франция. Эта
организация занимается производством, продажей и поддержкой более чем 100 000 продуктов.
Сентябрь 2016 г. © Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены. Вы можете отправить отзыв об этой документации по адресу [email protected].© Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены. Вы можете отправить отзыв об этой документации по адресу [email protected].
Подчиненные офисыРегиональные центральные офисы
Главный офисГлавный офис
Главный офис корпорации Contoso представляет собой большой корпоративный кампус в окрестностях Парижа с множеством зданий для административных, инженерных и производственных объектов. Все центры данных и интернет-серверы Contoso находятся в главном офисе в Париже.
В главном офисе работает 15 000 сотрудников.
Региональные центральные офисы, 60 % персонала которых заняты продажами и поддержкой, обслуживают определенный регион мира. Каждый региональный центральный офис подключен к главному офису в Париже с помощью канала глобальной сети с высокой пропускной способностью.
В каждом региональном центральном офисе работает в среднем 2000 сотрудников.
Подчиненные офисы, где продажами и поддержкой занимаются 80 % персонала, расположены в ключевых городах и подрегионах. Благодаря этому клиенты Contoso могут получить необходимые услуги и поддержку на месте. Каждый подчиненный офис подключен к региональному центральному офису с помощью канала глобальной сети с высокой пропускной способностью.
В каждом подчиненном офисе работает в среднем 250 сотрудников.
25 % трудовых
ресурсов корпорации
Contoso выезжают
к клиенту и работают
вне офиса, причем
процент таких
сотрудников выше
в региональных
центральных
и подчиненных офисах.
Улучшение поддержки
мобильных
сотрудников — важная
бизнес-цель
корпорации Contoso.
6
Показательный пример внедрения
Microsoft Cloud вымышленной
глобальной организацией
Contoso
в Microsoft
Cloud
ИТ-инфраструктура и потребности корпорации Contoso
Сопоставление бизнес-задач организации Contoso с облачными предложениями корпорации Майкрософт
Существующая ИТ-инфраструктура корпорации Contoso
SaaSПрограммное обеспечение как услуга
Azure PaaSПлатформа как услуга
Azure IaaSИнфраструктура как услуга
В корпорации Contoso используется по большей части централизованная ИТ-инфраструктура,
причем центры обработки данных приложений расположены в главном офисе в Париже.
Корпорация Contoso как раз переходит с локальной, централизованной ИТ-инфраструктуры на облачную, включающую личные рабочие нагрузки на основе облака, приложения и гибридные сценарии.
Бизнес-задачи корпорации Contoso
Соблюдение региональных нормативных требований
Чтобы избежать штрафов и поддерживать хорошие отношения с местными органами власти, корпорации Contoso необходимо обеспечить соответствие нормативным требованиям в отношении хранения и шифрования данных.
1Улучшение управления поставщиками и партнерами
Партнерская экстрасеть устаревает и дорогая в обслуживании. Корпорация Contoso решила заменить ее на облачное решение, в котором используется федеративная проверка подлинности.
2Улучшение производительности мобильных сотрудников, управления устройствами и возможностей доступа
Количество мобильных сотрудников корпорации Contoso увеличивается, поэтому ей требуется решение по управлению устройствами, чтобы улучшить защиту интеллектуальной собственности и доступ к ресурсам.
3
Уменьшение инфраструктуры удаленного доступа
Перемещение ресурсов, часто используемых удаленными сотрудниками, в облако позволит корпорации Contoso сэкономить деньги, уменьшив затраты на обслуживание и поддержку решения для удаленного доступа к ним.
4Уменьшение масштаба локальных центров данных
Центры данных Contoso содержат сотни серверов, некоторые из которых выполняют устаревшие или архивные функции, что отвлекает ИТ-специалистов от ценных рабочих нагрузок.
5Вычисление с вертикальным масштабированием и ресурсы хранилища для обработки на конец квартала
Финансовый учет и обработка прогнозов на конец квартала, а также управление запасами требуют краткосрочного увеличения количества серверов и объема хранилища.
6
Сентябрь 2016 г. © Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены. Вы можете отправить отзыв об этой документации по адресу [email protected].© Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены. Вы можете отправить отзыв об этой документации по адресу [email protected].
InternetInternetDMZ
Партнерская
экстрасеть
Партнерская
экстрасеть
Удаленный доступ или прокси-сервер
Общедоступный веб-сайт
Удаленные
и мобильные
сотрудники
Удаленные
и мобильные
сотрудники
Внутренний
брандмауэр
Внешний
брандмауэр
В зоне DMZ корпорации Contoso
различные наборы серверов
обеспечивают такие возможности:
удаленный доступ к интрасети
Contoso и веб-прокси для
сотрудников в главном офисе
в Париже;
размещение общедоступного веб-
сайта Contoso, на котором клиенты
могут заказать продукты, компоненты
и принадлежности;
размещение партнерской экстрасети
Contoso для связи и совместной
работы партнеров.
Главный офисГлавный офис
Центры
обработки
данных
приложений
Центры
обработки
данных
приложений
Локальные
сотрудники
Локальные
сотрудники
Office 365: основные
приложения для повышения
производительности отдельных
пользователей и групп
в облаке.
Dynamics 365. Управление
клиентами и поставщиками
в облаке. Удаление
партнерской экстрасети
в зоне DMZ.
Intune/EMS: управление
устройствами с iOS и Android.
Размещение документов
о продажах и поддержке,
а также информационных
систем с помощью облачных
приложений.
Мобильные приложения
размещаются в облаке, а не
в центре обработки данных
в Париже.
Перемещение архивных
и устаревших систем на облачные
серверы.
Перенос редко используемых
приложений и данных из
локальных центров данных.
Добавление временных серверов
и хранилища для обработки
данных на конец квартала.
2
1 3
3
3
3 4
5
5
6
5
1 2 3 4 5Это статья 2 из 6. 6
Кампус в ПарижеКампус в Париже
Региональный центральный офис
Региональный центральный офис
Contoso
в Microsoft
Cloud
Сеть
Сетевая инфраструктура корпорации Contoso
Чтобы внедрить облачную инфраструктуру, сетевые инженеры корпорации Contoso
принципиально изменили путь сетевого трафика к облачным службам. Следует не только
оптимизировать трафик на локальные серверы и в центры данных, но и в равной мере
оптимизировать весь интернет-трафик.
Показательный пример внедрения
Microsoft Cloud вымышленной
глобальной организацией
Инфраструктура приложений
корпорации Contoso
Корпорация Contoso имеет приведенную ниже сетевую инфраструктуру.
Локальная сеть
Через каналы глобальной сети главный офис в Париже подключается к региональным офисам, а те в свою очередь — к подчиненным офисам в звездообразной конфигурации.
В каждом офисе маршрутизаторы направляют трафик на узлы или точки беспроводного доступа в подсетях, использующих частное пространство IP-адресов.
Подключение к Интернету
Каждый офис отдельно подключен к Интернету через прокси-сервер.
Подключение обычно реализуется с помощью канала глобальной сети к локальному поставщику услуг Интернета, который также предоставляет общедоступные IP-адреса для прокси-сервера.
Присутствие в Интернете
Корпорации Contoso принадлежит общедоступное доменное имя contoso.com.
Общедоступный веб-сайт Contoso для заказа продуктов — это набор серверов в подключенном к Интернету центре данных, расположенном в кампусе в Париже.
Корпорация Contoso использует диапазон общедоступных IP-адресов в Интернете, доступный круглосуточно и без выходных.
Региональные
серверы
приложений
Региональные
серверы
приложений
Центральные
центры данных
приложений
Центральные
центры данных
приложений
Подчиненный офисПодчиненный офис
Сервер
кэширования
Сервер
кэширования
Корпорация Contoso разработала архитектуру приложений и серверов в указанных ниже целях.
Подчиненные офисы используют локальные серверыкэширования для хранения часто используемыхдокументов и внутренних веб-сайтов.
Региональные центральные офисы используютрегиональные серверы приложений для региональныхи подчиненных офисов. Эти серверысинхронизируются с серверами в главном офисев Париже.
В кампусе в Париже расположены центры данныхс централизованными серверами приложений,которые обслуживают всю организацию.
60 % ресурсов, необходимых сотрудникам подчиненных или региональных центральных офисов, могут обслуживаться серверами подчиненных и региональных центральных офисов. Дополнительные 40 % запросов на ресурсы должны передаваться в кампус в Париже по каналу глобальной сети.
60 %
100 %
Продолжение см. на следующей странице
1 2 3 4 5Это статья 3 из 6. 6
Сентябрь 2016 г. © Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены. Вы можете отправить отзыв об этой документации по адресу [email protected].© Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены. Вы можете отправить отзыв об этой документации по адресу [email protected].
Ресурсы
облачной сети
Использование ExpressRoute корпорацией Contoso
ExpressRoute — это выделенное подключение глобальной сети от вашего
расположения к расположению пиринга Microsoft, которое соединяет вашу сеть
с облачной сетью Microsoft. Подключения ExpressRoute отличаются предсказуемой
производительностью и обеспечивают выполнение соглашения об уровне
обслуживания со временем бесперебойной работы 99,9 %.
ExpressRoute обеспечивает ваше подключение к сети Microsoft Cloud и всем
расположениям центров данных Майкрософт на одном континенте. Трафик,
передаваемый между расположением облачного пиринга и целевым центром
данных Майкрософт, проходит через сеть Microsoft Cloud.
С помощью ExpressRoute Premium вы можете передавать данные в любой центр
данных Майкрософт на любом континенте из любого расположения пиринга
Майкрософт на любом континенте. Трафик между континентами передается по
сети Microsoft Cloud.
Оптимизация компьютеров сотрудников для доступа к Интернету
Отдельные компьютеры будут проверены, чтобы убедиться в наличии на них последних версий стека TCP/IP, браузера, драйверов сетевого адаптера, а также обновлений для системы безопасности и операционной
системы.
1Анализ использования подключения к Интернету в каждом офисе и его увеличение при необходимости
Текущее использование Интернета будет проанализировано для каждого офиса. Пропускная способность канала глобальной сети будет увеличена, если Интернет
используется на 70 % или выше.
2Анализ систем DMZ в каждом офиса для оптимальной производительности
Для оптимальной производительности будут проанализированы брандмауэры, IDS и другие системы, использующие Интернет. Прокси-серверы будут при необходимости
обновлены.
3
Путь корпорации Contoso к готовности облачной сети
Ниже приведены результаты анализа, который корпорация Contoso провела относительно изменений,
необходимых для реализации различных облачных предложений корпорации Майкрософт в ее сети.
Для достижения высокой популярности служб SaaS у пользователей необходимо высокодоступное и производительное подключение к Интернету или напрямую к службам Microsoft Cloud.
Текущее подключение мобильных пользователей к Интернету считается достаточным.
Что касается пользователей в интрасети Contoso, каждый офис необходимо проанализировать и оптимизировать, чтобы обеспечить оптимальную пропускную способность Интернета и время кругового пути к центру данных Microsoft в Европе, в котором размещены клиенты Office 365, EMS и Dynamics 365.
Облачные предложения SaaSOffice 365, EMS и Dynamics 365
Чтобы оптимизировать поддержку мобильных сотрудников, устаревшие приложения и некоторые сайты обмена файлами дорабатываются и развертываются в качестве приложений Azure PaaS. Для оптимальной производительности корпорация Contoso планирует развертывать новые приложения из нескольких центров данных Azure по всему миру. Диспетчер трафика Azure отправляет запросы клиентских приложений (созданные мобильным пользователем или на компьютере в офисе) в ближайший центр данных Azure, в котором размещено приложение.
ИТ-отделу понадобится повысить производительность приложения PaaS и добавить возможность распределения трафика в свое решение для наблюдения за работоспособностью системы.
Azure PaaSМобильные приложения
Чтобы переместить некоторые устаревшие и архивные серверы из центров данных в кампусе в Париже и при необходимости добавить серверы для обработки данных на конец квартала, корпорация Contoso планирует использовать виртуальные машины, запущенные в службах инфраструктуры Azure.
Виртуальные сети Azure, которые содержат эти серверы, необходимо спроектировать таким образом, чтобы исключить перекрытие адресных пространств, маршрутизации и интегрированной службы доменных имен (DNS).
ИТ-отдел должен включить эти новые серверы в свою систему управления сетями и их мониторинга.
Azure IaaSСерверные рабочие нагрузки
Анализ сети Contoso
На основе анализа текущего и будущего трафика в облачные предложения корпорации Майкрософт,
а также ее требований в отношении высокого качества обслуживания для связи по Skype корпорация
Contoso провела оценку сети и реализовала подключение ExpressRoute Premium типа "любой-к-
любому" (на основе MPLS) между главным офисом в Париже и расположение пиринга корпорации
Майкрософт в Европе.
Стабильная производительность
приложений SaaS для персонала
кампуса в Париже
Так как в кампусе в Париже 15 000 сотрудников одновременно получают доступ к Office 365, Intune и Dynamics 365, корпорация Contoso хочет удостовериться, что доступ стабилен и не препятствует региональному интернет-трафику.
Стабильная производительность для
администрирования распределенных
приложений Azure PaaS
Все разработчики приложений и ИТ-администраторы основной инфраструктуры корпорации Contoso работают в кампусе в Париже.
Так как приложения Azure PaaS распределяются между различными центрами данных Azure по всему миру, корпорация Contoso нуждается в стабильной производительности кампуса в Париже для администрирования приложений и ресурсов хранилища, которые включают целый терабайты документов.
Стабильная производительность для
администрирования серверов в Azure
IaaS
Администраторы центров данных Contoso работают в кампусе в Париж, а серверы, развертываемые в Azure, представляют собой расширение центра данных в Париже.
Корпорация Contoso нуждается в стабильной производительности этих новых серверов для доступа к устаревшим приложениям и архивному хранилищу, а также для обработки данных на конец квартала.
Добавление подключения ExpressRoute Premium для кампуса в Париже
Обеспечивает постоянный доступ к облачным предложениям SaaS для сотрудников кампуса в Париже и администрирования рабочих
нагрузок Azure PaaS и IaaS по всему миру.
4Создание и проверка профиля диспетчера трафика Azure для приложений Azure PaaS
Проверка профиля диспетчера трафика Azure, который использует метод маршрутизации производительности для распределения интернет-трафика между региональными
расположениями.
5Резервирование частного адресного пространства для виртуальных сетей Azure
Резервирование частного адресного пространства для виртуальных сетей Azure и их подсетей в зависимости от запланированного количества кратко-
и долгосрочных серверов.
6
http://aka.ms/tune
Сетевое планирование и настройка
производительности для Office 365
http://aka.ms/tune
Сетевое планирование и настройка
производительности для Office 365ExpressRoute для Office 365
http://aka.ms/expressrouteoffice365
ExpressRoute для Office 365
http://aka.ms/expressrouteoffice365
Облачные сети Майкрософт для
корпоративных архитекторов
Облачные сети Майкрософт для
корпоративных архитекторов
http://aka.ms/cloudarchnetworking
Облачные сети Майкрософт для
корпоративных архитекторов
http://aka.ms/cloudarchnetworking
Contoso
в Microsoft
Cloud
Удостоверения
Лес Windows Server AD корпорации Contoso
Корпорация Майкрософт включает удостоверение как услугу (IDaaS) в свои облачные
предложения. Чтобы принять облачную инфраструктуру, решение IDaaS корпорации Contoso
должно использовать локального поставщика удостоверений и включать федеративную проверку
подлинности с привлечением текущих, надежных, сторонних поставщиков удостоверений.
Показательный пример внедрения
Microsoft Cloud вымышленной
глобальной организацией
InternetInternetDMZDMZ
Партнерская
экстрасеть
Партнерская
экстрасеть
Общедоступны
й веб-сайт
Общедоступны
й веб-сайт
Клиенты
и партнеры
Клиенты
и партнеры
Внешний
брандмауэр
Внешний
брандмауэр
Инфраструктура федеративной проверки подлинности Contoso
AD FSAD FS
Корпорация Contoso использует один лес Windows Server Active Directory (AD) для contoso.com с семью доменами (по одному для каждого региона мира). Главный офис, региональные центральные офисы и подчиненные офисы включают контроллеры доменов для локальной проверки подлинности и авторизации.
Корпорация Contoso хочет учетные записи и группы в лесу contoso.com для проверки подлинности и авторизации своих облачных приложений и рабочих нагрузок.
Корпорация Contoso разрешает:
клиентам использовать свои учетные записиМайкрософт, Facebook или Google Mail для входана общедоступныйвеб-сайт;
поставщикам и партнерам использовать свои учетные
записи LinkedIn, Salesforce или Google Mail для входав партнерскую экстрасеть.
Серверы служб федерации Active Directory (AD FS) в DMZ проверяют подлинность учетных данных клиентов, используемых для доступа к общедоступному веб-сайту, и учетные данные партнера для доступа к партнерской экстрасети.
Когда корпорация Contoso перенесет свой общедоступный веб-сайт в Azure Web App, а партнерскую экстрасеть — в Dynamics 365, она хочет продолжить использование этих сторонних поставщиков удостоверений для своих клиентов и партнеров.
Для этого будет настроена федерация между клиентами Contoso Azure AD и этими сторонними поставщиками удостоверений.
Продолжение см. на следующей странице
1 2 3 4 5Это статья 4 из 6. 6
Сентябрь 2016 г. © Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены. Вы можете отправить отзыв об этой документации по адресу [email protected].© Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены. Вы можете отправить отзыв об этой документации по адресу [email protected].
Ресурсы
облачных
удостоверений
Синхронизация службы каталогов для леса Windows Server AD корпорации Contoso
Корпорация Contoso развернула средство Azure AD Connect в кластере серверов в своем центре данных в Париже. Средство Azure AD Connect синхронизирует изменения, внесенные в лес Windows Server AD в contoso.com, с клиентом Azure AD, который совместно используется подписками корпорации Contoso на Office 365, EMS, Dynamics 365 и Azure. Дополнительные сведения о подписках, лицензиях, учетных записях пользователей и клиентах см. в разделе 5.
Корпорация Contoso настроила федеративную проверку подлинности, которая обеспечивает единый вход для ее сотрудников. Когда пользователь, который уже вошел в лес Windows Server AD в домене contoso.com, получает доступ к облачному ресурсу Microsoft SaaS или PaaS, ему не надо будет вводить пароль.
Трафик синхронизации службы каталогов проходит через подключение ExpressRoute Premium из кампуса в главном офисе в сеть Microsoft Cloud.
Региональный офис 1
Региональный офис 2
Региональный офис 3
Клиент Office 365 в Европе
Серверы проверки
подлинности
Главный офисГлавный офис
Сервер Azure
AD Connect
Сервер Azure
AD Connect
Microsoft Cloud
ExpressRoute
Premium
ExpressRoute
Premium
КлиентAzure ADКлиент
Azure ADКлиент
Azure AD
Географическое распределение трафика проверки подлинности ContosoЧтобы оптимизировать поддержку мобильных и удаленных сотрудников, корпорация Contoso развернула наборы серверов проверки подлинности в своих региональных офисах. Эта инфраструктура обеспечивает распределение нагрузки, а также избыточность и более высокую производительность при проверке подлинности учетных данных, которые пользователи предоставляют для доступа к облачным предложениям корпорации Майкрософт, использующим общий клиент Azure AD.
Чтобы распределить нагрузку запросов проверки подлинности, корпорация Contoso настроила диспетчер трафика Azure с профилем, который использует метод производительность маршрутизации, направляющий клиентов, которые проходят проверку подлинности, на ближайший набор серверов проверки подлинности.
Избыточность для инфраструктуры проверки подлинности в главном офисе в Azure IaaS
Диспетчер трафикаДиспетчер трафика
5. Клиентский компьютер отправляет запрос на проверку подлинности напрокси-сервер веб-приложений, который пересылает запрос на серверAD FS.
6. Сервер AD FS запрашивает учетные данные пользователя с клиентскогокомпьютера.
7. Клиентский компьютер отправляет учетные данные пользователя безего участия.
8. Сервер AD FS проверяет учетные данные с помощью контроллерадомена Windows Server AD в региональном офисе и возвращает маркербезопасности на клиентский компьютер.
9. Клиентский компьютер отправляет маркер безопасности в Office 365.
10. После успешной проверки Office 365 кэширует маркер безопасностии отправляет веб-страницу, запрошенную в шаге 1, на клиентскийкомпьютер.
1. Клиентский компьютер инициирует связь с веб-страницей в клиентеOffice 365 в Европе (например, sharepoint.contoso.com).
2. Office 365 обратно отправляет запрос на отправку подтвержденияпроверки подлинности. Запрос содержит URL-адрес контакта дляпроверки подлинности.
3. Клиентский компьютер пытается разрешить DNS-имя в URL-адресе дляIP-адреса.
4. Диспетчер трафика Azure получает запрос DNS и отвечаетклиентскому компьютеру, предоставив IP-адрес прокси-серверавеб-приложений в региональном офисе, ближайшем к клиентскомукомпьютеру.
Пример процесса проверки подлинности
DMZ
Прокси-
серверы
веб-
приложений
Прокси-
серверы
веб-
приложений
Серверы AD FSСерверы AD FS
Региональный офис
Внутренний брандмауэр
Контроллеры
доменов
Windows Server
AD
Контроллеры
доменов
Windows Server
AD
Запрос на
проверку
подлинности
DMZ
Прокси-
серверы веб-
приложений
Серверы AD FSСерверы AD FS
Главный офисГлавный офис
Центральные
центры данных
приложений
Центральные
центры данных
приложений
Внутренний
брандмауэр
Внутренний
брандмауэр
Виртуальная сеть
ExpressRoute
Premium
ExpressRoute
Premium
Прокси-серверы
веб-приложений
Серверы AD FSСерверы AD FS
Серверы проверки
подлинности
Серверы проверки
подлинности
Чтобы обеспечить избыточность для удаленных и мобильных работников в главном офисе в Париже, в котором работает 15 000 сотрудников, корпорация Contoso развернула второй набор прокси-серверов приложений и серверов AD FS в Azure IaaS.
Когда основные серверы проверки подлинности в зоне DMZ главного офиса становятся недоступными, ИТ-специалисты переключаются на избыточный набор, развернутый в Azure IaaS. Последующие запросы на проверку подлинности, отправленные с компьютеров в офисе в Париже, используют этот набор в Azure IaaS до устранения проблемы с доступностью.
Для переключения в двух направлениях корпорация Contoso обновляет профиль диспетчера трафика Azure для региона "Париж", чтобы использовать другой набор IP-адресов для прокси-серверов веб-приложений:
когда серверы проверки подлинности DMZдоступны, используются IP-адреса серверовв DMZ;
когда серверы проверки подлинности DMZ
недоступны, используются IP-адресасерверов в Azure IaaS.
http://go.microsoft.com/fwlink/p/?LinkId=524282http://go.microsoft.com/fwlink/p/?LinkId=524282
Инфографика: облачные
удостоверения и управление
доступом
http://go.microsoft.com/fwlink/p/?LinkId=524281http://go.microsoft.com/fwlink/p/?LinkId=524281
Синхронизация каталога с Office 365 —
простая задача
Клиентский компьютер
ШлюзШлюз
Облачное удостоверение
Майкрософт для
корпоративных архитекторов
http://aka.ms/cloudarchidentity
Облачное удостоверение
Майкрософт для
корпоративных архитекторов
http://aka.ms/cloudarchidentity
Contoso
в Microsoft
Cloud
Подписки, лицензии и учетные записи пользователей
Сентябрь 2016 г. © Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены. Вы можете отправить отзыв об этой документации по адресу [email protected].© Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены. Вы можете отправить отзыв об этой документации по адресу [email protected].
Структура корпорации Contoso
Для согласованного использования удостоверений и выставления счетов на все облачные предложения, корпорация
Майкрософт предоставляет иерархию организаций, подписок, лицензий и учетных записей пользователей.
Показательный пример внедрения
Microsoft Cloud вымышленной
глобальной организацией
Intune/EMS500 лицензий
Intune/EMS500 лицензий
Dynamics 365100 лицензийDynamics 365100 лицензий
Региональные
подписки
Azure
Региональные
подписки
Azure
Корпорация
Contoso
КлиентAzure ADКлиент
Azure AD
Office 365Office 365
Корпоративный E3500 лицензий
Учетные записи пользователей,
синхронизированные из леса Windows Server AD домена
contoso.com
Корпоративный E5200 лицензий
Подписки Azure корпорации Contoso Корпорация Contoso разработала представленную ниже иерархию для своих подписок Azure.
Contoso находится на верхнем уровне согласно
соглашению Enterprise с корпорацией Майкрософт.
Имеется набор учетных записей, соответствующихразным регионам мира, в которых корпорацияContoso ведет свою деятельность, на основе доменовлеса Windows Server AD корпорации Contoso.
В каждом регионе есть одна или несколько подписокна основе потребностей региона в разработке,тестировании и развертывания производственныхмощностей.
Каждая подписка Azure может быть связана с одним клиентом Azure AD, содержащим учетные записи пользователей и группы для проверки подлинности и авторизации в службах Azure. Для рабочих подписок используется общий клиент Contoso Azure AD.
ОрганизацияКоммерческое предприятие, использующее облачные предложения корпорации Майкрософт. Как правило, она определяется по общедоступному доменному имени DNS, например contoso.com.
ПодпискиПодписка на облачные предложения Microsoft SaaS (Office 365, Intune/EMS и Dynamics 365) представляет собой определенный продукт и набор приобретенных пользовательских лицензий.
Подписка на Azure обеспечивает выставление счетов на используемые облачные службы для организации.
ЛицензииВ случае облачных предложений корпорации Майкрософт на основе SaaS лицензия позволяет определенному пользователю пользоваться облачными службами.
Что касается Azure, лицензии на программное обеспечение включены в цены на службы, но в некоторых случаях понадобится приобрести дополнительные лицензии на программное обеспечение.
Учетные записи пользователейУчетные записи пользователей хранятся в клиенте Azure AD и могут быть синхронизированы с локальным поставщиком удостоверений, например Windows Server AD.
Организация Корпорация Contoso определяется по ее
общедоступному доменному имени contoso.com.
Подписки и лицензии Корпорация Contoso использует
следующие подписки и лицензии:
продукт Office 365 корпоративный E3 с 500 лицензиями;
продукт Office 365 корпоративный E5 с 200 лицензиями;
продукт EMS с 500 лицензиями;
продукт Dynamics 365 с 100 лицензиями;
несколько подписок Azure для разных регионов.
Учетные записи пользователей Общий клиент Azure AD содержит список учетных записей пользователей и групп, используемых всеми подписками корпорации Contoso, за исключением подписок Azure на разработку и тестирование.
Что касается облачных предложений SaaS, клиент представляет собой региональное
расположение, в котором расположены серверы, обеспечивающие облачные
службы. Корпорация Contoso выбрала европейский регион для размещения своих
клиентов Office 365, EMS и Dynamics 365.
Рабочие нагрузки служб и приложений PaaS и IaaS могут размещаться в любом
центре данных Azure в мире.
Клиент Azure AD — это определенный экземпляр Azure AD, содержащий учетные
записи и группы. Общий клиент Azure AD, который содержит синхронизированные
учетные записи для леса Contoso Windows Server AD, обеспечивает платформу IDaaS
для всех облачных предложений корпорации Майкрософт.
Подписки, лицензии, учетные записи и клиенты для облачных предложений корпорации МайкрософтПодписки, лицензии, учетные записи и клиенты для облачных предложений корпорации Майкрософт
Клиенты
1 2 3 4 5Это статья 5 из 6. 6
contoso.com
Рекомендации относительно подписок и учетных записей AzureРекомендации относительно подписок и учетных записей Azure
Contoso в
Microsoft
Cloud
БезопасностьКорпорация Contoso серьезно относится к собственной информационной безопасности и защите данных. При
переносе своей ИТ-инфраструктуры в облако она убедилась, что требования к безопасности локальной среды
выполнены и реализованы в облачных предложениях корпорации Майкрософт.
Показательный пример внедрения
Microsoft Cloud вымышленной
глобальной организацией
ACL для минимальных
прав доступа
Разрешения на доступ учетных записей к ресурсам в облаке и их соответствующие возможности должны
соответствовать рекомендациям относительно минимальным правам доступа.
Шифрование неактивных
данных в облакеВсе данные, хранящиеся на дисках или в другом месте в облаке, должны быть зашифрованы.
Шифрование интернет-
трафика
В Интернете запрещено передавать данные в виде обычного текста. Всегда используйте HTTPS-подключения, IPsec
или другие методы сквозного шифрования данных.
Надежная проверка
подлинности при доступе
к облачным ресурсам
При доступе к облачным ресурсам требуется проверка подлинности, причем (по возможности) многофакторная.
Требования корпорации Contoso к безопасности в облаке
Классификация конфиденциальности данных корпорации Contoso
Уровень 1. Низкая ценность для бизнеса
Данные шифруются и доступны только пользователям, прошедшим проверку подлинности.
Обеспечивается для всех данных, которые хранятся локально и в облачном хранилище, а также рабочих нагрузок, таких как Office 365. Данные шифруются при нахождении в службе, а также по пути между службой и клиентскими устройствами.
Примеры данных уровня 1 — это обычный обмен деловой информацией (электронная почта) и файлы для администраторов, а также специалистов по продажам и поддержке.
Уровень 2: Средняя ценность для бизнеса
Уровень 1, а также строгая проверка подлинности и защита от потери данных.
Строгая проверка подлинности включает многофакторную проверку подлинности и проверку с помощью SMS-сообщения. Защита от потери данных предотвращает передачу конфиденциальных или важных сведений за пределы локальной сети.
Примеры данных уровня 2 — финансовые и юридические сведения, а также данные об исследованиях и разработке новых продуктов.
Уровень 3. Высокая ценность для бизнеса
Уровень 2, а также самые высокие уровни шифрования, проверки подлинности и аудита.
Самые высокие уровни шифрования неактивных данных и данных в облаке, которые соответствуют региональным нормативным правилам, в сочетании с многофакторной проверкой подлинности с использованием смарт-карт, детального аудита и оповещений.
Примеры данных уровня 3 — персональные данные клиентов и партнеров, а также технические характеристики продуктов и защищаемые методы производства.
Набор средств для классификации данныхНабор средств для классификации данных
Используя набор средств для классификации данных от Майкрософт, корпорация Contoso проанализировала данные и
определила приведенные ниже уровни.
Сопоставление облачных предложений корпорации Майкрософт и компонентов
с уровнями данных Contoso
Протокол HTTPS для всехподключений
Шифрование неактивных данных
Многофакторная проверкаподлинности (MFA) Azure ADс SMS-сообщениями
Система управления правамиAzure (RMS)
Azure AD MFA с использованиемсмарт-карт
Условный доступ к Intune
Уровень 1. Низкая ценность для бизнеса
Уровень 2: Средняя ценность для бизнеса
Уровень 3. Высокая ценность для бизнеса
Поддержка только HTTPS-подключений
Шифрование файлов, хранящихсяв Azure
Использование хранилищаключей Azure для ключейшифрования
Azure AD MFA с использованиемSMS-сообщений
Azure RMS Azure AD MFA с использованием
смарт-карт
Требуется протокол HTTPS илиIPsec для доступа к серверу
Шифрование диска Azure
MFA с использованием SMS-сообщений
MFA с использованием смарт-карт
1 2 3 4 5Это статья 6 из 6. 6
Продолжение см. на следующей странице
Azure IaaSAzure PaaSSaaS
Сентябрь 2016 г. © Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены. Вы можете отправить отзыв об этой документации по адресу [email protected].© Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены. Вы можете отправить отзыв об этой документации по адресу [email protected].
Ресурсы
безопасности
в облаке
Безопасность в облачном мире. Курс
академии Microsoft Virtual Academy
http://aka.ms/securecustomermva
Безопасность в облачном мире. Курс
академии Microsoft Virtual Academy
http://aka.ms/securecustomermvahttp://aka.ms/o365infoprotect
Защита информации
в Office 365
http://aka.ms/o365infoprotect
Защита информации
в Office 365
Обеспечение безопасности
в облаке Майкрософт для
корпоративных архитекторов
http://aka.ms/cloudarchsecurity
Обеспечение безопасности
в облаке Майкрософт для
корпоративных архитекторов
http://aka.ms/cloudarchsecurity
Сентябрь 2016 г. © Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены. Вы можете отправить отзыв об этой документации по адресу [email protected].© Корпорация Майкрософт (Microsoft Corporation), 2016. Все права защищены. Вы можете отправить отзыв об этой документации по адресу [email protected].
Ресурсы
безопасности
в облаке
Информационные политики корпорации Contoso
Оптимизация учетных записей
администраторов для облака
Корпорация Contoso провела обширную
проверку существующих учетных записей
администраторов Windows Server AD
и настроила серию учетных записей
администраторов и групп в облаке.
1 Анализ классификации данных в три
уровня
Корпорация Contoso провела
тщательную проверку и определила три
уровня, которые использовались с целью
выбора компонентов облачных
предложений корпорации Майкрософт
для защиты самых ценных данных.
2 Определение политик защиты при
доступе к информации и ее хранении
для уровней данных
На основе уровней данных корпорация
Contoso определила подробные
требования, которые будут
использоваться для уточнения будущих
рабочих ИТ-нагрузок при перемещении
в облако.
3
Путь корпорации Contoso к готовности к безопасности в облаке
Предоставление доступа всемпользователям
Предоставление доступасотрудникам, субподрядчиками партнерам корпорации Contoso
Использование MFA, TLS и MAM
Предоставление доступаруководителям и ведущимсотрудникам инженерного и производственного отделов
RMS только с управляемыми сетевыми устройствами
Уровень 1. Низкая ценность для бизнеса
Уровень 2: Средняя ценность для бизнеса
Уровень 3. Высокая ценность для бизнеса
6 месяцев
2 года
7 лет
С шифрованием
Использование хэш-значений для обеспечения целостности данных
Использование цифровых подписей для обеспечения неотрекаемости
Доступ Хранение данных Защита информации
Безопасность в облачном мире. Курс
академии Microsoft Virtual Academy
http://aka.ms/securecustomermva
Безопасность в облачном мире. Курс
академии Microsoft Virtual Academy
http://aka.ms/securecustomermvahttp://aka.ms/o365infoprotect
Защита информации
в Office 365
http://aka.ms/o365infoprotect
Защита информации
в Office 365
Обеспечение безопасности
в облаке Майкрософт для
корпоративных архитекторов
http://aka.ms/cloudarchsecurity
Обеспечение безопасности
в облаке Майкрософт для
корпоративных архитекторов
http://aka.ms/cloudarchsecurity