Contoso na nuvem da Microsoft Cloud Microsoft...Contoso na nuvem da Microsoft Rede Infraestrutura de rede da Contoso Para adotar uma infraestrutura de nuvem inclusiva, os engenheiros
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Como uma organização global fictícia,
mas representativa, implementou a
Microsoft Cloud
Contoso na
nuvem da
Microsoft 1 2 3 4 5Este tópico é o 1 de 6 em uma série
The Contoso Corporation
Organização mundial da Contoso
Elementos de Implementação da Contoso da nuvem da Microsoft
Rede
Rede inclui a conectividade às ofertas de
nuvem Microsoft e largura de banda
suficiente para ter um bom desempenho sob
cargas de pico. Alguma conectividade será
local por conexões de Internet locais e
alguma será por infraestrutura de rede
privada da Contoso.
Identidade
A Contoso usa uma floresta do AD do
Windows Server para seu provedor de
identidade interno e também faz federação
com provedores de terceiros para clientes e
parceiros. A Contoso deve aproveitar o
conjunto interno de contas para ofertas de
nuvem da Microsoft. Acesso a aplicativos
baseados em nuvem para clientes e parceiros
deve aproveitar provedores de identidade de
terceiros também.
Segurança
Segurança para identidades e dados
baseados em nuvem deve incluir proteção
de dados, gerenciamento de privilégio
administrativo, reconhecimento de ameaça
e implementação de políticas de
governança e segurança de dados.
Gerenciamento
Gerenciamento para aplicativos baseados
em nuvem e cargas de trabalho SaaS
precisará poder realizar a manutenção de
configurações, dados, contas, políticas e
permissões e monitorar o desempenho e a
integridade em andamento. Ferramentas de
gerenciamento de servidor existentes serão
usadas para gerenciar máquinas virtuais no
Azure IaaS.
Os arquitetos de TI da Contoso identificaram os seguintes elementos ao planejar a adoção de ofertas de nuvem da Microsoft.
Identidade de nuvem da
Microsoft para arquitetos da
empresa
Identidade de nuvem da
Microsoft para arquitetos da
empresa
Rede da nuvem da Microsoft
para arquitetos da empresa
Rede da nuvem da Microsoft
para arquitetos da empresa
Segurança de nuvem da
Microsoft para arquitetos da
empresa
Segurança de nuvem da
Microsoft para arquitetos da
empresa
Escritórios da Contoso no mundo todo seguem um design de três camadas.
A Contoso Corporation é uma empresa global sediada em Paris, França. É uma organização de conglomerado de fabricação, vendas e suporte com mais de 100 mil produtos.
Mapeando as necessidades de negócios da Contoso para as ofertas de nuvem da Microsoft
Infraestrutura de TI existente da Contoso
SaaSSoftware como Serviço
Azure PaaSPlataforma como Serviço
Azure IaaSInfraestrutura como Serviço
A Contoso usa principalmente a infraestrutura de TI local centralizada, com datacenters de aplicativo
na sede de Paris.
A Contoso está no processo de transição de uma infraestrutura de TI centralizada local para uma infraestrutura incluindo
nuvem que incorpore cargas de trabalho, aplicativos e cenários híbridos de produtividade pessoal baseados em nuvem.
Necessidades de negócios da Contoso
Cumprir os requisitos regulamentares regionais
Para evitar multas e manter boas relações com os governos locais, a Contoso deve garantir a conformidade com os regulamentos de criptografia e armazenamento de dados.
1Melhorar o gerenciamento de fornecedores e parceiros
A extranet do parceiro está envelhecendo e tem alto custo de manutenção. A Contoso quer substituí-la por uma solução baseada em nuvem que use autenticação federada.
2Melhorar a produtividade, o gerenciamento de dispositivos e o acesso da força de trabalho móvel
A força de trabalho somente móvel da Contoso está se expandindo e precisa de gerenciamento de dispositivos para garantir a proteção de propriedade intelectual e acesso mais eficiente aos recursos.
3
Reduzir a infraestrutura de acesso remoto
Ao mover recursos comumente acessados por trabalhadores remotos para a nuvem, a Contoso economizará dinheiro reduzindo os custos de manutenção e suporte para sua solução de acesso remoto.
4Reduzir verticalmente datacenters locais
Os datacenters da Contoso contêm centenas de servidores, alguns dos quais estão executando funções herdadas ou de arquivamento que desviam a atenção da equipe de TI da manutenção decargas de trabalho dealto valor comercial.
5Escalar verticalmente recursos de computação e armazenamento para processamento de final de trimestre
Contabilidade financeira de final do trimestre e processamento de projeção, juntamente com o gerenciamento de estoque, requerem aumentos de curto prazo em servidores e armazenamento.
A ExpressRoute é uma conexão WAN dedicada de seu local para um local de
emparelhamento da Microsoft que conecta a sua rede à rede de nuvem da Microsoft.
As conexões ExpressRoute oferecem desempenho previsível e um SLA de tempo de
atividade de 99,9%.
Com uma conexão ExpressRoute, você é conectado à rede de nuvem da Microsoft e a
todos os locais de datacenter Microsoft no mesmo continente. O tráfego entre o local
de emparelhamento de nuvem e o datacenter Microsoft de destino é feito através da
rede de nuvem da Microsoft.
Com o ExpressRoute Premium, você pode acessar qualquer data center Microsoft em
qualquer continente de qualquer local de emparelhamento da Microsoft em qualquer
continente. O tráfego entre continentes é feito através da rede de nuvem da
Microsoft.
Otimizar os computadores dos funcionários para acesso à Internet
Computadores individuais serão verificados para garantir que as atualizações mais recentes de pilha de TCP/IP, navegador, drivers da NIC e segurança e sistema
operacional estejam instaladas.
1 Analisar a utilização da conexão de Internet em cada escritório e aumentar conforme necessário
Será analisado o uso que cada escritório faz da Internet atual, e largura de banda do link WAN será aumentada se ele estiver
operando a uma utilização de 70% ou mais.
2 Analisar sistemas DMZ em cada escritório quanto ao desempenho ideal
Firewalls, IDSs e outros sistemas no caminho da Internet serão analisados quanto ao desempenho ideal. Servidores proxy serão atualizados conforme
necessário.
3
Caminho da Contoso para a preparação de rede na nuvem
Aqui estão os resultados da análise da Contoso das alterações necessárias na rede para
acomodar as categorias diferentes de ofertas de nuvem da Microsoft.
A adoção bem-sucedida dos serviços SaaS pelos usuários depende de conectividade altamente disponível e de alto desempenho à Internet ou diretamente aos serviços em nuvem da Microsoft.
Para usuários móveis, será presumido que o acesso à Internet atual é adequado.
Para os usuários na intranet da Contoso, cada escritório deve ser analisado e otimizado para produtividade para a Internet e tempos de viagem de ida e volta ao datacenter da Europa da Microsoft que hospeda os locatários do Office 365, do EMS e do Dynamics 365.
Ofertas de nuvem SaaSOffice 365, EMS e Dynamics 365
Para dar um suporte melhor aos trabalhadores móveis, aplicativos herdados e alguns sites de compartilhamento de arquivos estão sendo reformulados e implantados como aplicativos Azure PaaS. Para o desempenho ideal, a Contoso planeja implantar os novos aplicativos de vários datacenters do Azure no mundo todo. O Gerenciador de Tráfego do Azure deverá enviar solicitações de aplicativo cliente, originadas tanto de um usuário móvel quanto de um computador no escritório, para o datacenter Azure mais próximo que hospede o aplicativo.
O departamento de TI precisará adicionar desempenho de aplicativo PaaS e distribuição de tráfego à solução de monitoramento de integridade de rede.
Azure PaaSAplicativos móveis
Para transferir alguns servidores herdados e de arquivamento para fora dos datacenters do campus de Paris e adicionar servidores conforme necessário para processamento do final do trimestre, a Contoso planeja usar máquinas virtuais em execução nos serviços de infraestrutura do Azure.
As redes virtuais Azure que contêm esses servidores devem ser projetadas para espaços de endereço, roteamento e DNS integrado não sobrepostos.
O departamento de TI deve incluir esses novos servidores ao seu sistema de gerenciamento e monitoramento de rede.
Azure IaaSCargas de trabalho baseadas em servidor
Análise de rede da Contoso
Com base na análise de tráfegos atuais e futuros para ofertas de nuvem da Microsoft e seus requisitos
de alta qualidade de serviço para comunicações baseadas em Skype, a Contoso realizou uma avaliação
da rede e implementou uma conexão ExpressRoute Premium de qualquer uma para qualquer uma
(baseada em MPLS) da sede de Paris para o local de emparelhamento da Microsoft na Europa.
Desempenho consistente para a
equipe do campus de Paris para
aplicativos SaaS
Com 15 mil funcionários no campus de
Paris, todos acessando simultaneamente o
Office 365, o Intune e o 365 Dynamics, a
Contoso deseja garantir que o acesso
tenha um desempenho consistentemente
alto e não concorra com tráfego de
Internet regional.
Desempenho consistente para a
administração de aplicativos do
Azure PaaS distribuídos
Todos os desenvolvedores de aplicativos e os
administradores de TI de infraestrutura principal
da Contoso estão no campus de Paris.
Com aplicativos Azure PaaS distribuídos a
diferentes data centers Azure em todo o mundo,
a Contoso precisa de desempenho consistente do
campus de Paris para administrar os aplicativos e
seus recursos de armazenamento, que consistem
em TB de documentos.
Desempenho consistente para
administração de servidores no
Azure IaaS
Os administradores do datacenter da Contoso
estão no campus de Paris e os servidores a serem
implantados no Azure são uma extensão do
datacenter de Paris.
A Contoso precisa de desempenho consistente
para esses novos servidores para acessar
aplicativos herdados e armazenamento de
arquivamento e para processamento de final de
trimestre.
Adicionar ExpressRoute Premium para o campus de Paris
Fornece acesso consistente ao ofertas de nuvem SaaS para trabalhadores do campus de Paris e administração de cargas de trabalho do Azure PaaS e IaaS em todo o
mundo.
4 Criar e testar um perfil do Gerenciador de Tráfego do Azure para aplicativos do Azure PaaS
Teste um perfil do Gerenciador de Tráfego do Azure que use o método de roteamento de desempenho para obter experiência na distribuição tráfego de Internet para locais
regionais.
5 Reservar espaço de endereço particular para VNets do Azure
Com base nos números de projetado servidores de curto e longo prazos projetados no Azure IaaS, reserve espaço de endereço particular para VNets do
Azure e suas sub-redes.
6
http://aka.ms/tune
Planejamento de rede e ajuste de
desempenho para Office 365
http://aka.ms/tune
Planejamento de rede e ajuste de
desempenho para Office 365ExpressRoute para Office 365
A Microsoft fornece IDaaS (Identidade como um Serviço) em suas ofertas de nuvem. Para adotar uma
infraestrutura que inclua nuvem, a solução de IDaaS da Contoso deve aproveitar seu provedor de identidade
local e incluir autenticação federada com seus atuais provedores de identidade confiáveis de terceiros.
Como uma organização global fictícia,
mas representativa, implementou a
Microsoft Cloud
InternetInternetDMZDMZ
Extranet do
parceiro
Extranet do
parceiro
Site públicoSite públicoClientes e
parceiros
Clientes e
parceiros
Firewall externoFirewall externo
Infraestrutura de autenticação federada da Contoso
AD FSAD FS
A Contoso usa uma única floresta do AD (Active Directory) do Windows Server para contoso.com com sete domínios, um para cada região do mundo. A sede, os
escritórios de hubs regionais e filiais contêm controladores de domínio para autenticação e autorização locais.
A Contoso deseja usar as contas e os grupos na floresta contoso.com para autenticação e autorização para seus aplicativos e cargas de trabalho baseados em nuvem.
A Contoso permite que:
• Clientes usem as contas da Microsoft, Facebook ou
Google Mail para entrar no site público.
• Fornecedores e parceiros usem as contas do LinkedIn, do
Salesforce ou do Google Mail para entrar na extranet do
parceiro.
Os servidores AD FS (Serviços de Federação do Active
Directory) na DMZ autenticam as credenciais do cliente para
acessar o site público e as credenciais de parceiro para
acessar a extranet do parceiro.
Quando a Contoso faz a transição do seu site público para
um aplicativo Web do Azure e da extranet do parceiro para
365 Dynamics, ela quer continuar usando esses provedores
de identidade de terceiros para seus clientes e parceiros.
Isso será feito configurando a federação entre locatários do
Azure AD da Contoso e esses provedores de identidade de
Distribuição geográfica do tráfego de autenticação da ContosoPara melhor atender à sua força de trabalho móvel e remota, a Contoso implantou conjuntos de servidores de autenticação em se us escritórios regionais. Essa
infraestrutura distribui a carga e fornece redundância e o melhor desempenho ao autenticar credenciais de usuário para acesso a ofertas de nuvem da Microsoft
que usam o locatário Azure AD comum.
Para distribuir a carga de solicitações de autenticação, a Contoso configurou o Gerenciador de Tráfego do Azure com um perfil que usa o método de roteamento
de desempenho, que encaminha clientes de autenticação ao conjunto de servidores de autenticação mais próximos na região.
Redundância para a infraestrutura de autenticação da sede no Azure IaaS
Gerenciador de tráfego
Gerenciador de tráfego
5. O computador cliente envia uma solicitação de autenticação para um servidor
proxy do aplicativo Web, que encaminha a solicitação a um servidor do AD FS.
6. O servidor do AD FS solicita as credenciais do usuário do computador cliente.
7. O computador cliente envia as credenciais do usuário sem avisar o usuário.
8. O servidor AD FS valida as credenciais com um controlador de domínio do AD
do Windows Server no escritório regional e retorna um token de segurança no
computador cliente.
9. O computador cliente envia o token de segurança ao Office 365.
10. Após a validação bem-sucedida, o Office 365 armazena em cache o token de
segurança e envia a página da Web solicitada na etapa 1 ao computador cliente.
1. O computador cliente inicia a comunicação com uma página da Web
no locatário do Office 365 na Europa (como sharepoint.contoso.com).
2. O Office 365 envia de volta uma solicitação para enviar uma prova de
autenticação. A solicitação contém a URL para o contato para a
autenticação.
3. O computador cliente tenta resolver o nome DNS na URL para um
endereço IP.
4. O Gerenciador de Tráfego do Azure recebe a consulta DNS e responde
ao computador cliente com o endereço IP de um servidor proxy do
aplicativo Web do escritório regional mais próximo do computador
cliente.
Exemplo de processo de autenticação:
DMZ
Proxies do
aplicativo Web
Proxies do
aplicativo Web
Servidores do
AD FS
Servidores do
AD FS
Escritório regional
Firewall internoFirewall interno
Controladores
de domínio do
AD do Windows
Server
Controladores
de domínio do
AD do Windows
Server
Solicitação
de
autenticação
DMZ
Proxies de
aplicativo Web
Proxies de
aplicativo WebServidores do
AD FS
Servidores do
AD FS
SedeSede
Datacenters
centrais do
aplicativo
Datacenters
centrais do
aplicativo
Interno
firewall
Interno
firewall
Rede virtual
ExpressRoute
Premium
ExpressRoute
Premium
Proxies de
aplicativo Web
Proxies de
aplicativo Web
Servidores do
AD FS
Servidores do
AD FS
Servidores de
autenticação
Servidores de
autenticação
Para fornecer redundância para os trabalhadores remotos e móveis de sede de Paris, que tem
15 mil trabalhadores, a Contoso implantou um segundo conjunto de proxies de aplicativo e
servidores AD FS no Azure IaaS.
Quando os servidores de autenticação primários na DMZ da sede não estão disponíveis, a
equipe de TI muda para o conjunto redundante implantado no Azure IaaS. Solicitações de
autenticação subsequentes de computadores do escritório de Paris usam o conjunto no
Azure IaaS até que o problema de disponibilidade ser corrigido.
Para fornecer um uso consistente de identidades e cobrança para todas as ofertas de nuvem, a Microsoft fornece uma hierarquia de organização/assinaturas/licenças/contas de usuário.
Como uma organização global fictícia,
mas representativa, implementou a
Microsoft Cloud
Intune/EMS500 licençasIntune/EMS500 licenças
Dynamics 365100 licenças
Dynamics 365100 licenças
Assinaturas do Azure regionaisAssinaturas do Azure regionais
Contoso Corporation
Azure Locatário do AD
Azure Locatário do AD
Office 365Office 365
Enterprise E3500 licenças
Contas de usuário sincronizadas da floresta do AD do
Windows Server de contoso.com
Enterprise E5200 licenças
Assinaturas do Azure da Contoso A Contoso desenvolveu a seguinte hierarquia para suas
assinaturas do Azure:
• A Contoso está no topo, com base em seu Enterprise
Agreement com a Microsoft.
• Há um conjunto de contas correspondentes a
diferentes regiões da Contoso Corporation em todo o
mundo, com base nos domínios da floresta do AD do
Windows Server da Contoso.
• Em cada região, há uma ou mais assinaturas com base
nas necessidades de implantação de desenvolvimento,
teste e produção da região.
Cada assinatura do Azure pode ser associada um único
locatário Azure AD que contém as contas de usuário e
grupos para autenticação e autorização para os serviços
do Azure. Assinaturas de produção usam o locatário
comum Contoso Azure AD.
Organização
A entidade de negócios que está usando ofertas de nuvem da Microsoft, normalmente identificada por um nome de domínio DNS público, como contoso.com.
Assinaturas
Para ofertas de nuvem SaaS da Microsoft (Office 365, Intune /EMS e Dynamics 365), uma assinatura é um produto específico e um conjunto adquirido de licenças de usuário.
Para o Azure, uma assinatura permite a cobrança da organização por serviços de nuvem consumidos.
Licenças
Para ofertas de nuvem da Microsoft SaaS, uma licença permite que uma conta de usuário específica use serviços de nuvem.
Para o Azure, licenças de software estão integradas ao preço do serviço, mas, em alguns casos, você precisará comprar licenças de software adicionais.
Contas de usuário
Contas de usuário são armazenadas em um locatário do Azure AD e podem ser sincronizadas de um provedor de identidade local, como o AD do Windows Server.
Organização A Contoso Corporation é identificada por seu nome de domínio público contoso.com.
Assinaturas e licenças A Contoso Corporation está usando o seguinte:
• O produto Office 365 Enterprise E3 com 500 licenças• O produto Office 365 Enterprise E5 com 200 licenças• O produto EMS com 500 licenças• O produto Dynamics 365 com 100 licenças• Várias assinaturas do Azure com base em regiões
Contas de usuário Um locatário comum do Azure AD contém a lista de contas de usuário e grupos usado por todas as assinaturas da Contoso, com exceção de assinaturas do Azure de desenvolvimento e teste.
• Para ofertas de nuvem SaaS, o locatário é o local regional que engloba os
servidores que fornecem serviços de nuvem. A Contoso escolheu a região
europeia para hospedar seus locatários do Office 365, do EMS e do
Dynamics 365.
• Os serviços e aplicativos do Azure PaaS e as cargas de trabalho de TI IaaS
podem ter locação em qualquer datacenter do Azure no mundo todo.
• Um locatário do Azure AD é uma instância específica do Azure AD contendo
contas e grupos. O locatário comum do Azure AD que contém as contas
sincronizadas da floresta do AD do Windows Server da Contoso oferece
IDaaS em ofertas de nuvem da Microsoft.
Assinaturas, licenças, contas e locatários para ofertas de nuvem da MicrosoftAssinaturas, licenças, contas e locatários para ofertas de nuvem da Microsoft
Locatários:
1 2 3 4 5Este tópico é o 5 de 6 em uma série
6
contoso.com
Diretrizes de contas e assinatura do AzureDiretrizes de contas e assinatura do Azure
SegurançaA Contoso leva a sério a segurança e a proteção das informações. Ao fazer a transição da infraestrutura
de TI para uma incluindo nuvem, ela garantiu o suporte e a implementação dos requisitos de segurança
local nas ofertas de nuvem da Microsoft.
Como uma organização global fictícia,
mas representativa, implementou a
Microsoft Cloud
ACLs de acesso de
privilégios mínimos
As permissões da conta para acessar recursos na nuvem e o que eles têm permissão para fazer devem seguir as diretrizes de
privilégios mínimos.
Criptografia de dados em
repouso na nuvemTodos os dados armazenados em disco ou em outro lugar na nuvem devem estar no formato criptografado.
Criptografia para o tráfego
pela Internet
Nenhum dado enviado pela Internet está em formato de texto sem formatação. Sempre use conexões HTTPS, IPsec ou outros
métodos de criptografia de dados de ponta a ponta.
Autenticação forte para
recursos na nuvemO acesso a recursos na nuvem deve ser autenticado e, quando possível, aproveitar autenticação multifator.
Requisitos de segurança da Contoso na nuvem
Classificação de confidencialidade de dados da Contoso
Nível 1: baixo valor de negócios
Os dados são criptografados e estão disponíveis somente a usuários autenticados
Fornecido para todos os dados armazenados localmente e em armazenamento e cargas de trabalho baseados em nuvem, como Office 365. Os dados são criptografados enquanto estão no serviço e em trânsito entre o serviço e os dispositivos do cliente.
Exemplos de dados de Nível 1 são comunicações de negócios normais (email) e arquivos para
trabalhadores administrativos, de vendas e de suporte.
Nível 2: médio valor de negócios
Nível 1 mais autenticação forte e proteção contra perda de dados
Autenticação forte inclui autenticação multifator com validação de SMS. Prevenção de perda de dados garante que informações confidenciais ou críticas não trafeguem fora da rede local.
Exemplos de dados de nível 2 são informações financeiras e legais e dados de pesquisa e
desenvolvimento para novos produtos.
Nível 3: alto valor de negócios
Nível 2 mais os níveis mais altos de criptografia, autenticação e auditoria
Os níveis mais altos de criptografia de dados em repouso e na nuvem, de modo compatível com os regulamentos regionais, combinados com autenticação multifator com cartões inteligentes e auditoria e alertas granulares.
Exemplos de dados de nível 3 são informações de identificação do usuário do cliente e do parceiro e especificações de engenharia de produto e técnicas de
fabricação proprietárias.
Kit de ferramentas de classificação de dadosKit de ferramentas de classificação de dados
Usando as informações do Kit de ferramentas de classificação de dados da Microsoft, a Contoso realizou uma análise de seus
dados e determinou os níveis a seguir.
Mapeamento de recursos e ofertas de nuvem da Microsoft para os níveis de dados
da Contoso
• HTTPS para todas as conexões• Criptografia em repouso
• MFA (autenticação multifator) do Azure AD com SMS
• RMS (Sistema de RightsManagement) do Azure
• MFA do Azure AD com cartões inteligentes
• Acesso condicional Intune
Nível 1: baixo valor de negócios
Nível 2: médio valor de negócios
Nível 3: alto valor de negócios
• Suporte apenas a conexões HTTPS• Criptografar arquivos armazenados
no Azure
• Usar Cofre de Chaves do Azure parachaves de criptografia