• Cloud, Guide, Sicurezza, Tecnologia
• 6 Ottobre 2022

Le Azure Landing Zones sono un’insieme di risorse cloud create per favorire la migrazione verso il Cloud nel miglior modo possibile e permettere alle aziende di rispettare i requisiti di sicurezza, gestione, rispetto delle normative a cui sono sottoposte anche on-premises. L’obiettivo è quello di aumentare il livello di agilità e flessibilità richiesti dalla trasformazione digitale, permettendo alle aziende di innovare e utilizzare con efficacia i servizi digitali. La recente pandemia ci ha insegnato che abbiamo bisogno di adeguarci velocemente alle crescenti richieste di business oppure rispondere in maniera agile a situazioni inaspettate.

A cosa servono

Le Azure Landing Zones sono progettate per servire a diversi scopi, tra cui:

• Strutturare l’ambiente cloud: Forniscono un’architettura di riferimento che aiuta a strutturare l’ambiente cloud in modo che sia scalabile e flessibile. Questo include la configurazione di reti, storage, servizi di calcolo e altri componenti cloud essenziali.
• Governance e compliance: Aiutano le organizzazioni a implementare politiche di governance e compliance. Questo è fondamentale per le aziende che operano in settori regolamentati o che gestiscono dati sensibili.
• Automazione e standardizzazione: Promuovono l’uso dell’automazione e della standardizzazione per ridurre gli errori manuali e accelerare il deployment di nuove risorse e servizi.
• Sicurezza: Offrono linee guida e strumenti per garantire che l’ambiente cloud sia sicuro. Ciò include la configurazione di firewall, sistemi di identificazione e accesso, protezione dei dati e altro ancora.

Come si usano

Quando viene creata una Azure Landing Zone viene di fatto creato un ambiente in Azure pronto per ospitare i nostri workload e creato tramite codice. Questo ambiente, scalabile e modulare, permette di accontentare le esigenze molteplici che possono avere le diverse aziende. In effetti ci sono aziende che hanno un team IT unico, mentre altre hanno team specifici per applicazioni, workload, networking, telefonia, ecc.

L’utilizzo delle Azure Landing Zones segue generalmente questi passaggi:

• Valutazione e pianificazione: Prima di implementare una landing zone, è importante valutare le esigenze aziendali e pianificare l’architettura in base agli obiettivi specifici di business, sicurezza, compliance e operatività.
• Scelta della landing zone: Microsoft offre diverse opzioni di landing zone che si adattano a vari scenari aziendali, dalle piccole imprese alle grandi corporazioni con requisiti complessi. È importante scegliere il modello di landing zone che meglio si adatta alle esigenze della propria organizzazione.
• Deployment: Utilizzare gli strumenti e le linee guida forniti da Microsoft per implementare la landing zone. Questo può includere l’uso di Azure Resource Manager templates (ARM templates), Azure Blueprints, e altri strumenti di automazione per configurare e deployare l’ambiente cloud.
• Gestione e ottimizzazione: Dopo il deployment, è importante monitorare l’ambiente, gestire le risorse, ottimizzare i costi e applicare le necessarie modifiche di sicurezza e compliance.

Microsoft ha sviluppato per questo motivo il Cloud Adoption Framework, un framework completo del ciclo di vita dell’adozione del Cloud, che consente agli architetti cloud, ai professionisti IT e ai decision maker aziendali di raggiungere gli obiettivi di adozione del cloud e che fornisce procedure consigliate, documentazione e strumenti che consentono di creare e implementare strategie aziendali e tecnologiche per il cloud.

Figura 1: Cloud Adoption framework lifecycle

Il Cloud Adoption Framework fornisce strumenti, linee guida e narrazioni. Gli strumenti inclusi consentono di definire le strategie in termini di tecnologia, business e persone per ottenere i migliori risultati aziendali possibili tramite il progetto di adozione del cloud. Qui di seguiti trovare le linee guida per ogni metodologia:

• Strategia: definire la giustificazione aziendale e i risultati previsti per l’adozione.
• Pianificazione: allineare i piani di adozione attuabili ai risultati aziendali.
• Preparazione: preparare l’ambiente cloud per le modifiche pianificate.
• Migrazione: eseguire la migrazione dei carichi di lavoro esistenti e modernizzarli.
• Innovazione: sviluppare nuove soluzioni ibride o native del cloud.
• Sicurezza: migliorare la sicurezza nel tempo.
• Gestione: gestire le operazioni per soluzioni cloud e ibride.
• Governance: gestire l’ambiente e i carichi di lavoro.
• Organizzazione: allineare i team e i ruoli a supporto delle attività di adozione del cloud dell’organizzazione.

L’infrastruttura basata sul cloud modifica fondamentalmente il modo in cui l’organizzazione trova, usa e protegge le risorse tecnologiche. Tradizionalmente, le organizzazioni assumevano la proprietà e la responsabilità di tutti gli aspetti della loro tecnologia, dall’infrastruttura al software. Il passaggio al cloud consente invece all’organizzazione di effettuare il provisioning e l’utilizzo delle risorse solo quando necessario. Anche se il cloud offre una straordinaria flessibilità di progettazione, l’azienda necessita di una metodologia collaudata e coerente per l’adozione di tecnologie cloud per garantire il successo. Microsoft Cloud Adoption Framework per Azure soddisfa tale esigenza, aiutando a guidare le decisioni durante il percorso di adozione del cloud.

Architettura concettuale delle Azure Landing Zone

Microsoft ha creato un’architettura concettuale che consente alle aziende di gestire ambienti cloud di successo che potenziano le attività rispettando al tempo stesso le procedure consigliate per la sicurezza e la governance.

Questa architettura concettuale rappresenta le decisioni relative a scalabilità e gestione basate su un’ampia varietà di lezioni apprese e feedback dei clienti che hanno adottato Azure come parte del proprio patrimonio digitale.

Anche se l’implementazione può variare, in seguito a decisioni aziendali specifiche o a investimenti esistenti in strumenti che devono essere mantenuti nell’ambiente cloud, questa architettura concettuale consente di definire una direzione per l’approccio complessivo che l’azienda adotta per la progettazione e l’implementazione di una Azure Landing Zone.

Usate questa architettura come punto di partenza. Scaricate il file Visio e modificatelo in base ai requisiti aziendali e tecnici specifici durante la pianificazione dell’implementazione della zona di destinazione.

Figura 2: Azure landing zone conceptual architecture

Per le aziende in cui questa architettura concettuale si adatta al modello operativo e alla struttura delle risorse che prevede di usare, è disponibile un’esperienza di distribuzione pronta all’uso denominata Azure landing zone accelerator

Prima però di procedere alla creazione di una Azure Landing Zone è necessario modificare alcuni permessi necessari per il deployment.

Per prima cosa utilizzate il portale di Azure per elevare l’accesso per un utente che ha i diritti di Global Administrator e poi fate logoff e logon. Selezionate la vostra Azure Active Directory e nelle Proprietà mettete a YES la voce  Access management for Azure resources.

Figura 3: Modifica dei permessi per poter consentire l’accesso a tutte le sottoscrizioni e ai management group associati al tenant di Azure AD

La verifica dei permessi può essere fatta semplicemente selezionando la Sottoscrizione e dal nodo Access Control (IAM) verificando che l’utente abbia il ruolo di User Access Administrator.

Figura 4: Verifica dei permessi per poter consentire l’accesso a tutte le sottoscrizioni e ai management group associati al tenant di Azure AD

Successivamente dovrete assegnare allo stesso utente che si occuperà del deployment il ruolo di Owner a livello di Root. Per poterlo fare è necessario utilizzare il comando PowerShell

Dal portale di Azure potrete poi verificare che il ruolo sia stato assegnato correttamente, come mostrato nella figura sotto:

Figura 5: Verifica dell’assegnazione del ruolo di Owner

Come già scritto prima, l’Azure Landing Zone Accelerator è una distribuzione basata sul portale di Azure che fornisce un’implementazione completa dell’architettura concettuale, insieme a configurazioni per i componenti chiave, ad esempio i Resource Group e le Azure Policy. Esistono diverse Opzioni di implementazione della Azure Landing Zone, ma il modo più rapido per ottenere un ambiente con scalabilità orizzontale e maturo è utilizzare l’acceleratore disponibile al link https://aka.ms/caf/ready/accelerator

Cliccando su link si aprirà il portale di Azure e potrete utilizzare l’Azure Landing Zone accelerator. Nelle figure sotto ci sono tutti i passaggi necessari alla creazione delle risorse

Figura 6: Deployment Settings dell’Azure Landing Zone accelerator

Figura 7: Azure Core Setup dell’Azure Landing Zone accelerator

Figura 8: Platform Management e Governance dell’Azure Landing Zone accelerator

Figura 9: Network Topology dell’Azure Landing Zone accelerator

Figura 10: Configurazione dell’Identity management dell’Azure Landing Zone accelerator

Figura 11: Gestione delle Azure Policy dell’Azure Landing Zone accelerator

Figura 12: Schermata di riepilogo della creazione dell’Azure Landing Zone accelerator

Nel giro di circa 20 minuti il deployment sarà completato.

Figura 13: Deployment dell’Azure Landing Zone accelerato completato

Qui di seguito ci sono le risorse create dall’Azure Landing Zone accelerator. Sono stati creati nuovi Management Groups, risorse per il logging delle operazioni e per il monitoraggio, risorse per la rete e la protezione della stessa, policy per il controllo della governance e così via.

Figura 14: Management Group creati dall’Azure Landing Zone accelerator

Figura 15: Resource Group creati dall’Azure Landing Zone accelerator

Figura 16: Resource Group con le risorse per la gestione e per il monitoraggio

Figura 17: Resource group con le risorse per il networking e per la protezione delle connessioni

Figura 18: Resource Group con le zone private DNS

Figura 19: Resource Group per la protezione dagli attacchi DDOS

Figura 20: Azure Policy create e relativa associazione alle diverse sottoscrizioni

Conclusioni

Questa guida non è certamente esaustiva delle potenzialità della Azure Landing Zone, ma è certamente uno stimolo per poter approfondire questa interessantissima soluzione di avvicinamento ad Azure offerta da Microsoft, che tenta di coinvolgere tutte le parti interessate nella progettazione del passaggio al cloud. Questo permette di affrontare in maniera agile i problemi quotidiani da risolvere, gli obiettivi di sviluppo dell’azienda nel breve e nel lungo periodo, le policy da seguire e i principi normativi da rispettare. Le basi poste poi dagli accelerator possono essere consolidate nel corso del tempo e nei diversi progetti che vengono implementati man mano che se ne ha necessità o si prende confidenza con le nuove tecnologie e potenzialità offerte da Azure.