Anatomia de uma Azure Landing Zone: a fundação da cloud empresarial

Uma Azure Landing Zone é o conjunto de configurações, políticas e guardrails que prepara a subscrição Azure para receber workloads de forma segura, governada e escalável. É a fundação — construí-la correctamente poupa meses de remediação depois.

Os 8 domínios de design

O Cloud Adoption Framework define 8 áreas de design:

1. Azure Billing & Active Directory Tenants
2. Identity & Access Management
3. Resource Organization (Management Groups + Subscriptions)
4. Network Topology & Connectivity
5. Security
6. Management (Monitor, Backup, BCDR)
7. Governance (Policy, Cost)
8. Platform Automation

Hierarquia de Management Groups

Root Management Group
├── Platform
│   ├── Identity (AD DS, AAD Connect)
│   ├── Management (Log Analytics, Azure Monitor)
│   └── Connectivity (Hub VNet, Firewall, ExpressRoute)
└── Landing Zones
    ├── Corp (workloads com acesso à rede interna)
    └── Online (workloads com exposição à Internet)

Azure Policies como guardrails

As Policies aplicam automaticamente regras a todos os recursos criados:

# Exemplo: forçar tag "Environment" em todos os recursos
az policy assignment create \
  --name require-env-tag \
  --policy /providers/Microsoft.Authorization/policyDefinitions/... \
  --scope /providers/Microsoft.Management/managementGroups/LandingZones

Accelerators

A Microsoft disponibiliza o ALZ-Bicep e o Terraform CAF como ponto de partida para deploying landing zones via IaC em minutos.

Conclusão

Investir numa Landing Zone bem desenhada antes de migrar o primeiro workload evita dívida técnica de governança. Uma fundação sólida acelera a adopção cloud e reduz o risco de incidentes de segurança e custos inesperados.