Darewiin/enterprise-cloud-security-portfolio
GitHub: Darewiin/enterprise-cloud-security-portfolio
以虚构企业为场景的微软云安全实验项目集,通过 Terraform IaC、Entra ID、Intune 和邮件认证协议构建统一的云端安全架构。
Stars: 0 | Forks: 0
# 企业云安全项目集
## 架构概览
```
flowchart TB
subgraph OPS["Operated in the Portal - by design"]
CA["Conditional Access · MFA"]
PIM["Privileged Identity Management"]
INT["Intune Compliance · Windows 11"]
end
subgraph EMAIL["DNS / Microsoft 365"]
MAIL["SPF · DKIM · DMARC
northgate domain"] end subgraph FOUND["Provisioned by Terraform - the foundation"] GOV["Governance
Resource Groups · Tags · Azure Policy"] ID["Identity
Entra Groups · Dynamic Group · RBAC"] MON["Monitoring
Log Analytics Workspace"] end GOV --> ID ID --> MON ID --> CA ID --> PIM ID --> INT MON -.-> CA MAIL -. protects the same domain .-> ID ``` ## 项目背景 Northgate Solutions 正在从零开始构建一个安全的 Microsoft 云环境。平台团队使用 Terraform 配置可重复的基础设施——包括治理、身份和监控。在此之上,身份团队通过 Conditional Access 和 PIM 实施访问控制,端点团队使用 Intune 管理 Windows 11 设备,消息团队通过 SPF、DKIM 和 DMARC 保护企业域名。最终的成果是一个 Infrastructure as Code、身份、端点、电子邮件和监控相互协同的环境——在这里,每一项手动控制都是有目的、有记录的选择,而不是安全缺口。 ## 五大支柱 | 支柱 | 功能 | 项目 | |--------|--------------|---------| | **Infrastructure as Code** | Terraform 配置治理、身份、RBAC 和监控 | [enterprise-cloud-foundation-lab](https://github.com/darewiin/enterprise-cloud-foundation-lab) | | **云治理** | 资源组、标签策略、Azure Policy 防护栏 | [enterprise-cloud-foundation-lab](https://github.com/darewiin/enterprise-cloud-foundation-lab) | | **身份与访问** | Entra ID、动态组、RBAC、Conditional Access、PIM、MFA | [unified-endpoint-management-lab](https://github.com/darewiin/unified-endpoint-management-lab) | | **端点管理** | 针对 Windows 11 的 Intune 合规性和配置 | [unified-endpoint-management-lab](https://github.com/darewiin/unified-endpoint-management-lab) | | **电子邮件安全** | Northgate 域名上的 SPF、DKIM 和 DMARC | [enterprise-email-authentication-lab](https://github.com/darewiin/enterprise-email-authentication-lab) | ## 技术栈 Microsoft Azure · Microsoft Entra ID · Microsoft Intune · Terraform (`azurerm`, `azuread`) · Azure Log Analytics · Microsoft 365 / Exchange Online ## 关键设计决策 - **Terraform 负责可重复的基础设施**(治理、身份组、RBAC、监控)。Conditional Access 和 PIM **在设计上**通过门户进行操作——以避免锁定风险并保留审批工作流。 - **RBAC 的权限范围限定为**最小特权至资源组而非整个订阅,从而限制影响范围。 - 本实验使用**本地 Terraform 状态**;生产环境的部署将使用带有状态锁定的远程 backend。 有关 Infrastructure as Code 边界的完整理由,请参阅 **[SECURITY-DECISIONS.md](SECURITY-DECISIONS.md)**。 ## 文档 - **[ARCHITECTURE.md](ARCHITECTURE.md)** - 跨越所有五大支柱的统一架构 - **[SECURITY-DECISIONS.md](SECURITY-DECISIONS.md)** - 哪些是代码,哪些是门户操作,以及原因 - **[LESSONS-LEARNED.md](LESSONS-LEARNED.md)** - 对整个项目的真诚反思 ## 代码库 - **[enterprise-cloud-foundation-lab](https://github.com/darewiin/enterprise-cloud-foundation-lab)** - Terraform IaC 基础 - **[unified-endpoint-management-lab](https://github.com/darewiin/unified-endpoint-management-lab)** - Azure 治理、Entra ID、Intune - **[enterprise-email-authentication-lab](https://github.com/darewiin/enterprise-email-authentication-lab)** - SPF / DKIM / DMARC 电子邮件安全 ## 关于 由 **Darwin Marmolejos** 作为自主实验构建——他是一名专注于系统管理、云支持以及身份/端点工程的早期 IT 专业人员。 [LinkedIn](https://www.linkedin.com/in/dmarmolejos)
northgate domain"] end subgraph FOUND["Provisioned by Terraform - the foundation"] GOV["Governance
Resource Groups · Tags · Azure Policy"] ID["Identity
Entra Groups · Dynamic Group · RBAC"] MON["Monitoring
Log Analytics Workspace"] end GOV --> ID ID --> MON ID --> CA ID --> PIM ID --> INT MON -.-> CA MAIL -. protects the same domain .-> ID ``` ## 项目背景 Northgate Solutions 正在从零开始构建一个安全的 Microsoft 云环境。平台团队使用 Terraform 配置可重复的基础设施——包括治理、身份和监控。在此之上,身份团队通过 Conditional Access 和 PIM 实施访问控制,端点团队使用 Intune 管理 Windows 11 设备,消息团队通过 SPF、DKIM 和 DMARC 保护企业域名。最终的成果是一个 Infrastructure as Code、身份、端点、电子邮件和监控相互协同的环境——在这里,每一项手动控制都是有目的、有记录的选择,而不是安全缺口。 ## 五大支柱 | 支柱 | 功能 | 项目 | |--------|--------------|---------| | **Infrastructure as Code** | Terraform 配置治理、身份、RBAC 和监控 | [enterprise-cloud-foundation-lab](https://github.com/darewiin/enterprise-cloud-foundation-lab) | | **云治理** | 资源组、标签策略、Azure Policy 防护栏 | [enterprise-cloud-foundation-lab](https://github.com/darewiin/enterprise-cloud-foundation-lab) | | **身份与访问** | Entra ID、动态组、RBAC、Conditional Access、PIM、MFA | [unified-endpoint-management-lab](https://github.com/darewiin/unified-endpoint-management-lab) | | **端点管理** | 针对 Windows 11 的 Intune 合规性和配置 | [unified-endpoint-management-lab](https://github.com/darewiin/unified-endpoint-management-lab) | | **电子邮件安全** | Northgate 域名上的 SPF、DKIM 和 DMARC | [enterprise-email-authentication-lab](https://github.com/darewiin/enterprise-email-authentication-lab) | ## 技术栈 Microsoft Azure · Microsoft Entra ID · Microsoft Intune · Terraform (`azurerm`, `azuread`) · Azure Log Analytics · Microsoft 365 / Exchange Online ## 关键设计决策 - **Terraform 负责可重复的基础设施**(治理、身份组、RBAC、监控)。Conditional Access 和 PIM **在设计上**通过门户进行操作——以避免锁定风险并保留审批工作流。 - **RBAC 的权限范围限定为**最小特权至资源组而非整个订阅,从而限制影响范围。 - 本实验使用**本地 Terraform 状态**;生产环境的部署将使用带有状态锁定的远程 backend。 有关 Infrastructure as Code 边界的完整理由,请参阅 **[SECURITY-DECISIONS.md](SECURITY-DECISIONS.md)**。 ## 文档 - **[ARCHITECTURE.md](ARCHITECTURE.md)** - 跨越所有五大支柱的统一架构 - **[SECURITY-DECISIONS.md](SECURITY-DECISIONS.md)** - 哪些是代码,哪些是门户操作,以及原因 - **[LESSONS-LEARNED.md](LESSONS-LEARNED.md)** - 对整个项目的真诚反思 ## 代码库 - **[enterprise-cloud-foundation-lab](https://github.com/darewiin/enterprise-cloud-foundation-lab)** - Terraform IaC 基础 - **[unified-endpoint-management-lab](https://github.com/darewiin/unified-endpoint-management-lab)** - Azure 治理、Entra ID、Intune - **[enterprise-email-authentication-lab](https://github.com/darewiin/enterprise-email-authentication-lab)** - SPF / DKIM / DMARC 电子邮件安全 ## 关于 由 **Darwin Marmolejos** 作为自主实验构建——他是一名专注于系统管理、云支持以及身份/端点工程的早期 IT 专业人员。 [LinkedIn](https://www.linkedin.com/in/dmarmolejos)
标签:ECS, Terraform, 企业IT架构, 微软云, 终端管理, 身份与访问管理