Prostředí sandboxu cílové zóny

  • Článek

Sandbox je izolované prostředí, ve kterém můžete testovat a experimentovat, aniž by to mělo vliv na jiná prostředí, jako jsou produkční, vývojová nebo uživatelská akceptační prostředí (UAT). Provádějte testování konceptů (POC) s prostředky Azure v řízeném prostředí. Každý sandbox má své vlastní předplatné Azure a zásady Azure řídí předplatné. Zásady se používají na úrovni skupiny pro správu sandboxu a skupina pro správu dědí zásady z hierarchie nad ní. V závislosti na účelu může jednotlivec nebo tým použít sandbox.

Tip

Informace o výchozích přiřazeních zásad cílových zón Azure najdete v tématu Zásady zahrnuté v referenčních implementacích cílových zón Azure.

Prostředí sandboxu jsou nejlepším místem pro praktické učení Azure. Mezi běžné případy použití patří:

  • Vývojář potřebuje řízené prostředí Azure k rychlému testování vzorů návrhu aplikací.
  • Cloudový architekt potřebuje prostředí sandboxu k vyhodnocení prostředků Azure nebo provádění poc pro službu nebo prostředek Azure před jejich formálním schválením pro svoji organizaci.
  • Cloudový inženýr potřebuje prostředí sandboxu, aby lépe pochopil, co se stane, když se změní nastavení prostředku Azure.
  • Technik platformy chce sestavit a otestovat novou zásadu Azure a zjistit, jak se chová podle pokynů pro Canary.
  • Vývojář chce při sestavování aplikace experimentovat se službami nebo prostředky Azure.

Architektura sandboxu

Následující obrázek znázorňuje rozložení skupiny pro správu a předplatného.

Vývojový diagram znázorňující architekturu izolovaného prostoru pro jednotlivé případy použití

Umístěte předplatné sandboxu do skupiny pro správu sandboxu. Další informace o skupinách pro správu a organizaci předplatného najdete v tématu Oblasti návrhu cílové zóny a koncepční architektura. Zásady Azure vytvořené pro sandboxy jsou umístěny na úrovni skupiny pro správu sandboxu. Prostředí sandboxu pak dědí zásady Azure z hierarchie skupin pro správu, která je nad nimi.

Předplatné sandboxu pomáhá spravovat náklady na každý program nebo projekt. Můžete snadno sledovat náklady a zrušit sandboxy, když se sníží rozpočty nebo když vyprší platnost sandboxu.

Sítě

Vytvořte síť předplatného sandboxu, která bude vyhovovat vašim potřebám. Pokud chcete zachovat izolovaný sandbox, ujistěte se, že sítě vytvořené v rámci předplatných sandboxu nemají partnerský vztah s jinými sítěmi mimo sandbox. Můžete použít zásadu odepření partnerského vztahu virtuálních sítí mezi předplatnými , abyste zajistili, že každý sandbox je svým vlastním izolovaným prostředím.

Pokud chcete zakázat vytváření bran ExpressRoute, bran VPN a Virtual WAN hubů, použijte zásady odepření expressroute, vpn nebo Virtual WAN. Když tyto prostředky odepřete, zajistí se, že sítě předplatného sandboxu zůstanou izolované.

Protokolování auditu

Z důvodu zabezpečení je důležité povolit protokolování auditu pro prostředí sandboxu. Povolte nastavení diagnostiky, které zahrnuje alespoň kategorie protokolů pro správu a zabezpečení (audit) pro všechna předplatná sandboxu. Uložte protokoly auditu do centrálního cíle, jako je výchozí pracovní prostor Služby Log Analytics cílové zóny Azure, abyste je mohli snadno zkontrolovat. Nebo je můžete integrovat s platformou SIEM (Security Information and Event Management), jako je Microsoft Sentinel. Další informace najdete v tématu Doporučení k inventáři a viditelnosti.

Zásady Azure zahrnuté v referenční implementaci cílové zóny na podnikové úrovni mají definici zásad Azure (Konfigurace protokolů aktivit Azure pro streamování do zadaného pracovního prostoru služby Log Analytics), která umožňuje protokolování auditu pro všechna předplatná. Skupina pro správu sandboxu by měla tuto zásadu zdědit, aby bylo možné protokolování diagnostiky předplatného sandboxu.

Přístup k sandboxu

Uživatel sandboxu má k předplatnému sandboxu přístup vlastníka. Po zrušení sandboxu odeberte řízení přístupu na základě role vlastníka (RBAC) pro všechny uživatele sandboxu.

Další důležité informace

Pokud chcete zajistit spolehlivý a efektivní výkon prostředí sandboxu, zvažte následující faktory.

Vypršení platnosti sandboxu

V případě potřeby můžete sandbox zrušit nebo odstranit. Naplánujte strategii pro odebrání sandboxů, abyste ušetřili náklady a zajistili, že zabezpečení zůstane spolehlivé. Zvažte náklady a datum vypršení platnosti sandboxu a určete, kdy se má sandbox odebrat. Po vypršení platnosti sandboxu ho přesuňte do vyřazené skupiny pro správu.

Náklady

Klíčovým problémem cloudových sandboxových prostředí je sledování nákladů. Pro usnadnění sledování můžete vytvořit rozpočet ve službě Microsoft Cost Management. Funkce rozpočtů vám pošle upozornění, když skutečná útrata nebo předpokládaná útrata překročí nakonfigurovanou prahovou hodnotu.

Když nasadíte sandbox, můžete vytvořit rozpočet služby Microsoft Cost Management a přiřadit ho k předplatnému. Funkce rozpočtu upozorní uživatele sandboxu, když prahové hodnoty útraty překročí zadané procento. Můžete například nastavit upozornění, když rozpočet překročí 100% prahovou hodnotu útraty. V takovém případě můžete chtít zrušit nebo odstranit předplatné. Samotné upozornění je pouze varovným mechanismem.

Rozpočet můžete přiřadit všem sandboxům. Použijte výchozí rozpočet pomocí zásad Azure Deploy-Budget na úrovni skupiny pro správu sandboxu. Nastavte výchozí rozpočet na maximální náklady, které organizace schválí pro sandbox. Výchozí rozpočet odesílá upozornění na náklady pro jakýkoli sandbox, který nemá přiřazený konkrétnější rozpočet.

Datum vypršení platnosti

Většina organizací chce po určité době ukončit platnost a odstranit sandboxy. Vypršením platnosti sandboxů zajistíte kontrolu nákladů a výhody zabezpečení. Prostředí sandboxu se vytvářejí pro účely testování a učení. Jakmile uživatel sandboxu provede svůj test nebo získá požadované znalosti, můžete sandbox ukončit, protože už není potřeba. Zadejte datum vypršení platnosti každého sandboxu. Po dosažení tohoto data předplatné sandboxu zrušte nebo odstraňte.

Když vytvoříte sandbox, můžete do předplatného umístit značku Azure s datem vypršení platnosti. Pomocí automatizace můžete zrušit nebo odstranit předplatné, když dosáhne data vypršení platnosti.

Omezení prostředků Azure

Pokud chcete uživatelům sandboxu poskytnout co nejrobuspodnější výukové prostředí, zpřístupněte všechny služby Azure v prostředí sandboxu. Neomezené sandboxy jsou ideální, ale některé organizace mají požadavky na omezení služeb Azure nasazených do sandboxů. Ovládejte tato omezení prostřednictvím Azure Policy. Pokud chcete zakázat nasazení konkrétních služeb Azure, použijte zásady seznamu blokovaných služeb Azure.

Information Protection

Většina organizací souhlasí s tím, že je důležité uchovávat citlivá data mimo prostředí sandboxu. První linií ochrany informací je vzdělávání uživatelů. Před přiřazením uživatele do sandboxu mu poskytněte právní omezení a informace, které jasně uvádí, že se do sandboxu nemají přidávat citlivá data.

K zajištění ochrany informací pro prostředí sandboxu použijte Microsoft Purview . Purview může odesílat výstrahy, pokud uživatel přidá data, která organizace označuje jako citlivá na prostředí sandboxu.

Další kroky

Průvodce sandboxem Azure

Zlepšení zásad správného řízení cílových zón