Bac à sable Azure

Azure Sandbox est une collection de configurations de cloud computing interdépendantes permettant d’implémenter des services Azure communs sur un abonnement unique. Cette collection fournit un environnement de bac à sable flexible et économique pour expérimenter les services et fonctionnalités Azure.

En fonction du type et de la région de votre offre Azure, l’exécution d’un environnement de bac à sable Azure entièrement provisionné peut être coûteuse. Vous pouvez réduire les coûts en arrêtant ou en libérant des machines virtuelles lorsqu’elles ne sont pas utilisées, ou en ignorant les configurations facultatives que vous n’envisagez pas d’utiliser.

Architecture

Téléchargez un fichier Visio de cette architecture.

Composants

Vous pouvez déployer chacune des configurations de bac à sable suivantes, ou uniquement celles dont vous avez besoin :

• Réseau virtuel de services partagés, Azure Bastion et contrôleur de domaine Active Directory
• Réseau virtuel d’application, JumpBox Windows Server, JumpBox Linux et partage Azure Files
• SQL Server sur les machines virtuelles Azure
• Azure SQL Database
• Serveur flexible Azure Database pour MySQL
• Azure Virtual WAN et VPN point à site

Déployer le bac à sable

L’environnement de bac à sable Azure nécessite les prérequis suivants :

• Un client Microsoft Entra ID
• Un abonnement Azure
• Les attributions de rôles de contrôle d’accès en fonction du rôle (RBAC) Azure appropriées
• Un principal de service
• Un environnement client configuré

Pour plus d’informations sur la préparation d’un déploiement de bac à sable, consultez Prérequis.

Pour intégrer AzureSandbox à une zone d’atterrissage Azure, tenez compte des stratégies suivantes :

• Placez l’abonnement du bac à sable dans le groupe d’administration Bacs à sable.
• Isolez le bac à sable de votre réseau privé.
• Effectuez un audit de l’activité d’abonnement au bac à sable.
• Limitez l’accès au bac à sable et supprimez l’accès lorsqu’il n’est plus nécessaire.
• Désactivez les environnements isolés (sandboxes) après une période d’expiration pour contrôler les coûts.
• Créez un budget sur les abonnements bac à sable pour contrôler les coûts.

Pour plus d’informations, consultez Environnements de bac à sable de zone d’atterrissage.

Pour déployer Azure Sandbox, accédez au dépôt GitHub AzureSandbox et commencez par Bien démarrer. Pour plus d’informations sur le déploiement de votre environnement de bac à sable, consultez Déploiement de bac à sable par défaut et les problèmes connus.

Cas d’utilisation

Un bac à sable est idéal pour accélérer les projets Azure. Après avoir déployé votre environnement de bac à sable, vous pouvez ajouter des services et des fonctionnalités. Vous pouvez utiliser le bac à sable pour des activités telles que :

• Auto-apprentissage
• Hackathons
• Test
• Développement
• Exercices sur table
• Simulations équipe rouge/équipe bleue
• Exercices de réponse aux incidents

Fonctionnalités

Les prérequis fondamentaux peuvent bloquer l’expérimentation de certains services ou fonctionnalités Azure. Un environnement de bac à sable peut accélérer votre projet en provisionnant une grande partie des composants d’infrastructure de base banals. Vous pouvez vous concentrer sur les services ou fonctionnalités que vous devez utiliser.

Par exemple, vous pouvez utiliser les fonctionnalités et configurations suivantes fournies par l’environnement de bac à sable Azure.

• Connectez-vous à une machine virtuelle JumpBox Windows à partir d’Internet.

  • Option 1 : Accès à partir d’Internet à l’aide d’un navigateur web et d’Azure Bastion
  • Option 2 : Connectivité VPN point à site par le biais d’Azure Virtual WAN

• Utilisez un domaine local des Services de Domaine Active Directory pré-configuré en administrateur de domaine.

  • Serveur DNS intégré pré-configuré
  • Intégration pré-configurée avec les zones DNS privées Azure
  • Intégration préconfigurée avec les points de terminaison privés Azure Private Link

• Utilisez un partage de fichiers préconfiguré Azure Files.

• Utilisez une machine virtuelle JumpBox Windows comme station de travail de développeur.

  • Domaine joint au domaine local
  • Administrez Active Directory et DNS avec les outils d’administration serveur distant de Windows Server préinstallés
  • Visual Studio Code préinstallé avec Remote-SSH dans une JumpBox Linux
  • Explorateur Stockage Azure, AzCopy et Azure Data Studio préinstallés
  • SQL Server Management Studio préinstallé
  • MySQL Workbench préinstallé

• Utilisez une machine virtuelle Linux jump box comme agent DevOps.

  • Domaine joint au domaine local en utilisant Winbind
  • Azure CLI, PowerShell et Terraform préinstallés
  • Montage CIFS dynamique vers un partage de fichiers pré-configuré Azure Files

• Utilisez une machine virtuelle SQL Server préconfigurée.

  • Domaine joint au domaine local

• Utilisez une base de données SQL préconfigurée ou un serveur flexible Azure Database pour MySQL par le biais de points de terminaison privés.

Sécurité

La sécurité fournit des garanties contre les attaques délibérées, et contre l’utilisation abusive de vos données et systèmes importants. Pour en savoir plus, consultez Liste de contrôle de l'examen de la conception pour la sécurité.

• Implémentez une authentification forte dans le locataire Microsoft Entra ID associé aux abonnements Azure utilisés pour provisionner des environnements de bac à sable. Suivez les recommandations indiquées dans SE :05 - Recommandations pour la gestion des identités et des accès.

  • Utilisez l’authentification multifacteur pour tous les utilisateurs.
  • Utilisez les stratégies d’accès conditionnel pour restreindre l’accès aux environnements de bac à sable.
  • Utilisez l’authentification Microsoft Entra intégrée pour autoriser l’accès aux services PaaS (Platform as a Service) Azure tels que la base de données SQL et le stockage Azure.

• Commencez par une approche selon le principe des privilèges minimum pour autoriser l’utilisation du bac à sable.

  • Limitez les attributions de rôles RBAC Azure Owner aux propriétaires d’abonnements de bac à sable.
  • Limitez les attributions de rôles RBAC Azure Contributor aux utilisateurs d’abonnements de bac à sable.
  • Utilisez Microsoft Entra Privileged Identity Management (PIM) pour gérer les attributions de rôles RBAC Azure privilégiés limités aux abonnements au bac à sable, tels que Owner, Contributor et User Access Administrator.

• Maintenez votre conformité à la classification des données. Par exemple, évitez d’héberger des informations d’identification personnelle (PII) ou d’autres données sensibles dans un environnement de bac à sable. Si vous devez utiliser des données sensibles, utilisez des données condensées ou des données désidentifiées.

Prenez également en compte les principes de l’Initiative pour un avenir sûr lorsque vous concevez et implémentez des environnements de bac à sable. L’implémentation d’AzureSandbox sur GitHub présente un grand nombre de ces principes.

Sécuriser par conception

• Limitez l’utilisation des secrets partagés et utilisez Azure Key Vault pour les sécuriser si nécessaire. Lorsque vous devez utiliser des secrets partagés, utilisez des identités managées au moment de l’exécution à récupérer à partir de Key Vault. Si les secrets doivent être conservés, vérifiez qu’ils sont chiffrés et non stockés en texte brut. N’envoyez jamais de secrets à la console ou aux fichiers journaux, et ne vérifiez jamais les secrets dans le contrôle de code source.

• Définissez une date d’expiration pour les secrets Key Vault.

• Lorsque vous sélectionnez un système d’exploitation invité pour les machines virtuelles, utilisez uniquement des systèmes d’exploitation actuellement pris en charge et susceptibles de recevoir des mises à jour de sécurité.

Sécurisé par défaut

• Utilisez le chiffrement recommandé par SE :07 - Recommandations pour le chiffrement des données.
  • Assurez-vous que les protocoles et algorithmes de chiffrement, tels que TLS 1.2 et SHA-256 ou versions ultérieures, sont à jour.
  • Envisagez d’utiliser le chiffrement d’hôte ou Azure Disk Encryption pour le chiffrement des données en transit. Pour les disques managés attachés aux machines virtuelles, les données sont chiffrées au repos par défaut.
• Évitez d’utiliser des adresses IP publiques. Utilisez Azure Bastion pour sécuriser l’accès à distance aux machines virtuelles.
• Utilisez des points de terminaison privés pour communiquer avec les services Azure.
• Désactivez l’accès au réseau public des services Azure tels que le stockage et la base de données SQL.

Opérations sécurisées

• Activez CSPM Microsoft Defender pour le cloud dans vos abonnements de bac à sable.

• Activez le Gestionnaire de mise à jour Azure sur toutes les machines virtuelles utilisées dans les environnements de bac à sable. Établissez un calendrier de mises à jour correctives régulières.

  • Pour les machines virtuelles SQL Server, activez les mises à jour internes dans Windows Update pour vous assurer que SQL Server est corrigé.

• Surveillez les journaux d’activité et de diagnostic avec Azure Monitor et Microsoft Sentinel.

• Désactivez les ressources individuelles de bac à sable et les bacs à sable entiers qui ne sont plus utilisés.

Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Auteur principal :

• Roger Doherty

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes

• Développer et tester sur Azure
• Microsoft Cloud Adoption Framework
• Guide de configuration Azure du Cloud Adoption Framework
• Microsoft Azure Well-Architected Framework

Ressources associées

• Choix technologiques pour les solutions Azure
• Bonnes pratiques pour les applications cloud
• Créer des applications sur Microsoft Cloud