Lingkungan sandbox zona pendaratan
Sandbox adalah lingkungan terisolasi tempat Anda dapat menguji dan bereksperimen tanpa memengaruhi lingkungan lain, seperti lingkungan produksi, pengembangan, atau pengujian penerimaan pengguna (UAT). Lakukan bukti konsep (POC) dengan sumber daya Azure di lingkungan yang terkontrol. Setiap kotak pasir memiliki langganan Azure sendiri, dan kebijakan Azure mengontrol langganan. Kebijakan diterapkan di tingkat grup manajemen kotak pasir, dan grup manajemen mewarisi kebijakan dari hierarki di atasnya. Bergantung pada tujuannya, individu atau tim dapat menggunakan kotak pasir.
Tip
Untuk informasi tentang penetapan kebijakan zona pendaratan Azure default, lihat Kebijakan yang disertakan dalam implementasi referensi zona pendaratan Azure.
Lingkungan kotak pasir adalah tempat terbaik untuk pembelajaran langsung Azure. Beberapa kasus penggunaan umum meliputi:
- Pengembang memerlukan lingkungan Azure yang terkontrol untuk menguji pola desain aplikasi dengan cepat.
- Arsitek cloud memerlukan lingkungan kotak pasir untuk mengevaluasi sumber daya Azure atau melakukan POC untuk layanan atau sumber daya Azure sebelum secara resmi menyetujuinya untuk organisasi mereka.
- Teknisi cloud memerlukan lingkungan kotak pasir untuk lebih memahami apa yang terjadi saat pengaturan diubah pada sumber daya Azure.
- Seorang teknisi platform ingin membangun dan menguji kebijakan Azure baru dan melihat bagaimana perilakunya sesuai panduan Kenari.
- Pengembang ingin bereksperimen dengan layanan atau sumber daya Azure saat membangun aplikasi.
Arsitektur kotak pasir
Gambar berikut menunjukkan grup manajemen dan tata letak langganan.
Tempatkan langganan kotak pasir di grup manajemen kotak pasir. Untuk informasi selengkapnya tentang grup manajemen dan organisasi langganan, lihat Area desain zona pendaratan dan arsitektur konseptual. Kebijakan Azure yang dibuat untuk kotak pasir ditempatkan di tingkat grup manajemen kotak pasir. Lingkungan kotak pasir kemudian mewarisi kebijakan Azure dari hierarki grup manajemen yang berada di atasnya.
Langganan kotak pasir membantu mengelola biaya untuk setiap program atau proyek. Anda dapat dengan mudah melacak biaya dan membatalkan kotak pasir saat anggaran berkurang atau saat kotak pasir kedaluwarsa.
Jaringan
Buat jaringan langganan kotak pasir yang sesuai dengan kebutuhan Anda. Agar kotak pasir tetap terisolasi, pastikan bahwa jaringan yang dibuat di dalam langganan kotak pasir belum di-peering dengan jaringan lain di luar kotak pasir. Anda dapat menggunakan kebijakan tolak langganan lintas peering jaringan virtual untuk memastikan bahwa setiap kotak pasir adalah lingkungan terisolasinya sendiri.
Gunakan kebijakan tolak pembuatan ExpressRoute/VPN/Virtual WAN untuk menolak pembuatan gateway ExpressRoute, gateway VPN, dan hub Virtual WAN. Saat Anda menolak sumber daya ini, ini memastikan bahwa jaringan langganan kotak pasir tetap terisolasi.
Pengelogan audit
Untuk keamanan, penting untuk mengaktifkan pengelogan audit untuk lingkungan kotak pasir. Aktifkan pengaturan diagnostik yang menyertakan setidaknya kategori log administratif dan keamanan (audit) untuk semua langganan kotak pasir. Simpan log audit di tujuan pusat seperti ruang kerja Log Analytics default zona pendaratan Azure sehingga Anda dapat meninjaunya dengan mudah. Atau Anda dapat mengintegrasikannya dengan platform security information and event management (SIEM), seperti Microsoft Sentinel. Untuk informasi selengkapnya, lihat Rekomendasi inventori dan visibilitas.
Kebijakan Azure yang disertakan dalam implementasi referensi zona pendaratan skala perusahaan memiliki definisi kebijakan Azure ("Mengonfigurasi log aktivitas Azure untuk mengalirkan ke ruang kerja Log Analytics tertentu") yang memungkinkan pengelogan audit untuk semua langganan. Grup manajemen kotak pasir harus mewarisi kebijakan ini untuk mengaktifkan pembuatan log diagnostik langganan kotak pasir.
Akses kotak pasir
Pengguna kotak pasir memiliki akses pemilik ke langganan kotak pasir. Saat kotak pasir dibatalkan, hapus kontrol akses berbasis peran pemilik (RBAC) untuk semua pengguna kotak pasir.
Pertimbangan lainnya
Untuk memastikan performa lingkungan kotak pasir yang andal dan efisien, pertimbangkan faktor-faktor berikut.
Kedaluwarsa kotak pasir
Anda dapat membatalkan atau menghapus kotak pasir jika perlu. Rencanakan strategi untuk menghapus kotak pasir untuk menghemat biaya dan memastikan bahwa keamanan tetap dapat diandalkan. Pertimbangkan biaya dan tanggal kedaluwarsa kotak pasir untuk menentukan kapan harus menghapus kotak pasir. Setelah kotak pasir kedaluwarsa, pindahkan ke grup manajemen yang dinonaktifkan .
Biaya
Perhatian utama untuk lingkungan kotak pasir berbasis cloud adalah pelacakan biaya. Untuk mempermudah pelacakan, Anda dapat membuat anggaran di Microsoft Cost Management. Fitur anggaran mengirimi Anda pemberitahuan saat pengeluaran aktual atau pengeluaran yang diperkirakan melewati ambang batas yang dikonfigurasi.
Saat menyebarkan kotak pasir, Anda dapat membuat anggaran Microsoft Cost Management dan menetapkannya ke langganan. Fitur anggaran memperingatkan pengguna kotak pasir saat menghabiskan ambang batas melewati persentase yang Anda tentukan. Misalnya, Anda dapat mengatur pemberitahuan saat anggaran melewati ambang batas pengeluaran 100%. Dalam hal ini, Anda mungkin ingin membatalkan atau menghapus langganan. Peringatan saja hanyalah mekanisme peringatan.
Anda dapat menetapkan anggaran ke semua kotak pasir. Terapkan anggaran default dengan menggunakan kebijakan Deploy-Budget Azure di tingkat grup manajemen kotak pasir. Atur anggaran default ke biaya maksimum yang disetujui organisasi untuk kotak pasir. Anggaran default mengirimkan pemberitahuan biaya untuk kotak pasir apa pun yang tidak diberi anggaran yang lebih spesifik.
Tanggal kedaluwarsa
Sebagian besar organisasi ingin kedaluwarsa dan menghapus kotak pasir setelah jangka waktu tertentu. Kedaluwarsa kotak pasir untuk memberikan kontrol biaya dan manfaat keamanan. Lingkungan sandbox dibuat untuk tujuan pengujian dan pembelajaran. Setelah pengguna kotak pasir melakukan pengujian mereka atau mendapatkan pengetahuan yang dimaksudkan, Anda dapat kedaluwarsa kotak pasir karena tidak lagi diperlukan. Berikan tanggal kedaluwarsa untuk setiap kotak pasir. Saat tanggal tersebut tercapai, batalkan atau hapus langganan kotak pasir.
Saat membuat kotak pasir, Anda bisa menempatkan tag Azure dengan tanggal kedaluwarsa pada langganan. Gunakan otomatisasi untuk membatalkan atau menghapus langganan saat mencapai tanggal kedaluwarsa.
Membatasi sumber daya Azure
Untuk menyediakan lingkungan pembelajaran yang paling kuat bagi pengguna kotak pasir, buat semua layanan Azure tersedia di lingkungan kotak pasir. Kotak pasir yang tidak dibatasi sangat ideal, tetapi beberapa organisasi memiliki persyaratan untuk membatasi layanan Azure mana yang disebarkan ke kotak pasir. Kontrol pembatasan ini melalui Azure Policy. Gunakan kebijakan daftar blokir layanan Azure untuk menolak penyebaran layanan Azure tertentu.
Perlindungan informasi
Sebagian besar organisasi setuju bahwa penting untuk menjaga data sensitif keluar dari lingkungan kotak pasir. Garis pertahanan pertama untuk perlindungan informasi adalah pendidikan pengguna. Sebelum menetapkan pengguna ke kotak pasir, beri mereka penafian dan informasi yang dengan jelas menyatakan untuk tidak menambahkan data sensitif ke kotak pasir.
Gunakan Microsoft Purview untuk memberikan perlindungan informasi untuk lingkungan kotak pasir. Purview dapat mengirim pemberitahuan jika pengguna menambahkan data yang diberi label organisasi sebagai sensitif terhadap lingkungan kotak pasir.