랜딩 존 샌드박스 환경
샌드박스는 프로덕션, 개발 또는 UAT(사용자 승인 테스트) 환경과 같은 다른 환경에 영향을 주지 않고 테스트하고 실험할 수 있는 격리된 환경입니다. 제어된 환경에서 Azure 리소스를 사용하여 POC(개념 증명)를 수행합니다. 각 샌드박스에는 자체 Azure 구독이 있으며 Azure 정책은 구독을 제어합니다. 정책은 샌드박스 관리 그룹 수준에서 적용되고 관리 그룹은 위의 계층 구조에서 정책을 상속합니다. 목적에 따라 개인 또는 팀은 샌드박스를 사용할 수 있습니다.
팁
기본 Azure 랜딩 존 정책 할당에 대한 자세한 내용은 Azure 랜딩 존 참조 구현에 포함된 정책을 참조하세요.
샌드박스 환경은 실습 Azure 학습에 가장 적합한 장소입니다. 몇 가지 일반적인 사용 사례에는 다음이 포함됩니다.
- 개발자는 애플리케이션 디자인 패턴을 신속하게 테스트하기 위해 제어된 Azure 환경이 필요합니다.
- 클라우드 설계자는 azure 리소스를 평가하거나 Azure 서비스 또는 리소스에 대한 POC를 수행한 후 organization 공식적으로 승인하기 전에 샌드박스 환경이 필요합니다.
- 클라우드 엔지니어는 Azure 리소스에서 설정이 변경되면 어떻게 되는지 더 잘 이해하기 위해 샌드박스 환경이 필요합니다.
- 플랫폼 엔지니어는 새 Azure 정책을 빌드 및 테스트하고 카나리아 지침에 따라 동작하는 방식을 확인하려고 합니다.
- 개발자는 애플리케이션을 빌드하는 동안 Azure 서비스 또는 리소스를 실험하려고 합니다.
샌드박스 아키텍처
다음 이미지는 관리 그룹 및 구독 레이아웃을 보여줍니다.
샌드박스 관리 그룹에 샌드박스 구독을 배치합니다. 관리 그룹 및 구독 organization 대한 자세한 내용은 랜딩 존 디자인 영역 및 개념 아키텍처를 참조하세요. 샌드박스에 대해 만들어진 Azure 정책은 샌드박스의 관리 그룹 수준에 배치됩니다. 샌드박스 환경은 위의 관리 그룹 계층 구조에서 Azure 정책을 상속합니다.
샌드박스 구독은 각 프로그램 또는 프로젝트의 비용을 관리하는 데 도움이 됩니다. 예산이 감소하거나 샌드박스가 만료되면 비용을 쉽게 추적하고 샌드박스를 취소할 수 있습니다.
네트워킹
필요에 맞는 샌드박스 구독 네트워킹을 만듭니다. 샌드박스를 격리된 상태로 유지하려면 샌드박스 구독 내에서 만든 네트워크가 샌드박스 외부의 다른 네트워크와 피어링되지 않았는지 확인합니다. 거부 가상 네트워크 피어링 구독 간 정책을 사용하여 각 샌드박스가 자체 격리된 환경인지 확인할 수 있습니다.
ExpressRoute/VPN/Virtual WAN 만들기 거부 정책을 사용하여 ExpressRoute 게이트웨이, VPN 게이트웨이 및 Virtual WAN 허브 만들기를 거부합니다. 이러한 리소스를 거부하면 샌드박스 구독 네트워크가 격리된 상태로 유지됩니다.
감사 로깅
보안을 위해 샌드박스 환경에 감사 로깅을 사용하도록 설정하는 것이 중요합니다. 모든 샌드박스 구독에 대해 최소한 관리 및 보안 로그 범주(감사)를 포함하는 진단 설정을 사용하도록 설정합니다. 감사 로그를 Azure 랜딩 존 기본 Log Analytics 작업 영역과 같은 중앙 대상에 저장하여 쉽게 검토할 수 있습니다. 또는 Microsoft Sentinel과 같은 SIEM(보안 정보 및 이벤트 관리) 플랫폼과 통합할 수 있습니다. 자세한 내용은 인벤토리 및 가시성 권장 사항을 참조하세요.
엔터프라이즈 규모 랜딩 존 참조 구현에 포함된 Azure 정책에는 모든 구독에 대한 감사 로깅을 사용하도록 설정하는 Azure 정책 정의("지정된 Log Analytics 작업 영역으로 스트리밍하도록 Azure 활동 로그 구성")가 있습니다. 샌드박스 관리 그룹은 샌드박스 구독 진단 로깅을 사용하도록 설정하려면 이 정책을 상속해야 합니다.
샌드박스 액세스
샌드박스 사용자는 샌드박스 구독에 대한 소유자 액세스 권한을 가집니다. 샌드박스가 취소되면 모든 샌드박스 사용자에 대한 RBAC(소유자 역할 기반 액세스 제어)를 제거합니다.
기타 고려 사항
안정적이고 효율적인 샌드박스 환경 성능을 보장하려면 다음 요소를 고려하세요.
샌드박스 만료
필요한 경우 샌드박스를 취소하거나 삭제할 수 있습니다. 샌드박스를 제거하여 비용을 절감하고 보안을 신뢰할 수 있도록 하는 전략을 계획합니다. 샌드박스를 제거할 시기를 결정하려면 비용 및 샌드박스 만료 날짜를 고려합니다. 샌드박스가 만료되면 서비스 해제된 관리 그룹으로 이동합니다.
Cost
클라우드 기반 샌드박스 환경의 주요 관심사는 비용 추적입니다. 추적을 더 쉽게 하기 위해 Microsoft Cost Management에서 예산을 만들 수 있습니다. 예산 기능은 실제 지출 또는 예상 지출이 구성된 임계값을 초과할 때 경고를 보냅니다.
샌드박스를 배포할 때 Microsoft Cost Management 예산을 만들고 구독에 할당할 수 있습니다. 예산 기능은 지출 임계값이 지정한 백분율을 초과할 때 샌드박스 사용자에게 경고합니다. 예를 들어 예산이 100% 지출 임계값을 초과하는 경우에 대한 경고를 설정할 수 있습니다. 이 경우 구독을 취소 하거나 삭제할 수 있습니다. 경고만으로는 경고 메커니즘일 뿐입니다.
모든 샌드박스에 예산을 할당할 수 있습니다. 샌드박스 관리 그룹 수준에서 Deploy-Budget Azure 정책을 사용하여 기본 예산을 적용합니다. 기본 예산을 샌드박스에 대해 organization 승인하는 최대 비용으로 설정합니다. 기본 예산은 더 구체적인 예산이 할당되지 않은 샌드박스에 대한 비용 경고를 보냅니다.
만료 날짜
대부분의 조직에서는 일정 기간 후에 샌드박스를 만료하고 삭제하려고 합니다. 샌드박스를 만료하여 비용 제어 및 보안 이점을 제공합니다. 샌드박스 환경은 테스트 및 학습 목적으로 만들어집니다. 샌드박스 사용자가 테스트를 수행하거나 의도한 지식을 얻은 후에는 더 이상 필요하지 않으므로 샌드박스를 만료할 수 있습니다. 각 샌드박스에 만료 날짜를 지정합니다. 해당 날짜에 도달하면 샌드박스 구독을 취소 하거나 삭제합니다.
샌드박스를 만들 때 구독에 만료 날짜가 있는 Azure 태그 를 배치할 수 있습니다. 자동화를 사용하여 만료 날짜에 도달하면 구독을 취소하거나 삭제합니다.
Azure 리소스 제한
샌드박스 사용자에게 가장 강력한 학습 환경을 제공하려면 샌드박스 환경에서 모든 Azure 서비스를 사용할 수 있도록 합니다. 무제한 샌드박스가 이상적이지만 일부 조직에서는 샌드박스에 배포되는 Azure 서비스를 제한해야 합니다. Azure Policy 통해 이러한 제한을 제어합니다. Azure 서비스 차단 목록 정책을 사용하여 특정 Azure 서비스의 배포를 거부합니다.
정보 보호
대부분의 조직은 중요한 데이터를 샌드박스 환경에서 벗어나는 것이 중요하다는 데 동의합니다. 정보 보호를 위한 첫 번째 방어선은 사용자 교육입니다. 샌드박스에 사용자를 할당하기 전에 샌드박스에 중요한 데이터를 추가하지 않도록 명확하게 명시하는 고지 사항 및 정보를 제공합니다.
Microsoft Purview를 사용하여 샌드박스 환경에 대한 정보 보호를 제공합니다. Purview는 사용자가 organization 레이블이 샌드박스 환경에 중요한 것으로 레이블을 지정하는 데이터를 추가하는 경우 경고를 보낼 수 있습니다.