Ambientes de área restrita da zona de destino
Uma área restrita é um ambiente isolado em que você pode testar e experimentar sem afetar outros ambientes, como ambientes de produção, desenvolvimento ou UAT (teste de aceitação do usuário). Realize POCs (prova de conceitos) com recursos do Azure em um ambiente controlado. Cada área restrita tem sua própria assinatura do Azure e as políticas do Azure controlam a assinatura. As políticas são aplicadas no nível do grupo de gerenciamento de área restrita e o grupo de gerenciamento herda as políticas da hierarquia acima dela. Dependendo de sua finalidade, um indivíduo ou uma equipe pode usar uma área restrita.
Dica
Para obter informações sobre as atribuições de política de zonas de destino padrão do Azure, consulte Políticas incluídas nas implementações de referência de zonas de destino do Azure.
Os ambientes de área restrita são o melhor lugar para o aprendizado prático do Azure. Alguns casos de uso comuns incluem:
- Um desenvolvedor precisa de um ambiente controlado do Azure para testar rapidamente os padrões de design do aplicativo.
- Um arquiteto de nuvem precisa de um ambiente de área restrita para avaliar os recursos do Azure ou realizar POCs para um serviço ou recurso do Azure antes de aprová-los formalmente para sua organização.
- Um engenheiro de nuvem precisa de um ambiente de área restrita para entender melhor o que acontece quando uma configuração é alterada em um recurso do Azure.
- Um engenheiro de plataforma deseja criar e testar uma nova política do Azure e ver como ela se comporta de acordo com as diretrizes do Canário.
- Um desenvolvedor deseja experimentar os serviços ou recursos do Azure durante a criação de um aplicativo.
Arquitetura de área restrita
A imagem a seguir mostra o grupo de gerenciamento e o layout da assinatura.
Coloque a assinatura da área restrita no grupo de gerenciamento de área restrita. Para obter mais informações sobre grupos de gerenciamento e organização de assinatura, consulte Áreas de design de zona de destino e arquitetura conceitual. As políticas do Azure criadas para áreas restritas são colocadas no nível do grupo de gerenciamento da área restrita. Em seguida, os ambientes de área restrita herdam as políticas do Azure da hierarquia do grupo de gerenciamento acima delas.
Uma assinatura de área restrita ajuda a gerenciar os custos de cada programa ou projeto. Você pode acompanhar facilmente os custos e cancelar áreas restritas quando os orçamentos diminuem ou quando a área restrita expira.
Rede
Crie a rede de assinatura de área restrita que atenda às suas necessidades. Para manter a área restrita isolada, verifique se as redes criadas dentro das assinaturas da área restrita não emparelhadas com outras redes fora da área restrita. Você pode usar a política negar assinatura cruzada de emparelhamento de rede virtual para garantir que cada área restrita seja seu próprio ambiente isolado.
Use a política de criação negar ExpressRoute/VPN/WAN Virtual para negar a criação de gateways do ExpressRoute, gateways de VPN e hubs de WAN Virtual. Quando você nega esses recursos, ele garante que as redes de assinatura da área restrita permaneçam isoladas.
Log de auditoria
Para segurança, é importante habilitar o log de auditoria para um ambiente de área restrita. Habilite uma configuração de diagnóstico que inclua pelo menos as categorias de log administrativo e de segurança (auditoria) para todas as assinaturas de área restrita. Armazene logs de auditoria em um destino central como o workspace padrão da zona de destino do Azure do Log Analytics para que você possa examiná-los facilmente. Ou você pode integrá-los a uma plataforma siem (gerenciamento de eventos e informações de segurança), como o Microsoft Sentinel. Para obter mais informações, consulte Recomendações de inventário e visibilidade.
As políticas do Azure incluídas na implementação de referência de zona de destino de escala empresarial têm uma definição de política do Azure ("Configurar logs de atividades do Azure para transmitir para o workspace do Log Analytics especificado") que permite o log de auditoria para todas as assinaturas. O grupo de gerenciamento de área restrita deve herdar essa política para habilitar o log de diagnóstico de assinatura de área restrita.
Acesso à área restrita
O usuário da área restrita tem acesso de proprietário à assinatura da área restrita. Quando uma área restrita for cancelada, remova o RBAC (controle de acesso baseado em função) do proprietário para todos os usuários da área restrita.
Outras considerações
Para garantir um desempenho de ambiente de área restrita confiável e eficiente, considere os fatores a seguir.
Expiração da área restrita
Você pode cancelar ou excluir uma área restrita quando necessário. Planeje uma estratégia para remover áreas restritas para economizar custos e garantir que a segurança permaneça confiável. Considere a data de validade do custo e da área restrita para determinar quando remover uma área restrita. Depois que uma área restrita expirar, mova-a para o grupo de gerenciamento desativado .
Cost
Uma preocupação importante para ambientes de área restrita baseados em nuvem é o acompanhamento de custos. Para facilitar o acompanhamento, você pode criar um orçamento no Gerenciamento de Custos da Microsoft. O recurso orçamentos envia alertas quando gastos reais ou gastos previstos ultrapassam um limite configurado.
Ao implantar uma área restrita, você pode criar um orçamento do Gerenciamento de Custos da Microsoft e atribuí-lo à assinatura. O recurso de orçamento alerta os usuários da área restrita quando os limites de gastos cruzam o percentual especificado. Por exemplo, você pode definir um alerta para quando o orçamento ultrapassar o limite de gastos de 100%. Nesse caso, talvez você queira cancelar ou excluir uma assinatura. O alerta sozinho é apenas um mecanismo de aviso.
Você pode atribuir um orçamento a todas as áreas restritas. Aplique um orçamento padrão usando a política Implantar Orçamento do Azure no nível do grupo de gerenciamento de área restrita. Defina o orçamento padrão para o custo máximo que a organização aprova para uma área restrita. O orçamento padrão envia alertas de custo para qualquer área restrita que não tenha um orçamento mais específico.
Data de validade
A maioria das organizações deseja expirar e excluir áreas restritas após um período de tempo. Expire as áreas restritas para fornecer controle de custo e benefícios de segurança. Ambientes de área restrita são criados para fins de teste e aprendizado. Depois que o usuário da área restrita executar o teste ou obter o conhecimento pretendido, você poderá expirar a área restrita porque ela não é mais necessária. Dê uma data de validade para cada área restrita. Quando essa data for atingida, cancele ou exclua a assinatura da área restrita.
Ao criar uma área restrita, você pode colocar uma marca do Azure com uma data de validade na assinatura. Use a automação para cancelar ou excluir a assinatura quando ela atingir a data de validade.
Restringir recursos do Azure
Para fornecer o ambiente de aprendizado mais robusto para usuários de área restrita, disponibilize todos os serviços do Azure no ambiente de área restrita. Áreas restritas irrestritas são ideais, mas algumas organizações têm requisitos para restringir quais serviços do Azure são implantados em áreas restritas. Controle essas restrições por meio de Azure Policy. Use a política de lista de bloqueio do serviço do Azure para negar a implantação de serviços específicos do Azure.
Proteção das informações
A maioria das organizações concorda que é importante manter dados confidenciais fora de um ambiente de área restrita. A primeira linha de defesa para proteção de informações é a educação do usuário. Antes de atribuir um usuário a uma área restrita, forneça a ele avisos de isenção de responsabilidade e informações que declaram claramente não adicionar dados confidenciais à área restrita.
Use o Microsoft Purview para fornecer proteção de informações para ambientes de área restrita. O Purview poderá enviar alertas se um usuário adicionar dados que a organização rotula como confidenciais aos ambientes de área restrita.