Среды песочницы целевой зоны

Песочница — это изолированная среда, в которой можно тестировать и экспериментировать, не затрагивая другие среды, такие как рабочие среды, среды разработки или пользовательского приемочного тестирования (UAT). Провести проверку концепций (POC) с ресурсами Azure в управляемой среде. Каждая песочница имеет собственную подписку Azure, а политики Azure управляют подпиской. Политики применяются на уровне группы управления песочницы, и группа управления наследует политики из иерархии над ней. В зависимости от его назначения отдельный пользователь или команда могут использовать песочницу.

Совет

Сведения о назначениях политик целевых зон Azure по умолчанию см. в статье Политики, включенные в эталонные реализации целевых зон Azure.

Среды песочницы — лучшее место для практического обучения в Azure. Ниже приведены некоторые распространенные варианты использования.

  • Разработчику требуется управляемая среда Azure для быстрого тестирования шаблонов проектирования приложений.
  • Архитектору облачных служб требуется среда песочницы для оценки ресурсов Azure или проведения poc для службы или ресурса Azure, прежде чем официально утвердить их для своей организации.
  • Инженеру облака требуется среда песочницы, чтобы лучше понять, что происходит при изменении параметра в ресурсе Azure.
  • Инженер платформы хочет создать и протестировать новую политику Azure и посмотреть, как она ведет себя в руководстве Canary.
  • Разработчик хочет поэкспериментировать со службами или ресурсами Azure при создании приложения.

Архитектура песочницы

На следующем рисунке показан макет группы управления и подписки.

Блок-схема, демонстрирующая архитектуру песочницы с одним вариантом использования.

Поместите подписку песочницы в группу управления песочницы. Дополнительные сведения о группах управления и организации подписки см. в статье Области проектирования целевых зон и концептуальная архитектура. Политики Azure, созданные для песочниц, размещаются на уровне группы управления песочницы. Затем среды песочницы наследуют политики Azure из иерархии групп управления, которая находится над ними.

Подписка на песочницу помогает управлять затратами на каждую программу или проект. Вы можете легко отслеживать затраты и отменять песочницы при уменьшении бюджета или по истечении срока действия песочницы.

Сеть

Создайте сеть подписки песочницы, которая соответствует вашим потребностям. Чтобы изолировать песочницу, убедитесь, что сети, созданные в подписках песочницы, не были пиринговые с другими сетями за пределами песочницы. Вы можете использовать политику запрета пиринга виртуальных сетей между подписками , чтобы убедиться, что каждая песочница является собственной изолированной средой.

Используйте политику запрета ExpressRoute,VPN/Виртуальная глобальная сеть, чтобы запретить создание шлюзов ExpressRoute, VPN-шлюзов и концентраторов Виртуальная глобальная сеть. Если эти ресурсы запрещены, сети подписок песочницы остаются изолированными.

Ведение журнала аудита

Для обеспечения безопасности важно включить ведение журнала аудита для среды песочницы. Включите параметр диагностики, включающий по крайней мере категории журналов администрирования и безопасности (аудит) для всех подписок песочницы. Храните журналы аудита в центральном месте назначения, например в рабочей области Log Analytics целевой зоны Azure по умолчанию, чтобы их можно было легко просматривать. Вы также можете интегрировать их с платформой управления информационной безопасностью и событиями безопасности (SIEM), например Microsoft Sentinel. Дополнительные сведения см. в статье Рекомендации по инвентаризации и видимости.

Политики Azure, включенные в эталонную реализацию целевой зоны корпоративного уровня, содержат определение политики Azure ("Настройка журналов действий Azure для потоковой передачи в указанную рабочую область Log Analytics"), которое позволяет вести журнал аудита для всех подписок. Группа управления песочницей должна наследовать эту политику, чтобы включить ведение журнала диагностики подписки песочницы.

Доступ к песочнице

Пользователь песочницы имеет доступ владельца к подписке песочницы. При отмене песочницы удалите управление доступом на основе ролей владельца (RBAC) для всех пользователей песочницы.

Другие замечания

Чтобы обеспечить надежную и эффективную производительность среды песочницы, учитывайте следующие факторы.

Истечение срока действия песочницы

При необходимости можно отменить или удалить песочницу. Спланируйте стратегию удаления песочниц, чтобы сэкономить на затратах и обеспечить безопасность. Рассмотрите стоимость и дату окончания срока действия песочницы, чтобы определить, когда следует удалить песочницу. После истечения срока действия песочницы переместите ее в списанную группу управления.

Стоимость

Основной проблемой для облачных сред песочницы является отслеживание затрат. Чтобы упростить отслеживание, можно создать бюджет в Службе управления затратами Майкрософт. Функция "Бюджеты" отправляет оповещения, когда фактические или прогнозируемые расходы превышают заданное пороговое значение.

При развертывании песочницы можно создать бюджет Управления затратами Майкрософт и назначить его подписке. Функция бюджета оповещает пользователей песочницы, когда пороговые значения расходов превышают указанный процент. Например, можно задать оповещение о том, когда бюджет пересекает пороговое значение в 100 %. В этом случае может потребоваться отменить или удалить подписку. Само по себе оповещение — это просто механизм предупреждения.

Бюджет можно назначить всем песочницам. Примените бюджет по умолчанию с помощью политики Azure Deploy-Budget на уровне группы управления песочницы. Задайте для бюджета по умолчанию максимальную стоимость, утверждаемую организацией для песочницы. Бюджет по умолчанию отправляет оповещения о затратах для любой песочницы, которому не назначен более конкретный бюджет.

Срок действия

Большинство организаций хотят, чтобы срок действия песочниц истек и по истечении определенного периода времени был удален. Срок действия песочниц истекает, чтобы обеспечить контроль затрат и преимущества безопасности. Среды песочницы создаются для тестирования и обучения. После того как пользователь песочницы выполнит тест или получит необходимые знания, вы можете истечь песочницу, так как она больше не нужна. Укажите дату окончания срока действия для каждой песочницы. По достижении этой даты отмените или удалите подписку на песочницу.

При создании песочницы можно поместить в подписку тег Azure с датой окончания срока действия. Используйте автоматизацию, чтобы отменить или удалить подписку по достижении даты окончания срока действия.

Ограничение ресурсов Azure

Чтобы обеспечить наиболее надежную среду обучения для пользователей песочницы, сделайте все службы Azure доступными в среде песочницы. Неограниченные песочницы идеально подходят, но некоторые организации предъявляют требования к ограничению того, какие службы Azure развертываются в песочницах. Управление этими ограничениями с помощью Политика Azure. Используйте политику списка блокировок служб Azure , чтобы запретить развертывание определенных служб Azure.

Защита информации

Большинство организаций согласны с тем, что важно хранить конфиденциальные данные вне среды песочницы. Первой линией защиты информации является обучение пользователей. Перед назначением пользователя в песочницу предоставьте ему заявления об отказе от ответственности и сведения, которые явно не должны добавлять конфиденциальные данные в песочницу.

Используйте Microsoft Purview для защиты информации в средах песочницы. Purview может отправлять оповещения, если пользователь добавляет данные, которые организация помечает как конфиденциальные для сред песочницы.

Дальнейшие действия

Руководство по песочнице Azure