Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Un espacio aislado es un entorno aislado en el que puede probar y experimentar sin afectar a otros entornos, como entornos de producción, desarrollo o pruebas de aceptación de usuarios (UAT). Realice pruebas de conceptos (POC) con recursos de Azure en un entorno controlado. Cada sandbox tiene su propia suscripción de Azure y las directivas de Azure gestionan la suscripción. Las directivas se aplican en el nivel de grupo de gestión del sandbox, y el grupo de gestión hereda las directivas de la jerarquía superior. Dependiendo del fin para el cual se usa, un individuo o un equipo tienen la posibilidad de utilizar un entorno de pruebas.
Sugerencia
Para obtener información sobre las asignaciones de directivas predeterminadas de zonas de aterrizaje de Azure, consulte Directivas incluidas en implementaciones de referencia de zonas de aterrizaje de Azure.
Los entornos de espacio aislado son el mejor lugar para el aprendizaje práctico de Azure. Algunos casos de uso comunes incluyen:
- Un desarrollador necesita un entorno de Azure controlado para probar rápidamente los patrones de diseño de aplicaciones.
- Un arquitecto de la nube necesita un entorno de espacio aislado para evaluar los recursos de Azure o realizar poCs para un servicio o recurso de Azure antes de aprobarlos formalmente para su organización.
- Un ingeniero en la nube necesita un entorno de espacio aislado para comprender mejor lo que sucede cuando se cambia una configuración en un recurso de Azure.
- Un ingeniero de plataforma quiere compilar y probar una nueva directiva de Azure y ver cómo se comporta según las instrucciones de Canary.
- Un desarrollador quiere experimentar con los servicios o recursos de Azure al compilar una aplicación.
Arquitectura de sandbox
En la imagen siguiente se muestra el diseño del grupo de administración y de la suscripción.
Coloque la suscripción de sandbox en el grupo de administración del sandbox. Para obtener más información sobre los grupos de administración y la organización de suscripciones, consulte Áreas de diseño de zona de aterrizaje y arquitectura conceptual. Las directivas de Azure creadas para sandboxes se colocan en el nivel de grupo de administración del sandbox. A continuación, los entornos de espacio aislado heredan las directivas de Azure de la jerarquía de grupos de administración que están por encima de ellas.
Una suscripción de sandbox (entorno de pruebas) ayuda a administrar los costos de cada programa o proyecto. Puede realizar fácilmente un seguimiento de los costos y cancelar los entornos de prueba cuando los presupuestos disminuyan o cuando el entorno de prueba expire.
Networking
Cree las redes de suscripción del entorno de pruebas adaptadas a sus necesidades. Para mantener el sandbox aislado, asegúrese de que las redes creadas dentro de las suscripciones del sandbox no se hayan emparejado con otras redes fuera del sandbox. Puede usar la directiva denegar el emparejamiento de redes virtuales entre suscripciones para garantizar que cada espacio aislado sea un entorno independiente.
Utilice la directiva denegar la creación de ExpressRoute/VPN/Virtual WAN para impedir la creación de puertas de enlace de ExpressRoute, puertas de enlace de VPN y concentradores de Virtual WAN. Al denegar estos recursos, garantiza que las redes de suscripción de espacio aislado permanezcan aisladas.
Registro de auditoría
Por razones de seguridad, es importante habilitar el registro de auditoría para un entorno de espacio aislado. Active una configuración de diagnóstico que incluya al menos las categorías de registros administrativos y de seguridad (auditoría) para todas las suscripciones de sandbox. Almacene los registros de auditoría en un destino central, como el área de trabajo predeterminada de Log Analytics de la zona de aterrizaje de Azure, para que pueda revisarlos fácilmente. O bien, puede integrarlos con una plataforma de administración de eventos e información de seguridad (SIEM), como Microsoft Sentinel. Para obtener más información, consulte Recomendaciones de inventario y visibilidad.
Las directivas de Azure incluidas en la implementación de referencia de zona de aterrizaje a escala empresarial tienen una definición de directiva de Azure ("Configurar los registros de actividad de Azure para transmitir al área de trabajo de Log Analytics especificada") que permite el registro de auditoría para todas las suscripciones. El grupo de administración del espacio aislado debe heredar esta directiva para habilitar los registros de datos de diagnóstico de suscripciones de espacio aislado.
Acceso al entorno controlado
El usuario del espacio aislado tiene acceso de propietario a la suscripción de espacio aislado. Cuando se cancela un espacio aislado, quite el control de acceso basado en rol (RBAC) del propietario para todos los usuarios del espacio aislado.
Otras consideraciones
Para garantizar un rendimiento confiable y eficaz del entorno de espacio aislado, tenga en cuenta los siguientes factores.
Expiración del espacio aislado
Puede cancelar o eliminar un sandbox cuando sea necesario. Planee una estrategia para eliminar las sandboxes para reducir costos y asegurarse de que la seguridad permanezca confiable. Considere el costo y la fecha de expiración del entorno de pruebas para determinar cuándo eliminarlo. Después de que expire un sandbox, muévalo al grupo de administración desmantelado.
Cost
Una preocupación clave para los entornos de espacio aislado basado en la nube es el seguimiento de costos. Para facilitar el seguimiento, puede crear un presupuesto en Microsoft Cost Management. La característica de presupuestos le envía alertas cuando el gasto real o el gasto previsto cruzan un umbral configurado.
Al implementar un sandbox, puede crear un presupuesto de Microsoft Cost Management y asignarlo a la suscripción. La función de presupuesto alerta a los usuarios del entorno de pruebas cuando el gasto supera el porcentaje que se ha especificado. Por ejemplo, puede establecer una alerta para cuando el presupuesto supera el umbral de gasto de 100%. En ese caso, es posible que quiera cancelar o eliminar una suscripción. La alerta es solo un mecanismo de advertencia.
Puede asignar un presupuesto a todos los sandboxes. Aplique un presupuesto predeterminado mediante la directiva de Azure Deploy-Budget en el nivel de grupo de administración del espacio aislado. Establezca el presupuesto predeterminado al costo máximo que aprueba la organización para un sandbox. El presupuesto predeterminado envía alertas de costo para cualquier sandbox que no tenga asignado un presupuesto más específico.
Fecha de expiración
La mayoría de las organizaciones quieren expirar y eliminar espacios aislados después de un período de tiempo. Caducar los espacios aislados para proporcionar ventajas de seguridad y control de costos. Los entornos de espacio aislado se crean con fines de prueba y aprendizaje. Después de que el usuario del espacio aislado realice su prueba o obtenga el conocimiento previsto, puede expirar el espacio aislado porque ya no es necesario. Asigne una fecha de expiración a cada entorno cerrado. Cuando se alcance esa fecha, cancele o elimine la suscripción de sandbox.
Al crear un espacio aislado, es posible colocar una etiqueta de Azure con una fecha de caducidad en la suscripción. Use la automatización para cancelar o eliminar la suscripción cuando alcance la fecha de expiración.
Restricción de los recursos de Azure
Para proporcionar el entorno de aprendizaje más sólido para los usuarios del espacio aislado, haga que todos los servicios de Azure estén disponibles en el entorno de espacio aislado. Los espacios aislados sin restricciones son ideales, pero algunas organizaciones tienen requisitos para restringir qué servicios de Azure se implementan en espacios aislados. Controle estas restricciones a través de Azure Policy. Use la directiva de lista de bloqueos de servicio de Azure para denegar la implementación de servicios específicos de Azure.
Protección de la información
La mayoría de las organizaciones están de acuerdo en que es importante mantener los datos confidenciales fuera de un entorno de espacio aislado. La primera línea de defensa para la protección de la información es la educación de los usuarios. Antes de asignar un usuario a un espacio aislado, proporcione declinaciones de responsabilidades e información que indique claramente que no agregue datos confidenciales al espacio aislado.
Utilice Microsoft Purview para proporcionar protección de la información para entornos de pruebas. Purview puede enviar alertas si un usuario agrega datos que la organización etiqueta como confidencial a los entornos de espacio aislado.