Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Un bac à sable est un environnement isolé dans lequel vous pouvez tester et expérimenter sans affecter d’autres environnements, tels que les environnements de production, de développement ou de test d’acceptation utilisateur (UAT). Effectuez une preuve de concepts (POC) avec des ressources Azure dans un environnement contrôlé. Chaque bac à sable possède son propre abonnement Azure et les stratégies Azure contrôlent l’abonnement. Les stratégies sont appliquées au niveau du groupe de gestion de la sandbox, et le groupe de gestion hérite des stratégies de la hiérarchie au-dessus de lui. Selon son objectif, une personne ou une équipe peut utiliser un bac à sable.
Conseil / Astuce
Pour plus d’informations sur les affectations de stratégie de zones d’atterrissage Azure par défaut, consultez Stratégies incluses dans les implémentations de référence des zones d’atterrissage Azure.
Les environnements de bac à sable sont le meilleur cadre pour l'apprentissage pratique d'Azure. Voici quelques cas d’usage courants :
- Un développeur a besoin d’un environnement Azure contrôlé pour tester rapidement les modèles de conception d’application.
- Un architecte cloud a besoin d’un environnement de bac à sable (sandbox) pour évaluer les ressources Azure ou effectuer des poCs pour un service ou une ressource Azure avant de les approuver officiellement pour leur organisation.
- Un ingénieur cloud a besoin d’un environnement de bac à sable pour mieux comprendre ce qui se passe lorsqu’un paramètre est modifié sur une ressource Azure.
- Un ingénieur de plateforme souhaite créer et tester une nouvelle stratégie Azure et voir comment elle se comporte conformément aux instructions Canary.
- Un développeur souhaite expérimenter des services ou des ressources Azure lors de la création d’une application.
Architecture de bac à sable
L’image suivante montre la disposition du groupe d’administration et de l’abonnement.
Placez l’abonnement bac à sable dans le groupe de gestion du bac à sable. Pour plus d’informations sur les groupes d’administration et l’organisation des abonnements, consultez zones de conception de zone d’atterrissage et architecture conceptuelle. Les stratégies Azure créées pour les bacs à sable sont placées au niveau du groupe d’administration du bac à sable. Les environnements de bac à sable héritent ensuite des stratégies Azure de la hiérarchie des groupes d’administration qui sont au-dessus de celles-ci.
Un abonnement bac à sable permet de gérer les coûts pour chaque programme ou projet. Vous pouvez facilement suivre les coûts et annuler les bacs à sable lorsque les budgets diminuent ou lorsque le bac à sable expire.
Networking
Créez le réseau d’abonnement bac à sable qui répond à vos besoins. Pour conserver le sandbox isolé, assurez-vous que les réseaux créés à l’intérieur des abonnements de sandbox ne sont pas connectés avec d’autres réseaux en dehors du sandbox. Vous pouvez utiliser la stratégie deny virtual network peering cross subscription pour garantir que chaque sandbox est un environnement isolé.
Utilisez la stratégie interdisant la création d'ExpressRoute/VPN/Virtual WAN pour refuser la création de passerelles ExpressRoute, de passerelles VPN et de hubs Virtual WAN. Lorsque vous refusez ces ressources, cela garantit que les réseaux d’abonnement bac à sable restent isolés.
Journalisation d’audit
Pour la sécurité, il est important d’activer la journalisation d’audit pour un environnement de bac à sable. Activez un paramètre de diagnostic qui inclut au moins les catégories de journaux d’administration et de sécurité (audit) pour tous les abonnements bac à sable. Stockez les journaux d’audit dans une destination centrale, comme l’espace de travail Log Analytics par défaut de la zone d’atterrissage Azure, afin de pouvoir les examiner facilement. Vous pouvez également les intégrer à une plateforme SIEM (Security Information and Event Management), comme Microsoft Sentinel. Pour plus d’informations, consultez les recommandations d’inventaire et de visibilité.
Les stratégies Azure incluses dans l’implémentation de référence de la zone d’atterrissage à l’échelle de l’entreprise comportent une définition de stratégie Azure (« Configurer les journaux d’activité Azure pour les transmettre à un espace de travail Log Analytics spécifié ») qui permet l'audit de tous les abonnements. Le groupe de gestion du bac à sable doit hériter de cette stratégie pour permettre la journalisation des diagnostics d'abonnement au bac à sable.
Accès au bac à sable
L’utilisateur de bac à sable dispose d’un accès propriétaire à l’abonnement sandbox. Lorsqu’un bac à sable est annulé, supprimez le contrôle d’accès en fonction du rôle (RBAC) du propriétaire pour tous les utilisateurs du bac à sable.
Autres considérations
Pour garantir des performances d’environnement de bac à sable fiables et efficaces, tenez compte des facteurs suivants.
Expiration du bac à sable
Vous pouvez annuler ou supprimer un bac à sable si nécessaire. Planifiez une stratégie pour supprimer des bacs à sable pour économiser sur les coûts et garantir que la sécurité reste fiable. Tenez compte du coût et de la date d’expiration du bac à sable pour déterminer quand supprimer un bac à sable. Lorsqu'un sandbox expire, déplacez-le vers le groupe d'administration déclassé.
Coûts
Un problème clé pour les environnements de bac à sable basés sur le cloud est le suivi des coûts. Pour faciliter le suivi, vous pouvez créer un budget dans Microsoft Cost Management. La fonctionnalité budgets vous envoie des alertes lorsque les dépenses réelles ou les dépenses prévues dépassent un seuil configuré.
Lorsque vous déployez un bac à sable, vous pouvez créer un budget Microsoft Cost Management et l’affecter à l’abonnement. La fonctionnalité de budget avertit les utilisateurs du bac à sable lorsque les seuils de dépense dépassent le pourcentage que vous spécifiez. Par exemple, vous pouvez définir une alerte lorsque le budget dépasse le seuil de dépense de 100%. Dans ce cas, vous pouvez annuler ou supprimer un abonnement. L’alerte seule n’est qu’un mécanisme d’avertissement.
Vous pouvez affecter un budget à tous les bacs à sable. Appliquez un budget par défaut à l’aide de la stratégie Azure Deploy-Budget au niveau du groupe d’administration de bac à sable. Définissez le budget par défaut sur le coût maximal que l’organisation approuve pour un bac à sable. Le budget par défaut envoie des alertes de coût pour tout bac à sable qui n’est pas affecté à un budget plus spécifique.
Date d'expiration
La plupart des organisations souhaitent expirer et supprimer des bacs à sable après une période donnée. Faites expirer les bacs à sable pour fournir des avantages en matière de contrôle des coûts et de sécurité. Les environnements de bac à sable sont créés à des fins de test et d’apprentissage. Une fois que l’utilisateur de bac à sable effectue son test ou a acquis les connaissances prévues, vous pouvez expirer le bac à sable, car il n’est plus nécessaire. Donnez une date d’expiration à chaque bac à sable. Lorsque cette date est atteinte, annulez ou supprimez l’abonnement sandbox.
Lorsque vous créez un bac à sable, vous pouvez ajouter une balise Azure avec une date d’expiration sur l’abonnement. Utilisez l’automatisation pour annuler ou supprimer l’abonnement lorsqu’il atteint la date d’expiration.
Restreindre les ressources Azure
Pour fournir l’environnement d’apprentissage le plus robuste pour les utilisateurs de bac à sable, rendez tous les services Azure disponibles dans l’environnement de bac à sable. Les bacs à sable illimités sont idéaux, mais certaines organisations ont des exigences pour limiter les services Azure déployés sur des bacs à sable. Contrôlez ces restrictions via Azure Policy. Utilisez la stratégie de liste de blocage du service Azure pour refuser le déploiement de services Azure spécifiques.
Protection des informations
La plupart des organisations conviennent qu’il est important de conserver les données sensibles hors d’un environnement de bac à sable. La première ligne de défense pour la protection des informations est l’éducation des utilisateurs. Avant d’affecter un utilisateur à un bac à sable, fournissez-lui des exclusions de responsabilité et des informations qui indiquent clairement de ne pas ajouter de données sensibles au bac à sable.
Utilisez Microsoft Purview pour fournir une protection des informations pour les environnements de bac à sable. Purview peut envoyer des alertes si un utilisateur ajoute des données que l’organisation étiquette comme sensibles aux environnements de bac à sable.