サンドボックスは分離された環境であり、運用環境、開発、ユーザー受け入れテスト (UAT) 環境など、他の環境に影響を与えずにテストおよび実験できます。 制御された環境で Azure リソースを使用して概念実証 (POC) を実施します。 各サンドボックスには独自の Azure サブスクリプションがあり、Azure ポリシーによってサブスクリプションが制御されます。 ポリシーはサンドボックス管理グループ レベルで適用され、管理グループは、その上の階層からポリシーを継承します。 目的に応じて、個人またはチームがサンドボックスを使用できます。
ヒント
既定の Azure ランディング ゾーン ポリシー割り当ての詳細については、「 Azure ランディング ゾーンのリファレンス実装に含まれるポリシー」を参照してください。
サンドボックス環境は、Azure の実践的な学習に最適な場所です。 一般的なユース ケースには、次のようなものがあります。
- 開発者は、アプリケーションの設計パターンをすばやくテストするために、制御された Azure 環境を必要とします。
- クラウド アーキテクトは、組織に対して正式に承認する前に、Azure リソースを評価したり、Azure サービスまたはリソースの POC を実行したりするサンドボックス環境が必要です。
- クラウド エンジニアは、Azure リソースで設定が変更された場合の動作をより深く理解するためにサンドボックス環境を必要とします。
- プラットフォーム エンジニアは、新しい Azure ポリシーを構築してテストし、 カナリア ガイダンスに従って動作を確認したいと考えています。
- 開発者は、アプリケーションの構築中に Azure サービスまたはリソースを試したいと考えています。
サンドボックス アーキテクチャ
次の図は、管理グループとサブスクリプションのレイアウトを示しています。
サンドボックス管理グループにサンドボックス サブスクリプションを配置します。 管理グループとサブスクリプション組織の詳細については、「 ランディング ゾーンの設計領域と概念アーキテクチャ」を参照してください。 サンドボックス用に作成された Azure ポリシーは、サンドボックスの管理グループ レベルに配置されます。 サンドボックス環境は、その上にある管理グループ階層から Azure ポリシーを継承します。
サンドボックス サブスクリプションは、各プログラムまたはプロジェクトのコストを管理するのに役立ちます。 予算が減ったときやサンドボックスの有効期限が切れたときに、コストを簡単に追跡し、サンドボックスを取り消すことができます。
ネットワーク
ニーズに合ったサンドボックス サブスクリプション ネットワークを作成します。 サンドボックスを分離したままにするには、サンドボックス サブスクリプション内に作成されたネットワークがサンドボックスの外部にある他のネットワークとピアリングされていないことを確認します。 拒否仮想ネットワーク ピアリングのクロス サブスクリプション ポリシーを使用して、各サンドボックスが独自の分離環境であることを確認できます。
ExpressRoute ゲートウェイ、VPN ゲートウェイ、および Virtual WAN ハブの作成を拒否するには、拒否 ExpressRoute/VPN/Virtual WAN 作成ポリシーを使用します。 これらのリソースを拒否すると、サンドボックス サブスクリプション ネットワークが分離されたままになります。
監査ログ
セキュリティのためには、サンドボックス環境の監査ログを有効にすることが重要です。 すべてのサンドボックス サブスクリプションの少なくとも管理ログ カテゴリとセキュリティ ログ カテゴリ (監査) を含む診断設定を有効にします。 監査ログは、Azure ランディング ゾーンの既定の Log Analytics ワークスペースなどの中央の宛先に保存して、簡単に確認できるようにします。 または、 Microsoft Sentinel などのセキュリティ情報およびイベント管理 (SIEM) プラットフォームと統合することもできます。 詳細については、「 インベントリと可視性の推奨事項」を参照してください。
エンタープライズ規模のランディング ゾーン参照実装に含まれる Azure ポリシーには、すべてのサブスクリプションの監査ログを有効にする Azure ポリシー定義 ("指定された Log Analytics ワークスペースにストリーミングするように Azure アクティビティ ログを構成する") があります。 サンドボックス管理グループは、サンドボックス サブスクリプションの診断ログを有効にするために、このポリシーを継承する必要があります。
サンドボックス アクセス
サンドボックス ユーザーは、サンドボックス サブスクリプションへの所有者アクセス権を持っています。 サンドボックスが取り消されたら、すべてのサンドボックス ユーザーの所有者ロールベースのアクセス制御 (RBAC) を削除します。
その他の考慮事項
信頼性が高く効率的なサンドボックス環境のパフォーマンスを確保するには、次の要因を考慮してください。
サンドボックスの有効期限
必要に応じて、サンドボックスを取り消したり削除したりできます。 コストを節約し、セキュリティが確実に維持されるようにサンドボックスを削除するための戦略を計画します。 コストとサンドボックスの有効期限を考慮して、サンドボックスを削除するタイミングを決定します。 サンドボックスの有効期限が切れた後、 使用停止の 管理グループに移動します。
費用
クラウドベースのサンドボックス環境の主な懸念事項は、コスト追跡です。 追跡を容易にするために、Microsoft Cost Management で予算を作成できます。 予算機能は、実際の支出または予測支出が構成されたしきい値を超えたときにアラートを送信します。
サンドボックスをデプロイするときに、Microsoft Cost Management 予算を作成してサブスクリプションに割り当てることができます。 予算機能は、支出のしきい値が指定した割合を超えたときにサンドボックス ユーザーにアラートを送信します。 たとえば、予算が 100% 支出しきい値を超えたときのアラートを設定できます。 その場合は、サブスクリプションを 取り消 すか削除することができます。 アラートだけでは単なる警告メカニズムです。
すべてのサンドボックスに予算を割り当てることができます。 サンドボックス管理グループ レベルで Deploy-Budget Azure ポリシーを使用して、既定の予算を適用します。 既定の予算を、組織がサンドボックスに対して承認する最大コストに設定します。 既定の予算では、より具体的な予算が割り当てられていないサンドボックスのコスト アラートが送信されます。
有効期限
ほとんどの組織は、一定期間後にサンドボックスの有効期限を切って削除したいと考えています。 サンドボックスを期限切れにして、コスト管理とセキュリティの利点を提供します。 サンドボックス環境は、テストと学習の目的で作成されます。 サンドボックス ユーザーがテストを実行するか、意図した知識を得た後は、不要になったサンドボックスを期限切れにできます。 各サンドボックスに有効期限を指定します。 その日付に達したら、サンドボックス サブスクリプションを 取り消 すか削除します。
サンドボックスを作成するときに、サブスクリプションに有効期限が設定された Azure タグ を配置できます。 有効期限に達したときにサブスクリプションをキャンセルまたは削除するには、Automation を使用します。
Azure リソースを制限する
サンドボックス ユーザーに最も堅牢な学習環境を提供するには、すべての Azure サービスをサンドボックス環境で使用できるようにします。 無制限のサンドボックスが理想的ですが、一部の組織には、サンドボックスにデプロイされる Azure サービスを制限する要件があります。 Azure Policy を使用してこれらの制限を制御します。 Azure サービス ブロックリスト ポリシーを使用して、特定の Azure サービスのデプロイを拒否します。
情報保護
ほとんどの組織は、機密データをサンドボックス環境から除外することが重要であることに同意します。 情報保護の防御の最初の行は、ユーザー教育です。 ユーザーをサンドボックスに割り当てる前に、サンドボックスに機密データを追加しないことを明確に示す免責事項と情報を提供します。
Microsoft Purview を使用して、サンドボックス環境の情報保護を提供します。 Purview は、組織が機密としてラベル付けしたデータをユーザーがサンドボックス環境に追加した場合にアラートを送信できます。