Notitie
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen u aan te melden of de directory te wijzigen.
Voor toegang tot deze pagina is autorisatie vereist. U kunt proberen de mappen te wijzigen.
Een sandbox is een geïsoleerde omgeving waar u kunt testen en experimenteren zonder dat dit invloed heeft op andere omgevingen, zoals productie-, ontwikkelings- of UAT-omgevingen (User Acceptance Testing). Voer proof of concepts (POC's) uit met Azure-resources in een gecontroleerde omgeving. Elke sandbox heeft een eigen Azure-abonnement en Azure-beleid bepaalt het abonnement. Het beleid wordt toegepast op het niveau van de sandbox-beheergroep en de beheergroep neemt beleidsregels over van de hiërarchie erboven. Afhankelijk van het doel kan een persoon of een team een sandbox gebruiken.
Aanbeveling
Voor meer informatie over de standaard toewijzingen voor Azure-landingszones, zie Beleidsregels die zijn opgenomen in Azure-landingszones referentie-implementaties.
Sandbox-omgevingen zijn de beste plek voor praktische azure-training. Enkele veelvoorkomende use cases zijn:
- Een ontwikkelaar heeft een gecontroleerde Azure-omgeving nodig om snel ontwerppatronen voor toepassingen te testen.
- Een cloudarchitect heeft een sandbox-omgeving nodig om Azure-resources te evalueren of POC's uit te voeren voor een Azure-service of -resource voordat deze formeel worden goedgekeurd voor hun organisatie.
- Een cloudtechnicus heeft een sandbox-omgeving nodig om beter te begrijpen wat er gebeurt wanneer een instelling wordt gewijzigd in een Azure-resource.
- Een platformengineer wil een nieuw Azure-beleid bouwen en testen en zien hoe het zich gedraagt volgens de Canary-richtlijnen.
- Een ontwikkelaar wil experimenteren met Azure-services of -resources tijdens het bouwen van een toepassing.
Sandbox-architectuur
In de volgende afbeelding ziet u de indeling van de beheergroep en het abonnement.
Plaats het sandbox-abonnement in de sandbox-beheergroep. Zie ontwerpgebieden voor landingszones en conceptuele architectuur voor meer informatie over beheergroepen en de organisatie van abonnementen. Azure-beleidsregels die zijn gemaakt voor sandboxes, worden op het niveau van de beheergroep van de sandbox geplaatst. Sandbox-omgevingen nemen vervolgens Azure-beleid over van de hiërarchie van de beheergroep die erboven staat.
Met een sandbox-abonnement kunt u kosten voor elk programma of project beheren. U kunt eenvoudig kosten bijhouden en sandboxes annuleren wanneer budgetten afnemen of wanneer de sandbox verloopt.
Networking
Maak het netwerk voor sandbox-abonnementen dat aan uw behoeften voldoet. Als u de sandbox geïsoleerd wilt houden, moet u ervoor zorgen dat de netwerken die zijn gemaakt in de sandbox-abonnementen niet zijn gekoppeld aan andere netwerken buiten de sandbox. U kunt de beleidsregel voor het weigeren van peering van virtuele netwerken tussen abonnementen gebruiken om ervoor te zorgen dat elke sandbox zijn eigen geïsoleerde omgeving is.
Gebruik het beleid voor het weigeren van ExpressRoute/VPN/Virtual WAN om het maken van ExpressRoute-gateways, VPN-gateways en Virtual WAN-hubs te weigeren. Wanneer u deze resources weigert, zorgt dit ervoor dat de sandbox-abonnementsnetwerken geïsoleerd blijven.
Auditlogboek bijhouden
Voor beveiliging is het belangrijk om auditlogboekregistratie in te schakelen voor een sandbox-omgeving. Schakel een diagnostische instelling in die ten minste de logcategorieën voor beheer en beveiliging (audit) voor alle sandbox-abonnementen bevat. Sla auditlogboeken op een centrale bestemming op, zoals de standaard Log Analytics-werkruimte van de Azure-landingszone, zodat u ze eenvoudig kunt bekijken. U kunt ze ook integreren met een SIEM-platform (Security Information and Event Management), zoals Microsoft Sentinel. Zie Aanbevelingen voor inventaris en zichtbaarheid voor meer informatie.
Het Azure-beleid dat is opgenomen in de referentie-implementatie van de landingszone op ondernemingsniveau , heeft een Azure-beleidsdefinitie ('Azure-activiteitenlogboeken configureren om te streamen naar de opgegeven Log Analytics-werkruimte') waarmee auditlogboeken voor alle abonnementen worden ingeschakeld. De sandbox-beheergroep moet dit beleid overnemen om diagnostische logboekregistratie voor sandbox-abonnementen in te schakelen.
Sandbox-toegang
De sandbox-gebruiker heeft eigenaarstoegang tot het sandbox-abonnement. Wanneer een sandbox wordt geannuleerd, verwijdert u het op rollen gebaseerd toegangsbeheer (RBAC) van de eigenaar voor alle sandboxgebruikers.
Andere overwegingen
Houd rekening met de volgende factoren om betrouwbare en efficiënte sandboxomgevingprestaties te garanderen.
Verlooptijd van sandbox
U kunt een sandbox annuleren of verwijderen wanneer dat nodig is. Plan een strategie voor het verwijderen van sandboxes om kosten te besparen en ervoor te zorgen dat beveiliging betrouwbaar blijft. Houd rekening met de kosten en de vervaldatum van de sandbox om te bepalen wanneer een sandbox moet worden verwijderd. Nadat een sandbox is verlopen, verplaatst u deze naar de buiten gebruik gestelde beheergroep.
Kosten
Een belangrijke zorg voor sandbox-omgevingen in de cloud is het bijhouden van kosten. Als u het bijhouden eenvoudiger wilt maken, kunt u een budget maken in Microsoft Cost Management. Met de budgetfunctie worden waarschuwingen verzonden wanneer de werkelijke uitgaven of geraamde uitgaven een geconfigureerde drempelwaarde overschrijden.
Wanneer u een sandbox implementeert, kunt u een Microsoft Cost Management-budget maken en deze toewijzen aan het abonnement. De budgetfunctie waarschuwt de sandbox-gebruikers wanneer de bestedingsdrempels het percentage overschrijden dat u opgeeft. U kunt bijvoorbeeld een waarschuwing instellen voor wanneer het budget de drempelwaarde voor 100% uitgaven overschrijdt. In dat geval wilt u mogelijk een abonnement opzeggen of verwijderen. De waarschuwing alleen is slechts een waarschuwingsmechanisme.
U kunt een budget toewijzen aan alle sandboxes. Pas een standaardbudget toe met behulp van het Azure-beleid Deploy-Budget op het niveau van de sandbox-beheergroep. Stel het standaardbudget in op de maximale kosten die de organisatie goedkeurt voor een sandbox. Met het standaardbudget worden kostenwaarschuwingen verzonden voor een sandbox waaraan geen specifiek budget is toegewezen.
Vervaldatum
De meeste organisaties willen sandboxes na een bepaalde periode laten verlopen en verwijderen. Sandboxes laten verlopen door kostenbeheersing en beveiligingsvoordelen te bieden. Sandbox-omgevingen worden gemaakt voor test- en leerdoeleinden. Nadat de sandboxgebruiker zijn test heeft uitgevoerd of de beoogde kennis heeft behaald, kunt u de sandbox laten verlopen omdat deze niet meer nodig is. Geef een vervaldatum op voor elke sandbox. Wanneer deze datum is bereikt, annuleert of verwijdert u het sandbox-abonnement.
Wanneer u een sandbox maakt, kunt u een Azure-tag met een vervaldatum voor het abonnement plaatsen. Gebruik automatisering om het abonnement te annuleren of te verwijderen wanneer het de vervaldatum bereikt.
Azure-resources beperken
Als u de meest robuuste leeromgeving voor sandboxgebruikers wilt bieden, maakt u alle Azure-services beschikbaar in de sandbox-omgeving. Onbeperkte sandboxes zijn ideaal, maar sommige organisaties hebben vereisten om te beperken welke Azure-services worden geïmplementeerd in sandboxes. Beheer deze beperkingen via Azure Policy. Gebruik het bloklijstbeleid van de Azure-service om de implementatie van specifieke Azure-services te weigeren.
Informatiebeveiliging
De meeste organisaties gaan ermee akkoord dat het belangrijk is om gevoelige gegevens uit een sandbox-omgeving te houden. De eerste verdedigingslinie voor informatiebeveiliging is gebruikersonderwijs. Voordat u een gebruiker toewijst aan een sandbox, moet u deze voorzien van disclaimers en informatie die duidelijk aangeeft dat er geen gevoelige gegevens aan de sandbox moeten worden toegevoegd.
Gebruik Microsoft Purview om informatiebeveiliging te bieden voor sandbox-omgevingen. Purview kan waarschuwingen verzenden als een gebruiker gegevens toevoegt die de organisatie als gevoelig voor sandbox-omgevingen labelt.