Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Um sandbox é um ambiente isolado onde pode testar e experimentar sem afetar outros ambientes, como produção, desenvolvimento ou testes de aceitação do utilizador (UAT). Realizar provas de conceito (POCs) com recursos Azure num ambiente controlado. Cada sandbox tem a sua própria subscrição Azure, e as políticas Azure controlam a subscrição. As políticas são aplicadas ao nível do grupo de gestão sandbox, e o grupo de gestão herda as políticas da hierarquia superior. Dependendo do seu propósito, um indivíduo ou uma equipa pode usar um sandbox.
Sugestão
Para informações sobre as atribuições de políticas de zonas de aterragem padrão do Azure, consulte Políticas incluídas em implementações de referência de zonas de aterragem do Azure.
Ambientes sandbox são o melhor local para aprendizagem prática do Azure. Alguns casos de utilização comuns incluem:
- Um programador precisa de um ambiente Azure controlado para testar rapidamente padrões de design de aplicações.
- Um arquiteto cloud precisa de um ambiente sandbox para avaliar recursos Azure ou realizar POCs para um serviço ou recurso Azure antes de os aprovar formalmente para a sua organização.
- Um engenheiro de cloud precisa de um ambiente sandbox para compreender melhor o que acontece quando uma configuração é alterada num recurso Azure.
- Um engenheiro de plataforma quer construir e testar uma nova política Azure e ver como se comporta conforme as orientações da Canary.
- Um programador quer experimentar com serviços ou recursos Azure enquanto constrói uma aplicação.
Arquitetura de caixa de areia
A imagem seguinte mostra o grupo de gestão e a disposição da subscrição.
Coloque a subscrição sandbox no grupo de gerenciamento sandbox. Para mais informações sobre grupos de gestão e organização de subscrições, consulte Áreas de design de zonas de aterragem e arquitetura conceptual. As políticas do Azure criadas para sandboxes são colocadas ao nível do grupo de gestão do sandbox. Os ambientes sandbox herdam então as políticas Azure da hierarquia do grupo de gestão que está acima deles.
Uma subscrição sandbox ajuda a gerir os custos de cada programa ou projeto. Podes facilmente acompanhar custos e cancelar sandboxes quando os orçamentos diminuem ou quando o sandbox expira.
Rede
Crie a rede de redes de subscrição sandbox que se adeque às suas necessidades. Para manter o sandbox isolado, certifique-se de que as redes criadas nas subscrições de sandbox não tenham feito pareamento com outras redes fora do sandbox. Pode usar a política de negar peering de rede virtual entre subscrições para garantir que cada sandbox é um ambiente isolado próprio.
Use a política de negação de criação de ExpressRoute/VPN/Virtual WAN para negar a criação de gateways ExpressRoute, gateways VPN e hubs de Virtual WAN. Ao negar estes recursos, garante que as redes de subscrição sandbox permanecem isoladas.
Registo de auditoria
Para segurança, é importante ativar o registo de auditoria num ambiente sandbox. Ative uma definição de diagnóstico que inclua pelo menos as categorias administrativas e de registo de segurança (auditoria) para todas as subscrições sandbox. Guarda os registos de auditoria num destino central, como o espaço de trabalho padrão de Log Analytics da zona de aterragem Azure, para que possas consultá-los facilmente. Ou pode integrá-los com uma plataforma de gestão de informação e eventos de segurança (SIEM), como o Microsoft Sentinel. Para mais informações, consulte Recomendações de inventário e visibilidade.
As políticas Azure incluídas na implementação de referência da zona de aterragem em escala empresarial têm uma definição de política Azure ("Configurar registos de atividade Azure para transmitir para o espaço de trabalho especificado de Log Analytics") que permite registos de auditoria para todas as subscrições. O grupo de gestão sandbox deve herdar esta política para permitir o registo de diagnósticos da subscrição do sandbox.
Acesso ao sandbox
O utilizador da subscrição sandbox tem acesso de proprietário. Quando um sandbox é cancelado, remova o controlo de acesso baseado em funções (RBAC) do proprietário para todos os utilizadores do sandbox.
Outras considerações
Para garantir um desempenho fiável e eficiente num ambiente sandbox, considere os seguintes fatores.
Expiração do Sandbox
Podes cancelar ou eliminar um sandbox quando necessário. Planeie uma estratégia para remover sandboxes para poupar custos e garantir que a segurança se mantém fiável. Considere o custo e a data de validade do sandbox para determinar quando remover o sandbox. Depois de expirar um sandbox, transfere-o para o grupo de gestão desativado .
Custo
Uma preocupação fundamental para ambientes sandbox baseados na cloud é o acompanhamento de custos. Para facilitar o acompanhamento, pode criar um orçamento no Microsoft Cost Management. A funcionalidade de orçamentos envia-lhe alertas quando os gastos reais ou previstos ultrapassam um limiar configurado.
Quando implementas um sandbox, podes criar um orçamento de Gestão de Custos da Microsoft e atribuí-lo à subscrição. A funcionalidade orçamental alerta os utilizadores da sandbox quando os limites de despesa ultrapassam a percentagem que especificou. Por exemplo, pode definir um alerta para quando o orçamento atingir o limiar de gasto de 100%. Nesse caso, pode querer cancelar ou eliminar uma subscrição. O alerta por si só é apenas um mecanismo de aviso.
Podes atribuir um orçamento a todos os sandboxes. Aplique um orçamento padrão usando a política Deploy-Budget Azure no nível do grupo de gestão da sandbox. Defina o orçamento padrão para o custo máximo que a organização aprova para um sandbox. O orçamento padrão envia alertas de custos para qualquer sandbox que não tenha um orçamento mais específico.
Data de validade
A maioria das organizações quer que as sandboxes sejam desativadas e eliminadas após algum tempo. Expire sandboxes para garantir controlo de custos e benefícios de segurança. Ambientes sandbox são criados para fins de teste e aprendizagem. Depois de o utilizador sandbox efetuar o seu teste ou adquirir o conhecimento pretendido, pode desativar o sandbox porque já não é necessário. Dá uma data de validade a cada sandbox. Quando essa data for atingida, cancele ou elimine a subscrição do ambiente sandbox.
Quando crias um sandbox, podes colocar uma etiqueta Azure com uma data de validade na subscrição. Use automação para cancelar ou eliminar a subscrição quando esta atingir a data de validade.
Restringir recursos do Azure
Para proporcionar o ambiente de aprendizagem mais robusto para utilizadores sandbox, disponibilize todos os serviços Azure no ambiente sandbox. Sandboxes irrestritos são ideais, mas algumas organizações têm requisitos para restringir quais os serviços Azure que são implementados nos sandboxes. Controla estas restrições através do Azure Policy. Use a política de blocos de serviços Azure para negar a implementação de serviços Azure específicos.
Proteção de informações
A maioria das organizações concorda que é importante manter dados sensíveis fora de um ambiente sandbox. A primeira linha de defesa para a proteção da informação é a educação dos utilizadores. Antes de atribuir um utilizador a um sandbox, forneça-lhe avisos e informações que indiquem claramente que não deve adicionar dados sensíveis ao sandbox.
Use o Microsoft Purview para fornecer proteção de informação em ambientes sandbox. A Purview pode enviar alertas se um utilizador adicionar dados que a organização classifica como sensíveis em ambientes sandbox.