沙盒是一個隔離的環境,你可以在那裡測試和實驗,而不會影響其他環境,例如生產環境、開發環境或使用者驗收測試(UAT)。 在受控環境中使用 Azure 資源進行概念驗證(POC)。 每個沙盒都有自己的 Azure 訂閱,Azure 政策會控制訂閱。 這些政策在沙盒管理群組層級套用,管理群組則繼承其上層的政策。 根據目的,個人或團隊可以使用沙盒。
小提示
關於預設 Azure 著陸區政策指派的資訊,請參閱 Azure 登陸區參考實作中包含的政策。
沙盒環境是實作學習 Azure 的最佳場所。 一些常見的使用情境包括:
- 開發者需要一個受控的 Azure 環境,才能快速測試應用程式設計模式。
- 雲端架構師需要一個沙盒環境,以便在為其組織正式批准前,評估 Azure 資源或進行 Azure 服務或資源的概念驗證(POC)。
- 雲端工程師需要沙盒環境,才能更好地理解 Azure 資源設定被更改時會發生什麼。
- 一位平台工程師想要建立並測試一個新的 Azure 政策,看看它依照 Canary 指引的表現。
- 開發者想在建置應用程式時嘗試 Azure 服務或資源。
沙盒架構
以下圖片顯示管理群組與訂閱配置。
把沙盒訂閱放在沙盒管理群組裡。 欲了解更多管理團體及訂閱組織資訊,請參閱 著陸區設計區域與概念架構。 為沙盒建立的 Azure 政策會放在沙盒的管理群組層級。 沙盒環境則會從其上層的管理群組層級繼承 Azure 政策。
沙盒訂閱有助於管理每個計畫或專案的成本。 你可以輕鬆追蹤成本,並在預算減少或到期時移除沙盒。
網路
打造符合你需求的沙盒訂閱網絡。 為了保持沙盒的隔離,請確保沙盒訂閱內建立的網路沒有與沙盒外的其他網路進行對等互連。 你可以使用 拒絕虛擬網路對等跨訂閱 政策,確保每個沙箱都是獨立的環境。
使用 deny ExpressRoute/VPN/Virtual WAN 建立 政策,拒絕建立 ExpressRoute 閘道器、VPN 閘道器及虛擬 WAN 集線器。 當你拒絕這些資源時,就確保沙盒訂閱網路會保持孤立。
稽核記錄
為了安全,啟用沙盒環境中的稽核日誌非常重要。 啟用一個診斷設定,至少包含所有沙盒訂閱的管理與安全日誌類別(稽核)。 將稽核日誌存放在像 Azure 登陸區預設的 Log Analytics 工作區這樣的集中目的地,方便你快速檢視。 或者你可以將它們整合到安全資訊與事件管理(SIEM)平台,如 Microsoft Sentinel。 欲了解更多資訊,請參閱 庫存與可見度建議。
企業級著陸區參考實作中包含的 Azure 政策,包含一個 Azure 政策定義(「配置 Azure 活動日誌串流至指定的 Log Analytics 工作空間」),可啟用所有訂閱的稽核日誌。 沙盒管理團隊應繼承此政策,以啟用沙盒訂閱診斷日誌。
沙盒存取權限
沙盒使用者擁有沙盒訂閱的擁有者權限。 當沙盒被取消時,移除所有沙盒使用者的擁有者角色基礎存取控制(RBAC)。
其他考慮
為確保沙盒環境的可靠與效率,請考慮以下因素。
沙盒已過期
必要時你可以取消或刪除沙盒。 規劃移除沙盒的策略,以節省成本並確保安全性持續可靠。 請考慮成本和沙盒的有效期限,以判斷何時移除沙盒。 沙盒過期後,將它移到 停用 的管理群組。
費用
雲端沙盒環境的一個主要考量是成本追蹤。 為了讓追蹤更簡單,你可以在 Microsoft 成本管理中建立預算。 預算功能會在實際支出或預測支出超過設定門檻時發送警示。
部署沙盒時,你可以建立 Microsoft 成本管理預算並將其分配給訂閱。 預算功能會在支出門檻超過你指定的百分比時提醒沙盒用戶。 例如,你可以設定當預算超過100% 支出門檻時的警示。 在這種情況下,你可能需要 取消 或刪除訂閱。 警報本身就是一種警示機制。
你可以為所有沙盒設定預算。 套用預設預算,方法是於沙盒管理群組層級使用 Deploy-Budget Azure 原則。 將預設預算設定為組織核准的沙盒最高成本。 預設預算會針對任何沒有被分配更具體預算的沙盒發送成本警示。
到期日
大多數組織希望在一段時間後讓沙盒到期並刪除。 過期沙盒以提供成本控制和安全效益。 沙盒環境是為了測試和學習而設計的。 當沙盒使用者完成測試或獲得預期知識後,你可以終止沙盒,因為它不再需要。 給每個沙盒設定一個有效期限。 當那個日期到了,請 取消訂閱 或刪除沙盒訂閱。
當你建立沙盒時,可以在訂閱上加上帶有到期日的 Azure 標籤 。 當訂閱到期時,請使用自動化功能取消或刪除。
限制 Azure 資源
為了為沙盒使用者提供最完整的學習環境,請將所有 Azure 服務都提供在沙盒環境中。 無限制的沙盒是理想的,但有些組織需要限制部署到沙盒環境的 Azure 服務。 透過 Azure Policy 來控制這些限制。 使用 Azure 服務封鎖清單 政策來拒絕部署特定 Azure 服務。
資訊保護
大多數組織都同意,將敏感資料排除在沙盒環境中非常重要。 資訊保護的第一道防線是使用者教育。 在指派使用者進入沙盒前,請提供免責聲明及明確禁止將敏感資料加入沙盒的資訊。
使用 Microsoft Purview 來為沙盒環境提供資訊保護。 如果使用者新增了組織標示為對沙盒環境敏感的資料,Purview 可以發送警示。