Entornos de espacio aislado de zona de aterrizaje
Un espacio aislado es un entorno aislado en el que puede probar y experimentar sin afectar a otros entornos, como entornos de producción, desarrollo o pruebas de aceptación de usuario (UAT). Realice pruebas de conceptos (POC) con recursos de Azure en un entorno controlado. Cada espacio aislado tiene su propia suscripción de Azure y las directivas de Azure controlan la suscripción. Las directivas se aplican en el nivel de grupo de administración de espacio aislado y el grupo de administración hereda las directivas de la jerarquía anterior. Dependiendo de su propósito, un individuo o un equipo pueden usar un espacio aislado.
Sugerencia
Para obtener información sobre las asignaciones de directivas predeterminadas de zonas de aterrizaje de Azure, consulte Directivas incluidas en las implementaciones de referencia de zonas de aterrizaje de Azure.
Los entornos de espacio aislado son el mejor lugar para el aprendizaje práctico de Azure. A continuación, se muestran algunos casos de uso comunes:
- Un desarrollador necesita un entorno de Azure controlado para probar rápidamente los patrones de diseño de aplicaciones.
- Un arquitecto de la nube necesita un entorno de espacio aislado para evaluar los recursos de Azure o llevar a cabo pruebas de concepto para un servicio o recurso de Azure antes de aprobarlos formalmente para su organización.
- Un ingeniero en la nube necesita un entorno de espacio aislado para comprender mejor lo que sucede cuando se cambia un valor en un recurso de Azure.
- Un ingeniero de plataforma quiere compilar y probar una nueva directiva de Azure y ver cómo se comporta según las instrucciones de Canary.
- Un desarrollador quiere experimentar con los servicios o recursos de Azure al compilar una aplicación.
Arquitectura de espacio aislado
En la imagen siguiente se muestra el diseño del grupo de administración y de la suscripción.
Coloque la suscripción de espacio aislado en el grupo de administración del espacio aislado. Para obtener más información sobre los grupos de administración y la organización de suscripciones, consulte Áreas de diseño de zona de aterrizaje y arquitectura conceptual. Las directivas de Azure creadas para espacios aislados se colocan en el nivel de grupo de administración del espacio aislado. Los entornos de espacio aislado heredan las directivas de Azure de la jerarquía del grupo de administración que está por encima de ellos.
Una suscripción de espacio aislado ayuda a administrar los costos de cada programa o proyecto. Puede realizar fácilmente un seguimiento de los costos y cancelar espacios aislados cuando los presupuestos disminuyan o caduque el espacio aislado.
Redes
Cree las redes de suscripción de espacio aislado que se adapten a sus necesidades. Para mantener el espacio aislado aislado, asegúrese de que las redes creadas dentro de las suscripciones de espacio aislado no se hayan emparejado con otras redes fuera del espacio aislado. Puede usar la directiva denegar el emparejamiento de redes virtuales entre suscripciones para asegurarse de que cada espacio aislado es su propio entorno aislado.
Use la directiva de creación deny ExpressRoute/VPN/Virtual WAN para denegar la creación de puertas de enlace de ExpressRoute, puertas de enlace de VPN y centros de Virtual WAN. Al denegar estos recursos, garantiza que las redes de suscripción de espacio aislado permanezcan aisladas.
Registro de auditoría
Para la seguridad, es importante habilitar el registro de auditoría para un entorno de espacio aislado. Habilite una configuración de diagnóstico que incluya al menos las categorías de registro de seguridad y administrativa (auditoría) para todas las suscripciones de espacio aislado. Almacene los registros de auditoría en un destino central, como el área de trabajo predeterminada de Log Analytics de la zona de aterrizaje de Azure, para que pueda revisarlos fácilmente. También puede integrarlos con una plataforma de administración de eventos e información de seguridad (SIEM), como Microsoft Sentinel. Para obtener más información, consulte Recomendaciones de inventario y visibilidad.
Las directivas de Azure incluidas en la implementación de referencia de la zona de aterrizaje a escala empresarial tienen una definición de directiva de Azure ("Configuración de registros de actividad de Azure para transmitir al área de trabajo de Log Analytics especificada") que permite el registro de auditoría para todas las suscripciones. El grupo de administración del espacio aislado debe heredar esta directiva para habilitar el registro de diagnóstico de suscripciones de espacio aislado.
Acceso al espacio aislado
El usuario del espacio aislado tiene acceso de propietario a la suscripción del espacio aislado. Cuando se cancela un espacio aislado, quite el control de acceso basado en rol (RBAC) del propietario para todos los usuarios del espacio aislado.
Otras consideraciones
Para garantizar un rendimiento confiable y eficaz del entorno de espacio aislado, tenga en cuenta los siguientes factores.
Expiración del espacio aislado
Puede cancelar o eliminar un espacio aislado cuando sea necesario. Planee una estrategia para quitar espacios aislados para ahorrar costos y asegurarse de que la seguridad sigue siendo confiable. Tenga en cuenta el costo y la fecha de expiración del espacio aislado para determinar cuándo quitar un espacio aislado. Después de que caduque un espacio aislado, muévalo al grupo de administración retirado.
Coste
Un problema clave para los entornos de espacio aislado basado en la nube es el seguimiento de costos. Para facilitar el seguimiento, puede crear un presupuesto en Microsoft Cost Management. La característica de presupuestos le envía alertas cuando el gasto real o el gasto previsto cruza un umbral configurado.
Al implementar un espacio aislado, puede crear un presupuesto de Microsoft Cost Management y asignarlo a la suscripción. La característica de presupuesto alerta a los usuarios del espacio aislado cuando los umbrales de gasto cruzan el porcentaje especificado. Por ejemplo, puede establecer una alerta para cuando el presupuesto supera el umbral de gasto del 100 %. En ese caso, es posible que quiera cancelar o eliminar una suscripción. La alerta solo es un mecanismo de advertencia.
Puede asignar un presupuesto a todos los espacios aislados. Aplique un presupuesto predeterminado mediante la directiva deploy-budget de Azure en el nivel de grupo de administración del espacio aislado. Establezca el presupuesto predeterminado en el costo máximo que aprueba la organización para un espacio aislado. El presupuesto predeterminado envía alertas de costos para cualquier espacio aislado que no tenga asignado un presupuesto más específico.
Fecha de expiración
La mayoría de las organizaciones quieren expirar y eliminar espacios aislados después de un período de tiempo. Expire los espacios aislados para proporcionar ventajas de seguridad y control de costos. Los entornos de espacio aislado se crean con fines de prueba y aprendizaje. Después de que el usuario del espacio aislado realice su prueba o obtenga el conocimiento previsto, puede expirar el espacio aislado porque ya no es necesario. Asigne una fecha de expiración a cada espacio aislado. Cuando se alcance esa fecha, cancele o elimine la suscripción del espacio aislado.
Al crear un espacio aislado, puede colocar una etiqueta de Azure con una fecha de expiración en la suscripción. Use la automatización para cancelar o eliminar la suscripción cuando alcance la fecha de expiración.
Restricción de recursos de Azure
Para proporcionar el entorno de aprendizaje más sólido para los usuarios del espacio aislado, haga que todos los servicios de Azure estén disponibles en el entorno de espacio aislado. Los espacios aislados sin restricciones son ideales, pero algunas organizaciones tienen requisitos para restringir qué servicios de Azure se implementan en espacios aislados. Controle estas restricciones a través de Azure Policy. Use la directiva de lista de bloqueos de servicio de Azure para denegar la implementación de servicios específicos de Azure.
Protección de la información
La mayoría de las organizaciones están de acuerdo en que es importante mantener la información confidencial fuera de un entorno de espacio aislado. La primera línea de defensa para la protección de la información es la educación del usuario. Antes de asignar un usuario a un espacio aislado, indíquele las declinaciones de responsabilidades e información que explíquele claramente que no agregue datos confidenciales al espacio aislado.
Use Microsoft Purview para proporcionar protección de la información para entornos de espacio aislado. Purview puede enviar alertas si un usuario agrega datos que la organización etiqueta como confidenciales a los entornos de espacio aislado.