Изменить

Поделиться через

Песочница Azure

Бастион Azure
База данных Azure для MySQL
База данных SQL Azure
SQL Server в виртуальных машинах Azure
Виртуальные машины Azure

Песочница Azure — это коллекция взаимозависимых конфигураций облачных вычислений для реализации общих служб Azure в одной подписке. Эта коллекция предоставляет гибкую и экономически эффективную среду песочницы для экспериментирования со службами и возможностями Azure.

В зависимости от типа предложения Azure и региона полностью подготовленная среда песочницы Azure может быть дорогой для запуска. Вы можете сократить затраты, остановив или удалив виртуальные машины, если не используется или пропускаете необязательные конфигурации, которые вы не планируете использовать.

Архитектура

Схема, на которой показана среда Песочницы Azure.

Скачайте файл Visio для этой архитектуры.

Компоненты

Вы можете развернуть каждую из следующих конфигураций песочницы или только те, которые вам нужны:

Развертывание песочницы

Для среды песочницы Azure требуются следующие предварительные требования:

Дополнительные сведения о подготовке к развертыванию песочницы см. в разделе "Предварительные требования".

Чтобы интегрировать AzureSandbox с целевой зоной Azure, рассмотрите следующие стратегии:

  • Поместите подписку песочницы в группу управления песочницами .
  • Не изолируйте песочницу от частной сети.
  • Аудит действия подписки песочницы.
  • Ограничить доступ к песочнице и удалить доступ, если он больше не требуется.
  • Отсутствие песочниц после истечения срока действия для контроля затрат.
  • Создайте бюджет для подписок песочницы для управления затратами.

Дополнительные сведения см. в разделе "Песочница целевой зоны".

Чтобы развернуть песочницу Azure, перейдите в репозиторий AzureSandbox GitHub и начните с начала работы. Дополнительные сведения о развертывании среды песочницы см. в разделе "Развертывание песочницы по умолчанию" и известные проблемы.

Случаи использования

Песочница идеально подходит для ускорения проектов Azure. После развертывания среды песочницы можно добавить службы и возможности. Песочницу можно использовать для таких действий:

  • Самостоятельное обучение
  • Хакатоны
  • Тестирование
  • Разработка
  • Упражнения на столе
  • Имитации красной команды и синей команды
  • Детализация реагирования на инциденты

Внимание

Песочница Azure не предназначена для использования в рабочей среде. Развертывание использует некоторые рекомендации, но другие намеренно не используются в пользу простоты и стоимости.

Возможности

Базовые предварительные требования могут блокировать экспериментирование с определенными службами Или возможностями Azure. Среда песочницы может ускорить проект, подготовив многие из основных компонентов инфраструктуры. Вы можете сосредоточиться на службах или возможностях, с которыми необходимо работать.

Например, можно использовать следующие возможности и конфигурации, которые предоставляет среда Песочницы Azure.

  • Подключитесь к виртуальной машине windows jump box из Интернета.

    • Вариант 1. Доступ к Интернету с помощью веб-браузера и Бастиона Azure
    • Вариант 2. Подключение VPN типа "точка — сеть" через Виртуальная глобальная сеть

  • Используйте предварительно настроенный домен домен Active Directory Services в качестве администратора домена.

    • Предварительно настроенный интегрированный DNS-сервер
    • Предварительно настроенная интеграция с частными зонами DNS Azure
    • Предварительно настроенная интеграция с Приватный канал Azure частными конечными точками

  • Используйте предварительно настроенный файловый ресурс Файлы Azure.

  • Используйте виртуальную машину windows jumpbox в качестве рабочей станции разработчика.

    • Присоединенный к локальному домену домен
    • Администрирование Active Directory и DNS с предварительно установленными средствами удаленного администрирования сервера Windows Server (RSAT)
    • Visual Studio Code предварительно установлен с помощью Remote-SSH в поле перехода Linux
    • предварительно установлен обозреватель служба хранилища Azure, AzCopy и Azure Data Studio
    • Предварительно установленная среда SQL Server Management Studio
    • Предварительно установленная среда MySQL Workbench

  • Используйте виртуальную машину Linux в качестве агента DevOps.

    • Присоединенный к локальному домену с помощью Winbind
    • Предварительная установка Azure CLI, PowerShell и Terraform
    • Динамическое подключение CIFS к предварительно настроенной общей папке Файлы Azure

  • Используйте предварительно настроенную виртуальную машину SQL Server.

    • Присоединенный к локальному домену домен

  • Используйте предварительно настроенную базу данных SQL или База данных Azure для MySQL гибкий сервер через частные конечные точки.

Безопасность

Безопасность обеспечивает гарантии от преднамеренного нападения и злоупотребления ценными данными и системами. Дополнительные сведения см. в контрольном списке проверки конструктора для безопасности.

Внимание

Среды песочницы представляют собой область атаки, которую можно использовать. Чтобы снизить риск, рассмотрите следующие рекомендации по обеспечению безопасности.

  • Реализуйте надежную проверку подлинности в клиенте Идентификатора Microsoft Entra, связанном с подписками Azure, используемыми для подготовки сред песочницы. Следуйте рекомендациям в SE:05 — рекомендации по управлению удостоверениями и доступом.

    • Используйте многофакторную проверку подлинности (MFA) для всех пользователей.
    • Используйте политики условного доступа для ограничения доступа к изолированным средам.
    • Используйте встроенную проверку подлинности Microsoft Entra для авторизации доступа к службам платформы Azure как услуга (PaaS), таким как База данных SQL и служба хранилища Azure.

  • Начните с подхода с минимальными привилегиями для авторизации использования песочницы.

    • Ограничение Owner назначений ролей RBAC Azure владельцам подписок песочницы.
    • Ограничение Contributor назначений ролей Azure RBAC пользователям песочницы.
    • Используйте Microsoft Entra управление привилегированными пользователями (PIM) для управления привилегированными назначениями ролей Azure RBAC в пределах подписки песочницы, например Owner, Contributorи User Access Administrator.

  • Обеспечение соответствия классификации данных. Например, избегайте размещения персональных данных (PII) или других конфиденциальных данных в песочнице. Если необходимо использовать конфиденциальные данные, используйте синтетические данные или деидентифицированные данные.

Кроме того, при разработке и внедрении сред песочницы следует учитывать принципы инициативы secure Futures. Реализация AzureSandbox на GitHub демонстрирует многие из этих принципов.

Защита на стадии проектирования

  • Ограничение использования общих секретов и использование Azure Key Vault для защиты их при необходимости. При использовании общих секретов используйте управляемые удостоверения во время выполнения для получения из Key Vault. Если секреты должны быть сохранены, убедитесь, что они зашифрованы и не хранятся в виде обычного текста. Никогда не повторяйте секреты в консоли или в файлы журналов и никогда не проверяйте секреты в системе управления версиями.

  • Задайте дату окончания срока действия секретов Key Vault.

  • При выборе гостевой операционной системы (ОС) для виртуальных машин используйте только операционные системы, которые в настоящее время поддерживаются и имеют право получать обновления системы безопасности.

Обеспечение безопасности по умолчанию

  • Используйте шифрование, как рекомендуется в SE:07 . Рекомендации по шифрованию данных.
    • Убедитесь, что криптографические протоколы и алгоритмы, такие как TLS 1.2 или более поздней версии, и SHA-256 или более поздних версий, актуальны.
    • Рекомендуется использовать шифрование узлов или Шифрование дисков Azure для шифрования передаваемых данных. Для управляемых дисков, подключенных к виртуальным машинам, данные шифруются по умолчанию.
  • Избегайте использования общедоступных IP-адресов. Используйте Бастион Azure для безопасного удаленного доступа к виртуальным машинам.
  • Используйте частные конечные точки для взаимодействия со службами Azure.
  • Отключите доступ к общедоступной сети службам Azure, таким как хранилище и База данных SQL.

Защита операций

  • Включите Microsoft Defender для облака CSPM в подписках песочницы.

  • Включите диспетчер обновлений Azure на всех виртуальных машинах, которые используются в изолированных средах. Задайте регулярное расписание исправлений.

  • Отслеживайте действия и журналы диагностики с помощью Azure Monitor и Microsoft Sentinel.

  • Отмена эксплуатации отдельных ресурсов песочницы и целых песочниц, которые больше не используются.

Соавторы

Эта статья поддерживается корпорацией Майкрософт. Первоначально он был написан следующим участником.

Автор субъекта:

Чтобы просмотреть недоступные профили LinkedIn, войдите в LinkedIn.

Следующие шаги