Share via

Giriş bölgesi korumalı alan ortamları

  • Makale

Korumalı alan; üretim, geliştirme veya kullanıcı kabul testi (UAT) ortamları gibi diğer ortamları etkilemeden test edip denemeler yapabileceğiniz yalıtılmış bir ortamdır. Denetimli bir ortamda Azure kaynaklarıyla kavram kanıtı (POC) gerçekleştirin. Her korumalı alanın kendi Azure aboneliği vardır ve Azure ilkeleri aboneliği denetler. İlkeler korumalı alan yönetim grubu düzeyinde uygulanır ve yönetim grubu ilkeleri yukarıdaki hiyerarşiden devralır. Amacına bağlı olarak, bir kişi veya ekip korumalı alan kullanabilir.

İpucu

Varsayılan Azure giriş bölgeleri ilke atamaları hakkında bilgi için bkz. Azure giriş bölgelerine dahil edilen ilkeler başvuru uygulamaları.

Korumalı alan ortamları, uygulamalı Azure öğrenmesi için en iyi yerdir. Bazı yaygın kullanım örnekleri şunlardır:

  • Geliştiricinin uygulama tasarım desenlerini hızlı bir şekilde test etmek için denetimli bir Azure ortamına ihtiyacı vardır.
  • Bulut mimarı, azure kaynaklarını değerlendirmek veya kuruluş için resmi olarak onaylamadan önce bir Azure hizmeti veya kaynağı için POC'ler yürütmek için bir korumalı alan ortamına ihtiyaç duyar.
  • Azure kaynağında bir ayar değiştirildiğinde ne olacağını daha iyi anlamak için bulut mühendisinin korumalı alan ortamına ihtiyacı vardır.
  • Platform mühendisi yeni bir Azure ilkesi oluşturup test etmek ve Kanarya kılavuzuna göre nasıl davrandığını görmek istiyor.
  • Geliştirici, uygulama oluştururken Azure hizmetleri veya kaynaklarıyla denemeler yapmak istiyor.

Korumalı alan mimarisi

Aşağıdaki görüntüde yönetim grubu ve abonelik düzeni gösterilmektedir.

Tek kullanımlık örnek korumalı alan mimarisini gösteren akış çizelgesi.

Korumalı alan aboneliğini korumalı alan yönetim grubuna yerleştirin. Yönetim grupları ve abonelik organizasyonu hakkında daha fazla bilgi için bkz . Giriş bölgesi tasarım alanları ve kavramsal mimari. Korumalı alanlar için oluşturulan Azure ilkeleri, korumalı alanın yönetim grubu düzeyinde yerleştirilir. Korumalı alan ortamları daha sonra Azure ilkelerini üst kısmındaki yönetim grubu hiyerarşisinden devralır.

Korumalı alan aboneliği, her program veya proje için maliyetlerin yönetilmesine yardımcı olur. Bütçeler azaldığında veya korumalı alanın süresi dolduğunda maliyetleri kolayca izleyebilir ve korumalı alanları iptal edebilirsiniz.

İhtiyaçlarınıza uygun korumalı alan aboneliği ağını oluşturun. Korumalı alanı yalıtılmış tutmak için korumalı alan aboneliklerinde oluşturulan ağların korumalı alan dışındaki diğer ağlarla eşlenmediğinden emin olun. Her korumalı alanın kendi yalıtılmış ortamı olduğundan emin olmak için reddetme sanal ağ eşlemesi abonelikler arası ilkesini kullanabilirsiniz.

ExpressRoute ağ geçitlerinin, VPN ağ geçitlerinin ve Sanal WAN hub'larının oluşturulmasını reddetmek için ExpressRoute/VPN/Sanal WAN oluşturma ilkesini kullanın. Bu kaynakları reddederseniz, korumalı alan abonelik ağlarının yalıtılmış kalmasını sağlar.

Denetim günlüğü

Güvenlik için korumalı alan ortamında denetim günlüğünü etkinleştirmek önemlidir. Tüm korumalı alan abonelikleri için en azından yönetim ve güvenlik günlüğü kategorilerini (denetim) içeren bir tanılama ayarını etkinleştirin. Kolayca gözden geçirebilmeniz için denetim günlüklerini Azure giriş bölgesi varsayılan Log Analytics çalışma alanı gibi merkezi bir hedefte depolayın. Ya da bunları Microsoft Sentinel gibi bir güvenlik bilgileri ve olay yönetimi (SIEM) platformuyla tümleştirebilirsiniz. Daha fazla bilgi için bkz . Envanter ve görünürlük önerileri.

Kurumsal ölçekli giriş bölgesi başvuru uygulamasına dahil edilen Azure ilkeleri, tüm abonelikler için denetim günlüğünü etkinleştiren bir Azure ilke tanımına ("Azure etkinlik günlüklerini belirtilen Log Analytics çalışma alanına akışla aktaracak şekilde yapılandırma") sahiptir. Korumalı alan yönetimi grubu, korumalı alan aboneliği tanılama günlüğünü etkinleştirmek için bu ilkeyi devralmalıdır.

Korumalı alan erişimi

Korumalı alan kullanıcısının korumalı alan aboneliğine sahip erişimi vardır. Korumalı alan iptal edildiğinde, tüm korumalı alan kullanıcıları için sahip rol tabanlı erişim denetimini (RBAC) kaldırın.

Diğer önemli noktalar

Güvenilir ve verimli bir korumalı alan ortamı performansı sağlamak için aşağıdaki faktörleri göz önünde bulundurun.

Korumalı alan süre sonu

Gerektiğinde korumalı alanı iptal edebilir veya silebilirsiniz. Maliyetlerden tasarruf etmek ve güvenliğin güvenilir kalmasını sağlamak için korumalı alanları kaldırmaya yönelik bir strateji planlayın. Korumalı alanın ne zaman kaldırılacağını belirlemek için maliyet ve korumalı alan süre sonu tarihini göz önünde bulundurun. Korumalı alanın süresi dolduktan sonra kullanımdan kaldırılan yönetim grubuna taşıyın.

Maliyet

Bulut tabanlı korumalı alan ortamları için önemli bir konu, maliyet izlemedir. İzlemeyi kolaylaştırmak için Microsoft Maliyet Yönetimi'nde bir bütçe oluşturabilirsiniz. Bütçeler özelliği, gerçek harcama veya tahmini harcama yapılandırılan eşiği aştığında size uyarılar gönderir.

Korumalı alan dağıttığınızda bir Microsoft Maliyet Yönetimi bütçesi oluşturabilir ve bunu aboneliğe atayabilirsiniz. Bütçe özelliği, harcama eşikleri belirttiğiniz yüzdeyi aştığında korumalı alan kullanıcılarını uyarır. Örneğin, bütçenin %100 harcama eşiğini aştığı zaman için bir uyarı ayarlayabilirsiniz. Bu durumda, aboneliği iptal etmek veya silmek isteyebilirsiniz. Yalnızca uyarı bir uyarı mekanizmasıdır.

Tüm korumalı alanlara bütçe atayabilirsiniz. Korumalı alan yönetim grubu düzeyindeki Deploy-Budget Azure ilkesini kullanarak varsayılan bütçeyi uygulayın. Varsayılan bütçeyi, kuruluşun korumalı alan için onaylayacakları maksimum maliyete ayarlayın. Varsayılan bütçe, daha belirli bir bütçe atanmamış herhangi bir korumalı alan için maliyet uyarıları gönderir.

Son kullanma tarihi

Çoğu kuruluş belirli bir süre sonra korumalı alanları silmek ve süresinin dolmasını ister. Maliyet denetimi ve güvenlik avantajları sağlamak için korumalı alanları sona erdirin. Korumalı alan ortamları test ve öğrenme amacıyla oluşturulur. Korumalı alan kullanıcısı testini gerçekleştirdikten veya istenen bilgileri edindikten sonra artık gerekli olmadığından korumalı alanın süresinin dolmasına neden olabilirsiniz. Her korumalı alana bir son kullanma tarihi verin. Bu tarihe ulaşıldığında korumalı alan aboneliğini iptal edin veya silin.

Korumalı alan oluşturduğunuzda, aboneliğe son kullanma tarihi olan bir Azure etiketi yerleştirebilirsiniz. Aboneliği son kullanma tarihine ulaştığında iptal etmek veya silmek için otomasyonu kullanın.

Azure kaynaklarını kısıtlama

Korumalı alan kullanıcılarına en güçlü öğrenme ortamını sağlamak için tüm Azure hizmetlerini korumalı alan ortamında kullanılabilir hale getirin. Kısıtlanmamış korumalı alanlar idealdir, ancak bazı kuruluşların korumalı alanlara dağıtılacak Azure hizmetlerini kısıtlama gereksinimleri vardır. Bu kısıtlamaları Azure İlkesi aracılığıyla kontrol edin. Belirli Azure hizmetlerinin dağıtımını reddetmek için Azure hizmet engelleme listesi ilkesini kullanın.

Bilgi koruması

Çoğu kuruluş, hassas verileri korumalı alan ortamından uzak tutmanın önemli olduğunu kabul eder. Bilgi koruması için ilk savunma hattı kullanıcı eğitimidir. Bir kullanıcıyı korumalı alana atamadan önce, korumalı alana hassas veriler eklenmeyeceğini açıkça belirten sorumluluk reddi ve bilgi sağlayın.

Korumalı alan ortamları için bilgi koruması sağlamak için Microsoft Purview'u kullanın. Purview, bir kullanıcı kuruluşun korumalı alan ortamlarına duyarlı olarak etiketlediği verileri eklerse uyarı gönderebilir.

Sonraki adımlar

Azure korumalı alan kılavuzu

Giriş bölgesi yönetimini geliştirme