Azure bajo control: Claves de una buena gobernanza.
Un taller para conocer los principios fundamentales de gobernanza de Azure basado en el modelo Scaffolding de Microsoft.
1. Introducción a un modelo de gobernanza.
2. Elementos clave a la hora de crear el modelo de gobernanza de Azure.
3. A través de diferentes ejemplos, mostrar casos reales de implantación de un modelo de gobernanza.
2. José María Genzor López
Cloud Team Lead
jmgenzor@plainconcepts.com
AZURE BAJO CONTROL:
CLAVES DE UNA BUENA GOBERNANZA
3. AGENDA COMPLETA
10:00:10:30 Introducción a un modelo de gobernanza y su importancia.
10:30-12:00 Elementos clave para el modelo de gobernanza de Azure.
12:00-12:30 Break
12:30 - 13:45 Ejemplos de implantación de un modelo de gobernanza.
13:45-14:00 Conclusiones. Q&A
6. OUR CLIENTS
Our customers are vast and cover a
variety of business such as the
tourism & hospitality, construction,
energy, media, telecommunications,
banking, communications and
entertainment, creative agencies…
…and many more
7. VR & AR IA IoT Big Data Web & App
Blockchain Cloud Office 365 Devops Design UX/UI
OUR SERVICES
9. Introducción
Cada vez son más las empresas que adoptan la tecnología de nube pública para ganar agilidad y
flexibilidad. Aprovechan los puntos fuertes de la nube para generar ingresos y optimizar el uso de
los recursos de la empresa. Microsoft Azure proporciona un gran número de servicios y
funcionalidades que las empresas ensamblan como bloques de creación con el objetivo de
abordar diversas aplicaciones y cargas de trabajo.
Decidirse a usar Microsoft Azure es solo el primer paso para poder beneficiarse de la ventaja de la
nube. El segundo paso es comprender cómo la empresa puede usar Azure con eficacia e identificar
las funcionalidades básicas que deben existir para responder preguntas como:
10. Introducción
•"Me preocupa la soberanía de datos; ¿cómo puedo garantizar que los datos y sistemas cumplan
nuestros requisitos normativos?“
•"¿Cómo puedo saber lo que cada recurso admite para poder tenerlo en cuenta y realizar la
facturación de forma adecuada?“
•"Quiero asegurarme de que todo lo que se implementa o hace en la nube pública se ponga en
marcha pensando en todo momento en la seguridad como máxima prioridad; ¿cómo puedo
facilitar que así sea?"
11. Necesidad de contar con un modelo de
gobernanza
Al migrar la infraestructura a Azure, hay que abordar el asunto del sistema de gobernanza en la
primera fase para garantizar que la nube se utilice correctamente en la
empresa. Desafortunadamente, debido al tiempo que se tarda en crear un sistema de gobernanza
completo y toda la administración que conlleva, algunos grupos de negocios recurren
directamente a los proveedores sin contar con su equipo de TI. Este enfoque puede dejar a la
empresa expuesta a vulnerabilidades si los recursos no se administran correctamente. Las
características de la nube pública —agilidad, flexibilidad y precios basados en el consumo— son
importantes para los grupos de negocios que necesitan satisfacer rápidamente las necesidades de
los clientes (internos y externos). Sin embargo, el equipo de TI de la empresa debe garantizar que
los datos y sistemas estén protegidos de forma eficaz.
13. Ejemplo línea base de seguridad
Ejemplo
Protección contra DDOS
Riesgo técnico: los ataques por denegación de servicio distribuido (DDoS) pueden
provocar una interrupción del negocio.
Declaración de directiva: implemente mecanismos automatizados de mitigación de
ataques DDoS en todos los puntos de conexión de red accesibles públicamente.
Opción de diseño posible: use Azure DDoS Protection para minimizar las
interrupciones causadas por ataques DDoS.
Revisión de la seguridad
Riesgo técnico: con el tiempo, aparecen nuevas amenazas para la seguridad y nuevos
tipos de ataques, que aumentan el riesgo de exposición o la interrupción de los
recursos en la nube.
Declaración de directiva: el equipo de seguridad debe revisar periódicamente las
tendencias y vulnerabilidades que podrían afectar a las implementaciones en la nube
para proporcionar actualizaciones a las herramientas de la base de referencia de la
seguridad que se usan en la nube.
Opción de diseño posible: establezca una reunión periódica para revisar la seguridad,
que incluya a los miembros pertinentes de los equipos de TI y gobernanza. Revise las
métricas y los datos de seguridad existentes para identificar deficiencias en las
herramientas y la directiva de la base de referencia de la seguridad, y actualice la
directiva para mitigar los nuevos riesgos.
Cada organización tiene distintos entornos y requisitos de seguridad y diferentes
orígenes potenciales de datos de seguridad. Los siguientes son ejemplos de métricas
útiles que debe reunir para ayudar a evaluar la tolerancia al riesgo en la materia de la
base de referencia de seguridad:
•Clasificación de los datos. Número de servicios y datos almacenados en la
nube que no están clasificados según las normas de privacidad, cumplimiento
o impacto empresarial de su organización.
•Número de almacenes de datos confidenciales: número de puntos de
conexión de almacenamiento o bases de datos que contienen información
confidencial y que deben protegerse.
•Número de almacenes de datos sin cifrar: número de almacenes de datos
confidenciales que no están cifrados.
•Superficie expuesta a ataques. Cuántos orígenes de datos, servicios y
aplicaciones en total se hospedarán en la nube. ¿Qué porcentaje de estos
orígenes de datos se clasifican como confidenciales? ¿Qué porcentaje de estas
aplicaciones y servicios es crítico?
•Estándares cubiertos. Número de estándares de seguridad definidos por el
equipo de seguridad.
16. Definición de jerarquía
Componentes
En el contrato Enterprise, puede subdividir el entorno en departamentos,
cuentas y, finalmente, suscripciones y grupos de recursos para que
coincidan con la estructura de la organización.
19. Definición de jerarquía
Suscripciones
A la hora de tomar decisiones sobre departamentos, cuentas o grupos de administración, se
interesa principalmente en cómo dividir el entorno de Azure para adaptarlo a su organización. Sin
embargo, las decisiones relativas a las suscripciones son más importantes, ya que repercuten en la
seguridad, la escalabilidad y la facturación.
Muchas organizaciones usan los siguientes patrones como referencia:
• Aplicación o servicio: las suscripciones representan una aplicación o un servicio (cartera de
aplicaciones).
• Ciclo de vida: las suscripciones representan el ciclo de vida de un servicio, como producción o
desarrollo.
• Departamento: las suscripciones representan los departamentos de la organización.
20. Grupo de recursos
Los grupos de recursos son contenedores de recursos que tienen un ciclo de vida común o
comparten un atributo como "Todos los servidores SQL Server" o "Aplicación A".
Al igual que sucede con las suscripciones, existen patrones comunes al crear grupos de recursos,
que variarán de las cargas de trabajo de "TI tradicional" a las cargas de trabajo de "TI ágil":
• Las cargas de trabajo de "TI tradicional" se suelen agrupar por elementos dentro del mismo ciclo
de vida, como una aplicación. Si se agrupan las aplicaciones, se podrán administrar las
aplicaciones de forma individual.
• Las cargas de trabajo de TI o del método ágil tienden a centrarse en las aplicaciones en la nube
orientadas a los clientes externos. Los grupos de recursos suelen reflejar las capas de
implementación (por ejemplo, el nivel web y el de aplicaciones) y administración.
21. Etiquetas
Las etiquetas de los recursos están estrechamente vinculadas con los estándares de
nomenclatura. A medida que se agregan recursos a las suscripciones, cada vez resulta más
importante clasificarlos de forma lógica para fines de facturación, administración y operativos.
En muchos aspectos, las etiquetas se usan más allá de la facturación y la administración. A menudo
se usan como parte de la automatización.
22. Iniciativas y directivas
El segundo pilar implica el uso de iniciativas y directivas de Azure para administrar el riesgo con
la aplicación de reglas (con efectos) en los recursos y servicios de las suscripciones. Las iniciativas
de Azure son colecciones de directivas diseñadas para lograr un objetivo único. Las iniciativas y
directivas de Azure se asignan posteriormente a un ámbito de recursos para la aplicación de
directivas concretas.
Las iniciativas y directivas de Azure son aún más eficaces cuando se usan con los grupos de
administración mencionados anteriormente. Los grupos de administración permiten la asignación
de una iniciativa o directiva a un conjunto completo de suscripciones.
23. Iniciativas y directivas
Usos comunes
Soberanía de datos y cumplimiento geográfico. Azure tiene una lista creciente de regiones en
todo el mundo. Las empresas a menudo necesitan asegurarse de que los recursos de un ámbito
concreto permanecen en una región geográfica para abordar los requisitos normativos.
Evite exponer los servidores públicamente. Una directiva de Azure puede prohibir la
implementación de determinados tipos de recursos. Un uso común es crear una directiva para
denegar la creación de una dirección IP pública dentro de un ámbito determinado, para evitar la
exposición no deseada de un servidor a Internet.
Metadatos y administración de costos. Las etiquetas de recursos suelen usarse para agregar
datos de facturación importantes a los recursos y grupos de recursos, como CostCenter, Owner y
mucho más. Estas etiquetas ofrecen un valor incalculable para una facturación y administración
precisas de los recursos. Las directivas pueden exigir la aplicación de etiquetas de recursos a todos
los recursos implementados, lo que facilita la administración.
24. Iniciativas y directivas
Usos comunes
Habilitar la supervisión en Azure Security Center. Se trata de una iniciativa predeterminada de la
directiva de Azure y de un ejemplo excelente de lo que son las iniciativas. Permite adoptar directivas
que identifican bases de datos SQL sin cifrar, vulnerabilidades de las máquinas virtuales y
necesidades más comunes relacionadas con la seguridad.
Iniciativa normativa específica. Las empresas suelen agrupar directivas comunes a una disposición
normativa (como HIPAA), a fin de poder realizar un seguimiento eficaz de los controles y de la
conformidad de dichos controles.
SKU y tipos de recursos. La creación de una iniciativa que restringe los tipos de recursos que se
pueden implementar y las SKU que se pueden implementar puede ayudar a controlar los costos y a
asegurarse de que la organización solo implementa los recursos que su equipo puede respaldar con
los procedimientos y el conjunto de aptitudes necesarios.
25. Iniciativas y directivas
Usos comunes
Habilitar la supervisión en Azure Security Center. Se trata de una iniciativa predeterminada de la
directiva de Azure y de un ejemplo excelente de lo que son las iniciativas. Permite adoptar directivas
que identifican bases de datos SQL sin cifrar, vulnerabilidades de las máquinas virtuales y
necesidades más comunes relacionadas con la seguridad.
Iniciativa normativa específica. Las empresas suelen agrupar directivas comunes a una disposición
normativa (como HIPAA), a fin de poder realizar un seguimiento eficaz de los controles y de la
conformidad de dichos controles.
SKU y tipos de recursos. La creación de una iniciativa que restringe los tipos de recursos que se
pueden implementar y las SKU que se pueden implementar puede ayudar a controlar los costos y a
asegurarse de que la organización solo implementa los recursos que su equipo puede respaldar con
los procedimientos y el conjunto de aptitudes necesarios.
26. Identidad y acceso
Una de las primeras preguntas, y la más importante, que se plantea al empezar a trabajar con la
nube pública es "¿Quién debe tener acceso a los recursos?". y cómo puede controlar dicho
acceso. Permitir o denegar el acceso a Azure Portal, así como controlar el acceso a los recursos del
portal, resulta fundamental para el éxito y la seguridad a largo plazo de los recursos de la nube.
27. Identidad y acceso
Elementos más relevantes:
• Planes de Azure AD
• RBAC
• Azure AD Identity Protection
• Conditional Access
• Azure information protection
• Azure AD PIM
• Enterprise applications
28. Seguridad
Uno de los principales impedimentos para adoptar la tecnología de la nube siempre han sido las
preocupaciones por la seguridad. Los departamentos de riesgos de TI y seguridad tienen que
asegurarse de que los recursos de Azure estén protegidos y seguros de forma predeterminada.
Azure proporciona una serie de funcionalidades que puede aprovechar para proteger los
recursos y detectar o prevenir las amenazas a esos recursos.
29. Seguridad
Azure Security Center
Azure Security Center proporciona una vista unificada del estado de seguridad de los recursos de
su entorno, además de protección avanzada contra amenazas. Azure Security Center es una
plataforma abierta que permite a los asociados de Microsoft crear software que se integre para
mejorar sus funcionalidades. Las funcionalidades básicas de Azure Security Center (nivel Gratis)
proporcionan la evaluación y las recomendaciones que mejorarán la situación de seguridad. Sus
niveles de pago ofrecerán funcionalidades adicionales importantes, como controles de
aplicaciones adaptables (inclusión en listas blancas) y acceso de administrador Just-In-Time.
30. Bloqueos
A medida que su organización agrega servicios básicos a la suscripción, cada vez reviste más
importancia evitar la interrupción de la actividad empresarial. Un tipo de interrupción que se
observa con frecuencia son las consecuencias no deseadas de scripts y herramientas que actúan en
contra de una suscripción de Azure eliminando recursos por error. Gracias a los bloqueos de
recursos, se pueden restringir las operaciones en recursos de gran valor donde modificarlas o
eliminarlas tendría un gran impacto. Los bloqueos se aplican a una suscripción, un grupo de
recursos o incluso a recursos individuales. En el caso de uso común es aplicar bloqueos a recursos
fundamentales como redes virtuales, puertas de enlace, grupos de seguridad de red y cuentas de
almacenamiento claves
• CanNotDelete
• ReadOnly
31. Azure Update Management
Una de las tareas claves que puede hacer para mantener un entorno seguro es asegurarse de que
los servidores tienen instaladas las actualizaciones más recientes. Aunque hay muchas
herramientas para lograr esto, Azure ofrece la solución Azure Update Management para abordar la
identificación y el lanzamiento de revisiones críticas del sistema operativo.
32. Supervisión y alertas
Recopilar y analizar datos de telemetría que proporcionan una clara visión de las actividades, las
métricas de rendimiento, el estado y la disponibilidad de los servicios que se usan en todas las
suscripciones de Azure es fundamental para administrar las aplicaciones y la infraestructura de
forma proactiva y, además, es una necesidad fundamental de cada suscripción de Azure. Cada
servicio de Azure genera datos de telemetría en forma de registros de actividad, métricas y registro
de diagnóstico.
• En los registros de actividad se describen todas las operaciones realizadas en los recursos de las
suscripciones.
• Las métricas son información numérica generada en un recurso en las que se describen el
rendimiento y el estado de dicho recurso.
• Los registros de diagnóstico los emite un servicio de Azure y en ellos se proporcionan datos
exhaustivos y frecuentes sobre el funcionamiento de dicho servicio.
34. Supervisión y alertas
Funcionalidades compartidas
Alertas:. Las Alertas de Azure informan de forma proactiva sobre las condiciones definidas en todas
las aplicaciones y en la infraestructura. Cree reglas de alertas en los registros, eventos y métricas que
usan grupos de acciones para notificar a una serie de destinatarios. Los grupos de acciones también
ofrecen la capacidad de automatizar las correcciones con acciones externas, como webhooks, para
ejecutar runbooks de Azure Automation y Azure Functions.
Paneles: los paneles permiten agregar vistas de supervisión y combinar datos entre recursos y
suscripciones para ofrecerle una visión empresarial de los datos de telemetría de los recursos de
Azure. Puede crear y configurar sus propias vistas y compartirlas con otros usuarios.
Explorador de métricas: las métricas son valores numéricos generados por los recursos de Azure
(por ejemplo, % de CPU o E/S de disco), que proporcionan información detallada sobre el
funcionamiento y el rendimiento de los recursos. Mediante el Explorador de métricas puede definir
y enviar las métricas que le interesan a Log Analytics para fines de agregación y análisis.
35. Supervisión y alertas
Funcionalidades básicas
Azure Monitor: Es el servicio de la plataforma principal que proporciona un único origen para la
supervisión de recursos de Azure. La interfaz de Azure Monitor en Azure Portal ofrece un punto de
partida centralizado para todas las caras de supervisión de Azure, incluidas las características
exhaustivas de supervisión de Application Insights, Log Analytics, Supervisión de red, Soluciones de
administración y Service Map.
Azure Advisor: Azure Advisor supervisa constantemente los datos de telemetría de las
suscripciones y los entornos y ofrece recomendaciones sobre los procedimientos recomendados en
relación a cómo optimizar los recursos de Azure para ahorrar dinero y mejorar el rendimiento, la
seguridad y la disponibilidad de los recursos que conforman las aplicaciones.
Service Health: Azure Service Health identifica cualquier problema con los servicios de Azure que
pueden afectar a las aplicaciones y le ayuda a planear ventanas de mantenimiento programado.
Registro de actividad: en él se describen todas las operaciones realizadas en los recursos de su
suscripción.
36. Supervisión y alertas
Supervisión de aplicaciones
Application Insights: permite recopilar telemetría específica de la aplicación y supervisar el
rendimiento, la disponibilidad y el uso de las aplicaciones en la nube o en el entorno local. Esto se
consigue al equipar a la aplicación de los SDK compatibles con varios lenguajes, como .NET,
JavaScript, JAVA, Node.js, Ruby y Python. Los eventos de Application Insights se ingieren en el
mismo almacén de datos de Log Analytics que admite la supervisión de seguridad e infraestructura,
a fin de permitir la agregación de eventos y ponerlos en correlación con el tiempo mediante un
lenguaje de consulta enriquecido.
37. Supervisión y alertas
Supervisión de infraestructura
Log Analytics: desempeña un papel fundamental en la supervisión de Azure al recopilar datos de
telemetría y otros desde diversos orígenes y al proporcionar un motor de análisis y un lenguaje de
consultas que ofrece información sobre el funcionamiento de las aplicaciones y los recursos.
También puede interactuar directamente con los datos de Log Analytics mediante vistas y
búsquedas de registros de alto rendimiento, o puede usar herramientas de análisis en otros
servicios de Azure que almacenen sus datos en Log Analytics como Application Insights o Azure
Security Center.
Supervisión de red: los servicios de supervisión de red de Azure permiten obtener información
detallada sobre el flujo del tráfico de red, el rendimiento, la seguridad, la conectividad y los cuellos
de botella.
Soluciones de administración: estas soluciones son conjuntos empaquetados de lógica,
información detallada y consultas predefinidas de Log Analytics de una aplicación o un
servicio.Usan.
38. Administración de costes
Uno de los cambios más importantes al que se enfrentará al realizar la migración de la nube local a
la nube pública es el cambio del gasto de capital (comprar hardware) al gasto operativo (pagar
por el servicio a medida que lo usa). Este cambio de los gastos de capital por los gastos operativos
también genera la necesidad de administrar los costos con más atención. La ventaja de la nube es
que puede reducir de forma significativa y positiva el costo de un servicio con tan solo desactivarlo
o cambiarlo de tamaño cuando no lo necesite. La administración minuciosa de los costos en la
nube es una práctica recomendada que los clientes consolidados aplican a diario.
39. Administración de costes
Funcionalidades de Azure portal
Se trata de herramientas que ofrecen información instantánea de los costos y la posibilidad de
realizar acciones.
• Costo de recursos de suscripción: en Azure Portal, la vista Análisis de costos de Azure
proporciona una visión rápida de los costos e información sobre el gasto diario por recurso o
grupo de recursos.
• Azure Cost Management: este producto es el resultado de la compra de Cloudyn por parte de
Microsoft, que permite administrar y analizar el gasto en Azure y el gasto en otros proveedores
de nube pública
• Grupos de acciones y Azure Budgets: saber lo que cuesta algo y hacer algo al respecto hasta
hace poco ha sido más que un ejercicio manual. Con la introducción de Azure Budgets y sus API,
ahora se pueden crear cuando los costos alcanzan un límite. Por ejemplo, cierra un grupo de
recursos de "prueba" cuando alcanza el 100 % de su presupuesto u [otro ejemplo].
• Azure Advisor: saber lo que cuesta algo es solo la mitad de la batalla; la otra mitad consiste en
saber qué hacer con esa información. Azure Advisor proporciona recomendaciones sobre las
acciones necesarias para ahorrar dinero, mejorar la confiabilidad o incluso aumentar la seguridad.
40. Administración de costes
Herramientas externas
Azure Consumption Insights para Power BI. ¿Desea crear visualizaciones propias de la organización? En su
caso, el paquete de contenido de Azure Consumption Insights para Power BI es la herramienta más
adecuada. Con este paquete de contenido y Power BI puede crear visualizaciones personalizadas
para representar su organización, realizar análisis más exhaustivos de los costos y agregar otros
orígenes de datos para obtener información más precisa.
API de consumo. Las API de consumo otorgan acceso programático a datos de costo y uso, así
como a información sobre presupuestos, instancias reservadas y cambios en Marketplace. Estas API
son accesibles solo para las inscripciones Enterprise y algunas suscripciones a Web Direct; no
obstante, ofrecen la posibilidad de integrar los datos de costos en almacenamiento de datos y
herramientas propios.
41. Automatización
Una de las muchas funcionalidades que diferencia la madurez de las organizaciones en el uso de
los proveedores de la nube es el nivel de automatización que han incorporado. La automatización
es un proceso interminable y, a medida que la organización realiza la transición a la nube, se
convierte en un área en el que es necesario invertir recursos y tiempo para realizar compilaciones.
La automatización sirve para muchos propósitos, entre otros, el lanzamiento coherente de
recursos (donde está directamente vinculada a otro concepto clave de scaffolding, a saber, las
plantillas y DevOps), para resolver cualquier problema. La automatización es el "tejido conectivo" de
la plantilla scaffold de Azure y vincula cada área.
42. Automatización
Herramientas
• Azure Automation: es una funcionalidad basada en la nube que permite crear runbooks (en
PowerShell o Python) y permite automatizar procesos, configurar recursos e incluso aplicar
revisiones. Azure Automation dispone de un conjunto amplio de funcionalidades multiplataforma
que forman parte integral de la implementación, pero son demasiado extensas como para
tratarlas aquí en profundidad.
• Event Grid: este servicio es un sistema de enrutamiento de eventos totalmente administrado que
permite reaccionar a eventos dentro del entorno de Azure. Como la automatización es el tejido
conectivo de organizaciones maduras en la nube, Event Grid es el tejido conectivo de una buena
automatización. Con Event Grid, puede crear una acción sencilla y sin servidor para enviar un
correo electrónico a un administrador cada vez que se crea un recurso y registrar dicho recurso
en la base de datos. Esa misma acción de Event Grid puede notificar cuándo se elimina un recurso
y eliminar el elemento de la base de datos.
43. Automatización
Herramientas
• Azure Cloud Shell: es un shell interactivo basado en el explorador para administrar recursos en
Azure. Proporciona un entorno completo de PowerShell o Bash que se inicia según sea necesario
y de cuyo mantenimiento se encarga el usuario, para poder disponer de un entorno coherente
desde el que ejecutar los scripts.
44. Plantillas y DevOps
El objeto como organización debe ser aprovisionar recursos mediante scripts y plantillas
controlados por código fuente y minimizar la configuración interactiva de los entornos. Este
enfoque de "infraestructura como código" junto con un proceso disciplinado de DevOps para la
implementación continua puede garantizar la coherencia y reducir el desfase en todos los
entornos. Casi todos los recursos de Azure se pueden implementar con plantillas JSON de Azure
Resource Manager (ARM) junto con PowerShell o las herramientas y la CLI multiplataforma de Azure,
como Terraform de Hashicorp (que ofrece compatibilidad de primera clase y se integra en Azure
Cloud Shell).
45. Red principal
El componente definitivo del modelo de referencia de las plantillas scaffold de Azure es
fundamental para que la organización acceda a Azure de forma segura. El acceso a los recursos
puede ser interno (dentro de la red corporativa) o externo (a través de Internet). Es muy fácil que
los usuarios de una organización puedan colocar accidentalmente los recursos en la zona incorrecta
y, posiblemente, abrirlos para acceder con intenciones malintencionado. Al igual que con los
dispositivos locales, las empresas deben agregar los controles adecuados para asegurarse de que
los usuarios de Azure toman las decisiones correctas. Para el gobierno de suscripciones,
identificamos los recursos principales que proporcionan un control de acceso básico.
46. Red principal
• Las redes virtuales son objetos de contenedor de las subredes. Aunque no es estrictamente
necesario, se suelen utilizar al conectar las aplicaciones a los recursos corporativos internos.
• Las rutas definidas por el usuario permiten manipular la tabla de rutas dentro de una subred, lo
que permite enviar tráfico a través de una aplicación virtual de red o a una puerta de enlace
remota en una red virtual emparejada.
• El emparejamiento de red virtual permite conectar sin problemas dos o más redes virtuales de
Azure y crear redes de servicios compartidas o diseños tipo hub-and-spoke más complejos.
• Puntos de conexión de servicio. En el pasado, los servicios PaaS se basaban en métodos
diferentes para proteger el acceso a esos recursos desde las redes virtuales. Los puntos de
conexión de servicio permiten proteger el acceso a los servicios PaaS habilitados SOLO desde
puntos de conexión conectados, de tal forma que se aumenta la seguridad general.
• Los grupos de seguridad son un amplio conjunto de reglas que proporcionan la capacidad de
permitir o denegar el tráfico entrante y saliente hacia y desde los recursos de Azure. Los grupos
de seguridad constan de reglas de seguridad, que pueden ampliarse con etiquetas de servicio.
47. Arquitectura Azure
Virtual network
Public DMZ outPublic DMZ in
Internet
Web tier Business tier Data tier
NSG NSGNSG
Private DMZ outPrivate DMZ inGateway subnet
UDR
NVA
NVA
NSGNSG N
I
C
N
I
C
N
I
C
N
I
C
Availability
set
NVA
NVA
NSGNSG N
I
C
N
I
C
N
I
C
N
I
C
Availability
set
NSG
Jumpbox
Management
subnet
On-premises network
49. Ejemplo 1
Aplicación de línea de negocio
Contoso está creando un sistema de administración de código fuente (BitBucket) para que puedan utilizarlo
desarrolladores de todo el mundo. La aplicación utiliza la infraestructura como servicio (IaaS) para el
hospedaje y consta de servidores web y un servidor de bases de datos. Los desarrolladores acceden a los
servidores en sus entornos de desarrollo, pero no necesitan entrar en los servidores de Azure. La unidad ETS de
Contoso desea permitir que tanto el equipo como el propietario de la aplicación puedan administrar la
aplicación. Esta solo está disponible mientras lo esté la red corporativa de Contoso. David debe configurar la
suscripción para esta aplicación. La suscripción también hospedará más adelante otro software relacionado
con el desarrollador.
50. Ejemplo 1
Estándares de nomenclatura y grupos de recursos
David crea una suscripción para admitir las herramientas de desarrollo que son comunes a todas
las unidades de negocio. Dave necesita crear nombres descriptivos para la suscripción y los
grupos de recursos (de la aplicación y las redes). Por tanto, genera la siguiente suscripción y
estos grupos de recursos:
51. Ejemplo 1
Control de acceso basado en rol
Después de crear la suscripción, David quiere asegurarse de que los equipos y propietarios de
aplicaciones adecuados pueden acceder a sus recursos. David identifica que cada equipo tiene
requisitos diferentes. Por tanto, utiliza los grupos que se han sincronizado del servicio local
Active Directory (AD) local de Contoso en Azure Active Directory y proporciona el nivel adecuado
de acceso a los equipos.
David asigna los siguientes roles a la suscripción:
52. Ejemplo 1
Control de acceso basado en rol
Rol Asignado a DESCRIPCIÓN
Propietario Identificador administrado del servicio AD
de Contoso
Este identificador se controla con acceso Just-In-
Time (JIT) a través de la herramienta de
administración de identidades de Contoso, y
garantiza que se audite por completo el acceso
del propietario de la suscripción
Lector de seguridad Departamento de administración de riesgos
y seguridad
Este rol permite a los usuarios ver Azure Security
Center y el estado de los recursos
Colaborador de la red Equipo de red Este rol permite al equipo de red de Contoso
administrar la VPN de sitio a sitio y las redes
virtuales
Rol personalizado Propietario de la aplicación David crea un rol que concede la capacidad de
modificar recursos en el grupo de recursos. Para
obtener más información, vea el artículo Roles
personalizados en RBAC de Azure.
53. Ejemplo 1
Directivas
David tiene los siguientes requisitos para administrar recursos de la suscripción:
• Dado que las herramientas de desarrollo pueden usarla desarrolladores de todo el mundo, no
quiere impedir que los usuarios creen recursos en cualquier región. Sin embargo, debe saber
dónde se crean los recursos.
• Además, le preocupan los costos. Por lo tanto, quiere impedir que los propietarios de la
aplicación creen máquinas virtuales innecesariamente costosas.
• Como esta aplicación la utilizan desarrolladores de muchas unidades de negocio, quiere
etiquetar cada recurso con el propietario de la aplicación y la unidad de negocio. Mediante
el uso de estas etiquetas, la unidad ETS puede emitir las facturas a los equipos adecuados.
Además, crea las siguientes directivas de Azure:
54. Ejemplo 1
Directivas
Campo Efecto DESCRIPCIÓN
location audit Audita la creación de los recursos en cualquier región.
Tipo deny Deniega la creación de máquinas virtuales de serie G.
etiquetas deny Exige la etiqueta de propietario de la aplicación.
etiquetas deny Exige la etiqueta de centro de costos.
etiquetas append Anexa el nombre de etiqueta BusinessUnit y el valor de etiqueta ETS a
todos los recursos.
55. Ejemplo 1
Etiquetas de recurso
David es consciente de que debe tener información específica sobre facturación para identificar el
centro de costos para la implementación de BitBucket. Además, quiere conocer todos los recursos
que posee ETS.
Para ello, agrega las siguientes etiquetas a los grupos de recursos y recursos.
56. Ejemplo 1
Etiquetas de recurso
Nombre de etiqueta Valor de etiqueta
ApplicationOwner El nombre de la persona que administra esta
aplicación
CostCenter El centro de costos del grupo que paga el
consumo de Azure
BusinessUnit ETS (la unidad de negocio asociada a la
suscripción)
57. Ejemplo 1
Red principal
El equipo de administración de riesgos y de seguridad de información de la unidad ETS de Contoso
revisa el plan que ha propuesto David para migrar la aplicación a Azure. Desean asegurarse de que
no puede accederse a la aplicación a través de Internet. David también tiene aplicaciones de
desarrollador que, más adelante, se migrarán a Azure. Estas aplicaciones requieren interfaces
públicas. Para cumplir estos requisitos, proporciona redes virtuales externas e internas, y un grupo
de seguridad de red para restringir el acceso.
Además, crea estos recursos:
58. Ejemplo 1
Red principal
Tipo de recurso Nombre Descripción
Virtual Network red virtual
interna
Se utiliza con la aplicación de BitBucket y se conecta a través de
ExpressRoute a la red corporativa de Contoso. Una subred
(bitbucket) proporciona a la aplicación con un espacio de
direcciones IP específico
Virtual Network red virtual
externa
Está disponible para las aplicaciones futuras que requieran puntos
de conexión orientados al público
Grupo de seguridad de
red (NSG)
bitbucket-nsg Garantiza que se reduzca al máximo la superficie de ataque de esta
carga de trabajo permitiendo conexiones solo en el puerto 443 para
la subred donde se encuentra la aplicación (bitbucket)
59. Ejemplo 1
Bloqueo de recursos
David identifica que la conectividad de la red corporativa de Contoso a la red virtual interna debe
protegerse de cualquier script "rebelde" o eliminación accidental.
Para ello, crea los siguientes bloqueos de recursos:
60. Ejemplo 1
Bloqueo de recursos
Tipo de bloqueo Recurso Descripción
CanNotDelete red virtual interna Impide que los usuarios eliminen
la red virtual o las subredes, pero
no que se agreguen nuevas
subredes
61. Ejemplo 1
Azure security center
El equipo de administración de servicios de TI de Contoso debe identificar y controlar rápidamente
las amenazas. También quiere entender los problemas que existan.
Para cumplir estos requisitos, David habilitar Azure Security Center y proporciona acceso al rol de
administrador de seguridad.
62. Ejemplo 2
Aplicación orientada al cliente
Los responsables de la unidad de negocio de la cadena de suministro han identificado diversas
oportunidades para aumentar la interacción con los clientes de Contoso mediante el uso de una tarjeta de
fidelización. El equipo de Alicia debe crear esta aplicación y decide que Azure aumenta su capacidad de
satisfacer las necesidades del negocio. Alicia trabaja con David de la unidad ETS para configurar dos
suscripciones con el objetivo de desarrollar y usar esta aplicación.
63. Ejemplo 2
Suscripciones de Azure
David inicia sesión en Azure Enterprise Portal y se percata de que el departamento de la cadena de
suministro ya existe. Sin embargo, como este proyecto es el primero de desarrollo del equipo de la cadena de
suministro en Azure, David identifica la necesidad de que el equipo de desarrollo de Alicia tenga una nueva
cuenta. Por tanto, crea la cuenta I+D para su equipo y concede acceso a Alicia. Alicia inicia sesión mediante
el portal de Azure y crea dos suscripciones: una para almacenar los servidores de desarrollo y otra donde
se hospedarán los servidores de producción. Además, sigue las normas de nomenclaturas establecidas
previamente al crear las siguientes suscripciones:
64. Ejemplo 2
Suscripciones de Azure
Uso de la suscripción Nombre
Desarrollo Contoso SupplyChain ResearchDevelopment LoyaltyCard
Development
Producción Contoso SupplyChain Operations LoyaltyCard Production
65. Ejemplo 2
Directivas
David y Alicia analizan la aplicación e identifican que solo la utilizan clientes de la región de
Norteamérica. Alicia y su equipo planean utilizar Azure SQL y el entorno de servicios de
aplicaciones de Azure para crear la aplicación. Deben crear máquinas virtuales durante el
desarrollo. Alicia quiere asegurarse de que sus desarrolladores dispongan de los recursos que
necesitan para explorar y examinar problemas sin perjudicar a la unidad ETS.
66. Ejemplo 2
Directivas
Para la suscripción de desarrollo, crean la siguiente directiva:
Campo Efecto Descripción
location audit Audita la creación de los recursos en
cualquier región.
No limitan el tipo de SKU que puede crear un usuario durante el desarrollo y no requieren etiquetas
para ningún recurso o grupo de recursos.
67. Ejemplo 2
Directivas
Para la suscripción de producción, crean las siguientes directivas:
No limitan el tipo de SKU que puede crear un usuario durante la producción.
Campo Efecto DESCRIPCIÓN
location deny Deniega la creación de cualquier
recurso fuera de los centros de
datos de Estados Unidos
etiquetas deny Exige la etiqueta de propietario de
la aplicación.
etiquetas deny Exige la etiqueta de departamento
etiquetas append Anexa una etiqueta a cada grupo de
recursos que indica el entorno de
producción
68. Ejemplo 2
Etiqueta de recursos
David es consciente de que debe tener información específica con el objetivo de identificar los
grupos de negocios adecuados para las tareas de facturación y propiedad. Por ello, define las
etiquetas de recurso para los grupos de recursos y recursos.
Nombre de etiqueta Valor de etiqueta
ApplicationOwner El nombre de la persona que administra esta
aplicación
department El centro de costos del grupo que paga el
consumo de Azure
EnvironmentType Production (aunque el nombre de la suscripción
incluya Production, esta etiqueta permite facilitar
su identificación al buscar recursos en el portal o
en la factura)
69. Ejemplo 2
Redes principales
El equipo de administración de riesgos y de seguridad de información de la unidad ETS de Contoso
revisa el plan que ha propuesto David para migrar la aplicación a Azure. Quiere asegurarse de que
la aplicación de tarjeta de fidelización está aislada y protegida en una red DMZ
correctamente. Para cumplir este requisito, Alicia y David crean una red virtual externa y un
grupo de seguridad de red para aislar la aplicación de tarjeta de fidelización de la red corporativa
de Contoso.
70. Ejemplo 2
Redes principales
Para la suscripción de desarrollo, crean los siguientes recursos:
Tipo de recurso Nombre Descripción
Virtual Network red virtual interna Se utiliza con el entorno de
desarrollo de la tarjeta de
fidelización de Contoso y se
conecta a través de ExpressRoute
a la red corporativa de Contoso
71. Ejemplo 2
Redes principales
Para la suscripción de producción, crean los siguientes recursos:
Tipo de recurso NOMBRE DESCRIPCIÓN
Virtual Network red virtual externa Hospeda la aplicación de tarjeta de
fidelización y no está conectada
directamente a ExpressRoute de
Contoso.
Grupo de seguridad de red (NSG) loyaltycard-nsg Garantiza que se reduzca al máximo
la superficie de ataque permitiendo
solo las conexiones entrantes en el
puerto TCP 443
72. Ejemplo 2
Bloqueo de recursos
David y Alicia se reúnen y deciden agregar bloqueos de recursos en algunos de los recursos
claves del entorno para evitar la eliminación accidental durante una inserción de código
malintencionado.
Para ello, crean el bloqueo siguiente:
Tipo de bloqueo Recurso DESCRIPCIÓN
CanNotDelete red virtual externa Se utiliza para evitar que los
usuarios eliminen la red virtual
o las subredes. El bloqueo no
impide que se agreguen nuevas
subredes
73. Ejemplo 2
Azure automotion
Alicia y su equipo de desarrollo tienen runbooks de gran tamaño para administrar el entorno de
esta aplicación. Los runbooks permiten agregar o eliminar nodos en la aplicación, además de
realizar otras tareas de DevOps.
Para usar estos runbooks, habilitan Automation.
74. Ejemplo 2
Azure security center
El equipo de administración de servicios de TI de Contoso debe identificar y controlar rápidamente
las amenazas. También quiere entender los problemas que existan.
Para cumplir estos requisitos, David habilita Azure Security Center. Se asegura de que Azure
Security Center esté supervisando los recursos y proporciona acceso a los equipos de DevOps
y seguridad.