Espacio aislado de Azure

Azure Bastion

Azure Database for MySQL

Azure SQL Database

SQL Server en Azure Virtual Machines

Azure Virtual Machines

El espacio aislado de Azure es una colección de configuraciones de informática en la nube interdependientes para implementar servicios comunes de Azure en una sola suscripción. Esta colección proporciona un entorno de espacio aislado flexible y rentable para experimentar con los servicios y las funcionalidades de Azure.

En función de la región y el tipo de oferta de Azure, un entorno de espacio aislado de Azure totalmente aprovisionado puede ser costoso de ejecutar. Puede reducir los costos deteniendo o desasignando máquinas virtuales cuando no estén en uso u omitiendo configuraciones opcionales que no tenga previsto usar.

Arquitectura

Diagrama que muestra el entorno de espacio aislado de Azure.

Descargue un archivo Visio de esta arquitectura.

Componentes

Puede implementar cada una de las siguientes configuraciones de espacio aislado o solo las que necesite:

• Red virtual de servicios compartidos, Azure Bastion, Azure Firewall y controlador de dominio de Active Directory
• Red virtual de aplicaciones, Jump Box de Windows Server, Jump Box de Linux y recurso compartido de Azure Files
• SQL Server en Azure Virtual Machines (VM)
• Azure SQL Database
• Servidor flexible para Azure Database for MySQL
• Azure Virtual WAN y VPN de punto a sitio

Implementación del espacio aislado

El entorno de espacio aislado de Azure tiene los siguientes requisitos previos:

• Un inquilino de Microsoft Entra ID
• Una suscripción de Azure
• Las asignaciones de roles del control de acceso basado en rol (RBAC) de Azure adecuadas
• Una entidad de servicio
• Un entorno de cliente configurado

Para obtener más información sobre cómo prepararse para una implementación de espacio aislado, consulte Requisitos previos.

Para integrar AzureSandbox con una zona de aterrizaje de Azure, considere la siguientes estrategias:

• Coloque la suscripción de espacio aislado en el grupo de administración de los espacios aislados.
• Mantener el espacio aislado aislado de la red privada.
• Auditar la actividad de suscripción del espacio aislado.
• Limitar el acceso al espacio aislado y quitar el acceso cuando ya no sea necesario.
• Dé de baja los espacios aislados después de un período de vencimiento para controlar los costes.
• Crear un presupuesto en suscripciones de espacio aislado para controlar los costes.

Para obtener más información, consulte Entornos de espacio aislado de zona de aterrizaje.

Para implementar el espacio aislado de Azure, vaya al repositorio de GitHub AzureSandbox y comience por la Introducción. Para obtener más información sobre cómo implementar el entorno de espacio aislado, consulte Implementación predeterminada del espacio aislado y Problemas conocidos.

Casos de uso

Un espacio aislado es ideal para acelerar los proyectos de Azure. Después de implementar el entorno de espacio aislado, puede agregar servicios y funcionalidades. Puede usar el espacio aislado para actividades como:

• Autoaprendizaje
• Hackatones
• Prueba
• Desarrollo
• Ejercicios de tablero
• Simulaciones de equipo rojo/equipo azul
• Simulacros de respuesta a incidentes

Importante

El espacio aislado de Azure no está pensado para su uso en producción. La implementación usa algunos procedimientos recomendados, pero otros no se usan intencionadamente en favor de la simplicidad y el costo.

Funcionalidades

Los requisitos previos fundacionales pueden bloquear la experimentación con determinados servicios o capacidades de Azure. Un entorno de espacio aislado puede acelerar el proyecto aprovisionando muchos de los componentes habituales principales de la infraestructura. Puede centrarse en los servicios o las funcionalidades con las que necesita trabajar.

Por ejemplo, puede usar las siguientes funcionalidades y configuraciones que proporciona el entorno de espacio aislado de Azure.

• Conectarse a una máquina virtual de Jump Box con Windows desde Internet.

  • Opción 1: Acceso desde Internet mediante un explorador web y Azure Bastion
  • Opción 2: Conectividad VPN de punto a sitio a través de Virtual WAN

• Use un dominio local preconfigurado de servicios de Dominio de Active Directory como administrador de dominio.

  • Servidor DNS integrado preconfigurado
  • Integración preconfigurada con zonas de DNS privado de Azure
  • Integración preconfigurada con puntos de conexión privados de vínculo privado de Azure

• Usar un recurso compartido de archivos de Azure Files configurado previamente.

• Usar una máquina virtual de jumpbox de Windows como estación de trabajo para desarrolladores.

  • Dominio unido a un dominio local
  • Administrar Active Directory y DNS con herramientas de administración de servidor remoto de Windows Server preinstaladas (RSAT)
  • Visual Studio Code preinstalado con Remote-SSH en un jumpbox de Linux
  • Explorador de Azure Storage, AzCopy y Azure Data Studio preinstalados
  • SQL Server Management Studio preinstalado
  • MySQL Workbench preinstalado

• Use una máquina virtual de jump box de Linux como agente de DevOps.

  • Dominio unido a un dominio local mediante Winbind
  • CLI de Azure, PowerShell y Terraform preinstalados
  • Montaje de CIFS dinámico en un recurso compartido de archivos preconfigurado de Azure Files

• Usar una máquina virtual de SQL Server configurada previamente.

  • Dominio unido a un dominio local

• Usar una base de datos de SQL configurada previamente o Azure Database for MySQL con la opción de servidor flexible mediante puntos de conexión privados.

Seguridad

La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para obtener más información, consulte Lista de comprobación de revisión de diseño para seguridad.

Importante

Los entornos aislados representan una superficie de ataque que puede ser explotada. Para reducir el riesgo, tenga en cuenta las siguientes buenas prácticas de seguridad.

• Implemente una autenticación fuerte en el inquilino de Microsoft Entra ID asociado con las suscripciones de Azure que se usan para aprovisionar entornos de espacio aislado. Siga las recomendaciones de SE:05 - Recomendaciones para la administración de identidades y acceso.

  • Use la autenticación multifactor (MFA) para todos los usuarios.
  • Use directivas de acceso condicional para restringir el acceso a entornos de espacio aislado.
  • Use la autenticación integrada de Microsoft Entra para autorizar el acceso a servicios de plataforma como servicio (PaaS) de Azure, como puedan ser SQL Database y Azure Storage.

• Comience con un enfoque con privilegios mínimos para autorizar el uso del espacio aislado.

  • Limite las Owner asignaciones de roles de RBAC de Azure a los propietarios de suscripciones de espacio aislado.
  • Limite las Contributor asignaciones de roles de RBAC de Azure a los usuarios de suscripciones de espacio aislado.
  • Use Microsoft Entra Privileged Identity Management (PIM) para administrar las asignaciones de roles de RBAC de Azure con privilegios en el ámbito de las suscripciones de espacio aislado, como Owner, Contributor y User Access Administrator.

• Mantenga el cumplimiento de la clasificación de datos. Por ejemplo, evite alojar información de identificación personal (PII) u otros datos confidenciales en un entorno de espacio aislado. Si debe usar datos confidenciales, use datos sintéticos o datos desidentificados.

Además, tenga en cuenta los principios de la iniciativa Secure Futures al diseñar e implementar entornos de espacio aislado. La implementación de AzureSandbox en GitHub muestra muchos de estos principios.

Protección por diseño

• Limite el uso de secretos compartidos y use Azure Key Vault para protegerlos cuando sea necesario. Cuando tenga que usar secretos compartidos, utilice identidades administradas en tiempo de ejecución para recuperarlas de Key Vault. Si los secretos deben conservarse, asegúrese de que estén cifrados y no almacenados en texto plano. Nunca vuelva a reproducir secretos en la consola o en los archivos de registro y nunca compruebe los secretos en el control de código fuente.

• Establezca una fecha de expiración para los secretos de Key Vault.

• Cuando seleccione un sistema operativo invitado (SO) para las máquinas virtuales, use únicamente los SO que sean compatibles actualmente y que puedan recibir actualizaciones de seguridad.

Seguro de forma predeterminada

• Use el cifrado como se recomienda en SE:07: Recomendaciones para el cifrado de datos.
  • Asegúrese de que los protocolos y algoritmos criptográficos, como TLS 1.2 o superior y SHA-256 o superior, estén actualizados.
  • Considere la posibilidad de usar el cifrado de host o Azure Disk Encryption para el cifrado de datos en tránsito. En el caso de los discos administrados conectados a máquinas virtuales, los datos se cifran en reposo de forma predeterminada.
• Evite el uso de direcciones IP públicas. Use Azure Bastion para el acceso a distancia seguro a las máquinas virtuales.
• Use puntos de conexión privados para comunicarse con los servicios de Azure.
• Deshabilite el acceso de red pública a los servicios de Azure como Storage y SQL Database.
• Deshabilite el acceso saliente predeterminado y use el filtrado basado en inteligencia sobre amenazas de Azure Firewall.

Operaciones seguras

• Habilite Microsoft Defender for Cloud CSPM en las suscripciones de espacio aislado.

• Habilite el Administrador de actualizaciones de Azure en todas las máquinas virtuales que se usan en entornos de espacio aislado. Establezca una programación de aplicación de revisiones normal.

  • Para las máquinas virtuales de SQL Server, habilite las actualizaciones de origen en Windows Update para asegurarse de que SQL Server está actualizado.

• Supervise los registros de actividad y diagnóstico con Azure Monitor y Microsoft Sentinel.

• Retire del servicio los recursos individuales de los espacio aislados y los espacio aislados completos que ya no se usen.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribió el siguiente colaborador.

Autor principal:

• Roger Doherty

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes

• Desarrollo y pruebas en Azure
• Microsoft Cloud Adoption Framework
• Introducción a la guía de configuración de Azure
• Marco de buena arquitectura de Microsoft Azure

Recursos relacionados

• Opciones tecnológicas para soluciones de Azure
• Procedimientos recomendados para aplicaciones en la nube
• Creación de aplicaciones en la nube de Microsoft

El espacio aislado de Azure es una colección de configuraciones de informática en la nube interdependientes para implementar servicios comunes de Azure en una sola suscripción. Esta colección proporciona un entorno de espacio aislado flexible y rentable para experimentar con los servicios y las funcionalidades de Azure.

En función de la región y el tipo de oferta de Azure, un entorno de espacio aislado de Azure totalmente aprovisionado puede ser costoso de ejecutar. Puede reducir los costos deteniendo o desasignando máquinas virtuales cuando no estén en uso u omitiendo configuraciones opcionales que no tenga previsto usar.

Arquitectura

Diagrama que muestra el entorno de espacio aislado de Azure.

Descargue un archivo Visio de esta arquitectura.

Componentes

Puede implementar cada una de las siguientes configuraciones de espacio aislado o solo las que necesite:

• Red virtual de servicios compartidos, Azure Bastion, Azure Firewall y controlador de dominio de Active Directory
• Red virtual de aplicaciones, Jump Box de Windows Server, Jump Box de Linux y recurso compartido de Azure Files
• SQL Server en Azure Virtual Machines (VM)
• Azure SQL Database
• Servidor flexible para Azure Database for MySQL
• Azure Virtual WAN y VPN de punto a sitio

Implementación del espacio aislado

El entorno de espacio aislado de Azure tiene los siguientes requisitos previos:

• Un inquilino de Microsoft Entra ID
• Una suscripción de Azure
• Las asignaciones de roles del control de acceso basado en rol (RBAC) de Azure adecuadas
• Una entidad de servicio
• Un entorno de cliente configurado

Para obtener más información sobre cómo prepararse para una implementación de espacio aislado, consulte Requisitos previos.

Para integrar AzureSandbox con una zona de aterrizaje de Azure, considere la siguientes estrategias:

• Coloque la suscripción de espacio aislado en el grupo de administración de los espacios aislados.
• Mantener el espacio aislado aislado de la red privada.
• Auditar la actividad de suscripción del espacio aislado.
• Limitar el acceso al espacio aislado y quitar el acceso cuando ya no sea necesario.
• Dé de baja los espacios aislados después de un período de vencimiento para controlar los costes.
• Crear un presupuesto en suscripciones de espacio aislado para controlar los costes.

Para obtener más información, consulte Entornos de espacio aislado de zona de aterrizaje.

Para implementar el espacio aislado de Azure, vaya al repositorio de GitHub AzureSandbox y comience por la Introducción. Para obtener más información sobre cómo implementar el entorno de espacio aislado, consulte Implementación predeterminada del espacio aislado y Problemas conocidos.

Casos de uso

Un espacio aislado es ideal para acelerar los proyectos de Azure. Después de implementar el entorno de espacio aislado, puede agregar servicios y funcionalidades. Puede usar el espacio aislado para actividades como:

• Autoaprendizaje
• Hackatones
• Prueba
• Desarrollo
• Ejercicios de tablero
• Simulaciones de equipo rojo/equipo azul
• Simulacros de respuesta a incidentes

Importante

El espacio aislado de Azure no está pensado para su uso en producción. La implementación usa algunos procedimientos recomendados, pero otros no se usan intencionadamente en favor de la simplicidad y el costo.

Funcionalidades

Los requisitos previos fundacionales pueden bloquear la experimentación con determinados servicios o capacidades de Azure. Un entorno de espacio aislado puede acelerar el proyecto aprovisionando muchos de los componentes habituales principales de la infraestructura. Puede centrarse en los servicios o las funcionalidades con las que necesita trabajar.

Por ejemplo, puede usar las siguientes funcionalidades y configuraciones que proporciona el entorno de espacio aislado de Azure.

• Conectarse a una máquina virtual de Jump Box con Windows desde Internet.

  • Opción 1: Acceso desde Internet mediante un explorador web y Azure Bastion
  • Opción 2: Conectividad VPN de punto a sitio a través de Virtual WAN

• Use un dominio local preconfigurado de servicios de Dominio de Active Directory como administrador de dominio.

  • Servidor DNS integrado preconfigurado
  • Integración preconfigurada con zonas de DNS privado de Azure
  • Integración preconfigurada con puntos de conexión privados de vínculo privado de Azure

• Usar un recurso compartido de archivos de Azure Files configurado previamente.

• Usar una máquina virtual de jumpbox de Windows como estación de trabajo para desarrolladores.

  • Dominio unido a un dominio local
  • Administrar Active Directory y DNS con herramientas de administración de servidor remoto de Windows Server preinstaladas (RSAT)
  • Visual Studio Code preinstalado con Remote-SSH en un jumpbox de Linux
  • Explorador de Azure Storage, AzCopy y Azure Data Studio preinstalados
  • SQL Server Management Studio preinstalado
  • MySQL Workbench preinstalado

• Use una máquina virtual de jump box de Linux como agente de DevOps.

  • Dominio unido a un dominio local mediante Winbind
  • CLI de Azure, PowerShell y Terraform preinstalados
  • Montaje de CIFS dinámico en un recurso compartido de archivos preconfigurado de Azure Files

• Usar una máquina virtual de SQL Server configurada previamente.

  • Dominio unido a un dominio local

• Usar una base de datos de SQL configurada previamente o Azure Database for MySQL con la opción de servidor flexible mediante puntos de conexión privados.

Seguridad

La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para obtener más información, consulte Lista de comprobación de revisión de diseño para seguridad.

Importante

Los entornos aislados representan una superficie de ataque que puede ser explotada. Para reducir el riesgo, tenga en cuenta las siguientes buenas prácticas de seguridad.

• Implemente una autenticación fuerte en el inquilino de Microsoft Entra ID asociado con las suscripciones de Azure que se usan para aprovisionar entornos de espacio aislado. Siga las recomendaciones de SE:05 - Recomendaciones para la administración de identidades y acceso.

  • Use la autenticación multifactor (MFA) para todos los usuarios.
  • Use directivas de acceso condicional para restringir el acceso a entornos de espacio aislado.
  • Use la autenticación integrada de Microsoft Entra para autorizar el acceso a servicios de plataforma como servicio (PaaS) de Azure, como puedan ser SQL Database y Azure Storage.

• Comience con un enfoque con privilegios mínimos para autorizar el uso del espacio aislado.

  • Limite las Owner asignaciones de roles de RBAC de Azure a los propietarios de suscripciones de espacio aislado.
  • Limite las Contributor asignaciones de roles de RBAC de Azure a los usuarios de suscripciones de espacio aislado.
  • Use Microsoft Entra Privileged Identity Management (PIM) para administrar las asignaciones de roles de RBAC de Azure con privilegios en el ámbito de las suscripciones de espacio aislado, como Owner, Contributor y User Access Administrator.

• Mantenga el cumplimiento de la clasificación de datos. Por ejemplo, evite alojar información de identificación personal (PII) u otros datos confidenciales en un entorno de espacio aislado. Si debe usar datos confidenciales, use datos sintéticos o datos desidentificados.

Además, tenga en cuenta los principios de la iniciativa Secure Futures al diseñar e implementar entornos de espacio aislado. La implementación de AzureSandbox en GitHub muestra muchos de estos principios.

Protección por diseño

• Limite el uso de secretos compartidos y use Azure Key Vault para protegerlos cuando sea necesario. Cuando tenga que usar secretos compartidos, utilice identidades administradas en tiempo de ejecución para recuperarlas de Key Vault. Si los secretos deben conservarse, asegúrese de que estén cifrados y no almacenados en texto plano. Nunca vuelva a reproducir secretos en la consola o en los archivos de registro y nunca compruebe los secretos en el control de código fuente.

• Establezca una fecha de expiración para los secretos de Key Vault.

• Cuando seleccione un sistema operativo invitado (SO) para las máquinas virtuales, use únicamente los SO que sean compatibles actualmente y que puedan recibir actualizaciones de seguridad.

Seguro de forma predeterminada

• Use el cifrado como se recomienda en SE:07: Recomendaciones para el cifrado de datos.
  • Asegúrese de que los protocolos y algoritmos criptográficos, como TLS 1.2 o superior y SHA-256 o superior, estén actualizados.
  • Considere la posibilidad de usar el cifrado de host o Azure Disk Encryption para el cifrado de datos en tránsito. En el caso de los discos administrados conectados a máquinas virtuales, los datos se cifran en reposo de forma predeterminada.
• Evite el uso de direcciones IP públicas. Use Azure Bastion para el acceso a distancia seguro a las máquinas virtuales.
• Use puntos de conexión privados para comunicarse con los servicios de Azure.
• Deshabilite el acceso de red pública a los servicios de Azure como Storage y SQL Database.
• Deshabilite el acceso saliente predeterminado y use el filtrado basado en inteligencia sobre amenazas de Azure Firewall.

Operaciones seguras

• Habilite Microsoft Defender for Cloud CSPM en las suscripciones de espacio aislado.

• Habilite el Administrador de actualizaciones de Azure en todas las máquinas virtuales que se usan en entornos de espacio aislado. Establezca una programación de aplicación de revisiones normal.

  • Para las máquinas virtuales de SQL Server, habilite las actualizaciones de origen en Windows Update para asegurarse de que SQL Server está actualizado.

• Supervise los registros de actividad y diagnóstico con Azure Monitor y Microsoft Sentinel.

• Retire del servicio los recursos individuales de los espacio aislados y los espacio aislados completos que ya no se usen.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribió el siguiente colaborador.

Autor principal:

• Roger Doherty

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes

• Desarrollo y pruebas en Azure
• Microsoft Cloud Adoption Framework
• Introducción a la guía de configuración de Azure
• Marco de buena arquitectura de Microsoft Azure

Recursos relacionados

• Opciones tecnológicas para soluciones de Azure
• Procedimientos recomendados para aplicaciones en la nube
• Creación de aplicaciones en la nube de Microsoft