Espacio aislado de Azure
El espacio aislado de Azure es una colección de configuraciones de informática en la nube interdependientes para implementar servicios comunes de Azure en una sola suscripción. Esta colección proporciona un entorno de espacio aislado flexible y rentable para experimentar con los servicios y las funcionalidades de Azure.
En función de la región y el tipo de oferta de Azure, un entorno de espacio aislado de Azure totalmente aprovisionado puede ser costoso de ejecutar. Puede reducir los costos deteniendo o desasignando máquinas virtuales cuando no estén en uso u omitiendo configuraciones opcionales que no tenga previsto usar.
Arquitectura
Diagrama que muestra el entorno de espacio aislado de Azure.
Descargue un archivo Visio de esta arquitectura.
Componentes
Puede implementar cada una de las siguientes configuraciones de espacio aislado o solo las que necesite:
- Red virtual de servicios compartidos, Azure Bastion, Azure Firewall y controlador de dominio de Active Directory
- Red virtual de aplicaciones, Jump Box de Windows Server, Jump Box de Linux y recurso compartido de Azure Files
- SQL Server en Azure Virtual Machines (VM)
- Azure SQL Database
- Servidor flexible para Azure Database for MySQL
- Azure Virtual WAN y VPN de punto a sitio
Implementación del espacio aislado
El entorno de espacio aislado de Azure tiene los siguientes requisitos previos:
- Un inquilino de Microsoft Entra ID
- Una suscripción de Azure
- Las asignaciones de roles del control de acceso basado en rol (RBAC) de Azure adecuadas
- Una entidad de servicio
- Un entorno de cliente configurado
Para obtener más información sobre cómo prepararse para una implementación de espacio aislado, consulte Requisitos previos.
Para integrar AzureSandbox con una zona de aterrizaje de Azure, considere la siguientes estrategias:
- Coloque la suscripción de espacio aislado en el grupo de administración de los espacios aislados.
- Mantener el espacio aislado aislado de la red privada.
- Auditar la actividad de suscripción del espacio aislado.
- Limitar el acceso al espacio aislado y quitar el acceso cuando ya no sea necesario.
- Dé de baja los espacios aislados después de un período de vencimiento para controlar los costes.
- Crear un presupuesto en suscripciones de espacio aislado para controlar los costes.
Para obtener más información, consulte Entornos de espacio aislado de zona de aterrizaje.
Para implementar el espacio aislado de Azure, vaya al repositorio de GitHub AzureSandbox y comience por la Introducción. Para obtener más información sobre cómo implementar el entorno de espacio aislado, consulte Implementación predeterminada del espacio aislado y Problemas conocidos.
Casos de uso
Un espacio aislado es ideal para acelerar los proyectos de Azure. Después de implementar el entorno de espacio aislado, puede agregar servicios y funcionalidades. Puede usar el espacio aislado para actividades como:
- Autoaprendizaje
- Hackatones
- Prueba
- Desarrollo
- Ejercicios de tablero
- Simulaciones de equipo rojo/equipo azul
- Simulacros de respuesta a incidentes
Importante
El espacio aislado de Azure no está pensado para su uso en producción. La implementación usa algunos procedimientos recomendados, pero otros no se usan intencionadamente en favor de la simplicidad y el costo.
Funcionalidades
Los requisitos previos fundacionales pueden bloquear la experimentación con determinados servicios o capacidades de Azure. Un entorno de espacio aislado puede acelerar el proyecto aprovisionando muchos de los componentes habituales principales de la infraestructura. Puede centrarse en los servicios o las funcionalidades con las que necesita trabajar.
Por ejemplo, puede usar las siguientes funcionalidades y configuraciones que proporciona el entorno de espacio aislado de Azure.
Conectarse a una máquina virtual de Jump Box con Windows desde Internet.
- Opción 1: Acceso desde Internet mediante un explorador web y Azure Bastion
- Opción 2: Conectividad VPN de punto a sitio a través de Virtual WAN
Use un dominio local preconfigurado de servicios de Dominio de Active Directory como administrador de dominio.
- Servidor DNS integrado preconfigurado
- Integración preconfigurada con zonas de DNS privado de Azure
- Integración preconfigurada con puntos de conexión privados de vínculo privado de Azure
Usar un recurso compartido de archivos de Azure Files configurado previamente.
Usar una máquina virtual de jumpbox de Windows como estación de trabajo para desarrolladores.
- Dominio unido a un dominio local
- Administrar Active Directory y DNS con herramientas de administración de servidor remoto de Windows Server preinstaladas (RSAT)
- Visual Studio Code preinstalado con Remote-SSH en un jumpbox de Linux
- Explorador de Azure Storage, AzCopy y Azure Data Studio preinstalados
- SQL Server Management Studio preinstalado
- MySQL Workbench preinstalado
Use una máquina virtual de jump box de Linux como agente de DevOps.
- Dominio unido a un dominio local mediante Winbind
- CLI de Azure, PowerShell y Terraform preinstalados
- Montaje de CIFS dinámico en un recurso compartido de archivos preconfigurado de Azure Files
Usar una máquina virtual de SQL Server configurada previamente.
- Dominio unido a un dominio local
Usar una base de datos de SQL configurada previamente o Azure Database for MySQL con la opción de servidor flexible mediante puntos de conexión privados.
Seguridad
La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para obtener más información, consulte Lista de comprobación de revisión de diseño para seguridad.
Importante
Los entornos aislados representan una superficie de ataque que puede ser explotada. Para reducir el riesgo, tenga en cuenta las siguientes buenas prácticas de seguridad.
Implemente una autenticación fuerte en el inquilino de Microsoft Entra ID asociado con las suscripciones de Azure que se usan para aprovisionar entornos de espacio aislado. Siga las recomendaciones de SE:05 - Recomendaciones para la administración de identidades y acceso.
- Use la autenticación multifactor (MFA) para todos los usuarios.
- Use directivas de acceso condicional para restringir el acceso a entornos de espacio aislado.
- Use la autenticación integrada de Microsoft Entra para autorizar el acceso a servicios de plataforma como servicio (PaaS) de Azure, como puedan ser SQL Database y Azure Storage.
Comience con un enfoque con privilegios mínimos para autorizar el uso del espacio aislado.
- Limite las
Owner
asignaciones de roles de RBAC de Azure a los propietarios de suscripciones de espacio aislado. - Limite las
Contributor
asignaciones de roles de RBAC de Azure a los usuarios de suscripciones de espacio aislado. - Use Microsoft Entra Privileged Identity Management (PIM) para administrar las asignaciones de roles de RBAC de Azure con privilegios en el ámbito de las suscripciones de espacio aislado, como
Owner
,Contributor
yUser Access Administrator
.
- Limite las
Mantenga el cumplimiento de la clasificación de datos. Por ejemplo, evite alojar información de identificación personal (PII) u otros datos confidenciales en un entorno de espacio aislado. Si debe usar datos confidenciales, use datos sintéticos o datos desidentificados.
Además, tenga en cuenta los principios de la iniciativa Secure Futures al diseñar e implementar entornos de espacio aislado. La implementación de AzureSandbox en GitHub muestra muchos de estos principios.
Protección por diseño
Limite el uso de secretos compartidos y use Azure Key Vault para protegerlos cuando sea necesario. Cuando tenga que usar secretos compartidos, utilice identidades administradas en tiempo de ejecución para recuperarlas de Key Vault. Si los secretos deben conservarse, asegúrese de que estén cifrados y no almacenados en texto plano. Nunca vuelva a reproducir secretos en la consola o en los archivos de registro y nunca compruebe los secretos en el control de código fuente.
Establezca una fecha de expiración para los secretos de Key Vault.
Cuando seleccione un sistema operativo invitado (SO) para las máquinas virtuales, use únicamente los SO que sean compatibles actualmente y que puedan recibir actualizaciones de seguridad.
Seguro de forma predeterminada
- Use el cifrado como se recomienda en SE:07: Recomendaciones para el cifrado de datos.
- Asegúrese de que los protocolos y algoritmos criptográficos, como TLS 1.2 o superior y SHA-256 o superior, estén actualizados.
- Considere la posibilidad de usar el cifrado de host o Azure Disk Encryption para el cifrado de datos en tránsito. En el caso de los discos administrados conectados a máquinas virtuales, los datos se cifran en reposo de forma predeterminada.
- Evite el uso de direcciones IP públicas. Use Azure Bastion para el acceso a distancia seguro a las máquinas virtuales.
- Use puntos de conexión privados para comunicarse con los servicios de Azure.
- Deshabilite el acceso de red pública a los servicios de Azure como Storage y SQL Database.
- Deshabilite el acceso saliente predeterminado y use el filtrado basado en inteligencia sobre amenazas de Azure Firewall.
Operaciones seguras
Habilite Microsoft Defender for Cloud CSPM en las suscripciones de espacio aislado.
Habilite el Administrador de actualizaciones de Azure en todas las máquinas virtuales que se usan en entornos de espacio aislado. Establezca una programación de aplicación de revisiones normal.
- Para las máquinas virtuales de SQL Server, habilite las actualizaciones de origen en Windows Update para asegurarse de que SQL Server está actualizado.
Supervise los registros de actividad y diagnóstico con Azure Monitor y Microsoft Sentinel.
Retire del servicio los recursos individuales de los espacio aislados y los espacio aislados completos que ya no se usen.
Colaboradores
Microsoft mantiene este artículo. Originalmente lo escribió el siguiente colaborador.
Autor principal:
Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.
Pasos siguientes
- Desarrollo y pruebas en Azure
- Microsoft Cloud Adoption Framework
- Introducción a la guía de configuración de Azure
- Marco de buena arquitectura de Microsoft Azure