Enfoques arquitectónicos para la gobernanza y el cumplimiento en soluciones multiinquilino
A medida que su uso de Azure avanza, es importante considerar la gobernanza de sus recursos en la nube. La gobernanza incluye cómo se almacenan y administran los datos de los inquilinos y cómo se organizan los recursos de Azure. También es posible que tenga que seguir los estándares normativos, legales o impuestos por contrato. Este artículo proporciona información sobre cómo considerar la gobernanza y el cumplimiento en una solución multiinquilino. También sugiere algunas de las características clave de la plataforma Azure que apoyan estas preocupaciones.
Consideraciones clave y requisitos
Aislamiento de recursos.
Asegúrese de configurar sus recursos Azure para cumplir con los requisitos de aislamiento de sus inquilinos. Consulte Organización de recursos Azure en soluciones multiinquilino para obtener orientación sobre el aislamiento de sus recursos Azure.
Administración de datos
Cuando almacena datos en nombre de sus inquilinos, puede tener requisitos u obligaciones que debe cumplir. Desde el punto de vista del inquilino, a menudo esperan la propiedad y el control de sus datos. Piense en cómo aísla, almacena, accede y agrega los datos de los inquilinos. Descubra las expectativas y los requisitos de los inquilinos que podrían afectar al funcionamiento de su solución.
Aislamiento
Revise los enfoques de arquitectura para el almacenamiento y los datos en las soluciones multiinquilino para entender cómo aislar los datos de los inquilinos. Considere si los inquilinos tienen requisitos para usar sus propias claves de cifrado de datos.
Independientemente de los enfoques de aislamiento que implemente, debe estar preparado por si los inquilinos solicitan una auditoría de sus datos. Es una práctica recomendable documentar todos los almacenes de datos en los que puedan estar los datos de los inquilinos. Los orígenes de datos más comunes son los siguientes:
- Bases de datos y cuentas de almacenamiento implementadas como parte de la solución.
- Sistemas de identidad, que a menudo se comparten entre los inquilinos.
- Registros.
- Almacenamientos de datos.
Soberanía
Descubra si existe alguna restricción en cuanto a la ubicación física de los datos de sus inquilinos que se van a almacenar o procesar. Los inquilinos pueden exigirle que almacene sus datos en ubicaciones geográficas específicas. También pueden exigir que no se almacenen sus datos en determinadas ubicaciones. Aunque estos requisitos suelen basarse en la legislación, también pueden estar basados en valores y normas culturales.
Para obtener más información sobre la residencia y la soberanía de los datos, consulte el documento técnico Habilitar la residencia de datos y la protección de datos en las regiones de Microsoft Azure.
Acceso de los inquilinos a los datos que almacena
En ocasiones, los inquilinos solicitan acceso directo a los datos que almacena en su nombre. Por ejemplo, pueden querer ingresar sus datos en su propio lago de datos.
Planifique cómo va a responder a estas solicitudes. Considere si alguno de los datos de los arrendatarios se guarda en almacenes de datos compartidos. Si es así, planifique cómo evitará que los inquilinos accedan a los datos de otros inquilinos.
Evite proporcionar acceso directo a las bases de datos o a las cuentas de almacenamiento, a menos que se haya diseñado para este requisito, como por ejemplo, con el patrón clave de acceso limitado. Considere la posibilidad de crear una API o un proceso automatizado de exportación de datos con fines de integración.
Para obtener más información sobre la integración con los sistemas de inquilinos y los sistemas externos, consulte Enfoques arquitectónicos para la integración de inquilinos y el acceso a datos.
Su acceso a los datos de los inquilinos
Considere si los requisitos de los inquilinos restringen el personal que puede trabajar con sus datos o recursos. Por ejemplo, supongamos que crea una solución SaaS que se usa por muchos clientes diferentes. Una agencia gubernamental podría exigir que solo los ciudadanos de su país o región puedan acceder a la infraestructura y los datos de su solución. Puede cumplir este requisito con grupos de recursos, suscripciones o grupos de administración de Azure separados para las cargas de trabajo confidenciales de los clientes. Puede aplicar controles de acceso basados en roles (RBAC) de Azure de alcance estricto para que grupos específicos de usuarios trabajen con estos recursos.
Agregar datos de varios inquilinos
Tenga en cuenta si necesita combinar o agregar datos de varios inquilinos. Por ejemplo, ¿analiza los datos agregados o entrena modelos de Machine Learning que podrían aplicarse a otros inquilinos? Asegúrese de que los arrendatarios entienden la forma en que usted usa los datos. Incluya cualquier uso de datos agregados o anónimos.
Requisitos de cumplimiento
Es importante que comprenda si tiene que cumplir alguna norma de cumplimiento. Los requisitos de cumplimiento se pueden ingresar en varias situaciones, entre ellas:
- Usted, o alguno de los inquilinos, trabaja en determinados sectores. Por ejemplo, si alguno de los inquilinos trabaja en el sector sanitario, es posible que tenga que cumplir la norma HIPAA.
- Usted, o alguno de los inquilinos, se encuentra en regiones geográficas o geopolíticas que requieren el cumplimiento de las leyes locales. Por ejemplo, si alguno de sus inquilinos se encuentra en Europa, es posible que tenga que cumplir con el Reglamento general de protección de datos (GDPR).
- Compra una póliza de seguro cibernético para mitigar el riesgo de brechas. Es posible que los proveedores de seguros cibernéticos requieran que siga sus estándares y aplique controles específicos para que la póliza sea válida.
Importante
El cumplimiento es una responsabilidad compartida entre Microsoft, usted y sus inquilinos.
Microsoft garantiza que nuestros servicios cumplen con un conjunto específico de normas de cumplimiento, y proporciona herramientas como Microsoft Defender for Cloud que ayudan a verificar que sus recursos están configurados de acuerdo con esas normas.
Sin embargo, en última instancia, es su responsabilidad comprender plenamente los requisitos de cumplimiento que se aplican a su solución, y cómo configurar sus recursos de Azure de acuerdo con esas normas. Consulte las ofertas de cumplimiento de Azure para obtener más detalles.
Este artículo no proporciona orientación específica sobre cómo cumplir con ninguna norma en particular. En su lugar, proporciona una orientación general sobre cómo considerar el cumplimiento y la gobernanza en una solución multiinquilino.
Si diferentes inquilinos necesitan que usted siga diferentes normas de cumplimiento, planee cumplir con la norma más estricta en todo su entorno. Es más fácil seguir una norma estricta que seguir diferentes normas para diferentes inquilinos.
Enfoques y patrones que se deben tener en cuenta
Etiquetas del recurso
Use las etiquetas de recursos para hacer un seguimiento del identificador del inquilino para los recursos específicos del inquilino, o del identificador del sello cuando escale usando el patrón de sellos de implementación. Mediante el uso de etiquetas de recursos, puede identificar rápidamente los recursos asociados a inquilinos o stamps específicos.
Control de acceso
Use Azure RBAC para restringir el acceso a los recursos de Azure que constituyen la solución multiinquilino. Siga los procedimientos recomendados de RBAC, como la aplicación de asignaciones de roles a grupos en lugar de a usuarios. Alcance sus asignaciones de roles para que proporcionen los permisos mínimos necesarios. Evite el acceso prolongado a los recursos con el uso del acceso "cuando es necesario" y de características como Microsoft Entra ID Privileged Access Management.
Azure Resource Graph
Azure Resource Graph le permite trabajar con los metadatos de los recursos de Azure. Al usar Resource Graph, puede consultar un gran número de recursos de Azure, incluso si están repartidos en varias suscripciones. Resource Graph puede consultar los recursos de un tipo específico o identificar los recursos que se han configurado de forma específica. También puede usarse para seguir el historial de la configuración de un recurso.
Resource Graph puede ser útil para administrar grandes patrimonios de Azure. Por ejemplo, suponga que implementa recursos Azure específicos de un inquilino en varias suscripciones de Azure. Al aplicar etiquetas a los recursos, puede usar la API de Resource Graph para encontrar los recursos que utilizan determinados inquilinos o sellos de implementación.
Azure Purview
Considere el uso de Azure Purview para rastrear y clasificar los datos que almacena. Cuando los inquilinos solicitan acceso a sus datos, puede determinar fácilmente los orígenes de datos que debe incluir.
Verifique el cumplimiento de las normas
Use herramientas como Azure Policy, el portal de cumplimiento normativo de Microsoft Defender for Cloud y Azure Advisor. Estas herramientas le ayudan a configurar sus recursos de Azure para satisfacer los requisitos de cumplimiento y seguir las mejores prácticas recomendadas.
Genere documentación de cumplimiento
Es posible que los inquilinos le exijan que demuestre el cumplimiento de normas específicas. Use el Portal de confianza del servicio para generar documentación de cumplimiento que puede proporcionar a sus inquilinos o a los auditores de terceros.
Algunas soluciones multiinquilino incorporan Microsoft 365 y usan servicios como Microsoft OneDrive, Microsoft SharePoint y Microsoft Exchange Online. El portal de cumplimiento de Microsoft Purview le ayuda a comprender cómo estos servicios cumplen con las normas reglamentarias.
Patrón de stamps de implementación
Considere la posibilidad de seguir el patrón de sellos de implementación cuando necesite cumplir con los requisitos específicos de los inquilinos.
Por ejemplo, puede implementar sellos de su solución en varias regiones de Azure. A continuación, puede asignar nuevos inquilinos a los sellos, basándose en las regiones en las que necesitan tener sus datos.
Del mismo modo, un nuevo inquilino podría ingresar requisitos de cumplimiento estrictos que no puede cumplir dentro de los componentes de su solución existente. Puede considerar la posibilidad de implementar un sello dedicado para ese inquilino y luego configurarlo de acuerdo con los requisitos de éste.
Antipatrones que se deben evitar
- No entender los requisitos de cumplimiento de los inquilinos. Es importante no hacer suposiciones sobre los requisitos de cumplimiento que podrían imponer los arrendatarios. Si tiene previsto ampliar su solución a nuevos mercados, tenga en cuenta el entorno normativo en el que probablemente operen sus inquilinos.
- Ignorar las prácticas correctas. Si no tiene ninguna necesidad inmediata de adherirse a las normas de cumplimiento, debe seguir las prácticas recomendadas cuando implemente los recursos de Azure. Por ejemplo, aísle los recursos, aplique políticas para verificar la configuración de los recursos y aplique asignaciones de funciones a grupos en lugar de a usuarios. Si sigue las prácticas recomendadas, le resultará más sencillo seguir las normas de cumplimiento cuando finalmente tenga que hacerlo.
- Asumir que no hay requisitos de cumplimiento. Cuando se lanza por primera vez una solución de multiinquilino, es posible que no conozca los requisitos de cumplimiento, o que no necesite seguir ninguno. A medida que crezca, es probable que tenga que aportar pruebas de que cumple con diversas normas. Use Microsoft Defender for Cloud para supervisar su postura de cumplimiento, incluso antes de que tenga un requisito explícito para hacerlo.
- No planificar la administración. Al implementar sus recursos de Azure, considere cómo planea administrarlos. Si necesita realizar actualizaciones masivas de los recursos, asegúrese de conocer las herramientas de automatización, como Azure CLI, Azure PowerShell, Azure Resource Graph y las API de Azure Resource Manager.
- No usar grupos de administración. Planifique la jerarquía de su suscripción y grupo de administración, incluido el control de acceso y los recursos de Azure Policy en cada ámbito. El hecho de incorporar o cambiar estos elementos cuando los recursos se utilizan en un entorno de producción puede resultar difícil y perjudicial.
- No planificar la estrategia de control de acceso. Azure RBAC proporciona un alto grado de control y flexibilidad en la forma de administrar el acceso a los recursos. Asegúrese de usar grupos de Microsoft Entra para evitar asignar permisos a usuarios individuales. Asigne roles en ámbitos que proporcionen un equilibrio adecuado entre seguridad y flexibilidad. Use definiciones de rol integrado siempre que sea posible y asigne roles que proporcionen los permisos mínimos necesarios.
- No usar Azure Policy. Es importante usar Azure Policy para gobernar su entorno Azure. Después de planificar e implementar las políticas, asegúrese de supervisar el cumplimiento de la política y revisar cuidadosamente cualquier infracción o excepción.
Colaboradores
Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.
Autor principal:
- John Downs | Ingeniero de clientes principal, FastTrack for Azure
Otros colaboradores:
- Bohdan Cherchyk | Ingeniero de clientes sénior, FastTrack for Azure
- Laura Nicolas | Ingeniero de clientes sénior, FastTrack for Azure
- Arsen Vladimirskiy | Principal Customer Engineer, FastTrack for Azure
Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.
Pasos siguientes
Revisar los enfoques para la administración y asignación de costos.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de