Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Use la gobernanza de Azure para establecer las herramientas que necesita para admitir la gobernanza en la nube, la auditoría de cumplimiento y los límites de protección automatizados.
Revisión del área de diseño
Roles o funciones: La gobernanza de Azure se origina en la gobernanza en la nube. Es posible que tenga que implementar la plataforma en la nube o un centro de excelencia en la nube para definir y aplicar determinados requisitos técnicos. La gobernanza se centra en aplicar operaciones y requisitos de seguridad, lo que podría requerir seguridad en la nube, TI central o operaciones en la nube.
Alcance: Considere sus decisiones en función de las revisiones de las áreas de diseño de identidad, red, seguridad y administración. El equipo puede comparar las decisiones de revisión de la gobernanza automatizada, que forma parte del acelerador de zonas de aterrizaje de Azure. Las decisiones de revisión pueden ayudarle a determinar qué auditar o aplicar y qué directivas implementar automáticamente.
Fuera del ámbito: La gobernanza de Azure establece la base para las redes. Pero no aborda los componentes relacionados con el cumplimiento, como la seguridad de red avanzada o los límites de protección automatizados para aplicar decisiones de red. Puede abordar estas decisiones de red al revisar las áreas de diseño de cumplimiento relacionadas con la seguridad y la gobernanza. El equipo de la plataforma en la nube debe abordar los requisitos de red iniciales antes de abordar componentes más complejos.
Nuevo entorno de nube (desde cero): para comenzar tu experiencia en la nube, crea un pequeño conjunto de suscripciones. Puede usar plantillas de implementación de Bicep para crear las nuevas zonas de aterrizaje de Azure. Para más información, consulte Zonas de aterrizaje de Azure Bicep: flujo de implementación.
Entorno de nube existente (brownfield): Si desea aplicar principios de gobernanza de Azure de práctica probada a entornos de Azure existentes, tenga en cuenta las instrucciones siguientes:
Establezca una base de referencia de administración para su entorno híbrido o multinube.
Implemente características de Microsoft Cost Management , como ámbitos de facturación, presupuestos y alertas, para asegurarse de que no supera el límite de gastos.
Use Azure Policy para aplicar límites de protección de gobernanza en implementaciones de Azure y desencadenar tareas de corrección para poner los recursos de Azure existentes en un estado compatible.
Considere la posibilidad de usar la característica de administración de derechos de Microsoft Entra para automatizar los flujos de trabajo de solicitud de acceso de Azure, las asignaciones de acceso, las revisiones y la expiración.
Use recomendaciones de Azure Advisor para garantizar la optimización de costos y la excelencia operativa en Azure, que son principios básicos de Microsoft Azure Well-Architected Framework.
El repositorio Azure landing zones Bicep—Deployment flow contiene plantillas de implementación de Bicep que pueden acelerar las implementaciones de zonas de aterrizaje de Azure, tanto para entornos greenfield como brownfield. Estas plantillas han integrado la guía de gobernanza de prácticas probadas de Microsoft.
Considere usar el módulo Bicep de asignaciones de directivas predeterminadas de la zona de aterrizaje de Azure para garantizar el cumplimiento de sus entornos de Azure desde el principio.
Para obtener más información, consulte Consideraciones sobre el entorno de Brownfield.
Introducción al área de diseño
El recorrido de adopción de la nube de la organización comienza con controles seguros para entornos gubernamentales.
La gobernanza proporciona mecanismos y procesos para mantener el control sobre plataformas, aplicaciones y recursos en Azure.
Explore las siguientes consideraciones y recomendaciones para tomar decisiones fundamentadas a medida que planee la zona de aterrizaje.
El área de diseño de gobernanza se centra en las decisiones de diseño de la zona de aterrizaje. Para obtener información sobre los procesos y herramientas de gobernanza, consulte Gobernanza en el Marco de Adopción de la Nube para Azure.
Consideraciones de gobernanza de Azure
Azure Policy ayuda a garantizar la seguridad y el cumplimiento de los patrimonios técnicos empresariales. Azure Policy puede aplicar convenciones de seguridad y administración vitales en los servicios de la plataforma Azure. Azure Policy complementa el control de acceso basado en rol (RBAC) de Azure, que controla las acciones de los usuarios autorizados. Cost Management también puede ayudar a apoyar la gestión continua de costos y gastos de gobernanza en Azure u otros entornos multinube.
Consideraciones sobre la implementación
Los paneles de revisión de asesoramiento de cambios pueden dificultar la innovación y la agilidad empresarial de su organización. Azure Policy reemplaza estas revisiones por barreras de protección automatizadas y auditorías de cumplimiento para mejorar la eficacia de la carga de trabajo.
Determine qué directivas de Azure necesita en función de los controles empresariales o las regulaciones de cumplimiento. Use las directivas incluidas en el acelerador de zonas de aterrizaje de Azure como punto de partida.
Use las directivas incluidas en la implementación de referencia de zonas de aterrizaje de Azure para tener en cuenta otras directivas que podrían alinearse con los requisitos empresariales.
Aplique las convenciones automatizadas de redes, identidades, administración y seguridad.
Administre y cree asignaciones de directiva mediante definiciones de directiva que puede reutilizar en distintos ámbitos de asignación heredados. Puede tener asignaciones centralizadas de políticas base en el ámbito de administración, suscripción y grupo de recursos.
Garantizar el cumplimiento continuo con los informes de cumplimiento y la auditoría.
Comprenda que Azure Policy tiene límites, como la restricción de definiciones en cualquier ámbito determinado. Para obtener más información, consulte Límites de directivas.
Comprender las directivas de cumplimiento normativo. Las directivas pueden incluir HIPAA, PCI-DSS o Criterios de Servicios de Confianza SOC 2.
Consideraciones de administración de costos
Tenga en cuenta la estructura del modelo de costo y recarga de su organización. Determine los puntos de datos clave que transmiten con precisión el gasto de los servicios en la nube.
Elija la estructura de etiquetas que se ajuste al costo y al modelo de recarga para ayudar a realizar un seguimiento del gasto en la nube.
Use la calculadora de precios de Azure para calcular los costos mensuales esperados para usar productos de Azure.
Obtenga ventaja híbrida de Azure para ayudar a reducir el costo de ejecutar las cargas de trabajo en la nube. Puede usar licencias locales de Windows Server y SQL Server habilitadas para Software Assurance en Azure. También puede usar suscripciones de Red Hat y SUSE Linux.
Obtenga reservas de Azure y confirme planes de un año o tres años para varios productos. Los planes de reserva proporcionan descuentos de recursos, lo que puede reducir significativamente los costos de los recursos hasta 72% en comparación con los precios de pago por uso.
Obtenga el plan de ahorro de Azure para el proceso para ahorrar hasta 65% en comparación con los precios de pago por uso. Elija un compromiso de un año o tres años que se aplique a los servicios de proceso, independientemente de su región, tamaño de instancia o sistema operativo. Elija un plan para los componentes de proceso, como máquinas virtuales, hosts dedicados, instancias de contenedor, funciones premium de Azure y servicios de aplicaciones de Azure. Combine un plan de ahorro de Azure con reservas de Azure para optimizar el costo de proceso y la flexibilidad.
Use directivas de Azure para permitir regiones específicas, tipos de recursos y SKU de recursos.
Use la directiva basada en reglas de administración del ciclo de vida de Azure Storage para mover datos de blobs a los niveles de acceso adecuados o para expirar los datos al final del ciclo de vida de los datos.
Use suscripciones de desarrollo y pruebas de Azure para obtener un descuento sobre el acceso para seleccionar servicios de Azure para cargas de trabajo que no sean de producción.
Use el escalado automático para asignar y desasignar recursos de forma dinámica para satisfacer sus necesidades de rendimiento, lo que ahorra dinero.
Use Azure Spot Virtual Machines para aprovechar la capacidad de proceso sin usar a un costo bajo. Spot Virtual Machines es ideal para cargas de trabajo que pueden controlar interrupciones, por ejemplo, trabajos de procesamiento por lotes, entornos de desarrollo y pruebas y cargas de trabajo de proceso grandes.
Seleccione los servicios de Azure adecuados para ayudar a reducir los costos. Algunos servicios de Azure son gratuitos durante 12 meses y algunos siempre son gratuitos.
Seleccione el servicio de proceso adecuado para la aplicación para ayudar a mejorar la eficiencia de los costos. Azure ofrece muchas maneras de hospedar el código.
Consideraciones sobre la administración de recursos
Determine si los grupos de recursos de su entorno pueden compartir configuraciones necesarias, un ciclo de vida común o restricciones de acceso comunes (como RBAC) para ayudar a proporcionar coherencia.
Elija un diseño de suscripción de aplicación o carga de trabajo que sea adecuado para sus necesidades de operación.
Use configuraciones de recursos estándar dentro de la organización para garantizar una configuración de línea base coherente.
Consideraciones de seguridad
- Implemente herramientas y barreras de protección en todo el entorno como parte de una base de seguridad.
- Notifique a las personas adecuadas cuando encuentre desviaciones.
- Considere la posibilidad de usar Azure Policy para aplicar herramientas, como Microsoft Defender for Cloud o barreras de protección, como la prueba comparativa de seguridad en la nube de Microsoft.
Consideraciones de administración de identidades
Determine quién tiene acceso a los registros de auditoría para la administración de identidades y acceso.
Notifique a las personas adecuadas cuando se produzcan eventos de inicio de sesión sospechosos.
Considere la posibilidad de usar informes de Microsoft Entra para controlar la actividad.
Considere enviar los registros de Microsoft Entra ID al área de trabajo principal de registros de Azure Monitor para la plataforma.
Explore las características de gobernanza del identificador de Entra de Microsoft, como las revisiones de acceso y la administración de derechos.
Herramientas que no son de Microsoft
Use AzAdvertizer para obtener actualizaciones de gobernanza de Azure. Por ejemplo, puede encontrar información sobre las definiciones de directiva, las iniciativas, los alias, la seguridad y los controles de cumplimiento normativo en las definiciones de roles de Azure Policy o RBAC de Azure. También puede obtener información sobre las operaciones de los proveedores de recursos, las definiciones y acciones de roles de Microsoft Entra, y los permisos de API de primera parte.
Use el visualizador de gobernanza de Azure para realizar un seguimiento del patrimonio de gobernanza técnico. Puede usar la característica del comprobador de versiones de directiva para las zonas de aterrizaje de Azure para mantener el entorno actualizado con el estado de versión de la directiva de zona de aterrizaje de Azure más reciente.
Recomendaciones de gobernanza de Azure
Recomendaciones de aceleración de implementación
Identifique las etiquetas de Azure necesarias y use el modo de directiva de anexión para aplicar el uso. Para obtener más información, consulte Definición de la estrategia de etiquetado.
Asigne los requisitos normativos y de cumplimiento a las definiciones de Azure Policy y las asignaciones de roles de Azure.
Establezca definiciones de Azure Policy en el grupo de administración raíz de nivel superior porque se pueden asignar en ámbitos heredados.
Administre las asignaciones de directivas en el nivel más alto adecuado, con exclusiones en los niveles inferiores si fuera necesario.
Use Azure Policy para controlar los registros del proveedor de recursos en los niveles de suscripción o grupo de administración.
Use directivas integradas para minimizar la sobrecarga operativa.
Asigne el rol integrado de Colaborador de directivas de recursos en un ámbito específico para permitir la gobernanza a nivel de aplicación.
Limite el número de asignaciones de Azure Policy en el ámbito del grupo de administración raíz para evitar la administración de exclusiones en ámbitos heredados.
Recomendaciones de administración de costos
- Use Cost Management para implementar la supervisión financiera de los recursos de su entorno.
- Use etiquetas, como el centro de costos o el nombre del proyecto, para anexar los metadatos del recurso. Este enfoque ayuda a habilitar el análisis pormenorizados de los gastos.
Gobernanza de Azure en el acelerador de zonas de aterrizaje de Azure
El acelerador de zonas de aterrizaje de Azure proporciona a las organizaciones controles de gobernanza maduros.
Por ejemplo, puede implementar:
- Jerarquía de grupos de administración que agrupa los recursos por función o tipo de carga de trabajo. Este enfoque fomenta la coherencia de los recursos.
- Un amplio conjunto de directivas de Azure que permite controles de gobernanza en el nivel de grupo de administración. Este enfoque ayuda a comprobar que todos los recursos están dentro del alcance.