Guía del acelerador de Visualizador de Gobernanza en Azure

Las organizaciones pueden usar el Visualizador de Gobernanza en Azure para capturar información de gobernanza pertinente sobre sus inquilinos de Azure. La herramienta captura:

• Jerarquía de grupos de administración.
• Información de directiva, como definiciones de directivas personalizadas, definiciones de directivas personalizadas huérfanas y asignaciones de directivas.
• Información de control de acceso basado en roles (RBAC), como definiciones de roles personalizadas, definiciones de roles personalizadas huérfanas y asignaciones de roles.
• Análisis de seguridad y procedimientos recomendados de Azure.
• Información de Microsoft Entra ID.

El acelerador de Visualizador de Gobernanza en Azure ejecuta el visualizador de forma automatizada a través de Azure Pipelines o acciones de GitHub. El visualizador genera el resumen como archivos HTML, MD y CSV. Lo ideal es que los usuarios autorizados de la organización puedan acceder fácilmente al informe HTML generado. En este artículo se muestra cómo automatizar la ejecución del Visualizador de Gobernanza en Azure y hospedar la salida de informes de forma segura y rentable en la característica Web Apps de Azure App Service.

Hay disponible una implementación de ejemplo en GitHub, en acelerador de Visualizador de Gobernanza en Azure.

Arquitectura

Descargue un archivo Visio de esta arquitectura.

Flujo de datos

La arquitectura de solución implementa este flujo de trabajo:

1. Un temporizador desencadena el flujo de acciones de GitHub.
2. El flujo realiza una conexión de OpenID Connect a Azure. A continuación, ejecuta la herramienta Visualizador de Gobernanza en Azure. La herramienta recopila la información necesaria en forma de informes HTML, MD y CSV.
3. Los informes se insertan en el repositorio de GitHub.
4. La salida HTML de la herramienta Visualizador de Gobernanza en Azure se publica en App Service.

Flujo de usuario

En este flujo se explica cómo un usuario puede usar la herramienta:

1. El usuario navega a la dirección URL de App Service para acceder al informe HTML del visualizador. El usuario debe autenticarse a través de la autorización de Microsoft Entra ID.
2. El usuario puede revisar la información proporcionada por el visualizador.

Componentes

El acelerador se basa en un repositorio de plantillas de GitHub que consta de los siguientes componentes:

• Microsoft Entra ID es un servicio de identidad empresarial que proporciona inicio de sesión único, autenticación multifactor y acceso condicional.
• Azure App Service es una plataforma completamente administrada para crear e implementar aplicaciones en la nube. Permite definir un conjunto de recursos de proceso para que una aplicación web se ejecute, implemente aplicaciones web y configure ranuras de implementación.
• GitHub es una popular oferta de SaaS de Microsoft que los desarrolladores usan con frecuencia para crear, enviar y mantener sus proyectos de software.
• GitHub Actions proporciona capacidades de integración continua y despliegue continuo en esta arquitectura.

Alternativas

• El Visualizador de Gobernanza en Azure es un script de PowerShell que se puede ejecutar directamente en una máquina local. El visualizador se puede configurar para que se ejecute como parte de acciones de GitHub o la canalización de Azure DevOps para recibir información actualizada sobre su entorno. El visualizador genera una wiki como salida que se puede publicar en GitHub o Azure DevOps.

• El visualizador también se puede hospedar en cualquier otra plataforma de hospedaje segura y rentable, como Azure Static Web Apps.

Detalles del escenario

El Visualizador de Gobernanza en Azure es un script basado en PowerShell que recorre en iteración la jerarquía de grupos de administración de inquilinos de Azure hasta el nivel de suscripción. Captura las funcionalidades de Gobernanza en Azure más relevantes, como Azure Policy, RBAC, Microsoft Entra ID y Blueprints. A partir de los datos recopilados, el Visualizador de Gobernanza en Azure muestra toda esta información en un informe HTML fácil de navegar.

Consideraciones

Estas consideraciones implementan los pilares del marco de buena arquitectura de Azure, que es un conjunto de principios guía que se pueden usar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.

Seguridad

La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para más información, consulte Introducción al pilar de seguridad.

Restringir el HTML de los informes solo a los usuarios autorizados para ver estos datos es importante. Estos datos son una mina de oro para amenazas internas y externas, ya que expone el panorama de Azure, incluidos los controles de seguridad.

• Use la autenticación de Microsoft Entra para restringir el acceso a personas autorizadas. Considere la posibilidad de usar la autenticación de Web Apps para proporcionar este servicio. En el acelerador, la implementación se configura en Web Apps y comprueba activamente que la autenticación está habilitada antes de la implementación.

• Considere la posibilidad de aplicar controles de seguridad de red para exponer el sitio al equipo solo a través de un punto de conexión privado. Y para restringir el tráfico, considere la posibilidad de usar las restricciones de IP de Web Apps.

• Habilite el registro de acceso en la aplicación web de Azure para poder auditar el acceso. Configure la aplicación web de Azure para enviar esos registros a un área de trabajo de Log Analytics.

• Asegúrese de que la comunicación segura esté habilitada en la aplicación web de Azure. En el acelerador, solo se permiten HTTPS y FTP, y la versión mínima de TLS está configurada como 1.2.

• Considere usar Microsoft Defender for App Service de Microsoft Defender for Cloud.

• Use las versiones más recientes de la pila en tiempo de ejecución de la aplicación web de Azure.

• Asegúrese de rotar el secreto de esta entidad de servicio periódicamente y supervisar su actividad. Para recopilar toda la información necesaria, el visualizador implementado por el acelerador depende de una entidad de servicio con permisos de Microsoft Entra ID.

Para obtener más información sobre los controles de seguridad, consulte Línea de base de seguridad de Azure para App Services.

Optimización de costos

La optimización de costos trata de buscar formas de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para más información, vea Información general del pilar de optimización de costos.

• El nivel B1 (Básico) se usa para la aplicación web de Azure implementada en App Service. App Service hospeda la salida HTML de la herramienta Visualizador de Gobernanza en Azure para que sea ligera.

• El acelerador solo implementa una instancia de App Service, pero puede optar por implementar más si es necesario.

Excelencia operativa

La excelencia operativa abarca los procesos de las operaciones que implementan una aplicación y la mantienen en ejecución en producción. Para más información, consulte Introducción al pilar de excelencia operativa.

• El acelerador consta principalmente de una aplicación web de Azure que hospeda la salida HTML de la herramienta del visualizador. Se recomienda habilitar la configuración de diagnóstico de la aplicación web para supervisar el tráfico, acceder a los registros de auditoría, las métricas y mucho más.

• Es importante supervisar el rendimiento de la aplicación web. Esto ayuda a identificar si necesita escalar vertical u horizontalmente en función de la cantidad de uso del visualizador.

• También es importante ejecutar siempre las versiones más recientes de la pila en tiempo de ejecución de la aplicación web de Azure.

• El Visualizador de Gobernanza en Azure actualiza las versiones periódicamente con nuevas características, correcciones de errores o mejoras. En el acelerador, un flujo de trabajo de GitHub dedicado controla el proceso de actualización. Hay una opción configurable para actualizar el código del visualizador automática o manualmente abriendo una solicitud de incorporación de cambios con cambios que puede revisar y combinar.

• El código de aceleración puede actualizarse con la nueva configuración en el código de Bicep de App Service o con nuevas instrucciones para los requisitos previos del visualizador. En el acelerador, un flujo de trabajo de GitHub dedicado controla este proceso de actualización. Hay una opción configurable para actualizar el código del visualizador automática o manualmente abriendo una solicitud de incorporación de cambios con cambios que puede revisar y combinar.

Implementación de este escenario

Para implementar este escenario, consulte Acelerador del Visualizador de Gobernanza en Azure.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Creadores de entidad de seguridad:

• Seif Bassem | Arquitecto de soluciones en la nube

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes

• Acelerador de Azure Governance Visualizer
• Azure Governance Visualizer

Recursos relacionados

• Zonas de aterrizaje de Azure: consideraciones de diseño de módulos de Bicep
• Introducción a las zonas de aterrizaje de Azure