Aplicación de directivas de gobernanza de la nube
En este artículo se muestra cómo aplicar el cumplimiento de las directivas de gobernanza en la nube. La aplicación de la gobernanza de la nube hace referencia a los controles y procedimientos que se usan para alinear el uso en la nube con las directivas de gobernanza de la nube. El equipo de gobernanza de la nube evalúa los riesgos de la nube y crea políticas de gobernanza para administrar esos riesgos. Para garantizar el cumplimiento de las directivas de gobernanza en la nube, el equipo de gobernanza de la nube debe delegar las responsabilidades de cumplimiento. Debe conceder a cada equipo o individuo la capacidad para aplicar las directivas de gobernanza en la nube dentro de su área de responsabilidad. El equipo de gobernanza de la nube no puede hacerlo todo. Son preferibles los controles de cumplimiento automatizados, pero aplique el cumplimiento manualmente cuando no se pueda automatizar.
Defina un enfoque para aplicar las directivas de gobernanza de la nube.
Establezca una estrategia sistemática para aplicar el cumplimiento de las directivas de gobernanza en la nube. El objetivo es usar herramientas automatizadas y supervisión manual para aplicar el cumplimiento de forma eficaz. Para definir un enfoque de cumplimiento, siga estas recomendaciones:
Delegar las responsabilidades de gobernanza. Capacite a las personas y equipos para aplicar la gobernanza dentro de su ámbito de responsabilidad. Por ejemplo, los equipos de plataforma deben aplicar directivas que heredan las cargas de trabajo y los equipos de carga de trabajo deben aplicar la gobernanza para su carga de trabajo. El equipo de gobernanza de la nube no debe ser responsable de aplicar controles de cumplimiento.
Adoptar un modelo de herencia. Aplique un modelo de gobernanza jerárquico en el que las cargas de trabajo específicas hereden las directivas de gobernanza de la plataforma. Este modelo ayuda a garantizar que los estándares de la organización se apliquen a los entornos correctos, como los requisitos de compra para los servicios en la nube. Siga los principios de diseño de las zonas de aterrizaje de Azure y su área de diseño de organización de recursos para establecer un modelo de herencia adecuado.
Análisis de los detalles de cumplimiento. Analice dónde y cómo se aplican las directivas de gobernanza. El objetivo es encontrar formas rentables de aplicar el cumplimiento que aceleren la productividad. Sin un análisis, corre el riesgo de bloquear el progreso de los equipos específicos. Es importante encontrar un equilibrio que admita los objetivos de negocio a la vez que administre el riesgo de forma eficaz.
Tener una postura de supervisión en primer lugar. No bloquee las acciones a menos que las comprenda primero. Para un riesgo de menor prioridad, empiece por supervisar el cumplimiento de las directivas de gobernanza en la nube. Después de comprender el riesgo, puede pasar a controles de aplicación más restrictivos. Un enfoque de supervisión en primer lugar le ofrece la oportunidad de analizar las necesidades de gobernanza y alinear la directiva de gobernanza en la nube y el control de cumplimiento con esas necesidades.
Preferencia de listas de bloqueados. Se prefieren las listas de bloqueados sobre las listas de permitidos. Las listas de bloqueados impiden la implementación de servicios específicos. Es mejor tener una pequeña lista de servicios que no debe usar que una larga lista de servicios que puede usar. Para evitar listas de bloqueo largas, no agregue nuevos servicios a la lista de bloqueados de forma predeterminada.
Definir una estrategia de nomenclatura y etiquetado. Establezca directrices sistemáticas para asignar nombres y etiquetar recursos en la nube. Proporciona un marco estructurado para la categorización de recursos, la administración de costos, la seguridad y el cumplimiento en todo el entorno de nube. Permita que los equipos, como por ejemplo los equipos de desarrollo, agreguen otras etiquetas para sus necesidades únicas.
Aplicación automática de directivas de gobernanza en la nube
Use herramientas de gobernanza y administración en la nube para automatizar el cumplimiento de directivas de gobernanza. Estas herramientas pueden ayudar a configurar barreras de protección y configuraciones de supervisión, y a garantizar el cumplimiento. Para configurar la aplicación automatizada, siga estas recomendaciones:
Comience con un pequeño conjunto de directivas automatizadas. Automatice el cumplimiento en un pequeño conjunto de directivas esenciales de gobernanza de la nube. Implemente y pruebe la automatización para evitar interrupciones operativas. Expanda la lista de controles de cumplimiento automatizados cuando esté listo.
Uso de herramientas de gobernanza en la nube. Use las herramientas disponibles en el entorno de nube para aplicar el cumplimiento. La herramienta de gobernanza principal de Azure es Azure Policy. Complemente Azure Policy con Microsoft Defender for Cloud (seguridad), Microsoft Purview (datos), Gobernanza de Microsoft Entra ID (identidad), Azure Monitor (operaciones), grupos de administración (administración de recursos), infraestructura como código (IaC) (administración de recursos) y configuraciones dentro de cada servicio de Azure.
Aplicar directivas de gobernanza en el ámbito correcto. Use un sistema de herencia en el que las directivas se establecen en un nivel superior, como los grupos de administración. Las directivas en niveles superiores se aplican automáticamente a niveles inferiores, como suscripciones y grupos de recursos. Las directivas se aplican incluso cuando hay cambios en el entorno de nube, lo que reduce la sobrecarga de administración.
Uso de puntos de cumplimiento de directivas. Configure puntos de cumplimiento de directivas dentro de los entornos en la nube que apliquen automáticamente reglas de gobernanza. Considere la posibilidad de realizar comprobaciones previas a la implementación, la supervisión en tiempo de ejecución y las acciones de corrección automatizadas.
Uso de la directiva como código. Use las herramientas de IaC para aplicar directivas de gobernanza a través del código. La directiva como código mejora la automatización de los controles de gobernanza y garantiza la coherencia en distintos entornos. Considere la posibilidad de usar Enterprise Azure Policy como código (EPAC) para administrar directivas alineadas con las directivas recomendadas de zona de aterrizaje de Azure.
Desarrollo de soluciones personalizadas según sea necesario. Para las acciones de gobernanza personalizadas, considere la posibilidad de desarrollar scripts o aplicaciones personalizados. Use las API de servicio de Azure para recopilar datos o administrar recursos directamente.
Facilitación de Azure: aplicación automática de directivas de gobernanza en la nube
Las instrucciones siguientes pueden ayudarle a encontrar las herramientas adecuadas para automatizar el cumplimiento de las directivas de gobernanza en la nube en Azure. Proporciona un punto de partida de ejemplo para las principales categorías de gobernanza de la nube.
Automatización de la gobernanza del cumplimiento normativo
Aplicación de directivas de cumplimiento normativo. Use directivas de cumplimiento normativo integradas que se ajusten a los estándares de cumplimiento, como HITRUST/HIPAA, ISO 27001, CMMC, FedRamp y PCI DSSv4.
Automatización de restricciones personalizadas. Cree directivas personalizadas para definir sus propias reglas a fin de trabajar con Azure.
Automatización de la gobernanza de seguridad
Aplicar directivas de seguridad. Use las directivas de seguridad integradas y el cumplimiento automatizado de seguridad para alinearse con los estándares de seguridad comunes. Hay directivas integradas para las series NIST 800 SP, Center for Internet Security Benchmarks y Microsoft Cloud Security Benchmark. Use directivas integradas para automatizar la configuración de seguridad de servicios específicos de Azure. Cree directivas personalizadas para definir sus propias reglas a fin de trabajar con Azure.
Aplicación de la gobernanza de identidades. Habilite la autenticación multifactor (MFA) de Microsoft Entra y el autoservicio de restablecimiento de contraseña. Eliminación de contraseñas no seguras. Automatice otros aspectos de la gobernanza de identidades, como flujos de trabajo de solicitud de acceso, revisiones de acceso y administración del ciclo de vida de la identidad. Habilite el acceso Just-In-Time para limitar el acceso a recursos importantes. Use directivas de acceso condicional para conceder o bloquear el acceso de identidades de dispositivo y usuarios a los servicios en la nube.
Aplicación de controles de acceso. Use el control de acceso basado en rol de Azure (RBAC) y el controlde acceso basado en atributos (ABAC) para controlar el acceso a recursos específicos. Conceda y deniegue permisos a usuarios y grupos. Aplique el permiso en el ámbito adecuado (grupo de administración, suscripción, grupo de recursos o recurso) para proporcionar solo el permiso necesario y limitar la sobrecarga de administración.
Automatización de la gobernanza de costos
Automatización de las restricciones de implementación. No permitir determinados recursos en la nube para evitar el uso de recursos que consumen muchos costos.
Automatización de restricciones personalizadas. Cree directivas personalizadas para definir sus propias reglas a fin de trabajar con Azure.
Automatización de la asignación de costos. Aplique los requisitos de etiquetado para agrupar y asignar costos entre entornos (desarrollo, prueba, producción), departamentos o proyectos. Use etiquetas para identificar y realizar un seguimiento de los recursos que forman parte de un esfuerzo de optimización de costos.
Automatización de la gobernanza de operaciones
Automatización de la redundancia. Use directivas integradas de Azure para requerir un nivel especificado de redundancia de infraestructura, como instancias con redundancia de zona y con redundancia geográfica.
Aplicación de directivas de copia de seguridad. Use directivas de copia de seguridad para controlar la frecuencia de copia de seguridad, el período de retención y la ubicación de almacenamiento. Alinee las directivas de copia de seguridad con la gobernanza de datos, los requisitos de cumplimiento normativo, el objetivo de tiempo de recuperación (RTO) y el objetivo de punto de recuperación (RPO). Use la configuración de copia de seguridad en servicios individuales de Azure, como Azure SQL Database, para configurar las opciones que necesita.
Cumpla el objetivo de nivel de servicio de destino. Restrinja la implementación de determinados servicios y niveles de servicio (SKU) que no cumplan el objetivo de nivel de servicio de destino. Por ejemplo, use la definición de directiva
Not allowed resource typesen Azure Policy.
Automatización de la gobernanza de datos
Automatización de la gobernanza de datos. Automatice las tareas de gobernanza de datos, como la catalogación, la asignación, el uso compartido seguro y la aplicación de directivas.
Administración automatizada del ciclo de vida de los datos. Implemente directivas de almacenamiento y administración del ciclo de vida para el almacenamiento a fin de asegurarse de que los datos se almacenan de forma eficaz y conforme.
Automatización de seguridad de datos. Revise y aplique estrategias de protección de datos, como la segregación de datos, el cifrado y la redundancia.
Automatización de la gobernanza de la administración de recursos
Cree una jerarquía de administración de recursos. Use grupos de administración para organizar las suscripciones a fin de que pueda controlar de forma eficaz las directivas, el acceso y los gastos. Siga los procedimientos recomendados para la organización de recursos de zona de aterrizaje de Azure.
Aplicación de una estrategia de etiquetado. Asegúrese de que todos los recursos de Azure se etiquetan de forma coherente para mejorar la capacidad de administración, el seguimiento de costos y el cumplimiento. Defina la estrategia de etiquetado y administre la gobernanza de etiquetas.
Restrinja los recursos que puede implementar. No permitir que los tipos de recursos restrinjan las implementaciones de servicios que agregan riesgo innecesario.
Restricción de las implementaciones a regiones específicas. Controlar dónde se implementan los recursos para cumplir con los requisitos normativos, administrar los costos y reducir la latencia. Por ejemplo, use la definición de directiva
Allowed locationsen Azure Policy. Aplique también restricciones regionales en la canalización de implementación.Uso de la infraestructura como código (IaC). Automatice la implementación de infraestructuras mediante plantillas de Azure Resource Manager (plantillas de ARM), Bicep o Terraform. Almacene las configuraciones de IaC en un sistema de control de código fuente (GitHub o Azure Repos) para realizar un seguimiento de los cambios y colaborar. Utilice los aceleradores de zona de aterrizaje de Azure para controlar la implementación de los recursos de la plataforma y la aplicación y evitar el desfase de configuración a lo largo del tiempo.
Gobernanza de entornos híbridos y multinube. Gobernanza de recursos híbridos y multinube. Mantener la coherencia en la administración y la aplicación de directivas.
Automatización de la gobernanza de IA
Uso del patrón de generación aumentada de recuperación (RAG). RAG agrega un sistema de recuperación de información para controlar los datos de base que usa un modelo de lenguaje para generar una respuesta. Por ejemplo, puede usar el Azure OpenAI Service en su propia característica de datos o configurar RAG con Azure AI Search para restringir la IA generativa al contenido.
Uso de herramientas de desarrollo de IA. Use herramientas de IA, como kernel semántico, que facilitan y estandarizan la orquestación de IA al desarrollar aplicaciones que usan inteligencia artificial.
Gobernanza de la generación de salida. Ayuda a evitar el abuso y la generación de contenido perjudicial. Uso del filtrado de contenido de IA y supervisión de abusos de IA.
Configuración de la prevención de la pérdida de datos. Configuración de la prevención de pérdida de datos para servicios de Azure AI. Configure la lista de direcciones URL salientes a las que pueden acceder sus recursos de servicios de IA.
Uso de los mensajes del sistema. Use mensajes del sistema para guiar el comportamiento de un sistema de IA y adaptar las salidas.
Aplicación de la línea de base de seguridad de IA. Use la línea de base de seguridad de Azure AI para controlar la seguridad de los sistemas de IA.
Aplique las directivas de gobernanza de la nube manualmente
A veces, una limitación o costo de las herramientas hace que el cumplimiento automatizado no sea práctico. En los casos en los que no se puede automatizar el cumplimiento, aplique las directivas de gobernanza de la nube manualmente. Para aplicar manualmente la gobernanza de la nube, siga estas recomendaciones:
Use listas de comprobación. Use listas de comprobación de gobernanza para facilitar que los equipos sigan las directivas de gobernanza en la nube. Para obtener más información, consulte las listas de comprobación de cumplimiento de ejemplo.
Proporcione entrenamiento periódico. Realice sesiones de entrenamiento frecuentes para todos los miembros del equipo pertinentes a fin de asegurarse de que son conscientes de las directivas de gobernanza.
Programe revisiones periódicas. Implemente una programación para las revisiones y auditorías periódicas de los recursos y procesos en la nube para garantizar el cumplimiento de las directivas de gobernanza. Estas revisiones son críticas para identificar desviaciones de las directivas establecidas y tomar medidas correctivas.
Supervise manualmente. Asigne personal dedicado a fin de supervisar el entorno en la nube para el cumplimiento de las directivas de gobernanza. Considere la posibilidad de realizar el seguimiento del uso de recursos, la administración de controles de acceso y la garantía de que las medidas de protección de datos están en vigor para alinearse con las directivas. Por ejemplo, defina un enfoque completo de administración de costos para controlar los costos de la nube.
Revisión del cumplimiento de directivas
Revise y actualice periódicamente los mecanismos de aplicación del cumplimiento. El objetivo es mantener la aplicación de directivas de gobernanza en la nube alineada con las necesidades actuales, incluidos los requisitos del desarrollador, arquitecto, carga de trabajo, plataforma y negocio. Para revisar la obligatoriedad de directivas, siga estas recomendaciones:
Comprometerse con las partes interesadas. Analice la eficacia de los mecanismos de obligatoriedad con las partes interesadas. Asegúrese de que la obligatoriedad de la gobernanza de la nube se alinea con los objetivos de negocio y los requisitos de cumplimiento.
Requisitos de Monitor Actualice o quite los mecanismos de obligatoriedad para alinearse con los requisitos nuevos o actualizados. Realice un seguimiento de los cambios en las regulaciones y estándares que requieren actualizaciones de los mecanismos de obligatoriedad. Por ejemplo, las directivas recomendadas de zona de aterrizaje de Azure pueden cambiar con el tiempo. Debe detectar esos cambios de directiva, actualizar a las directivas personalizadas de la zona de aterrizaje de Azure más recientes o migrar a directivas integradas según sea necesario.
Ejemplos de listas de comprobación de cumplimiento de gobernanza en la nube
Las listas de comprobación de cumplimiento ayudan a los equipos a comprender las directivas de gobernanza que se aplican a ellas. Las listas de comprobación de cumplimiento de ejemplo usan la instrucción de directiva de las directivas de gobernanza en la nube de ejemplo y contienen el identificador de directiva de gobernanza en la nube para hacer referencia cruzada.
| Categoría | Requisito de cumplimiento |
|---|---|
| Cumplimiento de normativas | ☐ Microsoft Purview debe usarse para supervisar datos confidenciales (RC01). ☐ Los informes diarios de cumplimiento de datos confidenciales deben generarse a partir de Microsoft Purview (RC02). |
| Seguridad | ☐ MFA debe estar habilitado para todos los usuarios (SC01). ☐ Las revisiones de acceso deben realizarse mensualmente en la gobernanza de identificadores (SC02). ☐ Use la organización de GitHub especificada para hospedar todas las aplicaciones y el código de infraestructura (SC03). ☐ Los equipos que usan bibliotecas de orígenes públicos deben adoptar el patrón de cuarentena (SC04). |
| Operations | ☐ Las cargas de trabajo de producción deben tener una arquitectura activa-pasiva entre regiones (OP01). ☐ Todas las cargas de trabajo críticas deben implementar una arquitectura activa-activa entre regiones (OP02). |
| Costos | ☐ Los equipos de carga de trabajo deben establecer alertas de presupuestos en el nivel de grupo de recursos (CM01). ☐ Las recomendaciones de costos de Azure Advisor deben revisarse (CM02). |
| Data | ☐ El cifrado en tránsito y en reposo debe aplicarse a todos los datos confidenciales. (DG01) ☐ Las directivas de ciclo de vida de datos deben estar habilitadas para todos los datos confidenciales (DG02). |
| Administración de recursos | ☐ Bicep debe usarse para implementar recursos (RM01). ☐ Las etiquetas deben aplicarse en todos los recursos en la nube mediante Azure Policy (RM02). |
| INTELIGENCIA ARTIFICIAL | ☐ La configuración de filtrado de contenido de IA debe establecerse en media o superior (AI01). ☐ Los sistemas de IA orientados al cliente deben estar en equipo rojo mensual (AI02). |
Paso siguiente
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de