Compartir vía


Área de diseño: Gobernanza en Azure

Use la gobernanza en Azure para establecer las herramientas necesarias a fin de admitir la gobernanza de la nube, la auditoría de cumplimiento y los límites de protección automatizados.

Revisión del área de diseño

Roles o funciones: la gobernanza en Azure se origina en la gobernanza de la nube. Debe implementar la plataforma en la nube o un centro de excelencia de la nube para definir y aplicar algunos requisitos técnicos. La gobernanza se centra en el cumplimiento de las operaciones y los requisitos de seguridad, que pueden requerir seguridad en la nube, operaciones centrales de TI u operaciones en la nube.

Ámbito: considere las decisiones de revisiones del área de diseño de identidad, red, seguridad y administración. El equipo puede comparar las decisiones de revisión de la gobernanza automatizada, que forma parte del acelerador de zona de aterrizaje de Azure. Las decisiones de revisión pueden ayudarle a determinar qué auditar o aplicar y qué directivas implementar automáticamente.

Fuera del ámbito: gobernanza en Azure establece la base de las redes. Sin embargo, no aborda componentes relacionados con el cumplimiento, como seguridad de red avanzada o barreras de protección automatizadas para aplicar decisiones de red. Estas decisiones de red se pueden abordar al revisar las áreas de diseño de cumplimiento relacionadas con la seguridad y la gobernanza. El equipo de la plataforma en la nube debe abordar los requisitos de red iniciales antes de abordar componentes más complejos.

Nuevo entorno (greenfield) en la nube: Para iniciar el recorrido en la nube, cree un pequeño conjunto de suscripciones. Puede usar plantillas de implementación de Bicep para crear las nuevas zonas de aterrizaje de Azure. Para obtener más información, consulte Azure Landing Zones Bicep: flujo de implementación.

Entorno de nube existente (brownfield): si está interesado en aplicar principios de gobernanza de Azure probados en entornos de Azure existentes, considere las siguientes guías:

El repositorio Azure Landing Zones Bicep: flujo de implementación contiene plantillas de implementación de Bicep que pueden acelerar las implementaciones de zona de aterrizaje greenfield y brownfield de Azure. Estas plantillas tienen una guía de gobernanza probada de Microsoft integrada en ellas.

Por ejemplo, considere la posibilidad de usar el módulo Bicep de Asignaciones de directivas predeterminadas de zona de aterrizaje de Azure para comenzar a garantizar el cumplimiento de los entornos de Azure.

Para obtener más información, consulte Consideraciones sobre el entorno brownfield.

Introducción al área de diseño

Un recorrido de adopción de la nube de su organización comienza con controles sólidos a los entornos gubernamentales.

La gobernanza proporciona mecanismos y procesos para mantener el control de las plataformas, las aplicaciones y los recursos de Azure.

Diagrama que muestra el diseño de gobernanza de la zona de aterrizaje.

Explore las consideraciones y recomendaciones siguientes que le ayudarán a tomar decisiones informadas al planear la zona de aterrizaje.

El área de diseño de gobernanza se centra en las decisiones de diseño de la zona de aterrizaje. Para obtener información sobre los procesos y herramientas de gobernanza, consulte Gobernanza de Cloud Adoption Framework para Azure.

Consideraciones de gobernanza de Azure

La directiva de Azure garantiza la seguridad y el cumplimiento de los recursos técnicos empresariales. La directiva de Azure puede aplicar convenciones vitales de administración y seguridad en los servicios de plataforma de Azure. La directiva de Azure complementa el control de acceso basado en rol de Azure (RBAC), que controla las acciones de los usuarios autorizados. Cost Management puede ayudar también a respaldar el costo y el gasto de gobernanza continuos en Azure u otros entornos de varias nubes.

Consideraciones de la implementación

Los paneles de revisión de avisos de cambios podrían dificultar la innovación y la agilidad empresarial de su organización. La directiva de Azure sustituye dichas revisiones por barreras de protección automatizadas y auditorías de cumplimiento para mejorar la eficacia de la carga de trabajo.

  • Determine qué directivas de Azure necesita en función de los controles empresariales o las normativas de cumplimiento. Use las directivas incluidas en el acelerador de zona de aterrizaje de Azure como punto de partida.

  • Utilice las directivas incluidas en la implementación de referencia de zonas de aterrizaje de Azure para tener en cuenta otras directivas que podrían alinearse con los requisitos empresariales.

  • Automatice las convenciones de redes, identidades, administración y seguridad.

  • Administre y cree asignaciones de directivas mediante definiciones de directivas que se puedan reutilizar en varios ámbitos de asignación heredados. Puede tener asignaciones de directivas de base de referencia centralizadas en los ámbitos de administración, suscripción y grupo de recursos.

  • Garantice el cumplimiento continuo con informes de cumplimiento y auditorías.

  • Sepa que la directiva de Azure tiene límites, como la restricción de definiciones en cualquier ámbito en concreto. Para obtener más información, vea Límites de directivas.

  • Conozca las directivas de cumplimiento normativo. Las directivas podrían incluir los criterios de servicio de confianza HIPAA, PCI DSS o SOC 2.

Consideraciones de administración de costos

  • Tenga en cuenta la estructura del modelo de costos y recarga de su organización. Determine los puntos de datos clave que transmiten con precisión el gasto de los servicios en la nube.

  • Elija la estructura de etiquetas que se adapte al costo y al modelo de recarga para ayudar a realizar un seguimiento del gasto en la nube.

  • Use la calculadora de precios de Azure para calcular los costos mensuales esperados a fin de usar productos de Azure.

  • Obtenga la Ventaja híbrida de Azure para ayudar a reducir los costos de ejecución de las cargas de trabajo en la nube. Puede usar licencias locales de Windows Server y SQL Server habilitadas para Software Assurance en Azure. También puede usar suscripciones de Red Hat y SUSE Linux.

  • Obtenga las reservas de Azure y comprométase con planes de uno o tres años para varios productos. Los planes de reserva proporcionan descuentos de recursos, lo que puede reducir significativamente los costos de recursos hasta un 72 % en comparación con los precios de pago por uso.

  • Obtenga el plan de ahorro de Azure para el proceso con el fin de ahorrar hasta un 65 % en comparación con los precios de pago por uso. Elija un compromiso de uno o tres años, que se aplicará a los servicios de proceso independientemente de la región, el tamaño de instancia o el sistema operativo. Elija un plan para los componentes de proceso, como máquinas virtuales, hosts dedicados, instancias de contenedor, funciones prémium de Azure y servicios de aplicaciones de Azure. Combine un plan de ahorro de Azure con Azure Reservations para optimizar el costo de proceso y la flexibilidad.

  • Use directivas de Azure para permitir regiones, tipos de recursos y SKU de recursos específicos.

  • La administración del ciclo de vida de Azure Storage es una directiva basada en reglas que se usa para trasladar los datos de blob al nivel de acceso adecuado y para hacer que los datos expiren cuando finalice su ciclo de vida.

  • Las suscripciones de desarrollo/pruebas de Azure le ofrecen un descuento en el acceso a fin de seleccionar servicios de Azure para cargas de trabajo que no son de producción.

  • Use el escalado automático para asignar y cancelar la asignación de forma dinámica a fin de satisfacer sus necesidades de rendimiento y ahorrar dinero.

  • Use Azure Spot Virtual Machines y aproveche la capacidad de proceso que no se esté usando a un bajo costo. Las máquinas virtuales de acceso puntual son excelentes para cargas de trabajo que puedan soportar interrupciones, como los trabajos de procesamiento por lotes, los entornos de desarrollo y pruebas y las cargas de trabajo de proceso de gran tamaño.

  • Seleccione los servicios de Azure adecuados para ayudarle a reducir los costos. Algunos servicios de Azure son gratuitos durante 12 meses, mientras que otros servicios siempre son gratuitos.

  • Seleccione el servicio de proceso adecuado para la aplicación a fin de ayudarle a mejorar la rentabilidad. Azure ofrece muchas maneras de hospedar el código.

Consideraciones de la administración de recursos

  • Determine si los grupos de recursos de su entorno pueden compartir configuraciones necesarias, un ciclo de vida común o restricciones de acceso comunes (como RBAC) para ayudar a proporcionar coherencia.

  • Seleccione un diseño de suscripción de carga de trabajo o aplicación que sea adecuado para sus necesidades de operación.

  • Use configuraciones de recursos estándar dentro de la organización para garantizar una configuración de línea de base coherente.

Consideraciones sobre la seguridad

  • Aplique herramientas y barreras de protección en el entorno como parte de una línea de base de seguridad.
  • Notifique a las personas adecuadas cuando encuentre desviaciones.
  • Considere la posibilidad de usar Azure Policy para aplicar herramientas, como Microsoft Defender for Cloud, o límites de protección, como el punto de referencia de seguridad en la nube de Microsoft.

Consideraciones de administración de identidad

  • Determine quién puede tener acceso a los registros de auditoría para la administración de identidades y acceso.

  • Notifique a las personas adecuadas cuando se produzcan eventos de inicio de sesión sospechosos.

  • Considere usar los informes de Microsoft Entra para controlar la actividad.

  • Considere la posibilidad de enviar registros de Microsoft Entra ID al área de trabajo central de registros de Azure Monitor para la plataforma.

  • Explore las características de Gobierno de id. de Microsoft Entra, como las revisiones de acceso y la administración de derechos.

Herramientas que no son de Microsoft

  • Use AzAdvertizer para obtener actualizaciones de gobernanza de Azure. Por ejemplo, puede encontrar información sobre las definiciones de directiva, las iniciativas, los alias, la seguridad y los controles de cumplimiento normativo en las definiciones de roles de Azure Policy o RBAC de Azure. También puede obtener información sobre las operaciones del proveedor de recursos, las definiciones de roles y las acciones de rol de Microsoft Entra y los permisos de API de primera entidad.

  • Use el visualizador de gobernanza de Azure para realizar un seguimiento del estado de gobernanza técnico. Puede usar la característica del comprobador de versiones de directiva para las zonas de aterrizaje de Azure a fin de mantener el entorno actualizado con el estado de versión de la directiva de zona de aterrizaje de Azure más reciente.

Recomendaciones de Gobernanza en Azure

Recomendaciones de aceleración de la implementación

  • Identifique las etiquetas de Azure necesarias y use el modo de directiva de anexión para aplicar el uso. Para obtener más información, consulte Definición de la estrategia de etiquetado.

  • Asigne requisitos legislativos y de cumplimiento normativo a las definiciones de Azure Policy y a las asignaciones de roles de Azure.

  • Establezca definiciones de Azure Policy en el grupo de administración raíz de nivel superior, ya que podrían asignarse en ámbitos heredados.

  • Administre las asignaciones de directivas en el nivel más alto adecuado, con exclusiones en los niveles inferiores si es necesario.

  • Use Azure Policy para controlar los registros de proveedores de recursos en el nivel de suscripción o de grupo de administración.

  • Use directivas integradas para reducir al mínimo la sobrecarga operativa.

  • Asigne el rol Colaborador de directiva de recurso integrada en un ámbito específico para habilitar la gobernanza en las aplicaciones.

  • Limite el número de asignaciones de Azure Policy en el ámbito del grupo de administración raíz para evitar la administración mediante exclusiones en ámbitos heredados.

Recomendaciones de administración de costos

  • Use Cost Management para implementar la supervisión financiera en los recursos de su entorno.
  • Use etiquetas, como el centro de costes o el nombre del proyecto, para anexar los metadatos del recurso. Este enfoque ayuda a habilitar el análisis pormenorizado de los gastos.

Gobernanza en Azure en el acelerador de la zona de aterrizaje de Azure

El acelerador de zona de aterrizaje de Azure proporciona a las organizaciones controles de gobernanza maduros.

Por ejemplo, puede implementar:

  • Una jerarquía de grupos de administración que agrupa los recursos por función o tipo de carga de trabajo. Este enfoque fomenta la coherencia de los recursos.
  • Un amplio conjunto de directivas de Azure que permite controles de gobernanza en el nivel de grupo de administración. Este enfoque ayuda a comprobar que todos los recursos están en el ámbito.