Guía de gobernanza para empresas complejas: Mejora de la materia de línea de base de identidadGovernance guide for complex enterprises: Improve the Identity Baseline discipline

En este artículo se desarrolla la narración al agregar controles de base de referencia de identidad al producto viable mínimo de gobernanza.This article advances the narrative by adding identity baseline controls to the governance MVP.

Continuación de la historiaAdvancing the narrative

El director financiero aprobó la justificación empresarial para la migración a la nube de los dos centros de datos.The business justification for the cloud migration of the two datacenters was approved by the CFO. Durante el estudio de viabilidad técnica, se detectaron varios obstáculos:During the technical feasibility study, several roadblocks were discovered:

  • Los datos protegidos y las aplicaciones críticas representan el 25 % de las cargas de trabajo en los dos centros de datos.Protected data and mission-critical applications represent 25% of the workloads in the two datacenters. No se puede eliminar ninguno hasta que las directivas de gobernanza actuales con respecto a la información personal confidencial y a las aplicaciones críticas se hayan modernizado.Neither can be eliminated until the current governance policies regarding sensitive personal data and mission-critical applications have been modernized.
  • El 7 % de los recursos de esos centros de datos no son compatibles con la nube.7% of the assets in those datacenters are not cloud-compatible. Se moverán a un centro de datos alternativo antes de la finalización del contrato del centro de datos.They will be moved to an alternate datacenter before termination of the datacenter contract.
  • El 15 % de los recursos en el centro de datos (750 máquinas virtuales) tiene una dependencia en la autenticación heredada o autenticación multifactor de terceros.15% of the assets in the datacenter (750 virtual machines) have a dependency on legacy authentication or third-party multi-factor authentication.
  • La conexión VPN que se conecta a Azure y a los centros de datos existentes no ofrece suficientes velocidades de transmisión de datos ni la latencia para migrar el volumen de recursos dentro del plazo de dos años para retirar el centro de datos.The VPN connection that connects existing datacenters and Azure does not offer sufficient data transmission speeds or latency to migrate the volume of assets within the two-year timeline to retire the datacenter.

Los dos primeros obstáculos se están administrando en paralelo.The first two roadblocks are being managed in parallel. En este artículo se abordará la resolución del tercer y cuarto obstáculos.This article will address the resolution of the third and fourth roadblocks.

Expansión del equipo de gobernanza de la nubeExpand the cloud governance team

El equipo de gobernanza de la nube se está expandiendo.The cloud governance team is expanding. Dada la necesidad de soporte adicional con respecto a la administración de identidades, un administrador del sistema del equipo de la base de referencia de identidad ahora participa en una reunión semanal para mantener a los miembros del equipo existente al tanto de los cambios.Given the need for additional support regarding identity management, a systems administrator from the identity baseline team now participates in a weekly meeting to keep the existing team members aware of changes.

Cambios en el estado actualChanges in the current state

El equipo de TI tiene la aprobación para seguir adelante con los planes del director de información (CIO) y del director financiero (CFO) para retirar dos centros de datos.The IT team has approval to move forward with the plans of the CIO and CFO to retire two datacenters. Al equipo le preocupa que 750 máquinas virtuales (el 15 % de los recursos) de esos centros de datos tendrán que moverse a algún lugar distinto de la nube.The team is concerned that 750 (15%) of the assets in those datacenters will have to be moved somewhere other than the cloud.

Mejora gradual del estado futuroIncrementally improve the future state

Los nuevos planes de estado futuro requieren una solución más sólida de base de referencia de identidad para migrar las 750 máquinas virtuales con los requisitos de autenticación heredados.The new future state plans require a more robust identity baseline solution to migrate the 750 virtual machines with legacy authentication requirements. Más allá de estos dos centros de datos, es previsible que este problema afecte a un porcentaje similar de recursos en otros centros de datos.Beyond these two datacenters, this challenge is expected to affect similar percentages of assets in other datacenters.

El estado futuro ahora también requiere una conexión desde el proveedor de nube a la solución MPLS o de línea dedicada de la empresa.The future state now also requires a connection from the cloud provider to the company's MPLS/leased-line solution.

Los cambios de los estados actual y futuro exponen nuevos riesgos que requerirán nuevas declaraciones de directiva.The changes to current and future state expose new risks that will require new policy statements.

Cambios en riesgos tangiblesChanges in tangible risks

Interrupción del negocio durante la migración.Business interruption during migration. La migración a la nube crea un riesgo controlado y temporal que se puede administrar.Migration to the cloud creates a controlled, time-bound risk that can be managed. El traslado de hardware antiguo a otra parte del mundo es un riesgo mucho mayor.Moving aging hardware to another part of the world is much higher risk. Se necesita una estrategia de mitigación para evitar las interrupciones en las operaciones empresariales.A mitigation strategy is needed to avoid interruptions to business operations.

Dependencias de identidad existentes.Existing identity dependencies. Las dependencias en los servicios existentes de autenticación e identidad pueden retrasar o impedir la migración de algunas cargas de trabajo a la nube.Dependencies on existing authentication and identity services may delay or prevent the migration of some workloads to the cloud. La incapacidad de devolver los dos centros de datos a tiempo generará millones de dólares en las tarifas de concesión de centros de datos.Failure to return the two datacenters on time will incur millions of dollars in datacenter lease fees.

Este riesgo empresarial puede ampliarse a algunos riesgos técnicos:This business risk can be expanded into a few technical risks:

  • La autenticación heredada puede no estar disponible en la nube, lo que limita la implementación de algunas aplicaciones.Legacy authentication might not be available in the cloud, limiting deployment of some applications.
  • La solución actual de autenticación multifactor de terceros puede no estar disponible en la nube, lo que limita la implementación de algunas aplicaciones.The current third-party multi-factor authentication solution might not be available in the cloud, limiting deployment of some applications.
  • Cambiar sus herramientas o moverlas podría crear interrupciones y sumar costos.Retooling or moving could create outages or add costs.
  • La velocidad y la estabilidad de la VPN podrían impedir la migración.The speed and stability of the VPN might impede migration.
  • El tráfico de entrada en la nube podría producir problemas de seguridad en otras partes de la red global.Traffic entering the cloud could cause security issues in other parts of the global network.

Mejora gradual de las declaraciones de las directivasIncremental improvement of the policy statements

Los siguientes cambios en la directiva le ayudarán a corregir los nuevos riesgos y le guiarán en la implementación.The following changes to policy will help remediate the new risks and guide implementation.

  • El proveedor de nube elegido debe ofrecer un medio de autenticación a través de métodos heredados.The chosen cloud provider must offer a means of authenticating via legacy methods.
  • El proveedor de nube elegido debe ofrecer un medio de autenticación con la solución actual de autenticación multifactor de terceros.The chosen cloud provider must offer a means of authentication with the current third-party multi-factor authentication solution.
  • Debe establecerse una conexión privada de alta velocidad entre el proveedor de nube y el proveedor de telecomunicaciones de la empresa, que conecte al proveedor de nube con la red mundial de centros de datos.A high-speed private connection should be established between the cloud provider and the company's telco provider, connecting the cloud provider to the global network of datacenters.
  • Hasta que no se establezcan requisitos de seguridad suficientes, ningún tráfico público entrante podrá acceder a los recursos de la empresa hospedados en la nube.Until sufficient security requirements are established, no inbound public traffic may access company assets hosted in the cloud. Todos los puertos se bloquean desde cualquier origen fuera de la WAN global.All ports are blocked from any source outside of the global WAN.

Mejora incremental de procedimientos recomendadosIncremental improvement of best practices

El diseño del producto viable mínimo de gobernanza cambia para incluir nuevas directivas de Azure y una implementación de Active Directory en una máquina virtual.The governance MVP design changes to include new Azure policies and an implementation of Active Directory on a virtual machine. Juntos, estos dos cambios de diseño cumplen con las nuevas instrucciones de directiva corporativa.Together, these two design changes fulfill the new corporate policy statements.

Estos son los nuevos procedimientos recomendados:Here are the new best practices:

  • Plano técnico de la red virtual híbrida segura: El lado local de la red híbrida debe configurarse para permitir la comunicación entre la siguiente solución y los servidores locales de Active Directory.Secure hybrid virtual network blueprint: The on-premises side of the hybrid network should be configured to allow communication between the following solution and the on-premises Active Directory servers. Este procedimiento recomendado requiere una red perimetral para habilitar Active Directory Domain Services más allá de los límites de la red.This best practice requires a perimeter network to enable Active Directory Domain Services across network boundaries.
  • Plantillas de Azure Resource Manager:Azure Resource Manager templates:
    1. Defina un grupo de seguridad de red para bloquear el tráfico externo y permitir el interno.Define an NSG to block external traffic and allow internal traffic.
    2. Implemente dos máquinas virtuales de Active Directory en un par con equilibrio de carga basado en una imagen maestra.Deploy two Active Directory virtual machines in a load-balanced pair based on a golden image. En el primer arranque, esa imagen ejecuta un script de PowerShell para unirse al dominio y registrarse en los servicios de dominio.On first boot, that image runs a PowerShell script to join the domain and register with domain services. Para más información, consulte Extensión de Active Directory Domain Services (AD DS) a Azure.For more information, see Extend Active Directory Domain Services (AD DS) to Azure.
  • Azure Policy: aplique el NSG a todos los recursos.Azure Policy: Apply the NSG to all resources.
  • Azure Blueprints:Azure Blueprints:
    1. Cree un plano técnico denominado active-directory-virtual-machines.Create a blueprint named active-directory-virtual-machines.
    2. Agregue cada una de las directivas y plantillas de Active Directory al plano técnico.Add each of the Active Directory templates and policies to the blueprint.
    3. Publique el plano técnico en cualquier grupo de administración correspondiente.Publish the blueprint to any applicable management group.
    4. Aplique el plano técnico a cualquier suscripción que requiera autenticación multifactor de terceros o heredada.Apply the blueprint to any subscription requiring legacy or third-party multi-factor authentication.
    5. Ahora se puede usar la instancia de Active Directory que se ejecuta en Azure como extensión de la solución local de Active Directory, lo que le permite integrarse en la herramienta de autenticación multifactor existente y proporcionar autenticación basada en notificaciones, ambas a través de la funcionalidad de Active Directory existente.The instance of Active Directory running in Azure can now be used as an extension of the on-premises Active Directory solution, allowing it to integrate with the existing multi-factor authentication tool and provide claims-based authentication, both through existing Active Directory functionality.

ConclusiónConclusion

Agregar estos cambios al producto viable mínimo de gobernanza ayuda a solucionar muchos de los riesgos indicados en este artículo, lo que permite a cada equipo de adopción de la nube superar rápidamente este obstáculo.Adding these changes to the governance MVP helps remediate many of the risks in this article, allowing each cloud adoption team to quickly move past this roadblock.

Pasos siguientesNext steps

A medida que avanza la adopción de la nube y aporta valores empresariales adicionales, también cambian los riesgos y necesidades de gobernanza de la nube.As cloud adoption continues and delivers additional business value, risks and cloud governance needs will also change. Las siguientes son algunos cambios que pueden presentarse.The following are a few changes that may occur. Para esta empresa ficticia, el siguiente desencadenador es la inclusión de datos protegidos en el plan de adopción de la nube.For this fictional company, the next trigger is the inclusion of protected data in the cloud adoption plan. Este cambio requiere controles de seguridad adicionales.This change requires additional security controls.