Procedimientos recomendados para proteger y gestionar las cargas de trabajo migradas a AzureBest practices to secure and manage workloads migrated to Azure

A medida que planea y diseña la migración, además de pensar en la migración propiamente dicha, debe tener en cuenta el modelo de seguridad y administración en Azure después de la migración.As you plan and design for migration, in addition to thinking about the migration itself, you need to consider your security and management model in Azure after migration. En este artículo se describe el planeamiento y los procedimientos recomendados para proteger la implementación de Azure después de la migración.This article describes planning and best practices for securing your Azure deployment after migrating. También se abordan las tareas en curso para mantener el funcionamiento de la implementación en un nivel óptimo.It also covers ongoing tasks to keep your deployment running at an optimal level.

Importante

Los procedimientos recomendados y las opiniones que se describen en este artículo se basan en la plataforma de Azure y las características del servicio disponibles en el momento de redactar el artículo.The best practices and opinions described in this article are based on the Azure platform and service features available at the time of writing. Las características y funcionalidades cambian con el tiempo.Features and capabilities change over time.

Protección de las cargas de trabajo migradasSecure migrated workloads

Tras la migración, la tarea más crítica es proteger las cargas de trabajo migradas de amenazas internas y externas.After migration, the most critical task is to secure migrated workloads from internal and external threats. Estos procedimientos recomendados le ayudarán a hacerlo:These best practices help you to do that:

  • obtenga información sobre cómo trabajar con la supervisión, las valoraciones y las recomendaciones proporcionadas por Azure Security Center.Learn how to work with the monitoring, assessments, and recommendations provided by Azure Security Center.
  • consulte los procedimientos recomendados para cifrar los datos en Azure.Get best practices for encrypting your data in Azure.
  • proteja las máquinas virtuales frente a malware y ataques malintencionados.Protect your VMs from malware and malicious attacks.
  • proteja la información confidencial de las aplicaciones web migradas.Keep sensitive information secure in migrated web apps.
  • compruebe quién tiene acceso a las suscripciones y los recursos de Azure después de la migración.Verify who can access your Azure subscriptions and resources after migration.
  • revise los registros de auditoría y seguridad de Azure de forma periódica.Review your Azure auditing and security logs on a regular basis.
  • conozca y evalúe las características de seguridad avanzadas que ofrece Azure.Understand and evaluate advanced security features that Azure offers.

Estos procedimientos recomendados se describen con más detalle en las secciones siguientes.These best practices are described in more detail in the sections that follow.

Procedimiento recomendado: seguir las recomendaciones de Azure Security CenterBest practice: Follow Azure Security Center recommendations

Los administradores de inquilinos de Azure tienen que habilitar características de seguridad que protegen las cargas de trabajo frente a ataques.Azure tenant admins need to enable security features that protect workloads from attacks. Security Center proporciona administración de seguridad unificada.Security Center provides unified security management. Desde Security Center, puede aplicar directivas de seguridad en las cargas de trabajo, limitar la exposición a amenazas y detectar y responder a los ataques.From Security Center, you can apply security policies across workloads, limit threat exposure, and detect and respond to attacks. Security Center analiza las configuraciones y los recursos de los inquilinos de Azure y hace recomendaciones de seguridad, entre las que se incluyen:Security Center analyzes resources and configurations across Azure tenants, and makes security recommendations, including:

  • Administración de directivas centralizada: Garantice el cumplimiento de los requisitos de seguridad normativos o de la empresa administrando las directivas de seguridad de forma centralizada de las cargas de trabajo en la nube híbridas.Centralized policy management: Ensure compliance with company or regulatory security requirements by centrally managing security policies across all your hybrid cloud workloads.
  • Evaluación continua de la seguridad: supervise la seguridad de máquinas, redes, almacenamiento y servicios de datos y aplicaciones para detectar posibles problemas de seguridad.Continuous security assessment: Monitor the security posture of machines, networks, storage and data services, and applications to discover potential security issues.
  • Recomendaciones prácticas: corrija los puntos vulnerables de seguridad para evitar que puedan ser usadas por los atacantes, mediante recomendaciones de seguridad prácticas y clasificadas en orden de prioridad.Actionable recommendations: Remediate security vulnerabilities before they can be exploited by attackers, with prioritized and actionable security recommendations.
  • Alertas e incidentes clasificados por orden de prioridad: Céntrese primero en las amenazas más críticas con la clasificación en orden de prioridad de las alertas e incidentes de seguridad.Prioritized alerts and incidents: Focus on the most critical threats first, with prioritized security alerts and incidents.

Además de las evaluaciones y las recomendaciones, Security Center proporciona otras características de seguridad que se pueden habilitar para recursos específicos.In addition to assessments and recommendations, Security Center provides other security features that you can enable for specific resources.

  • Acceso Just-In-Time (JIT).Just-in-time (JIT) access. Reduzca la superficie de red expuesta a ataques mediante JIT, un acceso controlado a los puertos de administración de las VM de Azure.Reduce your network attack surface with JIT, controlled access to management ports on Azure VMs.
    • Si se tiene abierto en Internet el puerto RDP 3389 de la máquina virtual, se exponen las máquinas virtuales a la actividad continua de actores perjudiciales.Having VM RDP port 3389 open on the internet exposes VMs to continual activity from bad actors. Las direcciones IP de Azure son bien conocidas y los piratas informáticos las sondean continuamente para posibles ataques en los puertos 3389 abiertos.Azure IP addresses are well-known, and hackers continually probe them for attacks on open 3389 ports.
    • JIT utiliza grupos de seguridad de red (NSG) y reglas de entrada que limitan el tiempo que un puerto específico está abierto.JIT uses network security groups (NSGs) and incoming rules that limit the amount of time that a specific port is open.
    • Si se habilita el acceso JIT, Security Center comprueba que un usuario tenga permisos de acceso de escritura de control de acceso basado en rol de Azure (RBAC de Azure) para una VM.With JIT access enabled, Security Center checks that a user has Azure role-based access control (Azure RBAC) write access permissions for a VM. Además, puede especificar reglas para determinar cómo pueden conectarse los usuarios a las máquinas virtuales.In addition, you can specify rules for how users can connect to VMs. Si los permisos son correctos, se aprueba la solicitud de acceso y Security Center configura grupos de seguridad de red para permitir el tráfico entrante a los puertos seleccionados durante el tiempo especificado.If permissions are OK, an access request is approved, and Security Center configures NSGs to allow inbound traffic to the selected ports for the amount of time you specify. Los grupos de seguridad de red se devuelven a su estado anterior cuando expira el tiempo.NSGs return to their previous state when the time expires.
  • Controles de aplicaciones adaptables.Adaptive application controls. Use listas dinámicas de aplicaciones permitidas para controlar qué aplicaciones se ejecutan en las máquinas virtuales y protegerlas de software malintencionado.Keep software and malware off VMs by controlling which applications run on them, by using dynamic allow lists.
    • Los controles de aplicaciones adaptables le permiten aprobar aplicaciones y evitar que usuarios o administradores no autorizados instalen en las máquinas virtuales aplicaciones de software no autorizadas o que están siendo examinadas.Adaptive application controls allow you to approve applications, and prevent rogue users or administrators from installing unapproved or vetting software applications on your VMs.
      • Es posible bloquear los intentos de ejecución de aplicaciones malintencionadas o enviar alertas, evitar las aplicaciones no deseadas o malintencionadas y garantizar el cumplimiento de la directiva de seguridad de aplicaciones de su organización.You can block or alert attempts to run malicious applications, avoid unwanted or malicious applications, and ensure compliance with your organization's application security policy.
  • Supervisión de la integridad de los archivos.File Integrity Monitoring. garantice la integridad de los archivos que se ejecutan en las máquinas virtuales.Ensure the integrity of files running on VMs.
    • No es necesario instalar software para causar problemas en la máquina virtual.You don't need to install software to cause VM issues. El cambio de un archivo del sistema también puede causar la degradación del rendimiento o errores en la máquina virtual.Changing a system file can also cause VM failure or performance degradation. La funcionalidad Supervisión de la integridad de los archivos examina los archivos del sistema y la configuración del registro en busca de cambios y le avisa si algo ha cambiado.File Integrity Monitoring examines system files and registry settings for changes, and notifies you if something is updated.
    • Security Center recomienda qué archivos se deben supervisar.Security Center recommends which files you should monitor.

Más información:Learn more:

Procedimiento recomendado: Cifrado de datosBest practice: Encrypt data

El cifrado es una parte importante de los procedimientos de seguridad de Azure.Encryption is an important part of Azure security practices. Garantizar que el cifrado está habilitado en todos los niveles ayuda a prevenir que personas no autorizadas puedan tener acceso a información confidencial, incluidos los datos en tránsito y en reposo.Ensuring that encryption is enabled at all levels helps prevent unauthorized parties from gaining access to sensitive data, including data in transit and at rest.

Cifrado para la infraestructura como servicioEncryption for infrastructure as a service

  • Máquinas virtuales: para las VM, puede usar Azure Disk Encryption para cifrar los discos de las VM de infraestructura como servicio (IaaS) con Linux y Windows.Virtual machines: For VMs, you can use Azure Disk Encryption to encrypt your Windows and Linux infrastructure as a service (IaaS) VM disks.
    • Azure Disk Encryption utiliza BitLocker para Windows y dm-crypt para Linux con la finalidad de facilitar el cifrado de volúmenes para discos de datos y del sistema operativo.Azure Disk Encryption uses BitLocker for Windows, and dm-crypt for Linux, to provide volume encryption for the operating system and data disks.
    • Puede usar una clave de cifrado creada por Azure o puede proporcionar sus propias claves de cifrado protegidas en Azure Key Vault.You can use an encryption key created by Azure, or you can supply your own encryption keys, safeguarded in Azure Key Vault.
    • Azure Disk Encryption protege los datos de máquinas virtuales de IaaS cuando están en reposo (en el disco) y durante el arranque de la máquina virtual.With Azure Disk Encryption, IaaS VM data is secured at rest (on the disk) and during VM boot.
      • Security Center le avisa si tiene VM que no están cifradas.Security Center alerts you if you have VMs that aren't encrypted.
  • Storage: proteja los datos almacenados en reposo en Azure Storage.Storage: Protect at-rest data stored in Azure Storage.
    • Los datos almacenados en cuentas de Azure Storage se pueden cifrar mediante claves AES generadas por Microsoft conforme al estándar FIPS 140-2. También puede usar sus propias claves.Data stored in Azure Storage accounts can be encrypted by using Microsoft-generated AES keys that are FIPS 140-2 compliant, or you can use your own keys.
    • El cifrado de Azure Storage está habilitado para todas las cuentas de almacenamiento, nuevas o existentes, y no se puede deshabilitar.Azure Storage encryption is enabled for all new and existing storage accounts, and it can't be disabled.

Cifrado para plataforma como servicioEncryption for platform as a service

A diferencia de IaaS, en que administra sus propias VM e infraestructura, en un modelo de plataforma como servicio (PaaS), es el proveedor quien se ocupa de la administración de la infraestructura y la plataforma.Unlike IaaS, in which you manage your own VMs and infrastructure, in a platform as a service (PaaS) model platform and infrastructure is managed by the provider. El usuario puede centrarse en las funcionalidades y la lógica de la aplicación principal.You can focus on core application logic and capabilities. Con tantos tipos distintos de servicios de PaaS, cada servicio se evalúa individualmente por motivos de seguridad.With so many different types of PaaS services, each service is evaluated individually for security purposes. Por ejemplo, veamos cómo se puede habilitar el cifrado para Azure SQL Database.As an example, let's see how you might enable encryption for Azure SQL Database.

  • Always Encrypted: use el asistente de Always Encrypted en SQL Server Management Studio para proteger los datos en reposo.Always Encrypted: Use the Always Encrypted wizard in SQL Server Management Studio to protect data at rest.
    • Puede crear claves de Always Encrypted para cifrar datos de columnas individuales.You create an Always Encrypted key to encrypt individual column data.
    • Las claves de Always Encrypted se pueden almacenan cifradas en los metadatos de la base de datos o se pueden almacenar en almacenes de claves de confianza, como Azure Key Vault.Always Encrypted keys can be stored as encrypted in database metadata, or stored in trusted key stores such as Azure Key Vault.
    • Lo más probable es que, para usar esta característica, tenga que realizar cambios en la aplicación.Most likely, you'll need to make application changes to use this feature.
  • Cifrado de datos transparente (TDE) : proteja Azure SQL Database con cifrado y descifrado en tiempo real de la base de datos, las copias de seguridad asociadas y los archivos de registro de transacciones en reposo.Transparent data encryption (TDE): Protect the Azure SQL Database with real-time encryption and decryption of the database, associated backups, and transaction log files at rest.
    • TDE permite que las actividades de cifrado tengan lugar sin hacer cambios en el nivel de aplicación.TDE allows encryption activities to take place without changes at the application layer.
    • TDE puede usar las claves de cifrado proporcionadas por Microsoft, o bien el usuario puede traer su propia clave.TDE can use encryption keys provided by Microsoft, or you can bring your own key.

Más información:Learn more:

Procedimiento recomendado: protección de las máquinas virtuales con antimalwareBest practice: Protect VMs with antimalware

En particular, las máquinas virtuales anteriores migradas a Azure podrían no tener instalado el nivel adecuado de antimalware.In particular, older Azure-migrated VMs might not have the appropriate level of antimalware installed. Azure proporciona una solución de punto de conexión gratuita que ayuda a proteger las máquinas virtuales frente a virus, spyware y otro malware.Azure provides a free endpoint solution that helps protect VMs from viruses, spyware, and other malware.

  • Microsoft Antimalware para Azure Cloud Services y Virtual Machines genera alertas cuando se intenta instalar software malintencionado o no deseado conocido.Microsoft Antimalware for Azure Cloud Services and Virtual Machines generates alerts when known malicious or unwanted software tries to install itself.

  • Es una solución de un solo agente que se ejecuta en segundo plano sin intervención humana.It's a single agent solution that runs in the background without human intervention.

  • En Security Center, puede identificar las VM que no estén ejecutando la protección del punto de conexión e instalar Microsoft Antimalware según sea necesario.In Security Center, you can identify VMs that don't have endpoint protection running and install Microsoft antimalware as needed.

    Captura de pantalla de antimalware para máquinas virtuales. Figura 1: Antimalware para máquinas virtuales.Screenshot of Antimalware for VMs. Figure 1: Antimalware for VMs.

Más información:Learn more:

Procedimiento recomendado: protección de aplicaciones webBest practice: Secure web apps

Las aplicaciones web migradas se enfrentan a un par de problemas:Migrated web apps face a couple of issues:

  • La mayoría de las aplicaciones web heredadas tienden a tener información confidencial dentro de los archivos de configuración.Most legacy web applications tend to have sensitive information inside configuration files. Los archivos que contienen dicha información pueden presentar problemas de seguridad al hacer copias de seguridad de las aplicaciones o cuando el código de las aplicaciones se confirma o extrae del control de código fuente.Files containing such information can present security issues when applications are backed up, or when application code is checked into or out of source control.
  • Además, al migrar aplicaciones web que residen en una máquina virtual, es probable que mueva esa máquina desde una red local y un entorno protegido mediante firewall a un entorno abierto a Internet.When you migrate web apps residing in a VM, you're likely moving that machine from an on-premises network and firewall-protected environment, to an environment facing the internet. Asegúrese de que configura una solución que lleve a cabo el trabajo de los recursos de protección locales.Make sure that you set up a solution that does the same work as your on-premises protection resources.

Azure proporciona las soluciones siguientes:Azure provides the following solutions:

  • Azure Key Vault: hoy en día, los desarrolladores de aplicaciones web dan pasos para asegurarse de que la información confidencial no se filtra de estos archivos.Azure Key Vault: Today, web app developers are taking steps to ensure that sensitive information isn't leaked from these files. Un método para proteger la información consiste en extraerla de los archivos y colocarla en una instancia de Azure Key Vault.One method to secure information is to extract it from files and put it into an Azure Key Vault.

    • Puede usar Key Vault para centralizar el almacenamiento de secretos de aplicación y controlar su distribución.You can use Key Vault to centralize storage of application secrets, and control their distribution. Así se evita la necesidad de almacenar información de seguridad en los archivos de aplicación.It avoids the need to store security information in application files.
    • Las aplicaciones pueden acceder de forma segura a la información del almacén mediante identificadores URI, sin necesidad de código personalizado.Applications can securely access information in the vault by using URIs, without needing custom code.
    • Azure Key Vault le permite bloquear el acceso mediante los controles de seguridad de Azure e implementar a la perfección claves de rotación.Azure Key Vault allows you to lock down access via Azure security controls, and to seamlessly implement rolling keys. Microsoft no puede ver ni extraer sus datos.Microsoft doesn't see or extract your data.
  • App Service Environment para Power Apps: si una aplicación que haya migrado necesita más protección, puede incorporar App Service Environment y el firewall de aplicaciones web para proteger los recursos de aplicación.App Service Environment for Power Apps: If an application that you migrate needs extra protection, consider adding App Service Environment and Web Application Firewall to protect the application resources.

    • App Service Environment proporciona un entorno completamente aislado y dedicado para ejecutar aplicaciones. Por ejemplo, aplicaciones web de Windows y Linux, contenedores de Docker, aplicaciones móviles y aplicaciones de funciones.App Service Environment provides a fully isolated and dedicated environment for running applications, such as Windows and Linux web apps, Docker containers, mobile apps, and function apps.
    • Resulta útil para aplicaciones que ofrecen una gran escalabilidad, requieren aislamiento y acceso seguro a la red, o bien consumen mucha memoria.It's useful for applications that are very high scale, require isolation and secure network access, or have high memory utilization.
  • Firewall de aplicaciones web: una característica de Azure Application Gateway que ofrece una protección centralizada para las aplicaciones web.Web Application Firewall: This is a feature of Azure Application Gateway that provides centralized protection for web apps.

    • Protege las aplicaciones web sin necesidad de modificaciones en el código de back-end.It protects web apps without requiring back-end code modifications.
    • Protege varias aplicaciones web al mismo tiempo mediante Application Gateway.It protects multiple web apps at the same time, behind Application Gateway.
    • Puede supervisar el Firewall de aplicaciones web mediante Azure Monitor.You can monitor Web Application Firewall by using Azure Monitor. Web Application Firewall está integrado en Security Center.Web Application Firewall is integrated into Security Center.

    Diagrama de Azure Key Vault y aplicaciones web seguras. Figura 2: Azure Key Vault.Diagram of Azure Key Vault and secure web apps. Figure 2: Azure Key Vault.

Más información:Learn more:

Procedimiento recomendado: revisión de suscripciones y permisos de recursosBest practice: Review subscriptions and resource permissions

Al migrar las cargas de trabajo y ejecutarlas en Azure, el personal con acceso a las cargas de trabajo varía.As you migrate your workloads and run them in Azure, staff with workload access move around. El equipo de seguridad debe revisar el acceso a los grupos de recursos y el inquilino de Azure de forma periódica.Your security team should review access to your Azure tenant and resource groups on a regular basis. Azure incluye ofertas de administración de identidades y seguridad de control de acceso, incluido el control de acceso basado en rol de Azure (RBAC de Azure), para autorizar los permisos para acceder a los recursos de Azure.Azure has offerings for identity management and access control security, including Azure role-based access control (Azure RBAC) to authorize permissions to access Azure resources.

  • RBAC de Azure asigna los permisos de acceso para las entidades de seguridad.Azure RBAC assigns access permissions for security principals. Las entidades de seguridad representan a usuarios, grupos (conjuntos de usuarios), entidades de servicio (identidades usadas por aplicaciones y servicios) e identidades administradas (es decir, identidades de Azure Active Directory administradas automáticamente por Azure).Security principals represent users, groups (a set of users), service principals (identity used by applications and services), and managed identities (an Azure Active Directory identity automatically managed by Azure).
  • RBAC de Azure puede asignar roles a las entidades de seguridad (como las de propietario, colaborador y lector) y definiciones de rol (una colección de permisos) que definen las operaciones que los roles pueden realizar.Azure RBAC can assign roles to security principals (such as Owner, Contributor, and Reader) and role definitions (a collection of permissions) that define the operations that the roles can perform.
  • RBAC de Azure también puede establecer los ámbitos que definen el límite de un rol.Azure RBAC can also set scopes that set the boundary for a role. El ámbito se puede establecer en varios niveles, como un grupo de administración, una suscripción, un grupo de recursos o un recurso.The scope can be set at several levels, including a management group, subscription, resource group, or resource.
  • Asegúrese de que los administradores con acceso a Azure solo pueden acceder a los recursos que desea permitir.Ensure that admins with Azure access can access only resources that you want to allow. Si los roles predefinidos de Azure no son lo suficientemente pormenorizados, puede crear roles personalizados para separar y limitar los permisos de acceso.If the predefined roles in Azure aren't granular enough, you can create custom roles to separate and limit access permissions.

Asegúrese de que los administradores con acceso a Azure solo pueden acceder a los recursos que desea permitir.Ensure that admins with Azure access can access only resources that you want to allow. Si los roles predefinidos de Azure no son lo suficientemente pormenorizados, puede crear roles personalizados para separar y limitar los permisos de acceso.If the predefined roles in Azure aren't granular enough, you can create custom roles to separate and limit access permissions.

Captura de pantalla de Access Control.Screenshot of Access control. Figura 3: Control de acceso.Figure 3: Access control.

Más información:Learn more:

Procedimiento recomendado: revisión de los registros de auditoría y seguridadBest practice: Review audit and security logs

Azure AD proporciona registros de actividad que aparecen en Azure Monitor.Azure AD provides activity logs that appear in Azure Monitor. Los registros capturan las operaciones realizadas en el inquilino de Azure, cuándo se produjeron y quién las realizó.The logs capture the operations performed in Azure tenancy, when they occurred, and who performed them.

  • Los registros de auditoría muestran el historial de tareas del inquilino.Audit logs show the history of tasks in the tenant. Los registros de actividad de inicio de sesión registros muestran quién llevó a cabo las tareas.Sign-in activity logs show who carried out the tasks.

  • El acceso a los informes de seguridad depende de la licencia de Azure AD.Access to security reports depends on your Azure AD license. Con las licencias gratuitas y básicas, obtendrá una lista de usuarios e inicios de sesión de riesgo. Con las licencias Prémium, obtiene información de eventos subyacentes.With the free and basic licenses, you get a list of risky users and sign-ins. With the premium licenses, you get underlying event information.

  • Puede enrutar los registros de actividad a varios puntos de conexión para la retención a largo plazo y obtención de conclusiones sobre los datos.You can route activity logs to various endpoints for long-term retention and data insights.

  • Convierta en una práctica común la revisión de los registros o integre las herramientas de administración de eventos e información de seguridad (SIEM) para revisar automáticamente las anomalías.Make it a common practice to review the logs, or integrate your security information and event management (SIEM) tools to automatically review abnormalities. Si no usa una edición Prémium, tendrá que hacer un análisis en profundidad usted mismo o mediante el sistema SIEM.If you're not using a premium license, you'll need to do a lot of analysis yourself, or by using your SIEM system. El análisis incluye la búsqueda de inicios de sesión en riesgo y eventos y otros patrones de ataque del usuario.Analysis includes looking for risky sign-ins and events, and other user attack patterns.

    Captura de pantalla de Usuarios y grupos de Azure AD. Figura 4: Usuarios y grupos de Azure AD.Screenshot of Azure AD Users and groups. Figure 4: Azure AD users and groups.

Más información:Learn more:

Procedimiento recomendado: evaluación de otras características de seguridadBest practice: Evaluate other security features

Azure proporciona otras características de seguridad que ofrecen opciones avanzadas de seguridad.Azure provides other security features that provide advanced security options. Observe que algunos de estos procedimientos recomendados requieren licencias adicionales y opciones Prémium.Note that some of the following best practices require add-on licenses and premium options.

  • Implementación de unidades administrativas de Azure AD.Implement Azure AD administrative units (AU). la delegación de derechos administrativos al personal de soporte técnico puede resultar complicada con el control de acceso básico de Azure.Delegating administrative duties to support staff can be tricky with just basic Azure access control. Otorgar al personal de soporte técnico acceso para administrar todos los grupos de Azure AD podría no ser el enfoque ideal para la seguridad de la organización.Giving support staff access to administer all the groups in Azure AD might not be the ideal approach for organizational security. El uso de AU le permite separar los recursos de Azure en contenedores de forma similar a las unidades organizativas (UO) de un entorno local.Using AU allows you to segregate Azure resources into containers in a similar way to on-premises organizational units (OUs). Para utilizar AU, el administrador de AU debe tener una licencia de Azure AD prémium.To use AUs, the AU admin must have a premium Azure AD license. Para obtener más información, consulte Administración de unidades administrativas en Azure AD.For more information, see Administrative units management in Azure AD.
  • Uso de Multi-factor Authentication.Use multi-factor authentication. Si tiene una licencia de Azure AD Premium, puede habilitar y aplicar la autenticación multifactor en las cuentas de administrador.If you have a premium Azure AD license, you can enable and enforce multi-factor authentication on your admin accounts. La suplantación de identidad es la manera más común de poner en peligro las credenciales de las cuentas.Phishing is the most common way that accounts credentials are compromised. Si un actor perjudicial consigue unas credenciales de cuenta de administrador, no hay ningún freno posible ante acciones de gran alcance como la eliminación de todos los grupos de recursos.When a bad actor has admin account credentials, there's no stopping them from far-reaching actions, such as deleting all of your resource groups. Puede establecer la autenticación multifactor de varias maneras como, por ejemplo, con correo electrónico, una aplicación autenticadora y mensajes de texto de teléfono.You can establish multi-factor authentication in several ways, including with email, an authenticator app, and phone text messages. Como administrador puede seleccionar la opción menos intrusiva.As an administrator, you can select the least intrusive option. La autenticación multifactor se integra con el análisis de amenazas y las directivas de acceso condicional para solicitar aleatoriamente la respuesta a un desafío de autenticación multifactor.Multi-factor authentication integrates with threat analytics and conditional access policies to randomly require a multi-factor authentication challenge response. Más información sobre la guía de seguridad y cómo configurar la autenticación multifactor.Learn more about security guidance, and how to set up multi-factor authentication.
  • Implementación del acceso condicional.Implement conditional access. En la mayoría de las organizaciones pequeñas y medianas, los administradores y el equipo de soporte técnico de Azure probablemente están en una misma ubicación geográfica.In most small and medium-sized organizations, Azure admins and the support team are probably located in a single geography. En este caso, la mayoría de los inicios de sesión provienen de las mismas áreas.In this case, most sign-ins come from the same areas. Si las direcciones IP de estas ubicaciones son lo bastante estáticas, tendría sentido que no se vieran inicios de sesión de administrador fuera de estas áreas.If the IP addresses of these locations are fairly static, it makes sense that you shouldn't see administrator sign-ins from outside these areas. Incluso si un actor perjudicial remoto pone en peligro las credenciales de administrador, puede implementar características de seguridad, como el acceso condicional combinado con la autenticación multifactor, para evitar el inicio de sesión desde ubicaciones remotas.Even if a remote bad actor compromises an administrator's credentials, you can implement security features like conditional access, combined with multi-factor authentication, to prevent signing in from remote locations. Esto también puede impedir ubicaciones suplantadas desde direcciones IP aleatorias.This can also prevent spoofed locations from random IP addresses. Obtenga más información sobre el acceso condicional y revise los procedimientos recomendados para el acceso condicional en Azure AD.Learn more about conditional access and review best practices for conditional access in Azure AD.
  • Revisión de los permisos de las aplicaciones empresariales.Review enterprise application permissions. Con el paso del tiempo, los administradores pueden seleccionar vínculos de Microsoft y de terceros sin conocer su efecto en la organización.Over time, admins select Microsoft and third-party links without knowing their affect on the organization. Los vínculos pueden presentar pantallas de consentimiento que asignan permisos a las aplicaciones de Azure.Links can present consent screens that assign permissions to Azure apps. Esto podría permitir el acceso para leer datos de Azure AD o incluso acceso completo para administrar toda la suscripción de Azure.This might allow access to read Azure AD data, or even full access to manage your entire Azure subscription. Es recomendable revisar periódicamente las aplicaciones a través de las que los administradores y usuarios han permitido el acceso a recursos de Azure.You should regularly review the applications to which your admins and users have allowed access to Azure resources. Asegúrese de que estas aplicaciones solo tengan asociados los permisos necesarios.Ensure that these applications have only the permissions that are necessary. Además, con carácter trimestral o semestral, puede enviar por correo electrónico a los usuarios un vínculo a páginas de aplicaciones para que sepan cuáles son las aplicaciones a través de las que han permitido el acceso a datos de su organización.Additionally, quarterly or semi-annually you can email users with a link to application pages, so that they're aware of the applications to which they've allowed access to their organizational data. Para más información, consulte Aplicación inesperada en mi lista de aplicaciones y cómo controlar las asignaciones de aplicaciones en Azure AD.For more information, see Unexpected application in my applications list, and how to control application assignments in Azure AD.

Administración de las cargas de trabajo migradasManaged migrated workloads

En las secciones siguientes se indican algunos procedimientos recomendados para la administración de Azure, por ejemplo:In the following sections, we'll recommend some best practices for Azure management, including:

  • procedimientos recomendados para los grupos de recursos y los recursos de Azure, como la nomenclatura inteligente, la prevención de la eliminación accidental, la administración de los permisos de recursos y el etiquetado eficaz de los recursos.Best practices for Azure resource groups and resources, including smart naming, preventing accidental deletion, managing resource permissions, and effective resource tagging.
  • obtenga una visión general rápida sobre el uso de planos técnicos para crear y administrar los entornos de implementación.Get a quick overview on using blueprints for building and managing your deployment environments.
  • revise arquitecturas de Azure de ejemplo para obtener información al crear las implementaciones posteriores a la migración.Review sample Azure architectures to learn from as you build your post-migration deployments.
  • si tiene varias suscripciones, puede reunirlas en grupos de administración y aplicar la configuración de gobernanza a esos grupos.If you have multiple subscriptions, you can gather them into management groups, and apply governance settings to those groups.
  • aplique directivas de cumplimiento a los recursos de Azure.Apply compliance policies to your Azure resources.
  • elabore una estrategia de continuidad empresarial y recuperación ante desastres (BCDR) para mantener los datos seguros, el entorno resistente y los recursos activos y en ejecución cuando se producen interrupciones.Put together a business continuity and disaster recovery (BCDR) strategy to keep data safe, your environment resilient, and resources up and running when outages occur.
  • agrupe las máquinas virtuales en grupos de disponibilidad para alta disponibilidad y resistencia.Group VMs into availability groups for resilience and high availability. Use discos administrados para facilitar la administración de los discos y el almacenamiento de la máquina virtual.Use managed disks for ease of VM disk and storage management.
  • habilite el registro de diagnóstico para los recursos de Azure, cree alertas y cuadernos de estrategias para la solución proactiva de problemas y use el panel de Azure para obtener una vista unificada del mantenimiento y el estado de la implementación.Enable diagnostic logging for Azure resources, build alerts and playbooks for proactive troubleshooting, and use the Azure dashboard for a unified view of your deployment health and status.
  • Conozca el plan de soporte técnico de Azure y cómo implementarlo, consulte los procedimientos recomendados para mantener actualizadas las máquinas virtuales y ponga en marcha procesos para la administración de los cambios.Understand your Azure Support plan and how to implement it, get best practices for keeping VMs up-to-date, and put processes in place for change management.

Procedimiento recomendado: nomenclatura de los grupos de recursosBest practice: Name resource groups

Asegúrese de que los grupos de recursos tengan nombres significativos que los administradores y los miembros del equipo de soporte técnico puedan reconocer y examinar con facilidad.Ensure that your resource groups have meaningful names that admins and support team members can easily recognize and scan. De esta forma, puede mejorar significativamente la productividad y la eficacia.This can drastically improve productivity and efficiency.

Si va a sincronizar Active Directory local con Azure AD mediante Azure AD Connect, considere la posibilidad de hacer coincidir los nombres de los grupos de seguridad locales con los nombres de los grupos de recursos de Azure.If you're synchronizing your on-premises Active Directory to Azure AD by using Azure AD Connect, consider matching the names of security groups on-premises to the names of resource groups in Azure.

Captura de pantalla de la nomenclatura de los grupos de recursos.Screenshot of resource group naming. Ilustración 5: Nomenclatura de los grupos de recursos.Figure 5: Resource group naming.

Más información:Learn more:

Procedimiento recomendado: implementación de bloqueos de eliminación para grupos de recursosBest practice: Implement delete locks for resource groups

Lo último que necesita es que un grupo de recursos desaparezca porque se eliminó accidentalmente.The last thing you need is for a resource group to disappear because it was deleted accidentally. Se recomienda implementar bloqueos de eliminación para que esto no suceda.We recommend that you implement delete locks, so that this doesn't happen.

Captura de pantalla de los bloqueos de eliminación.Screenshot of delete locks. Ilustración 6: Bloqueos de eliminación.Figure 6: Delete locks.

Más información:Learn more:

Procedimiento recomendado: descripción de los permisos de acceso a los recursosBest practice: Understand resource access permissions

Un propietario de la suscripción tiene acceso a todos los grupos de recursos y recursos de la suscripción.A subscription owner has access to all the resource groups and resources in your subscription.

  • Agregue personas con moderación a esta asignación valiosa.Add people sparingly to this valuable assignment. Comprender las ramificaciones de estos tipos de permisos es importante para mantener el entorno seguro y estable.Understanding the ramifications of these types of permissions is important in keeping your environment secure and stable.
  • Asegúrese de colocar los recursos en los grupos de recursos adecuados:Make sure you place resources in appropriate resource groups:
    • Agrupe los recursos con un ciclo de vida similar.Match resources with a similar lifecycle together. Idealmente, no debería ser necesario mover un recurso cuando se necesita eliminar un grupo de recursos completo.Ideally, you shouldn't need to move a resource when you need to delete an entire resource group.
    • Los recursos que posibilitan una función o una carga de trabajo se deben colocar juntos para una administración simplificada.Resources that support a function or workload should be placed together for simplified management.

Más información:Learn more:

Procedimiento recomendado: etiquetado eficaz de los recursosBest practice: Tag resources effectively

A menudo, solo el uso de un nombre de grupo de recursos relacionado con los recursos no proporciona suficientes metadatos para la implementación eficaz de mecanismos como la facturación interna o la administración dentro de una suscripción.Often, using only a resource group name related to resources won't provide enough metadata for effective implementation of mechanisms, such as internal billing or management within a subscription.

  • Como procedimiento recomendado, use etiquetas de Azure para agregar metadatos útiles que se pueden consultar y sobre los que se puede informar.As a best practice, use Azure tags to add useful metadata that can be queried and reported on.

  • Las etiquetas proporcionan una manera de organizar lógicamente los recursos con las propiedades que defina.Tags provide a way to logically organize resources with properties that you define. Las etiquetas se pueden aplicar a grupos de recursos o directamente a recursos.Tags can be applied to resource groups or resources directly.

  • Las etiquetas se pueden aplicar en un grupo de recursos o en recursos individuales.Tags can be applied on a resource group or on individual resources. Los recursos del grupo no heredan las etiquetas del grupo de recursos.Resource group tags aren't inherited by the resources in the group.

  • Puede automatizar el etiquetado con PowerShell o Azure Automation, o bien etiquetar grupos y recursos individuales.You can automate tagging by using PowerShell or Azure Automation, or tag individual groups and resources.

  • Si tiene en funcionamiento un sistema de administración de cambios y solicitudes, puede usar fácilmente la información de la solicitud para rellenar las etiquetas de recursos específicos de la empresa.If you have a request and change management system in place, then you can easily use the information in the request to populate your company-specific resource tags.

    Captura de pantalla del etiquetado. Figura 7: Etiquetado.Screenshot of tagging. Figure 7: Tagging.

Más información:Learn more:

Procedimiento recomendado: implementación de planos técnicosBest practice: Implement blueprints

Del mismo modo que un plano técnico permite a los ingenieros y arquitectos esbozar los parámetros de diseño de un proyecto, el servicio Azure Blueprints permite que los arquitectos de nube y los grupos de TI centrales definan un conjunto repetible de recursos de Azure.Just as a blueprint allows engineers and architects to sketch a project's design parameters, the Azure Blueprints service enables cloud architects and central IT groups to define a repeatable set of Azure resources. Esto les ayuda a implementar y a cumplir los estándares, patrones y requisitos de una organización.This helps them to implement and adhere to an organization's standards, patterns, and requirements. Con Azure Blueprints, los equipos de desarrollo pueden crear y construir rápidamente nuevos entornos que cumplan los requisitos de cumplimiento de la organización.Using Azure Blueprints, development teams can rapidly build and create new environments that meet organizational compliance requirements. Estos nuevos entornos tienen un conjunto de componentes integrados, como redes, para acelerar el desarrollo y la entrega.These new environments have a set of built-in components, such as networking, to speed up development and delivery.

  • Utilice planos técnicos para organizar la implementación de grupos de recursos, plantillas de Azure Resource Manager y asignaciones de roles y directivas.Use blueprints to orchestrate the deployment of resource groups, Azure Resource Manager templates, and policy and role assignments.
  • Almacene los planos técnicos en un servicio distribuido globalmente, Azure Cosmos DB.Store blueprints in a globally distributed service, Azure Cosmos DB. Los objetos de plano técnico se replican en varias regiones de Azure.Blueprint objects are replicated to multiple Azure regions. La replicación proporciona una baja latencia, una alta disponibilidad y un acceso coherente a un plano técnico, con independencia de la región en la que este implemente los recursos.Replication provides low latency, high availability, and consistent access to a blueprint, regardless of the region to which a blueprint deploys resources.

Más información:Learn more:

Procedimiento recomendado: revisión de las arquitecturas de referencia de AzureBest practice: Review Azure reference architectures

Crear cargas de trabajo seguras, escalables y fáciles de administrar en Azure puede ser abrumador.Building secure, scalable, and manageable workloads in Azure can be daunting. Con los continuos cambios, puede resultar difícil mantenerse al día con las diferentes características para un entorno óptimo.With continual changes, it can be difficult to keep up with different features for an optimal environment. Tener una referencia de la que aprender puede ser útil al diseñar y migrar las cargas de trabajo.Having a reference to learn from can be helpful when designing and migrating your workloads. Azure y sus asociados han desarrollado varias arquitecturas de referencia de ejemplo para varios tipos de entornos.Azure and Azure partners have built several sample reference architectures for various types of environments. Estos ejemplos están diseñados para proporcionar ideas para aprender y crear a partir de ellas.These samples are designed to provide ideas that you can learn from and build on.

Las arquitecturas de referencia están organizadas por escenario.Reference architectures are arranged by scenario. Contienen procedimientos recomendados y consejos sobre administración, disponibilidad, escalabilidad y seguridad.They contain best practices and advice on management, availability, scalability, and security. App Service Environment proporciona un entorno completamente aislado y dedicado para ejecutar las aplicaciones. Por ejemplo, las aplicaciones web de Windows y Linux, los contenedores de Docker, las aplicaciones móviles y las aplicaciones de funciones.App Service Environment provides a fully isolated and dedicated environment for running applications, such as Windows and Linux web apps, Docker containers, mobile apps, and functions. App Service agrega a la aplicación las funcionalidades de Azure, con seguridad, equilibrio de carga, escalabilidad automática y administración automatizada.App Service adds the power of Azure to your application, with security, load balancing, autoscaling, and automated management. También puede sacar partido de sus funcionalidades de DevOps, por ejemplo, la implementación continua desde Azure DevOps y GitHub, la administración de paquetes, los entornos de ensayo, el dominio personalizado y los certificados SSL.You can also take advantage of its DevOps capabilities, such as continuous deployment from Azure DevOps and GitHub, package management, staging environments, custom domain, and SSL certificates. App Service es útil para las aplicaciones que requieren aislamiento y acceso seguro a la red y para aquellas que consumen gran cantidad de memoria y otros recursos que requieren escalabilidad.App Service is useful for applications that need isolation and secure network access, and those that use high amounts of memory and other resources that need to scale.

Más información:Learn more:

Procedimiento recomendado: Administración de recursos con grupos de administración de AzureBest practice: Manage resources with Azure management groups

Si la organización tiene varias suscripciones, deberá administrar el acceso, las directivas y su cumplimiento.If your organization has multiple subscriptions, you need to manage access, policies, and compliance for them. Los grupos de administración de Azure proporcionan un nivel de ámbito por encima de las suscripciones.Azure management groups provide a level of scope above subscriptions. A continuación se incluyen algunas sugerencias:Here are some tips:

  • Las suscripciones se organizan en contenedores llamados grupos de administración, a los que se aplican las condiciones de gobernanza.You organize subscriptions into containers called management groups, and apply governance conditions to them.
  • Todas las suscripciones de un grupo de administración heredan automáticamente las condiciones del grupo de administración.All subscriptions in a management group automatically inherit the management group conditions.
  • Los grupos de administración proporcionan una administración de nivel empresarial a gran escala con independencia del tipo de suscripciones que tenga.Management groups provide large-scale, enterprise-grade management, no matter what type of subscriptions you have.
  • Por ejemplo, puede aplicar una directiva de grupo de administración que limita las regiones en las que se pueden crear máquinas virtuales.For example, you can apply a management group policy that limits the regions in which VMs can be created. Esta directiva se aplica a todos los grupos de administración, las suscripciones y los recursos de ese grupo de administración.This policy is then applied to all management groups, subscriptions, and resources under that management group.
  • Puede crear una estructura flexible de grupos de administración y suscripciones para organizar los recursos en una jerarquía para la administración unificada de las directivas y el acceso.You can build a flexible structure of management groups and subscriptions, to organize your resources into a hierarchy for unified policy and access management.

El diagrama siguiente muestra un ejemplo de creación de una jerarquía para la gobernanza mediante grupos de administración.The following diagram shows an example of creating a hierarchy for governance by using management groups.

Diagrama de grupos de administración.Diagram of management groups. Ilustración 8: Grupos de administración.Figure 8: Management groups.

Más información:Learn more:

Procedimiento recomendado: implementación de Azure PolicyBest practice: Deploy Azure Policy

Azure Policy es un servicio que se usa para crear, asignar y administrar directivas.Azure Policy is a service that you use to create, assign, and manage policies. Las directivas aplican distintas reglas y efectos a los recursos, con el fin de que estos sigan cumpliendo los estándares corporativos y los contratos de nivel de servicio.Policies enforce different rules and effects over your resources, so those resources stay compliant with your corporate standards and service-level agreements.

Azure Policy evalúa los recursos y los examina en busca de los que no son compatibles con las directivas.Azure Policy evaluates your resources, scanning for those not compliant with your policies. Por ejemplo, puede crear una directiva que permita solo un tamaño específico de SKU para las máquinas virtuales del entorno.For example, you can create a policy that allows only a specific SKU size for VMs in your environment. Azure Policy evaluará esta configuración al crear y actualizar los recursos, y al buscar los recursos existentes.Azure Policy will evaluate this setting when you create and update resources, and when scanning existing resources. Tenga en cuenta que Azure proporciona algunas directivas integradas que puede asignar o bien puede crear las suyas propias.Note that Azure provides some built-in policies that you can assign, or you can create your own.

Captura de pantalla de Azure Policy.Screenshot of Azure Policy. Ilustración 9: Azure Policy.Figure 9: Azure Policy.

Más información:Learn more:

Procedimiento recomendado: implementación de una estrategia de BCDRBest practice: Implement a BCDR strategy

El planeamiento de BCDR es un ejercicio esencial que se debe realizar como parte del proceso de planeamiento de la migración de Azure.Planning for BCDR is a critical exercise that you should complete as part of your Azure migration planning process. En términos legales, los contratos pueden incluir una cláusula de fuerza mayor que exima de las obligaciones debido a una fuerza mayor, como los huracanes o los terremotos.In legal terms, your contracts might include a force majeure clause that excuses obligations due to a greater force, such as hurricanes or earthquakes. No obstante, debe asegurarse de que los servicios esenciales siguen funcionando y se recuperan si se produce un desastre.But you must ensure that essential services continue to run and recover when disaster strikes. La capacidad de hacer esto puede crear o interrumpir el futuro de su empresa.Your ability to do this can make or break your company's future.

En general, la estrategia de BCDR debe tener en cuenta:Broadly, your BCDR strategy must consider:

  • Copia de seguridad de datos: cómo mantener seguros los datos para una recuperación sencilla si se producen interrupciones.Data backup: How to keep your data safe so that you can recover it easily if outages occur.
  • Recuperación ante desastres: cómo garantizar la resistencia y la disponibilidad de las aplicaciones si se producen interrupciones del servicio.Disaster recovery: How to keep your applications resilient and available if outages occur.

Configuración de BCDRSet up BCDR

Al migrar a Azure, tenga en cuenta que, aunque la plataforma Azure proporcione algunas funcionalidades de resistencia integradas, debe diseñar la implementación de Azure para sacarles el máximo partido.When migrating to Azure, understand that although the Azure platform provides some built-in resiliency capabilities, you need to design your Azure deployment to take advantage of them.

  • La solución de BCDR dependerá de los objetivos de la empresa y estará influida por la estrategia de implementación en Azure.Your BCDR solution will depend on your company objectives, and is influenced by your Azure deployment strategy. Las implementaciones de infraestructura como servicio (IaaS) y plataforma como servicio (PaaS) presentan diversos desafíos para BCDR.Infrastructure as a service (IaaS) and platform as a service (PaaS) deployments present different challenges for BCDR.
  • Una vez en funcionamiento, las soluciones de BCDR se deben probar con regularidad para comprobar que la estrategia sigue siendo viable.After they are in place, your BCDR solutions should be tested regularly to check that your strategy remains viable.

Copia de seguridad de una implementación de IaaSBack up an IaaS deployment

En la mayoría de los casos, una carga de trabajo local se retira tras la migración y la estrategia local para copias de seguridad se debe extender o reemplazar.In most cases, an on-premises workload is retired after migration, and your on-premises strategy for backing up data must be extended or replaced. Si migra todo el centro de datos a Azure, tendrá que diseñar e implementar una solución de copia de seguridad completa con tecnologías de Azure o soluciones de terceros integradas.If you migrate your entire datacenter to Azure, you'll need to design and implement a full backup solution by using Azure technologies, or third-party integrated solutions.

Para cargas de trabajo que se ejecutan en máquinas virtuales de IaaS de Azure, tenga en cuenta estas soluciones de copia de seguridad:For workloads running on Azure IaaS VMs, consider these backup solutions:

  • Azure Backup: proporciona copias de seguridad coherentes con la aplicación para máquinas virtuales Windows y Linux de Azure.Azure Backup: Provides application-consistent backups for Azure Windows and Linux VMs.
  • Instantáneas de almacenamiento: toma instantáneas de Blob Storage.Storage snapshots: Takes snapshots of Blob Storage.

Azure BackupAzure Backup

Azure Backup crea puntos de recuperación de datos que se almacenan en Azure Storage.Azure Backup creates data recovery points that are stored in Azure Storage. Azure Backup puede hacer una copia de seguridad de discos de máquina virtual de Azure y de Azure Files (versión preliminar).Azure Backup can back up Azure VM disks, and Azure Files (preview). Azure Files proporciona recursos compartidos de archivos en la nube, accesibles mediante Bloques de mensajes del servidor.Azure Files provide file shares in the cloud, accessible via Server Message Block (SMB).

Puede usar Azure Backup para realizar una copia de seguridad de las máquinas virtuales de las siguientes maneras:You can use Azure Backup to back up VMs in the following ways:

  • Copia de seguridad directa desde la configuración de la máquina virtual:Direct backup from VM settings. puede realizar copias de seguridad de máquinas virtuales con Azure Backup directamente desde las opciones de la máquina virtual en Azure Portal.You can back up VMs with Azure Backup directly from the VM options in the Azure portal. Puede realizar una copia de seguridad de la VM una vez al día y restaurar el disco de la VM cuando sea necesario.You can back up the VM once per day, and you can restore the VM disk as needed. Azure Backup toma instantáneas de datos con reconocimiento de aplicaciones y no se instala ningún agente en la máquina virtual.Azure Backup takes application-aware data snapshots, and no agent is installed on the VM.
  • Copia de seguridad directa en un almacén de Recovery Services:Direct backup in a Recovery Services vault. puede realizar copias de seguridad de las máquinas virtuales de IaaS mediante la implementación de un almacén de Azure Backup Recovery Services.You can back up your IaaS VMs by deploying an Azure Backup Recovery Services vault. De esta forma, se proporciona una ubicación única para realizar el seguimiento y la administración de las copias de seguridad así como opciones de copia de seguridad y restauración pormenorizadas.This provides a single location to track and manage backups, as well as granular backup and restore options. La copia de seguridad se realiza hasta tres veces al día, en los niveles de archivo y de carpeta.Backup is up to three times a day, at the file and folder levels. No son copias basadas en la aplicación y no son compatibles con Linux.It isn't application-aware, and Linux isn't supported. Instale el agente de Microsoft Azure Recovery Services (MARS) en cada máquina virtual de la que quiera realizar copias de seguridad mediante este método.Install the Microsoft Azure recovery services (MARS) agent on each VM that you want to back up by using this method.
  • Protección de la máquina virtual en Azure Backup Server.Protect the VM to Azure Backup server. Azure Backup Server se proporciona de forma gratuita con Azure Backup.Azure Backup server is provided free with Azure Backup. Una copia de seguridad de la máquina virtual se crea en el almacenamiento local de Azure Backup Server.The VM is backed up to local Azure Backup server storage. A continuación, se hace una copia de seguridad de Azure Backup Server en Azure, en un almacén.You then back up the Azure Backup server to Azure in a vault. Es una copia de seguridad basada en la aplicación, con una granularidad completa en la frecuencia y la retención de la copia de seguridad.Backup is application-aware, with full granularity over backup frequency and retention. Puede hacer una copia de seguridad en el nivel de la aplicación. Por ejemplo, al crear una copia de seguridad de SQL Server o SharePoint.You can back up at the application level, for example by backing up SQL Server or SharePoint.

Por seguridad, Azure Backup cifra los datos sobre la marcha mediante AES-256.For security, Azure Backup encrypts data in-flight by using AES-256. Los envía a Azure a través de HTTPS.It sends it over HTTPS to Azure. Los datos en reposo de la copia de seguridad se cifran mediante el cifrado de Azure Storage.Backed-up data-at-rest in Azure is encrypted by using Azure Storage encryption.

Captura de pantalla de Azure Backup. Figura 10: Azure Backup.Screenshot of Azure Backup. Figure 10: Azure Backup.

Más información:Learn more:

Instantáneas de almacenamientoStorage snapshots

Las máquinas virtuales de Azure se almacenan como blobs en páginas en Azure Storage.Azure VMs are stored as page blobs in Azure Storage. Dichas instantáneas capturan el estado del blob en un momento específico del tiempo.Snapshots capture the blob state at a specific point in time. Como un método de copia de seguridad alternativo para discos de máquina virtual de Azure, puede tomar una instantánea de los blobs de almacenamiento y copiarlos en otra cuenta de almacenamiento.As an alternative backup method for Azure VM disks, you can take a snapshot of storage blobs and copy them to another storage account.

Puede copiar un blob completo o utilizar una copia de instantánea incremental para copiar solo los cambios incrementales y reducir el espacio de almacenamiento.You can copy an entire blob, or use an incremental snapshot copy to copy only delta changes and reduce storage space. Como precaución adicional, puede habilitar la eliminación temporal para las cuentas de Blob Storage.As an extra precaution, you can enable soft delete for Blob Storage accounts. Con esta característica habilitada, un blob eliminado se puede marcar para su eliminación, pero no se purga inmediatamente.With this feature enabled, a blob that's deleted is marked for deletion, but not immediately purged. Durante el período provisional, puede restaurar el blob.During the interim period, you can restore the blob.

Más información:Learn more:

Copia de seguridad de tercerosThird-party backup

Además, puede usar soluciones de terceros para realizar copias de seguridad de máquinas virtuales de Azure y contenedores de almacenamiento en el almacenamiento local u otros proveedores en la nube.In addition, you can use third-party solutions to back up Azure VMs and storage containers to local storage or other cloud providers. Para más información, consulte las soluciones de copia de seguridad en Azure Marketplace.For more information, see Backup solutions in Azure Marketplace.

Configuración de la recuperación ante desastres para aplicaciones IaaSSet up disaster recovery for IaaS applications

Además de proteger los datos, el planeamiento de BCDR debe tener en cuenta cómo garantizar la disponibilidad de las aplicaciones y las cargas de trabajo si se produjera un desastre.In addition to protecting data, BCDR planning must consider how to keep applications and workloads available if a disaster occurs. En el caso de cargas de trabajo que se ejecutan en las máquinas virtuales de IaaS de Azure y Azure Storage, tenga en cuenta las soluciones de las secciones siguientes.For workloads that run on Azure IaaS VMs and Azure Storage, consider the solutions in the following sections.

Azure Site RecoveryAzure Site Recovery

Azure Site Recovery es el servicio principal de Azure para garantizar la puesta en marcha de las máquinas virtuales de Azure y la disponibilidad de las aplicaciones de máquina virtual cuando se produzcan interrupciones del servicio.Azure Site Recovery is the primary Azure service for ensuring that Azure VMs can be brought online, and VM applications made available, when outages occur.

Site Recovery replica las máquinas virtuales de una región primaria en una región secundaria de Azure.Site Recovery replicates VMs from a primary to a secondary Azure region. Si se produce un desastre, se realiza una conmutación por error de las máquinas virtuales de la región primaria y el acceso a las mismas se sigue produciendo con normalidad en la región secundaria.If disaster strikes, you fail VMs over from the primary region, and continue accessing them as normal in the secondary region. Cuando las operaciones vuelven al estado normal, puede realizar una conmutación por recuperación de las máquinas virtuales a la región primaria.When operations return to normal, you can fail back VMs to the primary region.

Diagrama de Azure Site Recovery.Diagram of Azure Site Recovery. Ilustración 11: Recuperación del sitio.Figure 11: Site Recovery.

Más información:Learn more:

Procedimiento recomendado: uso de discos administrados y conjuntos de disponibilidadBest practice: Use managed disks and availability sets

Azure usa conjuntos de disponibilidad para agrupar lógicamente las máquinas virtuales y para aislar las máquinas virtuales de un conjunto de otros recursos.Azure uses availability sets to logically group VMs together, and to isolate VMs in a set from other resources. Las máquinas virtuales de un conjunto de disponibilidad se distribuyen entre varios dominios de error con subsistemas independientes, lo cual protege frente a errores locales.VMs in an availability set are spread across multiple fault domains with separate subsystems, which protects against local failures. Las máquinas virtuales también se distribuyen entre varios dominios de actualización y esto impide el reinicio simultáneo de todas las máquinas virtuales del conjunto.The VMs are also spread across multiple update domains, preventing a simultaneous reboot of all VMs in the set.

Los discos administrados de Azure simplifican la administración de los discos de Azure Virtual Machines, ya que administran las cuentas de almacenamiento asociadas a los discos de las máquinas virtuales.Azure managed disks simplify disk management for Azure Virtual Machines by managing the storage accounts associated with the VM disks.

  • Use discos administrados siempre que sea posible.Use managed disks wherever possible. Solo tiene que especificar el tipo de almacenamiento que desea usar y el tamaño del disco que necesita y Azure crea y administra el disco automáticamente.You only have to specify the type of storage you want to use and the size of disk you need, and Azure creates and manages the disk for you.

  • Puede convertir los discos existentes en discos administrados.You can convert existing disks to managed disks.

  • Debe crear las máquinas virtuales en conjuntos de disponibilidad para alta resistencia y disponibilidad.You should create VMs in availability sets for high resilience and availability. Cuando se producen errores previstos e imprevistos, los conjuntos de disponibilidad garantizan que al menos una de las máquinas virtuales del conjunto permanece disponible.When planned or unplanned outages occur, availability sets ensure that at least one VM in the set remains available.

    Diagrama de discos administrados. Figura 12: Discos administrados.Diagram of managed disks. Figure 12: Managed disks.

Más información:Learn more:

Procedimiento recomendado: supervisión del uso de recursos y el rendimientoBest practice: Monitor resource usage and performance

Puede que haya trasladado las cargas de trabajo a Azure por sus grandes funcionalidades de escalado.You might have moved your workloads to Azure for its immense scaling capabilities. Sin embargo, mover la carga de trabajo no significa que Azure vaya a implementar automáticamente el escalado sin intervención del usuario.But moving your workload doesn't mean that Azure will automatically implement scaling without your input. Estos son dos ejemplos:Here are two examples:

  • Si una organización de marketing inserta un nuevo anuncio de televisión que genera un 300 % más de tráfico, esto podría provocar problemas de disponibilidad del sitio.If your marketing organization pushes a new television advertisement that drives 300 percent more traffic, this might cause site availability issues. La carga de trabajo recién migrada podría alcanzar los límites asignados y bloquearse.Your newly migrated workload might hit assigned limits, and crash.
  • Si hay un ataque de denegación de servicio distribuido (DDoS) en la carga de trabajo migrada, en este caso no es conveniente escalar.If there's a distributed denial-of-service (DDoS) attack on your migrated workload, in this case you don't want to scale. Desea evitar que el origen de los ataques alcance sus recursos.You want to prevent the source of the attacks from reaching your resources.

Estos dos casos tienen resoluciones diferentes, pero en ambos se necesita información sobre lo que sucede con la supervisión del rendimiento y el uso.These two cases have different resolutions, but for both you need insight into what's happening with usage and performance monitoring.

  • Azure Monitor puede ayudar a mostrar estas métricas y dar respuesta por medio de alertas, escalabilidad automática, centros de eventos y aplicaciones lógicas.Azure Monitor can help surface these metrics, and provide response with alerts, autoscaling, Event Hubs, and Logic Apps.

  • También puede integrar una aplicación de SIEM de terceros para supervisar los registros de Azure en busca de eventos de auditoría y rendimiento.You can also integrate your third-party SIEM application to monitor the Azure logs for auditing and performance events.

    Captura de pantalla de Azure Monitor. Figura 13: Azure Monitor.Screenshot of Azure Monitor. Figure 13: Azure Monitor.

Más información:Learn more:

Procedimiento recomendado: Activación del registro de diagnósticoBest practice: Enable diagnostic logging

Los recursos de Azure generan un número razonable de métricas de registro y datos de telemetría.Azure resources generate a fair number of logging metrics and telemetry data. De forma predeterminada, la mayoría de los tipos de recursos no tienen el registro de diagnóstico habilitado.By default, most resource types don't have diagnostic logging enabled. Al habilitar el registro de diagnóstico en los recursos, puede consultar los datos de registro y crear alertas y cuadernos de estrategias en función de los mismos.By enabling diagnostic logging across your resources, you can query logging data, and build alerts and playbooks based on it.

Cuando se habilita el registro de diagnóstico, cada recurso tendrá un conjunto específico de categorías.When you enable diagnostic logging, each resource will have a specific set of categories. Seleccione una o varias categorías de registro y una ubicación para los datos de registro.You select one or more logging categories, and a location for the log data. Los registros se pueden enviar a una cuenta de almacenamiento, un centro de eventos o a los registros de Azure Monitor.Logs can be sent to a storage account, event hub, or to Azure Monitor Logs.

Captura de pantalla del registro de diagnóstico. Figura 14: Registro de diagnóstico.Screenshot of diagnostic logging. Figure 14: Diagnostic logging.

Más información:Learn more:

Procedimiento recomendado: configuración de alertas y cuadernos de estrategiasBest practice: Set up alerts and playbooks

Con el registro de diagnóstico habilitado para los recursos de Azure, puede empezar a usar los datos de registro para crear alertas personalizadas.With diagnostic logging enabled for Azure resources, you can start to use logging data to create custom alerts.

  • Las alertas le informan de forma proactiva cuando se detectan condiciones en los datos que supervisa.Alerts proactively notify you when conditions are found in your monitoring data. A continuación, puede solucionar problemas antes de que los usuarios del sistema puedan experimentarlos.You can then address issues before system users notice them. Puede alertar de los valores de las métricas, las consultas de búsqueda de registros, los eventos del registro de actividad, el mantenimiento de la plataforma y la disponibilidad del sitio web.You can alert on metric values, log search queries, activity log events, platform health, and website availability.

  • Cuando se desencadenan alertas, es posible ejecutar un cuaderno de estrategias de aplicaciones lógicas.When alerts are triggered, you can run a logic app playbook. Un cuaderno de estrategias le ayuda a automatizar y coordinar una respuesta a una alerta específica.A playbook helps you to automate and orchestrate a response to a specific alert. Los cuadernos de estrategias se basan en Azure Logic Apps.Playbooks are based on Azure Logic Apps. Puede usar plantillas de aplicaciones lógicas para crear cuadernos de estrategias, o bien crear sus propios cuadernos.You can use logic app templates to create playbooks, or create your own.

  • Por ejemplo, puede crear una alerta que se desencadene cuando se produzca un examen de puertos en un grupo de seguridad de red.As a simple example, you can create an alert that triggers when a port scan happens against an NSG. Puede configurar un cuaderno de estrategias que se ejecuta y bloquea la dirección IP de origen del examen.You can set up a playbook that runs and locks down the IP address of the scan origin.

  • Otro ejemplo podría ser una aplicación que tiene una fuga de memoria.Another example is an application with a memory leak. Cuando el uso de memoria llega a un punto determinado, un cuaderno de estrategias puede reciclar el proceso.When the memory usage gets to a certain point, a playbook can recycle the process.

    Captura de pantalla de alertas. Figura 15: Alertas.Screenshot of alerts. Figure 15: Alerts.

Más información:Learn more:

Procedimiento recomendado: uso del panel de AzureBest practice: Use the Azure dashboard

Azure Portal es una consola unificada basada en web que le permite crear, administrar y supervisar cualquier elemento, desde aplicaciones web sencillas a aplicaciones complejas en la nube.The Azure portal is a web-based unified console that allows you to build, manage, and monitor everything from simple web apps to complex cloud applications. Incluye un panel personalizable y opciones de accesibilidad.It includes a customizable dashboard and accessibility options.

  • Puede crear varios paneles y compartirlos con otras personas que tengan acceso a sus suscripciones de Azure.You can create multiple dashboards and share them with others who have access to your Azure subscriptions.

  • Con este modelo compartido, el equipo tiene visibilidad sobre el entorno de Azure, lo que le ayuda a ser proactivo al administrar los sistemas en la nube.With this shared model, your team has visibility into the Azure environment, which helps them them to be proactive when managing systems in the cloud.

    Captura de pantalla del panel de Azure.

    Captura de pantalla del panel de Azure. Figura 16: Panel de Azure.Screenshot of Azure dashboard. Figure 16: Azure dashboard.

Más información:Learn more:

Procedimiento recomendado: información de los planes de soporte técnicoBest practice: Understand support plans

En algún momento necesitará colaborar con el personal de soporte técnico o el personal de soporte técnico de Microsoft.At some point, you will need to collaborate with your support staff or Microsoft support staff. Es fundamental contar con un conjunto de directivas y procedimientos para obtener soporte técnico durante escenarios como la recuperación ante desastres.Having a set of policies and procedures for support during scenarios such as disaster recovery is vital. Además, se debe formar a los administradores y al personal de soporte técnico sobre la implementación de esas directivas.In addition, your admins and support staff should be trained on implementing those policies.

  • En el improbable caso de que un problema en un servicio de Azure afecte a la carga de trabajo, los administradores deben saber cómo enviar una incidencia de soporte técnico a Microsoft de la manera más adecuada y eficaz.In the unlikely event that an Azure service issue affects your workload, admins should know how to submit a support ticket to Microsoft in the most appropriate and efficient way.

  • Familiarícese con los diversos planes de soporte técnico que ofrece Azure.Familiarize yourself with the various support plans offered for Azure. Se ofrecen desde tiempos de respuesta específicos para instancias de desarrollador hasta soporte técnico Premier, con un tiempo de respuesta inferior a 15 minutos.They range from response times dedicated to developer instances, to premier support with a response time of less than 15 minutes.

    Captura de pantalla de los planes de soporte técnico. Figura 17: Planes de soporte técnico.Screenshot of support plans. Figure 17: Support plans.

Más información:Learn more:

Procedimiento recomendado: Administración de actualizacionesBest practice: Manage updates

Mantener las máquinas virtuales de Azure actualizadas con el sistema operativo y las actualizaciones de software más recientes es una tarea rutinaria masiva.Keeping Azure VMs updated with the latest operating system and software updates is a massive chore. La capacidad de exponer todas las máquinas virtuales, determinar qué actualizaciones se necesitan e insertar de modo automático esas actualizaciones es algo extremadamente valioso.The ability to surface all VMs, figure out which updates they need, and automatically push those updates is extremely valuable.

  • Puede usar Update Management de Azure Automation para administrar las actualizaciones del sistema operativo.You can use Update Management in Azure Automation to manage operating system updates. Esto se aplica a las máquinas que ejecutan equipos con Windows y Linux, y se implementan en Azure, de forma local y en otros proveedores en la nube.This applies to machines that run Windows and Linux computers that are deployed in Azure, on-premises, and in other cloud providers.

  • Utilice Update Management para evaluar rápidamente el estado de las actualizaciones disponibles en todos los equipos agente y administrar la instalación de las actualizaciones.Use Update Management to quickly assess the status of available updates on all agent computers, and manage update installation.

  • Update Management se puede habilitar en máquinas virtuales directamente desde una cuenta de Azure Automation.You can enable Update Management for VMs directly from an Azure Automation account. También puede actualizar una sola máquina virtual en la página de la máquina virtual en Azure Portal.You can also update a single VM from the VM page in the Azure portal.

  • Además, puede registrar máquinas virtuales de Azure con System Center Configuration Manager.In addition, you can register Azure VMs with System Center Configuration Manager. A continuación, puede migrar la carga de trabajo de Configuration Manager a Azure y realizar informes y actualizaciones de software desde una única interfaz web.You can then migrate the Configuration Manager workload to Azure and do reporting and software updates from a single web interface.

    Diagrama de las actualizaciones de VM. Figura 18: Actualizaciones de VM.Diagram of VM updates. Figure 18: VM updates.

Más información:Learn more:

Implementación de un proceso de administración de cambiosImplement a change management process

Al igual que con cualquier sistema de producción, cualquier tipo de cambio puede afectar al entorno.As with any production system, making any type of change can affect your environment. Un proceso de administración de cambios que requiere que se envíen solicitudes para realizar cambios en los sistemas de producción es una adición valiosa en el entorno migrado.A change management process that requires requests to be submitted in order to make changes to production systems is a valuable addition in your migrated environment.

  • Puede crear marcos de procedimientos recomendados para la administración de cambios para aumentar el conocimiento de los administradores y personal de soporte técnico.You can build best practice frameworks for change management to raise awareness in administrators and support staff.
  • Puede usar Azure Automation para ayudar con la administración de configuración y el seguimiento de cambios para los flujos de trabajo migrados.You can use Azure Automation to help with configuration management and change tracking for your migrated workflows.
  • Al forzar el proceso de administración de cambios, puede usar los registros de auditoría para vincular los registros de cambios de Azure con las solicitudes de cambio existentes.When enforcing change management process, you can use audit logs to link Azure change logs to existing change requests. Entonces, si ve un cambio realizado sin la correspondiente solicitud de cambio, puede investigar qué salió mal en el proceso.Then, if you see a change made without a corresponding change request, you can investigate what went wrong in the process.

Azure tiene una solución de seguimiento de cambios en Azure Automation:Azure has a change-tracking solution in Azure Automation:

  • La solución realiza un seguimiento de los cambios efectuados en el software de Windows y Linux, en los archivos y las claves del Registro de Windows, en los servicios de Windows y en los demonios de Linux.The solution tracks changes to Windows and Linux software and files, Windows registry keys, Windows services, and Linux daemons.

  • Los cambios en los servidores supervisados se envían a Azure Monitor para ser procesados.Changes on monitored servers are sent to Azure Monitor for processing.

  • La lógica se aplica a los datos recibidos y el servicio de nube registra los datos.Logic is applied to the received data, and the cloud service records the data.

  • En el panel de Change Tracking, puede ver fácilmente los cambios realizados en su infraestructura de servidor.On the change tracking dashboard, you can easily see the changes that were made in your server infrastructure.

    Captura de pantalla de un gráfico de administración de cambios.

    Figura 19: Gráfico de administración de cambios.Figure 19: A change management chart.

Más información:Learn more:

Pasos siguientesNext steps

Examine otros procedimientos recomendados:Review other best practices: