Gobernanza, seguridad y cumplimiento en Azure

A medida que establezca la directiva corporativa y planee sus estrategias de gobernanza, tiene varias opciones. Puede usar herramientas y servicios como Azure Policy, Azure Blueprints y Microsoft Defender for Cloud. Estas herramientas aplican y automatizan las decisiones de gobernanza de la organización. Antes de empezar a planear la gobernanza, use la herramienta de banco de pruebas comparativas de gobernanza para identificar posibles brechas en el enfoque de gobernanza de la nube de su organización. Para más información sobre el desarrollo de procesos de gobernanza, consulte la metodología de gobernanza.

Azure Blueprints

Azure Blueprints permite a los arquitectos de la nube y los grupos de TI central definir un conjunto repetible de recursos de Azure. Los recursos de Azure le ayudan a configurar y cumplir los estándares, patrones y requisitos de su organización. Azure Blueprints permite a los equipos de desarrollo crear y crear rápidamente nuevos entornos. El equipo de desarrollo confía en que están creando dentro del cumplimiento de la organización porque usan un conjunto de componentes integrados, como las redes, para acelerar el desarrollo y la entrega.

Los planos técnicos son una manera declarativa de organizar la implementación de varias plantillas de recursos y de otros artefactos, como son:

• Asignaciones de roles
• Asignaciones de directivas
• Plantillas del Administrador de recursos de Azure
• Grupos de recursos

Creación de un plano técnico

Para crear un plano técnico, realice el siguiente procedimiento:

1. Vaya a Planos técnicos: Introducción.
2. En la sección Crear un plano técnico, seleccione Crear.
3. Filtre la lista Planos técnicos para seleccionar el plano técnico adecuado.
4. Escriba el Nombre del plano técnico y, a continuación, seleccione la Ubicación de definición adecuada.
5. Seleccione Siguiente: Artefactos, después revise los artefactos incluidos en el plano técnico.
6. Seleccione Guardar borrador.

1. En Azure Portal, vaya a Instancias de Blueprint: Introducción.
2. En la sección Crear un plano técnico, seleccione Crear.
3. Filtre la lista Planos técnicos para seleccionar el plano técnico adecuado.
4. Escriba el Nombre del plano técnico y, a continuación, seleccione la Ubicación de definición adecuada.
5. Seleccione Siguiente: Artefactos, después revise los artefactos incluidos en el plano técnico.
6. Seleccione Guardar borrador.

Publicación de un plano técnico

Para publicar artefactos de plano técnico en su suscripción, haga lo siguiente:

1. Vaya a Planos técnicos: Definiciones del plano técnico.
2. Seleccione el plano técnico que creó en los pasos anteriores.
3. Revise la definición del plano técnico y, a continuación, seleccione Publicar plano técnico.
4. Proporcione una versión (por ejemplo, 1.0) y notas de cambios y, después, seleccione Publicar.

1. En Azure Portal, vaya a Instancias de Blueprint: Definiciones del plano técnico.
2. Seleccione la definición del plano técnico que creó en los pasos anteriores.
3. Revise la definición del plano técnico y, a continuación, seleccione Publicar plano técnico.
4. Proporcione una versión (por ejemplo, 1.0) y notas de cambios y, después, seleccione Publicar.

Más información

Para obtener más información, consulte:

• Azure Blueprints
• Plataforma de adopción de la nube: Guía de decisiones de la coherencia de recursos
• Ejemplos de planos técnicos basados en estándares

Azure Policy

Azure Policy le permite crear, asignar y administrar directivas. Estas directivas aplican reglas a los recursos, con el fin de que estos sigan siendo compatibles con los estándares corporativos y los Acuerdos de Nivel de Servicio. Azure Policy escanea los recursos para identificar aquellos que no son compatibles con las directivas corporativas. Por ejemplo, puede haber una directiva que permita solo un tamaño de máquina virtual concreto para ejecutar en el entorno. Cuando implemente esta directiva, Azure Policy evaluará las máquinas virtuales existentes que se ejecutan en el entorno y cualquier nueva máquina virtual que se implemente. La evaluación de directivas genera eventos de cumplimiento para que los utilice para la supervisión y los informes.

Use directivas comunes para:

• Aplicación del etiquetado para recursos y grupos de recursos.
• Restricción de las regiones para los recursos implementados.
• Restricción de SKU costosas para recursos específicos.
• Audite el uso de características opcionales importantes como discos administrados de Azure.

Acción

Asigne una directiva integrada a un grupo de administración, suscripción o grupo de recursos.

Aplicación de una directiva

Para aplicar una directiva a un grupo de recursos:

1. Vaya a Azure Policy.
2. Seleccione Asignar una directiva.

Más información

Para obtener más información, consulte:

• Azure Policy
• Cloud Adoption Framework: Definición de directivas corporativas
• Cartera de la directiva de Microsoft Cloud for Sovereignty

Microsoft Defender for Cloud

Microsoft Defender for Cloud desempeña un papel importante en la estrategia de gobernanza. Le ayuda a conocer la información más reciente sobre seguridad, ya que:

• Proporciona una vista unificada de seguridad en las cargas de trabajo.
• Recopila, busca y analiza datos de seguridad de una gran variedad de orígenes, incluidos firewalls y otras soluciones de asociados.
• Proporciona recomendaciones de seguridad prácticas para solucionar los problemas antes de que puedan aprovecharlos.
• Aplica directivas de seguridad en las cargas de trabajo de nube híbrida para garantizar el cumplimiento con los estándares de seguridad.

Muchas de las características de seguridad, como la directiva de seguridad y las recomendaciones, están disponibles gratis. Algunas de las características más avanzadas, como el acceso a la máquina virtual Just-in-Time y la compatibilidad con cargas de trabajo híbridas, están disponibles en el nivel estándar de Defender for Cloud. El acceso a la máquina virtual Just-in-Time puede ayudar a reducir la superficie expuesta a ataques de la red al controlar el acceso a los puertos de administración en las máquinas virtuales de Azure.

Sugerencia

Defender for Cloud está habilitado de forma predeterminada en cada suscripción. Le recomendamos habilitar la recopilación de datos de máquinas virtuales para permitir que Defender for Cloud instale su agente y empiece a recopilar datos.

Para explorar Defender for Cloud, vaya a Azure Portal.

Más información

Para obtener más información, consulte los siguientes recursos:

• Microsoft Defender for Cloud
• Acceso de máquina virtual Just-In-Time
• Planes de tarifa de Defender for Cloud
• Plataforma de adopción de la nube: Materia de base de referencia de seguridad