Área de diseño: Gobernanza en Azure

Gobernanza en Azure establece las herramientas necesarias para admitir la gobernanza de la nube, la auditoría de cumplimiento y los límites de protección automatizados.

Revisión del área de diseño

Roles o funciones implicados: gobernanza en Azure está dirigido por la gobernanza de la nube. La plataforma en la nube y el centro de excelencia de la nube podrían ser necesarios para definir e implementar algunos requisitos técnicos. La gobernanza se centra en el cumplimiento de las operaciones y los requisitos de seguridad, que pueden requerir seguridad en la nube,operaciones centrales de TI o en la nube.

Ámbito: revise las decisiones tomadas durante las revisiones de las áreas de diseño de identidad, red, seguridad y administración. El equipo podría comparar las decisiones de revisión de la gobernanza automatizada, que forma parte del acelerador de zona de aterrizaje de Azure. Revisar las decisiones puede ayudar a determinar qué se puede auditar o aplicar. Las decisiones de revisión pueden evaluar qué directivas se pueden implementar automáticamente.

Fuera del ámbito: gobernanza en Azure establece la base de las redes. Sin embargo, no aborda artículos relacionados con el cumplimiento, como seguridad de red avanzada o barreras de protección automatizadas para aplicar decisiones de red. Estas decisiones de red se pueden abordar al revisar las áreas de diseño de cumplimiento relacionadas con la seguridad y la gobernanza. Retrasar las discusiones podría permitir que el equipo de la plataforma en la nube abordara los requisitos de red iniciales antes de abordar artículos más complejos.

Introducción al área de diseño

Un recorrido de adopción de la nube de las organizaciones comienza con controles sólidos a los entornos gubernamentales.

La gobernanza proporciona mecanismos y procesos para mantener el control de las plataformas, las aplicaciones y los recursos de Azure.

Landing zone image

La revisión del área de diseño explora las consideraciones y recomendaciones que le ayudarán a tomar decisiones informadas al planear la zona de aterrizaje.

El área de diseño de gobernanza se centra en las decisiones de diseño de la zona de aterrizaje. Además, la metodología de gobernanza de Cloud Adoption Framework proporciona instrucciones para los procesos y las herramientas de gobernanza.

La metodología de gobierno consta de cinco materias:

Materia Context
Administración de costos Exploración de instrucciones para técnicas de control de informes de costos
Línea de base de seguridad Explorar más el área de diseño de seguridad
Coherencia de recursos Explorar instrucciones para asignar nombres y etiquetar recursos en la gobernanza del entorno
Línea de base de identidad Se trata en profundidad en el área de diseño de administración de identidades y acceso
Aceleración de la implementación Explore más en el área de diseño de la automatización de la plataforma y DevOps

Consideraciones de gobernanza de Azure

La directiva de Azure garantiza la seguridad y el cumplimiento de los recursos técnicos empresariales. Es posible que la directiva de Azure aplique convenciones vitales de administración y seguridad en los servicios de plataforma de Azure. La directiva de Azure complementa el control de acceso basado en rol de Azure, que controla las acciones de los usuarios autorizados. Además, Azure Cost Management + Billing ayudar a respaldar el costo y el gasto de gobernanza continuos en Azure u otros entornos de varias nubes.

Consideraciones sobre la aceleración de la implementación

Los paneles de revisión de avisos de cambios podrían dificultar la innovación y la agilidad empresarial de las organizaciones. Azure Policy aumenta la eficacia de la carga de trabajo mediante la sustitución de dichas revisiones por barreras de protección automatizadas y auditorías de cumplimiento.

  • Determine qué directivas de Azure son necesarias en función de los controles empresariales o las regulaciones de cumplimiento. Use las directivas incluidas en el acelerador de zona de aterrizaje de Azure como punto de referencia.
  • Use los ejemplos de planos técnicos basados en estándares para tener en cuenta otras directivas que podrían alinearse con sus requisitos empresariales.
  • A menudo se automatizan las convenciones de redes, identidades, administración y seguridad.
  • Administre y cree asignaciones de directivas mediante definiciones de directivas que se puedan reutilizar en varios ámbitos de asignación heredados. Puede tener asignaciones de directivas de referencia centralizadas en los ámbitos de administración, suscripción y grupo de recursos.
  • Garantice el cumplimiento continuo con informes de cumplimiento y auditorías.
  • Sepa que Azure Policy tiene límites, como la restricción de definiciones en cualquier ámbito dado: límites de las directivas.
  • Conozca las directivas de cumplimiento normativo. Las directivas podrían incluir los criterios de servicio de confianza HIPAA, PCI DSS o SOC 2.

Consideraciones de administración de costos

  • ¿Cómo se estructuran los costos de las organizaciones y el modelo de recarga? ¿Cuáles son los puntos de datos clave necesarios para ver con precisión el gasto de los servicios en la nube?
  • La búsqueda de la estructura de etiquetas que se adapte al costo y al modelo de recarga puede ayudar a realizar un seguimiento del gasto en la nube.
  • La calculadora de precios de Azure se puede usar para calcular los costos mensuales esperados para usar cualquier combinación de productos de Azure.
  • La Ventaja híbrida de Azure puede ayudar a reducir los costos de ejecución de las cargas de trabajo en la nube. Puede usar licencias locales de Windows Server y SQL Server habilitadas para Software Assurance en Azure. También se aplica a las suscripciones de Red Hat y SUSE Linux.
  • Las reservas de Azure le ayudan a ahorrar dinero, ya que se compromete a planes de uno o tres años para varios productos. Al confirmar, se obtienen descuentos en los recursos, lo que podría reducir significativamente los costos de los recursos hasta un 72 % con respecto a los precios de pago por uso.
  • Las directivas de Azure se pueden usar para permitir regiones, tipos de recursos y SKU de recursos específicos.
  • La administración del ciclo de vida de Azure Storage ofrece una directiva basada en reglas. La directiva puede usarse para mover datos de blob a los niveles de acceso adecuados o para expirar los datos al final del ciclo de vida de los datos.
  • Las suscripciones de desarrollo/pruebas de Azure le ofrecen acceso para seleccionar servicios de Azure para cargas de trabajo que no son de producción a precios con descuento.
  • Use el escalado automático para ahorrar costos mediante la asignación dinámica y la desasignación de recursos para satisfacer sus necesidades de rendimiento.
  • El uso de máquinas virtuales de acceso puntual de Azure permite aprovechar las ventajas de nuestra capacidad no utilizada con un importante ahorro en los costos. Las máquinas virtuales de acceso puntual de Azure son excelentes para cargas de trabajo que pueden controlar las interrupciones. Por ejemplo, trabajos de procesamiento por lotes, entornos de desarrollo/pruebas, cargas de trabajo de proceso grandes, etc.
  • Algunos servicios de Azure son gratuitos durante 12 meses, mientras que otros servicios siempre son gratuitos. La selección de los servicios de Azure adecuados le ayuda a reducir los costos.
  • La selección del servicio de proceso adecuado para la aplicación puede ayudar a mejorar la rentabilidad. Azure ofrece muchas maneras de hospedar el código.

Consideraciones sobre la coherencia de los recursos

  • ¿Cuáles son los grupos de recursos de su entorno? Estos grupos pueden compartir características de configuración que podrían ser necesarias para ayudar a mantener la coherencia.
  • ¿Es el diseño de la aplicación o la suscripción de carga de trabajo el más adecuado para sus necesidades de operación?
  • ¿Hay grupos de recursos que deben compartir un ciclo de vida común?
  • ¿Hay grupos de recursos que deben compartir restricciones de acceso comunes (como el control de acceso basado en rol)?
  • ¿Hay configuraciones de recursos estándar dentro de la organización que se puedan usar para garantizar una configuración de línea de base coherente?
  • Explore cómo las herramientas de Azure pueden admitir la coherencia de recursos en la zona de aterrizaje.

Consideraciones sobre la base de referencia de seguridad

  • ¿Qué herramientas y barreras de protección se deben aplicar en el entorno como parte de una línea de base de seguridad?
  • ¿Quién podría recibir una notificación cuando se encuentran desviaciones?
  • Considere usar Azure Policy para aplicar herramientas (como Microsoft Defender for Cloud o Microsoft Defender for Cloud).
  • Considere usar Azure Policy para aplicar límites de protección (como Azure Security Benchmark).

Consideraciones de administración de identidad

  • ¿Quién puede tener acceso a los registros de auditoría para la administración de identidades y acceso?
  • ¿Quién podría recibir una notificación cuando se produzcan eventos de inicio de sesión sospechosos?
  • Considere usar los informes de Azure Active Directory para regular la actividad.
  • Tenga en cuenta los registros de Azure AD, que podrían enviarse al área de trabajo central de Log Analytics de la plataforma.
  • Explore las funcionalidades de las revisiones de acceso de Azure AD en el enfoque de gobernanza de la zona de aterrizaje.
  • Explore las funcionalidades de la administración de derechos de Azure AD en el enfoque de gobernanza de la zona de aterrizaje.

Recomendaciones de Gobernanza en Azure

Recomendaciones de aceleración de la implementación

  • Identifique las etiquetas de Azure necesarias y use el modo de directiva de anexión para aplicar el uso. Uso del artículo de estrategia de etiquetado como punto de partida
  • Asigne requisitos legislativos y de cumplimiento normativo a las definiciones de Azure Policy y a las asignaciones de roles de Azure.
  • Establezca definiciones de Azure Policy en el grupo de administración raíz de nivel superior, ya que podrían asignarse en ámbitos heredados.
  • Administre las asignaciones de directivas en el nivel más alto adecuado, con exclusiones en los niveles inferiores si es necesario.
  • Use Azure Policy para controlar los registros de proveedores de recursos en el nivel de suscripción o de grupo de administración.
  • Use directivas integradas para reducir al mínimo la sobrecarga operativa.
  • Asigne el rol Colaborador de directiva de recurso integrada en un ámbito determinado para habilitar la gobernanza en las aplicaciones.
  • Limite el número de asignaciones de Azure Policy realizadas en el ámbito del grupo de administración raíz para evitar la administración mediante exclusiones en ámbitos heredados.

Recomendaciones de administración de costos

  • Use Azure Cost Management + Billing para implementar la supervisión financiera en los recursos de su entorno.
  • Use etiquetas en Azure para anexar metadatos a los recursos, lo que podría permitir un análisis granular del gasto (como el nombre del proyecto o el centro de costos).

Gobernanza en Azure en el acelerador de la zona de aterrizaje de Azure

La implementación del acelerador de la zona de aterrizaje de Azure incluye funcionalidades para ayudar a las organizaciones a obtener controles de gobernanza maduros de forma eficaz.

Por ejemplo:

  • Una jerarquía de grupos de administración que agrupa los recursos por función o tipo de carga de trabajo podría fomentar procedimientos recomendados para la coherencia de los recursos.
  • Un amplio conjunto de directivas de Azure podría habilitar controles de gobernanza en el nivel de grupo de administración para asegurarse de que todos los recursos están en el ámbito.