Zona de aterrizaje de confianza cero en Azure
Una zona de aterrizaje hace referencia a una infraestructura preparada en la que se implementa una carga de trabajo. Ya tiene aprovisionados los componentes de proceso, orígenes de datos, controles de acceso y redes. Cuando una carga de trabajo llega a Azure, los mecanismos necesarios están a punto y la carga de trabajo debe conectarse a estos.
Desde una perspectiva de seguridad, existen varias ventajas. En primer lugar, una zona de aterrizaje ofrece aislamiento mediante la creación de segmentos. Puede aislar los recursos en varias capas desde la inscripción de Azure hasta una suscripción que tenga los recursos para la carga de trabajo. Esta estrategia de tener recursos dentro de un límite independiente de otras partes de la organización es una manera eficaz de detectar y contener movimientos de roles no admitidos.
Otra ventaja es la adopción coherente de las directivas organizativas. Las directivas rigen qué recursos se pueden usar y sus límites de uso. Las directivas también proporcionan controles de identidad. Solo se permite el acceso a las entidades autenticadas y autorizadas. Este enfoque desacopla los requisitos de gobernanza de los requisitos de carga de trabajo. Es fundamental que las zonas de aterrizaje se proporcionen a los propietarios de las cargas de trabajo con los límites de protección de seguridad implementados.
Una zona de aterrizaje bien diseñada admite el principio de confianza cero. La zona de aterrizaje se configura con privilegios mínimos que cumplen con la seguridad de la empresa. Los requisitos de la carga de trabajo deben alinearse con estos requisitos. Por ejemplo, al diseñar controles de red, abra rutas de comunicación solo cuando sea necesario y solo a entidades de confianza para admitir la confianza cero.
Los ejemplos anteriores son conceptualmente sencillos, pero la implementación puede complicarse para una implementación a escala empresarial. En este artículo se proporcionan vínculos a artículos de Cloud Adoption Framework (CAF) que describen las consideraciones de diseño y los procedimientos recomendados.
Architecture
Para obtener información sobre una arquitectura de referencia a escala empresarial, consulte Arquitectura de la zona de aterrizaje a escala empresarial de Cloud Adoption Framework. La arquitectura proporciona consideraciones en estas áreas de diseño críticas:
- Inscripción en el Contrato Enterprise (EA) e inquilinos de Azure Active Directory
- Administración de identidades y acceso
- Organización de grupos de administración y suscripciones
- Topología de red y conectividad
- Administración y supervisión
- Continuidad empresarial y recuperación ante desastres
- Seguridad, gobernanza y cumplimiento
- Automatización de la plataforma y DevOps
Servicios de Azure
¿Cómo se implementan de forma coherente zonas de aterrizaje que siguen las directivas de la organización?
Servicios clave de Azure que pueden ayudar a crear una zona de aterrizaje:
- Azure Blueprints esboza los parámetros de diseño de una solución en función de los estándares, patrones y requisitos de una organización.
- Las especificaciones de plantilla de Azure Resource Manager almacenan plantillas de Azure Resource Manager (plantilla de ARM) en Azure para su posterior implementación.
- Azure Policy ayuda a aplicar los estándares de la organización y a evaluar el cumplimiento a escala.
- Azure AD y el control de acceso basado en rol de Azure (RBAC de Azure) funcionan conjuntamente para proporcionar controles de acceso e identidad.
- Azure Security Center
- Azure Defender
Siguientes
Utilice grupos de administración para administrar los recursos en varias suscripciones de forma coherente y eficaz.
Volver al artículo principal: Gobernanza