Seguridad dentro de la suscripción de desarrollo/pruebas de Azure
Proteger los recursos es un esfuerzo conjunto entre el proveedor de nube, Azure y usted. Las suscripciones de desarrollo/pruebas de Azure y Microsoft Defender para la nube proporcionan las herramientas necesarias para proteger la red y los servicios y asegurarse de que está al corriente de su posición de seguridad.
Las herramientas importantes de las suscripciones de desarrollo/pruebas de Azure le ayudan a crear un acceso seguro a los recursos:
- Grupos de administración de Azure
- Azure Lighthouse
- Supervisión de créditos
- Microsoft Entra ID
Grupos de administración de Azure
Al habilitar y configurar las suscripciones de desarrollo/pruebas de Azure, Azure implementa una jerarquía de recursos predeterminada para administrar las identidades y el acceso a los recursos en un único dominio de Microsoft Entra. La jerarquía de recursos permite a la organización configurar perímetros de seguridad sólidos para los recursos y los usuarios.
Los recursos, grupos de recursos, suscripciones, grupos de administración y el inquilino forman la jerarquía de recursos. La actualización y el cambio de esta configuración en roles personalizados de Azure o asignaciones de directivas de Azure pueden afectar a todos los recursos de la jerarquía de recursos. Es importante proteger la jerarquía de recursos de los cambios que podrían afectar negativamente a todos los recursos.
Los Grupos de administración de Azure son un aspecto importante de la regulación del acceso y la protección de los recursos en un solo inquilino. Los Grupos de administración de Azure permite establecer cuotas, directivas de Azure y seguridad en diferentes tipos de suscripciones. Estos grupos son un componente fundamental del desarrollo de seguridad para las suscripciones de desarrollo/pruebas de su organización.
Como puede ver, el uso de grupos de administración cambia la jerarquía predeterminada y agrega un nivel para los grupos de administración. Este comportamiento puede crear circunstancias imprevistas y marcadores en la seguridad si no sigue el proceso adecuado para proteger su jerarquía de recursos
¿Por qué son útiles los grupos de administración de Azure?
Al desarrollar directivas de seguridad para las suscripciones de desarrollo/pruebas de la organización, podría elegir tener varias de estas por unidad organizativa o línea de negocio. Puede ver un objeto visual de esa agrupación de administración en el diagrama siguiente.
También podría elegir tener una suscripción de desarrollo/pruebas para todas las unidades distintas.
Las suscripciones de grupos de administración y desarrollo/pruebas de Azure actúan como una barrera de seguridad dentro de la estructura organizativa.
Esta barrera de seguridad tiene dos componentes:
- Identidad y acceso: es posible que tenga que segmentar el acceso a recursos específicos
- Datos: distintas suscripciones para los recursos que acceden a información personal
Uso de inquilinos de Microsoft Entra
Un inquilino es una instancia dedicada de Microsoft Entra ID que una organización o el desarrollador de la aplicación reciben cuando crean una relación con Microsoft, como al registrarse en Azure, Microsoft Intune o Microsoft 365.
Cada inquilino de Microsoft Entra es independiente de otros inquilinos de Microsoft Entra. Cada inquilino de Microsoft Entra y tiene su propia representación de identidades profesionales y educativas, identidades de consumidor (si es un inquilino de Azure AD B2C) y registros de aplicaciones. Un registro de aplicación dentro del inquilino puede permitir autenticaciones de cuentas solo dentro de su inquilino o en todos los inquilinos.
Si necesita separar aún más la infraestructura de identidad de la organización más allá de los grupos de administración dentro de un solo inquilino, también puede crear otros inquilinos con su propia jerarquía de recursos.
Una manera fácil de separar los recursos y los usuarios consiste en crear un inquilino de Microsoft Entra.
Creación de un nuevo inquilino de Microsoft Entra
Si no tiene un inquilino de Microsoft Entra, o bien quiere crear uno para el desarrollo, vea la guía de inicio rápidoo siga la experiencia de creación de directorios. Tendrá que proporcionar la información siguiente para crear el inquilino:
- Nombre de la organización
- Dominio inicial: forma parte de /*.onmicrosoft.com. Se puede personalizar más adelante.
- País o región
Más información sobre la creación y configuración de inquilinos de Microsoft Entra
Uso de Azure Lighthouse para administrar varios inquilinos
Azure Lighthouse permite la administración de varios inquilinos y entre inquilinos, lo que proporciona no solo una mayor automatización y escalabilidad, sino también una mejor gobernanza de recursos e inquilinos. Los proveedores de servicios pueden ofrecer servicios administrados mediante herramientas de administración completas y sólidas integradas en la plataforma de Azure. Los clientes mantienen el control sobre quién accede a su inquilino, a qué recursos acceden y qué acciones se pueden realizar.
Un escenario común para Azure Lighthouse es administrar recursos en los inquilinos de Microsoft Entra de sus clientes. Pero las funcionalidades de Azure Lighthouse también se pueden usar para simplificar la administración entre inquilinos dentro de una empresa que use varios inquilinos de Microsoft Entra.
Para la mayoría de las organizaciones, la administración es más fácil con un único inquilino de Microsoft Entra. Si todos los recursos se encuentran en un solo inquilino, tanto los usuarios designados, como los grupos de usuarios o las entidades de servicio del inquilino pueden centralizar las tareas de administración.
Cuando se necesita una arquitectura multiinquilino, Azure Lighthouse ayuda a centralizar y optimizar las operaciones de administración. Al usar administración de recursos delegados de Azure, los usuarios de un inquilino de administración pueden realizar funciones de administración entre inquilinos de una manera centralizada y escalable.