Implementación de infraestructuras seguras mediante una zona de aterrizaje
Una zona de aterrizaje de Azure es un entorno que sigue los principios clave de diseño en ocho áreas de diseño. Estos principios de diseño se adaptan a todas las carteras de aplicaciones y permiten la migración, modernización e innovación de aplicaciones a gran escala. Una zona de aterrizaje de Azure usa suscripciones para aislar y escalar los recursos de la aplicación y los recursos de la plataforma. Las suscripciones para los recursos de la aplicación se denominan zonas de aterrizaje de aplicación y las suscripciones para los recursos de la plataforma se denominan zonas de aterrizaje de plataforma.
Una arquitectura de zona de aterrizaje de Azure es escalable y modular para satisfacer una variedad de necesidades de implementación. Una infraestructura repetible permite aplicar de forma coherente configuraciones y controles a cada suscripción. Los módulos facilitan la implementación y modificación de componentes específicos de la arquitectura de la zona de aterrizaje de Azure a medida que evolucionan los requisitos.
Zonas de aterrizaje de plataforma frente a zonas de aterrizaje de aplicación
Una zona de aterrizaje de Azure consta de zonas de aterrizaje de plataforma y zonas de aterrizaje de aplicación. Merece la pena explicar la función de ambos con más detalle.
Zona de aterrizaje de plataforma: Una zona de aterrizaje de plataforma es una suscripción que proporciona servicios compartidos (identidad, conectividad, administración) a las aplicaciones de las zonas de aterrizaje de aplicación. La consolidación de estos servicios compartidos a menudo mejora la eficacia operativa. Uno o varios equipos centrales administran las zonas de aterrizaje de plataforma.
Zona de aterrizaje de aplicación: una zona de aterrizaje de aplicación es una suscripción para hospedar una aplicación. Las zonas de aterrizaje de aplicaciones se aprovisionan previamente a través del código y se usan grupos de administración para asignarles controles de directiva.
Hay tres enfoques principales para administrar zonas de aterrizaje de aplicaciones. Debe usar (1) un equipo central, (2) un equipo de aplicación o (3) un enfoque de administración de equipos compartidos en función de sus necesidades (consulte la tabla).
| Enfoque de administración de zonas de aterrizaje de aplicaciones | Descripción |
|---|---|
| Administración del equipo central | Un equipo de TI central maneja completamente la zona de aterrizaje. El equipo aplica controles y herramientas de plataforma a las zonas de aterrizaje de plataforma y a las aplicaciones. |
| Administración del equipo de aplicaciones | Un equipo de administración de plataformas delega toda la zona de aterrizaje de la aplicación a un equipo de aplicaciones. El equipo de la aplicación administra y admite el entorno. Las directivas de grupo de administración garantizan que el equipo de la plataforma siga controlando la zona de aterrizaje de aplicación. Puede agregar otras directivas en el ámbito de la suscripción y usar herramientas alternativas para implementar, proteger o supervisar zonas de aterrizaje de aplicaciones. |
| Administración compartida | Con plataformas tecnológicas como AKS o AVS, un equipo de TI central administra el servicio subyacente. Los equipos de aplicaciones son responsables de las aplicaciones que se ejecutan sobre las plataformas tecnológicas. Debe usar distintos controles o permisos de acceso para este modelo. Estos controles y permisos difieren de los que se usan para administrar de forma centralizada las zonas de aterrizaje de aplicaciones. |
Aceleradores de las zonas de aterrizaje de Azure
Los aceleradores son implementaciones de infraestructura como código que le ayudan a implementar una zona de aterrizaje de Azure de la manera correcta. Tenemos un acelerador de zona de aterrizaje de plataforma y varios aceleradores de zona de aterrizaje de aplicación que puede implementar.
Acelerador de zona de aterrizaje de plataforma
Hay una experiencia de implementación lista denominada acelerador del portal de la zona de aterrizaje de Azure. El acelerador del portal de la zona de aterrizaje de Azure implementa la arquitectura conceptual (consulte la figura 1) y aplica configuraciones predeterminadas a componentes clave, como grupos de administración y directivas. Se adapta a las organizaciones cuya arquitectura conceptual se alinea con el modelo operativo planeado y la estructura de recursos.
Debe usar el acelerador del portal de la zona de aterrizaje de Azure si planea administrar el entorno con Azure Portal.
Creación de zonas de aterrizaje de Azure escalables y modulares
Microsoft ofrece Cloud Adoption Framework para proporcionar a los clientes un punto de partida demostrado para el recorrido en la nube, incluida la metodología de seguridad.
Otro componente crítico de Cloud Adoption Framework en la metodología de preparación es la zona de aterrizaje de Azure, que acelera la adopción de la nube al proporcionar una implementación automatizada de arquitecturas completas y entornos operativos, incluidos los elementos de seguridad. Los procedimientos recomendados de seguridad van integrados en las zonas de aterrizaje de Azure. Con las zonas de aterrizaje, puede migrar de forma rápida y segura las primeras cargas de trabajo con procedimientos recomendados de seguridad y gobernanza, que van incorporados.
Mientras diseña e implementa la zona de aterrizaje de la organización, use la arquitectura de referencia siguiente como estado final de destino. Sirve para capturar consideraciones de diseño del entorno maduras y escaladas horizontalmente.
Se recomienda usar zonas de aterrizaje de Azure siempre que sea posible en los planes de adopción de la nube. Las zonas de aterrizaje proporcionan un punto de partida arquitectónico. Las zonas de aterrizaje de Azure le ayudan a cumplir con la seguridad y con otros procedimientos recomendados en varias operaciones: si implementa una nueva carga de trabajo, si migra las cargas de trabajo existentes o si mejora las cargas de trabajo ya implementadas. El uso de zonas de aterrizaje le ayuda a seguir los procedimientos recomendados, tanto si los implementa todos a la vez como si lo hace de forma incremental.
Nota:
Su organización puede personalizar la arquitectura de la zona de aterrizaje de Azure para satisfacer sus requisitos empresariales únicos.
Las zonas de aterrizaje de Azure contienen código que facilita la labor de los equipos de TI y de seguridad de la organización. Las zonas de aterrizaje ofrecen un método repetible y predecible para aplicar una implementación basada en plantillas. Esa implementación incluye un enfoque de implementación, unos principios de diseño y unas áreas de diseño. Las zonas de aterrizaje admiten procesos de seguridad, administración y gobernanza, así como procesos de automatización de la plataforma y de DevOps.
Uso de principios de Confianza cero
Su organización puede adaptar las zonas de aterrizaje de Azure basándose en los procedimientos recomendados de Azure Security Benchmark (ASB) y los principios de Confianza cero, que se incluyen en la arquitectura de destino. Pase a la arquitectura de destino alineada con procedimientos recomendados, mediante la implementación de otras consideraciones de seguridad y principios de Confianza cero que se aplican de forma incremental y mejoran el MVP de seguridad y gobernanza de la organización.
Aumente el uso de enfoques arquitectónicos de Confianza cero que nunca se basan en la confianza y siempre hacen comprobaciones. Integre una estrategia de un extremo a otro en el estado digital que abarque identidades, puntos de conexión, red, datos, aplicaciones e infraestructura.
Sigue las recomendaciones de seguridad de Azure Security Benchmark
Se recomienda que la organización siga las recomendaciones de seguridad de gran impacto de Azure Security Benchmark. También hay instrucciones en las zonas de aterrizaje de Azure y en el propio Cloud Adoption Framework. Incluya recomendaciones de ASB como parte de la estrategia de arquitectura revisando toda la documentación pertinente y las líneas base específicas del servicio.
Sugerencia
Las zonas de aterrizaje de Azure colocan la directiva ASB en la parte superior de su jerarquía de manera predeterminada. Este enfoque garantiza que todas las suscripciones y cargas de trabajo de la zona de aterrizaje se supervisan para el cumplimiento de ASB.