¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí
  1. Libros
  2. Microsoft Azure
  3. La nube pública de Microsoft
Extrait - Microsoft Azure Gestione su Sistema de Información en la Nube
Extractos del libro
Microsoft Azure Gestione su Sistema de Información en la Nube
1 opinión
Volver a la página de compra del libro

La nube pública de Microsoft

Introducción

Antes de comprender los diferentes conceptos propios de Microsoft Azure, es necesario entender rápidamente qué es una suscripción (o subscription en inglés), un grupo de recursos y un recurso.

Una suscripción reagrupa todos los servicios de la nube de Microsoft para un cliente o proyecto específico; es, por lo tanto, la frontera de administración de sus recursos, pero también la de la facturación. Se trata, pues, de un contrato que le vincula a Microsoft durante un período determinado, dándole acceso a las regiones de Azure y a todos los recursos alojados en ellas. Una empresa puede tener varias suscripciones, accesibles desde un correo electrónico profesional (suempresa.com) o personal (cuenta de Microsoft hotmail.com, outlook.com, etc.).

Un grupo de recursos es un contenedor, creado en una suscripción, que contiene sus recursos Azure. Suele representar un proyecto (projectx), un entorno (producción, preproducción) o ambos (projectxprod). Como cualquier recurso Azure, un grupo de recursos se crea en una región y todos los derechos que defina para el grupo se propagan a los recursos contenidos. Si suprime un grupo de recursos, todos los recursos que contiene se eliminarán automáticamente. No es posible imbricar grupos de recursos; su estructura es únicamente horizontal.

Un recurso Azure es una instancia de un servicio de Azure, como una máquina...

Implantación geográfica

Los centros de datos de Microsoft Azure están disponibles en más de 60 regiones de todo el mundo en el momento de escribir este libro. Por supuesto, América, Europa y Asia están contempladas, incluida Corea del Sur. En Europa, países como Alemania, el Reino Unido, Irlanda y los Países Bajos cuentan con infraestructuras en la nube de Microsoft. España también dispone de centros de datos situados en Madrid, lo que significa que los datos de los clientes españoles pueden almacenarse en España y, por tanto, estar sujetos a la legislación española (pero no solo eso). Como veremos a continuación, esto puede tener un impacto concreto en las limitaciones legales de cada país.

El mapa que aparece a continuación enumera las regiones que poseen un centro de datos físico de Microsoft y las que se están desplegando actualmente: 

images/cap02_img_08.png

De esta forma, una decena de centros de datos se sitúan en Europa y América. Además, Suiza cuenta con centros de datos Azure, al igual que los Emiratos Árabes Unidos y Sudáfrica.

La lista de regiones de Azure disponibles puede verse en el siguiente enlace: https://azure.microsoft.com/es-es/global-infrastructure/geographies/

Para que se haga una idea de la magnitud de los recursos que Microsoft está dedicando al desarrollo de la infraestructura...

Centro de datos

En 1989, Microsoft construyó su primer centro de datos en Redmond. Desde entonces, se han erigido muchos otros centros de datos con objeto de dar soporte a sus servicios para el mayor número de personas, como la aplicación de comunicación colaborativa Teams, el almacenamiento OneDrive o el motor de búsqueda Bing.

Frente a estos servicios con gigantescas necesidades, 100 centros de datos, repartidos en casi 100 países, albergan millones de servidores, con equipos para administrarlos disponibles 7 días a la semana y 365 días al año.

El diseño de una infraestructura de este tipo se basa en principios importantes, como la resiliencia de los servicios, la resolución de los fallos de hardware a través del software y las soluciones que pueden repararse a sí mismas evitando los fallos.

Los centros de datos de Microsoft utilizan un diseño modular a base de contenedores o ITPAC (IT Pre-Assembled Component), que permiten una rápida expansión de las infraestructuras en la nube según las necesidades del cliente.

Esto hace que sea fácil añadir contenedores suplementarios permitiendo, al mismo tiempo, aumentar el espacio mediante la construcción de pisos adicionales. La cuarta generación de esta técnica data de 2012...

En términos de dimensiones, un centro de datos de Microsoft...

Seguridad de la infraestructura Azure

Los clientes que desean migrar todo o parte de su sistema de información a la nube suelen plantearse las mismas preguntas legítimas, entre ellas:

  • ¿Puedo almacenar mis datos personales y confidenciales en Azure, incluso fuera de España? ¿A dónde serán trasladados en el extranjero?

  • ¿Tendrá Microsoft acceso a mis datos?

  • ¿Estarán seguros mis datos en Azure?

  • ¿Cómo responde Microsoft cuando un gobierno hace peticiones legales para ver mis datos?

  • ¿Qué ocurre cuando se produce un incidente de seguridad en la infraestructura de Microsoft?

Estas cinco preguntas, lejos de ser exhaustivas, muestran las preocupaciones de los responsables de la seguridad de los sistemas de información.

Desde el punto de vista jurídico, alojar datos en la nube plantea una serie de dificultades en lo que respecta al cumplimiento de la legislación vigente en materia de protección de datos personales, especialmente en el caso de la nube pública.

Por lo tanto, se recomienda firmemente realizar un análisis de riesgos antes de cualquier transferencia de datos a un proveedor de la nube.

En España es la AEPD la encargada de publicar periódicamente recomendaciones sobre las obligaciones del proveedor de la nube con respecto al Reglamento General de Protección de Datos (RGPD).

Por regla general, el nivel de seguridad de las infraestructuras en la nube es superior al de las empresas; el presupuesto asignado no es en absoluto el mismo... 

Una empresa debe identificar los datos y servicios que podrían migrar a la nube para luego separar los datos personales de los datos confidenciales y estratégicos. 

Al delegar su mantenimiento operacional, la empresa debe asegurarse de que el nivel de exigencia del proveedor de la nube es al menos igual a su propio nivel de exigencia. La seguridad del código de desarrollo de Azure se garantiza a través de un método conocido con el nombre de Security Development Lifecycle (SDL).

Además, la elección del modelo o modelos de servicio es primordial: SaaS, PaaS, IaaS. Una vez seleccionado el modelo, hay que definir el modelo de alojamiento: público, privado o híbrido.

1. Centro de gestión de la confidencialidad

Microsoft se esfuerza por ser transparente sobre la problemática...

Acceso a Azure a través de una estación de trabajo

Como ya hemos visto, Microsoft utiliza considerables recursos financieros para proteger los datos de sus clientes, mediante la seguridad física de los equipos, pero también mediante la seguridad lógica.

En lugar de atacar las infraestructuras de Azure, los individuos malintencionados pueden obtener acceso privilegiado a la plataforma en la nube comprometiendo una cuenta de usuario, mediante ataques de fuerza bruta, suplantación de identidad o engañando al administrador para que ejecute un código malicioso insertado en un archivo adjunto. La alta disponibilidad de Azure hace que las infraestructuras sean más vulnerables a las violaciones de cuentas.

Por lo tanto, la estación de trabajo del administrador de la suscripción de Azure debe seguir reglas estrictas, incluyendo:

  • actualizar regularmente su sistema operativo, así como el software que se ejecuta en él;

  • instalar y mantener un antivirus fiable;

  • limitar la apertura de correos electrónicos y archivos adjuntos asociados cuando parezcan ser conflictivos;

  • restringir el acceso a la red configurando un cortafuegos;

  • utilizar un túnel VPN cifrando los flujos mediante IPSec para crear una conexión permanente con Azure;

  • evitar utilizar el ordenador para visitar sitios web polémicos;

  • implementar una autenticación multifactorial mediante la funcionalidad...

Acceso a Azure desde la empresa

Hay varias formas para acceder a la plataforma en la nube de Azure desde una empresa. Un túnel VPN es el método más utilizado, ya que ofrece una conexión permanente y permite filtrar determinados flujos, al mismo tiempo que ofrece un servicio garantizado por Microsoft. Además, el acceso a sus recursos será posible a través del espacio de direcciones privado que se les ha asignado.

Incluso si algunas empresas autorizan todos los flujos de salida a Internet, reduciendo así la seguridad global, es necesario, en la medida de lo posible, que la apertura de un flujo sea validada por el equipo de seguridad y luego implementada por el equipo de red.

Azure es una plataforma en constante evolución, lo que implica una gestión rigurosa de lo que entra o sale de la plataforma.

Para filtrar los protocolos autorizados hacia Azure, Microsoft publica una lista de rangos de direcciones IP (por región) utilizados por los servicios de la nube. Actualizada cada semana, esta lista es en realidad un archivo en formato JSON (JavaScript Object Notation) que puede descargarse de la siguiente dirección: https://www.microsoft.com/en-us/download/details.aspx?id=56519

He aquí una visión general en el momento de escribir este libro:

images/01EP16N.png

Dependiendo del tipo de filtrado soportado por el cortafuegos de la empresa, será posible filtrar ciertos protocolos de administración...

Servidor de salto

Para auditar las acciones realizadas en Azure y crear así un punto de paso obligatorio para acceder a la nube de Microsoft, el administrador puede instalar en su red local un servidor de puerta de enlace para ordenador de sobremesa remoto (o de salto) en su red local con un certificado de gestión de Azure. Un servidor de salto puede ser un servidor Windows colocado delante de otros servidores de la infraestructura para evitar la exposición pública directa de esta.

Al acoplar esta funcionalidad a la tecnología NAP (Network Access Protection), será posible autenticar una estación de trabajo del mismo dominio de Active Directory que el servidor de salto cuando se comuniquen entre sí.

De parte de Azure, la configuración de las restricciones de direcciones IP autorizadas a conectarse, así como los grupos de seguridad de la red para filtrar los flujos, permitirá asegurar el acceso.

Azure Bastion

Cuando la empresa tiene reglas de filtrado muy restrictivas con destino a una red externa, y no se autoriza la conectividad RDP/SSH a una red pública, el servicio Azure Bastion puede ser una solución fiable y económica. Este servicio PaaS, gestionado y mantenido por Microsoft, permite a un usuario acceder a sus máquinas virtuales Azure directamente en el Portal de Azure vía SSL desde el protocolo HTTPS. Este no necesita una dirección IP pública, ni un agente de terceros o software de acceso remoto. Bastion puede desplegarse en una red virtual para llegar a máquinas virtuales alojadas en otras redes virtuales a través del método peering. Como la conexión se realiza a través de su navegador, no es necesario utilizar un cliente RDP o SSH (como Putty). En cuanto a las limitaciones, el servicio solo admite direccionamiento privado IPv4 y no permite transferir archivos desde su estación de trabajo a una máquina virtual Azure.

Debe saber que el servicio se cobra por hora, así como el volumen de datos transferidos desde Azure a una red remota (datos salientes) por encima de los primeros cinco gigabytes al mes

Detallaremos la implementación de Azure Bastion cuando cree por primera vez una máquina virtual.

Normas y certificaciones

La infraestructura de Microsoft cumple con varias normas y certificaciones internacionales, entre ellas:

  • PCI (Payment Card Industry) Data Security Standard: norma de seguridad de datos para la industria de las tarjetas de pago.

  • ISO/IEC 27001 (organización internacional de normalización): describe los requisitos relativos a los sistemas de gestión de seguridad de la información.

  • FISMA: ley que garantiza que se tomen medidas exhaustivas para asegurar la información y los activos federales norteamericanos.

  • HIPAA (Health Insurance Portability and Accountability Act)/HITECH (Health Information Technology for Economic and Clinical Health), etc.

  • SOC (Service Organization Controls) 1, 2 y 3.

Azure también respeta las normas específicas de cada país, como la norma británica G-Cloud. Periódicamente, empresas independientes auditan las infraestructuras de Microsoft para garantizar su seguridad.

Estos son algunos de los muchos estándares y certificaciones que admite Azure:

images/02Ri12.png

Con el fin de visualizar las certificaciones de Azure, el siguiente sitio propone una tabla que las resume: https://docs.microsoft.com/en-us/compliance/regulatory/offering-home

Service Level Agreement

El Service Level Agreement (SLA) es un documento que define la calidad de servicio requerida entre un proveedor, como Microsoft, y un cliente. El contenido del servicio, las condiciones de ejecución, así como las responsabilidades de las partes, están escritas claramente.

A menudo, el SLA designa el rendimiento esperado del servicio, su disponibilidad, así como las posibles penalizaciones en caso de fallo más allá de un tiempo predefinido.

En Azure, los contratos SLA se definen por servicio y solo cubren el tiempo de actividad y de conectividad. Además, las sanciones económicas que Microsoft podría tener que pagar como resultado de una interrupción que supere el SLA estipulado se efectúan en forma de crédito a la suscripción del cliente, que pueden llegar hasta un 100 % del importe total de esta.

Otro punto importante que hay que tener en cuenta es que, en muchos casos, la búsqueda de una disponibilidad cercana al 100 % implica el uso de servicios adicionales de pago.

Por ejemplo, si las máquinas virtuales accesibles desde Internet forman parte de un grupo de alta disponibilidad (véase el capítulo Conceptos básicos - Red virtual o VNet), es decir, si tienen al menos dos instancias, Microsoft garantiza una conectividad externa mensual de al menos el 99,95 %, es decir, una indisponibilidad máxima anual de 4,38 horas. El crédito de este servicio sería del 25 % en caso de una conectividad inferior al 99 %. El tiempo de actividad mensual es igual a los minutos máximos disponibles menos el tiempo de inactividad, dividido por los minutos máximos disponibles.

A continuación, se muestra...

Servicio de soporte técnico

Microsoft ofrece una amplia gama de herramientas destinada a sus clientes a fin de que encuentren respuestas a sus preguntas, ya sea a través de una cuenta de Twitter @AzureSupport (https://twitter.com/AzureSupport), de foros para los programadores (http://stackoverflow.com/questions/tagged/azure) o canales RSS (https://azurecomcdn.azureedge.net/es-es/updates/feed/).

El soporte técnico está disponible 24 horas al día, 7 días a la semana, solo en inglés; en la mayoría de los países durante el horario comercial, de 9:30 a 17:00, en otros ocho idiomas: español, francés, alemán, italiano, portugués, chino tradicional, coreano y japonés.

Microsoft define tres niveles de gravedad en la infraestructura Azure que tiene por consecuencia un impacto en las actividades de sus clientes:

  • A: impacto crítico;

  • B: impacto moderado;

  • C: impacto mínimo.

Se ofrecen cinco planes de soporte técnico sobre incidentes, con tiempos de respuesta inferiores a 15 minutos, según el plan elegido. Todos incluyen la gestión de las suscripciones para todas las cuestiones de facturación, aumentos de cuotas, etc.

A continuación, se resumen los cuatro planes de soporte técnico que se facturan mensualmente (período de suscripción de seis meses con renovación automática): 

  • Desarrollador: soporte técnico de 9:00 a 17:00 h en Europa, solo en tecnologías Microsoft. Impacto C: tiempo de respuesta inferior a 8 horas. No está disponible en el contrato Enterprise. Coste mensual de 24,46 €.

  • Estándar: incluye las características del plan para desarrolladores. Soporte técnico ilimitado las 24 horas del día, incluso en tecnologías que no son de Microsoft. Impacto A: tiempo de respuesta inferior a 2 horas. Impacto B: tiempo de respuesta inferior a 4 horas. Impacto C: tiempo de respuesta inferior a 8 horas. Disponible en el contrato Enterprise. Coste mensual de 84,33 €.

  • Profesional directo: incluye...

Suscripción

Como hemos visto anteriormente, el uso de Azure requiere una suscripción obligatoria (subscription en inglés) que reagrupa todos los servicios en la nube de Microsoft, para un cliente, un entorno (producción, dev, etc.) o, más raramente, para un proyecto específico. Un usuario puede acceder a varias suscripciones con un único correo electrónico (profesional o de Microsoft) y trabajar solo en una de ellas, para evitar la propagación de un error en varios clientes.

En la imagen siguiente, la cuenta eni.es@hotmail.com tiene cuatro suscripciones:

images/cap02_img_27.png

Varias suscripciones pueden tener el mismo nombre, pero sus identificadores serán siempre únicos.

Cada suscripción tiene un consumo asociado en euros que refleja el uso de los servicios de Azure, como se muestra en la captura de pantalla anterior.

Una sola empresa puede tener varias suscripciones, cada una de las cuales representa a uno de sus clientes o un entorno específico de su funcionamiento. Existen varios tipos de suscripciones, en función de la situación y las necesidades: suscripción gratuita, para las empresas emergentes, para empresas, para suscriptores de MSDN, etc. Microsoft cubre una amplia gama de usos de la nube pública e híbrida.

Azure no requiere costes de puesta en marcha, ni tasas de cancelación, y la facturación suele ser por minutos, extrapolada a la hora.

El acceso a una suscripción de Azure se realiza mediante una dirección de correo electrónico y una contraseña. Existen varias interfaces para desplegar y administrar los servicios en la nube de Microsoft, como Azure PowerShell (véase el capítulo Interfaces de usuario - Azure PowerShell) y los portales web (véase el capítulo Interfaces de usuario).

1. Tipos de suscripción de Azure

Microsoft ofrece varios tipos de suscripciones a Azure para poder contentar tanto a los particulares como a las pymes o a las grandes empresas.

Examinemos los diferentes tipos de suscripciones de Azure.

a. Pago por uso o Pay-As-You-Go

En esta modalidad, el titular de la suscripción solo paga por los recursos que consume mensualmente. Si hay un cambio en la tarifa de pago por uso, se le informará con al menos un mes de antelación. Se acepta una tarjeta de crédito o débito, a menos...

Modelos de implementación

En las versiones anteriores de Azure, se utilizaba una única interfaz gráfica denominada portal antiguo o portal clásico (https://manage.windowsazure.com/), que permitía administrar los recursos de la nube de Microsoft. La implementación de varios servicios de Azure en un orden prescrito imponía la creación de un script. Los recursos no podían agruparse de forma sencilla, aunque los servicios en la nube han superado parcialmente este problema.

Se daba el mismo caso para suprimir varios recursos. Había que hacerlo manualmente uno a uno… Utilizar una etiqueta para marcar un recurso o generar roles a través del modelo RBAC tampoco era posible en este modelo de implementación llamado clásico.

En 2014, Microsoft introdujo el modelo Azure Resource Manager, así como los grupos de recursos (contenedores que agrupan recursos de Azure, como máquinas virtuales, bases de datos, redes virtuales, etc.).

Cuando el administrador quería implementar recursos, tenía que seleccionar el modelo de implementación, ya fuese tradicional o ARM. Esto se complicaba cuando ciertos servicios solo estaban disponibles en el modelo clásico (Azure Active Directory); otros, en el modelo ARM (Azure Active Directory B2C, Azure IoT Hub); otros, en ambos (máquinas virtuales, cuentas de almacenamiento y redes virtuales)...

Puntos clave para recordar

Suscripción de Azure

  • Específica de cada empresa, pero una empresa puede tener varias.

  • Define el límite para alojar recursos en Azure.

Administrador de cuenta

Administrador de servicios

  • Puede gestionar los servicios de Azure con los mismos privilegios que un coadministrador.

  • Solo hay un administrador de servicios por cada suscripción.

  • Puede crear un coadministrador.

Azure Resource Manager

  • Admite todos los servicios de Azure antiguos y nuevos desde el portal https://portal.azure.com/

  • Gestiona los grupos de recursos, etiquetas y plantillas de despliegue.

  • Controla el acceso a través del modelo RBAC.

Azure Service Management

  • Modelo de servicios de Azure propuesto en el antiguo portal https://manage.windowsazure.com

  • Microsoft lo considera obsoleto.

  • Utiliza sus propios applets Azure PowerShell.

Coadministrador o Propietario

  • Puede administrar todos los servicios de Azure, pero no cambiar la forma en que las suscripciones se asocian con los directorios de Azure.

  • Accede a los portales de Azure, salvo al centro de cuentas.

  • Un máximo de 200 coadministradores por suscripción.

Seguridad de la infraestructura

  • Infraestructura Microsoft Azure conforme a varias normas y certificaciones internacionales....