Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La definición de directivas no es suficiente. La organización debe aplicar directivas de gobernanza para garantizar el cumplimiento. La aplicación de la gobernanza en la nube significa implementar controles, procesos y herramientas para que el uso de la nube se ajuste a las directivas de gobernanza. El equipo de gobernanza de la nube establece la estrategia y supervisa la aplicación, pero el cumplimiento es una responsabilidad compartida. Los equipos de la plataforma en la nube y de gestión de cargas de trabajo supervisan la ejecución diaria dentro de sus dominios. Por lo general, se recomienda automatizar la aplicación siempre que sea factible, mediante herramientas nativas de la nube para aplicar o comprobar el cumplimiento. Use procesos manuales solo cuando no sea posible la automatización.
1. Definir un enfoque para aplicar directivas de gobernanza en la nube
Empiece por crear una estrategia general sobre cómo se aplicarán las directivas en toda la organización. Entre las consideraciones clave se incluyen:
Delegar las responsabilidades de gobernanza. Capacitar a los usuarios y equipos para aplicar la gobernanza dentro de su ámbito de responsabilidad. Por ejemplo, los equipos de plataforma deben aplicar directivas que heredan las cargas de trabajo y los equipos de carga de trabajo deben aplicar la gobernanza para su carga de trabajo. El equipo de gobernanza de la nube no debe ser responsable de aplicar controles de cumplimiento.
Adoptar un modelo de herencia. Aplique un modelo de gobernanza jerárquico en el que las cargas de trabajo específicas hereden las directivas de gobernanza de la plataforma. Este modelo ayuda a garantizar que los estándares de la organización se apliquen a los entornos correctos, como los requisitos de compra para los servicios en la nube. Siga los principios de diseño de las zonas de aterrizaje de Azure y su área de diseño de organización de recursos para establecer un modelo de herencia adecuado.
Analice los detalles de cumplimiento. Analice dónde y cómo se aplican las directivas de gobernanza. El objetivo es encontrar formas rentables de aplicar el cumplimiento que acelera la productividad. Sin una discusión, corre el riesgo de bloquear el progreso de los equipos específicos. Es importante encontrar un equilibrio que admita los objetivos empresariales a la vez que administra el riesgo de forma eficaz.
Adoptar un enfoque prioritario hacia la monitorización. No bloquee las acciones a menos que las comprenda primero. Para un riesgo de menor prioridad, empiece por supervisar el cumplimiento de las directivas de gobernanza en la nube. Después de comprender el riesgo, puede pasar a controles de aplicación más restrictivos. Un enfoque de supervisión primero le ofrece la oportunidad de analizar las necesidades de gobernanza y alinear la directiva de gobernanza en la nube y el control de cumplimiento a esas necesidades.
Prefiere listas de bloqueados. Prefiere listas de bloqueados sobre listas de permitidos. Las listas de bloqueados impiden la implementación de servicios específicos. Es mejor tener una pequeña lista de servicios que no debe usar de una larga lista de servicios que puede usar. Para evitar listas de bloqueo largas, no agregue nuevos servicios a la lista de bloqueados de forma predeterminada.
Defina una estrategia de etiquetado y nomenclatura. Establezca directrices sistemáticas para asignar nombres y etiquetar recursos en la nube. Proporciona un marco estructurado para la categorización de recursos, la administración de costos, la seguridad y el cumplimiento en todo el entorno de nube. Permitir que los equipos, como los equipos de desarrollo, agreguen otras etiquetas para sus necesidades únicas.
2. Aplicar directivas de gobernanza en la nube automáticamente
Use los servicios de administración y gobernanza de Azure para automatizar la aplicación de directivas tanto como sea posible. El cumplimiento automatizado mejora la coherencia y reduce el esfuerzo manual o el error. Pasos para implementar la gobernanza automatizada:
Comience con un pequeño conjunto de directivas automatizadas. Automatice el cumplimiento en un pequeño conjunto de directivas esenciales de gobernanza de la nube. Implemente y pruebe la automatización para evitar interrupciones operativas. Expanda la lista de controles de cumplimiento automatizados cuando esté listo.
Use herramientas de gobernanza en la nube. Use las herramientas disponibles en el entorno de nube para aplicar el cumplimiento. La herramienta de gobernanza principal de Azure es Azure Policy. Complementar Azure Policy con Microsoft Defender for Cloud (seguridad), Microsoft Purview (datos), Microsoft Entra ID Governance (identidad), Azure Monitor (operaciones), grupos de administración (administración de recursos), infraestructura como código (IaC) (administración de recursos) y configuraciones dentro de cada servicio de Azure.
Aplicar directivas de gobernanza en el ámbito correcto. Use un sistema de herencia en el que las directivas se establecen en un nivel superior, como los grupos de administración. Las directivas en niveles superiores se aplican automáticamente a niveles inferiores, como suscripciones y grupos de recursos. Las directivas se aplican incluso cuando hay cambios en el entorno de nube, lo que reduce la sobrecarga de administración.
Use puntos de cumplimiento de directivas. Configure puntos de cumplimiento de directivas dentro de los entornos en la nube que apliquen automáticamente reglas de gobernanza. Considere la posibilidad de realizar comprobaciones previas a la implementación, la supervisión en tiempo de ejecución y las acciones de corrección automatizadas.
Use la directiva como código. Use herramientas de IaC para aplicar directivas de gobernanza a través del código. La directiva como código mejora la automatización de los controles de gobernanza y garantiza la coherencia en distintos entornos. Considere la posibilidad de usar Enterprise Azure Policy como código (EPAC) para administrar directivas alineadas con las directivas recomendadas de zona de aterrizaje de Azure.
Desarrolle soluciones personalizadas según sea necesario. Para las acciones de gobernanza personalizadas, considere la posibilidad de desarrollar scripts o aplicaciones personalizados. Use las API de servicio de Azure para recopilar datos o administrar recursos directamente.
Facilitación de Azure: aplicación automática de directivas de gobernanza en la nube
Las instrucciones siguientes pueden ayudarle a encontrar las herramientas adecuadas para automatizar el cumplimiento de las directivas de gobernanza en la nube en Azure. Proporciona un punto de partida de ejemplo para las principales categorías de gobernanza de la nube.
Automatización de la gobernanza del cumplimiento normativo
Aplicar directivas de cumplimiento normativo. Use directivas de cumplimiento normativo integradas que se ajusten a los estándares de cumplimiento, como HITRUST/HIPAA, ISO 27001, CMMC, FedRamp y PCI DSSv4.
Automatización de restricciones personalizadas.Cree directivas personalizadas para definir sus propias reglas para trabajar con Azure.
Automatización de la gobernanza de la seguridad
Aplicar directivas de seguridad. Use las directivas de seguridad integradas y el cumplimiento automatizado de seguridad para alinearse con los estándares de seguridad comunes. Hay directivas integradas para las series NIST 800 SP, Center for Internet Security Benchmarks y Microsoft Cloud Security Benchmark. Use directivas integradas para automatizar la configuración de seguridad de servicios específicos de Azure. Cree directivas personalizadas para definir sus propias reglas para trabajar con Azure.
Aplicar gobernanza de identidades. Habilite la autenticación multifactor (MFA) de Microsoft Entra y elautoservicio de restablecimiento de contraseña. Elimine las contraseñas no seguras. Automatice otros aspectos de la gobernanza de identidades, como flujos de trabajo de solicitud de acceso, revisiones de acceso y administración del ciclo de vida de la identidad. Habilite el acceso Just-In-Time para limitar el acceso a recursos importantes. Use directivas de acceso condicional para conceder o bloquear el acceso de identidades de usuario y dispositivo a los servicios en la nube.
Aplicar controles de acceso. Use el control de acceso basado en rol (RBAC) de Azure y el control de acceso basado en atributos (ABAC) para controlar el acceso a recursos específicos. Conceda y deniegue permisos a usuarios y grupos. Aplique el permiso en el ámbito adecuado (grupo de administración, suscripción, grupo de recursos o recurso) para proporcionar solo el permiso necesario y limitar la sobrecarga de administración.
Automatización de la gobernanza de costos
Automatización de las restricciones de implementación.No permitir determinados recursos en la nube para evitar el uso de recursos que consumen muchos costos.
Automatización de restricciones personalizadas.Cree directivas personalizadas para definir sus propias reglas para trabajar con Azure.
Automatice la asignación de costos. Aplique los requisitos de etiquetado para agrupar y asignar costos entre entornos (desarrollo, prueba, producción), departamentos o proyectos. Use etiquetas para identificar y realizar un seguimiento de los recursos que forman parte de un esfuerzo de optimización de costos.
Automatización de la gobernanza de operaciones
Automatización de la redundancia. Use directivas integradas de Azure para requerir un nivel especificado de redundancia de infraestructura, como instancias con redundancia de zona y con redundancia geográfica.
Aplicar directivas de copia de seguridad. Use directivas de copia de seguridad para controlar la frecuencia de copia de seguridad, el período de retención y la ubicación de almacenamiento. Alinee las directivas de copia de seguridad con la gobernanza de datos, los requisitos de cumplimiento normativo, el objetivo de tiempo de recuperación (RTO) y el objetivo de punto de recuperación (RPO). Use la configuración de copia de seguridad en servicios individuales de Azure, como Azure SQL Database, para configurar las opciones que necesita.
Alcance el objetivo de nivel de servicio previsto. Restrinja la implementación de determinados servicios y niveles de servicio (SKU) que no cumplan el objetivo de nivel de servicio de destino. Por ejemplo, use la
Not allowed resource typesdefinición de directiva en Azure Policy.
Automatización de la gobernanza de datos
Automatización de la gobernanza de datos. Automatice las tareas de gobernanza de datos , como la catalogación, la asignación, el uso compartido seguro y la aplicación de directivas.
Automatización de la administración del ciclo de vida de los datos. Implemente directivas de almacenamiento y administración del ciclo de vida para el almacenamiento para asegurarse de que los datos se almacenan de forma eficaz y conforme.
Automatización de la seguridad de los datos. Revise y aplique estrategias de protección de datos, como la segregación de datos, el cifrado y la redundancia.
Automatización de la gobernanza de la administración de recursos
Cree una jerarquía de administración de recursos. Use grupos de administración para organizar las suscripciones para que pueda controlar de forma eficaz las directivas, el acceso y los gastos. Siga los procedimientos recomendados para la organización de recursos de zona de aterrizaje de Azure.
Aplicar una estrategia de etiquetado. Asegúrese de que todos los recursos de Azure se etiquetan de forma coherente para mejorar la capacidad de administración, el seguimiento de costos y el cumplimiento. Defina la estrategia de etiquetado y administre la gobernanza de etiquetas.
Restrinja los recursos que puede implementar.No permitir que los tipos de recursos restrinjan las implementaciones de servicios que agregan riesgo innecesario.
Restrinja las implementaciones a regiones específicas. Controlar dónde se implementan los recursos para cumplir con los requisitos normativos, administrar los costos y reducir la latencia. Por ejemplo, use la
Allowed locationsdefinición de directiva en Azure Policy. Aplique también restricciones regionales en la canalización de implementación.Use la infraestructura como código (IaC). Automatice las implementaciones de infraestructura mediante bicep, Terraform o plantillas de Azure Resource Manager (plantillas de ARM). Almacene las configuraciones de IaC en un sistema de control de código fuente (GitHub o Azure Repos) para realizar un seguimiento de los cambios y colaborar. Utiliza arquitecturas de referencia de zona de aterrizaje de Azure para gobernar la implementación de recursos de plataforma y aplicación y evitar la desviación de configuración a lo largo del tiempo.
Controlar entornos híbridos y multinube.Controlar los recursos híbridos y multinube. Mantener la coherencia en la administración y la aplicación de directivas.
Automatización de la gobernanza de la inteligencia artificial
Utilice el patrón de generación aumentada de recuperación (RAG). RAG agrega un sistema de recuperación de información para controlar los datos de base que usa un modelo de lenguaje para generar una respuesta. Por ejemplo, puede usar el servicio Azure OpenAI en su propia característica de datos o configurar RAG con Azure AI Search para restringir la inteligencia artificial generativa al contenido.
Use las herramientas de desarrollo de IA. Use herramientas de inteligencia artificial, como Microsoft Agent Framework, que facilitan y normalizan la orquestación de ia al desarrollar aplicaciones que usan inteligencia artificial.
Controlar la generación de salida. Ayuda a evitar el abuso y la generación de contenido perjudicial. Use el filtrado de contenido de IA y la supervisión del abuso de IA.
Configurar la prevención de pérdida de datos. Configuración de la Prevención de pérdida de datos para servicios de Azure AI. Configure la lista de direcciones URL salientes a las que pueden acceder sus recursos de servicios de IA.
Use mensajes del sistema. Use mensajes del sistema para guiar el comportamiento de un sistema de inteligencia artificial y adaptar las salidas.
Aplique la baseline de seguridad de IA. Use la línea de base de seguridad de Azure AI para controlar la seguridad de los sistemas de inteligencia artificial.
3. Aplicar las directivas de gobernanza de la nube manualmente
No todo se puede automatizar perfectamente. A veces, una limitación o costo de herramientas hace que el cumplimiento automatizado no sea práctico. Habrá casos, especialmente inicialmente o para procesos muy personalizados, donde es necesario la gobernanza manual. Además, las organizaciones más pequeñas pueden empezar con la gobernanza manual antes de automatizar. Entre las prácticas clave de cumplimiento manual se incluyen:
Use listas de comprobación. Use listas de comprobación de gobernanza para facilitar que los equipos sigan las directivas de gobernanza en la nube. Para obtener más información, consulte las listas de comprobación de cumplimiento de ejemplo.
Proporcionar entrenamiento normal. Realice sesiones de entrenamiento frecuentes para todos los miembros del equipo pertinentes para asegurarse de que son conscientes de las directivas de gobernanza.
Programar revisiones periódicas. Implemente una programación para las revisiones y auditorías periódicas de los recursos y procesos en la nube para garantizar el cumplimiento de las directivas de gobernanza. Estas revisiones son críticas para identificar desviaciones de las directivas establecidas y tomar medidas correctivas.
Supervisar manualmente. Asigne personal dedicado para supervisar el entorno en la nube para el cumplimiento de las directivas de gobernanza. Considere la posibilidad de realizar el seguimiento del uso de recursos, la administración de controles de acceso y la garantía de que las medidas de protección de datos están en vigor para alinearse con las directivas. Por ejemplo, defina un enfoque completo de administración de costos para controlar los costos de la nube.
4. Revisión de la aplicación de directivas
Revise y actualice periódicamente los mecanismos de aplicación de cumplimiento. El objetivo es mantener la aplicación de directivas de gobernanza en la nube alineada con las necesidades actuales, incluidos desarrolladores, arquitectos, cargas de trabajo, plataforma y requisitos empresariales. Para revisar la aplicación de directivas, siga estas recomendaciones:
Póngase en contacto con las partes interesadas. Analice la eficacia de los mecanismos de cumplimiento con las partes interesadas. Asegúrese de que el cumplimiento de la gobernanza de la nube se alinea con los objetivos empresariales y los requisitos de cumplimiento.
Supervisar los requisitos. Actualice o quite los mecanismos de cumplimiento para alinearse con los requisitos nuevos o actualizados. Realice un seguimiento de los cambios en las regulaciones y estándares que requieren actualizaciones de los mecanismos de cumplimiento. Por ejemplo, las directivas recomendadas de zona de aterrizaje de Azure pueden cambiar con el tiempo. Debe detectar esos cambios de directiva, actualizar a las directivas personalizadas de la zona de aterrizaje de Azure más recientes o migrar a directivas integradas según sea necesario.
Ejemplos de listas de comprobación de cumplimiento de gobernanza en la nube
Las listas de comprobación de cumplimiento ayudan a los equipos a comprender las directivas de gobernanza que se aplican a ellas. Las listas de comprobación de cumplimiento de ejemplo utilizan la declaración de política de las políticas de gobernanza en la nube de ejemplo y contienen el identificador de política de gobernanza en la nube para hacer referencia cruzada.
| Categoría | Requisito de cumplimiento |
|---|---|
| Cumplimiento normativo | ☐ Microsoft Purview debe usarse para supervisar datos confidenciales (RC01). ☐ Los informes diarios de cumplimiento de datos confidenciales deben generarse a partir de Microsoft Purview (RC02). |
| Seguridad | ☐ MFA debe estar habilitado para todos los usuarios (SC01). ☐ Las revisiones de acceso deben realizarse mensualmente en la gobernanza de identificadores (SC02). ☐ Use la organización de GitHub especificada para hospedar todas las aplicaciones y el código de infraestructura (SC03). ☐ Los equipos que usan bibliotecas de orígenes públicos deben adoptar el patrón de cuarentena (SC04). |
| Operaciones | ☐ Las cargas de trabajo de producción deben tener una arquitectura activa-pasiva entre regiones (OP01). ☐ Todas las cargas de trabajo críticas deben implementar una arquitectura activa-activa entre regiones (OP02). |
| Costos | ☐ Los equipos de carga de trabajo deben establecer alertas de presupuestos en el nivel de grupo de recursos (CM01). ☐ Las recomendaciones de costos de Azure Advisor deben revisarse (CM02). |
| Datos | ☐ El cifrado en tránsito y en reposo debe aplicarse a todos los datos confidenciales.
(DG01) ☐ Las directivas de ciclo de vida de datos deben estar habilitadas para todos los datos confidenciales (DG02). |
| Administración de recursos | ☐ Bicep debe usarse para implementar recursos (RM01). ☐ Las etiquetas deben aplicarse en todos los recursos en la nube mediante Azure Policy (RM02). |
| INTELIGENCIA ARTIFICIAL | ☐ La configuración de filtrado de contenido de IA debe establecerse en media o superior (AI01). ☐ Los sistemas de inteligencia artificial orientados al cliente deben estar en equipo mensual ( AI02)en equipo rojo. |