Si usamos la nube, disponer de una buena estrategia de gobernanza ayuda a tener el control de las aplicaciones y los recursos que se administran en la nube. Al tener el control del entorno, nos aseguramos de que sigue siendo compatible con lo siguiente:<\/p>\n\n\n\n
- Est\u00e1ndares del sector, como PCI DSS<\/a><\/li>
- Est\u00e1ndares corporativos o de la organizaci\u00f3n, como asegurarse de que los datos de red est\u00e1n cifrados<\/li><\/ul>\n\n\n\n
Las ventajas de la gobernanza son mayores en los siguientes casos:<\/p>\n\n\n\n
- Hay varios equipos de ingenier\u00eda que trabajan en Azure.<\/li>
- Hay varias suscripciones que administrar.<\/li>
- Hay requisitos normativos que deben aplicarse.<\/li>
- Hay est\u00e1ndares que deben seguirse en todos los recursos en la nube.<\/li><\/ul>\n\n\n\n
Conozca Tailwind Traders<\/h3>\n\n\n\n
Tailwind Traders<\/a> es una empresa ficticia que distribuye productos para la remodelaci\u00f3n del hogar. Esta empresa cuenta con ferreter\u00edas minoristas en todo el mundo y en l\u00ednea.<\/p>\n\n\n\n
Tailwind Traders est\u00e1 especializada en precios competitivos, env\u00edo r\u00e1pido y una amplia gama de art\u00edculos. Va a examinar las tecnolog\u00edas en la nube para mejorar las operaciones comerciales y apoyar el crecimiento en nuevos mercados. Al migrar a la nube, la empresa tiene previsto mejorar su experiencia de compra para diferenciarse de sus competidores.<\/p>\n\n\n\n
\u00bfC\u00f3mo mejorar\u00e1 Tailwind Traders la agilidad de los equipos y mantener control al mismo tiempo?<\/h3>\n\n\n\n
Tailwind Traders contin\u00faa con la migraci\u00f3n a la nube. En el centro de datos, los equipos de desarrollo y pruebas deben tramitar incidencias de soporte t\u00e9cnico para pedir acceso a las m\u00e1quinas virtuales, el almacenamiento y los componentes de red. El personal de TI puede tardar entre dos semanas y dos meses en adquirir, aprovisionar y configurar estos componentes.<\/p>\n\n\n\n
Al trabajar en la nube, el acceso a los componentes de proceso, almacenamiento y red es b\u00e1sicamente inmediato. Muchos tipos de grupos y usuarios (incluidos los miembros de los equipos de desarrollo, pruebas, operaciones y seguridad) pueden tener en teor\u00eda acceso directo a los recursos en la nube.<\/p>\n\n\n\n
En el futuro, Tailwind Traders podr\u00eda aplicar procesos similares que impidan que los equipos creen o configuren directamente recursos en Azure, algo similar al enfoque existente, seg\u00fan el cual el departamento central de TI aprovisiona la infraestructura. Pero la empresa sabe que estas restricciones reducen la agilidad del equipo y su capacidad de innovar. As\u00ed pues, \u00bfc\u00f3mo pueden dar pie a la innovaci\u00f3n y mantener el control?<\/p>\n\n\n\n
En este m\u00f3dulo, ayudaremos a la empresa a explorar las distintas formas en las que puede aplicar est\u00e1ndares y, al mismo tiempo, permitir que los equipos creen y administren los recursos que necesiten para la nube.<\/p>\n\n\n\n
Unidad 2: Control del acceso a los recursos en la nube por medio del control de acceso basado en roles de Azure<\/h2>\n\n\n\n
Cuando tenemos varios equipos de TI e ingenier\u00eda, \u00bfc\u00f3mo podemos controlar el acceso que tienen a los recursos del entorno de nube? Una buena pr\u00e1ctica de seguridad consiste en conceder a los usuarios \u00fanicamente los derechos que necesitan para realizar su trabajo, y solo a los recursos pertinentes.<\/p>\n\n\n\n
En vez de definir los requisitos de acceso detallados de cada individuo y, posteriormente, ir actualiz\u00e1ndolos a medida que se vayan creando m\u00e1s recursos, Azure permite controlar el acceso a trav\u00e9s del control de acceso basado en roles de Azure<\/a> (RBAC de Azure).<\/p>\n\n\n\n
Azure proporciona roles integrados que describen las reglas de acceso comunes de los recursos en la nube. Tambi\u00e9n podemos definir nuestros propios roles. Cada rol tiene un conjunto asociado de permisos de acceso que tienen que ver con ese rol. Cuando se asignan usuarios o grupos a uno o varios roles, reciben todos los permisos de acceso asociados correspondientes.<\/p>\n\n\n\n
\u00bfC\u00f3mo se aplica el control de acceso basado en roles a los recursos?<\/h3>\n\n\n\n
El control de acceso basado en roles se aplica a un \u00e1mbito<\/em>, que es un recurso o un conjunto de recursos en los que este acceso se permite.<\/p>\n\n\n\n
En este diagrama se muestra la relaci\u00f3n entre roles y \u00e1mbitos.<\/p>\n\n\n\n
![\"\"](\"\/wp-content\/uploads\/2022\/04\/4-role-scope-0223bfae.png\")
<\/figure>\n\n\n\nLos \u00e1mbitos pueden ser lo siguiente:<\/p>\n\n\n\n
- Un grupo de administraci\u00f3n (una colecci\u00f3n de varias suscripciones)<\/li>
- Una sola suscripci\u00f3n<\/li>
- Un grupo de recursos.<\/li>
- Un solo recurso<\/li><\/ul>\n\n\n\n
En el diagrama, los observadores<\/em>, los usuarios que administran recursos<\/em>, los administradores<\/em> y los procesos automatizados<\/em> denotan los tipos de usuarios o cuentas que se suelen asignar a cada uno de los distintos roles.<\/p>\n\n\n\n
Si se otorga acceso a un \u00e1mbito primario, esos permisos se heredan en todos los \u00e1mbitos secundarios. Por ejemplo:<\/p>\n\n\n\n
- Cuando asignamos el rol Propietario<\/a> a un usuario en el \u00e1mbito del grupo de administraci\u00f3n, dicho usuario podr\u00e1 administrar todo el contenido de todas las suscripciones dentro de ese grupo de administraci\u00f3n.<\/li>
- Cuando asignamos el rol Lector<\/a> a un grupo en el \u00e1mbito de suscripci\u00f3n, los miembros de dicho grupo podr\u00e1n ver todos los grupos de recursos y recursos dentro de esa suscripci\u00f3n.<\/li>
- Cuando asignamos el rol Colaborador<\/a> a una aplicaci\u00f3n en el \u00e1mbito del grupo de recursos, dicha aplicaci\u00f3n podr\u00e1 administrar los recursos de cualquier tipo dentro de ese grupo de recursos espec\u00edfico, pero no los otros grupos de recursos dentro de esa suscripci\u00f3n.<\/li><\/ul>\n\n\n\n
\u00bfCu\u00e1ndo conviene usar RBAC de Azure?<\/h3>\n\n\n\n
Usaremos RBAC de Azure cuando necesitemos:<\/p>\n\n\n\n
- Permitir que un usuario administre las VM en una suscripci\u00f3n y que otro usuario administre las redes virtuales.<\/li>
- Permitir a un grupo de administradores de base de datos que administren bases de datos SQL de una suscripci\u00f3n<\/li>
- Permitir que un usuario administre todos los recursos de un grupo de recursos, como las m\u00e1quinas virtuales, los sitios web y las subredes<\/li>
- Permitir que una aplicaci\u00f3n acceda a todos los recursos de un grupo de recursos.<\/li><\/ul>\n\n\n\n
Estos son solo algunos ejemplos. Al final de este m\u00f3dulo hay una lista completa de roles integrados.<\/p>\n\n\n\n
\u00bfC\u00f3mo se aplica RBAC de Azure?<\/h3>\n\n\n\n
RBAC de Azure se aplica a cualquier acci\u00f3n que se inicie en un recurso de Azure que pasa por Azure Resource Manager. Resource Manager es un servicio de administraci\u00f3n que proporciona una forma de organizar y proteger nuestros recursos en la nube.<\/p>\n\n\n\n
Normalmente, se accede a Resource Manager a trav\u00e9s de Azure Portal, Azure Cloud Shell, Azure PowerShell y la CLI de Azure. RBAC de Azure no aplica permisos de acceso en el nivel de aplicaci\u00f3n ni de datos. La seguridad de la aplicaci\u00f3n debe controlarla la propia aplicaci\u00f3n.<\/p>\n\n\n\n
RBAC emplea un modelo de permisos<\/em>, es decir, cuando se nos asigna un rol, RBAC nos permite<\/em> realizar determinadas acciones, como leer, escribir o eliminar. Si una asignaci\u00f3n de roles nos concede permisos de lectura a un grupo de recursos y otra asignaci\u00f3n de roles nos concede permisos de escritura al mismo grupo de recursos, tendremos permisos tanto de lectura como de escritura en ese grupo de recursos.<\/p>\n\n\n\n
\u00bfA qui\u00e9n se aplica RBAC de Azure?<\/h3>\n\n\n\n
RBAC de Azure se puede aplicar a una persona individual o a un grupo. Tambi\u00e9n se puede aplicar a otros tipos de identidad especiales, como entidades de servicio e identidades administradas. Las aplicaciones y los servicios usan estos tipos de identidad para automatizar el acceso a los recursos de Azure.<\/p>\n\n\n\n
Tailwind Traders tiene los siguientes equipos implicados en alguna parte de su entorno de TI general:<\/p>\n\n\n\n
- Administradores de TI: este equipo tiene la propiedad definitiva de los recursos tecnol\u00f3gicos, tanto locales como en la nube. El equipo requiere un control completo de todos los recursos.<\/li>
- Copia de seguridad y recuperaci\u00f3n ante desastres: este equipo es responsable de administrar el estado de las copias de seguridad peri\u00f3dicas y de invocar cualquier recuperaci\u00f3n de datos o del sistema.<\/li>
- Coste y facturaci\u00f3n: los miembros de este equipo realizan un seguimiento e informan sobre los gastos relacionados con la tecnolog\u00eda. Tambi\u00e9n administran los presupuestos internos de la organizaci\u00f3n.<\/li>
- Operaciones de seguridad: este equipo supervisa los incidentes de seguridad relacionados con la tecnolog\u00eda y responde a estos. El equipo requiere acceso continuo a los archivos de registro y a las alertas de seguridad.<\/li><\/ul>\n\n\n\n
\u00bfC\u00f3mo se administran los permisos de RBAC de Azure?<\/h3>\n\n\n\n
Los permisos de acceso se administran en el panel Control de acceso (IAM)<\/strong> de Azure Portal. En este panel se muestra qui\u00e9n tiene acceso a qu\u00e9 \u00e1mbito y qu\u00e9 roles se aplican. En \u00e9l tambi\u00e9n puede conceder o quitar cualquier tipo de acceso.<\/p>\n\n\n\n
En la siguiente captura de pantalla se muestra un ejemplo del panel Control de acceso (IAM)<\/strong> de un grupo de recursos. En este ejemplo, Alain Charon tiene asignado el rol Operador de copias de seguridad<\/strong> en ese grupo de recursos.<\/p>\n\n\n\n
![\"\"](\"\/wp-content\/uploads\/2022\/04\/4-role-based-access-control-blade-360b5130.png\")
<\/figure>\n\n\n\nMCT: Video 5.2.1: Control de Acceso basado en roles<\/h2>\n\n\n\n
- Cuando asignamos el rol Lector<\/a> a un grupo en el \u00e1mbito de suscripci\u00f3n, los miembros de dicho grupo podr\u00e1n ver todos los grupos de recursos y recursos dentro de esa suscripci\u00f3n.<\/li>
- Cuando asignamos el rol Propietario<\/a> a un usuario en el \u00e1mbito del grupo de administraci\u00f3n, dicho usuario podr\u00e1 administrar todo el contenido de todas las suscripciones dentro de ese grupo de administraci\u00f3n.<\/li>
- Est\u00e1ndares corporativos o de la organizaci\u00f3n, como asegurarse de que los datos de red est\u00e1n cifrados<\/li><\/ul>\n\n\n\n