Enfoques arquitectónicos para la gobernanza y el cumplimiento en soluciones multiinquilino
A medida que el uso de Azure madura, es importante tener en cuenta la gobernanza de los recursos en la nube. La gobernanza incluye cómo se almacenan y administran los datos de los inquilinos y cómo organiza los recursos de Azure. Es posible que también tenga que seguir los estándares normativos, legales o contractualmente obligatorios. En este artículo se proporciona información sobre cómo considerar la gobernanza y el cumplimiento en una solución multiinquilino. También sugiere algunas de las características clave de la plataforma Azure que abordan estas preocupaciones.
Consideraciones y requisitos clave
Aislamiento de recursos.
Asegúrese de configurar los recursos de Azure para cumplir los requisitos de aislamiento de los inquilinos. Consulte Organización de recursos Azure en soluciones multiinquilino para obtener orientación sobre el aislamiento de sus recursos Azure.
Administración de datos
Al almacenar datos en nombre de los inquilinos, es posible que tenga requisitos o obligaciones que necesite cumplir. Desde la perspectiva de un inquilino, a menudo esperan la propiedad y el control de sus datos. Tenga en cuenta cómo aislar, almacenar, acceder y agregar los datos de los inquilinos. Descubra las expectativas y los requisitos de los inquilinos que podrían afectar a cómo funciona la solución.
Aislamiento
Revise los enfoques de arquitectura para el almacenamiento y los datos en las soluciones multiinquilino para entender cómo aislar los datos de los inquilinos. Tenga en cuenta si los inquilinos tienen requisitos para usar sus propias claves de cifrado de datos.
Independientemente de los enfoques de aislamiento que implemente, prepárese para que los inquilinos soliciten una auditoría de sus datos. Se recomienda documentar todos los almacenes de datos en los que se pueden conservar los datos de los inquilinos. Entre los orígenes de datos comunes se incluyen los siguientes:
- Bases de datos y cuentas de almacenamiento implementadas como parte de la solución.
- Sistemas de identidad, que a menudo se comparten entre inquilinos.
- Registros.
- Almacenes de datos.
Soberanía
Comprenda si hay restricciones en la ubicación física de los datos de los inquilinos que se van a almacenar o procesar. Es posible que los inquilinos necesiten almacenar sus datos en ubicaciones geográficas específicas. También pueden exigir que no se almacenen sus datos en determinadas ubicaciones. Aunque estos requisitos se basan normalmente en la legislación, también pueden basarse en valores culturales y normas.
Para obtener más información sobre la residencia y soberanía de datos, consulte el documento técnico Facilitando la residencia de datos y la protección de datos en regiones de Microsoft Azure.
Acceso de los inquilinos a los datos que almacena
A veces, los inquilinos solicitan acceso directo a los datos que almacena en su nombre. Por ejemplo, es posible que quieran ingerir sus datos en su propio lago de datos.
Planee cómo responderá a estas solicitudes. Considere si alguno de los datos de los inquilinos se mantiene en almacenes de datos compartidos. Si es así, planee cómo evitará que los inquilinos accedan a los datos de otros inquilinos.
Evite proporcionar acceso directo a las bases de datos o a las cuentas de almacenamiento, a menos que se haya diseñado para este requisito, como por ejemplo, con el patrón clave de acceso limitado. Considere la posibilidad de crear una API o un proceso automatizado de exportación de datos con fines de integración.
Para obtener más información sobre la integración con los sistemas de inquilinos y los sistemas externos, consulte Enfoques arquitectónicos para la integración de inquilinos y el acceso a datos.
Acceso a los datos de los inquilinos
Tenga en cuenta si los requisitos de los inquilinos restringen al personal que puede trabajar con sus datos o recursos. Por ejemplo, supongamos que crea una solución SaaS que usa muchos clientes diferentes. Una agencia gubernamental podría requerir que solo los ciudadanos de su país o región puedan acceder a la infraestructura y los datos de su solución. Puede cumplir este requisito mediante grupos de recursos, suscripciones o grupos de administración independientes de Azure para cargas de trabajo de clientes confidenciales. Puede aplicar controles de acceso basados en roles (RBAC) de Azure de alcance estricto para que grupos específicos de usuarios trabajen con estos recursos.
Agregación de datos de varios inquilinos
Tenga en cuenta si necesita combinar o agregar datos de varios inquilinos. Por ejemplo, ¿analiza los datos agregados o entrena modelos de aprendizaje automático que se podrían aplicar a otros inquilinos? Asegúrese de que los inquilinos entiendan las formas en que usa sus datos. Incluya cualquier uso de datos agregados o anónimos.
Requisitos de cumplimiento
Es importante que comprenda si necesita cumplir los estándares de cumplimiento. Los requisitos de cumplimiento se pueden introducir en varias situaciones, entre las que se incluyen:
- Usted o cualquiera de sus inquilinos trabajan en determinados sectores. Por ejemplo, si alguno de sus inquilinos trabaja en el sector sanitario, es posible que tenga que cumplir el estándar HIPAA.
- Usted o cualquiera de sus inquilinos se encuentran en regiones geográficas o geopolíticas que requieren el cumplimiento de las leyes locales. Por ejemplo, si alguno de sus inquilinos se encuentra en Europa, es posible que tenga que cumplir con Reglamento general de protección de datos (RGPD).
- Compra una póliza de ciberseguro para mitigar el riesgo de brechas. Es posible que los proveedores de ciberseguro requieran que siga sus estándares y aplique controles específicos para que la póliza sea válida.
Importante
El cumplimiento es una responsabilidad compartida entre Microsoft, usted y sus inquilinos.
Microsoft garantiza que nuestros servicios cumplen un conjunto específico de estándares de cumplimiento y proporciona herramientas como Microsoft Defender for Cloud que ayudan a comprobar que los recursos están configurados según esos estándares.
Sin embargo, en última instancia es responsabilidad suya comprender completamente los requisitos de cumplimiento que se aplican a la solución y cómo configurar los recursos de Azure según esos estándares. Consulte las ofertas de cumplimiento de Azure para obtener más detalles.
En este artículo no se proporcionan instrucciones específicas sobre cómo cumplir los estándares concretos. En su lugar, proporciona algunas instrucciones generales sobre cómo considerar el cumplimiento y la gobernanza en una solución multiinquilino.
Si los distintos inquilinos necesitan seguir diferentes estándares de cumplimiento, planee cumplir con el estándar más estricto en todo el entorno. Es más fácil seguir un estándar estricto de forma coherente que seguir diferentes estándares para distintos inquilinos.
Enfoques y patrones que se deben tener en cuenta
Etiquetas de recursos
Use las etiquetas de recursos para hacer un seguimiento del identificador del inquilino para los recursos específicos del inquilino, o del identificador del sello cuando escale usando el patrón de sellos de implementación. Mediante el uso de etiquetas de recursos, puede identificar rápidamente los recursos asociados a arrendatarios o marcas específicas.
Control de acceso
Utilice Azure RBAC para restringir el acceso a los recursos de Azure que constituyen la solución de multitenencia. Siga los procedimientos recomendados de RBAC , como aplicar asignaciones de roles a grupos en lugar de usuarios. Limita tus asignaciones de roles para que proporcionen sólo los permisos mínimos necesarios. Evite el acceso prolongado a los recursos con el uso del acceso "cuando es necesario" y de características como Microsoft Entra ID Privileged Access Management.
Azure Resource Graph
Azure Resource Graph permite trabajar con metadatos de recursos de Azure. Con Resource Graph, puede consultar en un gran número de recursos de Azure, incluso si se distribuyen entre varias suscripciones. Resource Graph puede consultar los recursos de un tipo específico o identificar los recursos configurados de maneras específicas. También se puede usar para realizar un seguimiento del historial de la configuración de un recurso.
Resource Graph puede resultar útil para administrar grandes patrimonios de Azure. Por ejemplo, suponga que implementa recursos Azure específicos de un inquilino en varias suscripciones de Azure. Al aplicar etiquetas a los recursos, puede usar la API de Resource Graph para encontrar los recursos que utilizan determinados inquilinos o sellos de implementación.
Microsoft Purview
Considere usar Microsoft Purview para realizar un seguimiento y clasificar los datos que almacena. Cuando los inquilinos solicitan acceso a sus datos, puede determinar fácilmente los orígenes de datos que debe incluir.
Comprobación del cumplimiento de los estándares
Use herramientas como Azure Policy, portal de cumplimiento normativo de Microsoft Defender for Cloudy Azure Advisor. Estas herramientas le ayudan a configurar los recursos de Azure para cumplir los requisitos de cumplimiento y seguir los procedimientos recomendados.
Generación de documentación de cumplimiento
Es posible que los inquilinos requieran que demuestre su cumplimiento con estándares específicos. Use el portal de confianza de servicios de para generar documentación de cumplimiento que puede proporcionar a sus inquilinos o a auditores de terceros.
Algunas soluciones multiinquilino incorporan Microsoft 365 y usan servicios como Microsoft OneDrive, Microsoft SharePoint y Microsoft Exchange Online. El portal de cumplimiento de Microsoft Purview le ayuda a comprender cómo estos servicios cumplen con los estándares normativos.
Patrón de stamps de implementación
Considere la posibilidad de seguir el patrón de sellos de implementación cuando necesite cumplir con los requisitos específicos de los inquilinos.
Por ejemplo, puede implementar sellos de su solución en varias regiones de Azure. A continuación, puede asignar nuevos inquilinos a los sellos, basándose en las regiones en las que necesitan tener sus datos.
De forma similar, un nuevo inquilino podría introducir requisitos de cumplimiento estrictos que no se pueden cumplir en los componentes de la solución existentes. Puede considerar la posibilidad de implementar una marca dedicada para ese inquilino y, a continuación, configurarla según sus requisitos.
Antipatrones para evitar
- No entender los requisitos de cumplimiento de tus inquilinos. Es importante no hacer suposiciones sobre los requisitos de cumplimiento que los inquilinos pueden imponer. Si planea aumentar la solución en nuevos mercados, tenga en cuenta el entorno normativo en el que es probable que los inquilinos funcionen.
- Ignorar los procedimientos recomendados. Si no tiene ninguna necesidad inmediata de cumplir los estándares de cumplimiento, debe seguir los procedimientos recomendados al implementar los recursos de Azure. Por ejemplo, aísle los recursos, aplique directivas para comprobar la configuración de recursos y aplique asignaciones de roles a grupos en lugar de usuarios. Al seguir los procedimientos recomendados, resulta más sencillo seguir los estándares de cumplimiento cuando finalmente necesite hacerlo.
- Suponiendo que no haya ningún requisito de cumplimiento. Al iniciar por primera vez una solución multiinquilino, es posible que no conozca los requisitos de cumplimiento o que no tenga que seguir ninguna. A medida que crezca, es probable que tenga que proporcionar evidencias de que cumple con varios estándares. Use Microsoft Defender for Cloud para supervisar la posición de cumplimiento con respecto a una base de referencia general, como el CIS Microsoft Azure Foundations Benchmark, incluso antes de que le obligue requisito explícito.
- No hay planificación para la gestión. A medida que implementa los recursos de Azure, tenga en cuenta cómo planea administrarlos. Si necesita realizar actualizaciones masivas en los recursos, asegúrese de que comprende las herramientas de automatización, como la CLI de Azure, Azure PowerShell, Azure Resource Graph y las API de Azure Resource Manager.
- No se usan grupos de administración. Planee la jerarquía de grupos de administración y suscripción, incluidos el control de acceso y los recursos de Azure Policy en cada ámbito. Puede ser difícil y perjudicial introducir o cambiar estos elementos cuando los recursos se usan en un entorno de producción.
- No planificar tu estrategia de control de acceso. Azure RBAC proporciona un alto grado de control y flexibilidad en la forma de administrar el acceso a los recursos. Asegúrese de usar grupos de Microsoft Entra para evitar asignar permisos a usuarios individuales. Asigne roles en ámbitos que proporcionen un equilibrio adecuado entre seguridad y flexibilidad. Use definiciones de roles integradas siempre que sea posible y asigne roles que proporcionen los permisos mínimos necesarios.
- No usar Azure Policy. Es importante usar Azure Policy para controlar el entorno de Azure. Después de planear e implementar directivas, asegúrese de supervisar el cumplimiento de la directiva y revisar cuidadosamente las infracciones o excepciones.
Colaboradores
Microsoft mantiene este artículo. Originalmente fue escrito por los siguientes colaboradores.
Autor principal:
- John Downs | Ingeniero principal de software
Otros colaboradores:
- Bohdan Cherchyk | Ingeniero superior de clientes, FastTrack para Azure
- Laura Nicolas | Ingeniero superior de clientes, FastTrack para Azure
- Arsen Vladimirskiy | Ingeniero principal de clientes, FastTrack para Azure
Para ver perfiles de LinkedIn no públicos, inicie sesión en LinkedIn.
Pasos siguientes
Revise los enfoques para la administración y asignación de costos.