contoso en la nube de implementar la nube de microsoft...
TRANSCRIPT
Método de una organización global
ficticia, aunque representativa, para
implementar la nube de Microsoft
Contoso en la
nube de
Microsoft 1 2 3 4 5Este es el tema 1 de una serie de 6
Contoso Corporation
Organización mundial de Contoso
Elementos de la implementación de Contoso de la nube de Microsoft
Redes
Las redes incluyen conectividad con las
ofertas de la nube de Microsoft y ancho
de banda suficiente para soportar cargas
máximas. Algunos tipos de conectividad
se ofrecerán a través de conexiones de
Internet locales y otras a través de la
infraestructura de red privada de
Contoso.
Identidad
Contoso usa un bosque de Windows Server AD
para su proveedor de identidades interno y
también se federa con proveedores de terceros
para obtener clientes y partners. Contoso debe
aprovechar su conjunto de cuentas interno
para las ofertas de nube de Microsoft. El
acceso a aplicaciones basadas en la nube para
clientes y partners debe aprovechar también
los proveedores de identidades de terceros.
Seguridad
La seguridad de datos e identidades
basados en la nube debe incluir
protección de datos, administración de
privilegios administrativos,
reconocimiento de amenazas e
implementación de directivas de control
y seguridad de datos.
Administración
La administración de aplicaciones basadas
en la nube y las cargas de trabajo de SaaS
necesitarán la capacidad para mantener
opciones de configuración, datos,
cuentas, directivas y permisos, así como
para supervisar el estado y el rendimiento
continuos. Las herramientas de
administración del servidor existentes se
usarán para administrar máquinas
virtuales en IaaS de Azure.
Los arquitectos de TI de Contoso han identificado los siguientes elementos al planear la adopción de las ofertas de nube de Microsoft.
Identidad de nube de Microsoft
para arquitectos de empresa
Identidad de nube de Microsoft
para arquitectos de empresa
Microsoft Cloud Networking
para arquitectos profesionales
Microsoft Cloud Networking
para arquitectos profesionales
Seguridad en la nube de
Microsoft para arquitectos
profesionales
Seguridad en la nube de
Microsoft para arquitectos
profesionales
Las oficinas de Contoso en todo el mundo siguen un diseño de tres niveles.
Contoso Corporation es una empresa global con sede en París, Francia. Es una organización conglomerada de fabricación, ventas y soporte técnico con más de 100 000 productos.
Septiembre de 2016 © 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].
Oficinas satéliteHubs regionalesOficina centralOficina central
La sede de Contoso Corporation se
encuentra en unas grandes
instalaciones corporativas en las
afueras de París con decenas de
edificios de instalaciones
administrativas, de ingeniería y
fabricación. Todos los centros de
datos de Contoso y su presencia en
Internet se albergan en la sede de
París.
La sede cuenta con 15 000
empleados.
Las oficinas del hub regional sirven
a una región específica del mundo
con un 60 % del personal de ventas
y soporte técnico. Todos los hubs
están conectados a la sede de París
con un vínculo WAN de ancho de
banda alto.
Cada hub regional tiene un
promedio de 2000 trabajadores.
Las oficinas satélite hospedan un
80 % del personal de ventas
y soporte técnico, y proporcionan
presencia física e in situ para los
clientes de Contoso en ciudades
importantes o subregiones. Cada
oficina satélite está conectada a un
hub regional con un vínculo WAN de
ancho de banda alto.
Cada oficina satélite tiene un
promedio de 250 trabajadores.
El 25 % de la plantilla de
Contoso es
exclusivamente móvil,
con un porcentaje más
alto de trabajadores
exclusivamente móviles
en los hubs regionales
y las oficinas satélite.
Proporcionar soporte
técnico mejorado para
los trabajadores
exclusivamente móviles
es un objetivo
empresarial importante
para Contoso.
6
Método de una organización global
ficticia, aunque representativa, para
implementar la nube de Microsoft
Contoso en
la nube de
Microsoft
Infraestructura y necesidades de TI de Contoso
Asignación de las necesidades empresariales de Contoso a las ofertas de nube de Microsoft
Infraestructura de TI existente de Contoso
SaaSSoftware como servicio
PaaS de AzurePlataforma como servicio
IaaS de AzureInfraestructura como servicio
Contoso usa una infraestructura de TI local mayoritariamente centralizada, con centros de datos de
aplicaciones en la sede de París.
Contoso está en proceso de transición de una infraestructura de TI centralizada local a una infraestructura de nube
inclusiva que incorpora las cargas de trabajo de productividad del personal, las aplicaciones y los escenarios híbridos basados en la nube.
Necesidades empresariales de Contoso
Cumplir los requisitos normativos regionales
Para evitar multas y mantener buenas relaciones con
los gobiernos locales, Contoso debe garantizar el
cumplimiento de las normas de almacenamiento y
cifrado de datos.
1 Mejorar la administración de proveedores y
partners
La extranet de partners está quedando anticuada y
es cara de mantener. Contoso quiere reemplazarla
por una solución basada en la nube que use la
autenticación federada.
2 Mejorar la productividad de los empleados
móviles, la administración de dispositivos y el
acceso
El personal exclusivamente móvil de Contoso se
está expandiendo y se requiere la administración de
dispositivos para garantizar la protección de la
propiedad intelectual y un acceso más eficiente a los
recursos.
3
Reducir la infraestructura de acceso remoto
Al mover a la nube recursos a los que los
trabajadores remotos acceden con frecuencia,
Contoso ahorrará dinero gracias a la reducción de
los costos de mantenimiento
y soporte técnico de su solución de acceso remoto.
4 Reducir verticalmente los centros de datos
locales
Los centros de datos de Contoso contienen
cientos de servidores, algunos de los cuales
ejecutan funciones de archivo o heredadas que
desvían la atención del personal de TI del
mantenimiento de unas cargas de trabajo de alto
valor empresarial.
5 Escalar verticalmente los recursos informáticos
y de almacenamiento para el procesamiento
de fin de trimestre
El procesamiento de la contabilidad financiera de fin
de trimestre y la proyección, junto con la
administración del inventario, requiere aumentos a
corto plazo en servidores y almacenamiento.
6
Septiembre de 2016 © 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].
InternetInternetRed perimetralRed perimetral
Extranet de
partners
Extranet de
partners
Acceso remoto/
proxy
Acceso remoto/
proxy
Sitio web públicoSitio web público
Trabajadores
remotos y
exclusivamente
móviles
Trabajadores
remotos y
exclusivamente
móviles
Firewall internoFirewall interno Firewall externoFirewall externo
En la red perimetral de Contoso, los
distintos conjuntos de servidores
proporcionan lo siguiente:
Acceso remoto al proxy web y a la
intranet de Contoso para los
trabajadores de la sede de París.
Hospedaje del sitio web público de
Contoso, desde el cual los clientes
pueden solicitar productos, piezas
o suministros.
Hospedaje de la extranet de partners de
Contoso para la colaboración
y comunicación de los partners.
Oficina centralOficina central
Centros de datos
de aplicaciones
Centros de datos
de aplicaciones
Trabajadores
locales
Trabajadores
locales
Office 365: aplicaciones de
productividad personal y de
grupo principales en la nube.
Dynamics 365: use la
administración de clientes y
proveedores basada en la
nube. Quite la extranet de
partners en la red perimetral.
Intune/EMS: administre
dispositivos iOS y Android.
Hospede sistemas de
información y documentos
de ventas y soporte técnico
mediante aplicaciones
basadas en la nube.
Las aplicaciones móviles
están basadas en la nube, en
lugar de en el centro de
datos de París.
Muevas los sistemas de archivo
y heredados a servidores basados
en la nube.
Migre las aplicaciones que se usan
poco fuera de los centros de datos
locales.
Agregue almacenamiento
y servidores temporales para
satisfacer las necesidades de
procesamiento de fin de trimestre.
2
1 3
3
3
3 4
5
5
6
5
1 2 3 4 5Este es el tema 2 de una serie de 6
6
Instalaciones de ParísInstalaciones de París
Hub regionalHub regional
Contoso en la
nube de
Microsoft
Redes
Infraestructura de red de Contoso
Para adoptar una infraestructura de nube inclusiva, los ingenieros de red de Contoso se dieron cuenta
del cambio fundamental en el modo en que el tráfico de red se desplaza a los servicios basados en la
nube. En lugar de optimizar solo el tráfico a los servidores y centros de datos locales, debe prestarse la
misma atención a la hora de optimizar el tráfico a la red perimetral de Internet y en Internet.
Método de una organización global
ficticia, aunque representativa, para
implementar la nube de Microsoft
Infraestructura de aplicaciones
de Contoso
Contoso tiene la siguiente infraestructura de red.
Red local
Los vínculos WAN conectan la sede de París con las oficinas regionales, y las oficinas regionales con las oficinas satélite en una configuración radial.
Dentro de cada oficina, los enrutadores entregan el tráfico a los hosts o a los puntos de acceso inalámbrico en las subredes, que usan el espacio de direcciones IP privadas.
Conectividad de Internet
Cada oficina tiene su propia conectividad de Internet a través de un servidor proxy.
Suele implementarse como un vínculo WAN a un ISP local que también proporciona direcciones IP públicas para el servidor proxy.
Presencia de Internet
Contoso posee el nombre de dominio público contoso.com.
El sitio web público de Contoso para pedir productos es un conjunto de servidores en un centro de datos conectado a Internet en las instalaciones de París.
Contoso usa un intervalo de direcciones IP públicas /24 en Internet.
Servidores de
aplicaciones
regionales
Servidores de
aplicaciones
regionales
Centros de datos
de aplicaciones
centrales
Centros de datos
de aplicaciones
centrales
Oficina satéliteOficina satélite
Servidor de
almacenamiento
en caché
Servidor de
almacenamiento
en caché
Contoso ha diseñado su infraestructura de servidores
y aplicaciones para lo siguiente:
Las oficinas satélite usan servidores de almacenamiento
en caché locales para almacenar documentos y sitios web
internos a los que se accede frecuentemente.
Los hubs regionales usan servidores de aplicaciones
regionales para las oficinas regionales y satélite. Estos
servidores se sincronizan con los de la sede de París.
Las instalaciones de París tienen los centros de datos que
contienen los servidores de aplicaciones centralizados
que sirven a toda la organización.
Para los usuarios de oficinas de hubs regionales o satélite, el
60 % de los recursos que necesitan los empleados pueden
obtenerse de los servidores de oficinas de hubs regionales
o satélite. El 40 % adicional de solicitudes de recursos debe
realizarse a través del vínculo WAN en las instalaciones de
París.
60 %
100 %
Continúa en la página siguiente
1 2 3 4 5Este es el tema 3
de una serie de 66
Septiembre de 2016 © 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].
Recursos de
redes en la nube
Uso de ExpressRoute por parte de ContosoExpressRoute es una conexión WAN dedicada desde su ubicación en una
ubicación de emparejamiento de Microsoft que conecta su red a la red en la
nube de Microsoft. Las conexiones de ExpressRoute proporcionan un
rendimiento predecible y un SLA de tiempo de actividad del 99,9 %.
Con una conexión de ExpressRoute, se conecta a la red en la nube de Microsoft
y a todas las ubicaciones de centros de datos de Microsoft del mismo
continente. El tráfico entre la ubicación de emparejamiento en la nube y el
centro de datos de Microsoft de destino se realiza a través de la red en la nube
de Microsoft.
Con ExpressRoute Premium, puede llegar a cualquier centro de datos de
Microsoft de cualquier continente y desde cualquier ubicación de
emparejamiento de Microsoft de cualquier continente. El tráfico entre
continentes se transmite a través de la red en la nube de Microsoft.
Optimizar los equipos de los empleados
para el acceso a Internet
Se comprobarán los equipos individuales para
garantizar que la pila de TCP/IP más reciente,el
explorador, los controladores NIC
y las actualizaciones de seguridad y del sistema
operativo estén instalados.
1 Analizar el uso de la conexión a Internet en
cada oficina y aumentarlo según sea
necesario
Se analizarán todas las oficinas para conocer el
uso actual de Internet y el ancho de banda del
vínculo WAN aumentará si funciona con un uso
del 70 % o superior.
2 Analizar los sistemas de red perimetral en
todas las oficinas para conseguir un
rendimiento óptimo
Se analizarán los firewall, los IDS y otros
sistemas de la ruta de acceso de Internet para
conseguir un rendimiento óptimo. Los
servidores proxy se actualizarán según sea
necesario.
3
Ruta de acceso de Contoso para la preparación de redes en la nube
Estos son los resultados del análisis de Contoso de los cambios necesarios en su red para
adaptarse a las diferentes categorías de ofertas de nube de Microsoft.
Una adopción satisfactoria de los servicios SaaS por parte de los usuarios depende de una conectividad a Internet (o directamente a los servicios en la nube de Microsoft) de alto rendimiento y disponibilidad.
En el caso de los usuarios móviles, se supone que disponen de un acceso a Internet adecuado.
Para los usuarios de la intranet de Contoso, cada oficina debe analizarse y optimizarse para la producción en Internet y los tiempos de retorno para el centro de datos europeo de Microsoft que hospeda los inquilinos de Office 365, EMS y Dynamics 365.
Ofertas de nube de SaaSOffice 365, EMS y Dynamics 365
Para mejorar el soporte técnico para los trabajadores móviles, las aplicaciones heredadas y algunos sitios de uso compartido de archivos se están rediseñando e implementando como aplicaciones PaaS de Azure. Para conseguir un rendimiento óptimo, Contoso planea implementar las nuevas aplicaciones de varios centros de datos de Azure en todo el mundo. Azure Traffic Manager envía solicitudes de aplicaciones cliente, tanto si provienen de un usuario móvil o de un equipo en la oficina, al centro de datos de Azure más cercano que hospeda la aplicación.
El departamento de TI deberá agregar rendimiento de aplicaciones PaaS y distribución del tráfico a su solución de supervisión del estado de la red.
PaaS de AzureAplicaciones móviles
Para mover algunos servidores heredados y de archivo fuera de las instalaciones de París y agregar servidores según sea necesario para el procesamiento de fin de trimestre, Contoso planea usar máquinas virtuales que se ejecutan en servicios de infraestructura de Azure.
Las redes virtuales de Azure que contienen estos servidores deben diseñarse para espacios de direcciones que no se superponen, enrutamiento y DNS integrado.
El departamento de TI debe incluir estos nuevos servidores en su sistema de administración y supervisión de la red.
IaaS de AzureCargas de trabajo basadas en servidor
Análisis de red de Contoso
De acuerdo con el análisis del tráfico actual y futuro para las ofertas de nube de Microsoft y sus
requisitos de alta calidad de servicio para las comunicaciones basadas en Skype, Contoso ha
realizado una evaluación de la red e implementado una conexión ExpressRoute Premium universal
(basada en MPLS) desde la sede de París para la ubicación de emparejamiento de Microsoft en
Europa.
Rendimiento constante del
personal de las instalaciones de
París para las aplicaciones SaaSCon 15 000 empleados en las instalaciones
de París que acceden simultáneamente a
Office 365, Intune y Dynamics 365,
Contoso quiere asegurarse de que dicho
acceso sea constante y no compita con el
tráfico de Internet regional.
Rendimiento coherente para la
administración de aplicaciones PaaS
de Azure distribuidasTodos de los desarrolladores de aplicaciones y los
administradores de TI de la infraestructura básica de
Contoso se encuentran en las instalaciones de París.
Con las aplicaciones PaaS de Azure distribuidas a
distintos centros de datos de Azure de todo el
mundo, Contoso necesita un rendimiento constante
en las instalaciones de París para administrar las
aplicaciones y sus recursos de almacenamiento, que
contienen TB de documentos.
Rendimiento constante para la
administración de servidores en IaaS
de Azure
Los administradores de centros de datos de
Contoso están en las instalaciones de París y los
servidores que deben implementarse en Azure
son una extensión del centro de datos de París.
Contoso necesita un rendimiento constante para
estos nuevos servidores a fin de tener acceso a
aplicaciones heredadas y al almacenamiento de
archivo, así como para el procesamiento de fin
de trimestre.
Agregar ExpressRoute Premium para las
instalaciones de París
Proporciona acceso constante a las ofertas de
nube de SaaS para los empleados de las
instalaciones París y la administración de cargas
de trabajo de PaaS e IaaS de Azure en todo el
mundo.
4 Crear y probar un perfil de Azure Traffic
Manager para aplicaciones PaaS
de Azure
Pruebe un perfil de Azure Traffic Manager que
use el método de enrutamiento del rendimiento
para obtener experiencia en la distribución de
tráfico de Internet
a ubicaciones regionales.
5 Reservar espacio de direcciones privadas
para redes virtuales de Azure
Según el número de servidores proyectados a
corto y largo plazo en IaaS de Azure, reserve el
espacio de direcciones privadas para las redes
virtuales de Azure
y sus subredes.
6
http://aka.ms/tune
Planes de red y ajuste del
rendimiento para Office 365
http://aka.ms/tune
Planes de red y ajuste del
rendimiento para Office 365ExpressRoute para Office 365
http://aka.ms/expressrouteoffice365
ExpressRoute para Office 365
http://aka.ms/expressrouteoffice365
Microsoft Cloud Networking
para arquitectos profesionales
Microsoft Cloud Networking
para arquitectos profesionales
http://aka.ms/cloudarchnetworking
Microsoft Cloud Networking
para arquitectos profesionales
http://aka.ms/cloudarchnetworking
Contoso en la
nube de
Microsoft
Identidad
Bosque de Windows Server AD de Contoso
Microsoft proporciona una Identidad como servicio (IDaaS) en sus ofertas de nube. Para adoptar una
infraestructura de nube inclusiva, la solución IDaaS de Contoso debe aprovechar su proveedor de
identidades local e incluir la autenticación federada con sus proveedores de identidades de terceros de
confianza existentes.
Método de una organización global
ficticia, aunque representativa, para
implementar la nube de Microsoft
InternetInternetRed perimetralRed perimetral
Extranet de
partners
Extranet de
partners
Sitio web
público
Sitio web
público
Clientes y
partners
Clientes y
partners
Firewall externoFirewall externo
Infraestructura de autenticación federada de Contoso
AD FSAD FS
Contoso usa un único bosque de Windows Server Active Directory (AD) para contoso.com con siete dominios, uno para cada región del mundo. La sede, las
oficinas de hubs regionales y las oficinas satélite contienen controladores de dominio para la autenticación local y la autor ización.
Contoso quiere usar las cuentas y los grupos del bosque contoso.com para la autenticación y la autorización de sus aplicaciones y cargas de trabajo basadas
en la nube.
Contoso permite lo siguiente:
Que los clientes usen sus cuentas de Microsoft,
Facebook o Google Mail para iniciar sesión en su sitio
web público.
Que los proveedores y partners usen sus cuentas de
LinkedIn, Salesforce o Google Mail para iniciar sesión en
la extranet de partners.
Los servidores de los Servicios de federación de Active
Directory (AD FS) de la red perimetral autentican las
credenciales de cliente para el acceso al sitio web público
y las credenciales de partner para el acceso a la extranet de
partners.
Cuando Contoso realiza la transición de su sitio web público
a una aplicación web de Azure y de la extranet de partners
a Dynamics 365, su objetivo es seguir usando estos
proveedores de identidades de terceros para sus clientes
y partners.
Esto se logrará mediante la configuración de la federación
entre los inquilinos de Azure AD de Contoso y estos
proveedores de identidades de terceros.Continúa en la página siguiente
1 2 3 4 5Este es el tema 4
de una serie de 6 6
Septiembre de 2016 © 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].
Recursos de
identidad
de nube
Sincronización de directorios para el bosque de Windows Server AD de Contoso
Contoso ha implementado la herramienta Azure AD Connect en un
clúster de servidores en su centro de datos de París. Azure AD Connect
sincroniza los cambios en el bosque de Windows Server AD de
contoso.com con el inquilino de Azure AD compartido por Office 365,
EMS, Dynamics 365 y las suscripciones a Azure de Contoso. Para obtener
más información acerca de suscripciones, licencias, cuentas de usuario
e inquilinos, consulte el tema 5.
Contoso ha configurado la autenticación federada, que proporciona un
inicio de sesión único para los trabajadores de Contoso. Cuando un
usuario que ha iniciado sesión en el bosque de Windows Server AD de
contoso.com accede a un recurso de nube SaaS o PaaS de Microsoft,
no se le pide ninguna contraseña.
El tráfico de la sincronización de directorios se transmite a través de la
conexión ExpressRoute Premium desde las instalaciones de la sede hasta
la red en la nube de Microsoft.
Oficina regional 1 Oficina regional 2 Oficina regional 3
Arrendamien o
de Office 365
en Europa
Servidores de autenticación
Oficina centralOficina central
Servidor de
Azure AD
Connect
Servidor de
Azure AD
Connect
Nube de Microsoft
ExpressRoute
Premium
ExpressRoute
Premium
Inquilino deAzure AD
Inquilino deAzure AD
Inquilino deAzure AD
Distribución geográfica del tráfico de autenticación de ContosoPara ofrecer mejor soporte a los empleados móviles y remotos, Contoso ha implementado conjuntos de servidores de autenticació n en sus oficinas regionales.
Esta infraestructura distribuye la carga y proporciona redundancia y un rendimiento superior al autenticar las credenciales d e usuario para acceder a las ofertas
de nube de Microsoft que usan el inquilino común de Azure AD.
Para distribuir la carga de las solicitudes de autenticación, Contoso ha configurado Azure Traffic Manager con un perfil que usa el método de enrutamiento del
rendimiento, que se refiere a la autenticación de clientes para el conjunto más próximo de servidores de autenticación de la región.
Redundancia de la infraestructura de autenticación de la sede en IaaS de Azure
Traffic ManagerTraffic Manager
5. El equipo cliente envía una solicitud de autenticación a un servidor proxy
de aplicación web, que reenvía la solicitud a un servidor de AD FS.
6. El servidor de AD FS solicita las credenciales de usuario desde el equipo
cliente.
7. El equipo cliente envía las credenciales de usuario sin preguntar al
usuario.
8. El servidor de AD FS valida las credenciales con un controlador de
dominio de Windows Server AD en la oficina regional y devuelve un token
de seguridad al equipo cliente.
9. El equipo cliente envía el token de seguridad a Office 365.
10. Tras la validación correcta, Office 365 almacena en caché el token de
seguridad y envía la página web solicitada en el paso 1 al equipo cliente.
1. El equipo cliente inicia la comunicación con una página web en el
arrendamiento de Office 365 en Europa (como sharepoint.contoso.com).
2. Office 365 devuelve una solicitud para enviar la prueba de la
autenticación. La solicitud contiene la dirección URL de contacto para la
autenticación.
3. El equipo cliente intenta resolver el nombre DNS de la dirección URL
en una dirección IP.
4. Azure Traffic Manager recibe la consulta DNS y responde al equipo
cliente con la dirección IP de un servidor de proxy de aplicación web en
la oficina regional más próxima al equipo cliente.
Ejemplo de proceso de autenticación:
Red perimetral
Servidores
proxy de
aplicaciones
web
Servidores
proxy de
aplicaciones
web
Servidores de
AD FS
Servidores de
AD FS
Oficina regional
Firewall internoFirewall interno
Controladores
de dominio de
Windows Server
AD
Controladores
de dominio de
Windows Server
AD
Solicitud de
autorización
Red perimetral
Servidores
proxy de
aplicaciones
web
Servidores
proxy de
aplicaciones
web
Servidores de
AD FS
Servidores de
AD FS
Oficina centralOficina central
Centros de datos
de aplicaciones
centrales
Centros de datos
de aplicaciones
centrales
Firewall
interno
Firewall
interno
Red virtual
ExpressRoute
Premium
ExpressRoute
Premium
Servidores
proxy de
aplicaciones
web
Servidores
proxy de
aplicaciones
web
Servidores de
AD FS
Servidores de
AD FS
Servidores de autenticación
Servidores de autenticación
Para proporcionar redundancia para los trabajadores móviles y remotos de la sede de París
que tiene 15 000 trabajadores, Contoso ha implementado un segundo conjunto de servidores
proxy de aplicaciones y servidores de AD FS en IaaS de Azure.
Cuando los servidores de autenticación principales de la red perimetral de la sede dejan de
estar disponibles, el personal de TI cambia al conjunto redundante implementado en IaaS de
Azure. Las solicitudes de autenticación subsiguientes de equipos de la oficina de París usan el
conjunto de IaaS de Azure hasta que se corrige el problema de disponibilidad.
Para cambiar y revertir, Contoso actualiza el perfil
de Azure Traffic Manager de la región de París
para usar un conjunto diferente de direcciones IP
para los servidores proxy de aplicación web:
Si los servidores de autenticación de red
perimetral están disponibles, use las
direcciones IP de los servidores en la red
perimetral.
Si los servidores de autenticación de red
perimetral no están disponibles, use las
direcciones IP de los servidores de IaaS de
Azure.
http://go.microsoft.com/fwlink/p/?LinkId=524282http://go.microsoft.com/fwlink/p/?LinkId=524282
Infografía: administración de
identidad y acceso en la nube
http://go.Microsoft.com/fwlink/p/?LinkId=524281http://go.Microsoft.com/fwlink/p/?LinkId=524281
Synchronizing your directory with
Office 365 is easy
Equipo cliente
Puerta de
enlace
Puerta de
enlace
Identidad de nube de
Microsoft para arquitectos de
empresa
http://aka.ms/cloudarchidentity
Identidad de nube de
Microsoft para arquitectos de
empresa
http://aka.ms/cloudarchidentity
Contoso en la
nube de
Microsoft
Suscripciones, licencias y cuentas de usuario
Septiembre de 2016 © 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].
Estructura de Contoso
Para proporcionar un uso coherente de las identidades y la facturación para todas las ofertas de nube, Microsoft ofrece una jerarquía de cuentas de organización, suscripciones, licencias y usuario.
Método de una organización global
ficticia, aunque representativa, para
implementar la nube de Microsoft
Intune/EMS500 licenciasIntune/EMS500 licencias
Dynamics 365100 licencias
Dynamics 365100 licencias
Suscripciones
a Azure
regionales
Suscripciones
a Azure
regionales
Contoso Corporation
Inquilino deAzure AD
Inquilino deAzure AD
Office 365Office 365
Enterprise E3500 licencias
Cuentas de usuario sincronizadas desde el bosque de Windows
Server AD de contoso.com
Enterprise E5200 licencias
Suscripciones a Azure de Contoso Contoso ha diseñado la siguiente jerarquía para sus
suscripciones a Azure:
Contoso está en la parte superior, de acuerdo con su
Contrato Enterprise con Microsoft.
Existe un conjunto de cuentas correspondiente a las
diferentes regiones de Contoso Corporation en todo el
mundo, que se basa en los dominios del bosque de
Windows Server AD de Contoso.
En cada región, hay una o varias suscripciones según
las necesidades de desarrollo, pruebas e
implementación de la producción de la región.
Cada suscripción de Azure puede asociarse a un solo
inquilino de Azure AD que contenga cuentas de usuario y
grupos para la autenticación y la autorización para los
servicios de Azure. Las suscripciones de producción usan
el inquilino de Azure AD común de Contoso.
Organización
Entidad empresarial que usa las ofertas de nube de Microsoft, normalmente identificadas por un nombre de dominio DNS público, como contoso.com.
Suscripciones
Para las ofertas de nube de SaaS de Microsoft (Office 365, Intune/EMS y Dynamics 365), una suscripción es un producto específico y un conjunto de licencias de usuario adquirido.
Para Azure, una suscripción permite la facturación de los servicios en la nube consumidos a la organización.
Licencias
Para las ofertas de nube de SaaS de Microsoft, una licencia permite a una cuenta de usuario específica usar los servicios en la nube.
Para Azure, las licencias de software se incluyen en el precio del servicio, pero en algunos casos deberá adquirir licencias de software adicionales.
Cuentas de usuario
Las cuentas de usuario se almacenan en un inquilino de Azure AD y pueden sincronizarse desde un proveedor de identidades local como Windows Server AD.
Organización Contoso Corporation se identifica mediante su nombre de dominio público contoso.com.
Suscripciones y licencias Contoso Corporation usa lo siguiente:
Producto Office 365 Enterprise E3 con 500 licencias Producto Office 365 Enterprise E5 con 200 licencias Producto EMS con 500 licencias Producto Dynamics 365 con 100 licencias Varias suscripciones de Azure según las regiones
Cuentas de usuario Un inquilino común de Azure AD contiene la lista de cuentas de usuario y grupos que se usan en todas las suscripciones de Contoso, a excepción de las suscripciones de Azure para desarrollo y pruebas.
Para las ofertas de nube de SaaS, el inquilino es la ubicación regional que
hospeda los servidores que proporcionan servicios en la nube. Contoso ha
elegido la región europea para el hospedaje de sus inquilinos de Office 365,
EMS y Dynamics 365.
Los servicios y las aplicaciones PaaS de Azure y las cargas de trabajo de TI
de IaaS pueden tener un arrendamiento en cualquier centro de datos de
Azure del mundo.
Un inquilino de Azure AD es una instancia específica de Azure AD que
contiene cuentas y grupos. El inquilino de Azure AD común que contiene las
cuentas sincronizadas del bosque de Windows Server AD de Contoso
proporciona IDaaS en las ofertas de nube de Microsoft.
Suscripciones, licencias, cuentas e inquilinos para las ofertas de nube de MicrosoftSuscripciones, licencias, cuentas e inquilinos para las ofertas de nube de Microsoft
Inquilinos:
1 2 3 4 5Este es el tema 5 de una serie de 6
6
contoso.com
Suscripción a Azure y directrices de cuentasSuscripción a Azure y directrices de cuentas
Contoso en la
nube de
Microsoft
SeguridadContoso es serio en cuanto a la seguridad y la protección de su información. Al realizar la transición de
su infraestructura de TI a una de nube inclusiva, se aseguró de la compatibilidad y la implementación de
sus requisitos de seguridad locales en las ofertas de nube de Microsoft.
Método de una organización global
ficticia, aunque representativa, para
implementar la nube de Microsoft
ACL para el acceso con
privilegios mínimos
Los permisos de cuenta para acceder a los recursos en la nube y lo que pueden hacer deben seguir las directrices de
privilegios mínimos.
Cifrado de datos en reposo
en la nubeTodos los datos almacenados en discos o en otros lugares en la nube deben estar en un formato cifrado.
Cifrado de tráfico a través
de Internet
Ningún dato enviado a través de Internet está en formato de texto sin formato. Use siempre conexiones HTTPS, IPsec u otros
métodos de cifrado de datos de un extremo a otro.
Autenticación sólida para
los recursos de la nubeSe debe autenticar el acceso a los recursos en la nube y, cuando sea posible, aprovechar la autenticación multifactor.
Requisitos de seguridad de Contoso en la nube
Clasificación de sensibilidad de datos de Contoso
Nivel 1: valor empresarial bajo
Los datos están cifrados y solo están disponibles
para los usuarios autenticados
Se proporciona para todos los datos almacenados de
forma local y en las cargas de trabajo y el
almacenamiento basado en la nube, como Office 365.
Los datos se cifran mientras residen en el servicio y en
tránsito entre el servicio y los dispositivos cliente.
Algunos ejemplos de datos de nivel 1 son las
comunicaciones empresariales normales (correo
electrónico) y los archivos de empleados
administrativos y de ventas y soporte técnico.
Nivel 2: valor empresarial medio
Características del nivel 1 más autenticación sólida y
protección contra la pérdida de datos
La autenticación sólida incluye autenticación
multifactor con validación de SMS. La prevención de
pérdida de datos garantiza que la información
confidencial o crítica no salga de la red local.
Algunos ejemplos de datos de nivel 2 son la
información jurídica y financiera y los datos de
investigación y desarrollo de nuevos productos.
Nivel 3: valor empresarial alto
Características del nivel 2 además de los niveles
más altos de cifrado, autenticación y auditoría
Los niveles más altos de cifrado de datos en reposo
y en la nube, conformes con la normativa regional,
combinados con autentificación multifactor con
tarjetas inteligentes, y auditoría y alertas
pormenorizadas.
Algunos ejemplos de datos de nivel 3 son la
información de identificación personal de clientes
y partners, las especificaciones de ingeniería de
productos y las técnicas de fabricación patentadas.
Kit de herramientas de clasificación de datosKit de herramientas de clasificación de datos
Con la información del kit de herramientas de clasificación de datos de Microsoft, Contoso realiza un análisis de sus datos
y determina los siguientes niveles.
Asignación de características y ofertas de nube de Microsoft a los niveles de datos de Contoso
HTTPS para todas las conexiones
Cifrado en reposo
Autenticación multifactor de
Azure AD (MFA) con SMS
Sistema Azure Rights
Management (RMS)
MFA de Azure AD con tarjetas
inteligentes
Acceso condicional de Intune
Nivel 1: valor empresarial bajo
Nivel 2: valor empresarial medio
Nivel 3: valor empresarial alto
Admitir solo las conexiones
HTTPS
Cifrar archivos almacenados en
Azure
Usar Azure Key Vault para las
claves de cifrado
MFA de Azure AD con SMS
Azure RMS
MFA de Azure AD con tarjetas
inteligentes
Requerir HTTPS o IPsec para el
acceso al servidor
Azure Disk Encryption
MFA con SMS
MFA con tarjetas inteligentes
1 2 3 4 5Este es el tema 6
de una serie de 66
Continúa en la página siguiente
IaaS de AzurePaaS de AzureSaaS
Septiembre de 2016 © 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].© 2016 Microsoft Corporation. Todos los derechos reservados. Para enviar sus comentarios sobre esta documentación, escríbanos a [email protected].
Recursos de
seguridad
de la nube
Directivas de información de Contoso
Optimizar las cuentas de administrador
para la nube
Contoso realizó una revisión exhaustiva de las
cuentas de administrador de Windows Server
AD existentes y estableció una serie de
grupos y cuentas de administrador de la
nube.
1 Realizar análisis de clasificación de
datos en tres niveles
Contoso realizó una revisión esmerada y
determinó los tres niveles, cosa que se usó
para determinar las características de la
oferta de nube de Microsoft para proteger
los datos más valiosos de Contoso.
2 Determinar las directivas de acceso,
retención y protección de la información
para los niveles de datos
Según los niveles de datos, Contoso
determinó los requisitos detallados, que se
usarán para calificar futuras cargas de
trabajo de TI que se muevan a la nube.
3
Ruta de acceso de Contoso para la preparación de la seguridad
Permitir el acceso a todo el
mundo
Permitir el acceso
a subcontratistas, partners
y empleados de Contoso
Usar MFA, TLS y MAM
Permitir el acceso a ejecutivos
y clientes potenciales de
ingeniería y fabricación
RMS con dispositivos de red
administrados solamente
Nivel 1: valor empresarial bajo
Nivel 2: valor empresarial medio
Nivel 3: valor empresarial alto
6 meses
2 años
7 años
Usar cifrado
Usar valores hash para la integridad
de datos
Usar firmas digitales para evitar el
rechazo
Acceso Retención de datos Protección de la información
Curso Security in a Cloud-Enabled World
(Seguridad en un mundo habilitado para
la nube) de Microsoft Virtual Academy
http://aka.ms/securecustomermva
Curso Security in a Cloud-Enabled World
(Seguridad en un mundo habilitado para
la nube) de Microsoft Virtual Academy
http://aka.ms/securecustomermvahttp://aka.ms/o365infoprotect
Protección de la información
para Office 365
http://aka.ms/o365infoprotect
Protección de la información
para Office 365Seguridad en la nube de Microsoft
para arquitectos profesionales
http://aka.ms/cloudarchsecurity
Seguridad en la nube de Microsoft
para arquitectos profesionales
http://aka.ms/cloudarchsecurity