¿Qué es la computación en la nube?

La computación en la nube es la entrega de servicios informáticos a través de Internet. Los servicios

informáticos incluyen una infraestructura de TI común, como máquinas virtuales, almacenamiento, bases de
datos y redes. Los servicios en la nube también amplían las ofertas de TI tradicionales para incluir cosas como
Internet de las cosas (IoT), aprendizaje automático (ML) e inteligencia artificial (IA).

Debido a que la computación en la nube usa Internet para brindar estos servicios, no tiene que estar limitada
por la infraestructura física de la misma manera que lo está un centro de datos tradicional. Eso significa que si
necesita aumentar su infraestructura de TI rápidamente, no tiene que esperar para construir un nuevo centro
de datos: puede usar la nube para expandir rápidamente su huella de TI.
Describir el modelo de responsabilidad compartida
Es posible que haya oído hablar del modelo de responsabilidad compartida, pero es posible que no entienda lo
que significa o cómo afecta la computación en la nube.

Comience con un centro de datos corporativo tradicional. La empresa es responsable de mantener el espacio
físico, garantizar la seguridad y mantener o reemplazar los servidores si sucede algo. El departamento de TI es
responsable de mantener toda la infraestructura y el software necesarios para mantener el centro de datos en
funcionamiento. También es probable que sean responsables de mantener todos los sistemas actualizados y en
la versión correcta.

Con el modelo de responsabilidad compartida, estas responsabilidades se comparten entre el proveedor de la

nube y el consumidor. La seguridad física, la energía, la refrigeración y la conectividad de la red son
responsabilidad del proveedor de la nube. El consumidor no está ubicado en el centro de datos, por lo que no
tendría sentido que el consumidor tuviera ninguna de esas responsabilidades.

Al mismo tiempo, el consumidor es responsable de los datos y la información almacenados en la nube. (No le
gustaría que el proveedor de la nube pudiera leer su información). El consumidor también es responsable de la
seguridad del acceso, lo que significa que solo otorga acceso a quienes lo necesitan.

Entonces, para algunas cosas, la responsabilidad depende de la situación. Si está utilizando una base de datos
SQL en la nube, el proveedor de la nube sería responsable de mantener la base de datos real. Sin embargo,
sigue siendo responsable de los datos que se introducen en la base de datos. Si implementó una máquina
virtual e instaló una base de datos SQL en ella, sería responsable de los parches y las actualizaciones de la base
de datos, así como del mantenimiento de los datos y la información almacenados en la base de datos.

Con un centro de datos local, usted es responsable de todo. Con la computación en la nube, esas
responsabilidades cambian. El modelo de responsabilidad compartida está fuertemente ligado a los tipos de
servicios en la nube (que se tratan más adelante en esta ruta de aprendizaje): infraestructura como servicio
(IaaS), plataforma como servicio (PaaS) y software como servicio (SaaS). IaaS asigna la mayor responsabilidad al
consumidor, y el proveedor de la nube es responsable de los conceptos básicos de seguridad física, energía y
conectividad. En el otro extremo del espectro, SaaS coloca la mayor parte de la responsabilidad en el
proveedor de la nube. PaaS, al ser un término medio entre IaaS y SaaS, descansa en algún punto intermedio y
distribuye uniformemente la responsabilidad entre el proveedor de la nube y el consumidor.

El siguiente diagrama destaca cómo el modelo de responsabilidad compartida informa quién es responsable de
qué, según el tipo de servicio en la nube.
Definir modelos de nube
¿Qué son los modelos en la nube? Los modelos de nube definen el tipo de implementación de los recursos de
nube. Los tres principales modelos de nube son: privado, público e híbrido.

Nube privada
Comencemos con una nube privada. Una nube privada es, en cierto modo, la evolución natural de un centro de
datos corporativo. Es una nube (que brinda servicios de TI a través de Internet) que utiliza una sola entidad. La
nube privada proporciona un control mucho mayor para la empresa y su departamento de TI. Sin embargo,
también conlleva un mayor costo y menos beneficios de una implementación de nube pública. Finalmente, se
puede alojar una nube privada desde su centro de datos en el sitio. También puede estar alojado en un centro
de datos dedicado fuera del sitio, posiblemente incluso por un tercero que haya dedicado ese centro de datos a
su empresa.

Nube pública
Una nube pública es construida, controlada y mantenida por un proveedor de nube externo. Con una nube
pública, cualquier persona que quiera comprar servicios en la nube puede acceder y utilizar los recursos. La
disponibilidad pública general es una diferencia clave entre las nubes públicas y privadas.

Nube híbrida
Una nube híbrida es un entorno informático que utiliza nubes públicas y privadas en un entorno
interconectado. Se puede usar un entorno de nube híbrida para permitir que una nube privada aumente para
una mayor demanda temporal mediante la implementación de recursos de nube pública. La nube híbrida se
puede utilizar para proporcionar una capa adicional de seguridad. Por ejemplo, los usuarios pueden elegir de
manera flexible qué servicios mantener en la nube pública y cuáles implementar en su infraestructura de nube
privada.

Nube múltiple
Un cuarto escenario, y cada vez más probable, es un escenario de múltiples nubes. En un escenario de varias
nubes, utiliza varios proveedores de nubes públicas. Tal vez use diferentes funciones de diferentes proveedores
de nube. O tal vez comenzó su viaje a la nube con un proveedor y está en proceso de migrar a un proveedor
diferente. Independientemente, en un entorno de múltiples nubes, usted trata con dos (o más) proveedores de
nubes públicas y administra los recursos y la seguridad en ambos entornos.

Arco azur
Azure Arc es un conjunto de tecnologías que ayuda a administrar su entorno de nube. Azure Arc puede
ayudarlo a administrar su entorno de nube, ya sea una nube pública únicamente en Azure, una nube privada en
su centro de datos, una configuración híbrida o incluso un entorno de varias nubes que se ejecuta en varios
proveedores de nube a la vez.

Solución Azure VMware

¿Qué sucede si ya está establecido con VMware en un entorno de nube privada pero desea migrar a una nube
pública o híbrida? Azure VMware Solution le permite ejecutar sus cargas de trabajo de VMware en Azure con
integración y escalabilidad perfectas.
Describir el modelo basado en el consumo
Al comparar modelos de infraestructura de TI, hay dos tipos de gastos a considerar. Gastos de capital (CapEx) y
gastos operativos (OpEx).

CapEx es típicamente un gasto inicial único para comprar o asegurar recursos tangibles. Un nuevo edificio, la
repavimentación del estacionamiento, la construcción de un centro de datos o la compra de un vehículo de la
empresa son ejemplos de CapEx.

Por el contrario, OpEx gasta dinero en servicios o productos a lo largo del tiempo. Alquilar un centro de
convenciones, arrendar un vehículo de la empresa o suscribirse a servicios en la nube son ejemplos de gastos
operativos.

La computación en la nube se incluye en OpEx porque la computación en la nube opera en un modelo basado
en el consumo. Con la computación en la nube, no paga por la infraestructura física, la electricidad, la
seguridad o cualquier otra cosa asociada con el mantenimiento de un centro de datos. En su lugar, paga por los
recursos de TI que utiliza. Si no usa ningún recurso de TI este mes, no paga ningún recurso de TI.

Este modelo basado en el consumo tiene muchos beneficios, entre ellos:

 Sin costos iniciales.

 No hay necesidad de comprar y administrar una infraestructura costosa que los usuarios podrían no
utilizar en todo su potencial.
 La capacidad de pagar por más recursos cuando se necesitan.
 La capacidad de dejar de pagar por recursos que ya no se necesitan.
Con un centro de datos tradicional, intenta estimar las necesidades futuras de recursos. Si sobreestima, gasta
más en su centro de datos de lo que necesita y potencialmente desperdicia dinero. Si subestima, su centro de
datos alcanzará rápidamente su capacidad y sus aplicaciones y servicios pueden sufrir una disminución del
rendimiento. La reparación de un centro de datos insuficientemente aprovisionado puede llevar mucho
tiempo. Es posible que deba pedir, recibir e instalar más hardware. También deberá agregar energía,
refrigeración y redes para el hardware adicional.

En un modelo basado en la nube, no tiene que preocuparse por satisfacer las necesidades de recursos
correctamente. Si encuentra que necesita más máquinas virtuales, agregue más. Si la demanda cae y no
necesita tantas máquinas virtuales, elimine las máquinas según sea necesario. De cualquier manera, solo paga
por las máquinas virtuales que usa, no por la "capacidad adicional" que tiene disponible el proveedor de la
nube.

Comparar modelos de precios de la nube

La computación en la nube es la entrega de servicios informáticos a través de Internet mediante el uso de un
modelo de precios de pago por uso. Por lo general, solo paga por los servicios en la nube que utiliza, lo que le
ayuda a:

 Planifique y administre sus costos operativos.

 Ejecute su infraestructura de manera más eficiente.
 Escale a medida que cambien las necesidades de su empresa.
Para decirlo de otra manera, la computación en la nube es una forma de alquilar poder de cómputo y
almacenamiento del centro de datos de otra persona. Puede tratar los recursos de la nube como lo haría con
los recursos de su propio centro de datos. Sin embargo, a diferencia de su propio centro de datos, cuando
termina de usar los recursos de la nube, los devuelve. Se le factura solo por lo que usa.

En lugar de mantener las CPU y el almacenamiento en su centro de datos, los alquila por el tiempo que los
necesita. El proveedor de la nube se encarga de mantener la infraestructura subyacente por usted. La nube le
permite resolver rápidamente sus desafíos comerciales más difíciles y brindar soluciones de vanguardia a sus
usuarios.

Describir los beneficios de la alta disponibilidad y escalabilidad en la nube

Al crear o implementar una aplicación en la nube, dos de las consideraciones más importantes son el tiempo de
actividad (o disponibilidad) y la capacidad de manejar la demanda (o escala).
Alta disponibilidad
Cuando implementa una aplicación, un servicio o cualquier recurso de TI, es importante que los recursos estén
disponibles cuando se necesiten. La alta disponibilidad se centra en garantizar la máxima disponibilidad,
independientemente de las interrupciones o eventos que puedan ocurrir.

Cuando diseñe su solución, deberá tener en cuenta las garantías de disponibilidad del servicio. Azure es un
entorno de nube de alta disponibilidad con garantías de tiempo de actividad según el servicio. Estas garantías
forman parte de los acuerdos de nivel de servicio (SLA).

Escalabilidad
Otro beneficio importante de la computación en la nube es la escalabilidad de los recursos de la nube. La
escalabilidad se refiere a la capacidad de ajustar los recursos para satisfacer la demanda. Si de repente
experimenta picos de tráfico y sus sistemas se ven abrumados, la capacidad de escalar significa que puede
agregar más recursos para manejar mejor la mayor demanda.

El otro beneficio de la escalabilidad es que no está pagando de más por los servicios. Debido a que la nube es
un modelo basado en el consumo, solo paga por lo que usa. Si la demanda cae, puede reducir sus recursos y,
por lo tanto, reducir sus costos.

La escala generalmente viene en dos variedades: vertical y horizontal. El escalado vertical se centra en
aumentar o disminuir las capacidades de los recursos. El escalado horizontal es sumar o restar el número de
recursos.

Escalado vertical
Con el escalado vertical, si estaba desarrollando una aplicación y necesitaba más potencia de procesamiento,
podía escalar verticalmente para agregar más CPU o RAM a la máquina virtual. Por el contrario, si se dio cuenta
de que había especificado en exceso las necesidades, podría reducir verticalmente reduciendo las
especificaciones de CPU o RAM.

Escalado horizontal
Con el escalado horizontal, si de repente experimentó un fuerte aumento en la demanda, sus recursos
implementados podrían escalarse horizontalmente (ya sea de forma automática o manual). Por ejemplo,
podría agregar máquinas virtuales o contenedores adicionales, escalando horizontalmente. De la misma
manera, si hubiera una caída significativa en la demanda, los recursos desplegados podrían escalarse (ya sea de
forma automática o manual), escalando hacia adentro.

Describir los beneficios de la confiabilidad y la previsibilidad en la nube

La confiabilidad y la previsibilidad son dos beneficios cruciales de la nube que lo ayudan a desarrollar
soluciones con confianza.

Fiabilidad
La confiabilidad es la capacidad de un sistema para recuperarse de fallas y continuar funcionando. También es
uno de los pilares del marco de buena arquitectura de Microsoft Azure.

La nube, en virtud de su diseño descentralizado, admite naturalmente una infraestructura confiable y

resistente. Con un diseño descentralizado, la nube le permite implementar recursos en regiones de todo el
mundo. Con esta escala global, incluso si una región tiene un evento catastrófico, otras regiones todavía están
en funcionamiento. Puede diseñar sus aplicaciones para aprovechar automáticamente esta mayor
confiabilidad. En algunos casos, su propio entorno de nube cambiará automáticamente a una región diferente
para usted, sin necesidad de ninguna acción de su parte. Aprenderá más sobre cómo Azure aprovecha la escala
global para brindar confiabilidad más adelante en esta serie.

previsibilidad
La previsibilidad en la nube le permite avanzar con confianza. La previsibilidad se puede centrar en la
previsibilidad del rendimiento o la previsibilidad de los costes. Tanto el rendimiento como la previsibilidad de
los costos están fuertemente influenciados por el marco de buena arquitectura de Microsoft Azure.
Implemente una solución construida alrededor de este marco y tendrá una solución cuyo costo y rendimiento
son predecibles.
Actuación
La previsibilidad del rendimiento se centra en predecir los recursos necesarios para ofrecer una experiencia
positiva a sus clientes. El escalado automático, el equilibrio de carga y la alta disponibilidad son solo algunos de
los conceptos de la nube que respaldan la previsibilidad del rendimiento. Si de repente necesita más recursos,
el ajuste de escala automático puede implementar recursos adicionales para satisfacer la demanda y luego
reducir cuando la demanda cae. O si el tráfico está muy concentrado en un área, el equilibrio de carga ayudará
a redirigir parte de la sobrecarga a áreas menos estresadas.

Costo
La previsibilidad de costos se centra en predecir o pronosticar el costo del gasto en la nube. Con la nube, puede
realizar un seguimiento de su uso de recursos en tiempo real, monitorear los recursos para asegurarse de que
los está utilizando de la manera más eficiente y aplicar análisis de datos para encontrar patrones y tendencias
que ayuden a planificar mejor las implementaciones de recursos. Al operar en la nube y usar análisis e
información de la nube, puede predecir costos futuros y ajustar sus recursos según sea necesario. Incluso
puede usar herramientas como el costo total de propiedad (TCO) o la calculadora de precios para obtener una
estimación del gasto potencial en la nube.

Describir los beneficios de la seguridad y el gobierno en la nube

Ya sea que esté implementando infraestructura como servicio o software como servicio, las características de la
nube respaldan la gobernanza y el cumplimiento. Cosas como establecer plantillas ayudan a garantizar que
todos sus recursos implementados cumplan con los estándares corporativos y los requisitos normativos
gubernamentales. Además, puede actualizar todos sus recursos implementados a nuevos estándares a medida
que cambian los estándares. La auditoría basada en la nube ayuda a identificar cualquier recurso que no
cumpla con los estándares corporativos y proporciona estrategias de mitigación. Dependiendo de su modelo
operativo, los parches y actualizaciones de software también pueden aplicarse automáticamente, lo que ayuda
tanto con la gobernanza como con la seguridad.

En cuanto a la seguridad, puede encontrar una solución en la nube que se adapte a sus necesidades de
seguridad. Si desea un control máximo de la seguridad, la infraestructura como servicio le brinda recursos
físicos, pero le permite administrar los sistemas operativos y el software instalado, incluidos los parches y el
mantenimiento. Si desea que los parches y el mantenimiento se realicen automáticamente, las
implementaciones de plataforma como servicio o software como servicio pueden ser las mejores estrategias de
nube para usted.

Y debido a que la nube está pensada como una entrega de recursos de TI a través de Internet, los proveedores
de la nube generalmente están bien preparados para manejar cosas como los ataques de denegación de
servicio distribuido (DDoS), lo que hace que su red sea más sólida y segura.

Al establecer una huella de buen gobierno desde el principio, puede mantener su huella de nube actualizada,
segura y bien administrada.

Describir los beneficios de la capacidad de administración en la nube

Una de las principales ventajas de la informática en la nube son las opciones de capacidad de gestión. Hay dos
tipos de capacidad de administración para la computación en la nube que aprenderá en esta serie, y ambos son
excelentes beneficios.

Gestión de la nube
La gestión de la nube habla de la gestión de sus recursos en la nube. En la nube, puede:

 Escale automáticamente la implementación de recursos en función de las necesidades.

 Implemente recursos basados en una plantilla preconfigurada, eliminando la necesidad de una
configuración manual.
 Supervise el estado de los recursos y reemplace automáticamente los recursos defectuosos.
 Reciba alertas automáticas basadas en métricas configuradas, para que esté al tanto del rendimiento
en tiempo real.

Gestión en la nube
La administración en la nube habla de cómo puede administrar su entorno y recursos en la nube. Puedes
gestionar estos:
  A través de un portal web.
 Usando una interfaz de línea de comando.
 Uso de API.
 Uso de PowerShell.

Describir la infraestructura como servicio

La infraestructura como servicio (IaaS) es la categoría más flexible de servicios en la nube, ya que le brinda la
máxima cantidad de control para sus recursos en la nube. En un modelo IaaS, el proveedor de la nube es
responsable de mantener el hardware, la conectividad de la red (a Internet) y la seguridad física. Usted es
responsable de todo lo demás: instalación, configuración y mantenimiento del sistema operativo; configuración
de la red; configuración de base de datos y almacenamiento; y así. Con IaaS, básicamente está alquilando el
hardware en un centro de datos en la nube, pero lo que haga con ese hardware depende de usted.

modelo de responsabilidad compartida

El modelo de responsabilidad compartida se aplica a todos los tipos de servicios en la nube. IaaS coloca la
mayor parte de la responsabilidad en usted. El proveedor de la nube es responsable de mantener la
infraestructura física y su acceso a Internet. Usted es responsable de la instalación y configuración, parches y
actualizaciones y seguridad.

Escenarios
Algunos escenarios comunes donde IaaS podría tener sentido incluyen:

Migración de elevación y cambio: está colocando recursos en la nube de manera similar a su centro de datos
local y luego simplemente trasladando las cosas que se ejecutan localmente para que se ejecuten en la
infraestructura de IaaS.
Pruebas y desarrollo: ha establecido configuraciones para entornos de desarrollo y prueba que necesita
replicar rápidamente. Puede activar o desactivar los diferentes entornos rápidamente con una estructura IaaS,
mientras mantiene un control total.

Describir la plataforma como servicio

La plataforma como servicio (PaaS) es un término medio entre alquilar espacio en un centro de datos
(infraestructura como servicio) y pagar por una solución completa e implementada (software como servicio).
En un entorno PaaS, el proveedor de la nube mantiene la infraestructura física, la seguridad física y la conexión
a Internet. También mantienen los sistemas operativos, el middleware, las herramientas de desarrollo y los
servicios de inteligencia comercial que componen una solución en la nube. En un escenario de PaaS, no tiene
que preocuparse por las licencias o los parches para los sistemas operativos y las bases de datos.

PaaS es ideal para proporcionar un entorno de desarrollo completo sin el dolor de cabeza de mantener toda la
infraestructura de desarrollo.
El modelo de responsabilidad compartida se aplica a todos los tipos de servicios en la nube. PaaS divide la
responsabilidad entre usted y el proveedor de la nube. El proveedor de la nube es responsable de mantener la
infraestructura física y su acceso a Internet, al igual que en IaaS. En el modelo PaaS, el proveedor de la nube
también mantendrá los sistemas operativos, las bases de datos y las herramientas de desarrollo. Piense en
PaaS como usar una máquina unida a un dominio: TI mantiene el dispositivo con actualizaciones, parches y
actualizaciones periódicas.

Según la configuración, usted o el proveedor de la nube pueden ser responsables de la configuración de red y
la conectividad dentro de su entorno de nube, la seguridad de la red y las aplicaciones y la infraestructura del
directorio.

Escenarios
Algunos escenarios comunes donde PaaS podría tener sentido incluyen:

Marco de desarrollo: PaaS proporciona un marco que los desarrolladores pueden aprovechar para desarrollar o
personalizar aplicaciones basadas en la nube. De manera similar a la forma en que crea una macro de Excel,
PaaS permite a los desarrolladores crear aplicaciones utilizando componentes de software integrados. Se
incluyen características de la nube como escalabilidad, alta disponibilidad y capacidad multiusuario, lo que
reduce la cantidad de codificación que deben realizar los desarrolladores.
Análisis o inteligencia comercial: las herramientas proporcionadas como un servicio con PaaS permiten a las
organizaciones analizar y extraer sus datos, encontrar información y patrones y predecir resultados para
mejorar la previsión, las decisiones de diseño de productos, los retornos de inversión y otras decisiones
comerciales.

Describir el software como servicio

El software como servicio (SaaS) es el modelo de servicio en la nube más completo desde la perspectiva del
producto. Con SaaS, básicamente está alquilando o utilizando una aplicación completamente desarrollada. El
correo electrónico, el software financiero, las aplicaciones de mensajería y el software de conectividad son
ejemplos comunes de una implementación de SaaS.

Si bien el modelo SaaS puede ser el menos flexible, también es el más fácil de poner en marcha. Requiere la
menor cantidad de conocimiento técnico o experiencia para emplearlo por completo.

modelo de responsabilidad compartida

El modelo de responsabilidad compartida se aplica a todos los tipos de servicios en la nube. SaaS es el modelo
que asigna la mayor responsabilidad al proveedor de la nube y la menor responsabilidad al usuario. En un
entorno SaaS, usted es responsable de los datos que ingresa al sistema, los dispositivos que permite que se
conecten al sistema y los usuarios que tienen acceso. Casi todo lo demás recae en el proveedor de la nube. El
proveedor de la nube es responsable de la seguridad física de los centros de datos, la energía, la conectividad
de la red y el desarrollo y aplicación de parches.
Escenarios
Algunos escenarios comunes para SaaS son:

Correo electrónico y mensajería.

Aplicaciones de productividad empresarial.
Seguimiento de finanzas y gastos.
 Qué es Microsoft Azure

Azure es un conjunto de servicios en la nube en expansión constante que le ayudan a cumplir los desafíos
empresariales actuales y futuros. Azure le ofrece la libertad de compilar, administrar e implementar
aplicaciones en una red global masiva mediante sus herramientas y plataformas favoritas.

¿Qué ofrece Azure?

Con la ayuda de Azure, tendrá todo lo que necesita para compilar su próxima gran solución. A continuación se
enumeran algunas de las ventajas que proporciona Azure, para que inventar con un objetivo sea más sencillo:

Prepararse para el futuro: la innovación continua de Microsoft apoya el desarrollo actual y los proyectos de
productos para el futuro.
Crear según términos propios: tiene varias opciones. Si mantiene un compromiso con el código abierto y
admite todos los lenguajes y marcos, puede compilar como quiera e implementar donde quiera.
Funcionamiento sin problemas en el entorno híbrido: ya sea en el entorno local, en la nube o en el entorno
perimetral, le apoyaremos donde esté. Integre y administre los entornos con herramientas y servicios
diseñados para una solución de nube híbrida.
Confianza en la nube: obtenga seguridad desde el principio, respaldada por un equipo de expertos, y un
cumplimiento proactivo de confianza para las empresas consolidadas, los gobiernos y las nuevas empresas.
¿Qué puedo hacer con Azure?
Azure proporciona más de 100 servicios que permiten hacer todo tipo de cosas: desde ejecutar las aplicaciones
existentes en máquinas virtuales hasta explorar nuevos paradigmas de software, como bots inteligentes y
realidad mixta.

Muchos equipos comienzan a explorar la nube mediante la migración de sus aplicaciones existentes a
máquinas virtuales (VM) que se ejecutan en Azure. Aunque este es un buen comienzo, la nube es mucho más
que un lugar diferente donde ejecutar las máquinas virtuales.

Por ejemplo, Azure proporciona servicios de inteligencia artificial (IA) y aprendizaje automático (ML) que
pueden comunicarse de forma natural con los usuarios mediante la vista, el oído y la voz. También facilita
soluciones de almacenamiento que crecen dinámicamente para dar cabida a grandes cantidades de datos. Los
servicios de Azure permiten soluciones que no son factibles sin la potencia de la nube.

Introducción a las cuentas de Azure

Para crear y usar los servicios de Azure, necesita una suscripción de Azure. Al completar los módulos de
Microsoft Learn, la mayoría de las veces se crea una suscripción temporal de forma automática, que se ejecuta
en un entorno denominado espacio aislado de Microsoft Learn. Cuando trabaje con aplicaciones y necesidades
empresariales propias, tendrá que crear una cuenta de Azure y se creará una suscripción de forma automática.
Después de crear una cuenta de Azure, puede crear suscripciones adicionales. Por ejemplo, es posible que la
empresa use una única cuenta de Azure para el negocio y suscripciones independientes para los
departamentos de desarrollo, marketing y ventas. Una vez que ha creado una suscripción de Azure, puede
empezar a crear recursos de Azure dentro de cada suscripción.

Diagrama en el que se muestran los diferentes niveles del ámbito de la cuenta.

Si no está familiarizado con Azure, puede registrarse para obtener una cuenta gratuita en el sitio web de Azure
y, de este modo, empezar a explorar sin coste alguno. Cuando esté listo, puede optar por actualizar la cuenta
gratuita. También puede crear una suscripción que le permita comenzar a pagar por los servicios de Azure que
necesita y a los que no puede acceder con una cuenta gratuita.

Creación de una cuenta de Azure

Para comprar el acceso a Azure directamente desde Microsoft, regístrese en el sitio web de Azure o hágalo a
través de un representante de Microsoft. También puede comprar el acceso a Azure a través de un partner de
Microsoft. Los partners del programa Proveedor de soluciones en la nube ofrecen una amplia gama de
soluciones en la nube administradas y completas para Azure.

Para obtener más información sobre cómo crear una cuenta de Azure, vea el módulo de aprendizaje Creación
de una cuenta de Azure.

¿Qué es la cuenta gratuita de Azure?

La cuenta gratuita de Azure incluye lo siguiente:

Acceso gratuito a productos populares de Azure durante 12 meses.

Crédito para gastar durante los primeros 30 días.
Acceso a más de 25 productos que siempre son gratuitos.
La cuenta gratuita de Azure es una manera excelente para que los nuevos usuarios empiecen y exploren. Para
registrarse, necesita un número de teléfono, una tarjeta de crédito y una cuenta de Microsoft o de GitHub. La
información de la tarjeta de crédito solo se usa para la verificación de identidad. No se le cobrará por ningún
servicio hasta que actualice a una suscripción de pago.

¿Qué es la cuenta de estudiante gratuita de Azure?

La oferta de la cuenta de estudiante gratuita de Azure incluye lo siguiente:

Acceso gratuito a determinados servicios de Azure durante 12 meses.

Un crédito para usar en los primeros 12 meses.
Acceso gratuito a determinadas herramientas de desarrollo de software.
La cuenta de estudiante gratuita de Azure es una oferta para estudiantes que ofrece 100 USD de crédito y
herramientas de desarrollo gratuitas. Además, puede registrarse sin tarjeta de crédito.

¿Qué es el espacio aislado de Microsoft Learn?

En muchos de los ejercicios de Learn se usa una tecnología denominada espacio aislado, que crea una
suscripción temporal que se agrega a la cuenta de Azure. Esta suscripción temporal le permite crear recursos
de Azure para la duración de un módulo de Learn. Learn limpia de forma automática los recursos temporales
una vez que haya completado el módulo.

Cuando complete un módulo de Learn, puede usar la suscripción personal para finalizar los ejercicios que
incluye. Pero el espacio aislado es el método preferido, ya que permite crear y probar recursos de Azure sin
costo alguno.

Ejercicio: Exploración del espacio aislado de Learn

Este módulo requiere un espacio aislado para completarse.

Un espacio aislado le da acceso a recursos gratuitos. No se le cobrará en su suscripción personal. El espacio
aislado solo podrá usarse para completar el aprendizaje en Microsoft Learn. El uso para cualquier otro motivo
está prohibido y podría generar la pérdida permanente del acceso al espacio aislado.
Microsoft ofrece esta experiencia de laboratorio y el contenido relacionado con fines educativos. Toda la
información presentada es propiedad de Microsoft y está destinada únicamente a brindar información sobre
los productos y servicios abordados en este módulo de Microsoft Learn.

En este ejercicio explorará el espacio aislado de Learn. Puede interactuar con el espacio aislado de Learn de
tres maneras diferentes. Durante los ejercicios, se le proporcionarán instrucciones para al menos uno de los
métodos siguientes.

Para empezar, active el espacio aislado de Learn. Después, investigará cada uno de los métodos para trabajar
en el espacio aislado de Learn.
Activación del espacio aislado de Learn
Si todavía no lo ha hecho, use el botón Activar espacio aislado anterior para activar el espacio aislado de Learn.

Si recibe un aviso que indica que Microsoft Learn necesita su permiso para crear un recurso de Azure, use el
botón Revisar permiso para revisar y aceptar los permisos. Una vez que apruebe los permisos, el espacio
aislado puede tardar unos minutos en activarse.

Tarea 1: Uso de la CLI de PowerShell

Una vez que se inicie el espacio aislado, la mitad de la pantalla estará en modo de interfaz de línea de
comandos (CLI) de PowerShell. Si está familiarizado con PowerShell, puede administrar el entorno de Azure
mediante comandos de PowerShell.

Captura de pantalla del inicio de la CLI de Azure PowerShell.

Sugerencia

Puede saber que está en modo de PowerShell por las letras "PS" que aparecen delante del directorio en la línea
de comandos.

Use el comando Get-date de PowerShell para obtener la fecha y hora actuales.

PowerShell

Copiar
Get-date
La mayoría de los comandos específicos de Azure comenzarán con las letras az. El comando Get-date que acaba
de ejecutar es específico de PowerShell. Ahora se probará un comando de Azure para comprobar qué versión
de la CLI usa en este momento.

PowerShell

Copiar
az version
Tarea 2: Uso de la CLI de BASH
Si está más familiarizado con BASH, puede usar el comando BASH en su lugar mediante el cambio a la CLI de
BASH.

Escriba bash para cambiar a la CLI de BASH.

PowerShell

Copiar
bash
Captura de pantalla del inicio de la CLI BASH de Azure.

Sugerencia

Puede saber que está en modo BASH por el nombre de usuario que se muestra en la línea de comandos. Será
nombre_de_usuario@azure.

De nuevo, use el comando Get-date para obtener la fecha y hora actuales.

CLI de Azure

Copiar
Get-date
Se produce un error porque Get-date es un comando específico de PowerShell.

Captura de pantalla del mensaje de error de BASH

Use el comando date para obtener la fecha y hora actuales.

CLI de Azure

Copiar
date
Al igual que en el modo PowerShell de la CLI, puede usar las letras az para iniciar un comando de Azure en el
modo BASH. Intente ejecutar una actualización en la CLI con az upgrade.

CLI de Azure

Copiar
az upgrade
Puede volver al modo de PowerShell si escribe pwsh en la línea de comandos de BASH.

Tarea 3: Uso del modo interactivo de la CLI de Azure

Otra manera de interactuar consiste en usar el modo interactivo de la CLI de Azure. Esto cambia el
comportamiento de la CLI para parecerse más a un entorno de desarrollo integrado (IDE). El modo interactivo
proporciona autocompletar, descripciones de comandos e incluso ejemplos. Si no está familiarizado con BASH y
PowerShell, pero quiere usar la línea de comandos, el modo interactivo puede ayudarle.

Escriba az interactive para entrar en modo interactivo.

CLI de Azure

Copiar
az interactive
Decida si quiere enviar datos de telemetría y escriba SÍ o NO.

Es posible que tenga que esperar uno o dos minutos para permitir que el modo interactivo se inicialice por
completo. Después, escriba la letra "a" y la finalización automática debería empezar a funcionar. Si la
finalización automática no funciona, borre lo que ha escrito, espere un poco más y vuelva a intentarlo.

Captura de pantalla del modo interactivo, en la que la finalización automática proporciona comandos que
empiezan por

Una vez que se inicialice puede usar las teclas de dirección o tabulaciones para ayudar a completar los
comandos. El modo interactivo está configurado específicamente para Azure, por lo que no es necesario
escribir az para iniciar un comando (pero puede hacerlo si quiere o tiene la costumbre de usarlo). Vuelva a
intentar los comandos upgrade o version, pero esta vez sin az delante.

CLI de Azure

Copiar
version
CLI de Azure

Copiar
upgrade
Los comandos deben haber funcionado igual que antes y generar los mismos resultados. Use el comando exit
para salir del modo interactivo.

CLI de Azure

Copiar
exit

Tarea 4: Uso de Azure Portal

Durante los ejercicios del espacio aislado también tendrá la opción de usar Azure Portal. Debe usar el vínculo
proporcionado en el ejercicio para acceder a Azure Portal. Con el vínculo proporcionado, en lugar de abrir el
portal personalmente, se asegura de usar la suscripción correcta y poder completar el ejercicio como quiera.
Inicie sesión en Azure Portal para comprobar la interfaz web de Azure. Una vez en el portal, puede ver todos los
servicios que ofrece Azure, así como echar un vistazo a los grupos de recursos, etc.

Continuar
Todo listo por ahora. Volverá a este espacio aislado más adelante en este módulo y creará un recurso real de
Azure.

Descripción de la infraestructura física de Azure

A lo largo del recorrido con Microsoft Azure, escuchará y usará términos como regiones, zonas de
disponibilidad, recursos, suscripciones, etc. Este módulo se centra en los principales componentes
arquitectónicos de Azure. Los componentes arquitectónicos principales de Azure se pueden dividir en dos
grandes grupos: la infraestructura física y la infraestructura de administración.

Infraestructura física
La infraestructura física de Azure comienza con los centros de datos. Conceptualmente, los centros de datos
son iguales que los grandes centros de datos corporativos. Son instalaciones con recursos organizados en
bastidores, con potencia dedicada, refrigeración e infraestructura de red.

Como proveedor de nube global, Azure tiene centros de datos en todo el mundo. Pero estos centros de datos
individuales no son accesibles directamente. Los centros de datos se agrupan en regiones de Azure o Azure
Availability Zones, están diseñados para ayudarle a lograr resistencia y confiabilidad para las cargas de trabajo
críticas para la empresa.

El sitio de infraestructura global le ofrece la oportunidad de explorar de manera interactiva la infraestructura

subyacente de Azure.

Regions
Una región es un área geográfica del planeta que contiene al menos un centro de datos, aunque podrían ser
varios cercanos y conectados mediante una red de baja latencia. Azure asigna y controla los recursos de forma
inteligente dentro de cada región para garantizar que las cargas de trabajo están bien compensadas.

Al implementar un recurso en Azure, es habitual tener que elegir la región en la que quiere que se implemente
el recurso.

Nota Algunos servicios o características de las máquinas virtuales (VM) solo están disponibles en determinadas
regiones, como, por ejemplo, tipos de almacenamiento o tamaños de VM específicos. También hay algunos
servicios globales de Azure que no requieren que seleccione una región concreta, como Azure Active Directory,
Azure Traffic Manager o Azure DNS.

Availability Zones
Las zonas de disponibilidad son centros de datos separados físicamente dentro de una región de Azure. Cada
zona de disponibilidad consta de uno o varios centros de datos equipados con alimentación, refrigeración y
redes independientes. Una zona de disponibilidad se configura para constituir un límite de aislamiento. Si una
zona deja de funcionar, la otra continúa trabajando. Las zonas de disponibilidad están conectadas a través de
redes de fibra óptica de alta velocidad privadas.

importante
Para garantizar la resistencia, se configuran un mínimo de tres zonas
de disponibilidad independientes en todas las regiones habilitadas.
Pero no todas las regiones de Azure admiten actualmente las zonas
de disponibilidad.
Uso de las zonas de disponibilidad en sus aplicaciones
A fin de proteger la información en caso de error, deberá asegurarse de que los servicios y datos son
redundantes. Si hospeda su infraestructura, configurar su propia redundancia requiere la creación de entornos
de hardware duplicados. Azure puede ayudar a que la aplicación tenga alta disponibilidad a través de zonas de
disponibilidad.

Puede usar zonas de disponibilidad para ejecutar aplicaciones críticas y conseguir una alta disponibilidad en la
arquitectura de sus aplicaciones si coloca los recursos de proceso, almacenamiento, red y datos dentro de una
zona y los replica en otras. Recuerde que la duplicación de los servicios y la transferencia de datos entre zonas
de disponibilidad podrían suponer un costo.

Las zonas de disponibilidad son principalmente para las máquinas virtuales, los discos administrados, los
equilibradores de carga y las bases de datos SQL. Los servicios de Azure que admiten zonas de disponibilidad se
dividen en tres categorías:

Servicios de zona: ancle el recurso a una zona específica (por ejemplo, máquinas virtuales, discos
administrados, direcciones IP).
Servicios de redundancia de zona: la plataforma se replica automáticamente entre zonas (por ejemplo,
almacenamiento con redundancia de zona, SQL Database).
Servicios no regionales: los servicios siempre están disponibles en las ubicaciones geográficas de Azure y son
resistentes a las interrupciones de toda la zona, así como a las de toda la región.
Incluso con la resistencia adicional que proporcionan las zonas de disponibilidad, es posible que un evento
pueda ser tan grande que afecte a varias zonas de disponibilidad en una sola región. Para proporcionar una
mayor resistencia, Azure tiene pares de regiones.

Pares de región
La mayoría de las regiones de Azure se emparejan con otra región de la misma zona geográfica (por ejemplo,
EE. UU., Europa o Asia) que se encuentre como mínimo a 500 km de distancia. Este enfoque permite la
replicación de recursos en una zona geográfica que ayuda a reducir la probabilidad de que se produzcan
interrupciones provocadas por eventos como desastres naturales, disturbios sociales, cortes del suministro
eléctrico o interrupciones de la red física que afecten a una región completa. Por ejemplo, si una región de un
par se ve afectada por un desastre natural, los servicios conmutarán por error automáticamente a la otra
región de su par de regiones.

Importante No todos los servicios de Azure replican automáticamente los datos ni se replican
automáticamente desde una región con errores para la replicación cruzada en otra región habilitada. En estos
escenarios, el cliente debe configurar la replicación y la recuperación.

Algunos pares de regiones de ejemplo en Azure son Oeste de EE. UU. y Este de EE. UU., y Sudeste Asiático y
Asia Pacífico. Como las dos regiones están directamente conectadas y lo suficientemente lejos como para estar
aisladas contra desastres regionales, puede usarlas para proporcionar redundancia de datos y servicios de
confianza.
Ventajas adicionales de los pares de región:
Si se produce una gran interrupción de Azure, se da prioridad a una región de cada par para asegurarse de que
al menos una se restaure lo más rápido posible para las aplicaciones hospedadas en ese par de regiones.
Las actualizaciones planeadas de Azure se implementan una a una en regiones emparejadas para minimizar el
tiempo de inactividad y el riesgo de interrupción de la aplicación.
Los datos siguen residiendo en la misma zona geográfica que su pareja (excepto Sur de Brasil) con fines de
jurisdicción fiscal y de aplicación de la ley.

Importante La mayoría de las direcciones se emparejan en dos direcciones, es decir, son la copia de seguridad
de la región que proporciona una copia de seguridad para ellas (Oeste de EE. UU. y Este de EE. UU. se copian
entre sí). Sin embargo, algunas regiones, como Oeste de la India y Sur de Brasil, se emparejan en una sola
dirección. En un emparejamiento unidireccional, la región primaria no proporciona copia de seguridad para su
región secundaria. Por tanto, aunque la región secundaria de la India Occidental es Sur de la India, Sur de la
India no depende de la India Occidental. La región secundaria del India occidental es Sur de la India, pero la
región secundaria esta última es Centro de la India. Sur de Brasil es un caso único porque se empareja con una
región fuera de su ubicación geográfica. La región secundaria de Sur de Brasil es Centro-sur de EE. UU. La
región secundaria de Centro-sur de EE. UU. no es Sur de Brasil.

Regiones soberanas
Además de las regiones normales, Azure también tiene regiones soberanas. Las regiones soberanas son
instancias de Azure que están aisladas de la instancia principal de Azure. Es posible que tenga que usar una
región soberana con fines legales o de cumplimiento.

Entre las regiones soberanas de Azure se incluyen las siguientes:

US DoD (centro), US Gov Virginia, US Gov Iowa y más: Estas regiones son instancias físicas y lógicas con
aislamiento de red de Azure para asociados y agencias de la administración pública de EE. UU. Estos centros de
datos están operados por personal estadounidense sometido a evaluación e incluyen certificaciones de
cumplimiento adicionales.
Este de China, Norte de China y más: Estas regiones están disponibles gracias a una asociación exclusiva entre
Microsoft y 21Vianet, por la cual Microsoft no mantiene directamente los centros de datos.

Descripción de la infraestructura de administración de Azure

La infraestructura de administración incluye recursos de Azure y grupos de recursos, suscripciones y cuentas.

Comprender la organización jerárquica le ayudará a planear los proyectos y productos dentro de Azure.

Recursos y grupos de recursos de Azure

Un recurso es el bloque de creación básico de Azure. Todo lo que cree, aprovisione, implemente, etc., es un
recurso. Máquinas virtuales (VM), redes virtuales, bases de datos, servicios cognitivos, etc., se consideran
recursos dentro de Azure.

Diagrama en el que se muestra un cuadro de grupo de recursos con una función, una máquina virtual, una base
de datos y una aplicación.

Los grupos de recursos son simplemente agrupaciones de recursos. Al crear un recurso, es necesario colocarlo
en un grupo de recursos. Aunque un grupo de recursos puede contener muchos recursos, un único recurso solo
puede estar en un grupo de recursos a la vez. Es posible que algunos recursos se muevan entre grupos de
recursos, pero al mover un recurso a un nuevo grupo, ya no estará asociado al grupo anterior. Además, los
grupos de recursos no se pueden anidar, lo que significa que no se puede colocar el grupo de recursos B dentro
del grupo de recursos A.

Los grupos de recursos proporcionan una manera cómoda de agrupar recursos. Al aplicar una acción a un
grupo de recursos, se aplicará a todos los recursos que contiene. Si elimina un grupo de recursos, se eliminarán
todos los recursos que contiene. Si concede o deniega el acceso a un grupo de recursos, habrá concedido o
denegado acceso a todos los recursos que contiene.

Al aprovisionar recursos, es conveniente pensar en la estructura del grupo de recursos que mejor se adapte a
las necesidades.

Por ejemplo, si va a configurar un entorno de desarrollo temporal, agrupar todos los recursos significa que
puede desaprovisionar todos los recursos asociados a la vez si elimina el grupo de recursos. Si va a aprovisionar
recursos de proceso que necesitarán tres esquemas de acceso diferentes, puede ser mejor agruparlos en
función del esquema de acceso y, después, asignar acceso en el nivel de grupo de recursos.

No hay reglas rígidas sobre cómo se usan los grupos de recursos, por lo que debe tener en cuenta cómo
configurarlos para maximizar su utilidad.

Suscripciones de Azure
En Azure, las suscripciones son una unidad de administración, facturación y escala. Al igual que los grupos de
recursos son una manera de organizar lógicamente los recursos, las suscripciones permiten organizar
lógicamente los grupos de recursos y facilitar la facturación.

Diagrama que muestra las suscripciones de Azure usan la autenticación y la autorización para acceder a las
cuentas de Azure.

* El uso de Azure requiere una suscripción de Azure. Una suscripción le proporciona acceso autenticado y
autorizado a los servicios y productos de Azure. Además, también le permite aprovisionar los recursos. Una
suscripción de Azure se vincula a una cuenta de Azure, que es una identidad en Azure Active Directory (Azure
AD) o en un directorio en el que Azure AD confía.

Una cuenta puede tener varias suscripciones, pero solo es obligatorio tener una. En una cuenta de varias
suscripciones, puede usarlas para configurar diferentes modelos de facturación y aplicar diferentes directivas
de administración de acceso. Puede usar las suscripciones de Azure para definir límites en torno a los
productos, servicios y recursos de Azure. Hay dos tipos de límites de suscripción que puede utilizar:

Límite de facturación: Este tipo de suscripción determina cómo se factura una cuenta de Azure por el uso de
Azure. Puede crear varias suscripciones para diferentes tipos de requisitos de facturación. Azure genera
facturas e informes de facturación independientes para cada suscripción, de modo que pueda organizar y
administrar los costos.
Límite de control de acceso: Azure aplica las directivas de administración de acceso en el nivel de suscripción,
por lo que puede crear suscripciones independientes para reflejar distintas estructuras organizativas. Por
ejemplo, dentro de una empresa hay diferentes departamentos a los que se pueden aplicar directivas de
suscripción de Azure distintas. Este modelo de facturación le permite administrar y controlar el acceso a los
recursos que los usuarios aprovisionan con suscripciones específicas.

Creación de una suscripción de Azure adicional

De forma similar al uso de grupos de recursos para separar los recursos por función o acceso, es posible que
quiera crear suscripciones adicionales con fines de administración de recursos o facturación. Por ejemplo,
puede optar por crear suscripciones adicionales para separar lo siguiente:

Entornos: puede optar por crear suscripciones con el fin de configurar entornos independientes para el
desarrollo y las pruebas, para seguridad o para aislar los datos por motivos de cumplimiento. Este diseño es
especialmente útil porque el control de acceso a los recursos se produce en el nivel de suscripción.
Estructuras organizativas: puede crear suscripciones para reflejar las distintas estructuras organizativas. Por
ejemplo, podría limitar un equipo a recursos de bajo costo, al tiempo que permite que el departamento de TI
tenga un alcance completo. Este diseño permite administrar y controlar el acceso a los recursos que los
usuarios aprovisionan en cada suscripción.
Facturación: puede crear suscripciones adicionales con fines de facturación. Dado que los costos se agregan
primero en el nivel de suscripción, es posible que quiera crear suscripciones para administrar y realizar un
seguimiento de los costos en función de sus necesidades. Por ejemplo, puede que quiera crear una suscripción
para las cargas de trabajo de producción, y otra suscripción para las cargas de trabajo de desarrollo y pruebas.

Grupos de administración de Azure

La última pieza es el grupo de administración. Los recursos se recopilan en grupos de recursos y los grupos de
recursos se recopilan en suscripciones. Si acaba de empezar en Azure, podría parecer una jerarquía suficiente
para mantener las cosas organizadas. Pero imagine que trabaja con varias aplicaciones, varios equipos de
desarrollo, en varias zonas geográficas.

Si tiene muchas suscripciones, es posible que necesite una forma de administrar con eficacia el acceso, las
directivas y el cumplimiento para esas suscripciones. Los grupos de administración de Azure proporcionan un
nivel de ámbito por encima de las suscripciones. Las suscripciones se organizan en contenedores llamados
grupos de administración, a los que se aplican condiciones de gobernanza. Todas las suscripciones de un grupo
de administración heredan automáticamente las condiciones que tenga aplicadas, de la misma manera que los
grupos de recursos heredan la configuración de las suscripciones y los recursos heredan de los grupos de
recursos. Los grupos de administración proporcionan capacidad de administración de nivel empresarial a gran
escala con independencia del tipo de suscripciones que tenga. Los grupos de administración se pueden anidar.

Jerarquía de grupo de administración, suscripciones y grupo de recursos

Puede compilar una estructura flexible de grupos de administración y suscripciones para organizar los recursos
en una jerarquía para una administración unificada de las directivas y el acceso. El diagrama siguiente muestra
un ejemplo de creación de una jerarquía para la gobernanza mediante grupos de administración.

Diagrama que muestra un ejemplo de un árbol de jerarquía de grupos de administración.

Algunos ejemplos de cómo podría usar los grupos de administración podrían ser los siguientes:

Crear una jerarquía que aplique una directiva. Podría limitar las ubicaciones de las máquinas virtuales a la
región Oeste de EE. UU. en un grupo denominado Producción. Esta directiva se heredará en todas las
suscripciones descendientes de ese grupo de administración y se aplicará a todas las máquinas virtuales de
esas suscripciones. El propietario de los recursos o las suscripciones no puede modificar esta directiva de
seguridad, lo que permite una gobernanza mejorada.
Proporcionar acceso de usuario a varias suscripciones. Al mover varias suscripciones bajo un grupo de
administración, puede crear una asignación del control de acceso basado en roles (RBAC) en el grupo de
administración. La asignación de RBAC de Azure en el nivel de grupo de administración significa que todos los
grupos de administración secundaria, las suscripciones, los grupos de recursos y los recursos bajo ese grupo de
administración también heredarían esos permisos. Una asignación en el grupo de administración puede
permitir a los usuarios tener acceso a todo lo que necesitan, en lugar de crear scripts de Azure RBAC sobre las
distintas suscripciones.
Datos importantes sobre los grupos de administración:

Se admiten 10 000 grupos de administración en un único directorio.

Un árbol de grupo de administración puede admitir hasta seis niveles de profundidad. Este límite no incluye el
nivel raíz ni el nivel de suscripción.
Cada grupo de administración y suscripción solo puede admitir un elemento primario.

Descripción de Azure Virtual Machines

Con Azure Virtual Machines (VM), puede crear y usar máquinas virtuales en la nube. Estas máquinas virtuales
proporcionan una infraestructura como servicio (IaaS) en forma de un servidor virtualizado y se pueden usar de
muchas formas. Como sucede en un equipo físico, puede personalizar todo el software que se ejecuta en la
máquina virtual. Las máquinas virtuales son una opción ideal cuando se necesita lo siguiente:

Control total sobre el sistema operativo (SO).

Capacidad de ejecutar software personalizado.
Usar configuraciones de hospedaje personalizadas.
Una máquina virtual de Azure le ofrece la flexibilidad de la virtualización sin necesidad de adquirir y mantener
el hardware físico que ejecuta la máquina virtual. Pero, como oferta de IaaS, tendrá que configurar, actualizar y
mantener el software que se ejecuta en la máquina virtual.

Incluso puede crear o usar una imagen ya creada para aprovisionar rápidamente máquinas virtuales. Al
seleccionar una imagen de máquina virtual preconfigurada, podrá crear y aprovisionar una máquina virtual en
cuestión de minutos. Una imagen es una plantilla que se usa para crear una máquina virtual y puede que ya
incluya un sistema operativo y otro software, como herramientas de desarrollo o entornos de hospedaje web.

Escalado de máquinas virtuales en Azure

Se pueden ejecutar máquinas virtuales únicas para pruebas, desarrollo o tareas secundarias. También se
pueden agrupar las máquinas virtuales para proporcionar alta disponibilidad, escalabilidad y redundancia.
Azure también puede administrar la agrupación de máquinas virtuales con características como conjuntos de
escalado y conjuntos de disponibilidad.

Conjuntos de escalado de máquinas virtuales

Los conjuntos de escalado de máquinas virtuales permiten crear y administrar un grupo de máquinas virtuales
idénticas, de carga equilibrada. Si simplemente ha creado varias máquinas virtuales con el mismo propósito,
tendría que asegurarse de que todas se han configurado de forma idéntica y, después, configurar parámetros
de enrutamiento de red para garantizar la eficacia. También tendría que supervisar el uso para determinar si
necesita aumentar o disminuir el número de máquinas virtuales.

En su lugar, con los conjuntos de escalado de máquinas virtuales, Azure automatiza la mayor parte de ese
trabajo. Los conjuntos de escalado le permiten administrar, configurar y actualizar de forma centralizada un
gran número de máquinas virtuales en cuestión de minutos. El número de instancias de máquina virtual puede
aumentar o disminuir automáticamente según la demanda, o bien puede establecerlo para que se escale en
función de una programación definida. Los conjuntos de escalado de máquinas virtuales también implementan
automáticamente un equilibrador de carga para asegurarse de que los recursos se usan de forma eficaz. Con
los conjuntos de escalado de máquinas virtuales, puede crear servicios a gran escala para áreas como proceso,
macrodatos y cargas de trabajo de contenedor.

Conjuntos de disponibilidad de máquinas virtuales

Los conjuntos de disponibilidad de máquinas virtuales son otra herramienta que le ayudará a crear un entorno
más resistente y de alta disponibilidad. Los conjuntos de disponibilidad están diseñados para garantizar que las
máquinas virtuales escalen las actualizaciones y tengan una conectividad de red y potencia variadas, lo que
evita que se pierdan todas las máquinas virtuales debido a un solo fallo de energía o de la red.

Los conjuntos de disponibilidad lo hacen mediante la agrupación de las máquinas virtuales de dos maneras:
dominio de actualización y dominio de error.

Dominio de actualización: agrupa las máquinas virtuales que se pueden reiniciar al mismo tiempo. Esto le
permite aplicar actualizaciones mientras sabe que solo una agrupación de dominios de actualización estará sin
conexión a la vez. Se actualizarán todas las máquinas de un dominio de actualización. A un grupo de
actualizaciones que realiza el proceso de actualización se le asigna un tiempo de 30 minutos de recuperación
antes de que se inicie el mantenimiento en el siguiente dominio de actualización.
Dominio de error: agrupa las máquinas virtuales por fuente de alimentación común y conmutador de red. De
forma predeterminada, un conjunto de disponibilidad dividirá las máquinas virtuales en un máximo de tres
dominios de error. Esto ayuda a protegerse frente a un error de alimentación física o de la red al tener las
máquinas virtuales en dominios de error diferentes (por tanto, conectadas a diferentes recursos de
alimentación y red).
Lo mejor de todo es que la configuración de un conjunto de disponibilidad no supone ningún costo adicional.
Solo paga por las instancias de máquina virtual que cree.

Ejemplos de cuándo usar máquinas virtuales

Algunos ejemplos comunes o casos de uso para máquinas virtuales son los siguientes:

Durante las pruebas y el desarrollo. Las máquinas virtuales proporcionan una manera rápida y sencilla de crear
distintas configuraciones de sistema operativo y de aplicación. El personal encargado de las pruebas y del
desarrollo puede eliminar fácilmente las máquinas virtuales cuando ya no las necesite.
Al ejecutar aplicaciones en la nube. La capacidad de ejecutar determinadas aplicaciones en la nube pública, en
lugar de crear una infraestructura tradicional para ejecutarlas, puede proporcionar importantes beneficios
económicos. Por ejemplo, es posible que una aplicación necesite controlar las fluctuaciones en la demanda.
Apagar las máquinas virtuales cuando no las necesite o iniciarlas rápidamente para satisfacer un aumento
repentino de la demanda significa que solo paga por los recursos que se usan.
Al ampliar el centro de datos a la nube: una organización puede extender las capacidades de su propia red local
mediante la creación de una red virtual en Azure y la adición de máquinas virtuales a esa red virtual. Las
aplicaciones como SharePoint se pueden ejecutar en una máquina virtual de Azure en lugar de hacerlo de
forma local. Esta disposición hace que sea más sencilla o menos costosa de implementar que en un entorno
local.
Durante la recuperación ante desastres: como sucede con la ejecución de ciertos tipos de aplicaciones en la
nube y la ampliación de una red local a la nube, puede obtener un ahorro considerable en costos si se usa un
enfoque basado en IaaS para la recuperación ante desastres. Si se produce un error en un centro de datos
principal, puede crear máquinas virtuales que se ejecuten en Azure para ejecutar las aplicaciones críticas y,
después, puede apagarlas cuando el centro de datos principal vuelva a estar operativo.

Traslado a la nube con máquinas virtuales

Las máquinas virtuales también son una opción excelente cuando se mueve de un servidor físico a la nube
(también conocido como Lift-and-shift). Puede crear una imagen del servidor físico y hospedarla en una
máquina virtual con pocos o ningún cambio. Al igual que un servidor local físico, debe mantener la máquina
virtual: es responsable de mantener el sistema operativo y el software instalados.

Recursos de máquina virtual

Al aprovisionar una máquina virtual, también tendrá la oportunidad de elegir los recursos asociados a esa
máquina virtual, como los siguientes:

Tamaño (propósito, número de núcleos de procesador y cantidad de RAM)

Discos de almacenamiento (unidades de disco duro, unidades de estado sólido, etc.)
Redes (red virtual, dirección IP pública y configuración de puertos)

Descripción de Azure Virtual Desktop

Otro tipo de máquina virtual es Azure Virtual Desktop. Azure Virtual Desktop es un servicio de virtualización de
escritorios y aplicaciones que se ejecuta en la nube. Le permite usar una versión hospedada en la nube de
Windows desde cualquier ubicación. Azure Virtual Desktop funciona en dispositivos y sistemas operativos, y
funciona con aplicaciones que puede usar para acceder a escritorios remotos o a la mayoría de exploradores
modernos.

En el vídeo siguiente se ofrece una introducción sobre Azure Virtual Desktop:

Aumento de la seguridad
Azure Virtual Desktop proporciona administración centralizada de la seguridad de los escritorios de los usuarios
con Azure Active Directory (Azure AD). Puede habilitar la autenticación multifactor para proteger los inicios de
sesión de los usuarios. También puede proteger el acceso a los datos mediante la asignación a los usuarios de
controles de acceso basados en roles (RBAC) detallados.

Con Azure Virtual Desktop, los datos y las aplicaciones se separan del hardware local y El escritorio y las
aplicaciones reales se ejecutan en la nube, lo que significa que se reduce el riesgo de dejar datos confidenciales
en un dispositivo personal. Además, las sesiones de usuario están aisladas en entornos de una o varias
sesiones.

Implementación de sesión múltiple de Windows 10 o Windows 11

Azure Virtual Desktop permite usar la sesión múltiple de Windows 10 o Windows 11 Enterprise, el único
sistema operativo basado en cliente de Windows que permite varios usuarios simultáneos en una sola máquina
virtual. Azure Virtual Desktop también proporciona una experiencia más coherente gracias a la compatibilidad
más amplia con las aplicaciones en comparación con los sistemas operativos basados en Windows Server.
Descripción de contenedores de Azure

A pesar de que las máquinas virtuales son una excelente manera de reducir los costos frente a las inversiones
que son necesarias para el hardware físico, están limitadas a un solo sistema operativo por máquina virtual. Los
contenedores son una excelente opción si quiere ejecutar varias instancias de una aplicación en un solo equipo
host.

¿Qué son los contenedores?

Los contenedores son un entorno de virtualización. Al igual que la ejecución de varias máquinas virtuales en un
solo host físico, se pueden ejecutar varios contenedores en un solo host físico o virtual. A diferencia de las
máquinas virtuales, no se administra el sistema operativo de un contenedor. Las máquinas virtuales son
similares a una instancia de sistema operativo que se puede conectar y administrar. Los contenedores son
ligeros y se han diseñado para crearse, escalarse horizontalmente y detenerse de forma dinámica. Es posible
crear e implementar máquinas virtuales a medida que aumenta la demanda de aplicaciones, pero los
contenedores son un método más ligero y ágil. Los contenedores están diseñados para permitirle responder a
petición a los cambios. Con los contenedores puede reiniciar rápidamente en caso de bloqueo o interrupción
del hardware. Uno de los motores de contenedor más populares es Docker, que es compatible con Azure.

Comparación de máquinas virtuales con contenedores

En el vídeo siguiente se resaltan algunas de las diferencias importantes entre las máquinas virtuales y los
contenedores:

Azure Container Instances

Azure Container Instances ofrece la forma más rápida y sencilla de ejecutar un contenedor en Azure sin tener
que administrar máquinas virtuales o adoptar servicios adicionales. Azure Container Instances es una oferta de
plataforma como servicio (PaaS). Azure Container Instances le permite cargar los contenedores. A
continuación, el servicio ejecutará los contenedores por usted.

Uso de contenedores en las soluciones

Los contenedores se usan normalmente para crear soluciones mediante una arquitectura de microservicios.
Esta arquitectura es donde se dividen las soluciones en partes más pequeñas e independientes. Por ejemplo, se
puede dividir un sitio web en un contenedor que hospeda el front-end, otro que hospeda el back-end y un
tercero para el almacenamiento. De esta forma, puede separar partes de la aplicación en secciones lógicas que
se pueden mantener, escalar o actualizar independientemente.

Imagine que el back-end de su sitio web ha alcanzado el límite de su capacidad, pero el front-end y el
almacenamiento no están sobrecargados. Con los contenedores puede escalar el back-end por separado para
mejorar el rendimiento. Si algo requiere este cambio, también puede optar por cambiar el servicio de
almacenamiento o modificar el front-end sin afectar a ninguno de los otros componentes.

Descripción de Azure Functions

Azure Functions es una opción de proceso sin servidor controlada por eventos que no necesita el
mantenimiento de máquinas virtuales ni contenedores. Si compila una aplicación mediante máquinas virtuales
o contenedores, esos recursos deben "ejecutarse" para que la aplicación funcione. Con Azure Functions, un
evento activa la función, lo que reduce la necesidad de mantener los recursos aprovisionados cuando no hay
ningún evento.

Ventajas de Azure Functions

El uso de Azure Functions es idóneo si solo le interesa el código que ejecuta el servicio y no la infraestructura o
la plataforma subyacente. Las funciones se usan normalmente cuando se debe realizar un trabajo en respuesta
a un evento (a menudo a través de una solicitud REST), un temporizador o un mensaje de otro servicio de
Azure, y cuando ese trabajo puede completarse rápidamente, en segundos o en menos tiempo.

Functions se escala automáticamente según la demanda, por lo que es una opción correcta cuando la demanda
es variable.

Azure Functions ejecuta el código cuando se desencadena y desasigna recursos automáticamente cuando la
función finaliza. En este modelo, solo se le cobrará por el tiempo de CPU usado mientras se ejecuta la función.
Las funciones pueden ser sin estado o con estado. Cuando son sin estado (valor predeterminado), se
comportan como si se reiniciaran cada vez que responden a un evento. Cuando son con estado (denominado
Durable Functions), se pasa un contexto a través de la función para realizar el seguimiento antes de la
actividad.

Las funciones son un componente clave de la informática sin servidor. También son una plataforma de proceso
general para ejecutar cualquier tipo de código. Si cambian las necesidades de la aplicación del desarrollador, se
puede implementar el proyecto en un entorno que no sea sin servidor. Esta flexibilidad permite administrar el
escalado, ejecutar en redes virtuales e incluso aislar por completo las funciones.

Descripción de las opciones de hospedaje de aplicaciones

Si necesita hospedar la aplicación en Azure, es posible que cambie inicialmente a una máquina virtual (VM) o a
contenedores. Tanto las máquinas virtuales como los contenedores proporcionan excelentes soluciones de
hospedaje. Las máquinas virtuales proporcionan el máximo control del entorno de hospedaje y le permiten
configurarlo exactamente como desea. Las máquinas virtuales también pueden ser el método de hospedaje
más conocido si no está familiarizado con la nube. Los contenedores, con la capacidad de aislar y administrar
individualmente diferentes aspectos de la solución de hospedaje, también pueden ser una opción sólida y
atractiva.

Hay otras opciones de hospedaje que puede usar con Azure, incluido Azure App Service.

Azure App Service

App Service permite crear y hospedar aplicaciones web, trabajos en segundo plano, back-ends móviles y API
RESTful en el lenguaje de programación que prefiera, sin tener que administrar la infraestructura. Ofrece
escalado automático y alta disponibilidad. App Service admite Windows y Linux. Permite implementaciones
automatizadas desde GitHub, Azure DevOps o cualquier repositorio Git para admitir un modelo de
implementación continua.

Azure App Service es una opción de hospedaje sólida que puede usar para hospedar las aplicaciones en Azure.
Azure App Service le permite centrarse en la creación y el mantenimiento de la aplicación, y Azure se centra en
mantener el entorno en funcionamiento.

Azure App Service es un servicio basado en HTTP para hospedar aplicaciones web, API de REST y back-ends
para dispositivos móviles. Admite varios lenguajes, incluidos .NET, .NET Core, Java, Ruby, Node.js, PHP o
Python. También admite entornos de Windows y Linux.

Tipos de servicios de aplicaciones

Con App Service, puede hospedar la mayoría de los estilos de servicio de aplicación más comunes, como los
siguientes:

 Aplicaciones web
 Aplicaciones de API
 Trabajos web
 Aplicaciones móviles

App Service controla la mayoría de las decisiones sobre la infraestructura que se tratan en el hospedaje de
aplicaciones accesibles desde la web:

 La implementación y administración se integran en la plataforma.

 Los puntos de conexión se pueden proteger.
 Los sitios se pueden escalar rápidamente para controlar cargas de tráfico elevado.
 El equilibrio de carga integrado y el administrador de tráfico proporcionan alta disponibilidad.

Todos estos estilos de aplicación se hospedan en la misma infraestructura y comparten estas ventajas. Esto
convierte a App Service en la elección ideal para hospedar aplicaciones orientadas a la web.

Aplicaciones web
App Service incluye compatibilidad completa para hospedar aplicaciones web mediante ASP.NET, ASP.NET
Core, Java, Ruby, Node.js, PHP o Python. Puede elegir Windows o Linux como sistema operativo del host.
Aplicaciones de API
Al igual que al hospedar un sitio web, puede compilar API web basadas en REST mediante el lenguaje y el
marco que prefiera. Se obtiene compatibilidad completa con Swagger y la posibilidad de empaquetar y publicar
la API en Azure Marketplace. Las aplicaciones producidas se pueden consumir desde cualquier cliente basado
en HTTP o HTTPS.

Trabajos web
Se puede usar la característica WebJobs para ejecutar un programa (.exe, Java, PHP, Python o Node.js) o un
script (.cmd, .bat, PowerShell o Bash) en el mismo contexto que una aplicación web, aplicación de API o
aplicación móvil. Los puede programar o ejecutar un desencadenador. Los trabajos web suelen usarse para
ejecutar tareas en segundo plano como parte de la lógica de aplicación.

Aplicaciones móviles
Use la característica Mobile Apps de App Service a fin de compilar rápidamente un back-end para aplicaciones
iOS y Android. Con unos pocos clics en el Portal de Azure, puede realizar lo siguiente:

Almacenar los datos de aplicaciones móviles en una base de datos SQL basada en la nube.
Autenticar a clientes con proveedores sociales comunes, como MSA, Google, Twitter y Facebook.
Enviar notificaciones de inserción.
Ejecutar lógica de back-end personalizada en C# o Node.js.
En el lado de la aplicación móvil, hay compatibilidad con el SDK para aplicaciones nativas de iOS y Android,
Xamarin y React.

Descripción de las redes virtuales de Azure

Las redes virtuales y las subredes virtuales de Azure permiten a los recursos de Azure, como las máquinas
virtuales, las aplicaciones web y las bases de datos, comunicarse entre sí, con los usuarios de Internet y con los
equipos cliente en el entorno local. Una red de Azure se puede considerar una extensión de la red local con
recursos que vinculan otros recursos de Azure.

Las redes virtuales de Azure proporcionan las importantes funcionalidades de red siguientes:

 Aislamiento y segmentación
 Comunicación con Internet
 Comunicación entre recursos de Azure
 Comunicación con los recursos locales
 Enrutamiento del tráfico de red
 Filtrado del tráfico de red
 Conexión de redes virtuales

Las redes virtuales de Azure admiten puntos de conexión públicos y privados para permitir la comunicación
entre recursos externos o internos con otros recursos internos.

 Los puntos de conexión públicos tienen una dirección IP pública y son accesibles desde cualquier parte
del mundo.
 Los puntos de conexión privados existen dentro de una red virtual y tienen una dirección IP privada en
el espacio de direcciones de esa red virtual.

Aislamiento y segmentación
La red virtual de Azure permite crear varias redes virtuales aisladas. Al configurar una red virtual, se define un
espacio de direcciones IP privadas con intervalos de direcciones IP públicas o privadas. El intervalo IP solo
existe dentro de la red virtual y no es enrutable en Internet. Después, puede dividir ese espacio de direcciones
IP en subredes y asignar parte del espacio de direcciones definido a cada subred con nombre.

Para la resolución de nombres, puede usar el servicio de resolución de nombres integrado en Azure. También
puede configurar la red virtual para que use un servidor DNS interno o externo.

Comunicación con Internet

Puede permitir conexiones entrantes desde Internet mediante la asignación de una dirección IP pública a un
recurso de Azure o la colocación del recurso detrás de un equilibrador de carga público.
Comunicación entre los recursos de Azure
Le interesará habilitar los recursos de Azure para que se comuniquen entre sí de forma segura. Puede hacerlo
de dos maneras:

Las redes virtuales no solo pueden conectar máquinas virtuales, sino también otros recursos de Azure, como
App Service Environment para Power Apps, Azure Kubernetes Service y conjuntos de escalado de máquinas
virtuales de Azure.
Los puntos de conexión de servicio se pueden conectar a otros tipos de recursos de Azure, como cuentas de
almacenamiento y bases de datos de Azure SQL. Este enfoque permite vincular varios recursos de Azure con las
redes virtuales para mejorar la seguridad y proporcionar un enrutamiento óptimo entre los recursos.

Comunicación con recursos locales

Las redes virtuales de Azure permiten vincular entre sí los recursos del entorno local y dentro de la suscripción
de Azure. De hecho, puede crear una red que abarque tanto el entorno local como el entorno en la nube.
Existen tres mecanismos para lograr esta conectividad:

Las conexiones de red privada virtual de punto a sitio se establecen desde un equipo ajeno a la organización a
la red corporativa. En este caso, el equipo cliente inicia una conexión VPN cifrada para conectarse a la red
virtual de Azure.
Las redes virtuales privadas de sitio a sitio vinculan el dispositivo o puerta de enlace de VPN local con la puerta
de enlace de VPN de Azure en una red virtual. De hecho, puede parecer que los dispositivos de Azure están en
la red local. La conexión se cifra y funciona a través de Internet.
Azure ExpressRoute proporciona una conectividad privada dedicada a Azure que no se desplaza por Internet.
ExpressRoute es útil para los entornos donde se necesita más ancho de banda e incluso mayores niveles de
seguridad.

Enrutamiento del tráfico de red

De forma predeterminada, Azure enruta el tráfico entre las subredes de todas las redes virtuales conectadas,
las redes locales e Internet. También puede controlar el enrutamiento e invalidar esa configuración del
siguiente modo:

Las tablas de rutas permiten definir reglas sobre cómo se debe dirigir el tráfico. Puede crear tablas de rutas
personalizadas que controlen cómo se enrutan los paquetes entre las subredes.
El Protocolo de puerta de enlace de borde (BGP) funciona con puertas de enlace de VPN de Azure, Azure Route
Server o Azure ExpressRoute para propagar las rutas BGP locales a las redes virtuales de Azure.

Filtrado del tráfico de red

Las redes virtuales de Azure permiten filtrar el tráfico entre las subredes mediante los métodos siguientes:

Los grupos de seguridad de red son recursos de Azure que pueden contener varias reglas de seguridad de
entrada y salida. Estas reglas se pueden definir para permitir o bloquear el tráfico en función de factores como
el protocolo, el puerto y las direcciones IP de destino y origen.
Las aplicaciones virtuales de red son máquinas virtuales especializadas que se pueden comparar con un
dispositivo de red protegido. Una aplicación virtual de red ejerce una función de red determinada, como
ejecutar un firewall o realizar la optimización de la red de área extensa (WAN).

Conexión de redes virtuales

Puede vincular redes virtuales entre sí mediante el emparejamiento de red virtual. El emparejamiento permite
que dos redes virtuales se conecten directamente entre sí. El tráfico de red entre redes emparejadas es privado
y se desplaza por la red troncal de Microsoft, y nunca entra en la red pública de Internet. El emparejamiento
permite que los recursos de cada red virtual se comuniquen entre sí. Estas redes virtuales pueden estar en
regiones distintas, lo que permite crear una red global interconectada con Azure.

Las rutas definidas por el usuario (UDR) permiten controlar las tablas de enrutamiento entre subredes dentro
de una red virtual o entre redes virtuales. Esto permite un mayor control sobre el flujo de tráfico de red.
Descripción de las redes privadas virtuales de Azure
Una red privada virtual (VPN) usa un túnel cifrado en otra red. Normalmente, las VPN se implementan para
conectar entre sí dos o más redes privadas de confianza a través de una red que no es de confianza
(normalmente, la red pública de Internet). El tráfico se cifra mientras viaja por la red que no es de confianza
para evitar ataques de interceptación o de otro tipo. Las VPN pueden permitir que las redes compartan
información confidencial de forma segura.

Puertas de enlace de VPN

Una puerta de enlace de VPN es un tipo de puerta de enlace de red virtual. Las instancias de Azure VPN
Gateway se implementan en una subred dedicada de la red virtual y permiten la conectividad siguiente:

 Conectar los centros de datos locales a redes virtuales a través de una conexión de sitio a sitio.
 Conectar los dispositivos individuales a redes virtuales a través de una conexión de punto a sitio.
 Conectar las redes virtuales a otras redes virtuales a través de una conexión entre redes.
Todas las transferencias de datos se cifran en un túnel privado mientras atraviesan Internet. Solo se puede
implementar una única instancia de puerta de enlace de VPN en cada red virtual. Sin embargo, se puede usar
una puerta de enlace para conectarse a varias ubicaciones, que incluye otras redes virtuales o centros de datos
locales.

Al implementar una instancia de VPN Gateway, especifique el tipo de red privada virtual, es decir, basada en
directivas o basada en rutas. La principal diferencia entre estos dos tipos de VPN es cómo se especifica el
tráfico que se va a cifrar. En Azure, ambos tipos de puertas de enlace de VPN usan una clave previamente
compartida como único método de autenticación.

 Las instancias de VPN Gateway basadas en directivas especifican de forma estática la dirección IP de los
paquetes que se deben cifrar a través de cada túnel. Este tipo de dispositivo evalúa cada paquete de
datos en función de los conjuntos de direcciones IP para elegir el túnel a través del cual se va a enviar
el paquete.
 En las puertas de enlace basadas en rutas, los túneles IPSec se modelan como una interfaz de red o una
interfaz de túnel virtual. El enrutamiento IP (ya sean rutas estáticas o protocolos de enrutamiento
dinámico) decide cuál de estas interfaces de túnel se va a usar al enviar cada paquete. Las redes
privadas virtuales basadas en rutas son el método preferido para conectar dispositivos locales. Son más
resistentes a los cambios de la topología, como la creación de subredes.
Si necesita alguno de los siguientes tipos de conectividad, use una instancia de VPN Gateway basada en rutas:

 Conexiones entre redes virtuales

 Conexiones de punto a sitio
 Conexiones de varios sitios
 Coexistencia con una puerta de enlace de Azure ExpressRoute

Escenarios de alta disponibilidad

Si va a configurar una VPN para mantener la información segura, también querrá asegurarse de que es una
configuración de VPN de alta disponibilidad y tolerante a errores. Hay varias maneras de maximizar la
resistencia de la puerta de enlace de VPN.

Configuración de activo-en espera

De forma predeterminada, las instancias de VPN Gateway se implementan como dos instancias en una
configuración de activo-en espera, incluso si solo ve un recurso de VPN Gateway en Azure. Cuando el
mantenimiento planeado o la interrupción imprevista afectan a la instancia activa, la instancia en espera asume
de forma automática la responsabilidad de las conexiones sin ninguna intervención del usuario. Durante esta
conmutación por error, las conexiones se interrumpen, pero por lo general se restauran en cuestión de
segundos si se trata del mantenimiento planeado y en un plazo de 90 segundos en el caso de las interrupciones
imprevistas.

Activo/activo
Al incorporar compatibilidad con el protocolo de enrutamiento de BGP, también puede implementar puertas
de enlace VPN en una configuración del tipo activo/activo. En esta configuración, se asigna una IP pública única
a cada instancia. Después, se crean túneles independientes desde el dispositivo local a cada dirección IP. Se
puede ampliar la alta disponibilidad mediante la implementación de un dispositivo VPN local adicional.
Conmutación por error de ExpressRoute
Otra opción de alta disponibilidad consiste en configurar una instancia de VPN Gateway como una ruta segura
de conmutación por error para las conexiones ExpressRoute. Los circuitos ExpressRoute tienen resistencia
integrada. Sin embargo, no son inmunes a los problemas físicos que afectan a los cables que entregan
conectividad ni a las interrupciones que afectan a la ubicación completa de ExpressRoute. En escenarios de alta
disponibilidad, en los que existe un riesgo asociado a una interrupción de un circuito ExpressRoute, también
puede aprovisionar una instancia de VPN Gateway que usa Internet como un método alternativo de
conectividad. De este modo, puede garantizar que siempre haya una conexión a las redes virtuales.

Puertas de enlace con redundancia de zona

En las regiones que admiten zonas de disponibilidad, se pueden implementar puertas de enlace VPN y
ExpressRoute en una configuración con redundancia de zona. Esta configuración aporta una mayor
disponibilidad, escalabilidad y resistencia a las puertas de enlace de red virtual. Implementar puertas de enlace
en Azure Availability Zones separa de forma física y lógica las puertas de enlace dentro de una región, al mismo
tiempo que protege la conectividad de red local en Azure de errores de nivel de zona. Estas puertas de enlace
requieren diferentes SKU de puerta de enlace y usan direcciones IP públicas estándar en lugar de direcciones IP
públicas básicas.

Describir Azure ExpressRoute

ExpressRoute le permite ampliar las redes locales a la nube de Microsoft mediante una conexión privada con la
ayuda de un proveedor de conectividad. Esta conexión se denomina circuito ExpressRoute. Con ExpressRoute,
puede establecer conexiones con servicios en la nube de Microsoft, como Microsoft Azure y Microsoft 365.
Esto le permite conectar oficinas, centros de datos u otras instalaciones a la nube de Microsoft. Cada ubicación
tendría su propio circuito ExpressRoute.

La conectividad puede ser desde una red de conectividad universal (IP VPN), una red Ethernet de punto a
punto o una conexión cruzada virtual a través de un proveedor de conectividad en una instalación de ubicación
compartida. Las conexiones de ExpressRoute no pasan por la red pública de Internet. Esto permite a las
conexiones de ExpressRoute ofrecer más confiabilidad, más velocidad, latencia coherentes y mayor seguridad
que las conexiones normales a través de Internet.

Características y ventajas de ExpressRoute

El uso de ExpressRoute como servicio de conexión entre Azure y las redes locales tiene varias ventajas.

 Conectividad de servicios en la nube de Microsoft en todas las regiones dentro de la región geopolítica.
 Conectividad global a los servicios de Microsoft en todas las regiones con Global Reach de
ExpressRoute.
 Enrutamiento dinámico entre la red y Microsoft a través del Protocolo de puerta de enlace de borde
(BGP).
 Redundancia integrada en todas las ubicaciones de configuración entre pares para una mayor
confiabilidad.

Conectividad con los Servicios en la nube de Microsoft

ExpressRoute permite el acceso directo a los siguientes servicios en todas las regiones:

 Microsoft Office 365

 Microsoft Dynamics 365
 Servicios de proceso de Azure, como Azure Virtual Machines
 Servicios en la nube de Azure, como Azure Cosmos DB y Azure Storage

Conectividad global
Puede permitir que Global Reach de ExpressRoute intercambie datos entre los sitios locales si conecta los
diferentes circuitos ExpressRoute. Por ejemplo, supongamos que tiene una oficina en Asia y un centro de datos
en Europa, ambos con circuitos ExpressRoute que los conectan a la red de Microsoft. Puede usar Global Reach
de ExpressRoute para conectar esas dos instalaciones, lo que les permite comunicarse sin transferir datos a
través de la red pública de Internet.
Enrutamiento dinámico
ExpressRoute usa el BGP. BGP se usa para intercambiar rutas entre las redes locales y los recursos que se
ejecutan en Azure. Este protocolo permite el enrutamiento dinámico entre la red local y los servicios que se
ejecutan en la nube de Microsoft.

Redundancia integrada
Cada proveedor de conectividad usa dispositivos redundantes para garantizar que las conexiones establecidas
con Microsoft tengan alta disponibilidad. Puede configurar varios circuitos para complementar esta
característica.

Modelos de conectividad de ExpressRoute

ExpressRoute admite cuatro modelos que puede usar para conectar la red local con la nube de Microsoft:

 Ubicación de CloudExchange
 Conexión Ethernet de punto a punto
 Conexión universal
 Directamente desde sitios de ExpressRoute

Ubicación compartida en un intercambio en la nube

La ubicación conjunta hace referencia al centro de datos, la oficina u otras instalaciones que se encuentran
físicamente en un intercambio en la nube, como un ISP. Si la instalación tiene la ubicación compartida en un
intercambio en la nube, puede solicitar una conexión cruzada virtual a la nube de Microsoft.

Conexión Ethernet de punto a punto

La conexión Ethernet de punto a punto hace referencia al uso de una conexión punto a punto para conectar la
instalación a la nube de Microsoft.

Redes universales
Con la conectividad universal, puede integrar la red de área extensa (WAN) con Azure si proporciona
conexiones a las oficinas y los centros de datos. Azure se integra con la conexión WAN para proporcionarle una
conexión, como la que tendría entre el centro de datos y las sucursales.

Directamente desde sitios de ExpressRoute

Puede conectarse directamente a la red global de Microsoft en una ubicación de emparejamiento distribuida
estratégicamente por todo el mundo. ExpressRoute Direct proporciona conectividad dual de 100 Gbps o 10
Gbps, que es compatible con la conectividad activa/activa a escala.

Consideraciones sobre la seguridad

Con ExpressRoute los datos no viajan a través de la red pública de Internet y, por tanto, no se exponen a los
posibles riesgos asociados a las comunicaciones de Internet. ExpressRoute es una conexión privada de la
infraestructura local a la infraestructura de Azure. Incluso si tiene una conexión ExpressRoute, las consultas de
DNS, la comprobación de la lista de revocación de certificados y las solicitudes de Azure Content Delivery
Network se siguen enviando a través de la red pública de Internet.

Describir Azure DNS

Azure DNS es un servicio de hospedaje para dominios DNS que ofrece resolución de nombres mediante la
infraestructura de Microsoft Azure. Al hospedar dominios en Azure, puede administrar los registros DNS con las
mismas credenciales, API, herramientas y facturación que con los demás servicios de Azure.

Ventajas de Azure DNS

Azure DNS saca provecho del ámbito y la escala de Microsoft Azure para proporcionar numerosas ventajas,
incluidas las siguientes:

 Confiabilidad y rendimiento
 Seguridad
 Facilidad de uso
 Redes virtuales personalizables
 Registros de alias
Confiabilidad y rendimiento
Los dominios DNS de Azure DNS se hospedan en la red global de servidores de nombres DNS de Azure, y
proporcionan resistencia y alta disponibilidad. Azure DNS usa redes de difusión por proximidad para que el
servidor DNS más próximo disponible responda a cada consulta de DNS para proporcionar un mejor
rendimiento y una mayor disponibilidad para el dominio.

Seguridad
Azure DNS se basa en Azure Resource Manager, que proporciona características tales como:

 Control de acceso basado en rol de Azure (Azure RBAC) para controlar quién accede a acciones
específicas en la organización.
 Registros de actividad: para supervisar cómo un usuario de su organización modificó un recurso o para
encontrar errores al solucionar problemas.
 Bloqueo de recursos para bloquear una suscripción, un grupo de recursos o un recurso. Los bloqueos
impiden que otros usuarios de la organización eliminen o modifiquen de forma accidental recursos
críticos.

Facilidad de uso
Azure DNS puede administrar registros DNS para los servicios de Azure y también proporciona el servicio de
nombres de dominio para los recursos externos. Azure DNS está integrado en Azure Portal y usa las mismas
credenciales, la misma facturación y el mismo contrato de soporte técnico que los demás servicios de Azure.

Como Azure DNS se ejecuta en Azure, significa que puede administrar los dominios y registros con Azure Portal,
cmdlets de Azure PowerShell y la CLI de Azure multiplataforma. Las aplicaciones que requieren la
administración automática de DNS se pueden integrar con el servicio mediante las API REST y los SDK.

Redes virtuales personalizables con dominios privados

Azure DNS es compatible con dominios DNS privados. Esta característica permite usar nombres de dominio
personalizados propios en las redes virtuales privadas, en lugar de limitarse a los nombres proporcionados por
Azure.

Registros de alias
Azure DNS también admite conjuntos de registros de alias. Puede usar un conjunto de registros de alias que
haga referencia a un recurso de Azure, como una dirección IP pública de Azure, un perfil de Azure Traffic
Manager o un punto de conexión de Azure Content Delivery Network (CDN). Si cambia la dirección IP del
recurso subyacente, el conjunto de registros de alias se actualiza sin problemas durante la resolución DNS. El
conjunto de registros de alias apunta a la instancia de servicio, y la instancia de servicio está asociada con una
dirección IP.

Importante No se puede usar Azure DNS para comprar un nombre de dominio. Por una tarifa anual, puede
comprar un nombre de dominio mediante dominios de App Service o un registrador de nombres de dominio de
terceros. Después de comprarlos, los dominios se pueden hospedar en Azure DNS para la administración de
registros.

Descripción de las cuentas de almacenamiento de Azure

Una cuenta de almacenamiento proporciona un espacio de nombres único para los datos de Azure Storage al
que se puede acceder desde cualquier lugar del mundo a través de HTTP o HTTPS. Los datos de esta cuenta son
seguros, de alta disponibilidad, duraderos y escalables de forma masiva.

Al crear la cuenta de almacenamiento, primero seleccionará el tipo de cuenta de almacenamiento. El tipo de

cuenta determina los servicios de almacenamiento y las opciones de redundancia, y afecta a los casos de uso. A
continuación se muestra una lista de opciones de redundancia que se describirán más adelante en este
módulo:

 Almacenamiento con redundancia local (LRS)

 Almacenamiento con redundancia geográfica (GRS)
 Almacenamiento con redundancia geográfica con acceso de lectura (RA-GRS).
 Almacenamiento con redundancia de zona (ZRS)
 Almacenamiento con redundancia de zona geográfica (GZRS)
 Almacenamiento con redundancia de zona geográfica con acceso de lectura (RA-GZRS)
Puntos de conexión de cuenta de almacenamiento
Una de las ventajas de usar una cuenta de Azure Storage es tener un espacio de nombres único en Azure para
los datos. Para ello, todas las cuentas de almacenamiento de Azure deben tener un nombre de cuenta único en
Azure. La combinación del nombre de la cuenta y el punto de conexión del servicio de Azure Storage forma los
puntos de conexión de su cuenta de almacenamiento.

Cuando especifique un nombre para la cuenta de almacenamiento, tenga en cuenta estas reglas:

 Los nombres de las cuentas de almacenamiento deben tener entre 3 y 24 caracteres, y solo pueden
incluir números y letras en minúscula.
 El nombre de la cuenta de almacenamiento debe ser único dentro de Azure. No puede haber dos
cuentas de almacenamiento con el mismo nombre. Esto admite la capacidad de tener un espacio de
nombres único y accesible en Azure.
En la tabla siguiente se muestra el formato de punto de conexión para los servicios de Azure Storage.

Descripción de la redundancia de almacenamiento de Azure

Azure Storage siempre almacena varias copias de los datos, con el fin de protegerlos de eventos planeados y no
planeados, lo que incluye errores transitorios del hardware, interrupciones del suministro eléctrico o cortes de
la red, y desastres naturales. La redundancia garantiza que la cuenta de almacenamiento cumple sus objetivos
de disponibilidad y durabilidad, aunque se produzcan errores.
A la hora de decidir qué opción de redundancia es la más adecuada para su escenario, intente buscar un
equilibrio entre bajo costo y alta disponibilidad. Entre los factores que ayudan a determinar qué opción de
redundancia debe elegir se incluye:

 Cómo se replican los datos en la región primaria.

 Si los datos se replican en una segunda ubicación que está alejada geográficamente de la región
primaria, para protegerse frente a desastres regionales.
 Si la aplicación necesita acceso de lectura a los datos replicados en la región secundaria en caso de que
la región primaria deje de estar disponible.
Redundancia en la región primaria
Los datos de una cuenta de Azure Storage siempre se replican tres veces en la región primaria. Azure Storage
ofrece dos opciones para replicar los datos en la región primaria, el almacenamiento con redundancia local
(LRS) y el almacenamiento con redundancia de zona (ZRS).

Almacenamiento con redundancia local

El almacenamiento con redundancia local (LRS) replica los datos tres veces dentro de un único centro de datos
en la región primaria. LRS ofrece una durabilidad mínima de 11 nueves (99,999999999 %) de los objetos en un
año determinado.

Diagrama en el que se muestra la estructura usada para el almacenamiento con redundancia local.

LRS es la opción de redundancia de costo más bajo y ofrece la menor durabilidad en comparación con otras
opciones. LRS protege los datos frente a errores en la estantería de servidores y en la unidad. No obstante, si se
produce un desastre como un incendio o una inundación en el centro de datos, es posible que todas las
réplicas de una cuenta de almacenamiento con LRS se pierdan o no se puedan recuperar. Para mitigar este
riesgo, Microsoft recomienda el uso del almacenamiento con redundancia de zona (ZRS), el almacenamiento
con redundancia geográfica (GRS) o el almacenamiento con redundancia de zona geográfica (GZRS).

Almacenamiento con redundancia de zona

Para las regiones con zona de disponibilidad habilitada, el almacenamiento con redundancia de zona (ZRS)
replica los datos de Azure Storage sincrónicamente en tres zonas de disponibilidad de Azure en la región
primaria. ZRS proporciona a los objetos de datos de Azure Storage una durabilidad de al menos 12 nueves
(99,9999999999 %) durante un año determinado.
Diagrama en el que se muestra ZRS, con una copia de los datos almacenados en cada una de las tres zonas de
disponibilidad.

Con ZRS, los datos son accesibles para las operaciones de escritura y lectura incluso si una zona deja de estar
disponible. No es necesario volver a montar los recursos compartidos de archivos de Azure de los clientes
conectados. Si alguna zona deja de estar disponible, Azure realiza las actualizaciones de la red, como el
redireccionamiento de DNS. Estas actualizaciones pueden afectar a la aplicación si se accede a los datos antes
de que se completen dichas actualizaciones.

Microsoft recomienda usar ZRS en la región primaria para escenarios que requieren de alta disponibilidad.
También se recomienda ZRS para restringir la replicación de datos dentro de un país o región para cumplir los
requisitos de gobernanza de datos.

Redundancia en una región secundaria

En el caso de las aplicaciones que requieren de alta durabilidad, puede optar por copiar los datos de la cuenta
de almacenamiento en una región secundaria que esté a cientos de kilómetros de distancia de la región
primaria. Si los datos de la cuenta de almacenamiento se copian en una región secundaria, los datos serán
duraderos incluso en caso de un error catastrófico que impida que se recuperen los datos de la región primaria.

Al crear una cuenta de almacenamiento, seleccione la región principal de la cuenta. La región secundaria
emparejada se determina en función de los Pares de regiones de Azure y no se puede cambiar.

Azure Storage ofrece dos opciones para copiar los datos en una región secundaria: almacenamiento con
redundancia geográfica (GRS) y almacenamiento con redundancia de zona geográfica (GZRS). GRS es similar a
ejecutar LRS en dos regiones, y GZRS es similar a ejecutar ZRS en la región primaria y LRS en la región
secundaria.

De manera predeterminada, los datos de la región secundaria no están disponibles para el acceso de lectura o
escritura a menos que haya una conmutación por error a la región secundaria. Si la región primaria deja de
estar disponible, puede conmutar por error a la región secundaria. Una vez completada la conmutación por
error, la región secundaria se convierte en la región primaria y se pueden leer y escribir datos de nuevo.

Importante Dado que los datos se replican en la región secundaria de forma asincrónica, un error que afecte a
la región primaria puede producir la pérdida de datos si no se puede recuperar dicha región. El intervalo entre
las escrituras más recientes en la región primaria y la última escritura en la región secundaria se conoce como
objetivo de punto de recuperación (RPO). El RPO indica momento concreto en que se pueden recuperar los
datos. Normalmente, Azure Storage tiene un RPO inferior a 15 minutos, aunque actualmente no hay ningún
contrato de nivel de servicio sobre el tiempo que se tarda en replicar los datos en la región secundaria.

Almacenamiento con redundancia geográfica

GRS copia los datos de manera sincrónica tres veces dentro de una ubicación física única en la región primaria
mediante LRS. Luego copia los datos de forma asincrónica en una única ubicación física en la región secundaria
(el par de regiones) mediante LRS. GRS proporciona a los objetos de datos de Azure Storage una durabilidad de
al menos 16 nueves (99,99999999999999 %) durante un año determinado.

Diagrama en el que se muestra GRS, con el LRS de la región primaria replicando datos al LRS en una segunda
región.
Almacenamiento con redundancia de zona geográfica
GZRS combina la alta disponibilidad que proporciona la redundancia entre zonas de disponibilidad con la
protección frente a interrupciones regionales que proporciona la replicación geográfica. Los datos de una
cuenta de almacenamiento de GZRS se almacenan en tres zonas de disponibilidad de Azure en la región
primaria (de manera similar a ZRS) y también se replican en una región geográfica secundaria para protegerlos
frente a desastres regionales. Microsoft recomienda el uso de GZRS en aplicaciones que requieran de
coherencia, durabilidad y disponibilidad máximas, además de rendimiento excelente y resistencia para la
recuperación ante desastres.

Diagrama en el que se muestra GZRS, con el ZRS de la región primaria replicando datos al LRS en una segunda
región.

GZRS está diseñado para proporcionar una durabilidad mínima de 16 nueves (99,99999999999999 %) de los
objetos en un año determinado.

Acceso de lectura a los datos de la región secundaria

El almacenamiento con redundancia geográfica (con GRS o GZRS) replica los datos en otra ubicación física de la
región secundaria para protegerlos frente a los apagones regionales. Sin embargo, los datos están disponibles
para su lectura solo si el cliente o Microsoft inician una conmutación por error de la región primaria a la
secundaria. Sin embargo, si habilita el acceso de lectura a la región secundaria, los datos siempre están
disponibles, incluso cuando la región primaria se ejecuta de forma óptima. Para obtener acceso de lectura a la
región secundaria, habilite el almacenamiento con redundancia geográfica con acceso de lectura (RA-GRS) o el
almacenamiento con redundancia de zona geográfica con acceso de lectura (RA-GZRS).

Importante Recuerde que es posible que los datos de la región secundaria no estén actualizados debido al
RPO.

Descripción de los servicios de almacenamiento de Azure

La plataforma de Azure Storage incluye los servicios de datos siguientes:

 Blobs de Azure: un almacén de objetos que se puede escalar de forma masiva para datos de texto y
binarios. También incluye compatibilidad con el análisis de macrodatos a través de Data Lake Storage
Gen2.
 Azure Files: recursos compartidos de archivos administrados para implementaciones locales y en la
nube.
 Colas de Azure: un almacén de mensajería para mensajería confiable entre componentes de aplicación.
 Azure Disks: volúmenes de almacenamiento en el nivel de bloque para máquinas virtuales de Azure.
Ventajas de Azure Storage
Los servicios de Azure Storage ofrecen las siguientes ventajas para desarrolladores de aplicaciones y
profesionales de TI:

 Duradero y altamente disponible. La redundancia garantiza que los datos estén seguros en caso de
producirse errores de hardware transitorios. También puede optar por replicar datos entre centros de
datos o regiones geográficas para obtener protección adicional frente a catástrofes locales o desastres
 naturales. Los datos replicados de esta manera permanecen con una alta disponibilidad en caso de que
se produzca una interrupción inesperada.
 Seguro. Todos los datos escritos en una cuenta de Azure Storage se cifran mediante el servicio. Azure
Storage proporciona un control pormenorizado sobre quién tiene acceso a los datos.
 Escalable. Azure Storage está diseñado para poderse escalar de forma masiva para satisfacer las
necesidades de rendimiento y almacenamiento de datos de las aplicaciones de hoy en día.
 Administrado. Azure controla automáticamente el mantenimiento, las actualizaciones y los problemas
críticos del hardware.
 Accesible. Es posible acceder a los datos de Azure Storage desde cualquier parte del mundo a través de
HTTP o HTTPS. Microsoft proporciona bibliotecas cliente para Azure Storage en diversos lenguajes,
incluidos .NET, Java, Node.js, Python, PHP, Ruby, Go y otros, así como una API REST consolidada. Azure
Storage admite la escritura en Azure PowerShell o la CLI de Azure. Y Azure Portal y el Explorador de
Azure Storage ofrecen soluciones visuales sencillas para trabajar con los datos.
Blob Storage
Azure Blob Storage es una solución de almacenamiento de objetos para la nube. Puede almacenar grandes
cantidades de datos, como datos de texto o binarios. Azure Blob Storage es no estructurado, lo que significa
que no hay ninguna restricción en cuanto a los tipos de datos que puede contener. Blob Storage puede
administrar miles de cargas simultáneas, cantidades enormes de datos de vídeo, archivos de registro en
constante crecimiento y es accesible desde cualquier lugar con conexión a Internet.

Los blobs no están limitados a formatos de archivo comunes. Un blob podría contener gigabytes de datos
binarios transmitidos desde un instrumento científico, un mensaje cifrado para otra aplicación o datos en un
formato personalizado para una aplicación que se está desarrollando. Una ventaja del almacenamiento en
blobs con respecto al almacenamiento en disco es que no requiere que los desarrolladores piensen en discos o
los administren. Los datos se cargan como blobs y Azure se encarga de las necesidades de almacenamiento
físico.

Blob Storage resulta muy conveniente para lo siguiente:

 Visualización de imágenes o documentos directamente en un explorador.

 Almacenamiento de archivos para acceso distribuido.
 Streaming de audio y vídeo.
 Almacenamiento de datos para copia de seguridad y restauración, recuperación ante desastres y
archivado.
 Almacenamiento de datos para el análisis en local o en un servicio hospedado de Azure.
Acceso a Blob Storage
Se puede acceder a los objetos de Blob Storage desde cualquier lugar del mundo a través de HTTP o HTTPS. Los
usuarios o las aplicaciones cliente pueden acceder a los blobs mediante direcciones URL, la API REST de Azure
Storage, Azure PowerShell, la CLI de Azure o una biblioteca cliente de Azure Storage. Las bibliotecas de cliente
de almacenamiento están disponibles para varios lenguajes, como .NET, Java, Node.js, Python, PHP y Ruby.

Niveles de Blob Storage

Los datos almacenados en la nube pueden crecer a un ritmo exponencial. Para administrar los costos de las
crecientes necesidades de almacenamiento, resulta útil organizar los datos en función de atributos como la
frecuencia de acceso y el período de retención planeada. Los datos almacenados en la nube se pueden
controlar de forma distinta según la forma en que se generan, se procesan y se accede a ellos a lo largo de su
vigencia. A algunos datos se accede y se modifican activamente a lo largo de su duración. A algunos datos se
accede con frecuencia al principio de su duración, mientras que el acceso cae drásticamente a medida que
envejecen los datos. Algunos datos permanecen inactivos en la nube y, después de que se almacenan, no se
accede a ellos prácticamente nunca. Para dar cabida a estas diferentes necesidades de acceso, Azure
proporciona varios niveles de acceso, que puede usar para equilibrar los costos de almacenamiento con sus
necesidades de acceso.

Azure Storage ofrece diferentes niveles de acceso para el almacenamiento de blobs, lo que le ayuda a
almacenar datos de objetos de la manera más rentable. Entre los niveles de acceso disponibles se incluyen:

 Nivel de acceso frecuente: optimizado para almacenar datos a los que se accede con frecuencia (por
ejemplo, imágenes para el sitio web).
 Nivel de acceso esporádico: optimizado para datos a los que se accede con poca frecuencia y que se
almacenan al menos durante 30 días (por ejemplo, las facturas de los clientes).
  Nivel de acceso de archivo: conveniente para datos a los que raramente se accede y que se almacenan
durante al menos 180 días con requisitos de latencia flexibles (por ejemplo, copias de seguridad a largo
plazo).
Las siguientes consideraciones se aplican a los distintos niveles de acceso:

 Solo los niveles de acceso frecuente y esporádico se pueden establecer en el nivel de cuenta. El nivel
de acceso de archivo no está disponible en el nivel de cuenta.
 Los niveles frecuente, esporádico y de archivo se pueden establecer en el nivel de blob durante la carga
o después de esta.
 Los datos del nivel de acceso esporádico pueden tolerar una disponibilidad ligeramente inferior, pero
aun así requieren una gran durabilidad, una latencia de recuperación y unas características de
rendimiento similares a las de los datos de acceso frecuente. En el caso de los datos de acceso
esporádico, un contrato de nivel de servicio (SLA) con una disponibilidad ligeramente inferior y unos
costos de acceso mayores, en comparación con los datos de acceso frecuente, es aceptable a cambio
de unos costos de almacenamiento menores.
 El almacenamiento de archivo almacena datos sin conexión y ofrece los menores costos de
almacenamiento, pero los mayores costos de acceso y rehidratación de datos.
Azure Files
Azure Files ofrece recursos compartidos de archivos totalmente administrados en la nube a los que se puede
acceder mediante los protocolos SMB (Bloque de mensajes del servidor) o NFS (Network File System) estándar
del sector. Los recursos compartido de archivos de Azure Files se pueden montar simultáneamente mediante
implementaciones locales o en la nube. A los recursos compartidos de archivos SMB de Azure se puede acceder
desde clientes Windows, Linux y macOS. A los recursos compartidos de archivos NFS de Azure Files se puede
acceder desde clientes Linux y macOS. Además, los recursos compartidos de archivos SMB de Azure Files se
pueden almacenar en la caché de los servidores de Windows Server con Azure File Sync, lo que permite un
acceso rápido allí donde se utilizan los datos.

Ventajas clave de Azure Files:

 Acceso compartido: los recursos compartidos de Azure Files admiten los protocolos SMB y NFS
estándar del sector, lo que significa que puede reemplazar perfectamente los recursos compartidos de
archivos en local por recursos compartidos de archivos de Azure sin preocuparse de compatibilidad de
aplicaciones.
 Totalmente administrado: los recursos compartidos de Azure Files pueden crearse sin necesidad de
administrar ni el hardware ni un sistema operativo. Esto significa que no tiene que tratar con la
aplicación de actualizaciones de seguridad críticas en el sistema operativo del servidor ni ocuparse de
reemplazar discos duros defectuosos.
 Scripts y herramientas: se pueden usar cmdlets de PowerShell y la CLI de Azure para crear, montar y
administrar recursos compartidos de archivos de Azure como parte de la administración de las
aplicaciones de Azure. Los recursos compartidos de archivos de Azure se pueden crear y administrar
mediante Azure Portal y el Explorador de Azure Storage.
 Resistencia: Azure Files se creó desde sus orígenes para estar siempre disponible. Reemplazar los
recursos compartidos de archivos en el entorno local por Azure Files significa que ya no tendrá que
levantarse en mitad de la noche para tratar con problemas de red o interrupciones del suministro
eléctrico local.
 Capacidad de programación intuitiva: las aplicaciones que se ejecutan en Azure pueden tener acceso a
los datos en el recurso compartido mediante las API de E/S del sistema de archivos. Por tanto, los
desarrolladores pueden aprovechar el código y los conocimientos que ya tienen para migrar las
aplicaciones actuales. Además de las API de E/S del sistema, puede usar las Bibliotecas de cliente de
Azure Storage o la API de REST de Azure Storage.
Queue Storage
Azure Queue Storage es un servicio para almacenar grandes cantidades de mensajes, Una vez que están
almacenados, se puede acceder a los mensajes desde cualquier lugar del mundo mediante llamadas
autenticadas con HTTP o HTTPS. Una cola puede contener tantos mensajes como el espacio que tenga la
cuenta de almacenamiento (pueden ser millones). Cada mensaje individual de la cola puede llegar a tener un
tamaño máximo de 64 KB. Las colas se utilizan normalmente para crear un trabajo pendiente del trabajo que se
va a procesar de forma asincrónica.

Queue Storage se puede combinar con funciones de proceso como Azure Functions para realizar una acción
cuando se recibe un mensaje. Por ejemplo, supongamos que quiere realizar una acción después de que un
cliente cargue un formulario en el sitio web. Podría hacer que el botón enviar en el sitio web desencadene un
mensaje en Queue Storage. Después, podría usar Azure Functions para desencadenar una acción una vez
recibido el mensaje.

Disk Storage
El almacenamiento en disco o los discos administrados de Azure son volúmenes de almacenamiento de nivel de
bloque que administra Azure para su uso con máquinas virtuales de Azure. Conceptualmente, son iguales que
un disco físico, pero están virtualizados, lo que ofrece mayor resistencia y disponibilidad que un disco físico.
Con los discos administrados, lo único que debe hacer es aprovisionar el disco; Azure se encargará del resto.

Identificación de las opciones de migración de datos de Azure

Ahora que comprende las distintas opciones de almacenamiento dentro de Azure, es importante comprender
también cómo obtener los datos y la información en Azure. Azure admite la migración en tiempo real de la
infraestructura, las aplicaciones y los datos mediante Azure Migrate, así como la migración asincrónica de datos
mediante Azure Data Box.

Azure Migrate
Azure Migrate es un servicio que le ayuda a migrar desde un entorno local a la nube. Azure Migrate funciona
como centro para ayudarle a administrar la valoración y la migración del centro de datos local a Azure. Ofrece
lo siguiente:

 Plataforma de migración unificada: un único portal para iniciar, ejecutar y realizar un seguimiento de la
migración a Azure.
 Rango de herramientas: Rango de herramientas para la evaluación y migración Las herramientas de
Azure Migrate incluyen Azure Migrate: Discovery y assessment y Azure Migrate: Server Migration.
Azure Migrate también se integra con otros servicios y herramientas de Azure, así como con ofertas de
proveedores de software independientes (ISV).
 Assessment and migration (Evaluación y migración): en el centro de Azure Migrate, puede evaluar y
migrar la infraestructura local a Azure.
Herramientas integradas
Además de trabajar con herramientas de ISV, el centro de Azure Migrate también incluye las siguientes
herramientas para ayudar con la migración:

 Azure Migrate: Discovery and assessment (Azure Migrate: detección y evaluación). Detecte y evalúe
servidores locales que se ejecutan en VMware, Hyper-V y servidores físicos para preparar la migración
a Azure.
 Azure Migrate: Server Migration (Azure Migrate: migración del servidor). Migre máquinas virtuales de
VMware, máquinas virtuales de Hyper-V, servidores físicos, otros servidores virtualizados y máquinas
virtuales de la nube pública a Azure.
 Data Migration Assistant. Data Migration Assistant es una herramienta independiente para evaluar
servidores de SQL Server. Ayuda a identificar posibles problemas que bloquean la migración. Identifica
características no admitidas, nuevas características que puede aprovechar después de la migración y la
ruta de acceso correcta para la migración de la base de datos.
 Azure Database Migration Service. Migre bases de datos locales a máquinas virtuales de Azure en las
que se ejecutan SQL Server, Azure SQL Database o instancias administradas de SQL.
 Web app migration assistant (Asistente de migración de aplicación web). Azure App Service Migration
Assistant es una herramienta independiente para evaluar sitios web locales para la migración a Azure
App Service. Use Migration Assistant para migrar aplicaciones web de .NET y PHP a Azure.
 Azure Data Box. Use los productos de Azure Data Box para trasladar grandes cantidades de datos sin
conexión a Azure.
Azure Data Box
Azure Data Box es un servicio de migración física que ayuda a transferir grandes cantidades de datos de forma
rápida, económica y confiable. La transferencia de datos segura se acelera mediante el envío de un dispositivo
de almacenamiento propietario de Data Box que tiene una capacidad de almacenamiento utilizable máxima de
80 terabytes. Data Box se transporta hacia y desde el centro de datos a través de un transportista regional. Una
caja resistente asegura y protege Data Box de daños durante el trayecto.

Puede pedir el dispositivo Data Box a través de Azure Portal para importar o exportar datos desde Azure. Una
vez recibido el dispositivo, puede configurarlo rápidamente mediante la interfaz de usuario web local y
conectarlo a la red. Una vez que haya terminado de transferir los datos (ya sea dentro o fuera de Azure),
simplemente devuelva Data Box. Si va a transferir datos a Azure, los datos se cargan de forma automática una
vez que Microsoft vuelve a recibir Data Box. El servicio de Data Box se encarga de realizar el seguimiento de
todo el proceso en Azure Portal.

Casos de uso
Data Box es ideal para transferir tamaños de datos con más de 40 TB en escenarios sin conectividad de red
limitada. El movimiento de datos puede ser único, periódico o una transferencia de datos masiva inicial seguida
de transferencias periódicas.

Estos son los distintos escenarios donde se puede usar Data Box para importar datos en Azure.

 Migración única: cuando se mueve gran cantidad de datos locales a Azure.

 Traslade una biblioteca multimedia de cintas sin conexión a Azure para crear una biblioteca multimedia
en línea.
 Migre la granja de máquinas virtuales, SQL Server y las aplicaciones a Azure.
 Traslade los datos históricos a Azure para un análisis exhaustivo y generar informes con HDInsight.
 Transferencia masiva inicial: cuando se realiza una transferencia masiva inicial con Data Box
(inicialización) seguida de transferencias incrementales a través de la red.
 Cargas periódicas: cuando se genera periódicamente una gran cantidad de datos y es necesario
moverlos a Azure.
Estos son los distintos escenarios donde se puede usar Data Box para exportar datos a Azure.

 Recuperación ante desastres: cuando se restaura una copia de los datos de Azure en una red local. En
un escenario de recuperación ante desastres habitual, se exporta una gran cantidad de datos de Azure
se exporta a Data Box. Microsoft luego los envía a Data Box y, en poco tiempo, los datos se restauran
en un entorno local.
 Requisitos de seguridad: cuando necesita poder exportar datos de Azure debido a los requisitos de
seguridad o de la administración pública.
 Migración de vuelta al entorno local o a otro proveedor de servicios en la nube: cuando quiera mover
todos los datos de vuelta al entorno local o a otro proveedor de servicios en la nube, exporte los datos
a través de Data Box para migrar las cargas de trabajo.
Una vez que los datos del pedido de importación se cargan en Azure, los discos del dispositivo se limpian,
según las normas NIST 800-88r1. Si el pedido es de exportación, los discos se borran una vez que el dispositivo
llega al centro de datos de Azure.

Identificación de las opciones de movimiento de archivos de Azure

Además de la migración a gran escala mediante servicios como Azure Migrate y Azure Data Box, Azure también
tiene herramientas diseñadas para ayudarle a mover o interactuar con archivos individuales o grupos de
archivos pequeños. Entre esas herramientas se encuentran AzCopy, Explorador de Azure Storage y Azure File
Sync.

AzCopy
AzCopy es una utilidad de línea de comandos que puede usar para copiar blobs o archivos a una cuenta de
almacenamiento o desde una cuenta de almacenamiento. Con AzCopy, puede copiar archivos entre cuentas de
almacenamiento, cargarlos, descargarlos e incluso sincronizarlos. AzCopy incluso se puede configurar para
trabajar con otros proveedores de nube para ayudar a mover archivos entre nubes.

Importante La sincronización de blobs o archivos con AzCopy es una sincronización unidireccional. Al

sincronizar, designó el origen y el destino, y AzCopy copiará archivos o blobs en esa dirección. No se sincroniza
bidireccionalmente en función de las marcas de tiempo u otros metadatos.

Explorador de Azure Storage

Explorador de Azure Storage es una aplicación independiente que proporciona una interfaz gráfica para
administrar archivos y blobs en la cuenta de Azure Storage. Funciona en sistemas operativos Windows, macOS
y Linux y usa AzCopy en el back-end para realizar todas las tareas de administración de archivos y blobs. Con
Explorador de Storage, puede cargar en Azure, descargar desde Azure o moverse entre cuentas de
almacenamiento.

Azure File Sync

Azure File Sync es una herramienta que permite centralizar los archivos compartidos en Azure Files y mantener
la flexibilidad, el rendimiento y la compatibilidad de un servidor de archivos de Windows. Es casi como
convertir el servidor de archivos de Windows en una red de entrega de contenido en miniatura. Una vez que
instale Azure File Sync en el servidor local de Windows, se mantendrá sincronizado bidireccionalmente con los
archivos en Azure de forma automática.

Con Azure File Sync, puede:

 Usar cualquier protocolo disponible en Windows Server para acceder a sus datos de forma local, como
SMB, NFS y FTPS.
 Tener todas las cachés que necesite en todo el mundo.
 Reemplazar un servidor local con errores instalando Azure File Sync en un nuevo servidor del mismo
centro de datos.
 Configurar la nube por niveles para que los archivos a los que se accede con más frecuencia se
repliquen localmente, mientras que los archivos a los que se accede con poca frecuencia se mantienen
en la nube hasta que se soliciten.

Descripción de los servicios de directorio de Azure

Azure Active Directory (Azure AD) es un servicio de directorio que le permite iniciar sesión y acceder tanto a las
aplicaciones en la nube de Microsoft como a las aplicaciones en la nube que desarrolle. Azure AD también
puede ayudarle a mantener la implementación de Active Directory local.

En el caso de los entornos locales, Active Directory ejecutado en Windows Server proporciona un servicio de
administración de acceso e identidades que administra su organización. Azure AD es un servicio de
administración de acceso e identidades basado en la nube de Microsoft. Con Azure AD, usted controla las
cuentas de identidad, pero Microsoft garantiza que el servicio esté disponible globalmente. Si ya ha trabajado
con Active Directory, Azure AD le resultará familiar.

Si protege las identidades de forma local con Active Directory, Microsoft no supervisa los intentos de inicio de
sesión. Si conecta Active Directory con Azure AD, Microsoft puede detectar intentos de inicio de sesión
sospechosos para ayudarle a proteger su entorno sin costo adicional. Por ejemplo, Azure AD puede detectar
intentos de inicio de sesión desde ubicaciones inesperadas o dispositivos desconocidos.

¿Quién usa Azure AD?

Azure AD es para:

 Administradores de TI. Los administradores pueden usar Azure AD para controlar el acceso a las
aplicaciones y los recursos en función de sus requisitos empresariales.
 Desarrolladores de aplicaciones. Con Azure AD, los desarrolladores pueden agregar funcionalidad a las
aplicaciones que compilan mediante un enfoque basado en estándares. Por ejemplo, pueden agregar
funcionalidad de SSO a una aplicación o habilitar una aplicación para que funcione con las credenciales
existentes de un usuario.
 Usuarios. Los usuarios pueden administrar sus identidades y realizar acciones de mantenimiento como
el autoservicio de restablecimiento de contraseña.
 Suscriptores de servicios en línea. Los suscriptores de Microsoft 365, Microsoft Office 365, Azure y
Microsoft Dynamics CRM Online ya usan Azure AD para autenticarse en su cuenta.
¿Qué hace Azure AD?
Azure AD proporciona servicios como:

 Autenticación: esto incluye la comprobación de la identidad para acceder a aplicaciones y recursos.

También incluye funciones como el autoservicio de restablecimiento de contraseña, la autenticación
multifactor, una lista personalizada de contraseñas prohibidas y servicios de bloqueo inteligente.
 Inicio de sesión único: gracias al inicio de sesión único (SSO), los usuarios tienen que recordar un solo
nombre de usuario y una sola contraseña para acceder a varias aplicaciones. Una sola identidad está
asociada a un usuario, lo que simplifica el modelo de seguridad. Cuando los usuarios cambian de rol o
dejan una organización, las modificaciones de acceso se asocian a esa identidad, lo que reduce
considerablemente el esfuerzo necesario para cambiar o deshabilitar cuentas.
 Administración de aplicaciones: con Azure AD, puede administrar las aplicaciones en la nube y locales.
Características como Application Proxy, las aplicaciones SaaS, el portal Aplicaciones y el inicio de sesión
único proporcionan una mejor experiencia de usuario.
 Administración de dispositivos: además de cuentas de usuarios individuales, Azure AD admite el
registro de dispositivos. El registro permite administrar los dispositivos a través de herramientas como
 Microsoft Intune. También permite que las directivas de acceso condicional basadas en dispositivos
limiten los intentos de acceso a solo aquellos que proceden de dispositivos conocidos,
independientemente de la cuenta de usuario solicitante.

¿Puedo conectar mi AD local con Azure AD?

Si tuviera un entorno local que ejecuta Active Directory y una implementación en la nube mediante Azure AD,
tendría que mantener dos conjuntos de identidades. Pero puede conectar Active Directory con Azure AD, lo
que permite una experiencia de identidad coherente entre la nube y el entorno local.

Un método de conectar Azure AD con el AD local es usar Azure AD Connect. Azure AD Connect sincroniza las
identidades de usuario entre la instalación local de Active Directory y Azure AD. Azure AD Connect sincroniza
los cambios entre ambos sistemas de identidades, para que pueda usar características como SSO, la
autenticación multifactor y el autoservicio de restablecimiento de contraseña en ambos sistemas.

¿Qué es Azure Active Directory Domain Services?

Azure Active Directory Domain Services (Azure AD DS) es un servicio que proporciona servicios de dominio
administrados como, por ejemplo, unión a un dominio, directivas de grupo, protocolo ligero de acceso a
directorios (LDAP) y autenticación Kerberos o NTLM. Al igual que Azure AD le permite usar servicios de
directorio sin tener que mantener la infraestructura que lo admite, gracias a Azure AD DS obtiene la ventaja de
los servicios de dominio sin necesidad de implementar, administrar y aplicar revisiones a los controladores de
dominio (DC) en la nube.

Un dominio administrado de Azure AD DS le permite ejecutar aplicaciones heredadas en la nube que no

pueden usar métodos de autenticación modernos o cuando no quiere que las búsquedas de directorio
regresen siempre a un entorno de AD DS local. Esas aplicaciones heredadas se pueden migrar mediante "lift-
and-shift" del entorno local a un dominio administrado, sin necesidad de administrar el entorno de AD DS en la
nube.

Azure AD DS se integra con el inquilino de Azure AD existente. Esta integración permite a los usuarios iniciar
sesión en los servicios y las aplicaciones conectados al dominio administrado con sus credenciales existentes.
También puede usar grupos y cuentas de usuario existentes para proteger el acceso a los recursos. Estas
características proporcionan una migración mediante lift-and-shift más fluida de los recursos locales a Azure.

¿Cómo funciona Azure AD DS?

Cuando cree un dominio administrado de Azure AD DS, defina un espacio de nombres único. Este espacio de
nombres es el nombre de dominio. Después, se implementan dos controladores de dominio de Windows
Server en la región de Azure seleccionada. Esta implementación de controladores de dominio se conoce como
"conjunto de réplicas".

No es necesario administrar, configurar ni actualizar estos controladores de dominio. La plataforma Azure

administra los controladores de dominio como parte del dominio administrado, incluidas las copias de
seguridad y el cifrado en reposo mediante Azure Disk Encryption.

¿La información está sincronizada?

Un dominio administrado está configurado para realizar una sincronización unidireccional de Azure AD a Azure
AD DS. Puede crear los recursos directamente en el dominio administrado, pero no se vuelven a sincronizar con
Azure AD. En un entorno híbrido con un entorno de AD DS local, Azure AD Connect sincroniza la información de
identidad con Azure AD, que se sincroniza posteriormente con el dominio administrado.

Diagrama de Sincronización de Azure AD Connect, que sincroniza información al inquilino de Azure AD desde el
AD local.

Las aplicaciones, los servicios y las máquinas virtuales de Azure que se conectan al dominio administrado
pueden usar las características de Azure AD DS comunes, como unión a un dominio, directiva de grupo, LDAP y
autenticación Kerberos o NTLM.
Descripción de los métodos de autenticación de Azure

La autenticación es el proceso de establecimiento de la identidad de una persona, servicio y dispositivo.

Requiere que la persona, el servicio o el dispositivo proporcionen algún tipo de credencial para demostrar
quiénes son. La autenticación es como presentar su documento de identidad cuando viaja. No confirma que
está registrado, solo demuestra que es quien dices que es. Azure admite varios métodos de autenticación,
incluidas las contraseñas estándar, el inicio de sesión único (SSO), la autenticación multifactor (MFA) y el
acceso sin contraseña.

Desde hace tiempo, la seguridad y la comodidad parecían estar en conflicto entre sí. Afortunadamente, las
nuevas soluciones de autenticación proporcionan seguridad y comodidad.

En el diagrama siguiente se muestra el nivel de seguridad en comparación con la comodidad. Observe que la
autenticación sin contraseña es alta seguridad y alta comodidad, mientras que las contraseñas por sí mismas
son de baja seguridad pero alta comodidad.

Diagrama de cuatro cuadrantes que compara la seguridad y la comodidad: las contraseñas y la autenticación de
2 factores son de alta seguridad, pero baja comodidad.

¿Qué es el inicio de sesión único?

El inicio de sesión único (SSO) permite a los usuarios iniciar sesión una vez y utilizar esa credencial para acceder
a varios recursos y aplicaciones de distintos proveedores. Para que el inicio de sesión único funcione, las
distintas aplicaciones y proveedores deben confiar en el autenticador inicial.

Más identidades significan más contraseñas para recordar y cambiar. Las directivas de contraseñas pueden
variar entre las aplicaciones. A medida que aumentan los requisitos de complejidad, cada vez resultan más
difíciles de recordar para los usuarios. Cuantas más contraseñas tenga que administrar un usuario, mayor será
el riesgo de que se produzca alguna incidencia de seguridad relacionada con las credenciales.

Piense en el proceso de administrar todas estas identidades. Se ejerce una mayor presión en el departamento
de soporte técnico cuando tienen que lidiar con los bloqueos de cuentas y las solicitudes de restablecimiento
de contraseñas. Si un usuario deja una organización, puede resultar complicado hacer un seguimiento de todas
sus identidades y asegurarse de que están deshabilitadas. Si se pasa por alto una identidad, es posible que se
permita el acceso cuando debería haberse eliminado.

Con SSO, tan solo debe recordar un ID y una contraseña. El acceso a todas las aplicaciones se concede a una
única identidad que está asociada a un usuario, lo que simplifica el modelo de seguridad. A medida que los
usuarios cambian los roles o dejan una organización, el acceso está asociado a una única identidad. Este
cambio reduce considerablemente el esfuerzo necesario para cambiar o deshabilitar cuentas. Usar el inicio de
sesión único en las cuentas permite a los usuarios administrar su identidad y al equipo de TI gestionar los
usuarios con mayor facilidad.

Importante El inicio de sesión único solo es tan seguro como el autenticador inicial, ya que todas las
conexiones posteriores se basan en la seguridad del autenticador inicial.

¿Qué es la autenticación multifactor?

La autenticación multifactor es el proceso de solicitar a un usuario una forma adicional (o factor) de
identificación durante el proceso de inicio de sesión. La MFA ayuda a protegerse frente a las contraseñas en
riesgo en situaciones en las que la contraseña se vio comprometida, pero el segundo factor no.

Piense en cómo inicia sesión en los sitios web, el correo electrónico o los servicios en línea. Después de escribir
el nombre de usuario y la contraseña, ¿alguna vez ha tenido que escribir un código que ha recibido en el
teléfono? Si es así, ha usado la autenticación multifactor para iniciar sesión.

La autenticación multifactor proporciona seguridad adicional a las identidades, ya que se requieren dos o más
elementos para una autenticación completa. Estos elementos se dividen en tres categorías:

 Algo que el usuario sabe: puede ser una pregunta de seguridad.

 Algo que el usuario tiene: se puede tratar de un código que se envía al teléfono móvil del usuario.
 Algo que el usuario es: normalmente, algún tipo de propiedad biométrica, como la huella dactilar o el
escaneo facial.
La autenticación multifactor aumenta la seguridad de las identidades al limitar el impacto de la exposición de
credenciales (por ejemplo, nombres de usuario y contraseñas robados). Si la autenticación multifactor está
habilitada, los atacantes que tengan la contraseña de un usuario también necesitarán su teléfono o su huella
dactilar para completar la autenticación.

Compare la autenticación multifactor con la autenticación de un solo factor. En la autenticación de un solo

factor, los atacantes solo necesitarían el nombre de usuario y la contraseña para autenticarse. La autenticación
multifactor se debe habilitar siempre que sea posible, ya que aporta enormes ventajas a la seguridad.

¿Qué es Azure AD Multi-Factor Authentication?

Azure AD Multi-Factor Authentication es un servicio de Microsoft que proporciona funcionalidades de
autenticación multifactor. Azure AD Multi-Factor Authentication permite a los usuarios elegir una forma
adicional de autenticación durante el inicio de sesión, como una llamada de teléfono o una notificación de
aplicación móvil.

¿Qué es la autenticación sin contraseña?

El uso de características como la autenticación multifactor constituye una excelente manera de proteger una
organización. Sin embargo, sumar esta capa de seguridad adicional al hecho de tener que recordar las
contraseñas suele frustrar a los usuarios. Es más probable que las personas cumplan cuando sea fácil y
conveniente hacerlo. Los métodos de autenticación sin contraseña resultan más cómodos, ya que la
contraseña se quita y se reemplaza por algo que se tiene más algo que se es o se sabe.

La autenticación sin contraseña debe configurarse en un dispositivo para que funcione. Por ejemplo, su
ordenador es algo que tiene. Una vez que se haya registrado o inscrito, Azure ahora sabrá que está asociado a
usted. Ahora que se conoce el equipo, una vez que proporcione algo que sepa o sea (por ejemplo, un PIN o una
huella digital), se podrá autenticar sin usar una contraseña.

Cada organización tiene diferentes necesidades en cuanto a la autenticación. Microsoft Azure global y Azure
Government ofrecen las siguientes tres opciones de autenticación sin contraseña que se integran con Azure
Active Directory (Azure AD):

 Windows Hello para empresas

 Aplicación Microsoft Authenticator
 Claves de seguridad FIDO2
Windows Hello para empresas
Windows Hello para empresas resulta muy conveniente para los trabajadores de la información que tienen su
propio equipo con Windows designado. La información biométrica y las credenciales de PIN están vinculadas
directamente al equipo del usuario, lo que impide el acceso de cualquier persona que no sea el propietario.
Con la integración de la infraestructura de clave pública (PKI) y la compatibilidad integrada con el inicio de
sesión único (SSO), Windows Hello para empresas ofrece un método sencillo y práctico de acceder
directamente a los recursos corporativos del entorno local y la nube.

Aplicación Microsoft Authenticator

También puede permitir que el teléfono del empleado se convierta en un método de autenticación sin
contraseña. Es posible que ya esté usando la aplicación Microsoft Authenticator como una opción de
autenticación multifactor cómoda sumada a una contraseña. También puede usar la aplicación Authenticator
como una opción sin contraseña.

La aplicación Authenticator convierte cualquier teléfono Android o iOS en una credencial segura sin
contraseña. Los usuarios pueden iniciar sesión en cualquier plataforma o explorador con este proceso: reciben
una notificación en su teléfono, comprueban que el número mostrado en la pantalla coincide con el de su
teléfono y, a continuación, usan datos biométricos (huella dactilar o reconocimiento facial) o el PIN para
confirmarlo. Consulte Descarga e instalación de la aplicación Microsoft Authenticator para conocer los detalles
de la instalación.

Claves de seguridad FIDO2

FIDO (Fast IDentity Online) Alliance ayuda a promover los estándares de autenticación abiertos y a reducir el
uso de contraseñas como forma de autenticación. FIDO2 es el estándar más reciente que incorpora el estándar
de autenticación web (WebAuthn).
Las claves de seguridad FIDO2 son un método de autenticación sin contraseña basado en estándares que no
permite la suplantación de identidad y que puede venir en cualquier factor de forma. Fast Identity Online
(FIDO) es un estándar abierto para la autenticación sin contraseña. FIDO permite a los usuarios y a las
organizaciones aprovechar el estándar para iniciar sesión en sus recursos sin un nombre de usuario o una
contraseña mediante una clave de seguridad externa o una clave de plataforma integrada en un dispositivo.

Los usuarios pueden registrarse y luego seleccionar una llave de seguridad de FIDO2 en la interfaz de inicio de
sesión como medio principal de autenticación. Estas llaves de seguridad de FIDO2 suelen ser dispositivos USB,
pero también pueden usar Bluetooth o NFC. Con un dispositivo de hardware que controla la autenticación, se
aumenta la seguridad de una cuenta, ya que no hay ninguna contraseña que pueda quedar expuesta ni
adivinarse.

Descripción de identidades externas de Azure

Una identidad externa es una persona, un dispositivo, un servicio, etc. que está fuera de la organización. Azure
AD External Identities hace referencia a todas las formas en que puede interactuar de forma segura con
usuarios externos a su organización. Si quiere colaborar con asociados, distribuidores o proveedores, puede
compartir los recursos y definir cómo los usuarios internos pueden acceder a organizaciones externas. Si es un
desarrollador que crea aplicaciones orientadas al consumidor, puede administrar las experiencias de identidad
de los clientes.

Las identidades externas pueden parecerse al inicio de sesión único. Con External Identities, los usuarios
externos pueden "traer sus propias identidades". Tanto si tienen una identidad digital corporativa o
gubernamental, como una identidad social no administrada, como Google o Facebook, pueden usar sus propias
credenciales para iniciar sesión. El proveedor de identidades administra la identidad del usuario externo y el
usuario administra el acceso a sus aplicaciones con Azure AD o Azure AD B2C para mantener protegidos los
recursos.

Diagrama que muestra a los colaboradores B2B accediendo a su inquilino y a los colaboradores B2C accediendo
al inquilino AD B2C.

Las siguientes funcionalidades componen External Identities:

 Colaboración de empresa a empresa (B2B): colabore con usuarios externos y permítales usar su
identidad preferida para iniciar sesión en las aplicaciones de Microsoft u otras aplicaciones
empresariales (aplicaciones SaaS, aplicaciones desarrolladas de forma personalizada, etc.). Los usuarios
de colaboración B2B se representan en el directorio, normalmente como usuarios invitados.
 Conexión directa B2B: establezca una confianza mutua y en dos sentidos con otra Azure AD para una
colaboración sin problemas. La conexión directa B2B actualmente es compatible con los canales
compartidos de Teams, lo que permite a los usuarios externos acceder a sus recursos desde sus
instancias principales de Teams. Los usuarios de conexión directa B2B no se representan en el
directorio, pero son visibles desde el canal compartido de Teams y se pueden supervisar en Teams
informes del centro de administración.
 Empresa a cliente de Azure AD (B2C): publique aplicaciones SaaS modernas o aplicaciones
desarrolladas de forma personalizada (excepto aplicaciones de Microsoft) para consumidores y
clientes, mientras usa Azure AD B2C para la administración de identidades y acceso.
En función de cómo quiera interactuar con organizaciones externas y los tipos de recursos que necesite
compartir, puede usar una combinación de estas funcionalidades.

Con Azure Active Directory (Azure AD), puede habilitar fácilmente la colaboración entre distintas
organizaciones mediante la característica B2B de Azure AD. Los usuarios invitados de otros inquilinos pueden
ser invitados por los administradores o por otros usuarios. Esta capacidad también se aplica a las identidades
sociales como las cuentas Microsoft.

También puede asegurarse fácilmente de que los usuarios invitados tengan el acceso adecuado. Puede pedir a
los invitados o a quien decida en su lugar que participen en una revisión de acceso y vuelvan a certificar (o
atestiguar) el acceso de los invitados. Los revisores pueden dar su aprobación para cada necesidad de acceso
continuado de los usuarios, en función de las sugerencias de Azure AD. Cuando una revisión de acceso haya
terminado, es posible hacer cambios y retirar la concesión de acceso a los invitados que ya no lo necesitan.
Descripción del acceso condicional de Azure

El acceso condicional es una herramienta que usa Azure Active Directory para permitir (o denegar) el acceso a
los recursos en función de señales de identidad. Estas señales incluyen quién es el usuario, dónde se encuentra
y desde qué dispositivo solicita el acceso.

Con el acceso condicional, los administradores de TI pueden:

 permitir a los usuarios ser productivos en cualquier momento y lugar;

 proteger los recursos de la organización.
El acceso condicional también proporciona una experiencia de autenticación multifactor más pormenorizada
para los usuarios. Por ejemplo, es posible que al usuario no se le solicite un segundo factor de autenticación si
está en una ubicación conocida. Pero si sus señales de inicio de sesión son inusuales o su ubicación es
inesperada, es posible que se le exija un segundo factor de autenticación.

Durante el inicio de sesión, el acceso condicional recopila señales del usuario, toma decisiones basadas en esas
señales y, después, aplica esa decisión para permitir o denegar la solicitud de acceso, o bien exigir una
respuesta de autenticación multifactor.

En el diagrama siguiente se muestra este flujo:

Diagrama en el que se muestra el flujo de acceso condicional de una señal que lleva a una decisión, que a su
vez lleva a su aplicación.

En este caso, la señal podría ser la ubicación del usuario, su dispositivo o la aplicación a la que intenta acceder.

En función de estas señales, la decisión puede ser permitir el acceso completo si el usuario inicia sesión desde
su ubicación habitual. Si el usuario inicia sesión desde una ubicación inusual o una ubicación marcada como de
alto riesgo, el acceso puede bloquearse por completo, o bien podría concederse después de que el usuario
proporcione una segunda forma de autenticación.

La aplicación es la acción que lleva a cabo la decisión. Por ejemplo, la acción es permitir el acceso o exigir al
usuario que proporcione una segunda forma de autenticación.

¿Cuándo se puede usar el acceso condicional?

El acceso condicional resulta útil en los casos siguientes:

Exija la autenticación multifactor (MFA) para acceder a una aplicación en función del rol, la ubicación o la red
del solicitante. Por ejemplo, podría requerir MFA para administradores, pero no para usuarios normales o
personas que se conectan desde fuera de la red corporativa.
Para requerir el acceso a los servicios solo a través de aplicaciones cliente aprobadas. Por ejemplo, podría
limitar qué aplicaciones de correo electrónico pueden conectarse al servicio de correo electrónico.
Exija que los usuarios accedan a la aplicación solo desde dispositivos administrados. Un dispositivo
administrado es un dispositivo que cumple los estándares de seguridad y cumplimiento.
Para bloquear el acceso desde orígenes que no son de confianza, como ubicaciones desconocidas o
inesperadas.

Descripción del control de acceso basado en roles de Azure

Cuando tenemos varios equipos de TI e ingeniería, ¿cómo podemos controlar el acceso que tienen a los
recursos del entorno de nube? El principio de privilegios mínimos indica que solo debe conceder acceso al nivel
necesario para completar una tarea. Si solo necesita acceso de lectura a un blob de almacenamiento, solo se le
debe conceder acceso de lectura a ese blob de almacenamiento. No se debe conceder acceso de escritura a
ese blob ni debe tener acceso de lectura a otros blobs de almacenamiento. Es una buena práctica de seguridad
seguir.

Pero, administrar ese nivel de permisos para todo el equipo se volvería tedioso. En vez de definir los requisitos
de acceso detallados de cada individuo y, después, ir actualizándolos a medida que se vayan creando más
recursos o se unan nuevos miembros al equipo, Azure permite controlar el acceso a través del control de
acceso basado en roles de Azure (RBAC de Azure).
Azure proporciona roles integrados que describen las reglas de acceso comunes de los recursos en la nube.
También podemos definir nuestros propios roles. Cada rol tiene un conjunto asociado de permisos de acceso
que tienen que ver con ese rol. Cuando se asignan usuarios o grupos a uno o varios roles, reciben todos los
permisos de acceso asociados.

Por lo tanto, si contrata a un nuevo ingeniero y los agrega al grupo RBAC de Azure para ingenieros, obtiene de
forma automática el mismo acceso que los otros ingenieros del mismo grupo de RBAC de Azure. De forma
similar, si agrega recursos adicionales y apunta RBAC de Azure en ellos, todos los usuarios de ese grupo de
RBAC de Azure tendrán esos permisos en los nuevos recursos, así como en los recursos existentes.

¿Cómo se aplica el control de acceso basado en roles a los recursos?

El control de acceso basado en roles se aplica a un ámbito, que es un recurso o un conjunto de recursos en los
que este acceso se permite.

En este diagrama se muestra la relación entre roles y ámbitos. Un grupo de administración, una suscripción o
un administrador de recursos podría tener el rol de propietario, por lo que se ha aumentado el control y la
autoridad. A un observador, que no se espera que realice ninguna actualización, se le puede asignar un rol de
Lector para el mismo ámbito, lo que le permitiría revisar u observar el grupo de administración, la suscripción o
el grupo de recursos.

Un diagrama que muestra los ámbitos y roles. La combinación de rol y ámbito se asigna a un tipo específico de
usuario o cuenta, como un observador o un administrador.

Los ámbitos pueden ser lo siguiente:

 Un grupo de administración (una colección de varias suscripciones)

 Una sola suscripción
 Un grupo de recursos.
 Un solo recurso
Los observadores, los usuarios que administran recursos, los administradores y los procesos automatizados
muestran los tipos de usuarios o cuentas que se suelen asignar a cada uno de los distintos roles.

RBAC de Azure es jerárquico, ya que al conceder acceso en un ámbito primario, todos los ámbitos secundarios
heredan esos permisos. Por ejemplo:

 Cuando asignamos el rol Propietario a un usuario en el ámbito del grupo de administración, dicho
usuario podrá administrar todo el contenido de todas las suscripciones dentro de ese grupo de
administración.
 Cuando asignamos el rol Lector a un grupo en el ámbito de suscripción, los miembros de dicho grupo
podrán ver todos los grupos de recursos y recursos dentro de esa suscripción.
¿Cómo se aplica RBAC de Azure?
RBAC de Azure se aplica a cualquier acción que se inicie en un recurso de Azure que pasa por Azure Resource
Manager. Resource Manager es un servicio de administración que proporciona una forma de organizar y
proteger nuestros recursos en la nube.

Normalmente, se accede a Resource Manager a través de Azure Portal, Azure Cloud Shell, Azure PowerShell y
la CLI de Azure. RBAC de Azure no aplica permisos de acceso en el nivel de aplicación ni de datos. La seguridad
de la aplicación debe controlarla la propia aplicación.

RBAC de Azure emplea un modelo de permisos. Cuando se le asigna un rol, RBAC de Azure le permite realizar
acciones dentro del ámbito de ese rol. Si una asignación de roles nos concede permisos de lectura a un grupo
de recursos y otra asignación de roles nos concede permisos de escritura al mismo grupo de recursos,
tendremos permisos tanto de lectura como de escritura en ese grupo de recursos.

Descripción del modelo de Confianza cero

Confianza cero es un modelo de seguridad que supone el peor de los escenarios posibles y protege los recursos
con esa expectativa. Confianza cero presupone que hay una vulneración y comprueba todas las solicitudes
como si provinieran de una red no controlada.
En la actualidad, las organizaciones necesitan un modelo de seguridad nuevo que se adapte eficazmente a la
complejidad del entorno moderno, adopte los recursos móviles y proteja a personas, dispositivos, aplicaciones
y datos dondequiera que se encuentren.

Para abordar este nuevo mundo informático, Microsoft recomienda encarecidamente el modelo de seguridad
de Confianza cero, que se basa en estos principios rectores:

 Comprobar explícitamente: realice siempre las operaciones de autorización y autenticación en función

de todos los puntos de datos disponibles.
 Usar el acceso de privilegios mínimos: limite el acceso de los usuarios con Just-in-Time y Just-Enough-
Access (JIT/JEA), directivas que se adaptan al nivel de riesgo y protección de datos.
 Asumir que hay brechas: minimice el radio de expansión y el acceso a los segmentos. Comprobación
del cifrado de un extremo a otro. Utilice el análisis para obtener visibilidad, impulsar la detección de
amenazas y mejorar las defensas.
Ajuste a Confianza cero
Tradicionalmente, las redes corporativas estaban restringidas, protegidas y, por lo general, eran seguras. Solo
los equipos administrados se podían unir a la red, el acceso VPN estaba estrechamente controlado y los
dispositivos personales estaban restringidos o bloqueados con frecuencia.

El modelo de Confianza cero revoluciona ese escenario. En lugar de suponer que un dispositivo es seguro
porque está dentro de la red corporativa, exige que todos los usuarios se autentiquen. Después, concede
acceso basado en la autenticación, no de la ubicación.

Diagrama en el que se compara la autenticación de todos los usuarios por parte de Confianza cero con la
opción clásica de la ubicación de red.

Descripción de defensa en profundidad

El objetivo de la defensa en profundidad es proteger la información y evitar que personas no autorizadas a

acceder puedan sustraerla.

Una estrategia de defensa en profundidad usa una serie de mecanismos para ralentizar el avance de un ataque
dirigido a adquirir acceso no autorizado a los datos.

Capas de defensa en profundidad

Puede visualizar la defensa en profundidad como un conjunto de capas, con los datos que se van a proteger en
el centro y todas las demás capas en funcionamiento para proteger esa capa de datos central.

Un diagrama de las capas de defensa en profundidad. Desde el centro, estas capas son: datos, aplicación,
proceso, red, perímetro, identidad y acceso, y seguridad física.

Cada capa proporciona protección de modo que, si se produce una brecha en una capa, ya existe otra en
funcionamiento para evitar una mayor exposición. Este enfoque elimina la dependencia de cualquier capa de
protección única. Ralentiza un ataque y proporciona información de alertas sobre la que pueden actuar los
equipos de seguridad, ya sea de forma automática o manual.

Aquí tiene una breve descripción del rol de cada capa:

  La capa de seguridad física es la primera línea de defensa para proteger el hardware informático del
centro de datos.
 La capa de identidad y acceso controla el acceso a la infraestructura y al control de cambios.
 La capa perimetral usa protección frente a ataques de denegación de servicio distribuido (DDoS) para
filtrar los ataques a gran escala antes de que puedan causar una denegación de servicio para los
usuarios.
 La capa de red limita la comunicación entre los recursos a través de controles de acceso y
segmentación.
 La capa de proceso protege el acceso a las máquinas virtuales.
 La capa de aplicación ayuda a garantizar que las aplicaciones sean seguras y estén libres de
vulnerabilidades de seguridad.
 La capa de datos controla el acceso a los datos empresariales y de clientes que es necesario proteger.
Estas capas proporcionan una guía para ayudarle a tomar decisiones de configuración de seguridad en todas las
capas de las aplicaciones.

Azure proporciona herramientas y características de seguridad en todas las capas del concepto de defensa en
profundidad. Veamos cada capa con más detalle:

Seguridad física
La protección física del acceso a los edificios y el control del acceso al hardware de proceso del centro de datos
son la primera línea de defensa.

La intención de la seguridad física es proporcionar medidas de seguridad físicas contra el acceso a los recursos.
Estas medidas garantizan que no se puedan omitir otras capas y se controle apropiadamente la pérdida o el
robo. Microsoft usa varios mecanismos de seguridad físicos en sus centros de datos de la nube.

Identidad y acceso
La capa de identidad y acceso consiste en garantizar que las identidades están protegidas, que solo se otorga el
acceso necesario y que se registran los cambios y los eventos de inicio de sesión.

En esta capa, es importante que realice lo siguiente:

Controle el acceso a la infraestructura y al control de cambios.

Use el inicio de sesión único (SSO)y la autenticación multifactor.
Audite los eventos y los cambios.
Perímetro
El perímetro de la red protege frente a ataques basados en red contra los recursos. Identificar estos ataques,
eliminar sus repercusiones y recibir alertas sobre ellos cuando suceden son formas importantes de proteger la
red.

En esta capa, es importante que realice lo siguiente:

Use protección contra DDoS para filtrar los ataques a gran escala antes de que puedan afectar a la
disponibilidad de un sistema para los usuarios.
Use firewalls perimetrales para identificar los ataques malintencionados contra la red y alertar sobre ellos.
Red
En esta capa, el enfoque está en limitar la conectividad de la red en todos los recursos para permitir solo la
necesaria. Al limitar esta comunicación, se reduce el riesgo de que se propaguen los ataques a otros sistemas
de la red.

En esta capa, es importante que realice lo siguiente:

 Limite la comunicación entre los recursos.

 Deniegue de forma predeterminada.
 Restrinja el acceso entrante de Internet y limite el saliente cuando sea apropiado.
 Implemente conectividad segura a las redes locales.
Compute
El software malintencionado, los sistemas sin revisiones aplicadas y los sistemas protegidos inadecuadamente
abren el entorno a los ataques. El enfoque en esta capa es asegurarse de que sus recursos de proceso estén
seguros y de que cuenta con los controles adecuados para minimizar los problemas de seguridad.
En esta capa, es importante que realice lo siguiente:

Proteja el acceso a las máquinas virtuales.

Implemente la protección del punto de conexión de los dispositivos y mantenga los sistemas revisados y
actualizados.
Application
La integración de la seguridad en el ciclo de vida de desarrollo de aplicaciones ayuda a reducir el número de
vulnerabilidades en el código. Todos los equipos de desarrollo deberían asegurarse de que sus aplicaciones son
seguras de forma predeterminada.

En esta capa, es importante que realice lo siguiente:

 Garantice que las aplicaciones son seguras y están libres de vulnerabilidades.

 Almacene los secretos de aplicación confidenciales en un medio de almacenamiento seguro.
 Convierta la seguridad en un requisito de diseño en todo el desarrollo de aplicaciones.
data
Los que almacenan y controlan el acceso a los datos son responsables de asegurarse de que están protegidos
correctamente. A menudo, los requisitos legales dictan los controles y procesos que deben cumplirse para
garantizar la confidencialidad, la integridad y la disponibilidad de los datos.

En casi todos los casos, los atacantes intentan conseguir datos:

 Almacenados en una base de datos.

 Almacenados en discos en máquinas virtuales.
 Almacenados en aplicaciones de software como servicio (SaaS), como Office 365.
 Administrados mediante el almacenamiento en la nube.

Descripción de Microsoft Defender for Cloud

Microsoft Defender for Cloud es una herramienta de supervisión para la administración de la posición de
seguridad y la protección contra amenazas. Supervisa los entornos en la nube, locales, híbridos y multinube
para ofrecer instrucciones y notificaciones destinadas a reforzar la posición de seguridad.

Defender for Cloud proporciona las herramientas necesarias para proteger los recursos, realizar un
seguimiento de su posición de seguridad, protegerse frente a ciberataques y simplificar la administración de la
seguridad. La implementación de Defender for Cloud es fácil, ya está integrada de forma nativa en Azure.

Protección allá donde se implemente

Dado que Defender for Cloud es un servicio nativo de Azure, muchos servicios de Azure se supervisan y
protegen sin necesidad de ninguna implementación. Pero si también tiene un centro de datos local o también
está funcionando en otro entorno en la nube, es posible que la supervisión de los servicios de Azure no le
proporcione una imagen completa de su situación de seguridad.

Cuando sea necesario, Defender for Cloud puede implementar automáticamente un agente de Log Analytics
para recopilar datos relacionados con la seguridad. En el caso de las máquinas de Azure, la implementación se
controla directamente. En entornos híbridos y con varias nubes, los planes de Microsoft Defender se amplían a
máquinas que no son de Azure con la ayuda de Azure Arc. Las características de la Administración de la
posición de seguridad en la nube (CSPM) se amplían a máquinas de varias nubes sin necesidad de ningún
agente.

Protecciones nativas de Azure

Defender for Cloud le permite detectar amenazas en:

 Servicios de PaaS de Azure: puede detectar amenazas dirigidas a servicios de Azure como Azure App
Service, Azure SQL, la cuenta de Azure Storage y otros servicios de datos. También puede realizar la
detección de anomalías en los registros de actividad de Azure mediante la integración nativa con
Microsoft Defender para aplicaciones en la nube (anteriormente conocido como Microsoft Cloud App
Security).
 Servicios de datos de Azure: Defender for Cloud incluye capacidades que le ayudarán a clasificar
automáticamente los datos en Azure SQL. También puede obtener evaluaciones de las posibles
 vulnerabilidades en los servicios de Azure SQL y Azure Storage, además de recomendaciones sobre
cómo mitigarlas.
 Redes: Defender for Cloud le permite limitar la exposición a los ataques por fuerza bruta. Si reduce el
acceso a los puertos de las máquinas virtuales mediante el acceso de máquina virtual Just-In-Time,
puede proteger la red al prevenir el acceso innecesario. Puede establecer directivas de acceso seguro
en los puertos seleccionados, solo para usuarios autorizados, direcciones IP o intervalos de direcciones
IP de origen permitidos y durante un período limitado.
Defensa de los recursos híbridos
Además de defender el entorno de Azure, puede agregar funcionalidades de Defender for Cloud a su entorno
de nube híbrida para proteger los servidores que no sean de Azure. Obtenga inteligencia personalizada sobre
las amenazas y alertas prioritarias según su entorno específico para que pueda centrarse en lo que más le
importa.

Para ampliar la protección a las máquinas locales, implemente Azure Arc y habilite las características de
seguridad mejoradas de Defender for Cloud.

Defensa de los recursos que se ejecutan en otras nubes

Defender for Cloud también puede proteger los recursos de otras nubes (como AWS y GCP).

Por ejemplo, si ha conectado una cuenta de Amazon Web Services (AWS) a una suscripción de Azure, puede
habilitar cualquiera de estas protecciones:

 Las características de CSPM de Defender for Cloud se extienden a los recursos de AWS. Este plan sin
agente evalúa los recursos de AWS según las recomendaciones de seguridad específicas de AWS e
incluye los resultados en la puntuación de seguridad. También se evaluará el cumplimiento de los
recursos de los estándares integrados específicos de AWS (AWS CIS, AWS PCI DSS y Procedimientos
recomendados de seguridad fundamentales de AWS). La página de inventario de recursos de Defender
for Cloud es una característica habilitada para varias nubes, que permite administrar los recursos de
AWS junto con los de Azure.
 Microsoft Defender para contenedores amplía la detección de amenazas de contenedores y defensas
avanzadas a los clústeres Linux de Amazon EKS.
 Microsoft Defender para servidores proporciona detección de amenazas y defensas avanzadas en las
instancias de EC2 con Windows y Linux.
Evaluación, protección y defensa
Defender for Cloud cubre tres necesidades vitales a medida que administra la seguridad de los recursos y las
cargas de trabajo en la nube y en el entorno local:

 Evaluación continua: conozca la posición de seguridad. Identifique y realice un seguimiento de las

vulnerabilidades.
 Protección: proteja los recursos y los servicios con Azure Security Benchmark.
 Defensa: detecte y resuelva las amenazas a recursos, cargas de trabajo y servicios.

Evaluación continua
Defender for Cloud le ayuda a evaluar continuamente su entorno. Incluye soluciones de evaluación de
vulnerabilidades para las máquinas virtuales, los registros de contenedor y los servidores de SQL.

Microsoft Defender para servidores incluye integración nativa automática con Microsoft Defender para puntos
de conexión. Si ha habilitado esta integración, tendrá acceso a los hallazgos relacionados con vulnerabilidades
de la administración de amenazas y vulnerabilidades de Microsoft.
Entre estas herramientas de evaluación tendrá exámenes de vulnerabilidades regulares y detallados que
cubren el proceso, los datos y la infraestructura. Puede revisar los resultados de estos exámenes desde
Defender for Cloud y responder a ellos.

Seguridad
Desde los métodos de autenticación hasta el control de acceso y el concepto de Confianza cero, la seguridad en
la nube es un aspecto esencial que debe realizarse correctamente. Para estar protegido en la nube, debe
asegurarse de que las cargas de trabajo son seguras. Para proteger las cargas de trabajo, necesita directivas de
seguridad que se adapten a su entorno y situación. Como las directivas de Defender for Cloud se crean sobre
los controles de directivas de Azure, puede obtener la gama completa y la flexibilidad de una solución de
directivas de primer nivel. En Defender for Cloud, puede establecer que las directivas se ejecuten en grupos de
administración, entre distintas suscripciones e incluso en un inquilino completo.

Una de las ventajas de pasar a la nube es la capacidad de crecer y escalar en función de sus necesidades, lo que
agrega nuevos servicios y recursos según sea necesario. Defender for Cloud supervisa constantemente los
nuevos recursos que se implementan en las cargas de trabajo. Defender for Cloud evalúa si los nuevos recursos
están configurados según los procedimientos recomendados de seguridad. Si no es así, se marcan y se obtiene
una lista prioritaria de recomendaciones para lo que necesita corregir. Las recomendaciones le permitirán
disminuir la superficie expuesta a ataques en cada uno de los recursos.

La lista de recomendaciones está habilitada y es compatible con Azure Security Benchmark. Este punto de
referencia es el conjunto de directrices específico de Azure y creado por Microsoft relativo a los
procedimientos recomendados de seguridad y cumplimiento basados en marcos de cumplimiento comunes.

De este modo, Defender for Cloud le permite no solo establecer directivas de seguridad, sino también aplicar
estándares de configuración segura en todos los recursos.

Para ayudarle a conocer el grado de importancia que tiene cada una de las recomendaciones en su postura
global acerca de la seguridad, Defender for Cloud agrupa las recomendaciones en controles de seguridad y
agrega un valor de puntuación de la seguridad a cada control. La puntuación de seguridad le proporciona un
indicador a simple vista del estado de su posición de seguridad, mientras que los controles le proporcionan una
lista de trabajo de las cosas que se deben tener en cuenta para mejorar la puntuación de seguridad y la
posición de seguridad general.

Captura de pantalla en la que se muestra la puntuación de seguridad de Microsoft Defender for Cloud.

Defensa
Las dos primeras áreas se centraban en evaluar, supervisar y mantener su entorno. Defender for Cloud también
le permite defender su entorno proporcionando alertas de seguridad y características avanzadas de protección
contra amenazas.

Alertas de seguridad
Cuando Defender para la nube detecta una amenaza en cualquier área del entorno, genera una alerta de
seguridad. Alertas de seguridad:

 Descripción de los detalles de los recursos afectados

 Sugerencia de pasos para la corrección
 Suministro, en algunos casos, de una opción para desencadenar una aplicación lógica en la respuesta
Tanto si Defender para la nube genera una alerta como si la recibe desde un producto de seguridad integrado,
puede exportarla. La protección contra amenazas de Defender para la nube incluye el análisis de la cadena de
eliminación de fusión, que correlaciona de manera automática las alertas del entorno en función del análisis
Cyber Kill Chain, para ayudarle a comprender mejor todo el proceso de un ataque, dónde empezó y qué tipo de
impacto tuvo en los recursos.

Protección contra amenazas avanzada

Defender for Cloud proporciona características avanzadas de protección contra amenazas para muchos de los
recursos implementados, incluidas las máquinas virtuales, las bases de datos SQL, los contenedores, las
aplicaciones web y la red. Entre las protecciones se incluyen la protección de los puertos de administración de
las VM con acceso Just-in-Time y controles de aplicaciones adaptables para crear listas de permitidos con las
aplicaciones que deben o no ejecutarse en las máquinas.
 Descripción de los factores que pueden afectar a los costos en Azure

Azure desplaza los costos de desarrollo del gasto de capital (CapEx) de la construcción y mantenimiento de la
infraestructura y las instalaciones a un gasto operativo (OpEx) de alquiler de la infraestructura según la
necesite, ya sea de proceso, de almacenamiento, redes, etc.

Ese costo de OpEx puede verse afectado por muchos factores. Algunos de los factores que afectan son los
siguientes:

 Tipo de recurso
 Consumo
 Mantenimiento
 Geography
 Tipo de suscripción
 Azure Marketplace
Tipo de recurso
Varios factores influyen en el costo de los recursos de Azure. El tipo de recursos, la configuración del recurso y
la región de Azure afectarán a cuánto cuesta un recurso. Al aprovisionar un recurso de Azure, Azure crea
instancias de uso medido para ese recurso. Los medidores realizan el seguimiento del uso de los recursos y
generan un registro de uso que se usa para calcular la factura.

Ejemplos
Con una cuenta de almacenamiento, se especifica un tipo como blob, un nivel de rendimiento, un nivel de
acceso, una configuración de redundancia y una región. La creación de la misma cuenta de almacenamiento en
otras regiones puede mostrar otros costos y el cambio de cualquiera de las opciones de configuración también
puede afectar al precio.

Con una máquina virtual (VM), es posible que tenga que considerar la posibilidad de licencias para el sistema
operativo u otro software, el procesador y el número de núcleos de la máquina virtual, el almacenamiento
conectado y la interfaz de red. Como sucede con el almacenamiento, el aprovisionamiento de la misma
máquina virtual en otras regiones puede dar lugar a otros costos.

Consumo
El pago por uso ha sido siempre un tema coherente y es el modelo de pago en la nube en el que paga por los
recursos que usa durante un ciclo de facturación. Si durante este ciclo usa más proceso, paga más. Si usa
menos en el ciclo actual, paga menos. Es un mecanismo de precios directo que permite la máxima flexibilidad.

Pero Azure también ofrece la capacidad de comprometerse a usar una cantidad establecida de recursos en la
nube de antemano y recibir descuentos por esos recursos "reservados". Muchos servicios, incluidas las bases
de datos, el proceso y el almacenamiento, proporcionan la opción de comprometerse con un nivel de uso y
recibir un descuento, en algunos casos de hasta 72 %.

Al reservar capacidad, se compromete a usar y pagar por una determinada cantidad de recursos de Azure
durante un período determinado (normalmente uno o tres años). Con el respaldo del pago por uso, si se
produce un aumento repentino de la demanda que eclipsa lo que ha reservado previamente, solo paga por los
recursos adicionales que superen la reserva. Este modelo le permite reconocer ahorros importantes en cargas
de trabajo confiables y coherentes, a la vez que tiene la flexibilidad de aumentar rápidamente la superficie de
la nube a medida que surge la necesidad.

Mantenimiento
La flexibilidad de la nube permite ajustar rápidamente los recursos en función de la demanda. El uso de grupos
de recursos puede ayudar a mantener todos los recursos organizados. Para controlar los costos, es importante
mantener el entorno en la nube. Por ejemplo, cada vez que se aprovisiona una máquina virtual, también se
aprovisionan recursos adicionales, como los de almacenamiento y redes. Si desaprovisiona la máquina virtual,
es posible que esos recursos adicionales no se desaprovisionen al mismo tiempo, ya sea de forma intencionada
o involuntaria. Al vigilar los recursos y asegurarse de que no mantiene los que ya no son necesarios, puede
ayudar a controlar los costos de la nube.

Geography
Al aprovisionar la mayoría de los recursos en Azure, debe definir una región donde se implementará el recurso.
La infraestructura de Azure se distribuye de forma global, lo que le permite implementar los servicios de
manera centralizada, acercarlos a los clientes o una solución intermedia. Esta implementación global tiene
diferencias de precios globales. El costo de la energía, la mano de obra, los impuestos y las tarifas varían en
función de la ubicación. Debido a estas variaciones, los recursos de Azure pueden diferir en los costos de
implementación en función de la región.

El tráfico de red también se ve afectado por la geografía. Por ejemplo, es menos costoso mover información
dentro de Europa que hacerlo de Europa a Asia o Sudamérica.

tráfico de red
Las zonas de facturación son un factor a la hora de determinar el costo de algunos servicios de Azure.

El ancho de banda hace referencia a los datos que entran y salen de los centros de datos de Azure. Algunas
transferencias de datos entrantes (datos que se dirigen a los centros de datos de Azure) son gratis. En cuanto a
las transferencias de datos salientes (datos que salen de los centros de datos de Azure), el precio de la
transferencia de datos se basa en las zonas.

Una zona es una agrupación geográfica de regiones de Azure para fines de facturación. La página de precios de
ancho de banda tiene información adicional sobre los precios de la entrada, salida y transferencia de datos.

Tipo de suscripción
Algunos tipos de suscripciones de Azure también incluyen provisiones de uso que afectan a los costos.

Por ejemplo, una suscripción de evaluación gratuita de Azure proporciona acceso a una serie de productos de
Azure gratis durante 12 meses. También incluye un crédito para gastar en los primeros 30 días de la
suscripción. Obtendrá acceso a más de 25 productos que siempre son gratuitos (según la disponibilidad de
recursos y regiones).

Azure Marketplace
Azure Marketplace le permite comprar soluciones y servicios basados en Azure de proveedores de terceros.
Podría tratarse de un servidor con software preinstalado y configurado, o dispositivos de firewall de red
administrados, o bien conectores para servicios de copia de seguridad de terceros. Al comprar productos desde
Azure Marketplace, es posible que no solo pague por los servicios de Azure que usa, sino también por los
servicios o la experiencia del proveedor de terceros. El proveedor establece las estructuras de facturación.

Todas las soluciones disponibles en Azure Marketplace están certificadas y son compatibles con las directivas y
los estándares de Azure. Las directivas de certificación pueden variar en función del tipo de servicio o solución,
y del servicio de Azure implicado. Las directivas de certificación de Marketplace comercial tienen información
adicional sobre las certificaciones de Azure Marketplace.

Comparación de las calculadoras de precios y costo total de propiedad

Las calculadoras de precios y de costo total de propiedad (TCO) le ayudan a comprender los posibles gastos de
Azure. Las dos calculadoras son accesibles desde Internet y permiten crear una configuración. Pero las dos
calculadoras tienen propósitos muy diferentes.

Calculadora de precios
La calculadora de precios está diseñada para proporcionarle un costo estimado para el aprovisionamiento de
recursos en Azure. Puede obtener una estimación de recursos individuales, crear una solución o usar un
escenario de ejemplo para ver una estimación del gasto de Azure. La calculadora de precios se centra en el
costo de los recursos aprovisionados en Azure.

Nota La calculadora de precios solo tiene fines informativos. Los precios son solo una estimación. No se
aprovisiona nada al agregar recursos a la calculadora de precios y no se le cobrará por ningún servicio que
seleccione.

Con la calculadora de precios, puede calcular los costos de cualquier recurso aprovisionado, incluidos los de
proceso, almacenamiento y red asociados. Incluso puede tener en cuenta diferentes opciones de
almacenamiento, como el tipo de almacenamiento, el nivel de acceso y la redundancia.
Calculadora de TCO
La calculadora de TCO está diseñada para ayudarle a comparar los costos de ejecución de una infraestructura
local en comparación con una infraestructura en la nube de Azure. Con la calculadora de TCO, se especifica la
configuración de infraestructura actual, incluidos los servidores, las bases de datos, el almacenamiento y el
tráfico de red saliente. Después, la calculadora de TCO compara los costos previstos del entorno actual con un
entorno de Azure que admite los mismos requisitos de infraestructura.

Con la calculadora de TCO, escribe la configuración, agrega suposiciones como los costos de mano de obra de
TI y de energía, y obtiene una estimación de la diferencia de costos para ejecutar el mismo entorno en el centro
de datos actual o en Azure.

Descripción de la herramienta Azure Cost Management

Microsoft Azure es un proveedor de nube global, lo que significa que puede aprovisionar recursos en cualquier
parte del mundo. Puede aprovisionar recursos rápidamente para satisfacer una demanda repentina, para
probar una nueva característica o en caso de accidente. Si aprovisiona accidentalmente nuevos recursos, es
posible que no lo sepa hasta que le llegue la factura. Cost Management es un servicio de Azure que ayuda a
evitar esas situaciones.

¿Qué es Cost Management?

Cost Management proporciona la capacidad de comprobar rápidamente los costos de los recursos de Azure,
crear alertas basadas en el gasto de recursos y crear presupuestos que se pueden usar para automatizar la
administración de recursos.

El análisis de costos es un subconjunto de Cost Management que proporciona una vista rápida de los costos de
Azure. Con el análisis de costos, puede ver rápidamente el costo total de varias maneras diferentes, incluido
por ciclo de facturación, región, recurso, etc.

Los análisis de costos se usan para explorar y analizar los costos de su organización. Puede ver los costos
agregados por organización para saber dónde se acumulan estos e identificar las tendencias de gasto. Además,
puede ver los costos acumulados con el tiempo para estimar las tendencias de costos mensual, trimestral o
incluso anualmente con respecto a un presupuesto.

Alertas sobre los costos

Las alertas de costos proporcionan una única ubicación para comprobar rápidamente todos los diferentes tipos
de alertas que pueden aparecer en el servicio Cost Management. Los tres tipos de alertas que pueden aparecer
son las siguientes:

 Alertas de presupuesto
 Alertas de crédito
 Alertas de cuota de gasto de departamento
Alertas de presupuesto
Las alertas de presupuesto le envían una notificación cuando el gasto, en función del uso o coste, alcanza o
supera la cantidad definida en la condición de alerta del presupuesto. Los presupuestos de Cost Management
se crean mediante Azure Portal o la API de consumo de Azure.

En Azure Portal, los presupuestos se definen por el costo. Al usar Azure Consumption API, los presupuestos se
definen por costo o por uso de consumo. Las alertas de presupuesto admiten presupuestos basado en costes o
en uso. Las alertas de presupuesto se generan automáticamente cada vez que se cumplen las condiciones de
alerta de presupuesto. Puede ver todas las alertas de costes en Azure Portal. Cada vez que se genera una
alerta, aparece en las alertas de costo. También se envía un correo electrónico de alerta a los usuarios de la
lista de destinatarios de alertas del presupuesto.

Alertas de crédito
Las alertas de crédito le avisan cuando se consumen los compromisos monetarios de crédito de Azure. Los
compromisos monetarios son para organizaciones con contratos Enterprise (EA). Las alertas de crédito se
generan de forma automática al 90 % y al 100 % del saldo de crédito de Azure. Cada vez que se genera una
alerta, se refleja en las alertas sobre los costos y en el correo electrónico que se envía a los propietarios de la
cuenta.
Alertas de cuota de gasto de departamento
Las alertas de cuota de gasto de departamento notifican cuándo el gasto del departamento alcanza un umbral
fijo de la cuota. Las cuotas de gasto se configuran en el portal de EA. Cada vez que se alcanza un umbral, se
genera un correo electrónico para los propietarios del departamento y se muestra en las alertas sobre los
costos. Por ejemplo, el 50 % o el 75 % de la cuota.

Presupuestos
Un presupuesto es donde se establece un límite de gasto para Azure. Puede establecer presupuestos basados
en una suscripción, un grupo de recursos, un tipo de servicio u otros criterios. Al establecer un presupuesto,
también establecerá una alerta de presupuesto. Cuando el presupuesto alcanza el nivel de alerta de
presupuesto, desencadenará una alerta de presupuesto que se muestra en el área de alertas de costos. Si se
configuran, las alertas de presupuesto también enviarán una notificación por correo electrónico de que se ha
desencadenado un umbral de alerta de presupuesto.

Un uso más avanzado de los presupuestos permite que las condiciones presupuestarias desencadenen la
automatización que suspende o modifica los recursos una vez que se haya producido la condición del
desencadenador.

Descripción de la finalidad de las etiquetas

A medida que el uso que hacemos de la nube va en aumento, es cada vez más importante mantenerse
organizado. Una buena estrategia de organización nos ayudará a conocer cuál es nuestro uso de la nube, así
como a administrar los costos.

Un método para organizar los recursos relacionados es colocarlos en sus propias suscripciones. También se
pueden usar grupos de recursos para administrarlos. Las etiquetas de recursos son otra forma de organizar
recursos. Las etiquetas proporcionan información extra, o metadatos, sobre los recursos. Estos metadatos son
útiles para lo siguiente:

 Administración de recursos: las etiquetas permiten localizar recursos asociados a cargas de trabajo,
entornos, unidades de negocio y propietarios específicos y actuar al respecto.
 Optimización y administración de costes: las etiquetas permiten agrupar recursos para que podamos
informar sobre los costes, asignar centros de costes internos, mantener los presupuestos a raya y
predecir costes estimados.
 Administración de operaciones: las etiquetas permiten agrupar recursos según la importancia que
tiene su disponibilidad para nuestro negocio. Esta agrupación nos ayuda a formular acuerdos de nivel
de servicio (SLA), que constituyen una garantía de rendimiento o de tiempo de actividad entre nosotros
y nuestros usuarios.
 Seguridad: las etiquetas permiten clasificar los datos según su nivel de seguridad, por ejemplo, públicos
o confidenciales.
 Gobernanza y cumplimiento normativo: las etiquetas permiten identificar los recursos que cumplen
con los requisitos de gobernanza o cumplimiento normativo, como la norma ISO 27001. Las etiquetas
también pueden formar parte de nuestros esfuerzos de aplicación de estándares. Así, podríamos exigir
que todos los recursos se etiqueten con un nombre de departamento o propietario.
 Automatización y optimización de las cargas de trabajo: las etiquetas pueden servir para ver todos los
recursos que participan en implementaciones complejas. Por ejemplo, podemos etiquetar un recurso
con su nombre de aplicación o carga de trabajo asociado y usar un software como Azure DevOps para
realizar tareas automatizadas en esos recursos.
¿Cómo se administran las etiquetas de recursos?
Puede agregar, modificar o eliminar etiquetas de recursos mediante Windows PowerShell, la CLI de Azure,
plantillas de Azure Resource Manager, la API REST o Azure Portal.

Puede usar Azure Policy para aplicar reglas de etiquetado y convenciones. Así, podemos requerir que se
agreguen determinadas etiquetas a los nuevos recursos a medida que se aprovisionan. Asimismo, podemos
definir reglas que vuelvan a aplicar etiquetas que se han quitado. Las etiquetas no se heredan, lo que significa
que puede aplicar etiquetas un nivel y no hacer que se muestren automáticamente en otro nivel, lo que le
permite crear esquemas de etiquetado personalizados que cambien según el nivel (recurso, grupo de recursos,
suscripción, etc.).
Ejemplo de una estructura de etiquetado
Una etiqueta de recurso se compone de un nombre y un valor. Podemos asignar una o más etiquetas a cada
recurso de Azure.

Recordemos que no es necesario requerir que una etiqueta específica esté presente en todos los recursos. Por
ejemplo, podemos decidir que solo los recursos críticos tengan la etiqueta Impact. De este modo, todos
aquellos recursos que no estén etiquetados no se considerarán como críticos.

Descripción del propósito de Azure Blueprints

¿Qué ocurre cuando nuestra nube empieza a crecer por encima de una sola suscripción o entorno? ¿Cómo
puede escalar la configuración de las características? ¿Cómo puede aplicar la configuración y las directivas en
nuevas suscripciones?

Azure Blueprints le permite estandarizar las implementaciones de entorno o suscripción en la nube. En lugar de
tener que configurar características como Azure Policy para cada nueva suscripción, con Azure Blueprints
puede definir la configuración repetible y las directivas que se aplican a medida que se crean suscripciones.
¿Necesita un nuevo entorno de pruebas y desarrollo? Azure Blueprints permite implementar un nuevo entorno
de pruebas y desarrollo con las opciones de seguridad y cumplimiento ya configuradas. De este modo, los
equipos de desarrollo pueden crear e implementar rápidamente nuevos entornos sabiendo que se crean de
acuerdo con los estándares organizativos.

¿Qué son los artefactos?

Cada componente de la definición de un plano técnico se denomina artefacto.

Es posible que los artefactos no tengan parámetros adicionales (configuraciones). Un ejemplo es la directiva
Implementar la detección de amenazas en servidores SQL Server, que no requiere ninguna configuración
adicional.

Los artefactos también pueden contener uno o más parámetros que se pueden configurar. En la siguiente
captura de pantalla se muestra la directiva Ubicaciones permitidas, que incluye un parámetro que especifica las
ubicaciones que se pueden usar.

Puede especificar el valor de un parámetro al crear la definición del plano técnico o al asignar la definición del
plano a un ámbito. De este modo, puede mantener un plano técnico estándar, pero con la flexibilidad
suficiente para especificar los parámetros de configuración pertinentes en cada ámbito en el que se asigne la
definición.

Azure Blueprints implementa un nuevo entorno en función de todos los requisitos, las opciones y las
configuraciones de los artefactos asociados. Los artefactos pueden incluir cosas como las siguientes:

 Asignaciones de roles
 Asignaciones de directivas
 Plantillas de Azure Resource Manager
 Grupos de recursos
¿Cómo ayuda Azure Blueprints a supervisar las implementaciones?
Azure Blueprints es capaz de crear versiones, lo que le permite establecer una configuración inicial y, después,
realizar actualizaciones más adelante y asignar una nueva versión a la actualización. Con el control de
versiones, puede realizar pequeñas actualizaciones y realizar un seguimiento de las implementaciones que se
usan en el conjunto de configuración.

Con Azure Blueprints, la relación entre la definición del plano técnico (lo que debe ser implementado) y su
asignación (lo que se ha implementado) permanece. En otras palabras, Azure crea un registro que asocia un
recurso con el plano técnico que lo define, y gracias a esta conexión podemos realizar el seguimiento y la
auditoría de nuestras implementaciones.

Descripción del propósito de Azure Policy

¿Cómo puede asegurarse de que estos recursos mantengan su cumplimiento? ¿Puede recibir un aviso cuando
la configuración de un recurso cambie?

Azure Policy es un servicio de Azure que permite crear, asignar y administrar directivas que controlan o auditan
los recursos. Dichas directivas aplican distintas reglas en las configuraciones de los recursos para que esas
configuraciones sigan cumpliendo con los estándares corporativos.

¿Cómo se definen directivas en Azure Policy?

Azure Policy permite definir tanto directivas individuales como grupos de directivas relacionadas, lo que se
conoce como iniciativas. Azure Policy evalúa los recursos y resalta los que no cumplen las directivas que hemos
creado. Azure Policy también puede impedir que se creen recursos no conformes.

Las directivas de Azure se pueden establecer en cada nivel, lo que le permite establecer directivas en un
recurso específico, un grupo de recursos, una suscripción, etc. Además, las directivas de Azure se heredan, por
lo que si establece una directiva de nivel alto, se aplicará automáticamente a todas las agrupaciones que se
encuentran dentro del elemento primario. Por ejemplo, si establece una directiva de Azure en un grupo de
recursos, todos los recursos creados en ese grupo de recursos recibirán automáticamente la misma directiva.

Azure Policy incluye definiciones de iniciativas y directivas integradas para categorías como Almacenamiento,
Redes, Proceso, Centro de Seguridad y Supervisión. Por ejemplo, si define una directiva que permite usar
exclusivamente un determinado tamaño para las máquinas virtuales (VM) en el entorno, esa directiva se invoca
al crear una nueva máquina virtual y cada vez que se cambia el tamaño de las ya existentes. Azure Policy
también evalúa y supervisa todas las máquinas virtuales actuales del entorno, incluidas las máquinas virtuales
que se crearon antes de crear la directiva.

En algunos casos, Azure Policy puede corregir automáticamente los recursos y configuraciones no conformes
para garantizar la integridad del estado de los recursos. Por ejemplo, si todos los recursos de un determinado
grupo de recursos deben etiquetarse con la etiqueta AppName y un valor de "SpecialOrders", Azure Policy
aplicará automáticamente esa etiqueta si se ha quitado. Sin embargo, sigue conservando el control total del
entorno. Si tiene un recurso específico que no desea que Azure Policy corrija automáticamente, puede marcar
ese recurso como una excepción y la directiva no corregirá automáticamente ese recurso.

Azure Policy se integra con Azure DevOps aplicando directivas de integración continua y canalización de
entrega que competen a las fases de implementación anterior y posterior de las aplicaciones.

¿Qué son las iniciativas Azure Policy?

Una iniciativa de Azure Policy es una forma de agrupar las directivas relacionadas. La definición de iniciativa
contiene todas las definiciones de directiva para facilitar el seguimiento del estado de cumplimiento de cara a
un objetivo mayor.

Por ejemplo, Azure Policy incluye una iniciativa denominada Habilitar la supervisión en Azure Security Center,
Su objetivo es supervisar todas las recomendaciones de seguridad disponibles para todos los tipos de recursos
de Azure en Azure Security Center.

En esta iniciativa se incluyen las siguientes definiciones de directiva:

 Supervisar base de datos SQL sin cifrar en Security Center: esta directiva supervisa servidores y bases
de datos SQL sin cifrar.
 Supervisión de los puntos vulnerables del sistema operativo en Security Center: esta directiva supervisa
los servidores que no cumplen la línea base de la vulnerabilidad del sistema operativo configurada.
  Supervisar la falta de Endpoint Protection en Security Center: esta directiva supervisa los servidores
que no tienen instalado un agente de Endpoint Protection.
La iniciativa Habilitar la supervisión en Azure Security Center contiene más de 100 definiciones de directiva
independientes, de hecho.

Descripción del propósito de bloqueos de recursos

Los bloqueos de recursos impiden que se eliminen o modifiquen recursos por error.

Aun cuando haya directivas de control de acceso basado en roles de Azure (RBAC de Azure) en vigor, sigue
existiendo el riesgo de que alguien con el nivel de acceso adecuado elimine recursos de nube críticos. Los
bloqueos de recursos impiden que los recursos se eliminen o actualicen, según el tipo de bloqueo. Los
bloqueos de recursos se pueden aplicar a recursos individuales, grupos de recursos o incluso a una suscripción
completa. Los bloqueos de recursos se heredan, lo que significa que si coloca un bloqueo de recursos en un
grupo de recursos, también se aplicará el bloqueo a todos los recursos dentro del grupo.

Tipos de bloqueos de recursos

Hay dos tipos de bloqueos de recursos, uno que impide que los usuarios eliminen un recurso y otro que impide
que los usuarios lo cambien o eliminen.

 Eliminar significa que los usuarios autorizados pueden leer y modificar un recurso, pero no eliminarlo.
 ReadOnly significa que los usuarios autorizados solo pueden leer recursos, pero no actualizarlos ni
eliminarlos. Aplicar este bloqueo es similar a restringir todos los usuarios autorizados a los permisos
concedidos por el rol Lector.
¿Cómo se administran los bloqueos de recursos?
Los bloqueos de recursos se pueden administrar en Azure Portal, PowerShell, la CLI de Azure o con una plantilla
de Azure Resource Manager.

Para ver, agregar o eliminar bloqueos en Azure Portal, vaya a la sección Configuración del panel Configuración
de cualquier recurso en Azure Portal.

¿Cómo se elimina o cambia un recurso bloqueado?

Aunque los bloqueos impiden que se produzcan cambios por error, se pueden seguir realizando cambios
realizando un proceso de dos pasos.

Para modificar un recurso bloqueado, primero hay que quitar el bloqueo. Tras quitarlo, podemos aplicar
cualquier acción que podamos realizar de acuerdo a nuestros permisos. Los bloqueos de recursos se aplican
con independencia de los permisos RBAC. Es decir, aun siendo el propietario del recurso, tendremos que quitar
el bloqueo antes de poder realizar la actividad bloqueada.

Descripción de las ventajas del portal de confianza de servicios

El Portal de confianza de servicios de Microsoft es un portal que proporciona contenido, herramientas y otros
recursos sobre las prácticas de seguridad, privacidad y cumplimiento de Microsoft.

El Portal de confianza de servicios contiene detalles sobre la implementación de controles y procesos de

Microsoft que protegen nuestros servicios en la nube y los datos de los clientes que contienen. Para acceder a
algunos de los recursos del Portal de confianza de servicios, debe iniciar sesión con un usuario autenticado con
su cuenta de Servicios en la nube de Microsoft (cuenta de organización de Azure Active Directory). Deberá
revisar y aceptar el acuerdo de no divulgación de Microsoft para acceder a los materiales de cumplimiento.

Acceso al Portal de confianza de servicios

Puede acceder al Portal de confianza de servicios en https://servicetrust.microsoft.com/.

Las características y el contenido del Portal de confianza de servicios son accesibles desde el menú principal.
Las categorías del menú principal son:

 El Portal de confianza de servicios proporciona un hipervínculo de acceso rápido para volver a la página
principal del Portal de confianza de servicios.
 Los Documentos de confianza proporcionan una gran cantidad de información de diseño e
implementación de seguridad. El objetivo de la información es facilitarle el cumplimiento de los
objetivos reglamentarios mediante la comprensión de cómo los servicios de Microsoft Cloud
 mantienen los datos seguros. Los documentos de confianza tienen elementos secundarios, entre los
que se incluyen los informes de auditoría, la protección de datos y Azure Stack.
 Sectores y regiones proporciona información de cumplimiento específica de la región sobre los
servicios de Microsoft Cloud.
 El Centro de confianza vincula al Centro de confianza de Microsoft. El Centro de confianza proporciona
más información sobre la seguridad, el cumplimiento y la privacidad en Microsoft Cloud. Esto incluye:
información sobre las funcionalidades de los servicios de Microsoft Cloud que puede usar para abordar
requisitos específicos del Reglamento general de protección de datos; documentación útil para la
responsabilidad del RGPD, y documentación útil para comprender las medidas técnicas y organizativas
que Microsoft ha adoptado para respaldar el RGPD.
 Los recursos proporcionan acceso a más recursos, como el Centro de seguridad y cumplimiento,
información sobre los centros de datos globales de Microsoft y Preguntas más frecuentes.
 Mi biblioteca le permite guardar (o fijar) documentos para acceder rápidamente a ellos en la página Mi
biblioteca. También puede establecer una configuración para recibir notificaciones cuando se
actualicen los documentos en Mi biblioteca.
Nota Los informes y documentos del Portal de confianza de servicios están disponibles para descargarse
durante al menos 12 meses después de la publicación o hasta que haya disponible una nueva versión del
documento.

Descripción de las herramientas para interactuar con Azure

Para sacar el máximo partido de Azure, necesita una manera de interactuar con el entorno de Azure, los grupos
de administración, las suscripciones, los grupos de recursos, los recursos, etc. Azure proporciona varias
herramientas para administrar el entorno, lo que incluye:

 Azure portal
 Azure PowerShell
 Interfaz de la línea de comandos (CLI) de Azure
¿Qué es Azure Portal?
Azure Portal es una consola unificada basada en web que proporciona una alternativa a las herramientas de
línea de comandos. Con Azure Portal, puede administrar la suscripción de Azure mediante una interfaz gráfica
de usuario. Puede:

 Construir, administrar y supervisar todo, desde aplicaciones web sencillas hasta complejas
implementaciones en la nube
 Crear paneles personalizados para una visualización organizada de los recursos
 Configurar opciones de accesibilidad para una experiencia óptima

Azure Portal está diseñado para proporcionar resistencia y disponibilidad continua. Mantiene una presencia en
todos los centros de datos de Azure. Esta configuración hace que Azure Portal sea resistente a los errores de
centros de datos individuales y evita que se ralentice la red al estar cerca de los usuarios. Azure Portal no deja
de actualizarse y no requiere tiempo de inactividad para las actividades de mantenimiento.

Azure Cloud Shell

Azure Cloud Shell es una herramienta de Shell basada en explorador que permite crear, configurar y
administrar recursos de Azure mediante un Shell. Azure Cloud Shell admite tanto Azure PowerShell como la
interfaz de la línea de comandos (CLI) de Azure, que es un Shell de Bash.

Puede acceder a Azure Cloud Shell desde el Portal de Azure seleccionando el icono de Cloud Shell:

Azure Cloud Shell tiene varias características que lo convierten en una oferta única que le proporciona
asistencia para administrar Azure. Algunas de esas características son:

Es una experiencia de Shell basada en explorador, que no requiere instalación ni configuración local.
Se autentica con las credenciales de Azure, por lo que cuando inicia sesión en él, sabe de forma inherente
quién es y qué permisos tiene.
Se elige el Shell con el que se está más familiarizado; Azure Cloud Shell admite tanto Azure PowerShell como la
CLI de Azure (que usa Bash).
¿Qué es Azure PowerShell?
Azure PowerShell es un Shell que permite a los desarrolladores y a los profesionales de TI y DevOps ejecutar
comandos denominados command-lets (cmdlets). Estos comandos llaman a la API de REST de Azure para
realizar las tareas de administración en Azure. Los cmdlets se pueden ejecutar de forma independiente para
controlar los cambios puntuales o se pueden combinar para ayudar a orquestar acciones complejas como:

La configuración de rutinas, la anulación y el mantenimiento de un único recurso o de varios recursos

conectados.
La implementación de una infraestructura completa, que puede contener decenas o cientos de recursos, de
código imperativo.
La captura de los comandos en un script hace que el proceso se pueda repetir y automatizar.

Además de estar disponible a través de Azure Cloud Shell, puede instalar y configurar Azure PowerShell en
plataformas Windows, Linux y Mac.

¿Qué es la CLI de Azure?

La CLI de Azure es funcionalmente equivalente a Azure PowerShell, y la diferencia principal es la sintaxis de los
comandos. Azure PowerShell usa comandos de PowerShell y la CLI de Azure usa comandos de Bash.

La CLI de Azure proporciona las mismas ventajas de controlar tareas discretas u organizar operaciones
complejas a través del código. También se puede instalar en plataformas Windows, Linux y Mac, así como a
través de Azure Cloud Shell.

Debido a las similitudes en las funcionalidades y el acceso entre Azure PowerShell y la CLI de Azure basada en
Bash, la elección entre uno y otra depende básicamente del lenguaje con el que esté más familiarizado.

Descripción del propósito de Azure Arc

La administración de entornos híbridos y de varias nubes puede complicarse rápidamente. Azure proporciona
una serie de herramientas para aprovisionar, configurar y supervisar recursos de Azure. ¿Qué ocurre con los
recursos locales en una configuración híbrida o los recursos de nube en una configuración de varias nubes?

Al usar Azure Resource Manager (ARM), Arc le permite ampliar el cumplimiento y la supervisión de Azure a las
configuraciones híbridas y de varias nubes. Azure Arc simplifica el gobierno y la administración al ofrecer una
plataforma de administración local y multinube coherente.

Azure Arc proporciona una manera centralizada y unificada de:

 Administrar todo el entorno mediante la proyección de los recursos existentes que no son de Azure en
ARM.
 Administrar las máquinas virtuales híbridas y de varias nubes, los clústeres de Kubernetes y las bases
de datos como si se ejecutaran en Azure.
 Usar los servicios y funcionalidades de administración de Azure que conozca, independientemente de
dónde se encuentren.
 Seguir usando ITOps tradicionales al tiempo que se incorporan procedimientos de DevOps para admitir
en el entorno patrones nuevos y nativos de nube.
 Configurar ubicaciones personalizadas como una capa de abstracción a partir del clúster de Kubernetes
habilitado para Azure Arc y las extensiones de clúster.
¿Qué puede hacer Azure Arc fuera de Azure?
Actualmente, Azure Arc le permite administrar los siguientes tipos de recursos hospedados fuera de Azure:

 Servidores
 Clústeres de Kubernetes
 Servicios de datos de Azure
 SQL Server
 Máquinas virtuales (versión preliminar)

Descripción de las plantillas de Azure Resource Manager y Azure ARM

Azure Resource Manager (ARM) es el servicio de implementación y administración de Azure. Proporciona una
capa de administración que le permite crear, actualizar y eliminar recursos de la cuenta de Azure. Cada vez que
haga algo con los recursos de Azure, ARM está implicado.

Cuando un usuario envía una solicitud de cualquiera de las herramientas, API o SDK de Azure, ARM la recibe.
ARM autentica y autoriza la solicitud. Después, ARM envía la solicitud al servicio de Azure, que lleva a cabo la
acción solicitada. Verá resultados y funcionalidades coherentes en todas las herramientas, ya que todas las
solicitudes se controlan mediante la misma API.

Ventajas de Azure Resource Manager

Con Azure Resource Manager, puede realizar lo siguiente:

 Administrar la infraestructura mediante plantillas declarativas en lugar de scripts. Una plantilla de

Resource Manager es un archivo JSON que define lo que quiere implementar en Azure.
 Implementar, administrar y supervisar todos los recursos de la solución en grupo, en lugar de
controlarlos individualmente.
 Vuelva a implementar la solución a lo largo del ciclo de vida de desarrollo y tenga la seguridad de que
los recursos se implementan en un estado coherente.
 Defina las dependencias entre recursos de modo que se implementen en el orden correcto.
 Aplique control de acceso a todos los servicios, puesto que RBAC se integra de forma nativa en la
plataforma de administración.
 Aplicar etiquetas a los recursos para organizar de manera lógica todos los recursos de la suscripción.
 Comprenda la facturación de la organización viendo los costos de un grupo de recursos que comparten
la misma etiqueta.

Plantillas de ARM
La infraestructura como código es un concepto en el que la infraestructura se administra como líneas de
código. Aprovechar Azure Cloud Shell, Azure PowerShell o la CLI de Azure son algunos ejemplos de uso del
código para implementar la infraestructura en la nube. Las plantillas de ARM son otro ejemplo de
infraestructura como código en acción.

Al usar plantillas de ARM, puede describir los recursos que quiere usar en un formato JSON declarativo. Con
una plantilla de ARM, el código de implementación se comprueba antes de que se ejecute cualquier código.
Esto garantiza que los recursos se crearán y se conectarán correctamente. A continuación, la plantilla organiza
la creación de esos recursos en paralelo. Es decir, si necesita 50 instancias del mismo recurso, se crean las 50
instancias al mismo tiempo.

Por último, el desarrollador, profesional de DevOps o profesional de TI solo tiene que definir el estado y la
configuración de cada recurso en la plantilla de Resource Manager, y la plantilla hace el resto. Las plantillas
pueden incluso ejecutar scripts de PowerShell y Bash antes o después de configurar el recurso.

Ventajas del uso de plantillas de ARM

Las plantillas de ARM proporcionan muchas ventajas al planear la implementación de recursos de Azure.
Algunas de esas ventajas son las siguientes:

 Sintaxis declarativa: las plantillas de Resource Manager permiten crear e implementar una
infraestructura de Azure completa de forma declarativa. La sintaxis declarativa significa que declara lo
que quiere implementar, pero no es necesario escribir los comandos de programación y la secuencia
reales para implementar los recursos.
 Resultados repetibles: Implemente repetidamente la infraestructura a lo largo del ciclo de vida del
desarrollo y tenga la seguridad de que los recursos se implementan de forma coherente. Puede usar la
misma plantilla de ARM para implementar varios entornos de desarrollo y pruebas, sabiendo que todos
los entornos son los mismos.
 Orquestación: No tiene que preocuparse por la complejidad de las operaciones de ordenación. Azure
Resource Manager orquesta la implementación de recursos interdependientes para que se creen en el
orden correcto. Siempre que sea posible, Azure Resource Manager implementa los recursos en
paralelo para que las implementaciones finalicen más rápido que las implementaciones en serie. La
plantilla se implementa mediante un comando, en lugar de hacerlo con varios comandos imperativos.
 Archivos modulares: Puede dividir las plantillas en componentes más pequeños y reutilizables y
vincularlos en el momento de la implementación. También puede anidar una plantilla dentro de otra.
Por ejemplo, podría crear una plantilla para una pila de máquinas virtuales y, después, anidar esa
plantilla dentro de las que implementan entornos completos, y esa pila de máquinas virtuales se
implementará de forma coherente en cada una de las plantillas de entorno.
 Extensibilidad: con los scripts de implementación, puede agregar scripts de PowerShell o Bash a las
plantillas. Los scripts de implementación amplían su capacidad para configurar recursos durante la
implementación. Un script se puede incluir en la plantilla, o bien almacenarse en un origen externo y
 hacerle referencia en la plantilla. Los scripts de implementación le ofrecen la posibilidad de completar
la configuración del entorno integral en una sola plantilla de ARM.

Descripción del propósito de Azure Advisor

Azure Advisor evalúa los recursos de Azure y hace recomendaciones que contribuyen a mejorar la
confiabilidad, la seguridad y el rendimiento, lograr la excelencia operativa y reducir los costos. Azure Advisor
está diseñado para ayudarle a ahorrar tiempo en la optimización en la nube. El servicio de recomendaciones
sugiere medidas que puede adoptar de inmediato, posponer o descartar.

Las recomendaciones están disponibles con Azure Portal y la API. Además, es posible configurar notificaciones
para estar al tanto de las nuevas recomendaciones.

Cuando está en Azure Portal, el panel de Advisor muestra recomendaciones personalizadas para todas las
suscripciones. Puede usar filtros a fin de seleccionar recomendaciones para suscripciones, grupos de recursos o
servicios específicos. Las recomendaciones se dividen en cinco categorías:

 La fiabilidad se usa para garantizar y mejorar la continuidad de las aplicaciones críticas para la empresa.
 La seguridad se usa para detectar amenazas y vulnerabilidades que podrían conducir a vulneraciones
de la seguridad.
 El rendimiento se usa para mejorar la velocidad de las aplicaciones.
 La excelencia operativa se usa para aumentar la eficiencia de procesos y flujos de trabajo, mejorar la
administración de recursos y obtener procedimientos recomendados para la implementación.
 El costo se usa para optimizar y reducir el gasto general de Azure.

Descripción de Azure Service Health

Microsoft Azure proporciona una solución global en la nube para ayudarle a administrar sus necesidades de
infraestructura, llegar a sus clientes, innovar y adaptarse rápidamente. Conocer el estado de la infraestructura
global de Azure y los recursos individuales podría parecer una tarea abrumadora. Azure Service Health le
permite realizar un seguimiento de los recursos de Azure, tanto los recursos implementados específicamente
como el estado general de Azure. Azure Service Health lo hace combinando tres servicios de Azure diferentes:

 Estado de Azure es una visión general del estado de Azure de forma global. Estado de Azure informa de
las interrupciones de servicio en Azure en la página de estado de Azure . La página es una vista global
del estado de todos los servicios y regiones de Azure. Es una buena referencia de los incidentes con un
impacto generalizado.
 Service Health proporciona una vista más limitada del estado de los servicios y regiones de Azure. Se
centra en los servicios y regiones de Azure que usa. Es el mejor lugar para buscar comunicaciones que
afecten a los servicios relativas a interrupciones, actividades de mantenimiento planeado y otros avisos
de mantenimiento, ya que tras la autenticación, Service Health conoce los servicios y recursos que usa
en la actualidad. Incluso puede configurar las alertas de Service Health para que le envíen
notificaciones cuando se produzcan problemas del servicio, mantenimientos planeados o cualquier
otro cambio que pueda afectar a los servicios y regiones de Azure que usa.
 Resource Health es una vista personalizada de los recursos reales de Azure. Proporciona información
sobre el estado de los recursos en la nube individuales, como una instancia de máquina virtual
concreta. Mediante Azure Monitor también puede configurar alertas que le notifiquen los cambios de
disponibilidad de los recursos en la nube.
Con el Estado de Azure, Service Health y Resource Health, Azure Service Health ofrece una vista completa de
todo el entorno de Azure, desde el estado global de los servicios y regiones de Azure hasta los recursos
específicos. Además, las alertas históricas se almacenan y son accesibles para su revisión posterior. Algo que
inicialmente pensó que era una simple anomalía que se ha convertido en una tendencia, se puede revisar e
investigar fácilmente gracias a las alertas históricas.

Por último, en caso de que un evento afecte a una carga de trabajo que ejecute, Azure Service Health
proporciona vínculos para prestar soporte.

Descripción de Azure Monitor

Azure Monitor es una plataforma para recopilar datos sobre los recursos, analizar esos datos, visualizar la
información e incluso actuar en función de los resultados. Azure Monitor puede supervisar los recursos de
Azure, los recursos locales e incluso los recursos de varias nubes, como las máquinas virtuales hospedadas con
otro proveedor de nube.
A la izquierda aparece una lista de los orígenes de los datos de métricas y registros, que pueden recopilarse en
cada nivel de la arquitectura de aplicaciones, desde la aplicación hasta el sistema operativo y la red.

En el centro, los datos de registro y métricas se almacenan en repositorios centrales.

A la derecha, los datos se usan de diversas formas. Puede ver el rendimiento histórico y en tiempo real de cada
nivel de la arquitectura, o bien consultar información combinada y detallada. Los datos se muestran en
diferentes niveles para distintas audiencias. Puede ver informes de alto nivel en el panel de Azure Monitor o
crear vistas personalizadas mediante consultas de Power BI y Kusto.

Además, puede usar los datos para ayudarle a reaccionar ante eventos críticos en tiempo real gracias a las
alertas enviadas a los equipos por SMS, correo electrónico, etc. También puede usar umbrales que
desencadenen la funcionalidad de escalado automático para ajustarse a la demanda.

Azure Log Analytics

Azure Log Analytics es la herramienta de Azure Portal donde escribirá y ejecutará consultas de registro en los
datos recopilados por Azure Monitor. Log Analytics es una herramienta sólida que admite consultas sencillas,
complejas y análisis de datos. Puede escribir una consulta sencilla que devuelva un conjunto de registros y,
después, usar las características de Log Analytics para ordenarlos, filtrarlos y analizarlos. Puede escribir una
consulta avanzada para realizar análisis estadísticos y visualizar los resultados en un gráfico para identificar una
tendencia determinada. Tanto si trabaja con los resultados de las consultas de forma interactiva como si los usa
con otras características de Azure Monitor, como las alertas de consultas de registros o los libros, Log Analytics
es la herramienta que va a usar para escribir y probar esas consultas.

Alertas de Azure Monitor

Las alertas de Azure Monitor son una manera automatizada de mantenerse informado cuando Azure Monitor
detecta que se cruza un umbral. Establezca las condiciones de alerta, las acciones de notificación y, después, las
alertas de Azure Monitor notifican cuándo se desencadena una alerta. En función de la configuración, las
alertas de Azure Monitor también pueden intentar realizar acciones correctivas.

Las alertas se pueden configurar para supervisar los registros y desencadenarse en determinados eventos de
registro, o bien se pueden establecer para supervisar métricas y desencadenarse cuando se crucen
determinadas métricas. Por ejemplo, podría establecer una alerta basada en métricas para notificarle cuándo
el uso de CPU de una máquina virtual ha superado el 80 %. Las reglas de alertas basadas en métricas
proporcionan alertas casi en tiempo real con valores numéricos. Las reglas basadas en los registros permiten
una lógica compleja con datos de varios orígenes.

Las alertas de Azure Monitor usan grupos de acciones para configurar a quién realizar la notificación y qué
acción realizar. Un grupo de acciones es simplemente una colección de preferencias de notificaciones y
acciones que se asocian a una o varias alertas. Azure Monitor, Service Health y Azure Advisor usan grupos de
acciones para notificarle cuándo se ha desencadenado una alerta.

Application Insights
Application Insights, una característica de Azure Monitor, supervisa las aplicaciones web. Application Insights es
capaz de supervisar aplicaciones que se ejecutan en Azure, en el entorno local o en otro entorno de nube.

Hay dos maneras de configurar Application Insights para ayudar a supervisar la aplicación. Puede instalar un
SDK en la aplicación, o bien puede usar el agente de Application Insights. El agente de Application Insights se
admite en C#.NET, VB.NET, Java, JavaScript, Node.js y Python.

Una vez que Application Insights esté en funcionamiento, puede usarlo para supervisar una amplia gama de
información, como la siguiente:

 Tasas de solicitudes, tiempos de respuesta y tasas de error

 Las tasas de dependencia, los tiempos de respuesta y las tasas de error muestran si los servicios
externos ralentizan el rendimiento.
 Vistas de página y rendimiento de carga notificados por los exploradores de los usuarios
 Llamadas AJAX desde páginas web, incluyendo tasas, tiempos de respuesta y tasas de error
 Recuentos de usuarios y sesiones
 Contadores de rendimiento de las máquinas de servidor de Windows o Linux, como CPU, memoria y
uso de la red
Application Insights no solo le ayuda a supervisar el rendimiento de la aplicación, sino que también se puede
configurar para enviar periódicamente solicitudes sintéticas a la aplicación, lo que le permite comprobar el
estado y supervisarla incluso durante períodos de poca actividad.