Cerrar

Voy a darle algo de continuidad al Acceso Condicional, algo de lo que ya había publicado un par de artículos (https://www.santiagobuitragoreis.com/azure-mfa-acceso-condicional/ y Azure AD: Acceso Condicional + Teams + Office 365 Apps). Hoy me gustaría comentaros, como podemos utilizar las reglas de acceso condicional para permitir únicamente la conexión a las aplicaciones registradas en Azure desde una ubicación en concreto (filtrado por su IP Pública) y a su vez que las máquinas están registradas en AzureAD Híbrido.

Esto parece y es sencillo, pero ahora, quiero meter el componente de que queremos aplicar la misma medida de seguridad con los usuarios que se conectan desde  fuera de las oficinas utilizando un cliente VPN. Como sabéis, cada cliente VPN tendrá su propia dirección IP Pública (detrás o no de dispositivos que hacen NAT) , por lo que, sería imposible filtrar por IP en un entorno de clientes VPN “tradicional” porque nunca sabríamos desde que IP Pública se están conectando. Este artículo no os va a descubrir nada que no conozcáis, únicamente ver que ajustes se tienen que realizar para conseguir este objetivo …

Después de mucho tiempo  por fin han llegado … desde el 6 al 30 de Noviembre irá liberando GA los canales privados en Teams!!! Esto era algo más que deseado por todos los que usamos Teams y los que querían adoptarlo, puesto que, siempre hay información que queremos que sólo algunos usuarios puedan tener acceso …

Siguiendo con la gobernanza de Azure, hoy vamos a ver como podemos bloquear los diferentes recursos. Los recursos en Azure podemos bloquearlos a dos niveles:

  • Solo lectura: imposibilidad de añadir o eliminar recursos
  • Eliminación: imposibilidad de eliminar recursos

Los bloqueos se realizan a nivel de Suscripción, Grupos de Recursos y Recursos . Si aplicamos un bloqueo en un ámbito primario (suscripción o grupos de recurso) se heredarán dichos bloqueos, además el bloqueo más restrictivo tiene la prioridad. Otra cosa a tener en cuenta, que con estos bloqueamos los operaciones a nivel de administración, no a nivel de recurso el cual puede seguir operando con normalidad (no todos los recursos en función del tipo de bloqueo).

Estos bloqueos se aplican a todos los usuarios, no como con rbac que se aplican a ciertos usuarios o grupos. Los bloqueos sólo pueden ser aplicados por los propietarios de los recursos y el administrador de accesos a usuarios …

Siguiendo con la serie de artículos de Gobernanza, hoy quería comentar algo que considero fundamental que es el etiquetado de recursos en Azure. El aplicar una etiqueta a un recurso nos permite mantenerlos organizados, puesto que a posteriori podemos realizar búsquedas os filtrados de los recursos que tienen una misma etiqueta. Esto, claramente tiene un impacto importante a la hora de la facturación, puesto que podemos conocer con exactitud el coste de nuestros servicios.

Cada etiqueta consta de un nombre y un valor, para ponernos en situación primero vamos a conocer los límites de las etiquetas:

  • No todos los tipos de recursos admiten etiquetas. Aquí os dejo un enlace para que podáis comprobar que tipo de recursos admiten o no etiquetado: Tag support for Azure resources
  • Cada recurso o grupo de recursos puede tener un máximo de cincuenta pares de nombre/valor de etiqueta. Si necesita aplicar más etiquetas que el número máximo permitido, use una cadena JSON para el valor de etiqueta. La cadena JSON puede contener muchos valores que se aplican a un sol nombre de etiqueta. Un grupo de recursos puede contener muchos recursos con cincuenta pares de clave/valor de etiqueta cada uno.
  • El nombre de etiqueta está limitado a 512 caracteres y el valor de la etiqueta, a 256. En las cuentas de almacenamiento, el nombre de etiqueta se limita a 128 caracteres y el valor de la etiqueta, a 256.
  • Las VM generalizadas no admiten etiquetas.
  • Los recursos de un grupo de recursos no heredan las etiquetas aplicadas a este.
  • No se pueden aplicar etiquetas a recursos clásicos como Cloud Services.
  • Los nombres de etiqueta no pueden contener estos caracteres: <, >, %, &, \, ?, /

Etiquetar un recurso es muy sencillo, os voy a mostrar como etiquetar servidores virtuales …

Archivos
  • 2019 (53)
  • 2018 (47)
  • 2017 (47)
  • 2016 (24)
  • 2015 (107)
  • 2014 (139)
  • 2013 (311)
  • 2012 (353)

Este sitio web utiliza cookies. Si continúas navegando, consideramos que aceptas su uso. Puedes obtener más información en nuestra política de cookies. ACEPTAR

Aviso de cookies