Infraestructura en Microsoft Azure y Servicios de Office 365 [Parte I]

Entiendo que muchos de vosotros tenéis un diagrama de vuestros servicios de tecnología, desde la infraestructura de red hasta un mapa de aplicaciones y relaciones. Algo que, yo personalmente, considero súper importante, tanto el tenerlo como el mantenerlo actualizado sino, no nos sirve de nada.

A veces nos perdemos en la inmensidad de las cosas, tanto porque creemos que será muy complejo de crearlo o simplemente lo procrastinamos (ambas malas ideas). Se suele decir que lo perfecto es enemigo de lo bueno, siendo esto que estoy contando algo a lo que se podría aplicar perfectamente. Al final, necesitamos conocer nuestra infraestructura a varios niveles y con más o menos detalle, pero tenerlo a un vistazo creo que es súper importante para saber que tenemos y que nuestro equipo también lo tenga claro  y no solo en nuestras cabecitas.

Hoy voy a mostraros una topología/infraestructura que creo que podría estar en muchísimas empresas desplegada, pero que en muchas ocasiones no plasmada en un “dibujito”. Algo sencillo, a alto nivel, pero creo que todos los que manejamos estos servicios podríamos identificar sin problemas: [creado con Microsoft Visio]

Este artículo será el primero de varios, puesto que iré entrando en cada servicio para documentarlo a alto nivel, pero que podamos ir analizando cada configuración y/o servicio desplegados:

• Sincronización de Identidades: tenemos configurado AzureAD Connect
• WAF: que publicamos, que listeners tenemos y  reglas básicas hemos implementado
• Firewall: reglas básicas entre vNets e Internet y las reglas básicas que hemos implementado
• Emparejamiento: sabremos que tenemos varia vNets en Azure y que las tenemos emparejadas con todo lo que ello conlleva
• VPN: que tipo de VPN tenemos desplegada y quienes las utilizan
• Monitorización: conocer que tenemos una monitorización activa de nuestra infraestructura
• VoIP: si es con Teams ya sabría que utilizamos Direct Routing [que tenemos licencias de Teams Phone Standard y la licencia de O365 necesaria para poder añadirla ..]
• Azure Virtual Desktop: sabremos que tenemos usuarios conectados, aplicaciones publicadas y posiblemente implementado FSLogix.
• Intune: tendremos administración de dispositivos móviles, instalación de aplicaciones, etc..
• Azure Files: servidor de ficheros como servicio, algo súper interesante
• Backup: si tenemos servicios, tenemos datos y si tenemos datos tenemos que tener herramientas que nos hagan las copias de seguridad

Muchos de estos servicios ya los tengo comentados/documentados en otro artículos, aquí os dejo algunos enlaces que os pueden ser de interés:

• AzureAD Connect
  • Azure AD: Gobernanza de Office 365 y Recursos de Azure (Parte 2)
• VPN
  • Moviendo nuestros servicios y máquinas virtuales a Azure (Parte VIII)
  • Microsoft Azure: VPN S2S en Alta Disponibilidad desde On-Premises ajustando Pesos de Rutas en Azure
  • Microsoft Endpoint Manager: Conectores de certificado para Microsoft Intune + VPN Always On en Azure
  • Microsoft Azure: Always On VPN + Windows 10 Pro + GPO
  • Microsoft Azure: Always On VPN + Windows 10 Pro + GPO (Parte II)
  • Conexión VPN con autenticación RADIUS + AzureMFA
  • Azure: Autenticación AzureAD en conexiones Azure VPN P2S (Versión Preliminar)
• Azure Virtual Desktop
  • Azure AD: Entorno seguro de uso compartido con invitados y externos
  • Windows Firewall: Aplica filtros autenticados a tus usuarios de AVD
  • Azure Virtual Desktop: utilizando AppLocker y NSG para securizar tus sesiones remotas
  • Microsoft Azure: Ahorro de Costes en WVD [Detener Equipos Sin Sesiones]
  • Windows Virtual Desktop: Inicio Automático de un Hosts de Sesión (versión preliminar)
  • Azure Virtual Desktop: Aumentando la Seguridad con Acceso Condicional + MFA + Intune
  • Microsoft Azure: Infraestructura VDI con Azure Files, DFS, GPOs y Licenciamiento Usuarios Automático
  • Windows Virtual Desktop: Configuración de FSLogix para los perfiles de los usuarios
• Intune
  • Microsoft Endpoint Manager: Inscripción de dispositivos [Híbrido – AzureAD Join – Azure Registered]
  • Microsoft Azure: Windows Virtual Desktop + Acceso Condicional + Teams
  • Microsoft Intune: Protección de Aplicaciones
  • Microsoft Endpoint Manager: Conectores de certificado para Microsoft Intune + VPN Always On en Azure
  • Microsoft Endpoint Manager: Cifrado de discos con BitLocker
  • Microsoft Endpoint Manager: Portal de Empresa e Instalación de Aplicaciones
  • Microsoft Intune: Instalación de aplicaciones de Office personalizando un fichero XML
  • Microsoft EndPoint Manager: Ayuda Remota (versión preliminar)
  • Microsoft Intune: Administración del Grupo Local de Administradores
  • Microsoft Intune: Desinstalación de aplicaciones predeterminadas
  • Microsoft Defender 365: Filtrado de contenido Web
• vNets Azure
  • Redes Azure: Emparejamiento de redes virtuales globales
  • Redes Azure: Emparejamiento de redes virtuales ubicadas en diferentes suscripciones
• Firewall
  • Azure Firewall: Instalación y Configuración
  • Azure Firewall: Internet Centralizado por Hub, Emparejamiento y Conexión vía VPN con On-Premises
  • Azure Firewall: Centralizar la salida a Internet de las vNet
• VoIP: artículos relacionados con el despliegue de Direct Routing
  • Microsoft Teams: Configuración de Direct Routing vía SBC de AnyNode en Azure
  • Microsoft Teams: Planes de Marcado
  • Microsoft Teams: Direct Routing + Auto Attendant + Cuentas de Recursos
  • Microsoft Teams: Migrar Usuarios a Teams desde SkypefB On-Premises y Configurar SIP Trunk vía SBC
  • Microsoft Teams Direct Routing: Manipulación de Dígitos de Marcado (SIP)
  • Microsoft Teams: Configurar canales de equipos como agentes de llamadas en las colas
  • Microsoft Teams: Tres detalles a tener en cuenta en la migración a Direct Routing
  • Microsoft Teams: Configuración de tu SBC con Múltiples Tenants e ITSP
  • Cloud VoiceMail: Habilitar la Protección de Correos de Voz
  • Direct Routing: Normalización de Teléfonos de Usuario en Llamadas Entrantes
• Azure Files
  • Microsoft Azure Files: Migrar Contenido con Robocopy o AzCopy + Token SAS
  • Microsoft Azure Files: Migración, Conexión Privada vía Private Link utilizando DNS Privados para Clientes VPN en Azure
  • Microsoft Azure: Infraestructura VDI con Azure Files, DFS, GPOs y Licenciamiento Usuarios Automático
  • Microsoft Azure: Windows Virtual Desktop + Acceso Condicional + Teams
• Backup
  • Moviendo nuestros servicios y máquinas virtuales a Azure (Parte XI)
  • Azure Backup: Informes de copia de seguridad
  • Microsoft Azure: Movimiento de recursos Protegidos por Azure Backup a otro Grupos de Recursos
  • Azure Policy: Configurar la Copia de Seguridad en las Máquinas Virtuales que tienen una Etiqueta
  • Azure Backup SQL
• Backup O365: para esto aún no tengo nada documentado, pero si experiencia en varios productos que son fantásticos para tener copia de seguridad de todo O365:
  • AvePoint: para mi de las mejores herramientas para hacer copia de seguridad de todo O365 (pros: backup ilimitado/retención 10 años/etc… | contras: coste/usuario/año sin poder discriminar usuarios licenciados)
  • Barracuda: backup de todo O365 pero con algunas limitaciones en cuanto a EXO

Sin olvidarnos de la parte de seguridad de la identidad, el MFA:

• Azure MFA: Acceso Condicional
• Bloquear aplicaciones desde AzureAD
• Azure AD: reglas de acceso condicional (Ubicación + Azure AD Híbrido)
• Microsoft Azure: Windows Virtual Desktop + Acceso Condicional + Teams

Estos son los artículos creo que más representativos con respecto a una topología más o menos completa, sin olvidarme de este artículo que también era otro resumen de muchos servicios ya comentados: Infraestructura IT: desde On-Premises hasta el Cloud

Como os había comentado, en las siguientes partes de este artículo iré comentado/esquematizando ya cada parte de la infraestructura [Firewall, WAF, Backup, AzureAD Connect] para tener una visión más específica por cada servicio. Poco a poco iré mostrando cada servicio, con su esquema a alto nivel pero con información suficiente para que viéndolo sepamos de que estamos hablando.

Si tenéis alguna duda con algún servicio o queréis algún detalle adicional, por favor, dejarlo en los comentarios!!