Infraestructura en Microsoft Azure y Servicios de Office 365 [Parte I]
Entiendo que muchos de vosotros tenéis un diagrama de vuestros servicios de tecnología, desde la infraestructura de red hasta un mapa de aplicaciones y relaciones. Algo que, yo personalmente, considero súper importante, tanto el tenerlo como el mantenerlo actualizado sino, no nos sirve de nada.
A veces nos perdemos en la inmensidad de las cosas, tanto porque creemos que será muy complejo de crearlo o simplemente lo procrastinamos (ambas malas ideas). Se suele decir que lo perfecto es enemigo de lo bueno, siendo esto que estoy contando algo a lo que se podría aplicar perfectamente. Al final, necesitamos conocer nuestra infraestructura a varios niveles y con más o menos detalle, pero tenerlo a un vistazo creo que es súper importante para saber que tenemos y que nuestro equipo también lo tenga claro y no solo en nuestras cabecitas.
Hoy voy a mostraros una topología/infraestructura que creo que podría estar en muchísimas empresas desplegada, pero que en muchas ocasiones no plasmada en un “dibujito”. Algo sencillo, a alto nivel, pero creo que todos los que manejamos estos servicios podríamos identificar sin problemas: [creado con Microsoft Visio]
Este artículo será el primero de varios, puesto que iré entrando en cada servicio para documentarlo a alto nivel, pero que podamos ir analizando cada configuración y/o servicio desplegados:
- Sincronización de Identidades: tenemos configurado AzureAD Connect
- WAF: que publicamos, que listeners tenemos y reglas básicas hemos implementado
- Firewall: reglas básicas entre vNets e Internet y las reglas básicas que hemos implementado
- Emparejamiento: sabremos que tenemos varia vNets en Azure y que las tenemos emparejadas con todo lo que ello conlleva
- VPN: que tipo de VPN tenemos desplegada y quienes las utilizan
- Monitorización: conocer que tenemos una monitorización activa de nuestra infraestructura
- VoIP: si es con Teams ya sabría que utilizamos Direct Routing [que tenemos licencias de Teams Phone Standard y la licencia de O365 necesaria para poder añadirla ..]
- Azure Virtual Desktop: sabremos que tenemos usuarios conectados, aplicaciones publicadas y posiblemente implementado FSLogix.
- Intune: tendremos administración de dispositivos móviles, instalación de aplicaciones, etc..
- Azure Files: servidor de ficheros como servicio, algo súper interesante
- Backup: si tenemos servicios, tenemos datos y si tenemos datos tenemos que tener herramientas que nos hagan las copias de seguridad
Muchos de estos servicios ya los tengo comentados/documentados en otro artículos, aquí os dejo algunos enlaces que os pueden ser de interés:
- AzureAD Connect
- VPN
- Moviendo nuestros servicios y máquinas virtuales a Azure (Parte VIII)
- Microsoft Azure: VPN S2S en Alta Disponibilidad desde On-Premises ajustando Pesos de Rutas en Azure
- Microsoft Endpoint Manager: Conectores de certificado para Microsoft Intune + VPN Always On en Azure
- Microsoft Azure: Always On VPN + Windows 10 Pro + GPO
- Microsoft Azure: Always On VPN + Windows 10 Pro + GPO (Parte II)
- Conexión VPN con autenticación RADIUS + AzureMFA
- Azure: Autenticación AzureAD en conexiones Azure VPN P2S (Versión Preliminar)
- Azure Virtual Desktop
- Azure AD: Entorno seguro de uso compartido con invitados y externos
- Windows Firewall: Aplica filtros autenticados a tus usuarios de AVD
- Azure Virtual Desktop: utilizando AppLocker y NSG para securizar tus sesiones remotas
- Microsoft Azure: Ahorro de Costes en WVD [Detener Equipos Sin Sesiones]
- Windows Virtual Desktop: Inicio Automático de un Hosts de Sesión (versión preliminar)
- Azure Virtual Desktop: Aumentando la Seguridad con Acceso Condicional + MFA + Intune
- Microsoft Azure: Infraestructura VDI con Azure Files, DFS, GPOs y Licenciamiento Usuarios Automático
- Windows Virtual Desktop: Configuración de FSLogix para los perfiles de los usuarios
-
Intune
- vNets Azure
- Firewall
- VoIP: artículos relacionados con el despliegue de Direct Routing
- Microsoft Teams: Configuración de Direct Routing vía SBC de AnyNode en Azure
- Microsoft Teams: Planes de Marcado
- Microsoft Teams: Direct Routing + Auto Attendant + Cuentas de Recursos
- Microsoft Teams: Migrar Usuarios a Teams desde SkypefB On-Premises y Configurar SIP Trunk vía SBC
- Microsoft Teams Direct Routing: Manipulación de Dígitos de Marcado (SIP)
- Microsoft Teams: Configurar canales de equipos como agentes de llamadas en las colas
- Microsoft Teams: Tres detalles a tener en cuenta en la migración a Direct Routing
- Microsoft Teams: Configuración de tu SBC con Múltiples Tenants e ITSP
- Cloud VoiceMail: Habilitar la Protección de Correos de Voz
- Direct Routing: Normalización de Teléfonos de Usuario en Llamadas Entrantes
- Azure Files
- Microsoft Azure Files: Migrar Contenido con Robocopy o AzCopy + Token SAS
- Microsoft Azure Files: Migración, Conexión Privada vía Private Link utilizando DNS Privados para Clientes VPN en Azure
- Microsoft Azure: Infraestructura VDI con Azure Files, DFS, GPOs y Licenciamiento Usuarios Automático
- Microsoft Azure: Windows Virtual Desktop + Acceso Condicional + Teams
- Backup
- Moviendo nuestros servicios y máquinas virtuales a Azure (Parte XI)
- Azure Backup: Informes de copia de seguridad
- Microsoft Azure: Movimiento de recursos Protegidos por Azure Backup a otro Grupos de Recursos
- Azure Policy: Configurar la Copia de Seguridad en las Máquinas Virtuales que tienen una Etiqueta
- Azure Backup SQL
- Backup O365: para esto aún no tengo nada documentado, pero si experiencia en varios productos que son fantásticos para tener copia de seguridad de todo O365:
Sin olvidarnos de la parte de seguridad de la identidad, el MFA:
- Azure MFA: Acceso Condicional
- Bloquear aplicaciones desde AzureAD
- Azure AD: reglas de acceso condicional (Ubicación + Azure AD Híbrido)
- Microsoft Azure: Windows Virtual Desktop + Acceso Condicional + Teams
Estos son los artículos creo que más representativos con respecto a una topología más o menos completa, sin olvidarme de este artículo que también era otro resumen de muchos servicios ya comentados: Infraestructura IT: desde On-Premises hasta el Cloud
Como os había comentado, en las siguientes partes de este artículo iré comentado/esquematizando ya cada parte de la infraestructura [Firewall, WAF, Backup, AzureAD Connect] para tener una visión más específica por cada servicio. Poco a poco iré mostrando cada servicio, con su esquema a alto nivel pero con información suficiente para que viéndolo sepamos de que estamos hablando.
Si tenéis alguna duda con algún servicio o queréis algún detalle adicional, por favor, dejarlo en los comentarios!!
Joan R. / 6 julio, 2022
Chacho, qué maravilla. Gracias!