AZ-305

Deep Dive

D1 · Identidad, Gobernanza y Monitoreo

Diseño con Azure Policy

Azure Policy es el mecanismo de policy-driven governance del CAF: convierte reglas de negocio ("solo regiones europeas", "todo recurso con tag de cost center", "discos siempre cifrados") en guardrails automáticos. El AZ-305 evalúa que elijas el efecto correcto y el ámbito correcto para cada requisito.

Icon-manage-316

Policy vs RBAC vs Locks — quién hace qué

MecanismoControlaPregunta que responde
Azure RBACQUIÉN puede hacer QUÉ acciones¿Puede este usuario crear VMs en este resource group?
Azure PolicyQUÉ propiedades pueden tener los recursos¿Esta VM puede ser de la serie GS5? ¿Puede estar fuera de West Europe?
Resource LocksProtección contra borrado/modificación¿Alguien (incluso un Owner) puede borrar este recurso?

Clave de diseño

Policy y RBAC son complementarios e independientes: aunque tengas rol Owner, una policy con deny te bloquea. Policy se evalúa en el plano de control (ARM) — no inspecciona el plano de datos (con excepciones como policies de Key Vault y Kubernetes).

Icon-manage-316

Efectos de Azure Policy

EfectoQué haceEscenario típico
DenyRechaza la creación/actualización que incumpleBloquear regiones no permitidas, SKUs caros, IPs públicas
AuditPermite pero marca como non-compliantFase de evaluación antes de endurecer; visibilidad sin romper
AuditIfNotExistsAudita si falta un recurso relacionadoVMs sin extensión de monitoreo instalada
DeployIfNotExists (DINE)Despliega automáticamente el recurso faltante (remediación)Instalar agente de Log Analytics, habilitar diagnostic settings
ModifyAltera propiedades/tags en creación o remediaciónAñadir/heredar tags, habilitar propiedades (HTTPS only)
AppendAñade campos a la request (legacy, preferir Modify)Añadir reglas de IP a storage accounts
DisabledDesactiva la regla sin quitar la asignaciónPausar temporalmente una política

Importante para el examen

  • • Policy NO afecta recursos existentes con deny — solo bloquea creaciones/actualizaciones nuevas. Lo existente queda non-compliant
  • • Para corregir lo existente: remediation tasks (solo DINE y Modify)
  • • Exclusiones (exemptions) documentadas para excepciones legítimas con expiración

Ámbito de asignación

  • • Management group → todas las suscripciones hijas (lo normal en landing zones)
  • • Suscripción o resource group para reglas específicas
  • notScopes para excluir ámbitos puntuales de una asignación amplia
Icon-manage-316

Initiatives (policy sets) y compliance

Una initiative agrupa múltiples policy definitions bajo una sola asignación con parámetros compartidos. Diseño recomendado: asignar initiatives, no políticas sueltas — simplifica la gestión y el reporte de compliance agregado.

Initiatives integradas clave

  • Microsoft Cloud Security Benchmark — baseline de seguridad de Defender for Cloud
  • • Initiatives regulatorias: ISO 27001, PCI DSS, NIST, GDPR — mapean controles a políticas auditables
  • • Si el escenario pide "evaluar cumplimiento con ISO 27001" → asignar la initiative de regulatory compliance correspondiente

Evaluación de compliance

  • • Dashboard de compliance por asignación, con drill-down por recurso
  • • Evaluación: al crear/actualizar recursos, cada ~24h, o bajo demanda
  • • Los resultados alimentan Defender for Cloud (Secure Score y regulatory compliance)

Remediación y managed identities

Cómo funciona una remediation task

1La asignación con DINE/Modify recibe una managed identity
2A esa identidad se le otorgan los roles RBAC necesarios (ej: Contributor sobre el ámbito)
3La remediation task recorre los recursos non-compliant existentes
4Ejecuta el deployment o modify sobre cada uno hasta dejarlos compliant

Trampa de examen

"Las VMs existentes no tienen el agente de monitoreo y la política de deny no lo soluciona" — correcto, deny solo previene. Para instalar el agente en lo existente se necesita una política DeployIfNotExists + remediation task con managed identity.

Tabla de decisión

RequisitoEfecto / diseño
Impedir crear recursos fuera de West Europe / North EuropeDeny (allowed locations) en management group
Saber qué storage accounts permiten acceso público, sin romper nadaAudit
Instalar automáticamente el agente AMA en VMs nuevas y existentesDeployIfNotExists + remediation task
Heredar el tag CostCenter del resource group a cada recursoModify + remediation task
Exigir tag Environment al crear cualquier recursoDeny si falta el tag
Demostrar cumplimiento con PCI DSSInitiative de regulatory compliance PCI DSS
Eximir temporalmente una suscripción de una políticaPolicy exemption con expiración
Limitar VMs a SKUs aprobados para controlar costosDeny (allowed SKUs)

¿Entendiste este tema?

Pon a prueba lo que acabas de aprender

Una empresa exige que todas las VMs (nuevas y existentes, en 30 suscripciones) tengan instalada la extensión de Azure Monitor Agent. El equipo de gobernanza quiere mínimo esfuerzo manual. ¿Qué diseñas?

Inicia sesión para llevar tu progreso.