LOGIN REGÍSTRATE
Azure · AZ-305

Azure Landing Zone (AZ-305)

Dominio: Gobernanza y base de plataforma Nivel: Avanzado Tiempo de lectura: 30–45 min Última revisión: Nov 2025

1. CAF y objetivos de la Landing Zone

Una Landing Zone es la base estandarizada para desplegar cargas en Azure con gobernanza, seguridad y conectividad desde el día 0. Se alinea con el Cloud Adoption Framework (CAF) y habilita crecimiento controlado.

  • Consistencia: diseño repetible y auditable para todos los equipos.
  • Seguridad y cumplimiento: controles preventivos y de detección desde el inicio.
  • Escalabilidad organizativa: soporta múltiples unidades de negocio y entornos.
  • Automatización: IaC (Bicep/Terraform) y pipelines como fuente de verdad.
La Landing Zone debe ser opinada (con decisiones técnicas explícitas), pero modular para adaptarse a nuevos requisitos.

2. Jerarquía de Management Groups

Los Management Groups (MG) organizan suscripciones y permiten aplicar políticas/roles a gran escala.

  • RootPlatform (red, identidad, seguridad) / Landing Zones (Workloads) / Sandbox / Decommissioned.
  • Separación por regulación: por ejemplo, Regulated vs Unregulated bajo Landing Zones.
  • Bloqueos: deny assignments para impedir cambios críticos en Platform.
Root (Tenant)
 ├─ Platform
 │   ├─ Identity
 │   ├─ Management (Log/Monitor)
 │   └─ Connectivity (Hub/vWAN)
 ├─ Landing-Zones
 │   ├─ Prod
 │   └─ NonProd
 └─ Sandbox

3. Segmentación por suscripciones

Usa suscripciones como frontera de aislamiento: límites de facturación, RBAC, cuotas y blast radius.

  • Por entorno: Prod, NonProd, Sandbox.
  • Por línea de negocio o dominio de datos.
  • Servicios compartidos (Hub, identidad, monitorización) en Platform.
  • Límites de escalado: reparte cargas para evitar throttling por región/cuota.
Evita megasuscripciones monolíticas; complican RBAC, límites y segregación de costes.

4. Identidad y control de acceso

La base de identidad en Azure se implementa con Microsoft Entra ID y RBAC en recursos.

  • RBAC en MG/Suscripción/Grupo de recursos/Recurso; privilegio mínimo.
  • Privileged Identity Management (PIM): acceso just-in-time para roles privilegiados.
  • Conditional Access: MFA, ubicación, dispositivo conforme para acceso a portal/CLI.
  • Identidades administradas para workloads (MSI) y Key Vault para secretos.
Ejemplo de roles:
 - Reader (auditoría)
 - Contributor (operación de servicios)
 - Owner (limitado; usa PIM)
 - Custom roles para tareas específicas (despliegue, tagging)

5. Policy-as-Code y cumplimiento

Azure Policy impone guardrails: deny, deployIfNotExists, audit. Agrupa definiciones en Initiatives y asigna a MG/suscripciones.

  • Enforce de naming/tagging, SKUs permitidas, regiones, cifrado, Private Link obligatorio.
  • Remediación automática con deployIfNotExists (por ejemplo, habilitar logging).
  • Integración con Defender for Cloud y Regulatory Compliance.
  • Gestiona políticas como código con Terraform/Bicep en pipelines.
// Bicep: iniciativa mínima
module policy './modules/policyInitiative.bicep' = {
  name: 'alz-policy'
  params: {
    targetMgId: '/providers/Microsoft.Management/managementGroups/landing-zones'
  }
}

6. Red base de plataforma (Hub)

La conectividad y servicios compartidos residen en el Hub: Azure Firewall o NVA, DNS (Private DNS/Resolver), VPN/ER, Bastion, Key Vault, Log Analytics.

  • Topologías: Hub-Spoke o Virtual WAN (vWAN) según escala.
  • Egress inspeccionado: UDR 0.0.0.0/0 hacia Firewall en el Hub.
  • Private Link y Private Endpoints para PaaS sin salida pública.
  • DNS Private Resolver con reglas inbound/outbound para on-prem ↔ Azure.
On-prem ── VPN/ExpressRoute ── HUB (FW + DNS + Bastion) ── Spokes (Workloads)

7. Seguridad y Defender for Cloud

Aplica un baseline de seguridad uniforme y postura continua.

  • Defender for Cloud: planify, recomendaciones, hardening, protección de workloads (SQL, Storage, AKS, VM, PaaS).
  • Just-in-time VM Access, evaluación de vulnerabilidades, baseline de NSG.
  • DDoS Protection Standard en VNets públicas críticas.
  • WAF (App Gateway/Front Door) para capa 7.
Consolida políticas de seguridad y excepciones a nivel de MG para evitar deriva entre suscripciones.

8. Costes, presupuestos y etiquetas

Gobernanza financiera centralizada con Cost Management + Billing.

  • Budgets y alertas por suscripción/rg/tag.
  • Etiquetas (costCenter, env, owner, app) obligatorias vía Policy.
  • Reservas/AHUB para ahorro en compute y licencias.
Ejemplo de etiquetas mínimas:
 - env: prod|dev|qa
 - costCenter: FIN-ES|MKT-PT
 - owner: mail@dominio
 - app: sap|ecommerce|iot

9. Observabilidad y registros

Centraliza telemetría desde el día 0.

  • Log Analytics workspace único por región (o por dominio) + Diagnostic Settings globales.
  • Azure Monitor: métricas, alertas, Action Groups, Workbooks.
  • SIEM: Microsoft Sentinel opcional en el workspace central.
// Ejemplo KQL rápido
AzureActivity
| where ActivityStatusValue == "Failure"
| summarize count() by Caller, bin(TimeGenerated, 1h)

10. Azure Landing Zone Accelerator (ALZ)

ALZ es el conjunto de referencias y módulos (Bicep/Terraform) para desplegar la base de plataforma.

  • Módulos listos: Management Groups, Policy, RBAC, Hub, Log/Monitor, Defender, Landing Zones.
  • Extensible: añade iniciativas, conectividad avanzada, módulos propios.
  • Pipelines: CI/CD para despliegues idempotentes por ambiente.
// Terraform (esqueleto conceptual)
module "alz_platform" {
  source = "github.com/org/alz//platform"
  tenant_root_group_id = "0000-ROOT"
  enable_defender = true
}

11. Naming, tagging y taxonomía

Define convenciones de nombres y etiquetas para trazabilidad y automatización.

  • Naming: <org>-<env>-<region>-<svc>-<idx> (p. ej. acme-prod-weu-kv-01).
  • RGs: agrupa por ciclo de vida (rg-appX-prod-core).
  • Tags obligatorias vía Policy y remediación.
ElementoEjemploNotas
VNetacme-prod-weu-vnet-hubHUB vs Spoke en el nombre
Subredsnet-egress-fwFuncionalidad clara
KVacme-prod-weu-kv-01Índice si hay varios

12. Operación: DevOps y despliegues

Gestiona la Landing Zone como código.

  • Repos separados: platform (ALZ), connectivity, security, landing-zones por dominio.
  • Ramas: main protegida; PR con validación y what-if.
  • Stages en pipeline: sandbox → dev → qa → prod con aprobaciones.
  • Backups de estado (en TF: remoto en Storage + Key Vault para secretos).
// Bicep (what-if)
az deployment mg what-if -n alz -m /providers/Microsoft.Management/managementGroups/landing-zones -f main.bicep

13. Checklist de examen

  • MGs para aplicar Policy/RBAC a escala; suscripciones para aislar entornos y costes.
  • Identidad: PIM + Conditional Access + MSI + Key Vault.
  • Conectividad: Hub-Spoke o vWAN; egress inspeccionado; Private Link + DNS privado.
  • Policy-as-Code: iniciativas, deny/deployIfNotExists, remediación y cumplimiento.
  • Seguridad: Defender for Cloud, JIT, DDoS, WAF.
  • Costes: Budgets + etiquetas mínimas (env, owner, costCenter, app).
  • Observabilidad: Log Analytics + Azure Monitor + Sentinel.
  • ALZ: módulos listos + pipelines con what-if y aprobaciones.