Tema 3

3. Arquitectura segura en cloud: cuentas, proyectos, regiones y landing zones

Una arquitectura cloud segura no empieza con servidores ni aplicaciones, sino con una base organizada: cuentas o proyectos separados, redes controladas, registros centralizados, políticas preventivas y una estructura preparada para crecer sin perder gobierno.

Objetivo Diseñar una base cloud ordenada y segura
Enfoque Cuentas, proyectos, regiones, ambientes y guardrails
Resultado Entender el propósito de una landing zone

3.1 Introducción

Cloud permite crear recursos rápidamente, pero esa velocidad puede volverse un problema si no existe una arquitectura base. Sin organización, aparecen cuentas mezcladas, permisos excesivos, redes improvisadas, datos sin clasificación, logs incompletos y ambientes productivos expuestos por decisiones tomadas con urgencia.

La arquitectura segura busca establecer una estructura inicial que permita desplegar aplicaciones con controles consistentes. Esa estructura debe separar responsabilidades, limitar impactos, facilitar auditoría y permitir que los equipos trabajen sin tener que reinventar criterios de seguridad en cada proyecto.

En este tema veremos cómo ordenar cuentas o proyectos, ambientes, regiones, redes, logging, políticas y guardrails para construir una base cloud confiable.

3.2 Qué es una arquitectura cloud segura

Una arquitectura cloud segura es un diseño que define cómo se organizan y protegen los recursos antes de que las aplicaciones entren en producción. No se limita a diagramas de red: incluye identidad, gobierno, separación de ambientes, políticas, monitoreo, cifrado, costos, operación y respuesta.

Sus objetivos principales son:

  • Separar ambientes y responsabilidades para evitar impactos cruzados.
  • Aplicar controles de seguridad desde la creación de recursos.
  • Centralizar visibilidad, auditoría y respuesta a incidentes.
  • Reducir configuraciones manuales y excepciones difíciles de auditar.
  • Permitir crecimiento sin que cada equipo cree su propio modelo de seguridad.
Una arquitectura cloud segura no elimina la flexibilidad de cloud. La encauza con límites claros para que la velocidad no destruya control, trazabilidad ni resiliencia.

3.3 Cuentas, suscripciones y proyectos

Los proveedores cloud utilizan distintos nombres para organizar recursos: cuentas, suscripciones, proyectos, carpetas u organizaciones. Aunque el nombre cambie, el propósito es similar: crear límites administrativos, financieros y de seguridad.

Usar una sola cuenta para todo suele ser un error. Mezclar desarrollo, pruebas, producción, seguridad y administración en el mismo contenedor lógico aumenta el riesgo de cambios accidentales, permisos excesivos y baja trazabilidad.

Elemento Función Riesgo si se diseña mal
Organización raíz Agrupa cuentas, políticas globales y facturación Permisos centrales demasiado amplios o sin auditoría
Cuenta o proyecto Aísla recursos, identidades, cuotas y costos Ambientes mezclados y dificultad para contener incidentes
Carpeta o unidad organizativa Agrupa cuentas por función, equipo o criticidad Políticas inconsistentes o herencia de permisos incorrecta
Etiquetas Identifican dueño, ambiente, aplicación, costo y criticidad Inventario incompleto y baja responsabilidad operativa

3.4 Separación de ambientes

Separar ambientes es una de las decisiones más importantes. Desarrollo, pruebas, staging y producción no deberían compartir el mismo nivel de permisos, datos ni exposición.

  • Desarrollo: requiere flexibilidad, pero debe usar datos sintéticos o anonimizados y permisos limitados.
  • Pruebas: valida comportamiento funcional y técnico sin acceder a secretos productivos.
  • Staging: replica condiciones de producción con controles similares, pero sin datos reales innecesarios.
  • Producción: requiere cambios controlados, monitoreo fuerte, backups, aprobaciones y mínima exposición.

La separación puede hacerse por cuentas, proyectos, redes, namespaces, clusters o combinaciones de estos mecanismos. Para cargas críticas, separar por cuenta o proyecto suele ofrecer un límite más fuerte que separar solo por etiquetas o nombres.

3.5 Landing zone

Una landing zone es una base cloud preparada para alojar workloads de manera segura y gobernada. Define estructura organizativa, redes, identidades, logging, políticas, monitoreo, conectividad, seguridad y criterios de operación.

Una landing zone suele incluir:

  • Cuentas o proyectos separados por función y ambiente.
  • Políticas globales para restringir acciones peligrosas.
  • Redes base, conectividad privada y control de salida a internet.
  • Logging centralizado e inmutable para eventos administrativos.
  • Gestión de identidades integrada con SSO y MFA.
  • Servicios comunes de seguridad, monitoreo, backups y gestión de claves.
  • Etiquetado obligatorio para dueño, costo, ambiente y criticidad.
  • Plantillas aprobadas para crear recursos de forma consistente.
Una landing zone evita que cada equipo empiece desde cero. Proporciona una base común con controles mínimos que deben existir antes de desplegar aplicaciones.

3.6 Cuentas especializadas

En arquitecturas maduras se usan cuentas o proyectos especializados para separar funciones críticas. Esta separación mejora la contención y permite aplicar permisos más precisos.

Cuenta o proyecto Propósito Control principal
Seguridad Centralizar alertas, herramientas de detección y respuesta Acceso restringido y registros protegidos
Logging Recibir logs de auditoría, red y actividad administrativa Retención, inmutabilidad y separación del entorno observado
Red compartida Gestionar conectividad común, DNS, enlaces privados y egreso Cambios revisados y segmentación explícita
Producción Ejecutar workloads críticos Permisos mínimos, cambios controlados y monitoreo fuerte
Sandbox Permitir experimentación limitada Cuotas, bloqueo de datos sensibles y limpieza automática

3.7 Regiones, zonas y residencia de datos

La elección de regiones no es solo técnica. Afecta latencia, disponibilidad, costo, cumplimiento, residencia de datos y estrategia de recuperación. Una arquitectura segura define dónde se pueden desplegar recursos y bajo qué condiciones.

  • Las regiones permitidas deben alinearse con requisitos legales y de negocio.
  • Los datos sensibles pueden tener restricciones de residencia o transferencia internacional.
  • La alta disponibilidad suele requerir múltiples zonas dentro de una región.
  • La recuperación ante desastres puede requerir replicación entre regiones.
  • No todas las regiones ofrecen los mismos servicios, certificaciones o capacidades.

Una política de arquitectura debería bloquear o alertar despliegues en regiones no aprobadas para evitar incumplimientos y dispersión operativa.

3.8 Red base y conectividad

La red cloud debe diseñarse con segmentación, rutas controladas y exposición pública mínima. Aunque cloud abstrae parte de la infraestructura, las decisiones de subredes, gateways, firewalls, DNS, peering y conectividad privada siguen siendo críticas.

Buenas prácticas iniciales:

  • Separar subredes públicas, privadas y de administración.
  • Evitar acceso administrativo directo desde internet.
  • Centralizar egreso cuando sea necesario inspeccionar o controlar tráfico saliente.
  • Usar conectividad privada para servicios administrados cuando sea posible.
  • Aplicar reglas de red por necesidad real, no por comodidad operativa.
  • Diseñar rangos IP evitando solapamientos con sedes, VPN y otras nubes.

3.9 Guardrails

Los guardrails son límites preventivos o detectivos que ayudan a mantener la postura de seguridad. No reemplazan el criterio técnico, pero reducen errores comunes y evitan configuraciones de alto riesgo.

Guardrail Tipo Ejemplo
Bloqueo de regiones no aprobadas Preventivo Impedir creación de recursos fuera de regiones autorizadas
Prohibición de almacenamiento público Preventivo Denegar buckets públicos salvo excepción aprobada
Detección de puertos administrativos abiertos Detectivo Alertar reglas con SSH o RDP expuestos a internet
Etiquetado obligatorio Preventivo o detectivo Exigir dueño, ambiente, aplicación y criticidad
Cifrado requerido Preventivo Bloquear discos, bases o colas sin cifrado habilitado

3.10 Logging y auditoría centralizada

Una arquitectura segura debe registrar actividad administrativa y eventos relevantes desde el inicio. Si los logs se configuran después de un incidente, ya es tarde para reconstruir lo ocurrido.

El logging centralizado debe considerar:

  • Eventos de autenticación, cambios de permisos y uso de roles privilegiados.
  • Creación, modificación y eliminación de recursos.
  • Flujos de red, accesos a almacenamiento y actividad sobre claves.
  • Retención suficiente para investigación y cumplimiento.
  • Protección contra modificación o borrado por la cuenta comprometida.
  • Integración con SIEM, alertas o herramientas de detección.
Los logs de seguridad deben vivir fuera del entorno que observan. Si un atacante compromete producción, no debería poder borrar fácilmente las evidencias.

3.11 Identidad base y acceso administrativo

La arquitectura inicial debe definir cómo se autentican los usuarios, cómo se asignan roles y cómo se accede a funciones administrativas. El uso de cuentas locales permanentes y credenciales estáticas debe reducirse al mínimo.

  • Integrar acceso con un proveedor de identidad corporativo.
  • Exigir MFA para usuarios humanos, especialmente privilegiados.
  • Usar roles temporales en lugar de claves permanentes cuando sea posible.
  • Separar roles de lectura, operación, despliegue y administración.
  • Registrar sesiones administrativas y cambios críticos.
  • Definir cuentas de emergencia protegidas y auditadas.

3.12 Automatización e infraestructura como código

La arquitectura segura debe poder repetirse. Si cada cuenta o proyecto se configura manualmente, la consistencia se pierde rápido. Infraestructura como código permite versionar, revisar y aplicar la base de manera controlada.

Esto aporta:

  • Revisión por pares antes de cambios sensibles.
  • Historial de decisiones y posibilidad de auditoría.
  • Reutilización de módulos aprobados.
  • Validación automática de políticas antes del despliegue.
  • Menos diferencias entre ambientes equivalentes.

La automatización debe tener permisos acotados. Un pipeline que crea infraestructura no debería tener privilegios ilimitados si solo necesita gestionar recursos específicos.

3.13 Ejemplo de estructura inicial

Una organización pequeña o mediana podría iniciar con una estructura simple pero segura:

  • Una organización raíz con políticas globales y facturación centralizada.
  • Una cuenta de logging para recibir eventos de todas las cuentas.
  • Una cuenta de seguridad para monitoreo, alertas y respuesta.
  • Cuentas separadas para desarrollo, staging y producción por aplicación crítica.
  • Una cuenta de red compartida para conectividad privada, DNS y egreso controlado.
  • Una cuenta sandbox con cuotas, limpieza automática y bloqueo de datos sensibles.

El diseño exacto depende del tamaño, regulación, equipos y criticidad, pero el principio es el mismo: separar lo que tiene distinto riesgo, dueño o ciclo de vida.

3.14 Errores frecuentes

  • Empezar con una sola cuenta y postergar la separación para "más adelante".
  • Crear redes y rangos IP sin plan de crecimiento ni conectividad híbrida.
  • No activar logs globales desde el inicio.
  • Permitir despliegues en cualquier región sin evaluar cumplimiento.
  • Depender de configuraciones manuales no documentadas.
  • Usar cuentas administrativas diarias para operación normal.
  • No definir dueño, costo, criticidad y ambiente mediante etiquetas.
  • Crear guardrails tan rígidos que los equipos busquen caminos informales para evitarlos.

3.15 Lista de verificación inicial

  • ¿Están separados producción, no producción, seguridad, logging y red compartida?
  • ¿Existen regiones aprobadas y restricciones para regiones no autorizadas?
  • ¿Los logs administrativos se centralizan y protegen contra borrado?
  • ¿Se exige MFA y acceso federado para usuarios privilegiados?
  • ¿Los recursos deben usar etiquetas mínimas obligatorias?
  • ¿Hay políticas que bloqueen almacenamiento público y puertos administrativos abiertos?
  • ¿La red base contempla subredes privadas, egreso controlado y conectividad futura?
  • ¿La creación de recursos se realiza preferentemente con infraestructura como código?

3.16 Qué debes recordar de este tema

  • La arquitectura segura cloud empieza con organización, límites y controles base.
  • Cuentas o proyectos separados ayudan a contener incidentes y ordenar responsabilidades.
  • Una landing zone proporciona una base repetible para desplegar workloads con gobierno.
  • Regiones, redes, logs, identidad y guardrails deben definirse antes de escalar el uso de cloud.
  • La automatización permite consistencia, pero también debe operar con mínimo privilegio.

3.17 Conclusión

Una arquitectura cloud segura no aparece por accidente. Requiere decisiones explícitas sobre separación, regiones, redes, logging, identidad, automatización y políticas. Estas decisiones forman la base sobre la que luego se despliegan aplicaciones, contenedores, clusters y pipelines.

En el próximo tema estudiaremos la gestión de identidades y accesos: IAM, MFA, roles, políticas y privilegio mínimo.

Volver al índice