{"id":2026,"date":"2022-05-09T10:09:02","date_gmt":"2022-05-09T09:09:02","guid":{"rendered":"https:\/\/keepler.io\/2022\/05\/09\/arquitecturas-de-empresa-landing-zone\/"},"modified":"2023-11-23T12:11:17","modified_gmt":"2023-11-23T12:11:17","slug":"arquitecturas-de-empresa-landing-zone","status":"publish","type":"post","link":"https:\/\/keepler.io\/es\/2022\/05\/09\/arquitecturas-de-empresa-landing-zone\/","title":{"rendered":"Arquitecturas de Empresa: Landing Zone"},"content":{"rendered":"
\n

Bienvenidos a la era del cloud, \u00bfQu\u00e9 desean? \u2026 entiendo: una cuenta para probar, 2 entornos de preproducci\u00f3n y una cuenta de producci\u00f3n. Ser\u00e1n 30 minutos y pagar\u00e1n lo que vayan consumiendo.<\/h3>\n<\/blockquote>\n

Actualmente nos encontramos en un punto en el que las empresas se decantan cada vez m\u00e1s por la nube como lugar en el cual alojar sus soluciones y en consecuencia cada vez es mayor su necesidad de proveer un espacio donde desplegar las mismas. En el caso de AWS y cuando estamos hablando de cargas de trabajo diferentes (ya sea por el tipo de entorno o la funcionalidad del mismo), este espacio lo representa la entidad \u201ccuenta\u201d. Podr\u00edan alojarse m\u00faltiples proyectos en una misma cuenta, sin embargo, de acuerdo a una de las buenas pr\u00e1cticas de los pilares de arquitectura de AWS, la seguridad, lo ideal es aplicar el aislamiento por defecto, separando los recursos de los diferentes flujos de trabajo.<\/span><\/p>\n

Vamos a partir del hecho de que nos hemos decantado por una estructura multi cuenta, lo siguiente que nos tenemos que plantear es: \u00bfCu\u00e1ntas cuentas?. Realmente no hay una respuesta absoluta sobre el n\u00famero de cuentas que debemos tener, sino m\u00e1s bien una serie de recomendaciones a tener en cuenta para realizar un correcto dimensionamiento. Lo que es indudable es que vamos a tener que crear cuentas de AWS, configurarlas y operarlas y todo esto sin perder de vista la agilidad. Un reto divertido, \u00bfNo?.\u00a0<\/span><\/p>\n

Vale, ya tenemos claro que vamos a tener que proporcionar un mont\u00f3n de cuentas y tenemos que asegurarnos de que estas cuentas est\u00e9n configuradas correctamente y cumplan con las pr\u00e1cticas recomendadas por el <\/span>WAF<\/span><\/a> pero es que adem\u00e1s todo esto luego tendremos que operarlo, y claro si gestionar, por ejemplo la autorizaci\u00f3n y autenticaci\u00f3n de una de las cuentas ya es costoso imag\u00ednate escalar a 200 cuentas; pues extrapola esto a otros \u00e1mbitos de la cuenta, seguridad, redes, auditor\u00edas\u2026.<\/span><\/p>\n

\u00bfYa est\u00e1s agobiad@?, tranquil@ y vamos por partes, que esto tiene soluci\u00f3n.\u00a0<\/span><\/p>\n

Muchos de estos servicios que se han de configurar son susceptibles a configurarse y operarse de manera centralizada. A esta estructura de servicios y cuentas se le llama formalmente Landing Zone.\u00a0<\/span><\/p>\n

Una Landing Zone es un ecosistema de cuentas y servicios que funcionan conjuntamente como punto de partida para desplegar de forma segura y escalable m\u00faltiples cargas de trabajo y aplicaciones con la seguridad de que las mismas cumplir\u00e1n los patrones de dise\u00f1o, pr\u00e1cticas y est\u00e1ndares definidos espec\u00edficamente para nuestro negocio. Es importante tener en cuenta que, pese a que existen una serie de directrices que nos pueden guiar en c\u00f3mo dise\u00f1ar nuestras soluciones, no existe una respuesta hol\u00edstica, pues ni todos los casos de uso son iguales, ni todas las empresas tienen los mismos requisitos. En consecuencia, crear una Landing Zone es algo que implica analizar las necesidades de nuestro negocio y trasladar las mismas a decisiones t\u00e9cnicas sobre redes, seguridad, accesos, etc.<\/span><\/p>\n

Es cierto que, independientemente de que tengamos que realizar un an\u00e1lisis para garantizar que este ecosistema puede suplir las necesidades de nuestros casos de uso, generalmente las Landing Zones suelen tener una estructura similar en cuanto a cuentas y servicios que proporcionan. Habitualmente las mismas cuentan con la siguiente arquitectura.<\/span><\/p>\n

\"\"<\/p>\n

Como podemos observar en el diagrama el ecosistema est\u00e1 compuesto por diferentes cuentas, denominadas cuentas <\/span>core<\/span><\/i> o fundacionales, \u00bfPara qu\u00e9 sirven?.<\/span><\/p>\n

Cuenta de Organizaci\u00f3n:<\/b><\/h3>\n

Esta es la cuenta maestra, desde donde, utilizando AWS Organizations, crearemos, organizaremos y aplicaremos pol\u00edticas de control de servicios al resto de cuentas. Utilizar AWS Organizations tambi\u00e9n nos brinda la posibilidad de, en base a la clasificaci\u00f3n que hagamos, mediante el uso de OUs, podamos identificar y administrar los costes de las cuentas que pertenezcan a este ecosistema. Otra de las funcionalidades que se ofrece desde esta cuenta es la gesti\u00f3n centralizada de la autenticaci\u00f3n y autorizaci\u00f3n usando AWS SSO.<\/span><\/p>\n

Servicios Asociados: AWS Organizations, AWS SSO, AWS Control Tower, AWS Billing<\/span><\/i><\/p>\n

Cuenta de servicios compartidos:<\/b><\/h3>\n

La cuenta de servicios compartidos tiene como objetivo alojar aquellos servicios y aplicaciones centralizadas que los equipos de datos e ingenier\u00eda consumen para el funcionamiento de su producto. Por ejemplo, servicios de mensajer\u00eda, bases de datos globales, servicios de integraci\u00f3n continua transversales, etc.<\/span><\/p>\n

Servicios Asociados: AWS AD, C.I.\/C.D.<\/span><\/i><\/p>\n

Cuenta de auditor\u00eda:<\/b><\/h3>\n

El objetivo de la cuenta de auditor\u00eda es almacenar de forma segura, centralizada y aislada los registros (logs) creados por los diferentes servicios del ecosistema.\u00a0<\/span><\/p>\n

Servicios Asociados: AWS CloudTrail, AWS Config, AWS S3 Object Logging<\/span><\/i><\/p>\n

Cuenta de seguridad:<\/b><\/h3>\n

La cuenta de seguridad ser\u00e1 la responsable de alojar los servicios para gestionar, auditar y operar la seguridad de las cuentas de producto de forma centralizada. A mayores es tambi\u00e9n la cuenta encargada de alojar los roles utilizados para realizar operaciones de seguridad y auditor\u00eda. Estos roles, denominados \u201cbreaking-glass\u201d,<\/span><\/p>\n

ser\u00e1n utilizados en caso de emergencia para actuar ante un incidente.<\/span><\/p>\n

Servicios Asociados: AWS Guard Duty, AWS Security Hub<\/span><\/i><\/p>\n

Cuenta de redes:<\/b><\/h3>\n

El prop\u00f3sito de esta cuenta es servir como punto \u00fanico de operaci\u00f3n de los servicios de conectividad transversales que, dependiendo de las necesidades y pol\u00edticas de nuestra empresa, se encargar\u00e1 desde la resoluci\u00f3n de DNS hasta la centralizaci\u00f3n de la operaci\u00f3n y monitorizaci\u00f3n del tr\u00e1fico este\/oeste y norte\/sur.<\/span><\/p>\n

Servicios Asociados: AWS Transit Gateway, AWS Direct Connect, AWS VPC, AWS Route 53<\/span><\/i><\/p>\n

Utilizando este ecosistema y configurando correctamente los servicios asociados podremos garantizar que las cuentas creadas bajo esta organizaci\u00f3n cuenten de base con las funcionalidades mencionadas anteriormente. \u00bfEs esto suficiente?<\/span><\/p>\n

Como recordar\u00e9is antes hice hincapi\u00e9 en el hecho de que hay que no hay una soluci\u00f3n hol\u00edstica y que tendremos que dise\u00f1ar en base a las necesidades de nuestro negocio y generalmente esto implica tambi\u00e9n realizar otras configuraciones espec\u00edficas que van m\u00e1s all\u00e1 de las ya centralizadas por AWS. Llegados a este punto es importante definir estas configuraciones e implementarlas de base en todas aquellas cuentas que creemos, \u00a1un tema que trataremos en el siguiente cap\u00edtulo!<\/span><\/p>\n

Imagen: Freepik<\/p>\n","protected":false},"excerpt":{"rendered":"

Bienvenidos a la era del cloud, \u00bfQu\u00e9 desean? \u2026 entiendo: una cuenta para probar, 2 entornos de preproducci\u00f3n y una cuenta de producci\u00f3n. Ser\u00e1n 30 minutos y pagar\u00e1n lo que vayan consumiendo. Actualmente nos encontramos en un punto en el que las empresas se decantan cada vez m\u00e1s por la nube como lugar en el […]<\/p>\n","protected":false},"author":134360170,"featured_media":34777,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","_crdt_document":"","content-type":"","_jetpack_newsletter_access":"","_jetpack_dont_email_post_to_subs":false,"_jetpack_newsletter_tier_id":0,"_jetpack_memberships_contains_paywalled_content":false,"_jetpack_memberships_contains_paid_content":false,"footnotes":"","jetpack_publicize_message":"","jetpack_publicize_feature_enabled":true,"jetpack_social_post_already_shared":true,"jetpack_social_options":{"image_generator_settings":{"template":"highway","default_image_id":0,"font":"","enabled":false},"version":2},"_wpas_customize_per_network":false,"jetpack_post_was_ever_published":false},"categories":[224],"tags":[236,243],"class_list":["post-2026","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cloud","tag-aws","tag-devops-es"],"jetpack_publicize_connections":[],"jetpack_featured_media_url":"https:\/\/i0.wp.com\/keepler.io\/wp-content\/uploads\/2022\/05\/keepler-enterprise-architectures-landing-zone.jpg?fit=1280%2C452&ssl=1","jetpack_shortlink":"https:\/\/wp.me\/p9CeZw-wG","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/keepler.io\/es\/wp-json\/wp\/v2\/posts\/2026","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/keepler.io\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/keepler.io\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/keepler.io\/es\/wp-json\/wp\/v2\/users\/134360170"}],"replies":[{"embeddable":true,"href":"https:\/\/keepler.io\/es\/wp-json\/wp\/v2\/comments?post=2026"}],"version-history":[{"count":2,"href":"https:\/\/keepler.io\/es\/wp-json\/wp\/v2\/posts\/2026\/revisions"}],"predecessor-version":[{"id":39357,"href":"https:\/\/keepler.io\/es\/wp-json\/wp\/v2\/posts\/2026\/revisions\/39357"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/keepler.io\/es\/wp-json\/wp\/v2\/media\/34777"}],"wp:attachment":[{"href":"https:\/\/keepler.io\/es\/wp-json\/wp\/v2\/media?parent=2026"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/keepler.io\/es\/wp-json\/wp\/v2\/categories?post=2026"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/keepler.io\/es\/wp-json\/wp\/v2\/tags?post=2026"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}