Anatomía de una Azure Landing Zone: la base de la nube empresarial

Una Azure Landing Zone es el conjunto de configuraciones, políticas y guardrails que prepara la suscripción de Azure para recibir workloads de forma segura, gobernada y escalable. Es la base — construirla correctamente ahorra meses de remediación después.

Las 8 áreas de diseño

El Cloud Adoption Framework define 8 áreas de diseño:

1. Azure Billing & Active Directory Tenants
2. Identity & Access Management
3. Resource Organization (Management Groups + Subscriptions)
4. Network Topology & Connectivity
5. Security
6. Management (Monitor, Backup, BCDR)
7. Governance (Policy, Cost)
8. Platform Automation

Jerarquía de Management Groups

Root Management Group
├── Platform
│   ├── Identity (AD DS, AAD Connect)
│   ├── Management (Log Analytics, Azure Monitor)
│   └── Connectivity (Hub VNet, Firewall, ExpressRoute)
└── Landing Zones
    ├── Corp (workloads con acceso a la red interna)
    └── Online (workloads con exposición a Internet)

Azure Policies como guardrails

Las Policies aplican automáticamente reglas a todos los recursos creados:

# Ejemplo: forzar la etiqueta "Environment" en todos los recursos
az policy assignment create \
  --name require-env-tag \
  --policy /providers/Microsoft.Authorization/policyDefinitions/... \
  --scope /providers/Microsoft.Management/managementGroups/LandingZones

Aceleradores

Microsoft proporciona ALZ-Bicep y Terraform CAF como punto de partida para desplegar landing zones vía IaC en minutos.

Conclusión

Invertir en una Landing Zone bien diseñada antes de migrar el primer workload evita deuda técnica de gobernanza. Una base sólida acelera la adopción de la nube y reduce el riesgo de incidentes de seguridad y costes inesperados.