(+351) 21 24 10006  ·  info@bconcepts.pt
Carnaxide, Lisboa
Infraestrutura como Código & DevOps
Infraestrutura como Código & DevOps 1 min

Pruebas de infraestructura con Pester y Azure Policy: validar IaC antes y después del deploy

João Barros 19 de June de 2026 1 min de lectura

La IaC (Bicep/Terraform) sin pruebas es una promesa no verificada. Pester valida que el deploy creó exactamente lo esperado; Azure Policy garantiza el cumplimiento continuo incluso después de cambios manuales.

Pruebas Pester post-deploy

BeforeAll {
    Connect-AzAccount -Identity
    $rg = "rg-analytics-prod"
}

Describe "Infra Analytics Prod" {
    It "El Storage Account existe y tiene ADLS Gen2 activado" {
        $sa = Get-AzStorageAccount -ResourceGroupName $rg -Name "stadatalakeprod"
        $sa | Should -Not -BeNullOrEmpty
        $sa.EnableHierarchicalNamespace | Should -Be $true
    }

    It "El Key Vault tiene purge protection" {
        $kv = Get-AzKeyVault -VaultName "kv-bconcepts-prod"
        $kv.EnablePurgeProtection | Should -Be $true
    }

    It "El ADF usa Managed Identity" {
        $adf = Get-AzDataFactoryV2 -ResourceGroupName $rg -Name "adf-bconcepts-prod"
        $adf.Identity.Type | Should -Be "SystemAssigned"
    }

    It "Ningún NSG permite SSH (22) desde internet" {
        $nsgs = Get-AzNetworkSecurityGroup -ResourceGroupName $rg
        foreach ($nsg in $nsgs) {
            $sshRule = $nsg.SecurityRules | Where-Object {
                $_.DestinationPortRange -eq "22" -and $_.SourceAddressPrefix -eq "*"
            }
            $sshRule | Should -BeNullOrEmpty -Because "SSH desde internet no está permitido"
        }
    }
}

Azure Policy — cumplimiento continuo

# Policy: forzar HTTPS en storage accounts
az policy assignment create \
  --name "enforce-https-storage" \
  --policy "Secure transfer to storage accounts should be enabled" \
  --scope "/subscriptions/${SUBSCRIPTION_ID}/resourceGroups/rg-analytics-prod" \
  --enforcement-mode Default  # Deny — bloquea recursos no conformes

# Listar recursos no conformes
az policy state list \
  --resource-group rg-analytics-prod \
  --filter "complianceState eq 'NonCompliant'" \
  --query "[].{Resource:resourceId, Policy:policyDefinitionName}"

Integrar Pester en el pipeline CI/CD

- stage: PostDeploy_Tests
  jobs:
    - job: InfraTests
      steps:
        - task: PowerShell@2
          inputs:
            script: |
              Install-Module Pester -Force -Scope CurrentUser
              $result = Invoke-Pester -Path ./tests/infra -PassThru -OutputFile results.xml -OutputFormat NUnitXml
              if ($result.FailedCount -gt 0) { exit 1 }
        - task: PublishTestResults@2
          inputs: { testResultsFiles: "results.xml" }

Conclusión

La combinación de Pester (validación post-deploy) + Azure Policy (cumplimiento continuo) cierra el ciclo de seguridad de la IaC. Pester verifica que el deploy funcionó como se esperaba; Policy garantiza que nadie cambie manualmente un recurso fuera de las normas de la organización.

Compartir:
← Volver a Infraestrutura como Código & DevOps Agendar consultoría gratuita →