Microsoft Azure desde cero: servicios clave para tu negocio

Microsoft Azure es hoy la segunda plataforma cloud más grande del mundo y la de mayor adopción en entornos empresariales europeos, en gran parte gracias a su integración nativa con el ecosistema de Microsoft: Active Directory, Microsoft 365, Teams, Dynamics y el amplio catálogo de software empresarial que millones de organizaciones ya usan. Para muchas empresas, la adopción de Azure no es una decisión completamente nueva; es la extensión natural de una infraestructura on-premise basada en tecnologías Microsoft.

Sin embargo, entender Azure va mucho más allá de conocer sus servicios más populares. Azure tiene más de doscientos servicios distintos, y la clave para una adopción exitosa está en identificar cuáles son realmente relevantes para tu negocio, cómo se relacionan entre sí y cómo estructurar su uso de forma ordenada y segura. Este artículo proporciona una guía práctica de los servicios clave de Azure para empresas que empiezan o que quieren consolidar su presencia en esta plataforma.

Abordaremos la estructura organizativa de Azure, el modelo de identidades con Azure AD (ahora llamado Microsoft Entra ID), los servicios de cómputo, almacenamiento, bases de datos, redes y las herramientas de gestión y seguridad. El objetivo es que al terminar de leer este artículo, el equipo técnico de cualquier empresa tenga una visión clara del mapa de servicios de Azure y sepa por dónde empezar.

Estructura organizativa en Azure: suscripciones, grupos de gestión y grupos de recursos

Antes de crear ningún recurso en Azure, es fundamental entender cómo se organiza la jerarquía administrativa de la plataforma. Azure tiene cuatro niveles principales de organización: el tenant de Microsoft Entra ID (el directorio corporativo), los grupos de gestión (Management Groups), las suscripciones y los grupos de recursos (Resource Groups).

• Tenant de Microsoft Entra ID: es el directorio de identidades corporativo. Un tenant contiene todos los usuarios, grupos, aplicaciones y políticas de acceso de la organización. Generalmente coincide con el dominio corporativo (empresa.com).
• Management Groups: permiten agrupar suscripciones y aplicarles políticas Azure Policy y asignaciones de roles RBAC de forma centralizada. Son el equivalente a las Organizational Units en AWS Organizations.
• Suscripciones: son las unidades de facturación y el límite de aislamiento principal en Azure. Una empresa puede tener varias suscripciones: producción, desarrollo, networking compartido, seguridad, etc.
• Resource Groups: son contenedores lógicos que agrupan los recursos de Azure relacionados entre sí por ciclo de vida. Todo recurso en Azure debe pertenecer a un grupo de recursos. Facilitan la gestión, el control de acceso granular y la facturación por proyecto.

La recomendación para empresas medianas y grandes es adoptar una landing zone de Azure, que es un conjunto de suscripciones y configuraciones base que implementan las mejores prácticas de seguridad, gobernanza y redes. Azure ofrece el Azure Landing Zone Accelerator, que permite desplegar una estructura completa y bien configurada mediante plantillas de Terraform o Bicep.

Microsoft Entra ID: el pilar de la identidad empresarial en Azure

Microsoft Entra ID (anteriormente Azure Active Directory o Azure AD) es el servicio de gestión de identidades y accesos de Azure. Es el equivalente al IAM de AWS, pero con capacidades mucho más orientadas a la gestión de usuarios empresariales, la federación con sistemas de identidad corporativos y la autenticación de aplicaciones SaaS.

Capacidades clave de Microsoft Entra ID para empresas

• Sincronización con Active Directory on-premise: mediante Azure AD Connect (ahora Microsoft Entra Connect), las empresas pueden sincronizar su directorio local con Entra ID, permitiendo Single Sign-On a aplicaciones cloud con las mismas credenciales corporativas.
• Acceso condicional: permite definir políticas de acceso que evalúan el riesgo de cada intento de autenticación. Por ejemplo, requerir MFA cuando el acceso se realiza desde una red no corporativa o desde un dispositivo no administrado.
• Privileged Identity Management (PIM): proporciona acceso just-in-time a roles privilegiados. Los administradores no tienen permisos permanentes de administrador; los solicitan cuando los necesitan, con aprobación y duración limitada.
• RBAC (Role-Based Access Control): Azure usa un modelo RBAC nativo para controlar el acceso a todos los recursos de Azure. Los roles pueden asignarse a nivel de suscripción, grupo de recursos o recurso individual.
• Gestión de aplicaciones empresariales: Entra ID actúa como proveedor de identidad (IdP) para miles de aplicaciones SaaS, eliminando la necesidad de gestionar contraseñas separadas para cada aplicación.

Para empresas en proceso de migración a cloud, la integración de Entra ID con el Active Directory corporativo mediante sincronización de directorios es uno de los primeros pasos que hay que dar. Esto garantiza que todos los usuarios accedan a los recursos de Azure con sus credenciales corporativas existentes, facilitando la adopción y manteniendo los controles de acceso ya definidos.

Cómputo en Azure: máquinas virtuales, App Service y Azure Functions

Azure ofrece múltiples opciones de cómputo que cubren desde la migración lift-and-shift de servidores físicos hasta arquitecturas completamente serverless. La elección del modelo de cómputo adecuado tiene un impacto directo en el coste, la escalabilidad y la carga operativa del equipo técnico.

Azure Virtual Machines (IaaS)

Las máquinas virtuales de Azure son el punto de entrada más sencillo para empresas que migran infraestructura on-premise. Azure ofrece cientos de tamaños de VM organizados en familias: de propósito general (D-series, B-series), optimizadas para cómputo (F-series), memoria (E-series, M-series) o GPU (N-series). La migración de servidores físicos o virtuales VMware se facilita con Azure Migrate, que realiza el descubrimiento, la evaluación y la replicación de las cargas de trabajo.

Para reducir costes, Azure Spot VMs ofrecen capacidad a precios muy reducidos para cargas de trabajo tolerantes a interrupciones. Las Reserved Instances (reservas de uno o tres años) pueden reducir el coste de las VMs de producción en torno a un cuarenta por ciento respecto al precio bajo demanda.

Azure App Service (PaaS)

Azure App Service es la plataforma de aplicaciones web gestionada de Azure. Permite desplegar aplicaciones .NET, Java, Node.js, Python, PHP o Ruby sin gestionar la infraestructura subyacente. Incluye escalado automático, integración continua con Azure DevOps y GitHub, certificados SSL automáticos mediante Let's Encrypt, y slots de despliegue para hacer zero-downtime deployments con capacidad de rollback inmediato.

Azure Functions (Serverless)

Azure Functions permite ejecutar código en respuesta a eventos sin aprovisionar ni gestionar servidores. Es ideal para integraciones, automatizaciones, procesamiento de mensajes de colas (Storage Queues, Service Bus) o APIs de baja frecuencia. El modelo de facturación por ejecución y consumo de recursos lo hace muy económico para cargas de trabajo esporádicas.

Almacenamiento en Azure: opciones y cuándo usar cada una

Azure Storage es el servicio de almacenamiento de objetos, archivos y discos de Azure. Está organizado en varias modalidades que cubren diferentes necesidades:

• Azure Blob Storage: almacenamiento de objetos para datos no estructurados (imágenes, documentos, copias de seguridad, logs). Equivalente a S3 de AWS. Ofrece tres niveles de acceso: Hot (acceso frecuente), Cool (acceso infrecuente) y Archive (almacenamiento a muy largo plazo a coste mínimo).
• Azure Files: servicio de sistema de archivos compartido basado en protocolo SMB y NFS. Permite reemplazar servidores de archivos on-premise con una solución completamente gestionada, accesible desde Windows, Linux y macOS.
• Azure Disk Storage: discos gestionados para máquinas virtuales. Disponibles en HDD estándar, SSD estándar, SSD Premium y Ultra Disk (para cargas de trabajo con requisitos de IOPS extremadamente altos, como bases de datos Oracle o SAP HANA).
• Azure Data Lake Storage Gen2: combina Blob Storage con un sistema de archivos jerárquico optimizado para análisis de big data con Apache Spark, Databricks o Azure Synapse Analytics.

Bases de datos en Azure: el amplio catálogo de opciones gestionadas

Azure ofrece un amplio catálogo de servicios de base de datos gestionados que eliminan la carga operativa del parcheado, las copias de seguridad y la alta disponibilidad. La elección depende del tipo de carga de trabajo y del motor de base de datos.

• Azure SQL Database: servicio SQL Server completamente gestionado. Ofrece alta disponibilidad con SLA del 99,99%, escalado automático, auditoría, detección de amenazas y compatibilidad con la mayor parte de las características de SQL Server. Ideal para aplicaciones empresariales que ya usan SQL Server.
• Azure SQL Managed Instance: compatible al 100% con SQL Server, incluyendo características como el Agente SQL Server, CLR, Service Broker o bases de datos vinculadas. Es la opción de migración lift-and-shift para aplicaciones que dependen de características exclusivas de SQL Server.
• Azure Database for PostgreSQL y MySQL: servicios completamente gestionados para estos motores open source, con alta disponibilidad, copias de seguridad automáticas y escalado de cómputo y almacenamiento.
• Azure Cosmos DB: base de datos NoSQL distribuida globalmente, con soporte para múltiples modelos de datos (documentos, clave-valor, columnas anchas, grafos) y cinco niveles de consistencia configurables. Ideal para aplicaciones con distribución geográfica o requisitos de latencia muy bajos.
• Azure Cache for Redis: servicio gestionado de Redis para caché en memoria, gestión de sesiones y colas de mensajes de baja latencia.

Redes en Azure: Virtual Networks, ExpressRoute y Azure Firewall

La arquitectura de red en Azure es fundamental para garantizar la seguridad y el rendimiento de las aplicaciones. Una Azure Virtual Network (VNet) es el bloque básico de red, equivalente a la VPC de AWS. Cada VNet tiene un espacio de direcciones IP privado y puede dividirse en subredes con diferente nivel de acceso.

Para la conectividad segura entre la red corporativa on-premise y Azure, hay dos opciones principales. Azure VPN Gateway ofrece una VPN IPsec cifrada a través de Internet, adecuada para la mayoría de las empresas. Azure ExpressRoute proporciona una conexión privada dedicada, sin pasar por Internet, con anchos de banda de hasta cien gigabits por segundo y SLA de disponibilidad superior. Es la opción recomendada para cargas de trabajo críticas con altos requisitos de ancho de banda o latencia.

Azure Firewall es un servicio de firewall de red completamente gestionado con capacidades de filtrado de capa de aplicación, inteligencia de amenazas integrada y soporte para IDPS (Intrusion Detection and Prevention System). Azure DDoS Protection Basic está incluido sin coste adicional para todos los recursos de Azure; el nivel Standard proporciona protección más avanzada y un SLA de protección frente a costes adicionales derivados de ataques DDoS.

Azure DevOps y GitHub: el ecosistema de desarrollo de Microsoft

Para los equipos de desarrollo, Azure DevOps proporciona un conjunto integrado de herramientas que cubre todo el ciclo de vida del software: Azure Boards para la gestión de proyectos (metodologías ágiles), Azure Repos para control de versiones Git, Azure Pipelines para CI/CD multiplataforma, Azure Test Plans para pruebas y Azure Artifacts para la gestión de paquetes.

Tras la adquisición de GitHub por parte de Microsoft, ambas plataformas están cada vez más integradas. GitHub Actions es la alternativa más popular para CI/CD en proyectos que ya usan GitHub, con una integración profunda con Azure mediante el mecanismo de OpenID Connect (OIDC) que elimina la necesidad de almacenar credenciales de Azure en los secretos de GitHub.

Gobernanza y cumplimiento: Azure Policy y Microsoft Defender for Cloud

La gobernanza en Azure se implementa principalmente a través de Azure Policy, que permite definir reglas que se evalúan frente a los recursos de Azure y pueden bloquear la creación de recursos no conformes o remediarlos automáticamente. Por ejemplo, una política puede requerir que todos los recursos tengan etiquetas de coste, que las VMs solo se puedan crear en regiones europeas o que todos los discos estén cifrados.

Microsoft Defender for Cloud (anteriormente Azure Security Center y Azure Defender) es la plataforma de gestión de la postura de seguridad cloud (CSPM) de Microsoft. Proporciona una puntuación de seguridad (Secure Score) basada en el cumplimiento de las mejores prácticas de seguridad, alertas de detección de amenazas y recomendaciones de remediación priorizadas. También cubre recursos de AWS y GCP si se conectan al workspace, haciendo de Defender for Cloud una solución de seguridad multi-cloud.

Azure no es solo una plataforma técnica; es un ecosistema empresarial que conecta identidades, datos, aplicaciones y seguridad bajo un marco de gobernanza coherente.

Azure Monitor y Log Analytics: visibilidad operativa centralizada

Azure Monitor es la plataforma de observabilidad de Azure que centraliza métricas, logs y trazas de todos los servicios de Azure y de las aplicaciones que se ejecutan en la plataforma. Log Analytics Workspaces son el repositorio central donde se almacenan los logs para análisis con el lenguaje de consulta KQL (Kusto Query Language).

• Application Insights: módulo de Azure Monitor para monitorización de aplicaciones con APM completo, trazas distribuidas, análisis de rendimiento y detección de anomalías.
• Alertas de Azure Monitor: permiten configurar alertas basadas en métricas o consultas de logs, con notificación por email, SMS, webhook o desencadenamiento de Azure Functions o Logic Apps.
• Azure Workbooks: dashboards interactivos que combinan métricas, logs y parámetros dinámicos para crear vistas operativas personalizadas.
• Diagnostic Settings: configuración que envía los logs de diagnóstico de cualquier recurso de Azure a Log Analytics, Event Hubs o Blob Storage.

Costes en Azure: cómo evitar sorpresas en la factura

La gestión de costes es una de las preocupaciones más relevantes en la adopción de Azure. Azure Cost Management and Billing proporciona herramientas para visualizar, asignar y optimizar el gasto cloud. Las etiquetas (tags) de Azure permiten asignar costes a proyectos, equipos o centros de coste, facilitando la chargeback a nivel departamental.

Las Azure Reservations (reservas de capacidad de uno o tres años) y el Azure Hybrid Benefit (que permite usar licencias de Windows Server o SQL Server existentes en Azure a precio reducido) son los dos mecanismos de optimización de costes con mayor impacto para la mayoría de las empresas. Combinados, pueden reducir el coste de las cargas de trabajo de producción en más de la mitad respecto al precio bajo demanda.

Conclusión: Azure como plataforma empresarial integral

Azure es mucho más que un proveedor de infraestructura virtual. Es una plataforma empresarial completa que ofrece integración nativa con el directorio corporativo, herramientas de desarrollo, cumplimiento regulatorio y una amplia gama de servicios de datos e inteligencia artificial. Para empresas que ya tienen una base de Microsoft, la adopción de Azure es una extensión natural de su ecosistema tecnológico.

El punto de partida más recomendable es desplegar una Azure Landing Zone usando el acelerador oficial, definir la jerarquía de suscripciones, conectar Entra ID con el Active Directory corporativo y configurar Azure Policy y Defender for Cloud desde el primer día. Con esa base, el equipo técnico puede ir adoptando servicios de Azure de forma ordenada y segura, sin acumular deuda técnica ni comprometer la seguridad de los datos corporativos.