Azure Policy te permite crear directrices de seguridad personalizadas para tu suscripción, complementando las reglas estándar de Azure y adaptándose a la cultura de tu equipo. Es la herramienta ideal cuando Microsoft Defender for Cloud se queda corto y necesitas reglas específicas para tu organización.

¿Qué es Azure Policy y para qué sirve?

Azure Policy es la herramienta que permite definir directrices personalizadas dentro de tu suscripción para que toda tu empresa, organización o equipo se alinee a un mismo estándar de seguridad y operación.

A diferencia de las políticas predeterminadas de Azure, aquí tú decides qué reglas aplicar y a qué recursos. Por ejemplo, puedes exigir que todas las máquinas virtuales se conecten a un workspace específico para enviar registros de actividad. Si una VM no cumple, aparecerá marcada como no compatible.

¿Para qué sirve Azure Policy? Para crear reglas que evalúan automáticamente si tus recursos cumplen criterios de seguridad o configuración. Si un recurso incumple, lo marca como no compatible para que lo resuelvas.

En una demostración del portal, de nueve recursos evaluados solo dos cumplían las directrices, lo que muestra cómo la herramienta detecta brechas reales en cuestión de horas [02:00].

¿Cómo se asigna una política en el portal de Azure?

El flujo para crear una asignación de política es directo, pero requiere atención a tres campos clave: alcance, definición y cumplimiento.

¿Qué alcance debe tener tu política?

El scope define hasta dónde llega la regla. Tienes dos niveles principales:

• Nivel de suscripción, ideal cuando quieres cubrir todos los recursos de tu cuenta.
• Nivel de grupo de recursos, útil para aislar reglas a proyectos específicos.
• Exclusiones puntuales, por si un recurso debe ignorar la directriz por motivos justificados.

En el ejemplo del portal, la política se aplicó a toda la suscripción sin exclusiones [04:30].

¿Cómo elegir la definición de política correcta?

Dentro de las definiciones disponibles, fíjate siempre en la versión. Las políticas en version 1 son estables y puedes activarlas sin mayores complicaciones. Las que aparecen en modo preview probablemente cambien en el futuro, así que úsalas con precaución.

Un detalle práctico del portal: las políticas aparecen únicamente en inglés, aunque la interfaz esté en español. Esto puede complicar la búsqueda. Por ejemplo, para encontrar la regla de conexión de VMs hay que buscar literalmente virtual machines should be connected to en el cuadro de búsqueda [05:50].

¿Por qué las políticas de Azure aparecen en inglés? Porque las definiciones nativas del catálogo de Azure Policy están en inglés, aunque el portal traduzca automáticamente algunos textos. Búscalas siempre con términos en inglés.

¿Qué configurar al asignar la política?

Al asignar, define el nombre de la asignación, una descripción clara y, sobre todo, activa la opción de cumplimiento de directrices (policy enforcement). Sin esa casilla activa, la política no evalúa nada.

Una descripción útil puede ser tan simple como recordar al equipo proteger sus recursos, pero el campo crítico sigue siendo el de enforcement.

¿Cómo evalúa Azure Policy el cumplimiento de tus recursos?

Una vez creada la asignación, aparece en la sección de assignments y Azure comienza a escanear toda tu suscripción. Si encuentra un recurso del tipo cubierto por la regla, evalúa si cumple o no.

En el ejemplo, la política exigía que todos los elementos de App Management tuvieran el nombre y el usuario desactivados. Cuando Azure detecta un recurso que incumple, lo lista en la sección de compliance como pendiente de resolver.

Esta evaluación no es instantánea: en la demostración, la política se creó la tarde anterior y los resultados fueron visibles casi medio día después [01:30]. Por eso conviene crear las reglas con anticipación antes de revisar resultados.

¿Cómo equilibrar seguridad y productividad del equipo?

Aquí viene lo interesante: Azure Policy es una herramienta poderosa, pero no debe convertirse en un obstáculo para tu equipo de desarrollo.

La recomendación práctica tiene tres componentes:

• Discutir las políticas con todo el equipo antes de aplicarlas, para que la cultura de seguridad se extienda a todos.
• Mantener los recursos seguros sin frenar el trabajo diario de los desarrolladores.
• Encontrar un equilibrio entre el control y la agilidad operativa.

Cuando logras ese balance, terminas con una cantidad considerable de directrices funcionando en tu suscripción sin que nadie en el equipo sienta que la seguridad le bloquea el camino. ¿Cómo manejas tú ese equilibrio en tu organización? Déjalo en los comentarios.