Artículo · 015

Azure Arc: cómo gestionar infraestructura híbrida y multicloud como si todo fuera Azure

Azure ArcInfraestructura HíbridaKubernetesFinOps · TCODORA · ENS

La mayoría de las organizaciones llevan entre tres y ocho años acumulando infraestructura en tres sitios a la vez: datacenter propio, Azure y alguna combinación de AWS o GCP. El resultado es siempre el mismo: tres consolas de gestión, tres modelos de seguridad distintos, tres pipelines de compliance y un equipo de IT que dedica más tiempo a coordinar herramientas que a operar sistemas. Azure Arc no es una herramienta de monitorización. Es el plano de control de Azure extendido a cualquier infraestructura. Esta es la arquitectura que funciona y el modelo financiero que justifica el proyecto.

El problema que Arc resuelve — y los que no

Cuando un CTO me pregunta por Azure Arc, la primera pregunta que hago es: ¿cuántos sitios de gestión tiene tu equipo abiertos en paralelo cuando necesita aplicar un parche de seguridad a todos los servidores de la organización? La respuesta habitual es entre tres y cinco. Y esa respuesta es exactamente el problema que Arc resuelve.

Azure Arc funciona mediante un agente ligero —el Azure Connected Machine Agent— que se instala en cualquier servidor Linux o Windows, en cualquier clúster Kubernetes (AKS, EKS, GKE, Red Hat OpenShift, k3s en edge), y en instancias de SQL Server y PostgreSQL. Ese agente registra el recurso en el Azure Resource Manager de tu suscripción como si fuera un recurso Azure nativo. A partir de ese momento, el recurso aparece en el portal de Azure, acepta Azure Policy, puede recibir extensiones de VM (Defender for Cloud, Azure Monitor, Update Manager), y su identidad es gestionada por Microsoft Entra ID con una Managed Identity propia.

Lo que Arc no resuelve: la latencia intrínseca entre tu datacenter y Azure, los problemas de conectividad de red preexistentes, la complejidad de aplicaciones legacy que no tienen APIs modernas, o la deuda técnica acumulada en sistemas OT industriales. Arc gestiona la capa de control. No transforma la capa de aplicación.

La confusión más frecuente: equipos que instalan el agente Arc en servidores on-premise pensando que están "migrando a cloud". Arc no mueve workloads a Azure. Proyecta el plano de control de Azure sobre donde ya están esas workloads. La migración es una decisión separada y posterior.

La arquitectura de referencia: cuatro capas, un plano de control

Una implementación de Azure Arc bien diseñada tiene cuatro capas que deben activarse en orden. Saltarse la secuencia es el origen del 90% de los problemas en producción.

┌─ PLANO DE CONTROL AZURE (Azure Resource Manager)
│ Azure Policy · Defender for Cloud · Azure Monitor · Update Manager
│ Microsoft Entra ID (Managed Identity por recurso Arc)
│ Role-Based Access Control (RBAC) unificado
├─ CAPA DE CONECTIVIDAD
│ Azure Arc Gateway (proxy inverso, sin ExpressRoute obligatorio)
│ Private Link para entornos con requerimientos de aislamiento total
│ Proxy HTTP/HTTPS con lista blanca de endpoints Microsoft
├─ RECURSOS ARC-ENABLED
│ Servers: Windows/Linux on-premise, AWS EC2, GCP Compute Engine
│ Kubernetes: AKS hybrid, EKS, GKE, OpenShift, k3s (IoT/Edge)
│ Data Services: SQL Server, PostgreSQL (Arc-enabled)
│ VMware vSphere / SCVMM / Azure Stack HCI (gestión de VMs)
└─ EXTENSIONES Y SERVICIOS AVANZADOS
Azure Monitor Agent · Defender for Servers Plan 2
GitOps (Flux v2) para Kubernetes · App Service en Arc
Machine Configuration (DSC) para compliance de SO

La Capa 1 —conectividad— es donde más proyectos se atascan. El agente Arc necesita alcanzar aproximadamente 15 endpoints de Microsoft (management.azure.com, login.microsoftonline.com, *.his.arc.azure.com, entre otros) por el puerto 443 saliente. En entornos bancarios o industriales con proxies corporativos y firewalls de salida restrictivos, la lista blanca de endpoints es el primer entregable del proyecto, no el último.

La Capa 2 —recursos Arc-enabled— es la instalación del agente. En entornos con cientos de servidores, la instalación manual no es una opción. El método recomendado en producción es despliegue vía script PowerShell/Bash desde un Service Principal con permisos acotados a Azure Connected Machine Onboarding en el resource group de destino, orquestado desde una herramienta de gestión de configuración existente (Ansible, SCCM, System Center, Chef). Para entornos VMware vSphere existe el Arc-enabled VMware vSphere que descubre y onboardea VMs masivamente desde vCenter sin acceso individual a cada VM.

La Capa 3 —Azure Policy— es donde Arc entrega su valor diferencial de compliance. Una iniciativa de política aplicada a un Management Group cubre automáticamente todos los servidores Arc-enabled de todas las suscripciones bajo ese grupo, exactamente igual que cubre las VMs Azure nativas. Para sectores regulados bajo ENS o DORA, esto significa que el auditor puede ver el estado de compliance de la infraestructura on-premise desde el mismo panel que la infraestructura cloud, con el mismo nivel de evidencia exportable.

Arc-enabled Kubernetes: el caso de uso que más subestiman los arquitectos

Si la gestión de servidores híbridos es el caso de uso más conocido de Arc, el que más valor entrega en organizaciones con madurez cloud es Arc-enabled Kubernetes con GitOps mediante Flux v2.

El escenario típico en banca o seguros en 2026: una organización tiene clústeres Kubernetes en tres entornos —AKS en Azure para workloads cloud-native, OpenShift on-premise para aplicaciones críticas que no pueden salir del datacenter por requisitos regulatorios, y k3s en edge para sucursales o terminales de punto de venta. Sin Arc, los tres clústeres tienen pipelines de CI/CD separados, políticas de red distintas, y el equipo de seguridad no tiene visibilidad unificada de qué está corriendo en cada uno.

Con Arc-enabled Kubernetes y GitOps activado, los tres clústeres se conectan al plano de control de Azure. Un repositorio Git (GitHub, Azure DevOps) actúa como la única fuente de verdad para el estado declarativo de los clústeres. Flux corre dentro de cada clúster como un operador que reconcilia continuamente el estado actual contra el estado deseado en Git. El resultado: un cambio en el repositorio —una actualización de imagen, un cambio de configuración, un nuevo NetworkPolicy— se propaga automáticamente a los tres clústeres sin intervención manual y con trazabilidad completa en el historial de commits.

−65%
Reducción tiempo
de aplicación de parches
1 panel
Compliance unificado
on-premise + cloud
−40%
Reducción coste licencias
SQL Server (ESU vía Arc)

SQL Server on Arc: el caso de negocio que se autofinancia

De todos los componentes de Azure Arc, SQL Server on Arc tiene el ROI más directo y más rápido de justificar ante un CFO o un comité de inversión. La razón es la combinación de dos factores: Extended Security Updates gratuitas y el licenciamiento por beneficio de Azure Hybrid.

Las organizaciones con SQL Server 2012 o 2014 —aún presentes en el 40-60% de los entornos bancarios e industriales españoles con sistemas legados— tenían hasta hace pocos años una única opción para seguir recibiendo parches de seguridad: pagar Extended Security Updates (ESU) a Microsoft a un coste del 75% del precio de licencia original por año. Con SQL Server registrado en Azure Arc, las ESU son gratuitas mientras el servidor esté conectado a Arc. Para una organización con 20 instancias SQL Server 2014 en producción, el ahorro anual puede estar entre 80.000€ y 200.000€ dependiendo del número de cores licenciados.

El segundo beneficio financiero es el Azure Hybrid Benefit aplicado a SQL Managed Instance o SQL Server en VMs Azure. Una vez que el servidor SQL está registrado en Arc, el equipo tiene visibilidad completa de licencias utilizadas vs. disponibles para aplicar el beneficio híbrido en la migración futura, evitando el sobredimensionamiento de licencias que es habitual cuando este inventario se gestiona manualmente.

El tercer beneficio, que suele omitirse en los modelos financieros iniciales, es Defender for SQL activado automáticamente como extensión Arc en todas las instancias registradas. Para entidades bajo supervisión del BCE o la CNMV, tener detección de amenazas avanzada en SQL Server on-premise con las mismas políticas que en Azure SQL Managed Instance elimina una categoría completa de hallazgos en auditorías de seguridad.

El modelo financiero que aprobó el Comité de Dirección

El error más frecuente en la presentación financiera de un proyecto Arc al Comité de Dirección es construir el caso de negocio únicamente sobre el ahorro en licencias SQL. El ahorro en licencias es real y cuantificable, pero no es el argumento que cierra la discusión del CTO y del CFO simultáneamente.

El argumento que cierra la discusión es el coste de la fragmentación operativa. En una organización con 400 servidores repartidos entre datacenter propio, Azure y alguna instancia en AWS, el coste operativo de mantener tres flujos de trabajo de gestión de parches separados, tres modelos de compliance distintos y tres herramientas de monitorización en paralelo es medible en horas/persona por semana. En los proyectos en los que hemos implementado Arc, ese coste de coordinación suele representar entre 1,5 y 2,5 FTEs de sysadmin dedicados a overhead de herramientas, no a trabajo productivo.

A 5 años, el modelo de TCO comparaba tres escenarios: mantener el status quo de gestión fragmentada, implementar una solución de terceros de gestión híbrida (Ansible AWX + Grafana + herramientas propias), e implementar Azure Arc. Los resultados: el status quo acumula deuda técnica operativa creciente. La solución de terceros tiene coste de implementación y mantenimiento comparables a Arc pero sin integración nativa con el ecosistema Azure de compliance y seguridad. Arc, con el coste de onboarding inicial amortizado en el primer año por el ahorro en ESU de SQL Server, entregaba un TCO acumulado a 5 años entre un 28% y un 35% inferior al status quo en los dos proyectos donde hicimos el análisis completo.

El argumento que no aparece en el modelo de TCO estático: cuando la organización tenga que demostrar compliance ENS Categoría Alta o DORA ante el regulador, la capacidad de exportar el estado de todas las políticas de seguridad —on-premise y cloud— desde un único panel de Azure Policy tiene un valor asegurador que no se puede poner en un spreadsheet pero que cualquier CISO que haya pasado una auditoría comprende perfectamente.

Los tres errores que repiten los equipos que se quedan a medias

En los proyectos de Arc que hemos acompañado, hay tres patrones de error que aparecen con suficiente frecuencia como para merecer atención explícita antes de empezar.

Error 1: onboardear servidores sin definir la taxonomía de etiquetado primero. Arc hereda el modelo de gestión de Azure, lo que incluye la dependencia de tags para FinOps, organización y automatización de políticas. Un servidor Arc-enabled sin tags coherentes (entorno, propietario, aplicación, criticidad) es un recurso que aparece en el portal de Azure pero que no puede ser gestionado de forma automatizada ni incorporado a iniciativas de política correctamente. En entornos con más de 100 servidores, corregir el etiquetado a posteriori es un proyecto en sí mismo. La taxonomía de tags se define antes del primer onboarding, no después.

Error 2: activar Defender for Cloud sin revisar los costes de ingesta en Log Analytics. Defender for Cloud Plan 2 para servidores Arc cuesta 15 USD/servidor/mes. Es un coste conocido y justificable. Lo que no es tan obvio es que el agente Azure Monitor que se instala como extensión Arc envía logs al workspace de Log Analytics que tengas configurado como destino. Si ese workspace no tiene una política de retención y una tabla de ingesta dimensionada para los nuevos servidores, el coste de Log Analytics puede superar el de Defender. En un proyecto con 300 servidores Arc, vimos costes de Log Analytics de 4.200€/mes el primer mes por logs de seguridad de Windows Event Log sin filtrado. El dimensionamiento del workspace y las reglas de Data Collection Rule (DCR) son parte del diseño de Arc, no una optimización posterior.

Error 3: confundir Arc-enabled VMware vSphere con Azure Stack HCI. Son dos productos distintos con propósitos distintos. Arc-enabled VMware vSphere proyecta el plano de gestión de Azure sobre VMs que siguen corriendo en vCenter on-premise, sin mover nada. Azure Stack HCI es infraestructura hiperconvergente certificada por Microsoft que corre una versión de Azure localmente, con capacidad de correr AKS y servicios Azure de forma local. La decisión entre los dos no es técnica en primera instancia: es una decisión sobre si el cliente quiere gestionar VMs existentes desde Azure (Arc + vSphere) o construir nueva infraestructura híbrida con capacidades Azure locales (Stack HCI). Mezclarlos en la misma propuesta sin diferenciarlos genera confusión en el comité de aprobación.

La secuencia de implementación que minimiza el riesgo

Después de varios proyectos Arc en entornos de producción en banca y sector industrial, la secuencia que mejor funciona tiene cuatro fases con puntos de validación explícitos entre ellas.

  1. Fase 0 — Preparación (2-3 semanas) Inventario de servidores candidatos (excluir sistemas OT, sistemas sin conectividad de red hacia Azure, appliances de red). Definición de taxonomía de tags obligatorios. Lista blanca de endpoints Arc en firewall/proxy corporativo. Creación del Service Principal de onboarding con permisos mínimos. Definición del workspace de Log Analytics de destino y política de retención. Ningún servidor Arc en producción hasta que esta fase esté cerrada.

  2. Fase 1 — Piloto (3-4 semanas) Onboarding de 10-20 servidores no críticos (entorno de desarrollo o QA). Validación de conectividad, inventario en portal Azure, asignación de Managed Identity. Activación de Azure Policy en modo audit (sin enforce) para medir el gap de compliance inicial. Activación de Azure Monitor Agent y Log Analytics. Revisión de costes del workspace antes de continuar.

  3. Fase 2 — Producción por grupos (6-8 semanas) Onboarding por grupos de servidores según criticidad, empezando por los de menor impacto en caso de incidencia. Activación de Azure Policy en modo enforce para controles de seguridad del SO (CIS Benchmark o ENS según sector). Activación de Defender for Servers Plan 2 por grupos, validando coste incremental. Para clústeres Kubernetes: onboarding Arc + activación GitOps en repositorio de desarrollo primero.

  4. Fase 3 — Optimización y casos avanzados SQL Server on Arc para instancias legacy con ESU. Arc-enabled VMware vSphere si hay infraestructura vCenter. Activación de Azure Update Manager para parches unificados. Construcción del dashboard de compliance unificado para auditoría. Integración con Microsoft Sentinel para correlación de eventos de servidores Arc con el SOC.

Arc y Sentinel: la combinación que el SOC necesitaba

La integración de Azure Arc con Microsoft Sentinel es el cierre natural del ciclo de seguridad en entornos híbridos. Sin Arc, los servidores on-premise envían logs a Sentinel mediante el agente de Log Analytics, pero son recursos sin identidad gestionada en Azure: el SOC los ve como fuentes de eventos sin contexto de pertenencia organizativa, sin estado de compliance y sin historial de configuración.

Con Arc, cada servidor on-premise tiene una Managed Identity en Entra ID y un registro en Azure Resource Manager. Esto significa que Sentinel puede correlacionar un evento de seguridad de un servidor on-premise con su estado de compliance en Azure Policy, con el historial de cambios de extensiones Arc, y con las alertas de Defender for Cloud del mismo recurso. Para un analista del SOC, la diferencia entre investigar un incidente en un servidor Arc-enabled frente a un servidor sin Arc es la diferencia entre tener el expediente completo del paciente y tener solo el síntoma del día.

En los proyectos implementados, la activación de Arc como paso previo a la integración de infraestructura on-premise con Sentinel ha reducido el tiempo de triaje de incidentes en esos servidores entre un 40% y un 60%, por la simple razón de que el analista ya no necesita abrir una consola de gestión separada para entender el contexto del servidor donde ocurrió el evento.

Lo que Arc no puede hacer solo

Azure Arc es una herramienta de plano de control, no una plataforma de transformación. Su valor es directamente proporcional a la madurez del ecosistema Azure que ya tienes: si no tienes Azure Policy bien estructurado, Arc onboardea servidores pero no te da compliance automatizado. Si no tienes Defender for Cloud configurado correctamente, Arc instala el agente pero no te da la detección de amenazas que promete el marketing. Si no tienes un workspace de Log Analytics dimensionado, Arc genera costes de ingesta inesperados en el primer mes.

El prerequisito real de un proyecto Arc exitoso no es técnico. Es la madurez del Landing Zone Azure al que Arc se conecta. Organizaciones que han invertido en estructurar su jerarquía de Management Groups, sus iniciativas de Azure Policy y su modelo de logging unificado obtienen el valor de Arc en semanas. Las que no lo han hecho obtienen una consola con 300 servidores listados y sin automatización de gestión real.

La buena noticia es que Arc y el trabajo de maduración del Landing Zone se pueden hacer en paralelo, con Arc empezando por los servidores donde el valor de ESU o Defender for Servers es más inmediato, y la maduración de Policy avanzando por detrás. La mala noticia es que ninguno de los dos proyectos se puede hacer en tres semanas.

¿Tienes servidores on-premise fuera del plano de control de Azure?

Si tienes infraestructura híbrida que gestionar, SQL Server legacy con ESU próximas a expirar, o clústeres Kubernetes en múltiples entornos sin visibilidad unificada, puedo ayudarte a diseñar el modelo de implementación Arc y el análisis financiero antes de presentarlo al comité.

Hablemos

Artículos relacionados

Cómo diseñar una Enterprise Landing Zone para banca en España →

Cómo dimensionar un SOC con Microsoft Sentinel en una entidad mediana →

Volver a artículos