// 017Telecomunicaciones

Azure Landing Zone
para Operador Nacional de Telecomunicaciones

Azure Landing ZoneHub-SpokeTelcoNetwork DesignIdentity
NewCo FiberCoarquitectura cloud-native independiente del grupo
Hub-Spokesegmentación por unidad de negocio y entorno
Identidad federadamodelo unificado para todas las entidades del grupo

Situación del cliente

El mayor operador de telecomunicaciones de España afrontaba una doble transformación simultánea: la modernización de su infraestructura cloud para las unidades de negocio de infraestructura y backoffice, y la creación desde cero de una NewCo de fibra (FiberCo) con una arquitectura tecnológica completamente independiente del core del grupo. Ambas iniciativas convergían en Azure como plataforma principal, pero requerían modelos de gobierno distintos.

La ausencia de una Enterprise Landing Zone unificada había generado proliferación de suscripciones Azure sin jerarquía coherente, políticas de red inconsistentes y dificultades para separar correctamente las cargas de la operadora clásica de las que correspondían a la nueva sociedad de fibra con accionistas distintos.

Retos

  • Diseñar una jerarquía de Management Groups que acomodara las unidades de negocio del grupo (infraestructura, backoffice, analytics) y la nueva FiberCo como entidad completamente separada con su propio tenant o tenancy lógica
  • Definir la arquitectura de red Hub-Spoke con segmentación clara entre entornos (producción, preproducción, desarrollo) y entre unidades de negocio, garantizando el aislamiento regulatorio entre la operadora y la NewCo
  • Diseñar el modelo de identidad federada que unificara la autenticación de empleados del grupo con Entra ID, manteniendo la separación de directorios necesaria para la independencia operativa de FiberCo
  • Establecer las políticas de Azure que aplicaran automáticamente los requisitos de la CNMC (regulador de telecomunicaciones) sobre localización de datos y separación funcional entre divisiones del grupo
  • Definir el modelo de conectividad híbrida con los centros de datos de red del operador, que alojan elementos de red (BTS, core 5G) con requisitos de latencia muy distintos a las cargas de backoffice

Solución implementada

  • Jerarquía de Management Groups dual: estructura separada para el grupo telco (con ramas para infraestructura, backoffice y analytics) y para FiberCo (cloud-native desde origen), con herencia de políticas corporativas comunes y override de políticas específicas por entidad donde la regulación lo requería
  • Red Hub-Spoke con segmentación CNMC: Virtual WAN con hubs regionales, spokes por unidad de negocio y entorno, peering controlado con listas de acceso explícitas y Azure Firewall Premium como punto de inspección de tráfico norte-sur y este-oeste
  • Modelo de identidad federada: Entra ID corporativo como directorio raíz con B2B federation para FiberCo, Privileged Identity Management (PIM) sin excepciones para accesos privilegiados, y Conditional Access con señales de riesgo de usuario y dispositivo
  • Azure Policy para cumplimiento CNMC: iniciativas de política que aplicaban automáticamente los requisitos de separación funcional: etiquetado obligatorio por entidad regulada, restricciones de localización de datos en España, y controles de auditoría para la revisión regulatoria anual
  • Arquitectura FiberCo cloud-native: diseño de landing zone dedicada para la NewCo con AKS como plataforma de aplicaciones, GitOps para infraestructura como código y modelo de operación DevSecOps desde el primer día

Ventajas para el cliente

FiberCo independientela nueva sociedad de fibra arrancó con arquitectura cloud-native completamente independiente del core del grupo, cumpliendo los requisitos de separación funcional de la CNMC desde el primer día
Gobierno unificadojerarquía de Management Groups que permitió por primera vez una visión consolidada de postura de seguridad y gasto cloud de todas las entidades del grupo desde un único panel de control
Red segmentadaarquitectura Hub-Spoke que garantizó el aislamiento entre unidades de negocio eliminando el riesgo de movimiento lateral entre entornos con distintos niveles de criticidad regulatoria
Identidad consolidadamodelo de identidad federada que redujo la complejidad operativa de gestión de accesos para más de 15.000 empleados del grupo sin comprometer la independencia de FiberCo

Patrón de arquitectura

// ARCH 17 · Azure · Telco
Telco Landing Zone — NewCo Cloud-Native desde cero
Root MG · Grupo Telco NewCo FiberCo · Platform MG Producción Red · Plataforma · OSS/BSS Dev / Test Sandbox · CI/CD Identidad Federada Entra ID · B2C · PIM HUB VNet · Azure Firewall Premium · DDoS Protection · ExpressRoute Azure DNS Privado · Private Endpoints · Bastion · WAF v2 Azure Policy · RBAC · FinOps Chargeback · NIS2 Compliance Baseline

Landing Zone cloud-native para NewCo FiberCo independiente del grupo telco: Management Groups separados del corporativo para autonomía operativa y regulatoria, Hub-Spoke con Azure Firewall Premium y DDoS Protection Standard, identidad federada con PIM para operadores, y baseline de compliance NIS2 desde el primer día al ser infraestructura crítica de telecomunicaciones.

Hub-SpokeAzure Firewall PremiumEntra ID + PIMDDoS ProtectionNIS2 Baseline
// Consideraciones de despliegue · Telco WAF
  1. Management Groups separados del grupo corporativo desde el primer commit — una NewCo telco tiene regulación propia (CNMC) independiente de su grupo propietario. Compartir Management Group corporativo crea dependencias organizativas que bloquean la velocidad de la NewCo.
  2. DDoS Protection Standard es obligatorio en infraestructura telco — los operadores de fibra son objetivo habitual de ataques volumétricos desde el primer día de operación pública. El coste de DDoS Protection es trivial comparado con el de un incidente de disponibilidad en SLA de NIS2.
  3. Azure Firewall Premium, no Standard, para inspección TLS de tráfico OSS/BSS — los sistemas de soporte a operaciones de red (OSS) y negocio (BSS) manejan datos de cliente y tráfico de red. La inspección TLS de Firewall Premium detecta amenazas ocultas en tráfico cifrado que Standard no puede ver.
  4. Identidad federada con PIM para operadores de red desde el inicio — los operadores de red telco tienen acceso a infraestructura crítica. PIM con justificación de acceso y aprobación dual es el control mínimo exigible para entidades NIS2.
  5. ExpressRoute hacia PoP de red del operador, no hacia CPD corporativo — en una NewCo de fibra, la conectividad privada es hacia los nodos de red (PoPs), no hacia el datacenter heredado del grupo. El diseño de peering de ExpressRoute define el modelo operativo de la empresa.
  6. FinOps desde el primer sprint, no desde el primer año — una NewCo cloud-native sin FinOps desde el inicio llega a la primera revisión de presupuesto sin visibilidad de costes por producto o unidad. En telco con márgenes ajustados, ese retraso tiene consecuencias directas en el modelo de negocio.
SeguridadFiabilidadExcelencia OperacionalCoste