Gestión de la nube: cómo gestionar entornos multinube sin perder el control

11de mayo, 2026
George Rouse
Gestión de la nube

La mayoría de las organizaciones no planean tener entornos multinube. Acaban teniéndolos porque diferentes equipos tomaron decisiones distintas en momentos distintos. El departamento de marketing adoptó una plataforma SaaS en AWS. El equipo de desarrollo implementó sus soluciones en Azure. El proveedor del ERP opera en Google Cloud. La infraestructura de copias de seguridad se encuentra en Datto Cloud. El resultado es un entorno multinube sin un modelo de gobernanza unificado y sin un único equipo que se haga cargo de él.

Según el informe «State of the MSP» de Kaseya de 2026, los servicios en la nube y de alojamiento representan el 34 % de los ingresos de los MSP, lo que refleja la importancia que ha adquirido la gestión de la nube en la cartera de servicios de los MSP. El informe «State of the Cloud» de Flexera reveló que más del 87 % de las organizaciones cuentan ahora con una estrategia multicloud, y la mayoría gestiona cargas de trabajo a través de más de un proveedor. El reto no es adoptar múltiples nubes, sino gestionarlas de forma coherente una vez que se dispone de ellas. La plataforma de Kaseya da soporte a más de 50 000 MSP y equipos de TI que gestionan precisamente estos entornos en todo el mundo.

Por qué la gobernanza multicloud es más complicada que la gestión de una sola nube

La gestión multicloud es más compleja que la gestión de una sola nube, no porque cada nube por separado resulte difícil de gestionar, sino porque el problema de la visibilidad y la gobernanza globales es considerable. Cada proveedor cuenta con su propia consola, su propio formato de registro, su propia estructura de facturación, su propio modelo de gestión de identidades y accesos (IAM) y sus propios controles de seguridad. Gestionarlos de forma individual da lugar a una visibilidad fragmentada. Para gestionarlos de manera coherente, se requiere una capa de gobernanza que abstraiga esas diferencias específicas de cada proveedor.

La distinción entre el modelo multicloud accidental y el deliberado tiene importancia desde el punto de vista operativo. Gartner define el modelo multicloud accidental como el resultado de una gobernanza inadecuada, fusiones y adquisiciones, o decisiones tomadas de forma independiente por los equipos, en lugar de una estrategia coordinada. Los entornos multicloud accidentales suelen carecer de un modelo de identidad unificado, presentan normas de seguridad incoherentes, una exposición a los costes poco visible y dependencias entre cargas de trabajo no documentadas. Los entornos multicloud deliberados presentan la misma complejidad, pero cuentan con estructuras de gobernanza diseñadas para abordarla desde el principio.

La mayoría de los clientes de pymes y del mercado medio gestionados por MSP se encuentran en una situación de «multinube» involuntaria. El trabajo de gobernanza es de carácter retroactivo. Un MSP que se haga cargo de un nuevo cliente debe esperar encontrarse con cargas de trabajo en la nube repartidas entre distintos proveedores sin una estrategia de etiquetado unificada, múltiples cuentas de administrador con permisos excesivos, la ausencia de una política de copias de seguridad entre proveedores y una facturación que nadie ha revisado en meses. Ese es el punto de partida, no la excepción.

Supervisión unificada entre proveedores

Las alertas de AWS CloudWatch, Azure Monitor y Google Cloud Operations tienen un formato distinto, se transmiten a través de canales diferentes y carecen de una capa de correlación nativa entre ellas. Un proveedor de servicios gestionados (MSP) que gestione clientes en los tres proveedores no puede, de forma realista, supervisar la consola de cada proveedor por separado para cada cliente. Las cuentas operativas no cuadran.

Una capa de supervisión unificada normaliza los datos de telemetría procedentes de múltiples proveedores de servicios en la nube, junto con la infraestructura local y los terminales, en un único flujo de alertas y una única consola de gestión. Kaseya Intelligence y correlaciona estos datos de telemetría, aplicando un reconocimiento de patrones automatizado para identificar anomalías y desviaciones en la configuración en entornos híbridos, sin necesidad de que un técnico revise manualmente los eventos de cada proveedor.

Para los MSP, la visibilidad multicliente es un requisito operativo: una única consola que muestre simultáneamente el estado de las alertas, el estado de las copias de seguridad y el cumplimiento de la configuración en todos los clientes y todos los entornos en la nube. Un MSP que tenga que iniciar sesión en 30 consolas de AWS distintas para comprobar el estado de los entornos en la nube de 30 clientes no está prestando un servicio escalable.

Gestión de identidades en entornos multinube

La identidad constituye el perímetro en los entornos en la nube y, en un entorno multinube, la gestión de la identidad representa el reto de seguridad más complejo. Cada proveedor cuenta con su propio modelo de gestión de identidades y accesos (IAM). AWS utiliza roles y políticas. Azure utiliza Entra ID y RBAC. Google Cloud utiliza su propio sistema de IAM. Los usuarios y las cuentas de servicio suelen necesitar acceso a más de uno de estos entornos, lo que da lugar a un panorama de identidades cada vez más extenso, con múltiples puntos en los que se pueden configurar incorrectamente los permisos.

Los riesgos prácticos: usuarios con permisos excesivos en el entorno de un proveedor porque dichos permisos se copiaron de otro sin revisarlos. Cuentas de servicio con credenciales que no se han renovado. Cuentas de administrador que se crearon para un proyecto y nunca se desactivaron. Configuraciones de IAM que parecen correctas en la consola de cada proveedor, pero que, en conjunto, otorgan más acceso del que se aprobaría en una revisión individual.

La gestión de este entorno requiere saber quién tiene acceso a qué, en todos los proveedores, así como la aplicación automatizada de políticas de privilegios mínimos. Kaseya 365 proporciona la capa de gestión de identidades y accesos en Microsoft 365 y los entornos en la nube conectados, con la aplicación de la autenticación multifactorial y la supervisión de credenciales a través de Dark Web ID detectar credenciales expuestas antes de que sean objeto de abuso.

Se deben programar revisiones periódicas del acceso de IAM para todos los entornos de nube gestionados: como mínimo, cada tres meses; mensualmente, en el caso de los entornos que manejan datos confidenciales. Las revisiones de acceso no son el tipo de tarea que se lleva a cabo de forma espontánea. Deben incluirse en un calendario y dar lugar a un informe documentado.

Visibilidad de los costes y FinOps

La facturación multicloud es el problema de gobernanza más evidente. La existencia de múltiples proveedores, múltiples modelos de facturación y múltiples formatos de factura, junto con la ausencia de una capa de agregación nativa, implica que lograr una visibilidad de los costes requiere un esfuerzo deliberado. Sin ello, el gasto en la nube se acumula de tal manera que nadie lo comprende del todo hasta que llega una factura considerablemente más elevada de lo esperado.

FinOps consiste en utilizar los datos de facturación de la nube para tomar decisiones sobre los recursos en tiempo real, en lugar de analizar los costes de forma reactiva a final de mes. Las disciplinas fundamentales de FinOps se aplican directamente al reto que plantea la gestión multicloud.

Etiquetado y asignación. Los recursos que no están etiquetados no pueden asignarse a un equipo, un proyecto o un cliente. Una estrategia de etiquetado coherente, aplicada en el momento de la provisión y garantizada mediante políticas, es la base de la visibilidad de los costes entre los distintos proveedores. Sin etiquetas, los datos de costes son una cifra agregada sin un desglose útil.

Identificación de recursos ociosos. En casi todos los entornos multinube que llevan más de seis meses en funcionamiento se encuentran volúmenes de almacenamiento sin asignar, instancias de computación inactivas, equilibradores de carga huérfanos y entornos de prueba olvidados. La revisión mensual de los recursos ociosos en todos los proveedores es una práctica habitual en los entornos bien gestionados.

Capacidad reservada. La tarificación bajo demanda es el modelo operativo más costoso para las cargas de trabajo estables. Las instancias reservadas de AWS, las instancias de máquina virtual reservadas de Azure y los conceptos equivalentes de otros proveedores ofrecen descuentos que requieren un compromiso de uso. Determinar qué cargas de trabajo son lo suficientemente estables como para comprometerse y adquirir la capacidad reservada en consecuencia es un servicio de asesoramiento recurrente que los MSP pueden ofrecer como parte de la gestión de la nube.

Alertas de anomalías. Los picos de costes inesperados casi siempre se pueden detectar antes de que aparezcan en la factura. Las alertas presupuestarias y la detección de anomalías en AWS Cost Explorer y Azure Cost Management ofrecen una advertencia temprana que evita que un error de aprovisionamiento o un proceso fuera de control se convierta en un evento que genere un coste significativo.

Gestión del estado de seguridad

Las normas de configuración de seguridad varían según el proveedor, y garantizar un nivel de seguridad uniforme en un entorno multinube requiere una gestión de políticas que abarque toda la pila. Las brechas de seguridad más comunes en los entornos multinube no son fallos específicos de los proveedores, sino fallos de gobernanza: controles que están configurados correctamente en un entorno, pero que no se aplican en otro debido a la falta de un mecanismo unificado de aplicación de políticas.

Las cinco medidas básicas de seguridad que deben verificarse en todos los entornos en la nube de una cartera gestionada:

1. Registro de auditoría habilitado en todas las regiones. AWS CloudTrail y los registros de actividad de Azure Monitor son la fuente de información fiable para la investigación de incidentes. Sin ellos, se trabaja a ciegas.

2. Cifrado en reposo en todos los recursos de almacenamiento. El cifrado predeterminado debe estar habilitado a nivel de cuenta o de suscripción, de modo que los nuevos recursos se cifren a menos que se anule explícitamente esta configuración.

3. No se han desactivado los bloqueos de acceso público. Los bloqueos de acceso público de S3 y la configuración equivalente de Azure deben estar habilitados a nivel de cuenta para evitar una exposición pública accidental.

4. Autenticación de dos factores (MFA) en todas las cuentas con privilegios. Todas las cuentas de administrador de todos los proveedores deben tener habilitada la autenticación de dos factores. Sin excepciones.

5. No se deben establecer grupos de seguridad ni reglas de cortafuegos excesivamente permisivos. El acceso entrante sin restricciones (0.0.0.0/0) en los puertos de gestión se detecta sistemáticamente en las evaluaciones de seguridad en la nube y suele estar presente cuando los entornos no han sido revisados formalmente.

Kaseya SIEM recopila datos de telemetría de las principales plataformas en la nube, junto con datos de terminales y de correo electrónico, y unifica los eventos de seguridad de todos los proveedores en una única capa de detección. Kaseya Intelligence una respuesta automatizada ante las anomalías detectadas, cerrando el ciclo entre la detección y la corrección sin necesidad de esperar a que un técnico revise el problema y actúe.

Gestión de copias de seguridad en entornos multicloud

La copia de seguridad nativa de cada proveedor de servicios en la nube cubre sus propias cargas de trabajo dentro de su propio ecosistema. La gestión de copias de seguridad entre proveedores, que garantiza que todo el contenido de todas las nubes se copie, se verifique y se pueda recuperar en una ubicación independiente, requiere una capa de gestión de copias de seguridad que abarque a todos los proveedores.

Las herramientas de copia de seguridad nativas presentan tres carencias concretas en los entornos multinube. En primer lugar, no ofrecen visibilidad entre proveedores: un proveedor de servicios gestionados (MSP) no puede ver el estado de las copias de seguridad de las cargas de trabajo de AWS y Azure desde una única consola. En segundo lugar, almacenan las copias de seguridad dentro del ecosistema del proveedor, lo que significa que una cuenta comprometida o un incidente por parte del proveedor afecta tanto a los datos primarios como a la copia de seguridad. En tercer lugar, no abordan los datos de SaaS, que requieren una protección independiente mediante copias de seguridad de nube a nube.

La gama de soluciones de copia de seguridad de Datto da respuesta a estos tres escenarios: Datto SIRIS Datto Endpoint Backup recuperación ante desastres para cargas de trabajo locales y de servidor que se replican en la nube independiente de Datto; Datto Backup for Microsoft Azure la protección de máquinas virtuales de Azure y Azure Files fuera del ecosistema de Azure; y Datto SaaS Protection los datos de Microsoft 365 y Google Workspace. Todos ellos son visibles desde la página unificada de estado de las copias de seguridad del Portal de socios de Datto, lo que ofrece a los MSP una visión única del estado de las copias de seguridad en todos los tipos de cargas de trabajo y todos los clientes.

Para obtener información detallada sobre la arquitectura de copias de seguridad en los tres casos de uso de la nube, consulte «Copias de seguridad en la nube: una guía práctica para equipos de TI y proveedores de servicios gestionados (MSP)».

Gestión de la documentación y la configuración

Los entornos multinube sin documentación son frágiles desde el punto de vista operativo. El número de recursos, proveedores, configuraciones y dependencias que intervienen en un entorno multinube típico de una pyme es tan elevado que confiar en el conocimiento institucional en lugar de en registros documentados supone un riesgo considerable. Cuando la persona que creó el entorno abandona la empresa, o cuando un incidente requiere una investigación rápida a las 2 de la madrugada, la documentación marca la diferencia entre una respuesta estructurada y un ejercicio de conjeturas.

IT Glue la infraestructura de documentación necesaria para entornos multinube: credenciales de acceso de los proveedores con aislamiento por cliente, diagramas de arquitectura, documentación de la estructura de IAM, guías operativas para escenarios de recuperación habituales e integración con Compliance Manager GRC la generación automatizada de pruebas de cumplimiento. La misma disciplina de documentación que se aplica a la infraestructura local se aplica igualmente a los entornos en la nube, y el ritmo de cambio en estos entornos hace que mantenerla actualizada sea más difícil y más importante.

La deriva de configuración —la acumulación de cambios no revisados que se desvían del estado previsto del entorno— es la causa subyacente de la mayoría de los incidentes de seguridad en la nube. Un depósito de almacenamiento que se configuró correctamente en el momento de la implementación y que, tres meses después, se hizo público sin querer debido a un cambio que nadie documentó, es un escenario real y habitual. La supervisión continua de la configuración a través de Kaseya Intelligence estas desviaciones antes de que se conviertan en incidentes.

Cómo Kaseya facilita la gestión multicloud a los proveedores de servicios de gestión (MSP)

Kaseya 365 Datto RMM amplían la supervisión basada en agentes, la gestión de parches y la automatización a máquinas virtuales alojadas en la nube, además de a los terminales locales, todo ello desde una única consola multitenant.

Kaseya SIEM integra la telemetría de seguridad de AWS, Azure y Google Cloud, junto con los datos de los dispositivos finales y del correo electrónico, en una capa de detección unificada.

Kaseya Intelligence aplica el reconocimiento automático de patrones y la respuesta en entornos de nube gestionados, detectando desviaciones en la configuración y actividades anómalas sin necesidad de revisión manual.

Kaseya 365 ofrece gestión de identidades y accesos en Microsoft 365 y los entornos en la nube conectados, incluyendo la aplicación de la autenticación multifactorial (MFA) y la supervisión Dark Web ID .

IT Glue almacena la documentación del entorno en la nube con aislamiento por cliente, historial de versiones e integración directa con Compliance Manager GRC.

La gama de soluciones de copia de seguridad de Datto ofrece copias de seguridad independientes e inmutables para cargas de trabajo locales, infraestructura de Azure y aplicaciones SaaS, con una visión global del estado de las copias de seguridad desde una única consola del Portal para socios de Datto.

Descubre las soluciones de Kaseya para la gestión de operaciones de TI y la gestión en la nube

Puntos clave

  • La mayoría de los entornos multinube surgen de forma accidental, más que deliberada. Los marcos de gobernanza deben abordar la complejidad global que se da entre los distintos proveedores, y no limitarse a gestionar cada nube por separado.
  • La supervisión unificada, la gestión de identidades, la visibilidad de los costes, la gestión del estado de seguridad, la gestión de las copias de seguridad y la documentación son las seis disciplinas operativas que requiere la gestión multicloud. Ninguna de ellas es gestionada por los proveedores de servicios en la nube.
  • Las prácticas de FinOps, el etiquetado coherente, la identificación de desperdicios, la capacidad reservada y las alertas de anomalías convierten la facturación de la nube de una sorpresa reactiva en materia de costes en un servicio gestionado de forma continua.
  • Para los MSP, las herramientas que permiten escalar la gestión multicloud son aquellas que abarcan a todos los proveedores desde una única consola: un único flujo de alertas, una única vista del estado de las copias de seguridad y un único sistema de documentación.

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicita una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso con condiciones flexibles, riesgo compartido y asistencia especializada para tu empresa.

Descubre Partner First Pledge»

Informe de Kaseya sobre la situación de los MSP de 2026

Kaseya - Informe sobre la situación de los MSP en 2026 - Imagen web - 1200 x 800 - ACTUALIZADO

Obtén información sobre el MSP para 2026 de más de 1000 proveedores y descubre cómo aumentar los ingresos, adaptarte a las exigencias del mercado y mantener tu competitividad.

Descargar ahora

Explora las categorías

Copia de seguridad en la nube: una guía práctica para equipos de TI y proveedores de servicios gestionados (MSP)

Según el informe «State of the MSP» de Kaseya de 2026, el 50 % de los MSP registraron un crecimiento interanual de los ingresos por BCDR, impulsado por

Leer la entrada del blog

Detección y respuesta en la nube: guía de seguridad en la nube para MSP

El uso de aplicaciones SaaS y el volumen de cargas de trabajo en la nube están aumentando considerablemente. En la actualidad, las empresas utilizan aproximadamente 112 aplicaciones SaaS

Leer la entrada del blog

¿Qué es la computación en nube? Servicios, tipos, ventajas y casos de uso

A medida que se amplía el horizonte digital, las empresas de todo el mundo están adoptando la nube, reconociendo su capacidad transformadora para impulsar la eficiencia, el progreso y

Leer la entrada del blog