Procedimientos recomendados para la seguridad de los puntos de conexión en Azure

Un punto de conexión es una dirección expuesta por una aplicación web para que las entidades externas puedan comunicarse con ella. Una interacción malintencionada o involuntaria con el punto de conexión puede poner en peligro la seguridad de la aplicación e incluso de todo el sistema. Una manera de proteger el punto de conexión es colocar controles de filtro en el tráfico de red que recibe; por ejemplo, la definición de conjuntos de reglas. Un enfoque de defensa en profundidad puede mitigar aún más los riesgos. Incluya controles adicionales para proteger el punto de conexión si se produce un error en los controles de tráfico primarios.

En este artículo se describe cómo puede proteger aplicaciones web con los servicios y las características de Azure. Para obtener documentación del producto, consulte la sección Vínculos relacionados.

Puntos clave

• Proteja todos los puntos de conexión públicos con Azure Front Door, Application Gateway, Azure Firewall y Azure DDoS Protection.
• Use el firewall de aplicaciones web (WAF) para proteger las cargas de trabajo web.
• Proteja los métodos de publicación de cargas de trabajo y restrinja los que no están en uso.
• Mitigue los ataques DDoS. Use la protección Estándar para las cargas de trabajo críticas en las que una interrupción tendría efecto en la empresa. Tenga en cuenta también CDN como otra capa de protección.
• Desarrolle procesos y procedimientos para evitar el acceso directo desde Internet a las máquinas virtuales (como un servidor proxy o un firewall) con registro y supervisión para aplicar las directivas.
• Implemente un proceso de implementación de CI/CD automático y controlado.

Puntos de conexión públicos

Un punto de conexión público recibe tráfico a través de Internet. Los puntos de conexión hacen que el servicio sea fácilmente accesible para los atacantes.

Tanto los puntos de conexión de servicio como Private Link se pueden aprovechar para restringir el acceso a los puntos de conexión de PaaS solo desde redes virtuales autorizadas, lo que mitiga eficazmente los riesgos de intrusión de datos y el impacto asociado a la disponibilidad de las aplicaciones. Los puntos de conexión de servicio proporcionan acceso de nivel de servicio a un servicio de PaaS, mientras que Private Link proporciona acceso directo a un recurso de PaaS específico para mitigar los riesgos de filtración de datos, por ejemplo, escenarios de administrador malintencionado.

Configure los puntos de conexión de servicio y los vínculos privados cuando corresponda.

¿Están protegidos todos los puntos de conexión públicos de esta carga de trabajo?

---

Una decisión de diseño inicial es evaluar si en realidad necesita un punto de conexión público. Si lo necesita, protéjalo mediante estos mecanismos.

Para más información, consulte Puntos de conexión de servicio de red virtual y ¿Qué es un punto de conexión privado de Azure?

Firewalls de aplicaciones web (WAF)

Los WAF proporcionan un nivel de seguridad básico para las aplicaciones web. Los WAF son adecuados si las organizaciones que han invertido en la seguridad de la aplicación, como los WAF, proporcionan una mitigación y defensa en profundidad adicional.

Los WAF mitigan el riesgo de que un atacante pueda aprovechar las vulnerabilidades de seguridad más conocidas de las aplicaciones. Los WAF proporcionan un nivel de seguridad básico para las aplicaciones web. Este mecanismo es una mitigación importante, porque los atacantes se dirigen a las aplicaciones web como punto de entrada a una organización (similar a un punto de conexión de cliente).

Los puntos de conexión de aplicación externos deben protegerse de los vectores de ataque comunes, desde los ataques por denegación de servicio (DoS), como Slowloris, hasta las vulnerabilidades de seguridad a nivel de aplicación, para evitar posibles tiempos de inactividad de la aplicación debidos a actividades malintencionadas. Las tecnologías nativas de Azure, como Azure Firewall, Application Gateway/Azure Front Door, WAF y el plan Estándar de DDoS Protection, se pueden usar para lograr la protección necesaria (Azure DDoS Protection).

Azure Application Gateway tiene funcionalidades de WAF para inspeccionar el tráfico web y detectar ataques en la capa HTTP. Es un equilibrador de carga y un servidor proxy inverso completo HTTP(S) que puede realizar el cifrado y descifrado de la Capa de sockets seguros (SSL).

Por ejemplo, la carga de trabajo se hospeda en entornos de App Service Environment (ASE de ILB). Las API se consolidan internamente y se exponen a los usuarios externos. Esta exposición externa podría lograrse mediante una instancia de Application Gateway. Este servicio es un equilibrador de carga. Reenvía la solicitud al servicio API Management interno, que a su vez consume las API implementadas en el entorno de ASE. Application Gateway también se configura en el puerto 443 para llamadas salientes seguras y de confianza.

Sugerencia

Las consideraciones de diseño para el ejemplo anterior se describen en Publicación de las API internas para usuarios externos.

Azure Front Door y Azure Content Delivery Network (CDN) también tienen funcionalidades de WAF.

Acciones sugeridas

Proteja todos los puntos de conexión públicos con soluciones adecuadas, como Azure Front Door, Application Gateway, Azure Firewall, Azure DDOS Protection o cualquier solución de terceros.

Más información

• ¿Qué es Azure Firewall?
• Introducción a Protección contra DDoS de Azure estándar
• Documentación de Azure Front Door
• ¿Qué es Azure Application Gateway?

Azure Firewall

Proteja toda la red virtual contra el tráfico potencialmente malintencionado procedente de Internet y otras ubicaciones externas. Azure Firewall inspecciona el tráfico entrante y solo permite el paso a las solicitudes permitidas.

Un diseño común consiste en implementar una zona DMZ o una red perimetral delante de la aplicación. La zona DMZ es una subred independiente que contiene el firewall.

Sugerencia

Las consideraciones de diseño se describen en Implementación de NVA de alta disponibilidad.

Enfoque de combinación

Si desea una mayor seguridad y hay una combinación de cargas de trabajo web y no web en la red virtual, use Azure Firewall y Application Gateway. Hay varias maneras en las que estos dos servicios pueden funcionar juntos.

Por ejemplo, quiere filtrar el tráfico de salida. Quiere permitir la conectividad a una cuenta de Azure Storage específica, pero no a otras. Necesitará filtros basados en el nombre de dominio completo (FQDN). En este caso, ejecute el firewall y Application Gateway en paralelo.

Otro diseño popular es aquel en el que quiere que Azure Firewall inspeccione todo el tráfico y el WAF proteja el tráfico web, y la aplicación necesita conocer la dirección IP de origen del cliente. En este caso, coloque Application Gateway delante del firewall. Por el contrario, puede colocar el firewall delante del WAF si quiere inspeccionar y filtrar el tráfico antes de que llegue a Application Gateway.

Para más información, consulte Firewall y Application Gateway para redes virtuales.

Es difícil escribir reglas de firewall concisas para aquellas redes en las que los distintos recursos en la nube se activan y desactivan dinámicamente. Use Microsoft Defender for Cloud detectar riesgos de configuración incorrecta.

Authentication

Deshabilite los protocolos heredados no seguros para los servicios accesibles desde Internet. Los métodos de autenticación heredados se encuentran entre los principales vectores de ataque para los servicios hospedados en la nube. Estos métodos no admiten otros factores que no sean las contraseñas y son objetivos principales de los ataques de difusión de contraseñas, de diccionario o por fuerza bruta.

Mitigación de ataques DDoS

En un ataque de denegación de servicio distribuido (DDoS), el servidor se sobrecarga con tráfico falso. Los ataques DDoS son comunes y pueden ser debilitantes. Un ataque puede bloquear completamente el acceso a los servicios o desactivarlos. Asegúrese de que todos los servicios y aplicaciones web críticos para la empresa tienen mitigación de DDoS más allá de las defensas predeterminadas para que la aplicación no experimente tiempo de inactividad, ya que esto puede afectar negativamente al negocio.

Microsoft recomienda adoptar la protección avanzada en todos los servicios en los que el tiempo de inactividad vaya a tener un impacto negativo en el negocio.

¿Cómo se implementa la protección contra DDoS?

---

A continuación, se indican algunas consideraciones:

• Protección contra DDoS en el nivel de infraestructura en el que se ejecuta la carga de trabajo. La infraestructura de Azure tiene defensas integradas para ataques de DDoS.
• Protección contra DDoS en la capa de red (capa 3). Azure proporciona protección adicional para los servicios aprovisionados en una red virtual.
• Protección contra DDoS con almacenamiento en caché. Content Delivery Network (CDN) puede agregar otra capa de protección. En un ataque DDoS, una red CDN intercepta el tráfico y lo detiene antes de que alcance el servidor back-end. Azure CDN está protegido de forma nativa. Azure también admite CDN populares que están protegidas con la plataforma propietaria de mitigación de DDoS.
• Protección contra DDoS avanzada. En la línea de base de seguridad, tenga en cuenta las características con técnicas de supervisión que usan el aprendizaje automático para detectar tráfico anómalo y proteger proactivamente la aplicación antes de que se produzca la degradación del servicio.

Para obtener información sobre los servicios de Azure DDoS Protection, consulte la documentación de Azure DDoS Protection estándar.

Acción sugerida

Identifique las cargas de trabajo críticas que pueden recibir ataques DDoS y habilite las mitigaciones de denegación de servicio distribuido (DDoS) para todas las aplicaciones web y servicios críticos para la empresa.

Saber más

Para obtener una lista de las arquitecturas de referencia que muestran el uso de la protección contra DDoS, consulte Arquitecturas de referencia de DDoS Protection.

Adopción de DevOps

Los desarrolladores no deben publicar su código directamente en los servidores de aplicaciones.

¿La organización tiene un proceso de CI/CD para publicar código en esta carga de trabajo?

---

Implemente el ciclo de vida de la integración continua y entrega continua (CI/CD) para las aplicaciones. Cuente con procesos y herramientas que ayuden a realizar un proceso de implementación automatizado y controlado de CI/CD.

¿Cómo se protegen los métodos de publicación?

---

Los recursos de aplicación que permiten varios métodos para publicar el contenido de la aplicación, como FTP o Web Deploy, deben tener deshabilitados los puntos de conexión sin uso. Para Azure Web Apps, el punto de conexión recomendado es SCM. Se puede proteger por separado con restricciones de red para casos de uso confidenciales.

Paso siguiente

Flujo de datos

Vínculos relacionados

• Azure Firewall
• ¿Qué es el firewall de aplicaciones web de Azure en Azure Application Gateway?
• Azure DDoS Protection Estándar

Vuelva al artículo principal: Seguridad de las redes