Azure Security and Compliance Blueprint: aplicación web PaaS para PCI DSS

Información general

Este plano técnico Azure Security and Compliance Blueprint proporciona orientación para la implementación de un entorno de plataforma como servicio (PaaS) compatible con las Normas de seguridad de datos del sector de las tarjetas de pago (PCI DSS 3.2) adecuado para la recopilación, el almacenamiento y la recuperación de datos de los titulares de tarjetas. Esta solución automatiza la implementación y la configuración de recursos de Azure para una arquitectura de referencia común, la cual muestra las formas en que los clientes pueden cumplir los requisitos específicos de seguridad y cumplimiento y sirve como base para que los clientes creen y configuren sus propias soluciones en Azure. La solución implementa un subconjunto de los requisitos de PCI DSS 3.2. Para más información sobre los requisitos de PCI DSS 3.2 y esta solución, consulte la documentación de cumplimiento.

Esta solución de automatización de Azure Security and Compliance Blueprint implementa automáticamente una arquitectura de referencia de aplicación web PaaS con controles de seguridad configurados previamente para ayudar a los clientes a cumplir con los requisitos de PCI DSS 3.2. La solución consta de plantillas de Azure Resource Manager y scripts de PowerShell que guían la configuración y la implementación de recursos.

Esta arquitectura está diseñada para servir como base para que los clientes puedan ajustarse a sus requisitos específicos y no debe usarse tal cual en un entorno de producción. Implementar una aplicación sin modificar en este entorno no es suficiente para satisfacer por completo los requisitos de PCI DSS 3.2. Tenga en cuenta lo siguiente:

• Esta arquitectura fundamental proporciona una línea de base para que los clientes puedan usar Azure de forma que sea compatible con PCI DSS 3.2.
• Los clientes tienen la responsabilidad de realizar las evaluaciones de seguridad y cumplimiento adecuadas de cualquier solución integrada mediante esta arquitectura, ya que los requisitos pueden variar en función de las características de implementación de cada cliente.

Para cumplir con los requisitos de PCI DSS, debe conseguir que un asesor de seguridad cualificado (QSA) y acreditado certifique una solución de cliente de producción. Los clientes tienen la responsabilidad de realizar las evaluaciones de seguridad y cumplimiento adecuadas de cualquier solución compilada con esta arquitectura, ya que los requisitos pueden variar en función de las características de implementación de cada cliente.

Haga clic aquí para ver las instrucciones de implementación.

Componentes y diagrama de la arquitectura

Esta solución de automatización de Azure Security and Compliance Blueprint implementa una arquitectura de referencia para una aplicación web PaaS con un back-end de Azure SQL Database. La aplicación web está hospedada en una instancia de Azure App Service Environment aislada, que es un entorno privado y dedicado en un centro de datos de Azure. La carga del entorno equilibra el tráfico para la aplicación web entre las máquinas virtuales administradas por Azure. Esta arquitectura también incluye grupos de seguridad de red, una instancia de Application Gateway, Azure DNS y Load Balancer.

Para mejorar el análisis y los informes, las bases de datos de Azure SQL pueden configurarse con índices de almacén de columnas. Las bases de datos de Azure SQL se pueden escalar o reducir verticalmente, o incluso apagarse completamente en respuesta al uso del cliente. Todo el tráfico SQL se cifra con SSL mediante la inclusión de certificados autofirmados. Como procedimiento recomendado, Azure recomienda el uso de una entidad de certificación de confianza para mejorar la seguridad.

La solución utiliza cuentas de Azure Storage que los clientes pueden configurar para que usen Storage Service Encryption para preservar la confidencialidad de los datos en reposo. Azure almacena tres copias de los datos en un centro de datos seleccionado de un cliente para proporcionar resistencia. El almacenamiento con redundancia geográfica garantiza que los datos se replicarán en un centro de datos secundario a cientos de kilómetros de distancia y que, de nuevo, se guardarán tres copias en ese centro de datos, lo que impide que un evento adverso que suceda en el centro de datos principal del cliente pueda resultar en una pérdida de datos.

Para mejorar la seguridad, todos los recursos de esta solución se administran como un grupo de recursos mediante Azure Resource Manager. El control de acceso basado en rol de Azure Active Directory se utiliza para controlar el acceso a los recursos implementados, incluidas las claves en Azure Key Vault. El mantenimiento del sistema se supervisa mediante Azure Monitor. Los clientes configuran ambos servicios de monitorización para capturar registros y mostrar el estado del sistema en un único panel de fácil navegación.

Azure SQL Database se administra comúnmente mediante SQL Server Management Studio, que se ejecuta desde una máquina local configurada para acceder a Azure SQL Database mediante una conexión segura VPN o ExpressRoute.

Además, Application Insights proporciona administración de rendimiento de aplicaciones en tiempo real, así como análisis mediante registros de Azure Monitor. Microsoft recomienda configurar una conexión VPN o de ExpressRoute para la administración y la importación de datos en la subred de la arquitectura de referencia.

: diagrama de

Esta solución usa los siguientes servicios de Azure. Los detalles de la arquitectura de implementación se encuentran en la sección Arquitectura de implementación .

• App Service Environment v2
• Application Gateway
  • (1) Firewall de aplicaciones web
    • Modo de firewall: prevención
    • Conjunto de reglas: OWASP 3.0
    • Agente de escucha: puerto 443
• Application Insights
• Azure Active Directory
• Azure Automation
• Azure DNS
• Azure Key Vault
• Azure Load Balancer
• Azure Monitor
• Azure Resource Manager
• Azure Security Center
• Azure SQL Database
• Azure Storage
• Azure Virtual Network
  • (1) /16 redes
  • (4) /24 redes
  • (4) Grupos de seguridad de red
• Aplicación web de Azure

Arquitectura de implementación

En la siguiente sección se detallan los elementos de desarrollo e implementación.

Azure Resource Manager: Azure Resource Manager permite a los clientes trabajar con los recursos de la solución como grupo. Los clientes pueden implementar, actualizar o eliminar todos los recursos de la solución en una sola operación coordinada. Para la implementación los clientes utilizan una plantilla, y esta plantilla puede funcionar en diferentes entornos, como pruebas, ensayo y producción. Resource Manager proporciona características de seguridad, auditoría y etiquetado que ayudan a los clientes a administrar los recursos después de la implementación

Host de tipo bastión: el host de tipo bastión es el único punto de entrada que permite a los usuarios acceder a los recursos implementados en este entorno. El host de tipo bastión proporciona una conexión segura a los recursos implementados al permitir solo el tráfico remoto desde las direcciones IP públicas de una lista segura. Para permitir el tráfico de escritorio remoto (RDP), el origen del tráfico debe definirse en el grupo de seguridad de red.

Esta solución crea una máquina virtual como host de tipo bastión unido mediante dominio con las siguientes configuraciones:

• Extensión antimalware
• Extensión de Diagnósticos de Azure
• Azure Disk Encryption con Azure Key Vault
• Una directiva de apagado automático para reducir el consumo de recursos de máquina virtual cuando no está en uso
• Windows Defender Credential Guard habilitado para que las credenciales y otros secretos se ejecuten en un entorno protegido aislado del sistema operativo en ejecución.

App Service Environment v2: Azure App Service Environment es una característica de App Service que proporciona un entorno completamente aislado y dedicado para ejecutar de forma segura las aplicaciones de App Service a gran escala. Esta característica de aislamiento es necesaria para cumplir con los requisitos de cumplimiento de PCI.

Los entornos de App Service Environment están aislados para ejecutar únicamente las aplicaciones de un solo cliente, y siempre se implementan en una red virtual. Esta característica de aislamiento permite a la arquitectura de referencia tener un aislamiento de inquilino completo, quitarlo del entorno multiinquilino de Azure que prohíbe a los que son multiinquilino enumerar los recursos del entorno de App Service implementados. Los clientes tienen un mayor control sobre el tráfico de red entrante y saliente de las aplicaciones, y las aplicaciones pueden establecer conexiones seguras de alta velocidad a los recursos corporativos locales a través de redes virtuales. Los clientes pueden "escalar automáticamente" con App Service Environment en función de las métricas de carga, presupuesto disponible o de una programación definida.

Utilice entornos de App Service Environment para los siguientes controles o configuraciones:

• Un host dentro de una instancia protegida de Azure Virtual Network y reglas de seguridad de red.
• Certificado ILB autofirmado para la comunicación HTTPS
• Modo de equilibrio de carga interno
• Deshabilitación de TLS 1.0
• Al cambiar el cifrado TLS.
• Control de puertos N/W de tráfico entrante
• Firewall de aplicaciones web: restricción de datos
• Al permitir el tráfico de Azure SQL Database

Azure Web App: Azure App Service permite a los clientes compilar y hospedar aplicaciones web en el lenguaje de programación que prefieran sin administrar la infraestructura. Ofrece escalado automático y alta disponibilidad, es compatible con Windows y Linux y permite implementaciones automatizadas desde GitHub, Azure DevOps o cualquier repositorio Git.

Virtual Network

La arquitectura define una red virtual privada con un espacio de direcciones de 10.200.0.0/16.

Grupos de seguridad de red: los grupos de seguridad de red contienen listas de control de acceso (ACL) que permiten o deniegan el tráfico en una red virtual. Los grupos de seguridad de red pueden usarse para proteger el tráfico en una subred o un nivel de máquina virtual individual. Existen los siguientes grupos de seguridad de red:

• 1 grupo de seguridad de red para Application Gateway
• 1 grupo de seguridad de red para App Service Environment
• 1 grupo de seguridad de red para Azure SQL Database
• 1 grupo de seguridad de red para host de tipo bastión

Cada uno de los grupos de seguridad de red tiene puertos y protocolos específicos abiertos para que la solución pueda funcionar de forma segura y correcta. Además, las siguientes opciones de configuración están habilitadas para cada grupo de seguridad de red:

• Los registros de diagnóstico y los eventos están habilitados y almacenados en una cuenta de almacenamiento
• Los registros de Azure Monitor están conectados al diagnóstico del grupo de seguridad de red

Subredes: cada subred está asociada a su grupo de seguridad de red correspondiente.

Azure DNS: el Sistema de nombres de dominio, o DNS, es responsable de traducir (o resolver) el nombre del sitio web o del servicio en su dirección IP. Azure DNS es un servicio de hospedaje para dominios DNS que ofrece resolución de nombres mediante la infraestructura de Azure. Al hospedar dominios en Azure, los usuarios pueden administrar los registros DNS con las mismas credenciales, API, herramientas y facturación que con los demás servicios de Azure. Azure DNS es compatible con dominios DNS privados.

Azure Load Balancer: Azure Load Balancer permite a los clientes escalar las aplicaciones y crear alta disponibilidad para sus servicios. Load Balancer admite escenarios de entrada y de salida, proporciona baja latencia y alta capacidad de proceso, y puede escalar hasta millones de flujos para todas las aplicaciones TCP y UDP.

Datos en tránsito

De manera predeterminada, Azure cifra todas las comunicaciones hacia y desde los centros de datos de Azure. Todas las transacciones a Azure Storage mediante Azure Portal se realizan mediante HTTPS.

Datos en reposo

La arquitectura protege los datos en reposo mediante el cifrado, la auditoría de base de datos y otras medidas.

Azure Storage: para cumplir con los requisitos de los datos en reposo cifrados, Azure Storage usa Storage Service Encryption. Esto ayuda a proteger los datos de los titulares de tarjetas en cumplimiento de los compromisos de seguridad de la organización y los requisitos de cumplimiento definidos por PCI DSS 3.2.

Azure Disk Encryption: Azure Disk Encryption aprovecha la función de BitLocker de Windows para proporcionar el cifrado del volumen de discos de datos. La solución se integra con Azure Key Vault para ayudar a controlar y administrar las claves de cifrado del disco.

Azure SQL Database: la instancia de Azure SQL Database usa las siguientes medidas de seguridad de base de datos:

• La autenticación y autorización de Active Directory permiten la administración de identidades de usuarios de bases de datos y otros servicios de Microsoft en una ubicación central.
• La auditoría de bases de datos SQL realiza un seguimiento de eventos de bases de datos y los escribe en un registro de auditoría de una cuenta de almacenamiento de Azure.
• Azure SQL Database está configurado para usar el cifrado de datos transparente, que realiza el cifrado y descifrado en tiempo real de la base de datos, las copias de seguridad asociadas y los archivos de registro de transacciones, para proteger la información en reposo. El cifrado de datos transparente garantiza que los datos almacenados no hayan estado sujetos a un acceso no autorizado.
• Las reglas de firewall impiden el acceso a los servidores de bases de datos hasta que se otorgan los permisos adecuados. Asimismo, otorgan acceso a las bases de datos según la dirección IP de origen de cada solicitud.
• La detección de amenazas de SQL permite detectar y responder ante posibles amenazas a medida que se producen, mediante el envío de alertas de seguridad para actividades sospechosas en la base de datos, posibles puntos vulnerables, ataques por inyección de código SQL y patrones anómalos de acceso a la base de datos.
• Las columnas cifradas garantizan que los datos confidenciales nunca aparezcan como texto no cifrado en el sistema de base de datos. Después de habilitar el cifrado de datos, solo las aplicaciones cliente o los servidores de aplicaciones con acceso a las claves pueden acceder a los datos de texto no cifrado.
• El enmascaramiento dinámico de datos de SQL Database limita la exposición de datos confidenciales al enmascarar los datos para usuarios o aplicaciones sin privilegios. El enmascaramiento dinámico de datos puede detectar de forma automática datos potencialmente confidenciales y sugerir las máscaras adecuadas que se pueden aplicar. Esto ayuda a identificar y reducir el acceso a datos de modo que no salgan de la base de datos mediante un acceso no autorizado. Los clientes son responsables de ajustar la configuración del enmascaramiento dinámico de datos para cumplir con el esquema de la base de datos.

Administración de identidades

Las siguientes tecnologías proporcionan funcionalidades de administración del acceso a datos del titular de tarjeta en el entorno de Azure:

• Azure Active Directory es el servicio de administración de identidades y directorios multiinquilino basado en la nube de Microsoft. Todos los usuarios de la solución se crean en Azure Active Directory, incluidos los usuarios que acceden a Azure SQL Database.
• La autenticación para acceder a la aplicación se realiza con Azure Active Directory. Para obtener más información, consulte Integración de aplicaciones con Azure Active Directory. Además, el cifrado de columnas de la base de datos usa Azure Active Directory para autenticar la aplicación en Azure SQL Database. Para obtener más información, consulte cómo proteger los datos confidenciales en Azure SQL Database.
• El control de acceso basado en rol de Azure permite a los administradores definir permisos de acceso específicos para conceder solo la cantidad de acceso que los usuarios necesitan para realizar sus trabajos. En lugar de dar a cada usuario permisos ilimitados para los recursos de Azure, los administradores pueden permitir solo ciertas acciones para acceder a los datos del titular de tarjeta. El acceso a la suscripción está limitado al administrador de la suscripción.
• Azure Active Directory Privileged Identity Management permite a los clientes minimizar el número de usuarios que tienen acceso a cierta información, como los datos de los titulares de tarjetas. Los administradores pueden usar Azure Active Directory Privileged Identity Management para detectar, restringir y supervisar las identidades con privilegios y su acceso a los recursos. Esta funcionalidad también puede utilizarse para aplicar un acceso administrativo a petición, Just-in-Time, cuando sea necesario.
• Azure Active Directory Identity Protection detecta posibles vulnerabilidades que afectan a las identidades de una organización, configura respuestas automatizadas a acciones sospechosas detectadas relacionadas con las identidades de una organización e investiga incidentes sospechosos para tomar las medidas adecuadas para resolverlas.

Seguridad

Administración de secretos: la solución utiliza Azure Key Vault para la administración de claves y secretos. Azure Key Vault ayuda a proteger claves criptográficas y secretos usados por servicios y aplicaciones en la nube. Las siguientes funcionalidades de Azure Key Vault ayudan a los clientes a proteger los datos y el acceso a dichos datos:

• Se configuran directivas de acceso avanzadas según las necesidades.
• Se definen directivas de acceso a Key Vault con los permisos mínimos requeridos para las claves y los secretos.
• Todas las claves y los secretos en Key Vault tienen fechas de expiración.
• Todas las claves de Key Vault están protegidas por módulos de seguridad de hardware especializados. El tipo de clave es una clave RSA de 2048 bits protegida por HSM.
• A todos los usuarios y entidades se les otorgan los permisos mínimos necesarios mediante el control de acceso basado en rol.
• Los registros de diagnóstico de Key Vault están habilitados con un período de retención de al menos 365 días.
• Las operaciones criptográficas permitidas para las claves están restringidas únicamente a las requeridas.

Azure Security Center: con Azure Security Center, los clientes pueden aplicar y administrar de forma centralizada las directivas de seguridad entre cargas de trabajo, limitar la exposición a amenazas y detectar y responder a ataques. Además, Azure Security Center accede a las configuraciones existentes de los servicios de Azure para proporcionar recomendaciones de configuración y servicio que ayuden a mejorar la postura de seguridad y a proteger los datos.

Azure Security Center usa una variedad de funcionalidades de detección para alertar a los clientes de posibles ataques contra sus entornos. Estas alertas contienen información útil acerca de lo que desencadenó la alerta, los recursos objetivo y el origen del ataque. Azure Security Center tiene un conjunto de alertas de seguridad predefinidas, que se desencadenan cuando se produce una amenaza o una actividad sospechosa. Las reglas de alerta personalizadas de Azure Security Center permiten a los clientes definir nuevas alertas de seguridad basadas en los datos que ya se recopilan de su entorno.

Azure Security Center proporciona alertas de seguridad e incidentes clasificados por orden de prioridad, lo que facilita a los clientes la detección y solución de posibles problemas de seguridad. Se genera un informe de inteligencia sobre amenazas para cada amenaza detectada para ayudar a los equipos de respuesta a incidentes a investigar y corregir amenazas.

Azure Application Gateway: la arquitectura reduce el riesgo de vulnerabilidades de seguridad mediante un Azure Application Gateway con un firewall de aplicaciones web configurado y el conjunto de reglas de OWASP habilitado. Entre estas funcionalidades, cabe destacar:

• SSL de un extremo a otro
• Habilitación de la descarga SSL
• Deshabilitación de TLS v1.0 y v1.1
• Firewall de aplicaciones web (modo de prevención)
• Modo de prevención con conjunto de reglas de OWASP 3.0
• Habilitación del registro de diagnóstico
• Sondeos de estado personalizados
• Azure Security Center y Azure Advisor proporcionan protección y notificaciones adicionales. Asimismo, Azure Security Center también proporciona un sistema de reputación.

Registro y auditoría

Los servicios de Azure proporcionan un registro completo de la actividad de usuario y del sistema, así como de mantenimiento del sistema:

• Registros de actividad: los registros de actividad proporcionan información sobre las operaciones realizadas en los recursos de una suscripción. Los registros de actividad pueden ayudar a determinar el iniciador de una operación, el momento en que se produce y el estado.
• Registros de diagnóstico: los registros de diagnóstico incluyen todos los registros emitidos por cada recurso. Estos registros incluyen registros del sistema de eventos de Windows, registros de Azure Storage, registros de auditoría de Key Vault, y registros de firewall y acceso a Application Gateway. Todos los registros de diagnóstico se escriben en una cuenta de almacenamiento de Azure centralizada y cifrada para su archivado. El usuario puede configurar la retención hasta 730 días para cumplir los requisitos de retención específicos de una organización.

Registros de Azure Monitor: estos registros se consolidan en los registros de Azure Monitor para procesar, almacenar y crear informes de paneles. Una vez recopilados, los datos se organizan en tablas independientes para cada tipo de datos dentro de las áreas de trabajo de Log Analytics, lo que permite que todos los datos se puedan analizar conjuntamente con independencia de su origen. Además, Azure Security Center se integra con los registros de Azure Monitor, lo que permite a los clientes usar consultas de Kusto para acceder a sus datos de eventos de seguridad y combinarlos con datos de otros servicios.

Como parte de esta arquitectura se incluyen las siguientes soluciones de supervisión de Azure:

• Active Directory Assessment: la solución Active Directory Health Check evalúa el riesgo y el estado de los entornos de servidor a intervalos regulares y proporciona una lista prioritaria de recomendaciones específicas para la infraestructura de servidor implementada.
• SQL Assessment: la solución SQL Health Check evalúa el riesgo y el estado de los entornos de servidor a intervalos regulares y proporciona a los clientes una lista prioritaria de recomendaciones específicas para la infraestructura de servidor implementada.
• Agent Health: la solución Agent Health notifica cuántos agentes se implementan y su distribución geográfica, así como cuántos agentes no responden y el número de agentes que envían datos operativos.
• Activity Log Analytics: la solución Activity Log Analytics ayuda a los clientes a analizar los registros de actividad de todas las suscripciones de Azure para un cliente.

Azure Automation: Azure Automation almacena, ejecuta y administra runbooks. En esta solución, los runbooks ayudan a recopilar registros de Azure SQL Database. La solución Change Tracking de Automation permite a los clientes identificar fácilmente los cambios en el entorno.

Azure Monitor: Azure Monitor ayuda a los usuarios a realizar un seguimiento del rendimiento, mantener la seguridad e identificar tendencias y permite a las organizaciones auditar, crear alertas y archivar datos, incluido el seguimiento de las llamadas a API en sus recursos de Azure.

Application Insights: Application Insights es un servicio de Application Performance Management extensible para desarrolladores web en varias plataformas. Application Insights detecta anomalías de rendimiento y los clientes pueden utilizarlo para supervisar la aplicación web activa. Incluye herramientas de análisis eficaces que ayudan a los clientes a diagnosticar problemas y comprender lo que hacen realmente los usuarios con la aplicación. Está diseñado para ayudar a los clientes a mejorar continuamente el rendimiento y la facilidad de uso.

Modelo de amenazas

El diagrama de flujo de datos de esta arquitectura de referencia está disponible para su descarga y se encuentra a continuación. El modelo puede ayudar a los clientes a comprender los puntos de riesgo potencial de la infraestructura del sistema al realizar modificaciones.

Documentación de cumplimiento

En Azure Security and Compliance Blueprint: matriz de responsabilidades de clientes de PCI DSS se enumeran las responsabilidades de controlador y de procesador para todos los requisitos de PCI DSS 3.2.

En Azure Security and Compliance Blueprint: matriz de implementaciones de la aplicación web de Paas para PCI DSS se informa sobre qué requisitos de PCI DSS 3.2 aborda la arquitectura de aplicaciones web PaaS, incluida una descripción detallada de cómo la implementación cumple los requisitos de cada artículo cubierto.

Implementación de la solución

Esta instancia de Azure Security and Compliance Blueprint Automation se compone de archivos de configuración de JSON y scripts de PowerShell que se controlan mediante el servicio de API de Azure Resource Manager para implementar recursos en Azure. Puede encontrar instrucciones detalladas acerca de la implementación aquí.

Guía de inicio rápido

1. Clone o descargue este repositorio de GitHub en su estación de trabajo local.

2. Revise 0-Setup-AdministrativeAccountAndPermission.md y ejecute los comandos proporcionados.

3. Implemente una solución de prueba con datos de ejemplo Contoso o pruebe un entorno de producción inicial.

   • 1a-ContosoWebStoreDemoAzureResources.ps1
     • Este script implementa recursos de Azure para una demostración de una tienda web mediante datos de ejemplo de Contoso.
   • 1-DeployAndConfigureAzureResources.ps1
     • Este script implementa los recursos de Azure necesarios para admitir un entorno de producción para una aplicación web propiedad del cliente. El cliente debe personalizar aún más este entorno en función de los requisitos de la organización.

Instrucciones y recomendaciones

VPN y ExpressRoute

Debe configurarse un túnel VPN seguro o ExpressRoute para establecer una conexión segura a los recursos implementados como parte de esta arquitectura de referencia de aplicaciones web de PaaS. Al configurar una VPN o ExpressRoute adecuadamente, los clientes pueden agregar una capa de protección para los datos en tránsito.

Mediante la implementación de un túnel VPN seguro con Azure, se puede crear una conexión privada virtual entre una red local y una red virtual de Azure. Esta conexión tiene lugar a través de Internet y permite a los clientes colocar con seguridad la información en un "túnel" dentro de un vínculo cifrado entre la red del cliente y Azure. La VPN de sitio a sitio es una tecnología segura y madura que empresas de todos los tamaños han implementado durante décadas. El modo de túnel IPsec se usa en esta opción como mecanismo de cifrado.

Dado que el tráfico dentro del túnel VPN atraviesa Internet con una VPN de sitio a sitio, Microsoft ofrece otra opción de conexión aún más segura. Azure ExpressRoute es un vínculo de WAN dedicado entre Azure y una ubicación local o un proveedor de hospedaje de Exchange. Como las conexiones de ExpressRoute no se realizan a través de una conexión a Internet, ofrecen más confiabilidad, más velocidad, menor latencia y mayor seguridad que las conexiones a Internet normales. Además, dado que se trata de una conexión directa del proveedor de telecomunicaciones del cliente, los datos no viajan a través de Internet y, por lo tanto, no están expuestos a ella.

Hay disponibles procedimientos recomendados para implementar una red híbrida segura que extienda una red local a Azure.

Declinación de responsabilidades

• Este documento es meramente informativo. MICROSOFT NO EFECTÚA NINGÚN TIPO DE GARANTÍA, YA SEA EXPRESA, IMPLÍCITA O ESTATUTARIA, SOBRE LA INFORMACIÓN INCLUIDA EN EL PRESENTE DOCUMENTO. Este documento se proporciona "tal cual". La información y las vistas expresadas en este documento, incluidas las direcciones URL y otras referencias a sitios web de Internet, pueden cambiar sin previo aviso. Los clientes que lean este documento se atienen a las consecuencias de usarlo.
• Este documento no proporciona a los clientes ningún derecho legal sobre ninguna propiedad intelectual de ningún producto o solución de Microsoft.
• Los clientes pueden copiar y usar este documento con fines internos y de referencia.
• Algunas de las recomendaciones de este documento pueden provocar un aumento del uso de datos, de la red o de los recursos de procesos en Azure, lo que podría incrementar los costos de las licencias o las suscripciones de Azure.
• Esta arquitectura está diseñada para servir como base para que los clientes puedan ajustarse a sus requisitos específicos y no debe usarse tal cual en un entorno de producción.
• Este documento se ha desarrollado como referencia y no debe usarse para definir todos los medios por los que un cliente puede cumplir normas y requisitos de cumplimiento específicos. Los clientes deben buscar apoyo legal de su organización sobre las implementaciones de cliente aprobadas.