Implementación de patrones de segmentación de red en Azure
Una estrategia de segmentación empresarial unificada guía a los equipos técnicos a la hora de segmentar de forma coherente el acceso al uso de las redes, las aplicaciones, la identidad y otros controles de acceso. Cree una segmentación en la superficie de la red mediante la definición de perímetros. Estas son las principales razones de la segmentación:
- La capacidad de agrupar recursos relacionados que forman parte de las operaciones de la carga de trabajo (o que la hacen posible).
- Aislamiento de recursos.
- Directivas de gobernanza establecidas por la organización.
La mentalidad de ciberseguridad recomendada es asumir el riesgo y la capacidad de contener a un atacante es fundamental para proteger los sistemas de información. Modele un atacante capaz de alcanzar un punto de apoyo en varios puntos de la carga de trabajo y establezca controles para mitigar una mayor expansión.
Los controles de red pueden proteger las interacciones entre perímetros. Este enfoque puede reforzar la postura de seguridad y contener los riesgos de una infracción, ya que los controles pueden detectar, contener y impedir que los atacantes accedan a toda la carga de trabajo.
La independencia de los vectores de ataque dentro de un entorno es fundamental. Sin embargo, para ser efectivo en entornos en la nube, los enfoques tradicionales pueden resultar inadecuados y las organizaciones de seguridad pueden necesitar evolucionar sus métodos.
Normalmente, los enfoques de segmentación tradicionales no logran sus objetivos, ya que no se han desarrollado en un método para alinearse con los casos de uso empresarial y las cargas de trabajo de las aplicaciones. A menudo, esto provoca una complejidad abrumadora que requiere muchas excepciones en el firewall.
Una recomendación de procedimientos recomendados mejorados consiste en adoptar una estrategia de Confianza cero basada en las identidades del usuario, el dispositivo y la aplicación. A diferencia de los controles de acceso a la red que se basan en elementos como la dirección IP de origen y de destino, los protocolos y los números de puerto, la Confianza cero exige y valida el control de acceso en tiempo de acceso. Esto evita la necesidad de reproducir un juego de predicción para toda una implementación, red o subred: solo el recurso de destino debe proporcionar los controles de acceso necesarios.
- Los grupos de seguridad de red de Azure se pueden usar para los controles de acceso básicos de capa 3 y capa 4, entre las redes virtuales de Azure, sus subredes e Internet.
- Azure Web Application Firewall y Azure Firewall se pueden usar para controles de acceso a red más avanzados que requieren compatibilidad con el nivel de aplicación.
- La solución de contraseña de administrador local (LAPS) o una instancia de terceros de Privileged Access Management pueden establecer contraseñas de administrador local seguras y el acceso Just-In-Time a ellas.
¿Cómo implementa la organización la segmentación de red?
En este artículo se resaltan algunas características de redes de Azure que crean segmentos y restringen el acceso a servicios individuales.
Importante
Alinee la estrategia de segmentación de red con el modelo de segmentación de la empresa. Esto reducirá la confusión y los desafíos con los distintos equipos técnicos (redes, identidades, aplicaciones, etc.). Cada equipo no debe desarrollar modelos de segmentación y delegación propios que no estén alineados con los demás.
Puntos clave
- Cree perímetros definidos por software en la superficie de la red y proteja las rutas de comunicación entre ellos.
- Establezca una completa estrategia de segmentación de confianza cero.
- Alinee los equipos técnicos de la empresa en las estrategias de microsegmentación de las aplicaciones heredadas.
- Las redes virtuales de Azure se crean en espacios de direcciones privados. De forma predeterminada, no se permite el tráfico entre dos redes virtuales cualesquiera. Abra las rutas de acceso solo cuando realmente sea necesario.
- Use grupos de seguridad de red (NSG) para proteger la comunicación entre los recursos de una red virtual.
- Use grupos de seguridad de aplicaciones (ASG) para definir reglas de tráfico para las máquinas virtuales subyacentes que ejecutan la carga de trabajo.
- Use Azure Firewall para filtrar el flujo de tráfico entre los recursos de la nube, Internet y el entorno local.
- Coloque los recursos en una sola red virtual si no necesita operar en varias regiones.
- Si necesita estar en varias regiones, tenga varias redes virtuales conectadas mediante emparejamiento.
- En el caso de las configuraciones avanzadas, use una topología en estrella tipo hub-and-spoke. Una red virtual se designa como un concentrador en una región determinada para todas las demás redes virtuales que actúan como radios en dicha región.
¿Qué es la segmentación?
Puede crear perímetros definidos por software en la superficie de la red mediante el uso de los distintos servicios y características de Azure. Cuando una carga de trabajo (o partes de una carga de trabajo determinada) se coloca en segmentos independientes, puede controlar el tráfico desde o hacia esos segmentos para proteger las rutas de comunicación. Si un segmento se ve comprometido, podrá contener mejor el impacto y evitar que se extienda lateralmente a través del resto de la red. Esta estrategia se alinea con el principio clave del modelo de confianza cero publicado por Microsoft que pretende implantar planteamientos de seguridad de clase mundial en las organizaciones.
Acciones sugeridas
Cree una estrategia de contención de riesgos que combine enfoques comprobados, como:
- Controles y prácticas de seguridad de red existentes
- Controles de seguridad nativos disponibles en Azure
- Enfoques de Confianza cero
Saber más
Para obtener información sobre cómo crear una estrategia de segmentación, consulte la sección Estrategia de segmentación empresarial.
Características de Azure para la segmentación
Dispone de muchas opciones de segmentación cuando opera en Azure.
Suscripción: una construcción de alto nivel que proporciona la separación con tecnología de la plataforma entre las entidades. Está diseñada para dividir los límites entre las grandes organizaciones de una empresa y la comunicación entre los recursos de distintas suscripciones se debe aprovisionar de forma explícita.
Red virtual: se crea dentro de una suscripción en espacios de direcciones privados. Proporciona la contención de nivel de red de los recursos sin tráfico permitido de forma predeterminada entre dos redes virtuales cualesquiera. Al igual que las suscripciones, es necesario aprovisionar de forma explícita cualquier comunicación entre las redes virtuales.
Grupos de seguridad de red (NSG): mecanismos de control de acceso para controlar el tráfico entre los recursos de una red virtual y también con redes externas, como Internet u otras redes virtuales. Los NSG permiten llevar la estrategia de segmentación a un nivel granular mediante la creación de perímetros para una subred, una máquina virtual o un grupo de máquinas virtuales. Para obtener información sobre las posibles operaciones con subredes en Azure, consulte Subredes (Azure Virtual Networks).
Grupos de seguridad de aplicaciones (ASG): similares a los grupos de seguridad de red, pero se hace referencia a ellos en un contexto de aplicación. Permiten agrupar un conjunto de máquinas virtuales bajo una etiqueta de aplicación y definir reglas de tráfico que luego se aplican a cada una de las máquinas virtuales subyacentes.
Azure Firewall: firewall con estado nativo de nube como servicio, que se puede implementar en la red virtual o en implementaciones de concentrador de Azure Virtual WAN para filtrar el tráfico entre los recursos de la nube, Internet y el entorno local. Puede crear reglas o directivas (con Azure Firewall o Azure Firewall Manager) mediante la especificación del tráfico que se permite o deniega mediante controles de capa 3 a capa 7. También puede filtrar el tráfico que va a Internet mediante Azure Firewall y terceros mediante la dirección de la totalidad o parte del tráfico a través de proveedores de seguridad de terceros para el filtrado avanzado y la protección del usuario.
Patrones de segmentación
Estos son algunos patrones comunes para segmentar una carga de trabajo en Azure desde una perspectiva de redes. Cada patrón proporciona un tipo diferente de aislamiento y conectividad. Elija un patrón en función de las necesidades de la organización.
Patrón 1: red virtual única
Todos los componentes de la carga de trabajo se encuentran en una sola red virtual. Este patrón es adecuado para trabajar en una sola región, ya que una red virtual no puede abarcar varias regiones.
Las formas comunes de proteger los segmentos, como las subredes o los grupos de aplicaciones, son mediante el uso de grupos de seguridad de red y grupos de seguridad de aplicaciones. También puede usar Azure Firewall o una aplicación virtual de red (NVA) de Azure Marketplace para aplicar y proteger esta segmentación.
En esta imagen, la subred Subnet1 tiene la carga de trabajo de base de datos. La subred Subnet2 tiene las cargas de trabajo web. Puede configurar grupos de seguridad de red que permitan que Subnet1 solo se comunique con Subnet2 y Subnet2 solo pueda comunicarse con Internet.
Considere un caso de uso en el que tiene varias cargas de trabajo que se colocan en subredes independientes. Puede implementar controles que permitan que una carga de trabajo se comunique con el back-end de otra carga de trabajo.
Patrón 2: varias redes virtuales que se comunican mediante emparejamiento
Los recursos se extienden o se replican en varias redes virtuales. Las redes virtuales se pueden comunicar mediante el emparejamiento. Este patrón es adecuado cuando se necesita agrupar aplicaciones en redes virtuales independientes. O bien, si se necesitan varias regiones de Azure. Una ventaja es la segmentación integrada, porque tiene que emparejar explícitamente una red virtual con otra. El emparejamiento de red virtual no es transitivo. Puede segmentar aún más dentro de una red virtual mediante grupos de seguridad de red y grupos de seguridad de aplicaciones, como se muestra en el patrón 1.
Patrón 3: varias redes virtuales en un modelo de topología en estrella tipo hub-and-spoke
Una red virtual se designa como un concentrador en una región determinada para todas las demás redes virtuales que actúan como radios en dicha región. El concentrador y sus radios se conectan mediante emparejamiento. Todo el tráfico pasa a través del concentrador, que puede actuar como puerta de enlace a otros concentradores de otras regiones. En este patrón, los controles de seguridad se configuran en los concentradores para que puedan segmentar y gobernar el tráfico entre otras redes virtuales de forma escalable. Una ventaja de este patrón es que, a medida que crece la topología de red, no lo hace la sobrecarga de la posición de seguridad (excepto cuando se expanda a nuevas regiones).
La opción nativa recomendada es Azure Firewall. Esta opción funciona en las redes virtuales y en las suscripciones para gobernar los flujos de tráfico mediante controles de capa 3 a capa 7. Puede definir las reglas de comunicación y aplicarlas de forma coherente. Estos son algunos ejemplos:
- La red virtual 1 no se puede comunicar con la red virtual 2, pero se puede comunicar con la red virtual 3.
- La red virtual 1 no puede acceder a la red publica de Internet excepto a *.github.com.
Con la versión preliminar de Azure Firewall Manager, puede administrar directivas de forma centralizada en varios firewalls de Azure y permitir que los equipos de DevOps personalicen aún más las directivas locales.
Sugerencia
Estos son algunos recursos que ilustran el aprovisionamiento de recursos en una topología en estrella tipo hub-and-spoke:
GitHub: Espacio aislado de topología en estrella tipo hub-and-spoke.
Las consideraciones de diseño se describen en Topología de red en estrella tipo hub-and-spoke en Azure.
Comparación de patrones
| Consideraciones | Patrón 1 | Patrón 2 | Patrón 3 |
|---|---|---|---|
| Conectividad y enrutamiento: cómo se comunica cada segmento entre sí | El enrutamiento del sistema proporciona conectividad predeterminada a cualquier carga de trabajo de cualquier subred. | Igual que en el patrón 1. | Sin conectividad predeterminada entre las redes de los radios. Para habilitar la conectividad, se necesita un enrutador de capa 3, como Azure Firewall, en el concentrador. |
| Filtrado del tráfico de nivel de red | El tráfico se permite de manera predeterminada. Use grupos de seguridad de red y grupos de seguridad de aplicaciones para filtrar el tráfico. | Igual que en el patrón 1. | De forma predeterminada, se deniega el tráfico entre las redes virtuales de radio. Abra rutas de acceso seleccionadas para permitir el tráfico mediante la configuración de Azure Firewall. |
| Registro centralizado | Registros de grupos de seguridad de red y grupos de seguridad de aplicaciones para la red virtual. | Agregación de registros de grupos de seguridad de red y grupos de seguridad de aplicaciones en todas las redes virtuales. | Azure Firewall registra todo el tráfico aceptado y denegado que se envía a través del concentrador. Visualice los registros en Azure Monitor. |
| Puntos de conexión públicos abiertos involuntarios | DevOps puede abrir accidentalmente un punto de conexión público mediante reglas incorrectas de grupos de seguridad de red y grupos de seguridad de aplicaciones. | Igual que en el patrón 1. | Un punto de conexión público que se abra accidentalmente en un radio no habilitará el acceso, ya que el paquete de devolución se eliminará mediante un firewall con estado (enrutamiento asimétrico). |
| Protección de nivel de aplicación | El grupo de seguridad de red o el grupo de seguridad de aplicaciones solo proporcionan compatibilidad con la capa de red. | Igual que en el patrón 1. | Azure Firewall admite el filtrado de FQDN para HTTP/S y MSSQL para el tráfico saliente y entre redes virtuales. |
Paso siguiente
Vínculos relacionados
Para más información sobre la configuración del emparejamiento, consulte Emparejamiento de redes virtuales de Azure.
Para conocer los procedimientos recomendados sobre el uso de Azure Firewall en varias configuraciones, consulte Guía de la arquitectura de Azure Firewall.
Para más información sobre las distintas directivas de acceso y el flujo de control dentro de una red virtual, consulte Incorporación, cambio o eliminación de una subred de red virtual.
Volver al artículo principal: Seguridad de las redes