Red definida por software: Red perimetral en la nubeSoftware Defined Networking: Cloud DMZ

La arquitectura de red permite un acceso limitado entre la red local y la basada en la nube, y utiliza una red privada virtual (VPN) para conectar las redes.The Cloud DMZ network architecture allows limited access between your on-premises and cloud-based networks, using a virtual private network (VPN) to connect the networks. Aunque los modelos de red perimetral se usan normalmente cuando se desea proteger el acceso externo a una red, la arquitectura de red perimetral en la nube que se describe aquí está pensada específicamente para proteger el acceso a la red local desde los recursos basados en la nube y viceversa.Although a DMZ model is commonly used when you want to secure external access to a network, the Cloud DMZ architecture discussed here is intended specifically to secure access to the on-premises network from cloud-based resources and vice versa.

Arquitectura de red híbrida segura

Esta arquitectura está diseñada para admitir escenarios en los que su organización desea comenzar a integrar cargas de trabajo basadas en la nube con cargas de trabajo locales pero puede que no tenga directivas de seguridad en la nube completamente maduras o no haya adquirido una conexión WAN dedicada segura entre los dos entornos.This architecture is designed to support scenarios where your organization wants to start integrating cloud-based workloads with on-premises workloads but may not have fully matured cloud security policies or acquired a secure dedicated WAN connection between the two environments. Como resultado, las redes en la nube deben tratarse como una DMZ para garantizar que los servicios locales sean seguros.As a result, cloud networks should be treated like a DMZ to ensure on-premises services are secure.

La red perimetral implementa aplicaciones virtuales de red (NVA) para aplicar la funcionalidad de seguridad, como firewalls e inspección de paquetes.The DMZ deploys network virtual appliances (NVAs) to implement security functionality such as firewalls and packet inspection. El tráfico que circula entre aplicaciones o servicios locales y basados en la nube debe pasar a través de la red perimetral, donde se puede auditar.Traffic passing between on-premises and cloud-based applications or services must pass through the DMZ where it can be audited. Las conexiones de VPN y las reglas que determinan qué tráfico se permite a través de la perimetral están estrictamente controladas por los equipos de seguridad de TI.VPN connections and the rules determining what traffic is allowed through the DMZ network are strictly controlled by IT security teams.

Suposiciones de la red perimetral en la nubeCloud DMZ assumptions

En la implementación de una red perimetral en la nube se da por hecho lo siguiente:Deploying a Cloud DMZ includes the following assumptions:

  • Sus equipos de seguridad no han alineado completamente las directivas y los requisitos de seguridad locales y basados en la nube.Your security teams have not fully aligned on-premises and cloud-based security requirements and policies.
  • Sus cargas de trabajo basadas en la nube requieren acceso a un subconjunto limitado de servicios hospedados en sus redes locales o de terceros, o los usuarios o aplicaciones del entorno local necesitan acceso limitado a los recursos hospedados en la nube.Your cloud-based workloads require access to limited subset of services hosted on your on-premises or third-party networks, or users or applications in your on-premises environment need limited access to cloud-hosted resources.
  • La implementación de una conexión VPN entre las redes locales y el proveedor de servicios en la nube no se ve impedida por la directiva corporativa, los requisitos normativos o los problemas de compatibilidad técnica.Implementing a VPN connection between your on-premises networks and cloud provider is not prevented by corporate policy, regulatory requirements, or technical compatibility issues.
  • Sus cargas de trabajo no requieren múltiples suscripciones para omitir los límites de recursos de suscripción, o implican múltiples suscripciones pero no requieren una administración central de la conectividad o los servicios compartidos utilizados por los recursos distribuidos entre varias suscripciones.Your workloads either do not require multiple subscriptions to bypass subscription resource limits, or they involve multiple subscriptions but don't require central management of connectivity or shared services used by resources spread across multiple subscriptions.

El equipo de adopción de la nube debe considerar los siguientes problemas al considerar la implementación de una arquitectura de red virtual perimetral en la nube:Your cloud adoption teams should consider the following issues when looking at implementing a Cloud DMZ virtual networking architecture:

  • Conectar redes locales con redes en la nube aumenta la complejidad de los requisitos de seguridad.Connecting on-premises networks with cloud networks increases the complexity of your security requirements. Aunque se proteja la conexión entre las redes en la nube y el entorno local, deberá cerciorarse de que los recursos en la nube están seguros.Even though connections between cloud networks and the on-premises environment are secured, you still need to ensure cloud resources are secured. Todas las direcciones IP públicas creadas para acceder a las cargas de trabajo basadas en la nube deben protegerse correctamente mediante una red perimetral de acceso público o Azure Firewall.Any public IPs created to access cloud-based workloads need to be properly secured using a public-facing DMZ or Azure Firewall.
  • La arquitectura de la red perimetral en la nube se usa comúnmente como punto de partida, mientras que la conectividad se protege aún más y la directiva de seguridad se alinea entre las redes locales y en la nube, lo que permite una adopción más amplia de una arquitectura de red híbrida a gran escala.The Cloud DMZ architecture is commonly used as a stepping stone while connectivity is further secured and security policy aligned between on-premises and cloud networks, allowing a broader adoption of a full-scale hybrid networking architecture. También puede aplicarse a implementaciones aisladas con necesidades específicas de seguridad, identidad y conectividad que la estrategia de la red perimetral en la nube satisface.It may also apply to isolated deployments with specific security, identity, and connectivity needs that the Cloud DMZ approach satisfies.

Más informaciónLearn more

Para más información acerca de cómo implementar una red perimetral en la nube en Azure, consulte:For more information about implementing a Cloud DMZ in Azure, see: