Redes perimetralesPerimeter networks

Las redes perimetrales permiten la conectividad segura entre las redes de la nube y las redes de los centros de datos locales o físicos, así como todo tipo de conectividad hacia Internet y desde este.Perimeter networks enable secure connectivity between your cloud networks and your on-premises or physical datacenter networks, along with any connectivity to and from the internet. Una red perimetral a veces se denomina subred filtrada o DMZ.A perimeter network is sometimes called a demilitarized zone or DMZ.

Para que las redes perimetrales sean eficaces, los paquetes entrantes deben fluir a través de los dispositivos de seguridad hospedados en subredes seguras antes de llegar a los servidores back-end.For perimeter networks to be effective, incoming packets must flow through security appliances hosted in secure subnets before reaching back-end servers. Algunos ejemplos son el firewall, los sistemas de detección de intrusiones y los sistemas de prevención de intrusiones.Examples include the firewall, intrusion detection systems, and intrusion prevention systems. Antes de abandonar la red, los paquetes enlazados a Internet de las cargas de trabajo también deberían fluir por las aplicaciones de seguridad de la red perimetral.Before they leave the network, internet-bound packets from workloads should also flow through the security appliances in the perimeter network. Este flujo tiene fines de auditoría, inspección y aplicación de directivas.The purposes of this flow are policy enforcement, inspection, and auditing.

Las redes perimetrales usan las siguientes características y servicios de Azure:Perimeter networks make use of the following Azure features and services:

Nota

Las arquitecturas de referencia de Azure proporcionan plantillas de ejemplo que puede usar para implementar sus propias redes perimetrales:Azure reference architectures provide example templates that you can use to implement your own perimeter networks:

Por lo general, el equipo de TI y de seguridad centrales son responsables de definir los requisitos para el funcionamiento de las redes perimetrales.Usually, your central IT team and security teams are responsible for defining requirements for operating your perimeter networks.

Ejemplo de una topología de red en estrella tipo hub-and-spoke Ilustración 1: Ejemplo de una topología de red en estrella tipo hub-and-spoke.Example of a hub and spoke network topology Figure 1: Example of a hub and spoke network topology.

En el diagrama anterior se muestra un ejemplo de topología de red en estrella tipo hub-and-spoke que implementa la aplicación de dos perímetros con acceso a Internet y a una red local.The diagram above shows an example hub and spoke network topology that implements enforcement of two perimeters with access to the internet and an on-premises network. Ambos perímetros residen en el concentrador de la red perimetral.Both perimeters reside in the DMZ hub. En el concentrador de DMZ, la red perimetral a Internet puede escalarse verticalmente para admitir varias líneas de negocio mediante varias granjas de firewalls de aplicaciones web que ayudan a proteger las redes virtuales radiales.In the DMZ hub, the perimeter network to the internet can scale up to support many lines of business via multiple farms of WAFs and Azure Firewall instances that help protect the spoke virtual networks. El concentrador también permite la conectividad a través de VPN o Azure ExpressRoute, según sea necesario.The hub also allows for connectivity via VPN or Azure ExpressRoute as needed.

Redes virtualesVirtual networks

Las redes perimetrales normalmente se basan en una red virtual con varias subredes para hospedar los distintos tipos de servicios con filtrado e inspección del tráfico hacia o desde Internet mediante NVA, WAF e instancias de Azure Application Gateway.Perimeter networks are typically built using a virtual network with multiple subnets to host the different types of services that filter and inspect traffic to or from the internet via NVAs, WAFs, and Azure Application Gateway instances.

Rutas definidas por el usuarioUser-defined routes

Con las rutas definidas por el usuario, los clientes pueden implementar los firewalls, sistemas de detección de intrusiones, sistemas de prevención de intrusiones y otras aplicaciones virtuales.By using user-defined routes, customers can deploy firewalls, intrusion detection systems, intrusion prevention systems, and other virtual appliances. Los clientes pueden entonces enrutar el tráfico de red a través de estas aplicaciones de seguridad para la aplicación de directivas de límites de seguridad, auditoría e inspección.Customers can then route network traffic through these security appliances for security boundary policy enforcement, auditing, and inspection. Se pueden crear rutas definidas por el usuario para garantizar que el tráfico pase por las máquinas virtuales personalizadas, NVA y equilibradores de carga especificados.User-defined routes can be created to guarantee that traffic passes through the specified custom VMs, NVAs, and load balancers.

En un ejemplo de red en estrella tipo hub-and-spoke, garantizar que el tráfico generado por las máquinas virtuales que residen en el radio pase a través de los dispositivos virtuales correctos en el concentrador requiere una ruta definida por el usuario definida en las subredes del radio.In a hub and spoke network example, guaranteeing that traffic generated by virtual machines that reside in the spoke passes through the correct virtual appliances in the hub requires a user-defined route defined in the subnets of the spoke. Esta ruta establece la dirección IP de front-end del equilibrador de carga interno como el tipo de próximo salto.This route sets the front-end IP address of the internal load balancer as the next hop. El equilibrador de carga interno distribuye el tráfico interno a las aplicaciones virtuales (grupo de back-end de equilibradores de carga).The internal load balancer distributes the internal traffic to the virtual appliances (load balancer back-end pool).

Azure FirewallAzure Firewall

Azure Firewall es un servicio administrado basado en la nube que ayuda a proteger los recursos de la red virtual de Azure.Azure Firewall is a managed cloud-based service that helps protect your Azure Virtual Network resources. Se trata de un firewall administrado con estado completo, con alta disponibilidad integrada y una escalabilidad sin restricciones en la nube.It's a fully stateful managed firewall with built-in high availability and unrestricted cloud scalability. Puede crear, aplicar y registrar directivas de aplicaciones y de conectividad de red a nivel central en suscripciones y redes virtuales.You can centrally create, enforce, and log application and network connectivity policies across subscriptions and virtual networks.

Azure Firewall usa una dirección IP pública estática para los recursos de red virtual.Azure Firewall uses a static public IP address for your virtual network resources. Esto permite que los firewalls externos identifiquen el tráfico que procede de su red virtual.It allows outside firewalls to identify traffic that originates from your virtual network. El servicio interopera con Azure Monitor para los registros y análisis.The service interoperates with Azure Monitor for logging and analytics.

Aplicaciones virtuales de redNetwork virtual appliances

Las redes perimetrales con acceso a Internet se administran normalmente mediante una instancia de Azure Firewall o una granja de firewalls o mediante un firewall de aplicaciones web.Perimeter networks with access to the internet are typically managed through an Azure Firewall instance or a farm of firewalls or web application firewalls.

Las distintas líneas de negocio suelen usar muchas aplicaciones web.Different lines of business commonly use many web applications. Estas aplicaciones tienden a sufrir varias vulnerabilidades y posibles puntos débiles.These applications tend to suffer from various vulnerabilities and potential exploits. Un firewall de aplicaciones web detecta ataques contra las aplicaciones web (HTTP/S) con mayor profundidad que un firewall genérico.A Web Application Firewall detects attacks against web applications (HTTP/S) in more depth than a generic firewall. En comparación con la tecnología de firewall tradicional, los firewalls de aplicaciones web tienen un conjunto de características específicas para ayudar a proteger los servidores web internos frente a amenazas.Compared with tradition firewall technology, web application firewalls have a set of specific features to help protect internal web servers from threats.

Una instancia de Azure Firewall y un firewall de [aplicación virtual de red][NVA] utilizan un plano de administración común con un conjunto de reglas de seguridad para ayudar a proteger las cargas de trabajo hospedadas en los radios y controlar el acceso a las redes locales.An Azure Firewall instance and a [network virtual appliance][nva] firewall use a common administration plane with a set of security rules to help protect the workloads hosted in the spokes and control access to on-premises networks. Azure Firewall tiene escalabilidad integrada, mientras que los firewalls de aplicación virtual de red se pueden escalar manualmente detrás de un equilibrador de carga.Azure Firewall has built-in scalability, whereas NVA firewalls can be manually scaled behind a load balancer.

En general, una granja de firewalls tiene menos software especializado en comparación con un WAF, pero tiene un ámbito más amplio de aplicación para filtrar e inspeccionar cualquier tipo de tráfico de entrada y salida.A firewall farm typically has less specialized software compared with a WAF, but it has a broader application scope to filter and inspect any type of traffic in egress and ingress. Si usa un enfoque NVA, puede buscar e implementar el software desde Azure Marketplace.If you use an NVA approach, you can find and deploy the software from the Azure Marketplace.

Use un conjunto de instancias de Azure Firewall (o NVA) para el tráfico que se origina en Internet y otro para el que se origina en el entorno local.Use one set of Azure Firewall instances (or NVAs) for traffic that originates on the internet and another set for traffic that originates on-premises. Utilizar únicamente un conjunto de firewalls para ambos es un riesgo de seguridad, ya que no proporciona ningún perímetro de seguridad entre los dos conjuntos de tráfico de red.Using only one set of firewalls for both is a security risk because it provides no security perimeter between the two sets of network traffic. El uso de capas de firewalls independientes reduce la complejidad de la comprobación de las reglas de seguridad y deja claro qué reglas se corresponden con cada solicitud de red entrante.Using separate firewall layers reduces the complexity of checking security rules and makes clear which rules correspond to which incoming network requests.

Azure Load BalancerAzure Load Balancer

Azure Load Balancer ofrece un servicio de nivel 4 (TCP y UDP) de alta disponibilidad que puede distribuir el tráfico entrante entre instancias del servicio definidas en un conjunto de equilibrio de carga.Azure Load Balancer offers a high-availability Layer 4 (TCP/UDP) service, which can distribute incoming traffic among service instances defined in a load-balanced set. El tráfico enviado al equilibrador de carga desde los puntos de conexión front-end (puntos de conexión de direcciones IP públicas o privadas) se puede redistribuir con o sin traducción de direcciones a un grupo de direcciones IP de back-end (ejemplo: aplicaciones virtuales de red o máquinas virtuales).Traffic sent to the load balancer from front-end endpoints (public IP endpoints or private IP endpoints) can be redistributed with or without address translation to a pool of back-end IP addresses (such as NVAs or VMs).

Azure Load Balancer también puede sondear el estado de las distintas instancias de servidor.Azure Load Balancer can also probe the health of the various server instances. Cuando una instancia no puede responder a un sondeo, el equilibrador de carga deja de enviar tráfico a las instancias incorrectas.When an instance fails to respond to a probe, the load balancer stops sending traffic to the unhealthy instance.

Como ejemplo del uso de una topología de red en estrella tipo hub-and-spoke, puede implementar un equilibrador de carga externo en el concentrador y en los radios.As an example of using a hub and spoke network topology, you can deploy an external load balancer to both the hub and the spokes. En el concentrador, el equilibrador de carga enruta de forma eficaz el tráfico a los servicios de los radios.In the hub, the load balancer efficiently routes traffic to services in the spokes. En los radios, los equilibradores de carga administran el tráfico de la aplicación.In the spokes, load balancers manage application traffic.

Azure Front DoorAzure Front Door

Azure Front Door es la plataforma de aceleración de aplicaciones web altamente disponible y escalable de Microsoft y el equilibrador de carga HTTP global.Azure Front Door is Microsoft's highly available and scalable web application acceleration platform and global HTTPS load balancer. Puede usar Azure Front Door para crear, operar y escalar horizontalmente las aplicaciones web dinámicas y el contenido estático.You can use Azure Front Door to build, operate, and scale out your dynamic web application and static content. Se ejecuta en más de 100 ubicaciones de la red global de Microsoft.It runs in more than 100 locations at the edge of Microsoft's global network.

Azure Front Door proporciona a la aplicación una automatización de mantenimiento de marca o regional unificada, una automatización de BCDR, una información de cliente o usuario unificada, un almacenamiento en caché y una información detallada de servicios.Azure Front Door provides your application with unified regional/stamp maintenance automation, BCDR automation, unified client/user information, caching, and service insights. La plataforma ofrece Acuerdos de Nivel de Servicio de rendimiento, confiabilidad y soporte técnico.The platform offers performance, reliability, and support SLAs. También ofrece certificaciones de cumplimiento y procedimientos de seguridad auditables desarrollados y operados por Azure, y compatibles de forma nativa con Azure.It also offers compliance certifications and auditable security practices that are developed, operated, and supported natively by Azure.

Azure Application GatewayAzure Application Gateway

Azure Application Gateway es una aplicación virtual dedicada que proporciona un controlador de entrega de aplicaciones administrado como servicio.Azure Application Gateway is a dedicated virtual appliance that provides a managed application delivery controller. Ofrece diversas funcionalidades de equilibrio de carga de nivel 7 para la aplicación.It offers various Layer 7 load-balancing capabilities for your application.

Azure Application Gateway permite optimizar la productividad de las granjas de servidores web traspasando la carga de la terminación SSL con mayor actividad de la CPU a la puerta de enlace de aplicaciones.Azure Application Gateway allows you to optimize web farm productivity by offloading CPU-intensive SSL termination to the application gateway. También dispone de otras funcionalidades de enrutamiento de nivel 7, como la distribución round robin del tráfico entrante, la afinidad de sesiones basada en cookies, el enrutamiento basado en rutas de acceso URL y la capacidad de hospedar varios sitios web detrás de una única puerta de enlace de aplicaciones.It also provides other Layer 7 routing capabilities, including round-robin distribution of incoming traffic, cookie-based session affinity, URL path-based routing, and the ability to host multiple websites behind a single application gateway.

La SKU de WAF de Azure Application Gateway incluye un firewall de aplicaciones web.The Azure Application Gateway WAF SKU includes a Web Application Firewall. Esta SKU proporciona protección a las aplicaciones web frente a vulnerabilidades web y vulnerabilidades de seguridad comunes.This SKU provides protection to web applications from common web vulnerabilities and exploits. Puede configurar Azure Application Gateway como una puerta de enlace accesible desde Internet, una puerta de enlace solo para uso interno o una combinación de las dos.You can configure Azure Application Gateway as an internet-facing gateway, an internal-only gateway, or a combination of both.

Direcciones IP públicasPublic IPs

Algunas características de Azure le permiten asociar los puntos de conexión de servicio a una dirección IP pública que permite al recurso estar accesible desde Internet.With some Azure features, you can associate service endpoints to a public IP address so that your resource can be accessed from the internet. Este punto de conexión usa la traducción de direcciones de red (NAT) para enrutar el tráfico a la dirección interna y el puerto de la red virtual de Azure.This endpoint uses network address translation (NAT) to route traffic to the internal address and port on the Azure virtual network. Esta ruta es la vía principal para que el tráfico externo pase a la red virtual.This path is the primary way for external traffic to pass into the virtual network. Las direcciones IP públicas se pueden configurar para determinar qué tráfico se pasa y cómo y a dónde se traslada en la red virtual.You can configure public IP addresses to determine what traffic is passed in, and how and where it's translated onto the virtual network.

Protección contra DDoS de Azure estándarAzure DDoS Protection Standard

Azure DDoS Protection estándar ofrece funcionalidades de mitigación adicionales, en comparación con el nivel de servicio básico, que se ajustan específicamente a los recursos de Azure Virtual Network.Azure DDoS Protection Standard provides additional mitigation capabilities over the basic service tier that are tuned specifically to Azure Virtual Network resources. La protección contra DDoS estándar es fácil de habilitar y no requiere ningún cambio en la aplicación.DDoS protection standard is simple to enable and requires no application changes.

Puede ajustar las directivas de protección mediante la supervisión del tráfico dedicado y los algoritmos de aprendizaje automático.You can tune protection policies through dedicated traffic monitoring and machine-learning algorithms. Las directivas se aplican a direcciones IP públicas asociadas a recursos implementados en redes virtuales.Policies are applied to public IP addresses associated to resources deployed in virtual networks. Algunos ejemplos incluyen Azure Load Balancer, Application Gateway e instancias de Service Fabric.Examples include Azure Load Balancer, Application Gateway, and Service Fabric instances.

La telemetría en tiempo real está disponible mediante las vistas de Azure Monitor durante un ataque y con fines históricos.Real-time telemetry is available through Azure Monitor views both during an attack and for historical purposes. Se puede agregar protección en la capa de aplicación mediante el firewall de aplicaciones web de Azure Application Gateway.You can add application-layer protection by using the Web Application Firewall in Azure Application Gateway. Se proporciona protección para direcciones IP públicas de Azure IPv4.Protection is provided for IPv4 Azure public IP addresses.