Planeamiento de la conectividad de Internet entrante y salientePlan for inbound and outbound internet connectivity

En esta sección se describen los modelos de conectividad recomendados para las conexiones entrantes y salientes con la red pública de Internet como origen y destino.This section describes recommended connectivity models for inbound and outbound connectivity to and from the public internet.

Consideraciones de diseño:Design considerations:

  • Los servicios de seguridad de red nativos de Azure como Azure Firewall, Azure Web Application Firewall (WAF) en Azure Application Gateway y Azure Front Door son servicios totalmente administrados.Azure-native network security services such as Azure Firewall, Azure Web Application Firewall (WAF) on Azure Application Gateway, and Azure Front Door are fully managed services. Por lo tanto, no se incurre en los costos operativos y de administración asociados a las implementaciones de infraestructura, lo que puede resultar complejo a escala.So you don't incur the operational and management costs associated with infrastructure deployments, which can become complex at scale.

  • La arquitectura de escala empresarial es totalmente compatible con los dispositivos virtuales de red de asociados, en caso de que su organización los prefiera, o bien en situaciones en las que los servicios nativos no satisfagan los requisitos específicos de su organización.The enterprise-scale architecture is fully compatible with partner NVAs, if your organization prefers to use NVAs or for situations where native services don't satisfy your organization's specific requirements.

Recomendaciones de diseño:Design recommendations:

  • Use las etiquetas de Azure Firewall para controlar:Use Azure Firewall to govern:

    • El tráfico saliente de Azure a Internet.Azure outbound traffic to the internet.

    • Las conexiones entrantes que no son de HTTP/S.Non-HTTP/S inbound connections.

    • El filtrado del tráfico este-oeste (si lo requiere su organización).East/west traffic filtering (if your organization requires it).

  • Use Firewall Manager con Virtual WAN para implementar y administrar firewalls de Azure en centros de conectividad de Virtual WAN o redes virtuales de centro de conectividad.Use Firewall Manager with Virtual WAN to deploy and manage Azure firewalls across Virtual WAN hubs or in hub virtual networks. Firewall Manager está disponible actualmente con disponibilidad general para Virtual WAN y para las redes virtuales normales.Firewall Manager is now in general availability for both Virtual WAN and regular virtual networks.

  • Cree una directiva de Azure Firewall global para controlar la postura de seguridad en todo el entorno de red global y asígnela a todas las instancias de Azure Firewall.Create a global Azure Firewall policy to govern security posture across the global network environment and assign it to all Azure Firewall instances. Permita que las directivas pormenorizadas cumplan los requisitos de regiones específicas al delegar las directivas de firewall incrementales a los equipos de seguridad locales mediante el control de acceso basado en rol de Azure.Allow for granular policies to meet requirements of specific regions by delegating incremental firewall policies to local security teams via Azure role-based access control.

  • Configure los proveedores de seguridad SaaS de asociados compatibles en Firewall Manager si la organización quiere usar tales soluciones para proteger las conexiones salientes.Configure supported partner SaaS security providers within Firewall Manager if your organization wants to use such solutions to help protect outbound connections.

  • Use WAF en una red virtual de zona de aterrizaje para proteger el tráfico entrante HTTP/S de Internet.Use WAF within a landing-zone virtual network for protecting inbound HTTP/S traffic from the internet.

  • Use las directivas de WAF y Azure Front Door para proporcionar protección global en todas las regiones de Azure para las conexiones entrantes HTTP/S a una zona de aterrizaje.Use Azure Front Door and WAF policies to provide global protection across Azure regions for inbound HTTP/S connections to a landing zone.

  • Cuando utilice Azure Front Door y Azure Application Gateway para ayudar a proteger las aplicaciones HTTP/S, use las directivas del WAF de Azure Front Door.When you're using Azure Front Door and Azure Application Gateway to help protect HTTP/S applications, use WAF policies in Azure Front Door. Bloquee Azure Application Gateway para que reciba solo el tráfico procedente de Azure Front Door.Lock down Azure Application Gateway to receive traffic only from Azure Front Door.

  • Si se requieren dispositivos virtuales de red de asociados para la protección y filtrado del tráfico este-oeste o sur-norte:If partner NVAs are required for east/west or south/north traffic protection and filtering:

    • En el caso de las topologías de red Virtual WAN, implemente los dispositivos virtuales de red en una red virtual independiente (por ejemplo, una red virtual NVA).For Virtual WAN network topologies, deploy the NVAs to a separate virtual network (for example, NVA virtual network). A continuación, conéctelo al centro de conectividad de Virtual WAN y a las zonas de aterrizaje que requieran acceso a los dispositivos virtuales de red.Then connect it to the regional Virtual WAN hub and to the landing zones that require access to NVAs. En este artículo se describe el proceso.This article describes the process.
    • En el caso de las topologías de red que no sean de Virtual WAN, implemente los dispositivos virtuales de red de asociales en la red virtual del centro de conectividad central.For non-Virtual WAN network topologies, deploy the partner NVAs in the central-hub virtual network.
  • Si se requieren NVA de asociados para las conexiones entrantes HTTP/S, impleméntelas en una red virtual de zona de aterrizaje junto con las aplicaciones a las que protegen y exponen a Internet.If partner NVAs are required for inbound HTTP/S connections, deploy them within a landing-zone virtual network and together with the applications that they're protecting and exposing to the internet.

  • Use los planes de protección estándar de Azure DDoS Protection para proteger todos los puntos de conexión públicos hospedados en las redes virtuales.Use Azure DDoS Protection Standard protection plans to help protect all public endpoints hosted within your virtual networks.

  • No replique los conceptos y arquitecturas de redes perimetrales locales en Azure.Don't replicate on-premises perimeter network concepts and architectures into Azure. Hay funcionalidades de seguridad similares disponibles en Azure, pero la implementación y la arquitectura deben adaptarse a la nube.Similar security capabilities are available in Azure, but the implementation and architecture must be adapted to the cloud.