Planeamiento de la segmentación de la red de zona de aterrizajePlan for landing zone network segmentation

En esta sección se analizan las recomendaciones clave para ofrecer una segmentación muy segura de la red interna en una zona de aterrizaje para impulsar una implementación de red de confianza cero.This section explores key recommendations to deliver highly secure internal network segmentation within a landing zone to drive a network zero-trust implementation.

Consideraciones de diseño:Design considerations:

  • El modelo de confianza cero presupone un estado de infracción y comprueba cada solicitud como si proviniera de una red no controlada.The zero-trust model assumes a breached state and verifies each request as though it originates from an uncontrolled network.

  • Una implementación de red avanzada de cero confianza emplea microperímetros de entrada y salida de la nube totalmente distribuidos y una microsegmentación más profunda.An advanced zero-trust network implementation employs fully distributed ingress/egress cloud micro-perimeters and deeper micro-segmentation.

  • Los grupos de seguridad de red pueden usar etiquetas de servicio de Azure para facilitar la conectividad con los servicios PaaS de Azure.Network security groups can use Azure service tags to facilitate connectivity to Azure PaaS services.

  • Los grupos de seguridad de aplicaciones no abarcan ni proporcionan protección en las redes virtuales.Application security groups don't span or provide protection across virtual networks.

  • Los registros de flujo de grupos de seguridad de red ahora se admiten mediante las plantillas de Azure Resource Manager.NSG flow logs are now supported through Azure Resource Manager templates.

Recomendaciones de diseño:Design recommendations:

  • Delegue la creación de subredes al propietario de la zona de aterrizaje.Delegate subnet creation to the landing zone owner. De esta forma, podrán definir el modo de segmentar las cargas de trabajo entre subredes (por ejemplo, una sola subred de gran tamaño, una aplicación de varios niveles o una aplicación insertada en la red).This will enable them to define how to segment workloads across subnets (for example, a single large subnet, multitier application, or network-injected application). El equipo de la plataforma puede usar Azure Policy para asegurarse de que un grupo de seguridad de red con reglas específicas (como la denegación de SSH o RDP entrante desde Internet, o la opción para permitir o bloquear el tráfico entre zonas de aterrizaje) siempre esté asociado a las subredes que tengan directivas de solo denegación.The platform team can use Azure Policy to ensure that an NSG with specific rules (such as deny inbound SSH or RDP from internet, or allow/block traffic across landing zones) is always associated with subnets that have deny-only policies.

  • Use los grupos de seguridad de red a través de las subredes, así como el tráfico este-oeste a través de la plataforma (tráfico entre zonas de aterrizaje).Use NSGs to help protect traffic across subnets, as well as east/west traffic across the platform (traffic between landing zones).

  • El equipo de la aplicación debe usar grupos de seguridad de aplicaciones en los grupos de seguridad de red de las subredes para proteger las máquinas virtuales de varios niveles dentro de su zona de aterrizaje.The application team should use application security groups at the subnet-level NSGs to help protect multitier VMs within the landing zone.

  • Use NSG y grupos de seguridad de aplicaciones para microsegmentar el tráfico dentro de la zona de aterrizaje y evite el uso de una NVA central para filtrar los flujos de tráfico.Use NSGs and application security groups to micro-segment traffic within the landing zone and avoid using a central NVA to filter traffic flows.

  • Habilite los registros de flujo de NSG y envíelos a Análisis de tráfico para obtener conclusiones sobre los flujos de tráfico interno y externo.Enable NSG flow logs and feed them into Traffic Analytics to gain insights into internal and external traffic flows.

  • Use los grupos de seguridad de red para permitir de forma selectiva la conectividad entre las zonas de aterrizaje.Use NSGs to selectively allow connectivity between landing zones.

  • En el caso de las topologías de Virtual WAN, enrute el tráfico entre las zonas de aterrizaje a través de Azure Firewall, si su organización necesita funciones de filtrado y registro para el flujo de tráfico entre zonas de aterrizaje.For Virtual WAN topologies, route traffic across landing zones via Azure Firewall if your organization requires filtering and logging capabilities for traffic flowing across landing zones.