Procedimientos recomendados de seguridad de la red de AzureAzure best practices for network security

En este artículo se aborda un conjunto de procedimientos recomendados de Azure que sirven para mejorar la seguridad de la red.This article discusses a collection of Azure best practices to enhance your network security. Estos procedimientos recomendados se derivan de nuestra experiencia con las redes en Azure, y las experiencias de clientes como usted.These best practices are derived from our experience with Azure networking and the experiences of customers like yourself.

Para cada procedimiento recomendado, en este artículo se explica:For each best practice, this article explains:

  • Qué es el procedimiento recomendadoWhat the best practice is
  • Por qué le conviene habilitar este procedimiento recomendadoWhy you want to enable that best practice
  • Cuál podría ser el resultado si no habilita el procedimiento recomendadoWhat might be the result if you fail to enable the best practice
  • Alternativas posibles al procedimiento recomendadoPossible alternatives to the best practice
  • Cómo aprender a habilitar el procedimiento recomendadoHow you can learn to enable the best practice

Estos procedimientos recomendados de seguridad de la red de Azure se basan en las funcionalidades y los conjuntos de características de la plataforma Azure existentes cuando se redactó.These best practices are based on a consensus opinion, and Azure platform capabilities and feature sets, as they exist at the time this article was written. Las opiniones y las tecnologías cambian con el tiempo, por lo que se actualizará de forma periódica para reflejar esos cambios.Opinions and technologies change over time and this article will be updated on a regular basis to reflect those changes.

Uso de controles de red sólidosUse strong network controls

Puede conectar las máquinas virtuales y los dispositivos de Azure a otros dispositivos en red, colocándolos en redes virtuales de Azure.You can connect Azure virtual machines (VMs) and appliances to other networked devices by placing them on Azure virtual networks. Esto es, puede conectar tarjetas de interfaz de red virtual a una red virtual para posibilitar las comunicaciones basadas en TCP/IP entre dispositivos habilitados para la red.That is, you can connect virtual network interface cards to a virtual network to allow TCP/IP-based communications between network-enabled devices. Las máquinas virtuales conectadas a una red virtual de Azure pueden conectarse a dispositivos en la misma red virtual, en distintas redes virtuales, en Internet o, incluso, en sus propias redes locales.Virtual machines connected to an Azure virtual network can connect to devices on the same virtual network, different virtual networks, the internet, or your own on-premises networks.

Al planear la red y la seguridad de la red, se recomienda centralizar lo siguiente:As you plan your network and the security of your network, we recommend that you centralize:

  • La administración de funciones de red centrales como ExpressRoute, el aprovisionamiento de redes virtuales y subredes y la asignación de direcciones IP.Management of core network functions like ExpressRoute, virtual network and subnet provisioning, and IP addressing.
  • El gobierno de elementos de seguridad de red como las funciones de aplicación virtual de red del tipo ExpressRoute, el aprovisionamiento de redes virtuales y subredes y la asignación de direcciones IP.Governance of network security elements, such as network virtual appliance functions like ExpressRoute, virtual network and subnet provisioning, and IP addressing.

Si usa un conjunto común de herramientas de administración para supervisar la red y la seguridad de la red, tendrá una visibilidad clara de ambos aspectos.If you use a common set of management tools to monitor your network and the security of your network, you get clear visibility into both. Una estrategia de seguridad sencilla y unificada reduce los errores, ya que permite una mejor comprensión del lado humano y aumenta la confiabilidad de la automatización.A straightforward, unified security strategy reduces errors because it increases human understanding and the reliability of automation.

Segmentación lógica de subredesLogically segment subnets

Las redes virtuales de Azure son similares a una LAN de red local.Azure virtual networks are similar to LANs on your on-premises network. La idea detrás de una red virtual de Azure es crear una sola red basada en espacios privados de direcciones IP en la que pueden colocar todas las máquinas virtuales de Azure.The idea behind an Azure virtual network is that you create a network, based on a single private IP address space, on which you can place all your Azure virtual machines. Los espacios de direcciones IP privados están en los intervalos de clase A (10.0.0.0/8), B (172.16.0.0/12) y C (192.168.0.0/16).The private IP address spaces available are in the Class A (10.0.0.0/8), Class B (172.16.0.0/12), and Class C (192.168.0.0/16) ranges.

Los procedimientos recomendados para segmentar lógicamente las subredes son:Best practices for logically segmenting subnets include:

Procedimiento recomendado: no asigne reglas de permiso con intervalos muy amplios (por ejemplo, permita de 0.0.0.0 a 255.255.255.255).Best practice: Don't assign allow rules with broad ranges (for example, allow 0.0.0.0 through 255.255.255.255).
Detalles: asegúrese de que los procedimientos de solución de problemas no fomentan ni permiten configurar estos tipos de reglas.Detail: Ensure troubleshooting procedures discourage or ban setting up these types of rules. Estas reglas de permiso dan una falsa sensación de seguridad y, a menudo, son detectadas y explotadas por equipos de operaciones clandestinas.These allow rules lead to a false sense of security and are frequently found and exploited by red teams.

Procedimiento recomendado: segmentar el mayor espacio de direcciones en las subredes.Best practice: Segment the larger address space into subnets.
Detalles: use los principios de subred basado en CIDR para crear las subredes.Detail: Use CIDR-based subnetting principles to create your subnets.

Procedimiento recomendado: crear controles de acceso de red entre subredes.Best practice: Create network access controls between subnets. El enrutamiento entre subredes se realizará automáticamente y no es necesario configurar manualmente las tablas de enrutamiento.Routing between subnets happens automatically, and you don't need to manually configure routing tables. Sin embargo, el valor predeterminado es que no hay ningún control de acceso a la red entre las subredes creadas una red de Azure Virtual Network.By default, there are no network access controls between the subnets that you create on an Azure virtual network.
Detalles: use un grupo de seguridad de red para protegerse del tráfico no solicitado en subredes de Azure.Detail: Use a network security group to protect against unsolicited traffic into Azure subnets. Los grupos de seguridad de red son dispositivos de inspección de paquetes con estado simple que utilizan el método tupla 5 (IP de origen, puerto de origen, dirección IP de destino, puerto de destino y el protocolo de nivel 4) para crear reglas de permiso o denegación del tráfico de la red.Network security groups are simple, stateful packet inspection devices that use the 5-tuple approach (source IP, source port, destination IP, destination port, and layer 4 protocol) to create allow/deny rules for network traffic. Puede permitir o denegar el tráfico hacia y desde una sola dirección IP, hacia y desde varias direcciones IP o, incluso, hacia y desde subredes enteras.You allow or deny traffic to and from a single IP address, to and from multiple IP addresses, or to and from entire subnets.

Al usar grupos de seguridad de red para controlar el acceso a la red entre subredes, puede establecer recursos que pertenezcan a la misma zona de seguridad o rol en sus propias subredes.When you use network security groups for network access control between subnets, you can put resources that belong to the same security zone or role in their own subnets.

Procedimiento recomendado: evitar el uso de redes virtuales y subredes pequeñas para garantizar la simplicidad y la flexibilidad.Best practice: Avoid small virtual networks and subnets to ensure simplicity and flexibility.
Detalles: la mayoría de las organizaciones agregan más recursos de lo planeado inicialmente, y volver a asignar direcciones requiere un esfuerzo enorme.Detail: Most organizations add more resources than initially planned, and re-allocating addresses is labor intensive. Si se usan subredes pequeñas, el valor de seguridad que se obtiene es limitado, y asignar un grupo de seguridad de red a cada subred supone una sobrecarga.Using small subnets adds limited security value, and mapping a network security group to each subnet adds overhead. Defina subredes amplias para asegurarse de que dispone de flexibilidad para crecer.Define subnets broadly to ensure that you have flexibility for growth.

Procedimiento recomendado: simplificar la administración de reglas de grupos de seguridad de red mediante la definición de grupos de seguridad de aplicaciones.Best practice: Simplify network security group rule management by defining Application Security Groups.
Detalles: defina un grupo de seguridad de aplicaciones para las listas de direcciones IP que crea que puedan cambiar en el futuro o que vayan a usarse en varios grupos de seguridad de red.Detail: Define an Application Security Group for lists of IP addresses that you think might change in the future or be used across many network security groups. Procure dar un nombre claro a los grupos de seguridad de aplicaciones para que otros comprendan su contenido y finalidad.Be sure to name Application Security Groups clearly so others can understand their content and purpose.

Adoptar un método de Confianza ceroAdopt a Zero Trust approach

Las redes basadas en el perímetro funcionan bajo el supuesto de que se puede confiar en todos los sistemas dentro de una red.Perimeter-based networks operate on the assumption that all systems within a network can be trusted. Sin embargo, los empleados de hoy en día acceden a los recursos de la organización desde cualquier lugar en una gran variedad de dispositivos y aplicaciones, lo que hace que los controles de seguridad perimetral sean irrelevantes.But today's employees access their organization's resources from anywhere on a variety of devices and apps, which makes perimeter security controls irrelevant. Las directivas de control de acceso que se centran únicamente en quién puede acceder a un recurso no son suficientes.Access control policies that focus only on who can access a resource are not enough. Para dominar el equilibrio entre seguridad y productividad, los administradores de seguridad también deben tener en cuenta el modo en que se accede a los recursos.To master the balance between security and productivity, security admins also need to factor in how a resource is being accessed.

Las redes deben evolucionar de las defensas tradicionales porque pueden ser vulnerables a diversas infracciones: un atacante puede poner en peligro un único punto de conexión dentro del límite de confianza y, tras ello, expandir rápidamente un punto de apoyo en toda la red.Networks need to evolve from traditional defenses because networks might be vulnerable to breaches: an attacker can compromise a single endpoint within the trusted boundary and then quickly expand a foothold across the entire network. Las redes de Confianza cero eliminan el concepto de confianza según la ubicación de red dentro de un perímetro.Zero Trust networks eliminate the concept of trust based on network location within a perimeter. En su lugar, las arquitecturas de Confianza cero usan notificaciones de confianza de usuario y dispositivo para obtener acceso a los datos y los recursos de la organización.Instead, Zero Trust architectures use device and user trust claims to gate access to organizational data and resources. En las nuevas iniciativas, adopte métodos de Confianza cero que validen la confianza en el momento del acceso.For new initiatives, adopt Zero Trust approaches that validate trust at the time of access.

Los procedimientos recomendados son:Best practices are:

Procedimiento recomendado: conceder acceso condicional a recursos en función del dispositivo, la identidad, la garantía, la ubicación de red y otros muchos aspectos.Best practice: Give Conditional Access to resources based on device, identity, assurance, network location, and more.
Detalles: el acceso condicional de Azure AD permite aplicar los controles de acceso adecuados poniendo en marcha decisiones de control de acceso automatizado según las condiciones necesarias.Detail: Azure AD Conditional Access lets you apply the right access controls by implementing automated access control decisions based on the required conditions. Para más información, vea Administración el acceso a la administración de Azure con acceso condicional.For more information, see Manage access to Azure management with Conditional Access.

Procedimiento recomendado: habilitar el acceso a los puertos solo tras la aprobación del flujo de trabajo.Best practice: Enable port access only after workflow approval.
Detalles: puede usar el acceso a VM Just-In-Time en Azure Security Center para bloquear el tráfico entrante a las VM de Azure, lo que reduce la exposición a ataques al mismo tiempo que proporciona un acceso sencillo para conectarse a las máquinas virtuales cuando sea necesario.Detail: You can use just-in-time VM access in Azure Security Center to lock down inbound traffic to your Azure VMs, reducing exposure to attacks while providing easy access to connect to VMs when needed.

Procedimiento recomendado: conceder permisos temporales para realizar tareas con privilegios, lo que impide que usuarios malintencionados o sin autorización obtengan acceso después de que el permiso haya expirado.Best practice: Grant temporary permissions to perform privileged tasks, which prevents malicious or unauthorized users from gaining access after the permissions have expired. El acceso se concede solo cuando los usuarios lo necesitan.Access is granted only when users need it.
Detalles: use el acceso Just-In-Time en Azure AD Privileged Identity Management o en una solución de terceros para conceder permisos para realizar tareas con privilegios.Detail: Use just-in-time access in Azure AD Privileged Identity Management or in a third-party solution to grant permissions to perform privileged tasks.

Confianza cero es la próxima evolución en seguridad de red.Zero Trust is the next evolution in network security. El estado de los ataques cibernéticos condiciona a las organizaciones a adquirir una mentalidad de "presunción de infracción", pero este método no debería limitar nada.The state of cyberattacks drives organizations to take the "assume breach" mindset, but this approach shouldn't be limiting. Las redes de Confianza cero protegen los recursos y los datos corporativos, al tiempo que garantizan que las organizaciones pueden crear un área de trabajo moderna mediante tecnologías que permiten a los empleados ser productivos en cualquier momento, lugar y modo.Zero Trust networks protect corporate data and resources while ensuring that organizations can build a modern workplace by using technologies that empower employees to be productive anytime, anywhere, in any way.

Control del comportamiento de enrutamientoControl routing behavior

Cuando coloca una máquina virtual en una instancia de Azure Virtual Network, observará que la máquina virtual puede conectarse a cualquier otra máquina virtual de la misma red virtual, incluso si las otras máquinas virtuales están en subredes diferentes.When you put a virtual machine on an Azure virtual network, the VM can connect to any other VM on the same virtual network, even if the other VMs are on different subnets. Esto es posible porque hay una colección de rutas del sistema que están habilitadas de forma predeterminada y que permiten este tipo de comunicación.This is possible because a collection of system routes enabled by default allows this type of communication. Estas rutas predeterminadas permiten que las máquinas virtuales de la misma red virtual inicien conexiones entre sí y con Internet (solo para comunicaciones salientes a Internet).These default routes allow VMs on the same virtual network to initiate connections with each other, and with the internet (for outbound communications to the internet only).

Si bien las rutas del sistema predeterminadas son útiles para muchos escenarios de implementación, habrá veces en las que preferirá personalizar la configuración de enrutamiento para las implementaciones.Although the default system routes are useful for many deployment scenarios, there are times when you want to customize the routing configuration for your deployments. Puede configurar la dirección del próximo salto para que acceda a destinos específicos.You can configure the next-hop address to reach specific destinations.

Igualmente le recomendamos que configure las rutas definidas por el usuario al implementar un dispositivo de seguridad para una red virtual.We recommend that you configure user-defined routes when you deploy a security appliance for a virtual network. Trataremos este punto más adelante en la sección dedicada a proteger los recursos de servicio de Azure críticos únicamente para las redes virtuales.We talk about this in a later section titled secure your critical Azure service resources to only your virtual networks.

Nota

Las rutas definidas por el usuario no son necesarias, y las rutas del sistema predeterminadas funcionan en la mayoría de lo casos.User-defined routes are not required, and the default system routes usually work.

Uso de aplicaciones de red virtualUse virtual network appliances

Los grupos de seguridad de red y el enrutamiento definido por el usuario pueden proporcionar un cierto grado de seguridad de red en las capas de red y de transporte del modelo OSI.Network security groups and user-defined routing can provide a certain measure of network security at the network and transport layers of the OSI model. Aún así, es posible que en algunas situaciones quiera o necesite habilitar la seguridad en los niveles altos de la pila.But in some situations, you want or need to enable security at high levels of the stack. En tales situaciones, se recomienda implementar aplicaciones de seguridad de la red virtual proporcionadas por asociados de Azure.In such situations, we recommend that you deploy virtual network security appliances provided by Azure partners.

Las aplicaciones de seguridad de la red de Azure pueden proporcionar niveles de seguridad mejorados que los que proporcionan los controles de nivel de red.Azure network security appliances can deliver better security than what network-level controls provide. Las funcionalidades de seguridad de red correspondientes a los dispositivos de seguridad de la red virtual incluyen:Network security capabilities of virtual network security appliances include:

  • FirewallsFirewalling
  • Detección y prevención de intrusionesIntrusion detection/intrusion prevention
  • Administración de vulnerabilidadesVulnerability management
  • Control de aplicacionesApplication control
  • Detección de anomalías basadas en la redNetwork-based anomaly detection
  • Filtrado de webWeb filtering
  • AntivirusAntivirus
  • Protección de redes de robots (botnets)Botnet protection

Para encontrar los dispositivos de seguridad de red virtual de Azure, vaya a Azure Marketplace y búsquelos mediante las palabras clave "seguridad" y "seguridad de red".To find available Azure virtual network security appliances, go to the Azure Marketplace and search for "security" and "network security."

Implementar redes perimetrales para las zonas de seguridadDeploy perimeter networks for security zones

Una red perimetral (también conocida como DMZ) es un segmento de red físico o lógico que está diseñado para proporcionar un nivel de seguridad adicional entre los recursos e Internet.A perimeter network (also known as a DMZ) is a physical or logical network segment that provides an additional layer of security between your assets and the internet. Los dispositivos de control de acceso de red especializados que se encuentran en el borde de una red perimetral solo permiten el tráfico deseado en la red virtual.Specialized network access control devices on the edge of a perimeter network allow only desired traffic into your virtual network.

Las redes perimetrales son útiles porque permiten centrar la administración, supervisión, registro y generación de informes sobre los dispositivos del control de acceso a la red en el borde de la instancia de Azure Virtual Network.Perimeter networks are useful because you can focus your network access control management, monitoring, logging, and reporting on the devices at the edge of your Azure virtual network. Una red perimetral es donde se suelen habilitar la prevención de denegación de servicio distribuido (DDoS), los sistemas de detección y prevención de intrusiones (IDS/IPS), las reglas y directivas de firewall, el filtrado web, el antimalware de la red, etc.A perimeter network is where you typically enable distributed denial of service (DDoS) prevention, intrusion detection/intrusion prevention systems (IDS/IPS), firewall rules and policies, web filtering, network antimalware, and more. Los dispositivos de seguridad de la red se sitúan entre Internet y la instancia de Azure Virtual Network, y tienen una interfaz en ambas redes.The network security devices sit between the internet and your Azure virtual network and have an interface on both networks.

Aunque este es el diseño básico de una red perimetral, existen muchos diseños diferentes, como la configuración opuesta, el triple alojamiento o el múltiple alojamiento.Although this is the basic design of a perimeter network, there are many different designs, like back-to-back, tri-homed, and multi-homed.

Según el concepto de Confianza cero mencionado anteriormente, se recomienda que considere la posibilidad de usar una red perimetral en todas las implementaciones de alta seguridad para mejorar el nivel de control de acceso y seguridad de red de los recursos de Azure.Based on the Zero Trust concept mentioned earlier, we recommend that you consider using a perimeter network for all high security deployments to enhance the level of network security and access control for your Azure resources. Puede usar Azure o una solución de terceros para proporcionar una capa extra de seguridad entre sus recursos e Internet:You can use Azure or a third-party solution to provide an additional layer of security between your assets and the internet:

  • Controles nativos de Azure.Azure native controls. Azure Firewall y el firewall de aplicaciones web de Application Gateway ofrecen una seguridad básica, con un firewall como servicio completo, alta disponibilidad integrada, escalabilidad sin restricciones en la nube, filtrado de FQDN, compatibilidad con el conjunto de reglas básicas OWASP y una instalación y configuración sencillos.Azure Firewall and the web application firewall in Application Gateway offer basic security with a fully stateful firewall as a service, built-in high availability, unrestricted cloud scalability, FQDN filtering, support for OWASP core rule sets, and simple setup and configuration.
  • Ofertas de terceros.Third-party offerings. Busque en Azure Marketplace un firewall de próxima generación y otras ofertas de terceros que proporcionen herramientas de seguridad conocidas y niveles de seguridad de red notablemente mejorados.Search the Azure Marketplace for next-generation firewall (NGFW) and other third-party offerings that provide familiar security tools and significantly enhanced levels of network security. La configuración podría ser más compleja, pero una oferta de terceros podría permitirle usar los conjuntos de habilidades y capacidades existentes.Configuration might be more complex, but a third-party offering might allow you to use existing capabilities and skillsets.

Muchas organizaciones han elegido la ruta de TI híbrida.Many organizations have chosen the hybrid IT route. Con la TI híbrida, algunos de los recursos de información de la compañía están en Azure, mientras que otros siguen siendo locales.With hybrid IT, some of the company's information assets are in Azure, and others remain on-premises. En muchos casos, algunos componentes de un servicio se ejecutan en Azure, mientras que otros componentes siguen siendo locales.In many cases, some components of a service are running in Azure while other components remain on-premises.

En un escenario de TI híbrida, suele haber algún tipo de conectividad entre locales.In a hybrid IT scenario, there is usually some type of cross-premises connectivity. Esta conectividad entre locales permite a la empresa conectar sus redes locales con las redes virtuales de Azure.Cross-premises connectivity allows the company to connect its on-premises networks to Azure virtual networks. Hay dos soluciones de conectividad entre locales:Two cross-premises connectivity solutions are available:

  • VPN de sitio a sitio.Site-to-site VPN. Es una tecnología de confianza y bien establecida, pero que realiza la conexión a través de Internet.It's a trusted, reliable, and established technology, but the connection takes place over the internet. Además, el ancho de banda está limitado a un máximo de aproximadamente 1,25 Gbps.Bandwidth is constrained to a maximum of about 1.25 Gbps. VPN de sitio a sitio es una opción conveniente en algunos escenarios.Site-to-site VPN is a desirable option in some scenarios.
  • Azure ExpressRoute.Azure ExpressRoute. se recomienda que use ExpressRoute para la conectividad entre locales.We recommend that you use ExpressRoute for your cross-premises connectivity. ExpressRoute le permite ampliar sus redes locales en la nube de Microsoft a través de una conexión privada que facilita un proveedor de conectividad.ExpressRoute lets you extend your on-premises networks into the Microsoft cloud over a private connection facilitated by a connectivity provider. Con ExpressRoute, se pueden establecer conexiones con servicios en la nube de Microsoft, como Azure, Office 365 y Dynamics 365.With ExpressRoute, you can establish connections to Microsoft cloud services like Azure, Office 365, and Dynamics 365. ExpressRoute es un vínculo de WAN dedicada entre su ubicación local o un proveedor de hospedaje de Microsoft Exchange.ExpressRoute is a dedicated WAN link between your on-premises location or a Microsoft Exchange hosting provider. Al tratarse de una conexión de telecomunicaciones, los datos no viajan a través de Internet y, por tanto, no se exponen a los posibles riesgos inherentes a este tipo de comunicaciones.Because this is a telco connection, your data doesn't travel over the internet, so it isn't exposed to the potential risks of internet communications.

La ubicación de la conexión de ExpressRoute puede afectar a la capacidad del firewall, la escalabilidad, la confiabilidad y la visibilidad del tráfico de red.The location of your ExpressRoute connection can affect firewall capacity, scalability, reliability, and network traffic visibility. Será necesario identificar dónde debe terminar ExpressRoute en las redes existentes (locales).You'll need to identify where to terminate ExpressRoute in existing (on-premises) networks. Puede:You can:

  • Terminarlo fuera del firewall (paradigma de red perimetral) si necesita visibilidad del tráfico, si tiene que seguir realizando un procedimiento de aislamiento de los centros de datos existentes o si solamente va a colocar recursos de extranet en Azure.Terminate outside the firewall (the perimeter network paradigm) if you require visibility into the traffic, if you need to continue an existing practice of isolating datacenters, or if you're solely putting extranet resources on Azure.
  • Terminarlo dentro del firewall (paradigma de extensión de red).Terminate inside the firewall (the network extension paradigm). Esta es la recomendación predeterminada.This is the default recommendation. En todos los demás casos, se recomienda tratar Azure como un centro de datos más.In all other cases, we recommend treating Azure as an nth datacenter.

Optimización del rendimiento y el tiempo de actividadOptimize uptime and performance

Si un servicio está inactivo, no puede accederse a la información.If a service is down, information can't be accessed. Si el rendimiento es tan bajo que no se pueden utilizar los datos, podemos considerar que los datos son inaccesibles.If performance is so poor that the data is unusable, you can consider the data to be inaccessible. Por lo tanto, desde una perspectiva de seguridad, necesitamos hacer todo lo posible para asegurarnos de que nuestros servicios tienen un rendimiento y un tiempo de actividad óptimos.From a security perspective, you need to do whatever you can to make sure that your services have optimal uptime and performance.

Un método popular y eficaz para mejorar la disponibilidad y el rendimiento es usar el equilibrio de carga.A popular and effective method for enhancing availability and performance is load balancing. El equilibrio de carga es un método para distribuir el tráfico de la red entre los servidores que forman parte de un servicio.Load balancing is a method of distributing network traffic across servers that are part of a service. Por ejemplo, si tiene servidores web front-end que forman parte de su servicio, puede usar el equilibrio de carga para distribuir el tráfico entre ellos.For example, if you have front-end web servers as part of your service, you can use load balancing to distribute the traffic across your multiple front-end web servers.

Esta distribución del tráfico aumenta la disponibilidad, ya que si uno de los servidores web deja de estar disponible, el equilibrio de carga deja de enviarle tráfico y lo redirige a los servidores que aún están en línea.This distribution of traffic increases availability because if one of the web servers becomes unavailable, the load balancer stops sending traffic to that server and redirects it to the servers that are still online. El equilibrio de carga también mejora el rendimiento, ya que la sobrecarga del procesador, la red y la memoria para atender a las solicitudes se distribuye entre todos los servidores con carga equilibrada.Load balancing also helps performance, because the processor, network, and memory overhead for serving requests is distributed across all the load-balanced servers.

Se recomienda usar el equilibrio de carga siempre que se pueda y, según sea adecuado para los servicios.We recommend that you employ load balancing whenever you can, and as appropriate for your services. Estos son los escenarios en el nivel de Azure Virtual Network y el nivel global, junto con las opciones de equilibrio de carga para cada uno.Following are scenarios at both the Azure virtual network level and the global level, along with load-balancing options for each.

Escenario: ahora tiene una aplicación que:Scenario: You have an application that:

  • Requiere solicitudes de la misma sesión de usuario o cliente para llegar a la misma máquina virtual de back-end.Requires requests from the same user/client session to reach the same back-end virtual machine. Ejemplos de esto serían las aplicaciones del carro de la compra y los servidores de correo web.Examples of this are shopping cart apps and web mail servers.
  • Como solo acepta una conexión segura, la comunicación sin cifrar con los servidores no es una opción aceptable.Accepts only a secure connection, so unencrypted communication to the server is not an acceptable option.
  • Es necesario que varias solicitudes HTTP en la misma conexión TCP de ejecución prolongada se enruten a servidores de back-end diferentes o su carga se equilibre entre estos.Requires multiple HTTP requests on the same long-running TCP connection to be routed or load balanced to different back-end servers.

Opción de equilibrio de carga: use Azure Application Gateway, que es un equilibrador de carga del tráfico de web HTTP.Load-balancing option: Use Azure Application Gateway, an HTTP web traffic load balancer. Application Gateway admite el cifrado TLS de un extremo a otro y la terminación TLS en la puerta de enlace.Application Gateway supports end-to-end TLS encryption and TLS termination at the gateway. A continuación, los servidores web pueden librarse de la sobrecarga de cifrado y descifrado y del tráfico que fluye sin encriptar a los servidores de back-end.Web servers can then be unburdened from encryption and decryption overhead and traffic flowing unencrypted to the back-end servers.

Escenario: es necesario equilibrar la carga de las conexiones entrantes de Internet entre los servidores situados en una instancia de Azure Virtual Network.Scenario: You need to load balance incoming connections from the internet among your servers located in an Azure virtual network. Los escenarios surgen cuando:Scenarios are when you:

  • Tiene aplicaciones sin estado que acepten solicitudes entrantes de Internet.Have stateless applications that accept incoming requests from the internet.
  • No se requieren sesiones permanentes o descargas de TLS.Don't require sticky sessions or TLS offload. Las sesiones temporales son un método que se usa con el equilibrio de carga de la aplicación, para lograr la afinidad del servidor.Sticky sessions is a method used with Application Load Balancing, to achieve server-affinity.

Opción de equilibrio de carga: use Azure Portal para crear un equilibrador de carga externo que distribuya las solicitudes entrantes entre varias máquinas virtuales para proporcionar un mayor nivel de disponibilidad.Load-balancing option: Use the Azure portal to create an external load balancer that spreads incoming requests across multiple VMs to provide a higher level of availability.

Escenario: tendrá que equilibrar la carga de las conexiones de las máquinas virtuales que no estén en Internet.Scenario: You need to load balance connections from VMs that are not on the internet. En la mayoría de los casos, los dispositivos se encargan de iniciar en una instancia de Azure Virtual Network las conexiones que se aceptan para el equilibrio de carga, como instancias de SQL Server o servidores web internos.In most cases, the connections that are accepted for load balancing are initiated by devices on an Azure virtual network, such as SQL Server instances or internal web servers.
Opción de equilibrio de carga: use Azure Portal para crear un equilibrador de carga interno que distribuya las solicitudes entrantes entre varias máquinas virtuales para proporcionar un mayor nivel de disponibilidad.Load-balancing option: Use the Azure portal to create an internal load balancer that spreads incoming requests across multiple VMs to provide a higher level of availability.

Escenario: necesita conseguir un equilibrio de carga global ya que:Scenario: You need global load balancing because you:

  • Tiene una solución en la nube que se distribuye ampliamente en varias regiones y requiere el nivel más alto de tiempo de actividad (o disponibilidad) posible.Have a cloud solution that is widely distributed across multiple regions and requires the highest level of uptime (availability) possible.
  • Necesita el nivel más alto de tiempo de actividad para asegurarse de que el servicio está disponible incluso si todo un centro de datos deja de funcionar.Need the highest level of uptime possible to make sure that your service is available even if an entire datacenter becomes unavailable.

Opción de equilibrio de carga: use Azure Traffic Manager.Load-balancing option: Use Azure Traffic Manager. Traffic Manager le permite equilibrar la carga de las conexiones a los servicios, en función de la ubicación del usuario.Traffic Manager makes it possible to load balance connections to your services based on the location of the user.

Por ejemplo, si el usuario realiza una solicitud a su servicio desde la Unión Europea, la conexión se dirige a los servicios situados en un centro de datos de la Unión Europea.For example, if the user makes a request to your service from the EU, the connection is directed to your services located in an EU datacenter. Esta parte del equilibrio de carga global del Administrador de tráfico ayuda a mejorar el rendimiento, ya que la conexión al centro de datos más cercano es más rápida que a los centros de datos que están lejos.This part of Traffic Manager global load balancing helps to improve performance because connecting to the nearest datacenter is faster than connecting to datacenters that are far away.

Deshabilitar el acceso RDP/SSH a las máquinas virtualesDisable RDP/SSH Access to virtual machines

Es posible acceder a Azure Virtual Machines mediante Escritorio remoto (RDP) y el protocolo Secure Shell (SSH).It's possible to reach Azure virtual machines by using Remote Desktop Protocol (RDP) and the Secure Shell (SSH) protocol. Estos protocolos le permiten administrar máquinas virtuales desde ubicaciones remotas y son los protocolos estándar que se usan en el procesamiento de los centros de datos.These protocols enable the management VMs from remote locations and are standard in datacenter computing.

El posible problema de seguridad al usar estos protocolos a través de Internet, es que los atacantes pueden utilizar diversas técnicas de fuerza bruta para obtener acceso a Azure Virtual Machines.The potential security problem with using these protocols over the internet is that attackers can use brute force techniques to gain access to Azure virtual machines. Una vez que los atacantes obtienen acceso, pueden utilizar la máquina virtual como punto de inicio para poner en peligro otros equipos de la red virtual o incluso atacar dispositivos en red fuera de Azure.After the attackers gain access, they can use your VM as a launch point for compromising other machines on your virtual network or even attack networked devices outside Azure.

Por este motivo, se recomienda deshabilitar el acceso directo de RDP y SSH a Azure Virtual Machines desde Internet.We recommend that you disable direct RDP and SSH access to your Azure virtual machines from the internet. Cuando se deshabilita el acceso directo de RDP y SSH desde Internet, tiene otras opciones que puede utilizar para acceder a estas máquinas virtuales y así administrarlas de forma remota.After direct RDP and SSH access from the internet is disabled, you have other options that you can use to access these VMs for remote management.

Escenario: habilite una conexión de un solo usuario a una instancia de Azure Virtual Network a través de Internet.Scenario: Enable a single user to connect to an Azure virtual network over the internet.
Opción: VPN de punto a sitio es otro término para una conexión cliente/servidor de VPN con acceso remoto.Option: Point-to-site VPN is another term for a remote access VPN client/server connection. Una vez establecida la conexión de punto a sitio, el usuario podrá usar RDP o SSH para conectarse a cualquier máquina virtual situada en la instancia de Azure Virtual Network a la que el usuario se conectó mediante la VPN de punto a sitio.After the point-to-site connection is established, the user can use RDP or SSH to connect to any VMs located on the Azure virtual network that the user connected to via point-to-site VPN. Con esto, se supone que el usuario tiene permiso para obtener acceso a dichas máquinas virtuales.This assumes that the user is authorized to reach those VMs.

La VPN de punto a sitio es más segura que las conexiones de RDP o SSH directas, ya que el usuario tiene que autenticarse dos veces antes de conectarse a una máquina virtual.Point-to-site VPN is more secure than direct RDP or SSH connections because the user has to authenticate twice before connecting to a VM. En primer lugar, el usuario debe autenticarse (y ser autorizado) para poder establecer la conexión VPN de punto a sitio.First, the user needs to authenticate (and be authorized) to establish the point-to-site VPN connection. En segundo lugar, el usuario debe autenticarse (y ser autorizado) para poder establecer la sesión RDP o SSH.Second, the user needs to authenticate (and be authorized) to establish the RDP or SSH session.

Escenario: permitir que los usuarios de la red local se conecten a máquinas virtuales en Azure Virtual Network.Scenario: Enable users on your on-premises network to connect to VMs on your Azure virtual network.
Opción: una VPN de sitio a sitio conecta toda una red a otra a través de Internet.Option: A site-to-site VPN connects an entire network to another network over the internet. Puede usar una VPN de sitio a sitio para conectar su red local a una instancia de Azure Virtual Network.You can use a site-to-site VPN to connect your on-premises network to an Azure virtual network. Los usuarios de su red local se pueden conectar mediante el protocolo RDP o SSH, a través de la conexión VPN de sitio a sitio.Users on your on-premises network connect by using the RDP or SSH protocol over the site-to-site VPN connection. No debe permitir el acceso directo de RDP o SSH a través de Internet.You don't have to allow direct RDP or SSH access over the internet.

Escenario: use un vínculo WAN dedicado para ofrecer una funcionalidad similar a la VPN de sitio a sitio.Scenario: Use a dedicated WAN link to provide functionality similar to the site-to-site VPN.
Opción: use ExpressRoute.Option: Use ExpressRoute. Proporciona funcionalidades similares a la VPN de sitio a sitio.It provides functionality similar to the site-to-site VPN. Las principales diferencias son:The main differences are:

  • El vínculo WAN dedicado no recorre Internet.The dedicated WAN link doesn't traverse the internet.
  • Los vínculos WAN dedicados suelen ser más estables y eficaces.Dedicated WAN links are typically more stable and perform better.

Proteja los recursos de servicio de Azure críticos únicamente en las redes virtualesSecure your critical Azure service resources to only your virtual networks

Use los puntos de conexión de servicio de red virtual para extender el espacio de direcciones privadas de la red virtual y la identidad de la red virtual a los servicios de Azure, a través de una conexión directa.Use virtual network service endpoints to extend your virtual network private address space, and the identity of your virtual network to the Azure services, over a direct connection. Los puntos de conexión permiten proteger los recursos de servicio de Azure críticos únicamente para las redes virtuales.Endpoints allow you to secure your critical Azure service resources to only your virtual networks. El tráfico desde la red virtual al servicio de Azure siempre permanece en la red troncal de Microsoft Azure.Traffic from your virtual network to the Azure service always remains on the Microsoft Azure backbone network.

Los puntos de conexión de servicio proporcionan las siguientes ventajas:Service endpoints provide the following benefits:

  • Seguridad mejorada para los recursos de servicio de Azure: Con los puntos de conexión de servicio, se pueden proteger los recursos del servicio de Azure para la red virtual.Improved security for your Azure service resources: With service endpoints, Azure service resources can be secured to your virtual network. Si protege los recursos del servicio en una red virtual, mejorará la seguridad al quitar totalmente el acceso público a través de Internet a estos recursos y al permitir el tráfico solo desde la red virtual.Securing service resources to a virtual network provides improved security by fully removing public internet access to resources, and allowing traffic only from your virtual network.

  • Enrutamiento óptimo para el tráfico del servicio de Azure desde la red virtual: las rutas de la red virtual que fuerzan el tráfico de Internet a las aplicaciones virtuales o locales, conocidas como tunelización forzada, también fuerzan el tráfico del servicio de Azure para realizar la misma ruta que el tráfico de Internet.Optimal routing for Azure service traffic from your virtual network: Any routes in your virtual network that force internet traffic to your on-premises and/or virtual appliances, known as forced tunneling, also force Azure service traffic to take the same route as the internet traffic. Los puntos de conexión de servicio proporcionan un enrutamiento óptimo al tráfico de Azure.Service endpoints provide optimal routing for Azure traffic.

    Los puntos de conexión siempre toman el tráfico del servicio directamente de la red virtual al servicio en la red troncal de Azure.Endpoints always take service traffic directly from your virtual network to the service on the Azure backbone network. Si mantiene el tráfico en la red troncal de Azure, podrá seguir auditando y supervisando el tráfico saliente de Internet desde las redes virtuales, a través de la tunelización forzada, sin que ello afecte al tráfico del servicio.Keeping traffic on the Azure backbone network allows you to continue auditing and monitoring outbound internet traffic from your virtual networks, through forced tunneling, without affecting service traffic. Obtenga más información sobre las rutas definidas por el usuario y la tunelización forzada.Learn more about user-defined routes and forced tunneling.

  • Fácil de configurar con menos sobrecarga de administración: ya no necesita direcciones IP públicas y reservadas en sus redes virtuales para proteger los recursos de Azure a través de una dirección IP del firewall.Simple to set up with less management overhead: You no longer need reserved, public IP addresses in your virtual networks to secure Azure resources through an IP firewall. No hay ningún dispositivo NAT o de puerta de enlace necesario para configurar los puntos de conexión de servicio.There are no NAT or gateway devices required to set up the service endpoints. Los puntos de conexión de servicio se pueden configurar con un simple clic en una subred.Service endpoints are configured through a simple click on a subnet. No hay sobrecarga adicional para mantener los puntos de conexión.There is no additional overhead to maintain the endpoints.

Para obtener más información sobre los puntos de conexión de servicio y sobre los servicios de Azure y las regiones en las que están disponibles los puntos de conexión de servicio, consulte Puntos de conexión de servicio de red virtual.To learn more about service endpoints and the Azure services and regions that service endpoints are available for, see Virtual network service endpoints.

Pasos siguientesNext steps

Consulte Patrones y procedimientos recomendados de seguridad en Azure para obtener más procedimientos recomendados de seguridad que pueda aplicar cuando diseñe, implemente y administre las soluciones en la nube mediante Azure.See Azure security best practices and patterns for more security best practices to use when you're designing, deploying, and managing your cloud solutions by using Azure.