Protección de la red

La protección de la red frente a los ataques cibernéticos y el acceso no autorizado es una parte importante de cualquier arquitectura. En esta sección examinaremos cómo es la seguridad de red, cómo se integra un enfoque en capas con la arquitectura y cómo puede ayudarle Azure a proporcionar seguridad de red para su entorno.

Una estrategia en capas para la seguridad de red

Seguramente haya observado que un hilo común en este módulo ha sido el énfasis en adoptar una estrategia en capas para la seguridad, y esto no es diferente en la capa de red. No basta con centrarse en proteger el perímetro de red o en focalizar los esfuerzos en la seguridad de red entre los servicios dentro de una red. Una estrategia en capas proporciona varios niveles de protección, por lo que si un atacante atraviesa una capa, se dispone de más protecciones para limitar ataques posteriores.

Echemos un vistazo a cómo Azure puede proporcionar las herramientas para una estrategia en capas orientada a la protección de la superficie de red.

Imagen que representa Internet seguro

Protección de Internet

Si comenzamos por el perímetro de la red, nos centramos en limitar y eliminar los ataques que proceden de Internet. En primer lugar, se recomienda evaluar los recursos accesibles desde Internet y permitir solo la comunicación entrante y saliente cuando sea necesario. Asegúrese de identificar todos los recursos que permiten el tráfico de red entrante de cualquier tipo, y luego asegúrese de que estén restringidos solo a los puertos y protocolos necesarios. Azure Security Center es un excelente lugar para buscar esta información, ya que identifica los recursos accesibles desde Internet que no tienen grupos de seguridad de red asociados, así como los recursos que no están protegidos detrás de un firewall.

¿Qué es un firewall?

Un firewall es un servicio que otorga acceso a un servidor según la dirección IP de origen de cada solicitud. Con las reglas de firewall se especifican intervalos de direcciones IP. Solo los clientes de estas direcciones IP especificadas podrán tener acceso al servidor. Por lo general, las reglas de firewall también incluyen información específica de puertos y protocolos de red.

Para proporcionar protección de entrada en el perímetro, dispone de varias opciones.

  • Azure Firewall es un servicio de seguridad de red administrado y basado en la nube que protege los recursos de Azure Virtual Network. Se trata de un firewall como servicio con estado completo que incorpora alta disponibilidad y escalabilidad a la nube sin restricciones. Azure Firewall proporciona protección entrante para protocolos no HTTP/S. Los ejemplos de protocolos no HTTP/S incluyen: Protocolo de escritorio remoto (RDP), Secure Shell (SSH) y Protocolo de transferencia de archivos (FTP). Además, proporciona protección de salida de nivel de red para todos los puertos y protocolos, y protección de nivel de aplicación para HTTP/S saliente.

  • Azure Application Gateway es un equilibrador de carga que incluye un firewall de aplicaciones web (WAF) que ofrece protección frente a vulnerabilidades comunes conocidas de sitios web. Está específicamente diseñado para proteger el tráfico HTTP.

  • Las aplicaciones virtuales de red (NVA) son una opción ideal para los servicios no HTTP o para configuraciones avanzadas, y son similares a las aplicaciones de firewall de hardware.

Bloqueo de ataques de denegación de servicio distribuido (DDoS)

Cualquier recurso expuesto a Internet está en riesgo de sufrir un ataque por denegación de servicio. Estos tipos de ataques intentan sobrecargar un recurso de red mediante el envío de tantas solicitudes que el recurso se vuelve lento o deja de responder.

Al combinar Azure DDoS Protection con los procedimientos recomendados de diseño de aplicaciones, contribuye a la defensa frente a los ataques DDoS. DDoS Protection aprovecha la escala y la elasticidad de la red global de Microsoft para incorporar capacidad de mitigación DDoS a cada región de Azure. El servicio Azure DDoS Protection protege las aplicaciones de Azure al supervisar el tráfico en el borde de red de Azure antes de que afecte a la disponibilidad del servicio. En un intervalo de pocos minutos tras la detección del ataque, recibe una notificación mediante métricas de Azure Monitor.

Este diagrama muestra el tráfico de red que llega a Azure de los clientes y un atacante. La protección contra DDoS de Azure identifica el intento del atacante de sobrecargar la red y evita que más tráfico llegue a los servicios de Azure. El tráfico legítimo de los clientes sigue llegando a Azure sin ninguna interrupción del servicio.

Ilustración que muestra la protección de Azure DDoS instalada entre la red virtual y las solicitudes de usuario externas Azure DDoS Protection bloquea los ataques de tráfico malintencionados pero reenvía el tráfico legítimo al destino previsto.

Azure DDoS Protection proporciona los siguientes niveles de servicio:

  • Básico. El servicio Básico está habilitado de forma automática como parte de la plataforma Azure. La supervisión continua de tráfico y la mitigación en tiempo real de ataques de nivel de red comunes ofrecen la misma defensa que usan los servicios en línea de Microsoft. La red global de Azure se usa para distribuir y mitigar el tráfico de ataques en las distintas regiones.
  • Estándar. El nivel Estándar ofrece funcionalidades adicionales de mitigación adaptadas específicamente a los recursos de Microsoft Azure Virtual Network. DDoS Protection estándar es fácil de habilitar y no requiere ningún cambio en la aplicación. Las directivas de protección se ajustan mediante algoritmos de supervisión del tráfico y aprendizaje automático. Las directivas se aplican a direcciones IP públicas asociadas a recursos implementados en redes virtuales, como Azure Load Balancer y Application Gateway. La protección estándar frente a DDoS puede mitigar los tipos de ataques siguientes:
    • Ataques volumétricos. El objetivo del atacante es desbordar la capa de red con una gran cantidad de tráfico aparentemente legítimo.
    • Ataques de protocolo. Estos ataques vuelven un destino inaccesible al aprovechar una vulnerabilidad en la pila de protocolo de capa 3 y 4.
    • Ataques de nivel de recurso (aplicación). Estos ataques van dirigidos a paquetes de aplicaciones web para interrumpir la transmisión de datos entre hosts.

Control del tráfico dentro de la red virtual

Imagen que representa una red virtual segura

Seguridad de red virtual

Una vez dentro de una red virtual (VNet), es fundamental que limite la comunicación entre los recursos a solo la imprescindible.

En la comunicación entre las máquinas virtuales, los grupos de seguridad de red (NSG) son una pieza fundamental para restringir las comunicaciones innecesarias.

Un grupo de seguridad de red permite filtrar el tráfico de red hacia y desde los recursos de Azure de una red virtual de Azure. Un NSG puede contener varias reglas de seguridad entrantes y salientes que permiten filtrar el tráfico de y a los recursos por dirección IP de origen y destino, puerto y protocolo. Proporcionan una lista de comunicaciones permitidas y denegadas hacia y desde las interfaces de red y las subredes, y son totalmente personalizables.

Puede quitar completamente el acceso público a Internet de los servicios. Para ello debe restringir el acceso a los puntos de conexión de servicio. Con los puntos de conexión de servicio, el acceso a los servicios de Azure se puede limitar a la red virtual.

Imagen que representa una red segura

Integración de red

Es habitual disponer ya de una infraestructura de red que debe integrarse para proporcionar comunicación desde las redes locales o para proporcionar una comunicación mejorada entre los servicios de Azure. Existen varias maneras clave de administrar esta integración y mejorar la seguridad de la red.

Las conexiones de red privada virtual (VPN) son una manera habitual de establecer canales de comunicación segura entre las redes. La conexión entre Microsoft Azure Virtual Network y un dispositivo de VPN local es una excelente manera de proporcionar una comunicación segura entre su red y su red virtual en Azure.

Para proporcionar una conexión privada dedicada entre una red y Azure, se puede usar Azure ExpressRoute. ExpressRoute permite ampliar las redes locales a la nube de Microsoft a través de una conexión privada que facilita un proveedor de conectividad. Con ExpressRoute, se pueden establecer conexiones con servicios en la nube de Microsoft, como Microsoft Azure, Office 365 y Dynamics 365. Así, se mejora la seguridad de la comunicación local al enviar este tráfico a través del circuito privado en lugar de hacerlo a través de la red pública de Internet. No es preciso permitir que los usuarios finales accedan a estos servicios a través de la red pública de Internet, y puede enviar este tráfico a través de aplicaciones, lo que mejora la inspección del tráfico.

Resumen

Un enfoque en capas para la seguridad de la red ayuda a reducir el riesgo de exposición a ataques basados en la red. Azure proporciona varios servicios y funcionalidades para proteger los recursos accesibles desde Internet, los recursos internos y la comunicación entre redes locales. Estas características permiten la creación de soluciones seguras en Azure.

También puede combinar varios servicios de redes y seguridad de Azure para administrar la seguridad de red y proporcionar mayor protección por capas. Por ejemplo, puede usar Azure Firewall para proteger el tráfico de Internet entrante y saliente, y los grupos de seguridad de red para limitar el tráfico a los recursos dentro de las redes virtuales.