Independencia y seguridad de la redNetwork security and containment

La seguridad de la red ha sido el eje tradicional de los esfuerzos de seguridad de la empresa.Network security has been the traditional lynchpin of enterprise security efforts. Sin embargo, la informática en la nube ha aumentado el requisito de que los perímetros de red sean más porosos, y muchos atacantes han dominado el arte de los ataques en elementos del sistema de identidad (que casi siempre omiten los controles de red).However, cloud computing has increased the requirement for network perimeters to be more porous and many attackers have mastered the art of attacks on identity system elements (which nearly always bypass network controls). Estos factores han aumentado la necesidad de centrarse principalmente en los controles de acceso basados en identidad para proteger los recursos en lugar de los controles de acceso basados en red.These factors have increased the need to focus primarily on identity-based access controls to protect resources rather than network-based access controls.

Esto reduce el rol de los controles de seguridad de la red, pero no los elimina por completo.These do diminish the role of network security controls, but do not eliminate it entirely. Aunque la seguridad de red ya no es el enfoque principal para proteger los recursos basados en la nube, sigue siendo una prioridad máxima para la cartera grande de activos heredados (que se crearon con la suposición de que se había implementado un perímetro basado en firewall de red).While network security is no longer the primary focus for securing cloud-based assets, it is still a top priority for the large portfolio of legacy assets (which were built with the assumption that a network firewall-based perimeter was in place). Muchos atacantes siguen empleando métodos de detección y aprovechamiento en intervalos IP de proveedor en la nube pública, gracias a lo cual penetran correctamente en las defensas de aquellos que no siguen la higiene básica de seguridad de la red.Many attackers still employ scanning and exploit methods across public cloud provider IP ranges, successfully penetrating defenses for those who don’t follow basic network security hygiene. Los controles de seguridad de la red también proporcionan un elemento de defensa en profundidad para la estrategia que ayuda a proteger, detectar, contener y expulsar a los atacantes que logran llegar a las implementaciones en la nube.Network security controls also provide a defense-in-depth element to your strategy that help protect, detect, contain, and eject attackers who make their way into your cloud deployments.

En la categoría de independencia y seguridad de la red, tenemos los siguientes procedimientos recomendados:In the category of network security and containment, we have the following best practice recommendations:

  • Alinear la segmentación de red con la estrategia generalAlign network segmentation with overall strategy

  • Centralizar la administración de redes y la seguridadCentralize network management and security

  • Crear una estrategia de independencia de redBuild a network containment strategy

  • Definir una estrategia perimetral de InternetDefine an internet edge strategy

Centralizar la administración de redes y la seguridadCentralize network management and security

Centralice la responsabilidad de la organización para la administración y la seguridad de las funciones de red principales, como los vínculos entre locales, las redes virtuales, las subredes y los esquemas de direcciones IP, así como los elementos de seguridad de red, como los dispositivos de red virtual, el cifrado de la actividad de red virtual en la nube y el tráfico entre locales, así como otros componentes tradicionales de seguridad de red.Centralize the organizational responsibility for management and security of core networking functions such as cross-premises links, virtual networking, subnetting, and IP address schemes as well as network security elements such as virtual network appliances, encryption of cloud virtual network activity and cross-premises traffic, network-based access controls, and other traditional network security components.

Al centralizar la seguridad y administración de redes, se reduce la posibilidad de que se produzcan estrategias incoherentes que creen posibles riesgos de seguridad que los atacantes puedan aprovechar.When you centralize network management and security you reduce the potential for inconsistent strategies that can create potential attacker exploitable security risks. Dado que todas las divisiones de las organizaciones de desarrollo y TI no tienen el mismo nivel de conocimiento y sofisticación sobre la seguridad y la administración de redes, las organizaciones se benefician del aprovechamiento de las herramientas y los conocimientos de un equipo de red centralizado.Because all divisions of the IT and development organizations do not have the same level of network management and security knowledge and sophistication, organizations benefit from leveraging a centralized network team’s expertise and tooling.

Azure Security Center se puede usar para ayudar a centralizar la administración de seguridad de la red.Azure Security Center can be used to help centralize the management of network security.

Alineación de la segmentación de red con la estrategia de segmentación empresarialAlign network segmentation with enterprise segmentation strategy

Alinee el modelo de segmentación de la red con el de la empresa para su organización (definida en la sección Gobernanza, riesgo y cumplimiento).Align your network segmentation model with the enterprise segmentation model for your organization (defined in Governance, Risk, and Compliance section).

Esto reducirá la confusión y los desafíos resultantes con distintos equipos técnicos (redes, identidades, aplicaciones, etc.), cada uno de los cuales desarrolla sus propios modelos de segmentación y delegación que no se alinean entre sí.This will reduce confusion and resulting challenges with different technical teams (networking, identity, applications, etc.) each developing their own segmentation and delegation models that don’t align with each other. Esto conduce a una estrategia de seguridad sencilla y unificada, que ayuda a reducir el número de errores debido a un error humano y a la incapacidad de aumentar la confiabilidad a través de la automatización.This leads to a straightforward and unified security strategy, which helps reduce the number of errors due to human error and inability to increase reliability through automation.

Compare las imágenes en Independencia y seguridad de la red.Please compare images in Network security and containment.

imagen que muestra la arquitectura de red de la infraestructura en la nube híbrida

Mejorar la seguridad más allá de los controles de redEvolve security beyond network controls

Asegúrese de que los controles técnicos puedan evitar, detectar y responder de manera eficaz a las amenazas fuera de las redes que usted controla.Ensure technical controls can effectively prevent, detect, and respond to threats outside the networks you control.

A medida que las organizaciones cambien a arquitecturas modernas, el acceso a muchos servicios y componentes necesarios para las aplicaciones será a través de Internet o en redes de proveedores en la nube, a menudo mediante dispositivos móviles o fuera de la red.As organizations shift to modern architectures, many services and components required for applications will be accessed over the internet or on cloud provider networks, often by mobile and other devices off the network. Los controles de red tradicionales basados en un enfoque de "intranet de confianza" no podrán proporcionar de forma eficaz garantías de seguridad para estas aplicaciones.Traditional network controls based on a “trusted intranet” approach will not be able to effectively provide security assurances for these applications. Este panorama cambiante se ha capturado bien mediante los principios documentados en los enfoques del Foro de Jericó y "Confianza cero".This shifting landscape is captured well by principles documented by the Jericho Forum and ‘Zero Trust’ approaches.

Cree una estrategia de contención de riesgos basada en una combinación de controles de red y aplicaciones, identidad y otros tipos de control.Build a risk containment strategy based on a combination of network controls and application, identity, and other control types.

  • Asegúrese de que el grupo de recursos y los privilegios administrativos se alineen con el modelo de segmentación (consulte la imagen XXXX).Ensure that resource grouping and administrative privileges align to the segmentation model (see figure XXXX)

  • Asegúrese de que está diseñando controles de seguridad que identifican y permiten el tráfico esperado, las solicitudes de acceso y otras comunicaciones de aplicaciones entre segmentos.Ensure you are designing security controls that identify and allow expected traffic, access requests, and other application communications between segments. Supervise las comunicaciones entre segmentos para identificar cualquier comunicación inesperada, de modo que pueda investigar si quiere establecer alertas o bloquear el tráfico para mitigar el riesgo de que los adversarios crucen los límites de la segmentación.Monitor communications between segments to identify on any unexpected communications so you can investigate whether to set alerts or block traffic to mitigate risk of adversaries crossing segmentation boundaries.

Creación de una estrategia de independencia de seguridadBuild a security containment strategy

Cree una estrategia de contención de riesgos que combine enfoques comprobados, como:Create a risk containment strategy that blends proven approaches including:

  • Controles y prácticas de seguridad de red existentesExisting network security controls and practices

  • Controles de seguridad nativos disponibles en AzureNative security controls available in Azure

  • Enfoques de Confianza ceroZero trust approaches

La independencia de los vectores de ataque dentro de un entorno es fundamental.Containment of attack vectors within an environment is critical. Sin embargo, para ser efectivo en entornos de la nube, los enfoques tradicionales pueden resultar inadecuados y las organizaciones de seguridad necesitan mejorar sus métodos.However, in order to be effective in cloud environments, traditional approaches may prove inadequate and security organizations need to evolve their methods.

  • La coherencia de los controles en la infraestructura local y en la nube es importante, pero las defensas son más efectivas y controlables cuando se aprovechan las capacidades nativas proporcionadas por un proveedor de servicios en la nube, enfoques dinámicos Just-In-Time (JIT) y controles integrados de identidad y contraseñas, como los recomendados por los enfoques de Confianza cero y validación continua.Consistency of controls across on-premises and cloud infrastructure is important, but defenses are more effective and manageable when leveraging native capabilities provided by a cloud service provider, dynamic just-in-time (JIT) approaches, and integrated identity and password controls, such as those recommended by zero trust/continuous validation approaches.

  • Un procedimiento recomendado de seguridad de la red es asegurarse de que hay controles de acceso a la red entre las construcciones de red.A network security best practice is to make sure there are network access controls between network constructs. Estas construcciones pueden representar redes virtuales o subredes dentro de dichas redes.These constructs can represent virtual networks, or subnets within those virtual networks. Esto funciona para proteger y contener el tráfico horizontal de derecha a izquierda dentro de la infraestructura de red en la nube.This works to protect and contain East-West traffic within your cloud network infrastructure.

  • Una decisión importante sobre el diseño de seguridad de la red es usar o no firewalls basados en host.An important network security design decision is to use or not use host-based firewalls. Los firewalls basados en host admiten una estrategia detallada de defensa exhaustiva.Host-based firewalls support a comprehensive defense in-depth strategy. Sin embargo, para ser de mayor utilidad, se requiere una sobrecarga de administración significativa.However, to be of most use they require significant management overhead. Si su organización los ha encontrado eficaces para ayudarle a proteger y detectar amenazas en el pasado, considere la posibilidad de usarlos para los recursos basados en la nube.If your organization has found them effective in helping you protect and discover threats in the past, you might consider using them for your cloud-based assets. Si detecta que no ha agregado un valor significativo, interrumpa su uso y explore las soluciones nativas de la plataforma de su proveedor de servicios en la nube que ofrezcan un valor similar.If you discover that they have not added significant value, discontinue their use and explore native solutions on your cloud service provider’s platform that deliver similar value.

Una recomendación de procedimientos recomendados mejorados consiste en adoptar una estrategia de Confianza cero basada en las identidades del usuario, el dispositivo y la aplicación.An evolving emerging best practice recommendation is to adopt a Zero Trust strategy based on user, device, and application identities. A diferencia de los controles de acceso a la red que se basan en elementos como la dirección IP de origen y de destino, los protocolos y los números de puerto, la Confianza cero exige y valida el control de acceso en "tiempo de acceso".In contrast to network access controls that are based on elements such as source and destination IP address, protocols, and port numbers, Zero Trust enforces and validates access control at “access time”. Esto evita la necesidad de reproducir un juego de predicción para toda una implementación, red o subred: solo el recurso de destino debe proporcionar los controles de acceso necesarios.This avoids the need to play a prediction game for an entire deployment, network, or subnet – only the destination resource needs to provide the necessary access controls.

  • Los grupos de seguridad de red de Azure se pueden usar para los controles de acceso básicos de nivel 3 y 4, entre las redes virtuales de Azure, sus subredes e Internet.Azure Network Security Groups can be used for basic layer 3 & 4 access controls between Azure Virtual Networks, their subnets, and the Internet.

  • Azure Web Application Firewall y Azure Firewall se pueden usar para controles de acceso a red más avanzados que requieren compatibilidad con el nivel de aplicación.Azure Web Application Firewall and the Azure Firewall can be used for more advanced network access controls that require application layer support.

  • La solución de contraseña de administrador local (LAPS) o una instancia de terceros de Privileged Access Management pueden establecer contraseñas de administrador local seguras y el acceso Just-In-Time a ellas.Local Admin Password Solution (LAPS) or a third-party Privileged Access Management can set strong local admin passwords and just in time access to them

Además, otros fabricantes ofrecen enfoques de microsegmentación que pueden mejorar los controles de red mediante la aplicación de principios de Confianza cero a las redes que usted controla con recursos heredados.Additionally, third parties offer microsegmentation approaches that may enhance your network controls by applying zero trust principles to networks you control with legacy assets on them.

Definición de una estrategia perimetral de InternetDefine an internet edge strategy

Elija si quiere usar controles de proveedor de servicios en la nube nativos o dispositivos de red virtual para la seguridad perimetral de Internet.Choose whether to use native cloud service provider controls or virtual network appliances for internet edge security.

El tráfico perimetral de Internet (a veces conocido como tráfico "vertical de arriba abajo") representa la conectividad de red entre los recursos en la nube e Internet.Internet edge traffic (sometimes referred to as “North-South” traffic) represents network connectivity between your assets in the cloud and the Internet. Las cargas de trabajo heredadas requieren protección de los puntos de conexión de Internet porque se han creado con la suposición de que un firewall de Internet los ha protegido contra estos ataques.Legacy workloads require protection from Internet endpoints because they were built with the assumption that an internet firewall protected them against these attacks. Una estrategia perimetral de Internet está pensada para mitigar tantos ataques desde Internet como sea razonable detectar o bloquear.An Internet edge strategy is intended to mitigate as many attacks from the internet as is reasonable to detect or block.

Hay dos opciones principales que pueden proporcionar controles y supervisión de seguridad perimetral de Internet:There are two primary choices that can provide Internet edge security controls and monitoring:

  • Controles nativos del proveedor de servicios en la nube (Azure Firewall + Web Application Firewall (WAF))Cloud Service Provider Native Controls (Azure Firewall + Web Application Firewall (WAF))

  • Dispositivos de redes virtuales de asociados (proveedores de firewall y de WAF disponibles en Azure Marketplace)Partner Virtual Network Appliances (Firewall and WAF Vendors available in Azure Marketplace)

  • Los controles nativos del proveedor de servicios en la nube suelen ofrecer seguridad básica que es lo suficientemente adecuada para los ataques comunes, como los 10 principales de OWASP.Cloud service provider native controls typically offer basic security that is good enough for common attacks, such as the OWASP Top 10.

  • Por el contrario, las capacidades de asociados del proveedor de servicios en la nube suelen proporcionar características mucho más avanzadas que pueden proteger frente a ataques sofisticados (pero a menudo poco comunes).In contrast, cloud service provider partner capabilities often provide much more advanced features that can protect against sophisticated (but often uncommon) attacks. Las soluciones de asociados cuestan más que los controles nativos de forma sistemática.Partner solutions consistently cost more than native controls. Además, la configuración de soluciones de asociados puede ser muy compleja y más frágil que los controles nativos, ya que no se integran con los controladores de tejido de la nube.In addition, configuration of partner solutions can be very complex and more fragile than native controls because they do not integrate with cloud’s fabric controllers.

La decisión de usar los controles nativos y asociados debe basarse en la experiencia y los requisitos de la organización.The decision to use native versus partner controls should be based on your organization’s experience and requirements. Si las características de las soluciones de firewall avanzadas no proporcionan suficiente rentabilidad de la inversión, puede considerar el uso de las capacidades nativas diseñadas para ser fáciles de configurar y escalar.If the features of the advanced firewall solutions don’t provide sufficient return on investment, you may consider using the native capabilities that are designed to be easy to configure and scale.

Interrupción del uso de la tecnología de seguridad de red heredadaDiscontinue legacy network security technology

Interrumpa el uso de sistemas de detección o de prevención de intrusiones de red (NIDS/NIPS) basados en firmas y de la prevención de pérdida de datos de red (DLP).Discontinue the use of signature-based Network Intrusion Detection/Network Intrusion Prevention (NIDS/NIPS) Systems and Network Data Leakage/Loss Prevention (DLP).

Los principales proveedores de servicios en la nube ya filtran los paquetes con formato incorrecto y los ataques de nivel de red comunes, por lo que no es necesario que una solución NIDS/NIPS los detecte.The major cloud service providers already filter for malformed packets and common network layer attacks, so there’s no need for a NIDS/NIPS solution to detect those. Además, las soluciones tradicionales NIDS/NIPS suelen estar controladas por enfoques basados en firmas (que se consideran obsoletos) que los atacantes eluden fácilmente y suelen producir una alta tasa de falsos positivos.In addition, traditional NIDS/NIPS solutions are typically driven by signature-based approaches (which are considered outdated) and are easily evaded by attackers and typically produce a high rate of false positives.

La DLP basada en la red se encuentra en un nivel más eficaz en la identificación de la pérdida de datos involuntaria e intencional.Network-based DLP is decreasingly effective at identifying both inadvertent and deliberate data loss. El motivo es que la mayoría de los protocolos y los atacantes modernos usan cifrado de nivel de red para las comunicaciones entrantes y salientes.The reason for this is that most modern protocols and attackers use network-level encryption for inbound and outbound communications. La única solución viable para esto es el "protocolo de puente SSL", que proporciona un "intermediario autorizado" que finaliza y vuelve a establecer las conexiones de red cifradas.The only viable workaround for this is “SSL-bridging” which provides an “authorized man-in-the-middle” that terminates and then reestablishes encrypted network connections. El enfoque de puente SSL se ha dejado de usar debido al nivel de confianza que requiere el asociado que ejecuta la solución y las tecnologías que se usan.The SSL-bridging approach has fallen out of favor because of the level of trust required for the partner running the solution and the technologies that are being used.

Por esta razón, se recomienda que, en general, se interrumpa el uso estas tecnologías de seguridad de red heredadas.Based on this rationale, we offer an all-up recommendation that you discontinue use of these legacy network security technologies. Sin embargo, si la experiencia de la organización es que estas tecnologías han tenido un impacto palpable en la prevención y detección de ataques reales, puede considerar la posibilidad de portarlas a su entorno de nube.However, if your organizational experience is that these technologies have had a palpable impact on preventing and detecting real attacks, you can consider porting them to your cloud environment.

Diseño de seguridad de subred de redes virtualesDesign virtual network subnet security

Diseñe redes virtuales y subredes para el crecimiento.Design virtual networks and subnets for growth.

La mayoría de las organizaciones acaban agregando más recursos a sus redes de los que habían planeado inicialmente.Most organizations end up adding more resources to their networks than they initially planned for. Cuando esto sucede, es necesario refactorizar los esquemas de direccionamiento IP y de subredes para acomodar los recursos adicionales.When this happens, IP addressing and subnetting schemes need to be refactored to accommodate the extra resources. Se trata de un proceso intensivo de trabajo.This is a labor-intensive process. Hay un valor de seguridad limitado en la creación de un número muy grande de subredes pequeñas y el intento posterior de asignar controles de acceso a la red (como grupos de seguridad) a cada una de ellas.There is limited security value in creating a very large number of small subnets and then trying to map network access controls (such as security groups) to each of them.

Le recomendamos que planee las subredes en función de los roles y las funciones comunes que utilizan protocolos comunes para esos roles y funciones.We recommend that you plan your subnets based on common roles and functions that use common protocols for those roles and functions. Esto permite agregar recursos a la subred sin necesidad de realizar cambios en los grupos de seguridad que aplican los controles de acceso de nivel de red.This allows you to add resources to the subnet without needing to make changes to security groups that enforce network level access controls.

No use reglas "todas abiertas" para el tráfico entrante y saliente hacia y desde las subredes.Do not use “all open” rules for inbound and outbound traffic to and from subnets. Use un enfoque de red "con privilegios mínimos" y solo permita los protocolos relevantes.Use a network “least privilege” approach and only allow relevant protocols. Esto reducirá la superficie de ataque de red general en la subred.This will decrease your overall network attack surface on the subnet.

Todas las reglas abiertas (que permitan el tráfico entrante o saliente hacia y desde 0.0.0.0-255.255.255.255) proporcionan una sensación falsa de seguridad, ya que dicha regla no exige ninguna seguridad.All open rules (allowing inbound/outbound to and from 0.0.0.0-255.255.255.255) provide a false sense of security since such a rule enforces no security at all.

Sin embargo, la excepción a esto es si quiere usar grupos de seguridad solo para el registro de red.However, the exception to this is if you want to use security groups only for network logging. No es recomendable, pero es una opción si tiene otra solución de control de acceso a la red.We do not recommend this, but it is an option if you have another network access control solution in place.

Las subredes de Azure Virtual Network pueden diseñarse de esta manera.Azure Virtual Network subnets can be designed in this way.

Mitigación de ataques DDoSMitigate DDoS attacks

Habilite mitigaciones de denegación de servicio (DDoS) distribuidas para todos los servicios y aplicaciones web críticos para la empresa.Enable Distributed Denial of Service (DDoS) mitigations for all business-critical web application and services.

Los ataques DDoS son prevalentes, y los atacantes inexpertos los pueden llevar a cabo fácilmente.DDoS attacks are prevalent and are easily carried out by unsophisticated attackers. Hay incluso opciones de "DDoS como servicio" en la red oscura.There are even “DDoS as a service” options on the dark net. Los ataques DDoS pueden ser muy debilitantes y bloquear por completo el acceso a los servicios e incluso desactivar los servicios, según el tipo de ataque DDoS.DDoS attacks can be very debilitating and completely block access to your services and even take down the services, depending on the type of DDoS attack.

Los principales proveedores de servicios en la nube ofrecen protección contra DDoS para servicios de gran eficacia y capacidad.The major cloud service providers offer DDoS protection of services of varying effectiveness and capacity. Los proveedores de servicios en la nube suelen proporcionar dos opciones de protección contra DDoS:The cloud service providers typically provide two DDoS protection options:

  • Protección contra DDoS en el nivel de tejido de red en la nube: todos los clientes del proveedor de servicios en la nube se benefician de estas protecciones.DDoS protection at the cloud network fabric level – all customers of the cloud service provider benefit from these protections. La protección se centra normalmente en el nivel de la red (nivel 3).The protection is usually focused at the network (layer 3) level.

  • Protección contra DDoS en los niveles más altos que perfilan los servicios: este tipo de protección creará una base de referencia para las implementaciones y, a continuación, usará técnicas de aprendizaje automático para detectar el tráfico anómalo y proteger de forma proactiva en función de su protección antes de que se produzca una degradación del servicio.DDoS protection at higher levels that profile your services – this kind of protection will baseline your deployments and then use machine learning techniques to detect anomalous traffic and proactively protect based on their protection before there is service degradation

Le recomendamos que adopte la protección avanzada para todos los servicios en los que el tiempo de inactividad tendrá un impacto negativo en el negocio.We recommend that you adopt the advance protection for any services where downtime will have negative impact on the business.

Un ejemplo de protección contra DDoS avanzada es el servicio Azure DDoS Protection.An example of advanced DDoS protection is the Azure DDoS Protection Service.

Elegir entre una directiva de entrada o salida de InternetDecide upon an internet ingress/egress policy

Opte por enrutar el tráfico destinado a Internet a través de dispositivos de seguridad locales o permita la conectividad a Internet a través de dispositivos de seguridad de red basados en la nube.Choose to route traffic destined for the Internet through on-premises security devices or allow Internet connectivity through cloud-based network security devices.

El enrutamiento del tráfico de Internet a través de los dispositivos de seguridad de red locales también se conoce como "tunelización forzada".Routing Internet traffic through on-premises network security devices is also known as “forced tunneling”. En un escenario de tunelización forzada, toda la conectividad a Internet se vuelve a forzar hacia los dispositivos de seguridad de red locales a través de un vínculo WAN entre locales.In a forced tunneling scenario, all connectivity to the Internet is forced back to on-premises network security devices through a cross-premises WAN link. El objetivo es proporcionar a los equipos de seguridad de red mayor seguridad y visibilidad para el tráfico de Internet.The goal is to provide network security teams greater security and visibility for Internet traffic. Incluso cuando los recursos en la nube intentan responder a las solicitudes entrantes de Internet, las respuestas se forzarán a través de dispositivos de seguridad de red locales.Even when your resources in the cloud try to respond to incoming requests from the Internet, the responses will be forced through on-premises network security devices.

Como alternativa, la tunelización forzada se ajusta a un paradigma de "expansión del centro de datos" y puede funcionar bien para una prueba de concepto rápida, pero se escala de forma deficiente debido al aumento de la carga de tráfico, la latencia y el costo.Alternately, forced tunneling fits a “datacenter expansion” paradigm and can work well for a quick proof of concept, but scales poorly because of the increased traffic load, latency, and cost.

El enfoque recomendado para el uso empresarial de producción es permitir que los recursos en la nube inicien y respondan directamente a la solicitud de Internet a través de dispositivos de seguridad de red en la nube definidos por la estrategia perimetral de Internet.The recommended approach for production enterprise use is to allow cloud resources to initiate and respond to Internet request directly through cloud network security devices defined by your internet edge strategy.

El enfoque directo de Internet se ajusta al paradigma del centro de datos Nth (por ejemplo, los centros de datos de Azure son una parte natural de mi empresa).The direct Internet approach fits the Nth datacenter paradigm (for example, Azure datacenters are a natural part of my enterprise). Este enfoque se escala mucho mejor para una implementación empresarial, ya que elimina saltos que agregan carga, latencia y costo.This approach scales much better for an enterprise deployment as it removes hops that add load, latency, and cost.

Se recomienda evitar la tunelización forzada por las razones indicadas anteriormente.We recommend that you avoid forced tunneling for the reasons noted above.

Habilitación de la visibilidad de red mejoradaEnable enhanced network visibility

Debe habilitar la visibilidad de red mejorada integrando los registros de red en una Administración de eventos e información de seguridad (SIEM) como Azure Sentinel o una tercera solución de asociados, como Splunk, QRadar o ArcSight ESM.You should enable enhanced network visibility by integrating network logs into a Security information and event management (SIEM) like Azure Sentinel or a third partner solution such as Splunk, QRadar, or ArcSight ESM.

La integración de los registros de los dispositivos de red, e incluso el tráfico sin procesar, le proporcionará mayor visibilidad sobre las posibles amenazas de seguridad que fluyen a través de la conexión.Integrating logs from your network devices, and even raw network traffic itself, will provide you greater visibility over potential security threats flowing over the wire. Esta información de registro se puede integrar en soluciones SIEM avanzadas u otras plataformas de análisis.This log information can be integrated in advanced SIEM solutions or other analytics platforms. Las modernas plataformas de análisis basadas en aprendizaje automático admiten la ingesta de cantidades muy grandes de información y pueden analizar grandes conjuntos de datos con mucha rapidez.The modern machine learning based analytics platforms support ingestion of extremely large amounts of information and can analyze large datasets very quickly. Además, estas soluciones se pueden optimizar para reducir de forma significativa las alertas de falsos positivos.In addition, these solutions can be tuned to significantly reduce false positive alerts.

Entre los ejemplos de registros de red que proporcionan visibilidad se incluyen:Examples of network logs that provide visibility include:

Pasos siguientesNext steps

Para obtener instrucciones de seguridad adicionales de Microsoft, consulte la documentación de seguridad de Microsoft.For additional security guidance from Microsoft, see Microsoft security documentation.