Servicios de Azure para la protección de la conectividad de red

  • Artículo
  • 15 minutos para leer

A menudo se dan casos en los que la carga de trabajo y los componentes auxiliares de una arquitectura en la nube necesitan tener acceso a recursos externos. Estos recursos pueden ser locales, dispositivos fuera de la red virtual principal u otros recursos de Azure. Dichas conexiones se pueden realizar mediante Internet o redes dentro de la organización.

Puntos clave

  • Proteja los servicios de acceso no público con restricciones de red y un firewall de direcciones IP.
  • Use grupos de seguridad de red (NSG) o Azure Firewall para proteger y controlar el tráfico dentro de la red virtual.
  • Use puntos de conexión de servicio o Private Link para acceder a los servicios de PaaS de Azure.
  • Use Azure Firewall para protegerse frente a ataques de filtración de datos.
  • Restrinja el acceso a los servicios de back-end a un conjunto mínimo de direcciones IP públicas, solo para aquellos servicios que realmente lo necesiten.
  • Use controles de Azure sobre soluciones de terceros para las necesidades básicas de seguridad. Son fáciles de configurar y escalar.
  • Defina directivas de acceso basadas en el tipo de carga de trabajo y el flujo de control entre los diferentes niveles de la aplicación.

Conectividad entre segmentos de red

Al diseñar una carga de trabajo, normalmente comenzará por el aprovisionamiento de una red virtual de Azure en el espacio de direcciones privadas que tiene la carga de trabajo. De forma predeterminada, no se permite el tráfico entre dos redes virtuales cualesquiera. Si es necesario, defina las rutas de comunicación explícitamente. Una manera de conectar redes virtuales es mediante el emparejamiento de red virtual.

Un aspecto clave es la protección de las máquinas virtuales de la red virtual. Las interfaces de red de las máquinas virtuales les permiten comunicarse con otras máquinas virtuales, Internet y redes locales. Para controlar el tráfico de las máquinas virtuales dentro de una red virtual (y una subred), use grupos de seguridad de aplicaciones (ASG). Puede agrupar un conjunto de máquinas virtuales en una etiqueta de aplicación y definir reglas de tráfico. Estas reglas se aplican a todas las máquinas virtuales subyacentes.

Una red virtual se segmenta en subredes en función de los requisitos empresariales. Proporcione controles de seguridad de red adecuados que permitan o denieguen el tráfico de red entrante o el tráfico de red saliente dentro de un espacio de red más grande.

También puede aprovisionar máquinas virtuales con direcciones IP privadas para su protección. Aproveche las ventajas de la dirección IP de Azure para determinar no solo el tráfico entrante, sino también cómo y dónde se traduce en la red virtual.

Un buen esquema de direcciones IP de Azure proporciona flexibilidad, espacio para el crecimiento e integración con las redes locales. El esquema garantiza el funcionamiento de la comunicación para los recursos implementados, minimiza la exposición pública de los sistemas y permite que la empresa tenga flexibilidad en su red. Si no se diseñan correctamente, es posible que los sistemas no se puedan comunicar y se necesitará trabajo adicional para corregirlo.

¿Cómo aísla y protege el tráfico dentro de la red virtual de la carga de trabajo?

Para proteger la comunicación dentro de una red virtual, establezca reglas que inspeccionen el tráfico. Luego, permita o deniegue el tráfico que llega o sale de orígenes concretos y enrútelo a los destinos especificados.

Tarea Revise el conjunto de reglas y confirme que los servicios necesarios no se han bloqueado de forma accidental.

Para el tráfico entre subredes, la manera recomendada es mediante grupos de seguridad de red (NSG). Defina reglas en cada NSG que comprueben el tráfico hacia y desde una única dirección IP, varias direcciones IP o subredes enteras.

Si se usan NSG para aislar y proteger la aplicación, se debe revisar el conjunto de reglas para confirmar que los servicios necesarios no se han bloqueados involuntariamente, o que se permite un acceso más permisivo de lo previsto. Azure Firewall (y Firewall Manager) se pueden usar para centralizar y administrar directivas de firewall.

Otra manera es usar aplicaciones virtuales de red (NVA), que comprueban el tráfico entrante (entrada) y saliente (salida) y filtran en función de reglas.

¿Cómo enruta el tráfico de red mediante estas aplicaciones virtuales de red para la aplicación de directivas de límites de seguridad, la auditoría y la inspección?

Use rutas definidas por el usuario (UDR) para controlar el próximo salto del tráfico entre Azure, los recursos locales y los de Internet. Las rutas se pueden aplicar a una aplicación virtual, a una puerta de enlace de red virtual, a una red virtual o a Internet.

Por ejemplo, supongamos que debe inspeccionar todo el tráfico de entrada desde un equilibrador de carga público. Una manera es hospedar una NVA en una subred que permita el tráfico solo si se cumplen determinados criterios. Ese tráfico se envía a la subred que hospeda un equilibrador de carga interno que enruta ese tráfico a los servicios de back-end.

También puede usar aplicaciones virtuales de red para el tráfico de salida. Por ejemplo, todo el tráfico de la carga de trabajo se enruta mediante UDR a otra subred. Esa subred tiene un equilibrador de carga interno que distribuye las solicitudes al NVA (o a un conjunto de NVA). Estas aplicaciones virtuales de red dirigen el tráfico a Internet mediante sus direcciones IP públicas individuales.

Sugerencia

A continuación, se ofrecen los recursos para el ejemplo anterior:

Logotipo de GitHub GitHub: Conmutación por error automatizada para aplicaciones virtuales de red.

Las consideraciones de diseño se describen en Implementación de NVA de alta disponibilidad.

Azure Firewall puede actuar como NVA. Azure admite proveedores de dispositivos de red de terceros. Están disponibles en Azure Marketplace.

¿Cómo obtiene información sobre el tráfico entrante y saliente de esta carga de trabajo?

Como norma general, configure y recopile los registros de tráfico de red. Si usa NSG, capture y analice los registros de flujo de NSG para supervisar el rendimiento y la seguridad. Los registros de flujo de NSG permiten a Análisis de tráfico obtener información sobre los flujos de tráfico interno y externo de la aplicación.

Para obtener información sobre la definición de los perímetros de red, consulte Implementación de patrones de segmentación de red en Azure.

¿La red virtual y la subred pueden controlar el crecimiento?

Normalmente, agregará más recursos de red a medida que el diseño crezca. La mayoría de las organizaciones acaban agregando a las redes más recursos de los planeados inicialmente. La refactorización para acomodar los recursos adicionales es un proceso que consume mucho trabajo. Hay un valor de seguridad limitado en la creación de un número muy grande de subredes pequeñas y el intento posterior de asignar controles de acceso a la red (como grupos de seguridad) a cada una de ellas.

Planee las subredes en función de los roles y las funciones que utilizan los mismos protocolos. De esta manera, se pueden agregar recursos a la subred sin realizar cambios en los grupos de seguridad que aplican los controles de acceso de nivel de red.

No use reglas abiertas que permitan el tráfico entrante y saliente hacia y desde 0.0.0.0-255.255.255.255. Use un enfoque de privilegios mínimos y permita solo los protocolos pertinentes. Esto reducirá la superficie total de ataques de red en la subred. Todas las reglas abiertas proporcionan una falsa percepción de seguridad porque esta regla no exige ninguna seguridad.

La excepción es si quiere usar grupos de seguridad solo para el registro de red.

Diseñe redes virtuales y subredes para el crecimiento. Se recomienda planear las subredes en función de los roles y las funciones comunes que utilizan protocolos comunes para esos roles y funciones. Esto permite agregar recursos a la subred sin realizar cambios en los grupos de seguridad que aplican los controles de acceso de nivel de red.

Acciones sugeridas

Use NSG o considere la posibilidad de usar Azure Firewall para proteger y controlar el tráfico dentro de la red virtual.

Más información

Tráfico perimetral de Internet

A medida que diseña la carga de trabajo, tenga en cuenta la seguridad para el tráfico de Internet. ¿La carga de trabajo o partes de esta deben ser accesibles desde direcciones IP públicas? ¿Qué nivel de acceso se debe proporcionar para evitar el acceso no autorizado?

El tráfico perimetral de Internet (también llamado tráfico vertical de arriba abajo) representa la conectividad de red entre los recursos utilizados por la carga de trabajo e Internet. Se debe diseñar una estrategia perimetral de Internet para mitigar tantos ataques desde Internet como sea posible para detectar o bloquear amenazas. Hay dos opciones principales que proporcionan controles de seguridad y supervisión:

  • Soluciones de Azure como Azure Firewall y el firewall de aplicaciones web (WAF).

Azure proporciona soluciones de redes para restringir el acceso a servicios individuales. Usar varios niveles de seguridad, como la combinación de filtrado de IP y reglas de Firewall, para evitar que los actores no autorizados tengan acceso a los servicios de la aplicación.

  • Aplicaciones virtuales de red (NVA). Puede usar Azure Firewall o las soluciones de terceros disponibles en Azure Marketplace.

Las características de seguridad de Azure son suficientes para ataques comunes y son fáciles de configurar y escalar. Las soluciones de terceros suelen tener características avanzadas, pero pueden ser difíciles de configurar si no se integran correctamente con los controladores de tejido. Desde una perspectiva de costos, las opciones de Azure suelen ser más baratas que las soluciones de asociados.

La información que revela la plataforma de la aplicación, como los banners HTTP que contienen información del marco (X-Powered-By, X-ASPNET-VERSION), los usan normalmente actores malintencionados al asignar vectores de ataque de la aplicación.

Los encabezados HTTP, los mensajes de error y los pies de página del sitio web no deben contener información sobre la plataforma de la aplicación. Azure CDN se puede usar para separar la plataforma de hospedaje de los usuarios finales. Azure API Management ofrece directivas de transformación que permiten modificar encabezados HTTP y eliminar la información confidencial.

Acción sugerida

Considere la posibilidad de usar CDN para la carga de trabajo a fin de limitar la exposición de detalles de la plataforma a los atacantes.

Más información

Documentación de Azure CDN

Comunicación con servicios de back-end

La mayoría de las cargas de trabajo se componen de varios niveles en los que varios servicios pueden atender cada nivel. Algunos ejemplos comunes de niveles son los front-ends web, los procesos empresariales, los informes y el análisis, la infraestructura de back-end, etc.

Los recursos de aplicación que permiten varios métodos para publicar el contenido de la aplicación (como FTP o Web Deploy) deben tener deshabilitados los puntos de conexión sin usar. Para Azure Web Apps, SCM es el punto de conexión recomendado y se puede proteger por separado con restricciones de red para escenarios confidenciales.

El acceso público a cualquier carga de trabajo se debe aprobar y planear con inteligencia, ya que los puntos de entrada públicos representan un posible vector de riesgo importante. Al permitir el acceso desde direcciones IP públicas a cualquier servicio de back-end, lo que limita el intervalo de direcciones IP permitidas, puede reducir significativamente la superficie expuesta a ataques de ese servicio. Por ejemplo, si usa Azure Front Door, puede limitar los niveles de back-end para permitir solo direcciones IP de Front Door; o si un asociado usa la API, limite el acceso solo a sus direcciones IP públicas designadas.

¿Cómo se configura el flujo de tráfico entre varios niveles de aplicación?

Use la subred de Azure Virtual Network para asignar espacios de direcciones independientes para distintos elementos o niveles dentro de la carga de trabajo. A continuación, defina diferentes directivas de acceso para controlar los flujos de tráfico entre esos niveles y restringir el acceso. Puede implementar esas restricciones mediante reglas de firewall o filtrado IP.

¿Necesita restringir el acceso a la infraestructura de back-end?

Restrinja el acceso a los servicios de back-end a un conjunto mínimo de direcciones IP públicas con restricciones de direcciones IP de App Services o Azure Front Door.

Las aplicaciones web normalmente tienen un punto de entrada público y no exponen las API y los servidores de bases de datos subsiguientes a Internet. Exponga solo un conjunto mínimo de direcciones IP públicas en función de las necesidades y solo aquellas que realmente lo necesiten. Por ejemplo, al usar servicios de puerta de enlace, como Azure Front Door, es posible restringir el acceso solo a un conjunto de direcciones IP de Front Door y bloquear completamente la infraestructura.

Acción sugerida

  • Restringir y proteger los métodos de publicación de aplicaciones.

Más información

Conectividad con servicios de PaaS de Azure

A menudo, la carga de trabajo necesitará comunicarse con otros servicios de Azure. Por ejemplo, puede que necesite obtener secretos de Azure Key Vault. Evite establecer conexiones a través de la red pública de Internet.

¿La carga de trabajo usa formas seguras para acceder a los servicios de PaaS de Azure?

Los enfoques comunes para acceder a los servicios de PaaS son los puntos de conexión de servicio o vínculos privados. Ambos enfoques restringen el acceso a los puntos de conexión de PaaS solo desde redes virtuales autorizadas, lo que mitiga eficazmente los riesgos de intrusión de datos y el impacto asociado a la disponibilidad de las aplicaciones.

Con los puntos de conexión de servicio, la ruta de comunicación es segura porque puede acceder al punto de conexión de PaaS sin necesidad de una dirección IP pública en la red virtual. La mayoría de los servicios de PaaS admiten la comunicación mediante puntos de conexión de servicio. Para obtener una lista de los servicios disponibles con carácter general, consulte Puntos de conexión de servicio de red virtual.

Otro mecanismo es mediante el uso de Azure Private Link. El punto de conexión privado usa una dirección IP privada de la red virtual, colocando el servicio de manera eficaz en su red virtual. Para más información, consulte ¿Qué es Azure Private Link?

Los puntos de conexión de servicio proporcionan acceso de nivel de servicio a un servicio de PaaS, mientras que Private Link proporciona acceso directo a un recurso de PaaS específico para mitigar los riesgos de filtración de datos, como el acceso de administrador malintencionado. Private Link es un servicio de pago y tiene medidores de los datos entrantes y salientes procesados. También se cobran los puntos de conexión privados.

¿Cómo se controla el tráfico de salida de los servicios de PaaS de Azure cuando Private Link no está disponible?

Use las NVA y Azure Firewall (para los protocolos admitidos) como un servidor proxy inverso para restringir el acceso solo a los servicios de PaaS autorizados para aquellos servicios en los que no se admite Private Link. Use Azure Firewall para protegerse frente a problemas de filtración de datos.

Conectividad del entorno local a la nube

En una arquitectura híbrida, la carga de trabajo se ejecuta en parte de forma local y en parte en Azure. Disponga controles de seguridad que comprueben el tráfico que entra en la red virtual de Azure desde el centro de datos local.

¿Cómo se establece la conectividad entre locales?

Use Azure ExpressRoute para configurar la conectividad entre entornos locales a las redes locales. Este servicio usa una conexión privada y dedicada mediante un proveedor de conectividad de terceros. La conexión privada extiende la red local en Azure. De este modo, puede reducir el riesgo potencial de acceso a los recursos de información local de la empresa.

¿Cómo accede a las máquinas virtuales?

Use Azure Bastion para iniciar sesión en las máquinas virtuales y evitar la exposición pública a Internet mediante SSH y RDP solo con direcciones IP privadas. También puede deshabilitar el acceso mediante RDP y SSH a las máquinas virtuales y usar VPN o ExpressRoute para acceder a estas máquinas virtuales para la administración remota.

¿Las máquinas virtuales locales o en la nube tienen conectividad directa a Internet para los usuarios que pueden realizar inicios de sesión interactivos?

Los atacantes examinan constantemente los intervalos IP de la nube pública en busca de puertos de administración abiertos e intentan realizar ataques de bajo costo, como contraseñas comunes y vulnerabilidades conocidas no revisadas. Desarrolle procesos y procedimientos para evitar el acceso directo desde Internet a las máquinas virtuales con registro y supervisión para aplicar las directivas.

¿Cómo se enruta el tráfico de Internet?

Decida cómo enrutar el tráfico de Internet. Puede usar dispositivos de seguridad locales (también llamada tunelización forzada) o permitir la conectividad mediante dispositivos de seguridad de red basados en la nube.

En la empresa de producción, permita que los recursos en la nube inicien la solicitud de Internet y respondan directamente a ella a través de dispositivos de seguridad de red en la nube definidos por la estrategia perimetral de Internet. Este enfoque se ajusta al paradigma del centro de datos Nth, es decir, los centros de recursos de Azure forman parte de su empresa. Se escala mucho mejor para una implementación empresarial, ya que elimina saltos que agregan carga, latencia y costo.

Otra opción es forzar la tunelización de todo el tráfico de Internet saliente desde el entorno local mediante VPN de sitio a sitio. O bien, usar un vínculo WAN entre los entornos locales. Los equipos de seguridad de red tienen mayor seguridad y visibilidad sobre el tráfico de Internet. Incluso cuando los recursos en la nube intentan responder a las solicitudes entrantes de Internet, las respuestas se forzarán en túnel. Esta opción se adapta a un caso de uso de expansión de centro de datos y puede funcionar bien para una prueba de concepto rápida, pero se escala de forma deficiente debido al aumento de la carga de tráfico, la latencia y el costo. Por estos motivos, se recomienda evitar la tunelización forzada.

Paso siguiente

Protección de los puntos de conexión

Para obtener información sobre cómo controlar el próximo salto del tráfico, consulte Enrutamiento del tráfico de redes virtuales.

Para obtener información acerca de los firewalls de aplicaciones web, consulte Documentación de Azure Application Gateway.

Para más información sobre las aplicaciones de red de Azure Marketplace, consulte Aplicaciones de red.

Para obtener información sobre la conectividad entre entornos, consulte Procedimientos recomendados de seguridad de la red de Azure.

Para obtener información sobre el uso de VPN o ExpressRoute para acceder a estas máquinas virtuales para la administración remota, consulte Procedimientos recomendados de seguridad de la red de Azure.

Vuelva al artículo principal: Seguridad de las redes