Seguridad del flujo de tráfico en Azure

Proteja los datos en cualquier lugar, como servicios en la nube, dispositivos móviles, estaciones de trabajo o plataformas de colaboración. Además de utilizar el control de acceso y los mecanismos de cifrado, aplique controles de red seguros que detecten, supervisen y contengan los ataques.

Puntos clave

• Controle el tráfico de red entre subredes (horizontal de derecha a izquierda) y niveles de aplicación (vertical de arriba abajo).
• Aplique un enfoque de defensa en profundidad por capas que se inicia con directivas de confianza cero.
• Use un agente de seguridad de acceso a la nube (CASB).

Tráfico horizontal de derecha a izquierda y vertical de arriba abajo

Al analizar el flujo de red de una carga de trabajo, distinga entre el tráfico horizontal de derecha a izquierda y el tráfico vertical de arriba abajo. La mayoría de las arquitecturas en la nube usan una combinación de ambos tipos.

¿Está administrado y protegido el tráfico entre las subredes, los componentes de Azure y los niveles de la carga de trabajo?

• Tráfico vertical de arriba abajo

  El tráfico vertical de arriba abajo hace referencia al tráfico que fluye dentro y fuera de un centro de datos. Por ejemplo, el tráfico desde una aplicación a un servicio de back-end. Este tipo de tráfico es un destino típico para los vectores de ataque porque fluye a través de la red pública de Internet. Se deben poner en marcha controles de red adecuados para que las consultas hacia y desde un centro de datos sean seguras.

  Supongamos un flujo típico en un clúster de Azure Kubernetes Service (AKS). El clúster recibe el tráfico entrante (entrada) de las solicitudes HTTP. El clúster también puede enviar tráfico saliente (salida) para enviar consultas a otros servicios, como la extracción de una imagen de contenedor.

  El diseño puede usar Azure Web Application Firewall en Application Gateway para proteger el tráfico de entrada y Azure Firewall para proteger el tráfico saliente (salida).

• Tráfico horizontal de derecha a izquierda

  El tráfico horizontal de derecha a izquierda hace referencia al tráfico entre centros de datos o dentro de ellos. En este tipo de tráfico, varios recursos de la infraestructura de red se comunican entre sí. Estos recursos pueden ser redes virtuales, subredes dentro de esas redes virtuales, etc. La seguridad del tráfico horizontal de derecha a izquierda se puede pasar por alto aunque contenga una gran parte del tráfico de la carga de trabajo. Se asume que los firewalls de infraestructura son suficientes para bloquear los ataques. Asegúrese de que hay controles adecuados entre los recursos de red.

  Al extender el ejemplo del clúster de AKS a este concepto, el tráfico horizontal de derecha a izquierda es el tráfico dentro del clúster. Por ejemplo, la comunicación entre pods, como el controlador de entrada y la carga de trabajo. Si la carga de trabajo se compone de varias aplicaciones, la comunicación entre esas aplicaciones estaría dentro de esta categoría.

  Mediante el uso de directivas de red de Kubernetes, puede restringir qué pods se pueden comunicar, comenzando con una directiva de confianza cero y, a continuación, la apertura de rutas de comunicación específicas según sea necesario.

Filtración de datos

La filtración de datos es un ataque común en el que un actor malintencionado interno o externo realiza una transferencia de datos no autorizada. La mayoría de las veces se obtiene acceso debido a la falta de controles de red.

Se pueden usar las soluciones de aplicación virtual de red (NVA) y Azure Firewall (para los protocolos admitidos) como servidor proxy inverso que restrinja el acceso solo a los servicios de PaaS autorizados para aquellos servicios en los que aún no se admite Private Link (Azure Firewall).

Configure Azure Firewall o un firewall de próxima generación de terceros para protegerse de los problemas de filtración de datos.

¿Hay controles en el diseño de la carga de trabajo para detectar y proteger contra la filtración de datos?

Elija un diseño de defensa en profundidad que pueda proteger las comunicaciones de red en varias capas, como una topología en estrella tipo hub-and-spoke. Azure proporciona varios controles para posibilitar el diseño en capas:

• Use Azure Firewall para permitir o denegar el tráfico mediante controles de capa 3 a capa 7.
• Use las rutas definidas por el usuario (UDR) de Azure Virtual Network para controlar el próximo salto del tráfico.
• Controle el tráfico con grupos de seguridad de red (NSG) entre los recursos de una red virtual, Internet y otras redes virtuales.
• Proteja los puntos de conexión mediante Azure Private Link y puntos de conexión privados.
• Detecte y proteja en niveles profundos mediante la inspección de paquetes.
• Detecte ataques y responda a las alertas con Azure Sentinel y Azure Security Center.

¿Ha considerado la posibilidad de utilizar un agente de seguridad de acceso a la nube (CASB) para esta carga de trabajo?

Los CASB proporcionan un punto central de control para la aplicación de directivas. Proporcionan visibilidad enriquecida, control sobre el viaje de los datos y análisis sofisticados para identificar y combatir las ciberamenazas en todos los servicios en la nube de Microsoft y de terceros.

Más información

• Documentación sobre Azure Firewall
• Aplicaciones de redes de Azure Marketplace

Vínculos relacionados

• Azure Firewall
• Grupos de seguridad de red (NSG)
• ¿Qué es el firewall de aplicaciones web de Azure en Azure Application Gateway?
• ¿Qué es Azure Private Link?

Vuelva al artículo principal: Seguridad de las redes