Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Application Gateway es un equilibrador de carga de tráfico web que permite administrar el tráfico a las aplicaciones web. Como componente crítico de la infraestructura de red, Application Gateway controla las solicitudes entrantes y las enruta a los servicios back-end, lo que hace esencial implementar medidas de seguridad adecuadas para protegerse frente a amenazas y garantizar el cumplimiento de los requisitos de seguridad de la organización.
En este artículo se proporcionan instrucciones sobre cómo proteger mejor la implementación de Azure Application Gateway.
Seguridad de red
La seguridad de red para Application Gateway implica controlar el flujo de tráfico, implementar la segmentación adecuada y proteger las comunicaciones entre clientes y servicios back-end.
Implementación en una subred dedicada: coloque Application Gateway en una subred dedicada dentro de la red virtual para proporcionar aislamiento de red y habilitar el control de tráfico pormenorizado. Esta separación ayuda a contener posibles incidentes de seguridad y permite directivas de seguridad dirigidas.
Aplicar grupos de seguridad de red: use grupos de seguridad de red (NSG) para restringir el tráfico por puerto, protocolo, dirección IP de origen o dirección IP de destino. Cree reglas de NSG para limitar el acceso solo a los puertos necesarios y evitar que se acceda a los puertos de administración desde redes que no son de confianza. Para más información, consulteGrupo de seguridad de red.
Configuración de puntos de conexión privados: implemente puntos de conexión privados para Application Gateway cuando se admita para establecer puntos de acceso privados que eliminen la exposición a la red pública de Internet. Esto reduce la superficie expuesta a ataques manteniendo el tráfico dentro de la red virtual. Para más información, consulte Configuración de Private Link (versión preliminar) de Azure Application Gateway.
Habilitación de la protección contra DDoS: implemente Azure DDoS Network Protection en la red virtual que hospeda Application Gateway para protegerse frente a ataques DDoS a gran escala. Esto proporciona funcionalidades mejoradas de mitigación de DDoS, como el ajuste adaptable y las notificaciones de ataque. Para más información, consulte Protección de la puerta de enlace de aplicaciones con Azure DDoS Network Protection.
Implementación de una configuración de infraestructura adecuada: siga la configuración de infraestructura recomendada de Azure para asegurarse de que Application Gateway se implementa con los procedimientos recomendados de seguridad. Esto incluye el ajuste de tamaño de subred adecuado, la configuración de la tabla de rutas y las dependencias de red. Para más información, consulte Configuración de la infraestructura de Application Gateway.
Protección de aplicaciones web
El firewall de aplicaciones web proporciona protección esencial contra vulnerabilidades web comunes y ataques dirigidos a las aplicaciones.
Implementación del firewall de aplicaciones web: habilite WAF en Application Gateway para protegerse frente a las 10 amenazas principales de OWASP, como la inyección de código SQL, el scripting entre sitios y otros ataques web comunes. Comience en modo de detección para comprender los patrones de tráfico y, a continuación, cambie al modo de prevención para bloquear activamente las amenazas. Para más información, consulte ¿Qué es Azure Web Application Firewall en Azure Application Gateway?
Configurar reglas de WAF personalizadas: cree reglas personalizadas para abordar amenazas específicas destinadas a las aplicaciones, como la limitación de velocidad, el bloqueo de IP y el filtrado geográfico. Las reglas personalizadas proporcionan protección dirigida más allá de los conjuntos de reglas administrados. Para obtener más información, consulte Creación y uso de reglas personalizadas v2.
Habilitar la protección contra bots: use el conjunto de reglas administradas de protección de bots para identificar y bloquear bots malintencionados, al tiempo que permite el tráfico legítimo de los motores de búsqueda y las herramientas de supervisión. Para más información, consulte Configuración de la protección de bots.
Implementación de la limitación de velocidad: configure reglas de limitación de velocidad para evitar ataques DDoS y abusos mediante el control del número de solicitudes permitidas desde direcciones IP individuales dentro de las ventanas de tiempo especificadas. Para obtener más información, consulte Introducción a la limitación de velocidad.
Administración de identidades y acceso
Los controles de autenticación y autorización adecuados garantizan que solo los usuarios y sistemas autorizados puedan acceder a Application Gateway y su configuración.
Configurar la autenticación mutua: implemente la autenticación TLS mutua para comprobar los certificados de cliente, lo que proporciona una capa adicional de seguridad para las aplicaciones confidenciales. Esto garantiza que el cliente y el servidor se autentiquen entre sí. Para más información, consulte Configuración de la autenticación mutua con Application Gateway a través del portal.
Use Azure RBAC para el acceso de administración: aplique el control de acceso basado en rol para limitar quién puede modificar las configuraciones de Application Gateway. Asigne los permisos mínimos necesarios a los usuarios y las cuentas de servicio. Para más información, consulte Roles integrados de Azure.
Protección de los datos
La protección de datos para Application Gateway se centra en proteger los datos en tránsito y administrar certificados y secretos correctamente.
Habilitar el cifrado TLS: configure la terminación TLS para cifrar los datos en tránsito entre los clientes y Application Gateway. Asegúrese de que usa la versión más reciente para protegerse frente a vulnerabilidades conocidas. Para obtener más información, consulte Introducción a la terminación TLS y a TLS de extremo a extremo con Application Gateway.
Almacenamiento de certificados en Azure Key Vault: use Azure Key Vault para almacenar y administrar de forma segura los certificados TLS en lugar de insertarlos en archivos de configuración. Esto permite la rotación automática de certificados y la administración centralizada de secretos. Para más información, consulte Terminación TLS con certificados de Key Vault.
Configuración de la administración segura de certificados: configure la rotación automática de certificados en Azure Key Vault en función de una programación definida o al acercarse a la expiración. Asegúrese de que la generación de certificados sigue los estándares de seguridad con los tamaños de clave suficientes y los períodos de validez adecuados. Para más información, consulte Configuración de una instancia de Application Gateway con terminación TLS mediante Azure Portal.
Implementación del redireccionamiento HTTP a HTTPS: configure el redireccionamiento automático desde HTTP a HTTPS para asegurarse de que todo el tráfico está cifrado. Esto evita que se transmitan datos confidenciales en texto no cifrado. Para más información, consulte Creación de una puerta de enlace de aplicaciones con redirección HTTP a HTTPS mediante Azure Portal.
Configuración de TLS de un extremo a otro: habilite el cifrado TLS entre Application Gateway y los servidores back-end para obtener la máxima protección de datos en toda la ruta de comunicación. Para obtener más información, consulte Introducción a la terminación TLS y a TLS de extremo a extremo con Application Gateway.
Supervisión y detección de amenazas
El registro y la supervisión proporcionan visibilidad sobre las operaciones de Application Gateway y ayudan a detectar posibles amenazas de seguridad.
Habilitación del registro de diagnóstico: configure los registros de recursos de Azure para capturar información detallada sobre las operaciones de Application Gateway, incluidos los patrones de acceso, las métricas de rendimiento y los eventos de seguridad. Envíe estos registros a un área de trabajo de Log Analytics o a una cuenta de almacenamiento para su análisis. Para obtener información adicional, consulte Registros de estado y diagnóstico de back-end para Application Gateway.
Configurar sondeos de estado personalizados: configure sondeos de estado personalizados para supervisar el estado del servidor back-end de forma más eficaz que los sondeos predeterminados. Los sondeos personalizados pueden detectar problemas de nivel de aplicación y asegurarse de que el tráfico solo alcanza los servidores correctos. Para más información, consulte Introducción a los sondeos de estado de Application Gateway.
Configuración de la supervisión y las alertas: cree alertas basadas en métricas y registros de Application Gateway para detectar patrones de tráfico inusuales, intentos de autenticación con errores o anomalías de rendimiento que podrían indicar problemas de seguridad. Use Azure Monitor para establecer el rendimiento de línea base e identificar las desviaciones.
Implementación de la administración centralizada de registros: integre los registros de Application Gateway con el sistema de administración de eventos e información de seguridad (SIEM) para correlacionar eventos en toda la infraestructura y habilitar la detección y respuesta automatizadas de amenazas.
Supervisar el estado del back-end: use la característica Estado de back-end para supervisar continuamente el estado de los servidores back-end e identificar rápidamente posibles problemas de seguridad o disponibilidad. Para más información, consulte Visualización del estado del back-end a través del portal.
Administración de activos
La administración de recursos garantiza que las configuraciones de Application Gateway se supervisan correctamente y cumplen con las directivas de la organización.
Implementar la gobernanza de Azure Policy: Use Azure Policy para auditar y aplicar configuraciones en las implementaciones de Application Gateway. Cree directivas que impidan configuraciones no seguras y garantice el cumplimiento de los estándares de seguridad. Para más información, consulte Definiciones integradas de Azure Policy para los servicios de red de Azure.
Supervisar el cumplimiento de la configuración: use Microsoft Defender for Cloud para supervisar continuamente las configuraciones de Application Gateway y recibir alertas cuando se detecten desviaciones de las líneas base de seguridad. Establezca la remediación automatizada siempre que sea posible para mantener una postura de seguridad coherente.
Pasos siguientes
- Más información sobre la arquitectura y el diseño de seguridad de Azure
- Revisión de la seguridad en Microsoft Cloud Adoption Framework
- Exploración del firewall de aplicaciones web en Azure Application Gateway