Editar

Compartir a través de


Protección y control de cargas de trabajo con segmentación de nivel de red

Azure Firewall
Azure Monitor
Azure SQL Database
Azure Virtual Network

La segmentación es un modelo en el que se toma la superficie de redes y se crean perímetros definidos por software mediante herramientas disponibles en Microsoft Azure. Después, se establecen reglas que controlan el tráfico desde y hacia estos perímetros a fin de poder adoptar distintas posiciones de seguridad para los diferentes elementos de la red. Cuando se colocan diferentes aplicaciones (o elementos de una aplicación concreta) en estos perímetros, se puede controlar la comunicación entre estas entidades segmentadas. Si una parte de la pila de la aplicación se ve comprometida, se podrá contener mejor el impacto de esta brecha de seguridad y evitar que se extienda posteriormente a todo el resto de la red. Esta capacidad es un principio clave asociado con el modelo de confianza cero publicado por Microsoft que pretende implantar planteamientos de seguridad de clase mundial en las organizaciones.

Patrones de segmentación

Cuando trabaja en Azure, tiene un amplio conjunto de opciones de segmentación disponibles para ayudarle a protegerse.

Diagrama de flujo de recursos

  1. Suscripción: las suscripciones son una construcción de nivel general que proporciona una separación con tecnología de la plataforma entre las entidades. Su objetivo es delimitar los límites entre las grandes organizaciones de una empresa. La comunicación entre los recursos de distintas suscripciones se debe aprovisionar explícitamente.

  2. Virtual Network: las redes virtuales se crean dentro de una suscripción en espacios de direcciones privadas. Las redes proporcionan contención de nivel de red de los recursos sin tráfico permitido de forma predeterminada entre dos redes virtuales cualesquiera. Al igual que las suscripciones, es necesario aprovisionar de forma explícita cualquier comunicación entre las redes virtuales.

  3. Grupos de seguridad de red: los grupos de seguridad de red son mecanismos de control de acceso para controlar el tráfico entre los recursos de una red virtual como un firewall de capa 4. Un grupo de seguridad de red también controla el tráfico con redes externas, como Internet, otras redes virtuales, etc. Los grupos de seguridad de red permiten llevar la estrategia de segmentación a un nivel pormenorizado mediante la creación de perímetros para una subred, un grupo de máquinas virtuales o incluso una única máquina virtual.

  4. Azure Virtual Network Manager (AVNM): Azure Virtual Network Manager (AVNM) es un servicio de administración de red que permite a un equipo de administración de TI central administrar redes virtuales globalmente entre suscripciones a gran escala. Con AVNM, puede agrupar varias redes virtuales y aplicar reglas de administración de seguridad predefinidas que se deben aplicar a las redes virtuales seleccionadas a la vez. De forma similar a un grupo de seguridad de red, las reglas de administración de seguridad creadas mediante AVNM también funcionan como un firewall de capa 4, pero las reglas de administración de seguridad se evalúan primero, antes del grupo de seguridad de red.

  5. Grupos de seguridad de aplicaciones (ASG): los ASG proporcionan mecanismos de control similares a los NSG, pero se les hace referencia con un contexto de aplicación. Un grupo de seguridad de aplicaciones permite agrupar un conjunto de máquinas virtuales bajo una etiqueta de aplicación. Puede definir reglas de tráfico que se aplican a cada una de las máquinas virtuales subyacentes.

  6. Azure Firewall: es un firewall con estado nativo en la nube como servicio. Este firewall se puede implementar en las redes virtuales o en implementaciones del centro de conectividad de Azure Virtual WAN para filtrar el tráfico que fluye entre los recursos en la nube, Internet y el entorno local. Puede crear reglas o directivas (con Azure Firewall o Azure Firewall Manager) mediante la especificación del tráfico que se permite o deniega mediante controles de capa 3 a capa 7. También puede filtrar el tráfico que va a Internet mediante Azure Firewall y otras aplicaciones de terceros. Dirija todo el tráfico o parte de él mediante proveedores de seguridad de terceros para un filtrado avanzado y la protección de los usuarios.

Los patrones siguientes son comunes entre los clientes cuando se trata de organizar la carga de trabajo en Azure desde una perspectiva de red. Cada uno de estos patrones proporciona un tipo diferente de aislamiento y conectividad. Elegir el modelo que funcione mejor para su organización es una decisión que debe tomar en función de las necesidades de esta. Con cada uno de estos modelos, se describe cómo se puede realizar la segmentación mediante los servicios anteriores de Redes de Azure.

También es posible que el diseño adecuado para la organización sea distinto de los que se enumeran aquí. Y ese resultado es de esperar, ya que no hay un tamaño que se adapte a todos. Es posible que acabe utilizando principios de todos estos patrones para crear lo que más convenga a su organización. La plataforma Azure proporciona la flexibilidad y las herramientas necesarias.

Patrón 1: Red virtual única

En este patrón, todos los componentes de la carga de trabajo o, en algunos casos, toda la superficie de TI se coloca dentro de una única red virtual. Este patrón es posible si trabaja en una sola región, ya que una red virtual no puede abarcar varias regiones.

Las entidades que probablemente usaría para crear segmentos dentro de esta red virtual son grupos de seguridad de red o grupos de seguridad de aplicaciones. La elección depende de si quiere hacer referencia a los segmentos como subredes de red o grupos de aplicaciones. La imagen siguiente es un ejemplo de cómo sería este tipo de red virtual segmentada.

Diagrama en el que se muestra una red virtual única.

En esta configuración, tiene la Subred1 en la que ha colocado las cargas de trabajo de base de datos, y la Subred2, donde ha colocado las cargas de trabajo web. Puede incluir grupos de seguridad de red que indiquen que Subred1 solo se puede comunicar con Subred2 y que Subred2 se puede comunicar con Internet. También puede llevar este concepto más allá en presencia de numerosas cargas de trabajo. Seleccione subredes que, por ejemplo, no permitan que una carga de trabajo se comunique con el back-end de otra carga de trabajo.

Aunque se han usado grupos de seguridad de red para ilustrar cómo se puede controlar el tráfico de la subred, también puede aplicar esta segmentación mediante una aplicación virtualizada de red de Azure Marketplace o Azure Firewall.

Patrón 2: Varias redes virtuales con emparejamiento entre ellas

Este patrón es la extensión del anterior en el que tiene varias redes virtuales con posibles conexiones de emparejamiento. Podría usar este patrón para agrupar las aplicaciones en redes virtuales independientes o si necesita estar presente en varias regiones de Azure. La segmentación integrada se obtiene mediante redes virtuales, ya que tiene que emparejar explícitamente una red virtual con otra para que se comuniquen. (Tenga en cuenta que el emparejamiento de red virtual no es transitivo). Para segmentar aún más en una red virtual de forma similar al patrón 1, utilice grupos de seguridad de red/grupos de seguridad de aplicaciones en las redes virtuales.

Diagrama en el que se muestra el patrón de múltiples redes virtuales.

Patrón 3: varias redes virtuales en un modelo de red en estrella tipo hub-and-spoke

Este patrón es una organización de red virtual más avanzada en la que elige una red virtual de una región concreta como el centro de conectividad de todas las demás redes virtuales de esa región. La conectividad entre la red virtual de concentrador y sus redes virtuales de radio se logra mediante el emparejamiento de redes virtuales de Azure. Todo el tráfico pasa a través de la red virtual de concentrador y puede actuar como puerta de enlace para otros concentradores de otras regiones. Configura la posición de seguridad en los centros de conectividad para que puedan segmentar el tráfico entre las redes virtuales y controlarlo de una manera escalable. Una de las ventajas de este patrón es que, a medida que crece la topología de red, no lo hace la sobrecarga de la posición de seguridad (excepto cuando se expande a nuevas regiones). Además, este patrón de topología se puede reemplazar por Azure Virtual WAN, lo que permite a los usuarios administrar una red virtual de concentrador como un servicio administrado. Consulte Topología de red en estrella tipo hub-and-spoke con Azure Virtual WAN para más información sobre las ventajas de utilizar Azure Virtual WAN.

Diagrama en el que se muestra el modelo de red en estrella tipo hub-and-spoke.

El control de segmentación nativo en la nube de Azure recomendado es Azure Firewall. Azure Firewall funciona tanto en las redes virtuales como en las suscripciones para controlar los flujos de tráfico mediante controles de capa 3 a capa 7. Puede definir el aspecto de las reglas de comunicación (por ejemplo, la red virtual X no se puede comunicar con la red virtual Y, pero sí con la red virtual Z, sin Internet para la red virtual X excepto para el acceso a *.github.com, etc.), y aplicarlo de forma coherente. Con Azure Firewall Manager, puede administrar de forma centralizada las directivas en varias instancias de Azure Firewall y habilitar equipos de DevOps para personalizar aún más las directivas locales. También puede usar Azure Firewall Manager al elegir Azure Virtual WAN como una red de concentrador administrada.

En la tabla siguiente se muestra una comparación de las topologías de patrones:

Patrón 1 Patrón 2 Patrón 3
Conectividad y enrutamiento: cómo se comunica cada segmento entre sí El enrutamiento del sistema proporciona conectividad predeterminada a cualquier carga de trabajo de cualquier subred Igual que un patrón 1 No hay conectividad predeterminada entre las redes virtuales de radio. Para habilitar la conectividad, se necesita un enrutador de capa 4 como Azure Firewall en la red virtual del concentrador.
Filtrado del tráfico de nivel de red El tráfico se permite de manera predeterminada. Se pueden usar grupos de seguridad de red y grupos de seguridad de aplicaciones para filtrar este patrón. Igual que un patrón 1 De forma predeterminada, se deniega el tráfico entre las redes virtuales de radio. La configuración de Azure Firewall puede habilitar el tráfico seleccionado, como windowsupdate.com.
Registro centralizado Registros de grupos de seguridad de red y grupos de seguridad de aplicaciones para la red virtual Agregación de registros de grupos de seguridad de red y grupos de seguridad de aplicaciones en todas las redes virtuales Azure Firewall registra en Azure Monitor todo el tráfico aceptado o denegado que se envía a través de un concentrador.
Puntos de conexión públicos abiertos involuntarios DevOps puede abrir accidentalmente un punto de conexión público a través de reglas incorrectas de grupos de seguridad de red y grupos de seguridad de aplicaciones. Igual que un patrón 1 El punto de conexión público abierto accidentalmente en una red virtual de radio no habilitará el acceso. El paquete devuelto se descartará mediante un firewall con estado (enrutamiento asimétrico).
Protección de nivel de aplicación El grupo de seguridad de red o grupo de seguridad de aplicaciones solo proporciona compatibilidad con la capa de red. Igual que un patrón 1 Azure Firewall admite el filtrado de FQDN para HTTP/S y MSSQL para el tráfico saliente y entre redes virtuales.

Patrón 4: varias redes virtuales en varios segmentos de red

En este patrón, se explica cómo administrar y proteger varias redes virtuales, que también se encuentran en varias suscripciones, como un método centralizado. Las reglas de administración de seguridad creadas en AVNM pueden aplicar una regla de seguridad de línea base de forma coherente, independientemente de si las redes virtuales están conectadas entre sí o si pertenecen a suscripciones diferentes. Por ejemplo, deshabilite el puerto 22 de SSH, el puerto 3389 de RDP y otros puertos de alto riesgo de Internet para proteger la solución frente a infracciones de seguridad en todas las redes virtuales de la organización. Consulte Reglas de administración de seguridad en Azure Virtual Network Manager (versión preliminar) para más información sobre las reglas de administración de seguridad y cómo funcionan.

Diagrama en el que se muestra Azure Virtual Network Manager.

Aunque AVNM es una excelente solución para proteger toda la red de una organización con un conjunto mínimo de reglas de red, se deben usar aún los grupos de seguridad de red y los grupos de seguridad de aplicaciones para aplicar reglas de red granulares a cada red virtual, además de AVNM. Este proceso puede variar de sistema a sistema en función de sus requisitos de seguridad.

Pasos siguientes

Más información sobre las tecnologías de los componentes:

Explore las arquitecturas relacionadas: