Compartir a través de

Configuración de Azure Monitor con perímetro de seguridad de red

En este artículo se proporciona el proceso para configurar un perímetro de seguridad de red para los recursos de Azure Monitor. El perímetro de seguridad de red es una característica de aislamiento de red que proporciona un perímetro protegido para la comunicación entre los servicios PaaS implementados fuera de una red virtual. Estos servicios PaaS se pueden comunicar entre sí dentro del perímetro y también pueden hacerlo con recursos fuera del perímetro mediante reglas de acceso de entrada y salida públicas.

El perímetro de seguridad de red permite controlar el acceso a la red mediante la configuración de aislamiento de red en los recursos de Azure Monitor admitidos. Una vez configurado un perímetro de seguridad de red, puede realizar las siguientes acciones:

  • Controle el acceso de red a los recursos de Azure Monitor admitidos en función de las reglas de acceso entrante y saliente definidas para el perímetro de seguridad de red.
  • Registrar todo el acceso de red a los recursos de Azure Monitor admitidos.
  • Bloquee cualquier filtración de datos a los servicios que no se encuentra en el perímetro de seguridad de red.

Sugerencia

Para obtener instrucciones sobre cómo realizar la transición de los recursos de Azure Monitor a un perímetro de seguridad de red, consulte Transición a un perímetro de seguridad de red en Azure.

Regiones

El perímetro de seguridad de red de Azure está disponible en todas las regiones de nube pública en las que se admite Azure Monitor.

Limitaciones actuales

  • Para escenarios de exportación de Log Analytics con cuentas de almacenamiento o centros de eventos, tanto el área de trabajo de Log Analytics como el centro de eventos o la cuenta de almacenamiento deben formar parte del mismo perímetro.
  • Solo los recursos de Azure que admiten perímetros de seguridad de red pueden usar una configuración de diagnóstico con un destino en un perímetro de seguridad de red. El recurso que se supervisa también debe estar en el mismo perímetro de seguridad de red que el destino.
  • Los recursos de los grupos de acciones globales no admiten perímetros de seguridad de red. Debe crear recursos de grupos de acción regional que apoyen los perímetros de seguridad de la red.
  • Las consultas entre recursos se bloquean para las áreas de trabajo de Log Analytics asociadas a un perímetro de seguridad de red. Esto incluye el acceso al área de trabajo a través de un clúster de ADX.
  • Los registros de acceso perimetral de seguridad de red se muestrearán cada 30 minutos.
  • No se admite la replicación del área de trabajo de Log Analytics.
  • No se admite la ingesta de eventos de Azure Event Hubs.
  • No se admite la recopilación y consulta de datos con áreas de trabajo de Azure Monitor .

Nota:

Estas limitaciones también se aplican a las áreas de trabajo de Log Analytics habilitadas para Sentinel.

Componentes admitidos

Los componentes de Azure Monitor que se admiten con los perímetros de seguridad de red se muestran en la tabla siguiente con su versión de API mínima. Consulte Recursos de vínculos privados incorporados para obtener una lista de los otros servicios de Azure compatibles con los perímetros de seguridad de red.

Recurso Tipo de recurso Versión de API
Un punto de conexión de recopilación de datos (DCE) Microsoft.Insights/dataCollectionEndpoints 2023-03-11
Área de trabajo de Log Analytics Microsoft.OperationalInsights/workspaces 2023-09-01
Alertas de consulta de registro Microsoft.Insights/ScheduledQueryRules 2022-08-01-preliminar
Grupos de acciones 12 Microsoft.Insights/actionGroups 2023-05-01
Configuración de diagnóstico Microsoft.Insights/diagnosticSettings 2021-05-01-preview

1 Los perímetros de seguridad de red solo funcionan con grupos de acciones regionales. Los grupos de acciones globales tienen como valor predeterminado el acceso a la red pública.

2 Event Hubs es actualmente el único tipo de acción admitido para los perímetros de seguridad de red. Todas las demás acciones tienen como valor predeterminado el acceso a la red pública.

Componentes no compatibles

Los siguientes componentes de Azure Monitor no son compatibles con un perímetro de seguridad de red.

  • Application Insights Profiler para .NET y Snapshot Debugger
  • Clave administrada por el cliente de Log Analytics
  • Consultas entre recursos que incluyen las áreas de trabajo de Log Analytics asociadas a un perímetro de seguridad de red
  • Área de trabajo de Azure Monitor (para métricas de Prometheus administradas)

Nota:

Para Application Insights, configure el perímetro de seguridad de red para el área de trabajo de Log Analytics que se usa para el recurso de Application Insights.

Creación de un perímetro de seguridad de red

Cree un perímetro de seguridad de red mediante Azure Portal, la CLI de Azure o PowerShell.

Adición de un área de trabajo de Log Analytics a un perímetro de seguridad de red

  1. En el menú Perímetro de seguridad de red de Azure Portal, seleccione el perímetro de seguridad de red.

  2. Seleccione Recursos y, a continuación, Agregar ->Asociar recursos a un perfil existente.

    Captura de pantalla de la asociación de un recurso con un perfil perimetral de seguridad de red en Azure Portal.

  3. Seleccione el perfil que desea asociar al recurso del área de trabajo de Log Analytics.

  4. Seleccione Asociar y después, el área de trabajo de Log Analytics.

  5. Seleccione Asociar en la sección inferior izquierda de la pantalla para crear la asociación con el perímetro de seguridad de red.

    Captura de pantalla de la asociación de un área de trabajo con un perfil perimetral de seguridad de red en Azure Portal.

Importante

Al transferir un área de trabajo de Log Analytics entre grupos de recursos o suscripciones, vincule al perímetro de seguridad de red para conservar las directivas de seguridad. Si se elimina el área de trabajo, asegúrese de quitar también sus asociaciones del perímetro de seguridad de red.

Reglas de acceso para el área de trabajo de Log Analytics

Un perfil del perímetro de seguridad de red especifica las reglas que permiten o deniegan el acceso a través del perímetro. Dentro del perímetro, todos los recursos tienen acceso mutuo en el nivel de red, aunque aún están sujetos a autenticación y autorización. Para los recursos fuera del perímetro de seguridad de red, debe especificar reglas de acceso entrante y saliente. Las reglas de entrada especifican qué conexiones permitir y las reglas de salida especifican qué solicitudes se permiten.

Nota:

Cualquier servicio asociado a un perímetro de seguridad de red permite implícitamente el acceso entrante y saliente a cualquier otro servicio asociado al mismo perímetro de seguridad de red cuando ese acceso se autentica mediante identidades administradas y asignaciones de roles. Las reglas de acceso solo deben crearse al permitir el acceso fuera del perímetro de seguridad de red, o bien para el acceso autenticado mediante claves de API.

Adición de una regla de acceso entrante del perímetro de seguridad de red

Las reglas de acceso entrante del perímetro de seguridad de red pueden permitir que Internet y los recursos fuera del perímetro se conecten con recursos dentro del perímetro.

Los perímetros de seguridad de red admiten dos tipos de reglas de acceso de entrada:

  • Intervalos de direcciones IP. Las direcciones IP o los intervalos deben estar en el formato de enrutamiento entre dominios sin clases (CIDR). Un ejemplo de notación CIDR es 8.8.8.0/24, que representa las direcciones IP que van de 8.8.8.0 a 8.8.8.255. Este tipo de regla permite la entrada desde cualquier dirección IP del intervalo.
  • Suscripciones. Este tipo de regla permite el acceso entrante autenticado mediante cualquier identidad administrada de la suscripción.

Use el siguiente proceso para agregar una regla de acceso de entrada perimetral de seguridad de red mediante Azure Portal:

  1. Vaya al recurso de perímetro de seguridad de red en Azure Portal.

  2. Seleccione Perfiles y, a continuación, el perfil que utiliza con el perímetro de seguridad de su red.

    Captura de pantalla de los perfiles perimetrales de seguridad de red en Azure Portal.

  3. Seleccione Reglas de acceso de entrada.

    Captura de pantalla de las reglas de acceso entrante del perfil perimetral de seguridad de red en Azure Portal.

  4. Haga clic en Agregar o Agregar regla de acceso de entrada. Introduzca o seleccione los siguientes valores:

    Configuración Importancia
    Nombre de la regla Nombre de la regla de acceso de entrada. Por ejemplo , MyInboundAccessRule.
    Tipo de origen Los valores válidos son intervalos de direcciones IP o suscripciones.
    Orígenes permitidos Si seleccionó intervalos de direcciones IP, escriba el intervalo de direcciones IP en formato CIDR desde el que desea permitir el acceso entrante. Los intervalos IP de Azure están disponibles en intervalos IP de Azure y etiquetas de servicio: nube pública. Si seleccionó Suscripciones, use la suscripción desde la que desea permitir el acceso entrante.

  5. Haga clic en Agregar para crear la regla de acceso de entrada.

    Captura de pantalla de la nueva regla de acceso entrante del perfil perimetral de seguridad de red en Azure Portal.

Añadir una regla de acceso saliente en el perímetro de seguridad de la red

La exportación de datos en un área de trabajo de Log Analytics permite exportar continuamente datos para tablas concretas del área de trabajo. Puede exportar a Azure Storage o Azure Event Hubs a medida que llegan los datos a una canalización de Azure Monitor.

Un área de trabajo de Log Analytics dentro de un perímetro de seguridad solo puede exportarse a cuentas de almacenamiento y centros de eventos en el mismo perímetro. Otros destinos requieren una regla de acceso de salida basada en el nombre de dominio completo (FQDN) del destino.

Use el siguiente proceso para agregar una regla de acceso saliente perimetral de seguridad de red mediante Azure Portal:

  1. Vaya al recurso de perímetro de seguridad de red en Azure Portal.

  2. Seleccione Perfiles y, a continuación, el perfil que utiliza con el perímetro de seguridad de su red.

    Captura de pantalla de los perfiles perimetrales de seguridad de red en Azure Portal.

  3. Seleccione Reglas de acceso de salida.

  4. Haga clic en Agregar o Agregar regla de acceso de salida. Introduzca o seleccione los siguientes valores:

    Configuración Importancia
    Nombre de la regla Nombre de la regla de acceso saliente. Por ejemplo , MyOutboundAccessRule.
    Tipo de destino Déjelo como FQDN.
    Destinos permitidos Escriba una lista separada por comas de FQDN a los que quiera permitir el acceso de salida.

  5. Seleccione Agregar para crear la regla de acceso de salida.

    Captura de pantalla de la nueva regla de acceso saliente del perfil perimetral de seguridad de red en Azure Portal.

Recopilación de registros de acceso

Los registros de recursos proporcionan información sobre el funcionamiento de los perímetros de seguridad de red y ayudan a diagnosticar cualquier problema. Consulte Registros de recursos para perímetro de seguridad de red para más información sobre cómo crear una configuración de diagnóstico para recopilar registros de recursos para un perímetro de seguridad de red.

Pasos siguientes