Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure ExpressRoute habilita conexiones privadas y de alto rendimiento entre la infraestructura local y los servicios en la nube de Microsoft, pasando la red pública de Internet. Aunque esta conectividad dedicada mejora la seguridad y la confiabilidad, es esencial implementar procedimientos recomendados para proteger la implementación frente a posibles amenazas.
En esta guía se proporcionan recomendaciones accionables para proteger la implementación de Azure ExpressRoute, que abarcan áreas clave como la seguridad de red, la administración de identidades, la protección de datos, el registro y la detección de amenazas, la administración de recursos y la copia de seguridad y la recuperación. Siguiendo estas directrices, puede reforzar su posición de seguridad, garantizar el cumplimiento y mantener la continuidad operativa.
Seguridad de red
La seguridad de red para ExpressRoute implica la segmentación adecuada, el control de flujo de tráfico y la supervisión para proteger la conectividad híbrida. Dado que ExpressRoute se integra con redes virtuales, proteger la capa de red es fundamental para mantener el aislamiento y evitar el acceso no autorizado a los recursos en la nube.
Configurar el cifrado MACsec para ExpressRoute Direct: active el cifrado MACsec (Seguridad de control de acceso multimedia) en conexiones de ExpressRoute Direct para agregar cifrado de nivel 2 entre el equipo de red y los enrutadores perimetrales de Microsoft. Almacene las claves MACsec de forma segura en Azure Key Vault. Obtenga más información en Configuración del cifrado MACsec para ExpressRoute Direct.
Implementación de puertas de enlace de ExpressRoute en subredes dedicadas: las puertas de enlace de ExpressRoute se implementan en redes virtuales y proporcionan conectividad segura de forma predeterminada. La subred de puerta de enlace (GatewaySubnet) está configurada con los controles de seguridad adecuados. Para más información, consulte Puerta de enlace de ExpressRoute.
Controlar el tráfico con grupos de seguridad de red: aplique grupos de seguridad de red (NSG) a subredes con recursos conectados a través de ExpressRoute para restringir el tráfico por puerto, protocolo y dirección IP de origen. Cree reglas de NSG para denegar todo el tráfico entrante de forma predeterminada y permitir solo la comunicación necesaria. Para obtener más información, consulte Introducción a los grupos de seguridad de red.
Uso de Azure Firewall o aplicaciones virtuales de red (NVA): implemente Azure Firewall o aplicaciones virtuales de red de terceros (NVA) para agregar controles de seguridad como el filtrado de nivel de aplicación, la inteligencia sobre amenazas y el registro. Estos dispositivos inspeccionan el tráfico a través de ExpressRoute y aplican directivas de seguridad avanzadas. Para más información, consulte Introducción a Azure Firewall.
Nota:
No puede configurar Grupos de Seguridad de Red (NSGs) directamente en la Subred del Gateway (GatewaySubnet).
Implementación de la segmentación de red: use el emparejamiento de red virtual y las tablas de rutas para controlar el flujo de tráfico entre segmentos de red conectados a través de ExpressRoute. Esto aísla las cargas de trabajo confidenciales y limita el efecto de los incidentes de seguridad. Para más información, consulte Emparejamiento de redes virtuales y tablas de rutas.
Implemente puertas de enlace de red virtual de ExpressRoute con redundancia de zona y distribúyalas entre zonas de disponibilidad para garantizar la tolerancia a fallos y una alta disponibilidad. Las puertas de enlace con redundancia de zona mantienen la conectividad operativa incluso si una zona de disponibilidad tiene una interrupción. Para más información, consulte Puertas de enlace de red virtual con redundancia de zona.
Usar diferentes proveedores de servicios de ExpressRoute: Elija diferentes proveedores de servicios para cada circuito para garantizar trayectorias diversas y reducir el riesgo de una interrupción en la red debido a la falla de un único proveedor. Para más información, consulte Ubicaciones y proveedores de servicios de ExpressRoute.
Supervisión de conexiones de ExpressRoute: habilite el registro de diagnóstico y la supervisión para realizar un seguimiento del estado de la conexión, el rendimiento y los eventos de seguridad. Para más información, consulte Supervisión de Azure ExpressRoute.
Administración de identidades
ExpressRoute no admite la autenticación tradicional basada en identidades para el acceso al plano de datos porque funciona en la capa de red. Sin embargo, la administración de identidades adecuada es esencial para controlar el acceso a recursos de ExpressRoute y servicios relacionados, como Azure Key Vault para la configuración de MACsec.
Use Azure RBAC para las operaciones de administración: aplique el control de acceso basado en rol para limitar quién puede crear, modificar o eliminar circuitos ExpressRoute y puertas de enlace. Asigne los permisos mínimos necesarios a los usuarios y las cuentas de servicio. Para más información, consulte Control de acceso basado en rol (RBAC) de Azure.
Protección de secretos de MACsec con Azure Key Vault: almacene las claves de cifrado de MACsec de forma segura en Azure Key Vault en lugar de insertarlas en los archivos de configuración. ExpressRoute usa identidades administradas para autenticarse con Key Vault para recuperar estos secretos. Para obtener más información, consulte Configuración del cifrado MACsec para ExpressRoute Direct.
Implementar el acceso condicional para la administración: use las directivas de acceso condicional de Microsoft Entra para controlar el acceso administrativo a los recursos de ExpressRoute en función de la ubicación del usuario, el cumplimiento de dispositivos y el nivel de riesgo. Esto ayuda a garantizar que solo los usuarios autorizados puedan administrar circuitos y puertas de enlace de ExpressRoute. Para obtener más información, vea Acceso condicional.
Protección de los datos
ExpressRoute proporciona conectividad privada, pero no cifra los datos en tránsito de forma predeterminada. Agregue medidas de cifrado y seguridad para proteger los datos confidenciales a medida que fluyen entre el entorno local y los servicios de Azure.
Configurar la autenticación hash MD5: Use la autenticación hash MD5 al configurar el emparejamiento privado o el emparejamiento de Microsoft para proteger los mensajes entre el enrutador local y los enrutadores de Microsoft Enterprise Edge (MSEE). Esto garantiza la integridad de los datos y evita la manipulación durante el tránsito. Obtenga más información en Requisitos de enrutamiento de ExpressRoute.
Implementación de VPN de IPsec a través de ExpressRoute: para agregar cifrado a través del emparejamiento privado de ExpressRoute, configure una conexión VPN que use el circuito ExpressRoute como transporte. Esto agrega cifrado de un extremo a otro para el tráfico. Aprenda más en Uso de VPN S2S como respaldo para el emparejamiento privado de ExpressRoute.
Cifrado de datos confidenciales en la capa de aplicación: dado que ExpressRoute no proporciona cifrado de capa de aplicación, asegúrese de que las aplicaciones cifran datos confidenciales antes de la transmisión mediante métodos de cifrado tls/SSL o específicos de la aplicación.
Registro y detección de amenazas
La supervisión de conexiones de ExpressRoute y la actividad de red relacionada es esencial para detectar posibles amenazas de seguridad y mantener el cumplimiento. El registro adecuado ayuda a identificar patrones de tráfico inusuales y problemas de conexión que podrían indicar incidentes de seguridad.
Habilitación de registros de recursos de ExpressRoute: configure la configuración de diagnóstico para enviar registros de recursos de ExpressRoute a Azure Monitor, Log Analytics o Azure Storage para el análisis y la retención. Estos registros muestran los eventos de conexión y las métricas de rendimiento. Para más información, consulte Supervisión de Azure ExpressRoute.
Configurar alertas para problemas de estado y conexión del servicio: use Azure Monitor para configurar alertas para interrupciones del circuito ExpressRoute, degradación del rendimiento, cambios de configuración y eventos de mantenimiento planeados y no planeados. Estas alertas le ayudan a administrar proactivamente la conectividad y la posición de seguridad. Para más información, consulte Supervisión de circuitos ExpressRoute.
Supervisión de patrones de tráfico de red: use la herramienta Azure Network Watcher y el análisis de tráfico para examinar el tráfico a través de su conexión de ExpressRoute. Esto ayuda a encontrar patrones inusuales que podrían indicar amenazas de seguridad o configuraciones incorrectas. Para más información, consulte Azure Network Watcher y Supervisión del tráfico de red con Análisis de tráfico.
Integración con Microsoft Sentinel: envíe registros de ExpressRoute a Microsoft Sentinel para detectar amenazas avanzadas y correlacionarlas con otros eventos de seguridad en el entorno híbrido.
Administración de recursos
La administración eficaz de recursos de ExpressRoute implica implementar una gobernanza adecuada, supervisar configuraciones y garantizar el cumplimiento de las directivas de la organización. La administración de recursos adecuada ayuda a mantener la posición de seguridad y la visibilidad operativa.
Implementación del etiquetado de recursos: use etiquetas de recursos de Azure para organizar y realizar un seguimiento de circuitos, puertas de enlace y recursos relacionados de ExpressRoute. Las etiquetas ayudan con la administración de costos, la clasificación de seguridad y la responsabilidad operativa. Para más información, consulte Etiquetas de recursos de Azure.
Seguimiento del uso del circuito: supervise el uso del ancho de banda y los patrones de conexión para identificar actividades inusuales que pueden indicar amenazas de seguridad o problemas operativos.
Mantener documentación: mantenga registros detallados de las configuraciones de ExpressRoute, incluida la configuración del circuito, las directivas de enrutamiento y las configuraciones de seguridad, para admitir la respuesta a incidentes y la auditoría de cumplimiento.
Copia de seguridad y recuperación
Asegúrese de la continuidad empresarial para la conectividad de ExpressRoute mediante la implementación de soluciones de copia de seguridad y procedimientos de recuperación. Aunque no se puede realizar una copia de seguridad de los circuitos ExpressRoute, cree opciones de conectividad redundantes y opciones de configuración de documentos.
Implementación de circuitos ExpressRoute redundantes: Configure varios circuitos ExpressRoute en ubicaciones de emparejamiento independientes para lograr alta disponibilidad y conmutación automática por error. Este enfoque garantiza que la conectividad permanezca operativa si un circuito encuentra un problema. Para obtener más información, consulte Diseño de una conexión expressRoute resistente.
Implementación de la conectividad de copia de seguridad de VPN: Configure conexiones VPN de sitio a sitio como copia de seguridad para el emparejamiento privado de ExpressRoute. Esta configuración proporciona conectividad alternativa si se produce un error en el circuito ExpressRoute principal. Para obtener más información, consulte Uso de VPN S2S como copia de seguridad del emparejamiento privado de ExpressRoute.
Prueba los procedimientos de conmutación por error: realice pruebas periódicas de las opciones de conectividad de respaldo y los procedimientos de conmutación por error para asegurarse de que funcionen correctamente cuando sean necesarios. Use herramientas como Azure Connectivity Toolkit para validar el rendimiento y la conectividad. Para más información, consulte Kit de herramientas de conectividad de Azure.
Opciones de configuración del documento: mantenga documentación detallada de las configuraciones de ExpressRoute, incluida la configuración del circuito, las configuraciones de enrutamiento y las directivas de seguridad. Esta documentación permite una recuperación más rápida si hay problemas de configuración o reemplazo de circuitos. Para más información, consulte Configuración del circuito ExpressRoute.
Aproveche la información de resistencia y la validación para la recuperación: Use ExpressRoute Resiliency Insights para evaluar la resistencia de la conectividad y validar los objetivos de tiempo de recuperación. Resiliency Insights le ayuda a identificar brechas de configuración, escenarios de error de prueba y a validar que las soluciones de copia de seguridad y conmutación por error cumplen los requisitos de recuperación empresarial. Realice periódicamente la validación de resistencia para asegurarse de que el entorno está preparado para interrupciones y que los procedimientos de recuperación son eficaces. Para más información, consulte Conclusiones de resistencia de ExpressRoute y Validación de resistencia de ExpressRoute.