Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Virtual Network es el bloque de creación fundamental para la red privada en Azure, lo que permite a los recursos de Azure comunicarse de forma segura entre sí, internet y redes locales. Al implementar redes virtuales, debe implementar controles de seguridad para proteger la infraestructura de red, controlar el flujo de tráfico y evitar el acceso no autorizado a los recursos.
En este artículo se proporcionan instrucciones sobre cómo proteger mejor la implementación de Azure Virtual Network.
Seguridad de red
La seguridad de red para redes virtuales se centra en controlar el flujo de tráfico, implementar la segmentación de red y proteger contra amenazas externas. Los controles de seguridad de red adecuados ayudan a aislar las cargas de trabajo, evitar el movimiento lateral y defenderse contra ataques de denegación de servicio distribuidos.
Segmente las cargas de trabajo mediante grupos de seguridad de red (NSG) y grupos de seguridad de aplicaciones: aplique grupos de seguridad de red a subredes e interfaces de red para controlar el tráfico entrante y saliente en función de la dirección IP de origen, la IP de destino, el puerto y el protocolo. Use grupos de seguridad de aplicaciones para agrupar máquinas virtuales lógicamente y definir directivas de seguridad de red basadas en la estructura de la aplicación. Use un enfoque de "denegar de forma predeterminada, permitir por excepción" para minimizar la superficie expuesta a ataques. Para obtener más información, consulte Grupos de seguridad de red.
Habilitar registros de flujo de NSG para la supervisión del tráfico: configure los registros de flujo de NSG para capturar información sobre el tráfico IP que fluye a través de los grupos de seguridad de red. Envíe estos registros a Log Analytics de Azure Monitor y use Análisis de tráfico para visualizar la actividad de red e identificar las amenazas de seguridad. Para obtener más información, consulte Registros de flujo de NSG.
Implementación de Azure Firewall para la protección centralizada con estado: Use Azure Firewall para controlar el tráfico entrante y saliente en las redes virtuales con inspección de paquetes con estado completo. Defina y administre reglas de aplicación y red a escala mediante directivas de firewall centralizadas. Azure Firewall admite DNAT para proteger el acceso entrante y SNAT para una conectividad saliente coherente. Para mejorar la seguridad, habilite el filtrado basado en inteligencia sobre amenazas para alertar y denegar automáticamente el tráfico a direcciones IP y dominios malintencionados conocidos, y use Azure Firewall Premium con el sistema de detección y prevención de intrusiones (IDPS) para supervisar y bloquear el tráfico de red malintencionado. Integración con Azure Monitor para obtener una visibilidad completa del tráfico y el análisis de registros. Para más información, consulte Azure Firewall.
Habilitar DDoS Protection Estándar: Active la Protección DDoS Estándar en sus redes virtuales para defenderse de los ataques de denegación de servicio distribuidos. Este servicio proporciona funcionalidades mejoradas de mitigación de DDoS y supervisión en tiempo real para las direcciones IP públicas. Para más información, consulte Azure DDoS Protection Standard.
Use etiquetas de servicio para simplificar las reglas de seguridad: reemplace direcciones IP específicas por etiquetas de servicio en las reglas de NSG para permitir la comunicación con los servicios de Azure a la vez que mantiene la seguridad. Microsoft actualiza automáticamente las etiquetas de servicio a medida que cambian los intervalos IP. Para obtener más información, consulte Etiquetas de servicio.
Configuración de la captura de paquetes para el análisis forense: habilite la captura de paquetes en máquinas virtuales o use la captura de paquetes de VPN Gateway para registrar el tráfico de red para el análisis de seguridad y la investigación de incidentes. Para más información, consulte Captura de paquetes de Network Watcher.
Implementación de Azure Bastion para el acceso seguro a RDP/SSH: use Azure Bastion para conectarse de forma segura a máquinas virtuales a través de RDP o SSH sin exponerlos a la red pública de Internet. Bastion elimina la necesidad de direcciones IP públicas en máquinas virtuales y reduce la superficie expuesta a ataques. Para más información, consulte Azure Bastion.
Implementación de Azure NAT Gateway para el tráfico saliente: use Azure NAT Gateway para proporcionar una dirección IP de salida estática para los recursos de red virtual, lo que garantiza el tráfico de salida seguro y escalable. NAT Gateway también proporciona protección contra el agotamiento de puertos. Para más información, consulte Azure NAT Gateway.
Uso de puntos de conexión privados y Private Link para servicios de Azure: use Azure Private Link para acceder a los servicios PaaS de Azure (como Azure Storage, SQL Database) a través de un punto de conexión privado dentro de la red virtual. Private Link elimina la exposición a la red pública de Internet y mejora la seguridad manteniendo el tráfico dentro de la red troncal de Azure. Para obtener más información, consulte Azure Private Link.
Configurar subredes como privadas de forma predeterminada: para las subredes que no requieren acceso público a Internet, configúrelas como subredes privadas. Use Azure Firewall o NAT Gateway para el acceso saliente controlado si es necesario. Para más información, consulte Acceso de salida predeterminado en Azure.
Aplicar recomendaciones de protección de red adaptable: use la protección de red adaptable de Microsoft Defender for Cloud para recibir recomendaciones basadas en aprendizaje automático para reforzar las reglas de NSG basadas en patrones de tráfico reales e inteligencia sobre amenazas. Para obtener más información, consulte Protección de red adaptable.
Diseño con principios de defensa en profundidad: implemente varias capas de controles de seguridad de red para crear protección redundante. Use estrategias de segmentación que aíslen las cargas de trabajo críticas y apliquen diferentes medidas de seguridad en cada límite de red para contener posibles infracciones.
Habilitación del cifrado de red virtual: use el cifrado de Azure Virtual Network para cifrar los datos en tránsito entre máquinas virtuales dentro de la misma red virtual y entre redes virtuales emparejadas de forma regional y global. Esto proporciona protección adicional para las comunicaciones de datos confidenciales. Para más información, consulte Cifrado de red virtual.
Mantener el perímetro de seguridad actualizado: revise y actualice periódicamente la configuración de seguridad, incluidos los grupos de seguridad de red, los grupos de seguridad de aplicaciones y los intervalos de direcciones IP. Es posible que las reglas obsoletas no se alineen con la arquitectura de red o los patrones de tráfico actuales, lo que podría crear brechas de seguridad. Para obtener más información, consulte Introducción a los grupos de seguridad de red.
Limitar el uso de direcciones IP públicas: minimice el número de direcciones IP públicas mediante direcciones IP públicas compartidas de servicios como Azure Front Door o Application Gateway. Cuando se necesiten direcciones IP públicas, implemente la administración de puertos adecuada y la validación de solicitudes. Para obtener más información, consulte Direcciones IP públicas.
Administración de identidades
La administración de identidades para redes virtuales implica controlar el acceso a los recursos de red y garantizar que solo los usuarios y servicios autorizados puedan modificar las configuraciones de red. Los controles de identidad adecuados impiden cambios de red no autorizados y mantienen la posición de seguridad de red.
Uso de Azure RBAC para el acceso a recursos de red: asigne roles integrados adecuados, como Colaborador de red o roles personalizados con permisos específicos para controlar quién puede crear, modificar o eliminar redes virtuales y recursos relacionados. Siga el principio de usar privilegios mínimos. Para más información, consulte RBAC de Azure para redes.
Habilitar la integración de Microsoft Entra ID con SSO: use Microsoft Entra ID como proveedor de identidades centralizado para administrar el acceso a los recursos de red y los servicios de Azure relacionados. Implemente el inicio de sesión único (SSO) en lugar de configurar credenciales independientes individuales por servicio para reducir la superficie expuesta a ataques y minimizar los requisitos de contraseña. La integración de Microsoft Entra ID garantiza una autenticación y autorización coherentes en toda la infraestructura de red. Para más información, consulte Inicio de sesión único en aplicaciones.
Implementar el acceso condicional para los administradores de red: configure directivas de acceso condicional para requerir autenticación multifactor y restringir el acceso a las operaciones de administración de red en función de la ubicación del usuario, el cumplimiento de dispositivos y el nivel de riesgo. Para obtener más información, vea Acceso condicional.
Uso de identidades administradas para recursos de Azure: habilite identidades administradas para recursos de Azure que necesiten acceder a otros servicios de Azure, lo que elimina la necesidad de almacenar credenciales en las configuraciones de red virtual. Esto proporciona autenticación segura y sin credenciales. Para obtener más información, consulte identidades administradas.
Revisión y conciliación periódicas del acceso de los usuarios: realice revisiones de acceso periódicas para administrar de forma eficaz las pertenencias a grupos, el acceso a las aplicaciones empresariales y las asignaciones de roles. Asegúrese de que solo los usuarios activos tienen acceso continuo a las funciones de administración de red. Para más información, consulte Revisiones de acceso a identidades de Azure.
Aplicar el principio de privilegios mínimos para los roles de red: Configure el control de acceso basado en roles con un enfoque de acceso restringido para los roles relacionados con la red. Asegúrese de que los usuarios solo pueden modificar la configuración de red según sea necesario por su función de trabajo para minimizar los posibles riesgos de seguridad. Para más información, consulte Procedimientos recomendados de RBAC de Azure.
Acceso con privilegios
La administración de acceso con privilegios para redes virtuales se centra en proteger las operaciones administrativas y asegurarse de que el personal autorizado realice cambios de configuración de red con la supervisión y supervisión adecuadas.
Exigir la autenticación multifactor para los administradores de red: requerir MFA para todos los usuarios con privilegios de administración de red para agregar una capa de seguridad adicional más allá de las contraseñas. MFA reduce significativamente el riesgo de ataques basados en credenciales. Para más información, vea Autenticación multifactor de Microsoft Entra.
Use el acceso Just-In-Time para las operaciones de red: Implemente Microsoft Entra Privileged Identity Management para proporcionar acceso limitado a los roles de administración de red. El acceso JIT reduce la ventana de exposición de las credenciales con privilegios. Para más información, consulte Privileged Identity Management.
Supervisión de actividades de red con privilegios: habilite el registro y la supervisión de todas las operaciones de red con privilegios, incluidos los cambios del grupo de seguridad de red, las modificaciones de la tabla de rutas y las actualizaciones de reglas de firewall. Use el registro de actividad de Azure y Azure Monitor para realizar un seguimiento de las acciones administrativas. Para más información, consulte Registro de actividad de Azure.
Usar cuentas administrativas dedicadas con estaciones de trabajo de acceso con privilegios: cree procedimientos operativos estándar en torno al uso de cuentas administrativas dedicadas. Implemente estaciones de trabajo de acceso con privilegios (PAW) con autenticación multifactor configurada para que los administradores de red realicen tareas administrativas. Las PAW proporcionan un entorno protegido y seguro para administrar la infraestructura de red crítica. Use la administración de identidades y acceso de Microsoft Defender for Cloud para supervisar el número de cuentas administrativas. Para más información, consulte Estaciones de trabajo con privilegios de acceso.
Mantener el inventario de cuentas administrativas: Use roles administrativos integrados de Microsoft Entra ID que se pueden asignar explícitamente y que son consultables. Audite periódicamente las cuentas que son miembros de grupos administrativos para garantizar un control de acceso adecuado.
Protección de los datos
La protección de datos para redes virtuales implica proteger los datos en tránsito en toda la infraestructura de red y garantizar que las comunicaciones de red estén cifradas y protegidas contra la interceptación o manipulación.
Habilitar el cifrado en tránsito: asegúrese de que todo el tráfico de red usa protocolos de cifrado como TLS 1.2 o superior, IPsec para conexiones VPN y protocolos cifrados para las comunicaciones de aplicaciones. Azure proporciona cifrado de forma predeterminada para el tráfico entre centros de datos de Azure. Para obtener más información, consulte Cifrado en tránsito.
Habilitación del cifrado de Azure Virtual Network: use el cifrado de Azure Virtual Network para cifrar los datos en tránsito entre máquinas virtuales dentro de la misma red virtual. Esto proporciona una capa adicional de seguridad para los datos confidenciales. Para más información, consulte Cifrado de Azure Virtual Network.
Implementación de controles de acceso de red para datos confidenciales: use grupos de seguridad de red y Azure Firewall para restringir el acceso a subredes y recursos que contienen datos confidenciales. Aplique principios de defensa en profundidad con varias capas de controles de seguridad de red.
Habilitación de MACsec para Azure ExpressRoute: para conexiones ExpressRoute, habilite MACsec (Seguridad de control de acceso multimedia) para proporcionar cifrado de nivel 2 entre la red local y Azure, lo que garantiza la confidencialidad e integridad de los datos en tránsito. Para más información, consulte MACsec para ExpressRoute.
Clasificación de datos en función de la confidencialidad: asigne niveles de confidencialidad a los datos que fluyen a través de las redes virtuales e implemente los controles de seguridad de red adecuados en función de estas clasificaciones. Use esta clasificación para influir en el diseño de red y la priorización de seguridad.
Registro y detección de amenazas
El registro completo y la detección de amenazas para redes virtuales permite la supervisión de seguridad, la respuesta a incidentes y los informes de cumplimiento. El registro adecuado ayuda a identificar las amenazas de seguridad y proporciona funcionalidades forenses para la investigación de incidentes.
Centralice la recopilación de registros con Azure Monitor: configure las opciones de diagnóstico para enviar registros de red virtual, registros de flujo de NSG y registros de Azure Firewall al área de trabajo de Log Analytics de Azure Monitor para realizar análisis y correlación centralizados. Establezca los períodos de retención de registros adecuados según las regulaciones de cumplimiento de su organización y use cuentas de Azure Storage para el almacenamiento de archivos a largo plazo de los registros de seguridad. Para más información, consulte Azure Monitor.
Habilitar Microsoft Defender for Cloud: use Microsoft Defender for Cloud para supervisar los recursos de red virtual para detectar errores de configuración y amenazas de seguridad. Habilite las características de seguridad mejoradas para una protección completa. Para más información, consulte Microsoft Defender for Cloud.
Configuración de alertas y notificaciones de seguridad: configure alertas de Azure Monitor para eventos críticos de seguridad de red, como cambios de reglas de NSG, patrones de tráfico inusuales o bloques de firewall. Configure grupos de acciones para notificar automáticamente a los equipos de seguridad. Para obtener más información, vea Alertas de Azure Monitor.
Use Microsoft Sentinel para la detección de amenazas avanzada: conecte los registros de red virtual a Microsoft Sentinel para obtener análisis de seguridad avanzados, búsqueda de amenazas y funcionalidades de respuesta automatizadas. Para obtener más información, consulte Microsoft Sentinel.
Habilitar el registro completo para los recursos de red: active el registro de diagnóstico para redes virtuales, equilibradores de carga y otros componentes de red para capturar los cambios de configuración y los patrones de acceso. Configure el registro de consultas DNS para Azure DNS o servidores DNS personalizados para detectar ataques basados en DNS y intentos de filtración de datos. Supervise las consultas de dominio sospechosas y las actividades de tunelización dns.
Supervisión y análisis de registros con UEBA: revise periódicamente los registros para detectar eventos de seguridad y comportamiento anómalos. Use el área de trabajo de Log Analytics de Azure Monitor para consultar y realizar análisis sobre los datos de seguridad. Implemente herramientas de Análisis de comportamiento de usuarios y entidades (UEBA) para recopilar el comportamiento del usuario de los datos de supervisión y analizarlos para detectar patrones anómalos de acceso de usuario que podrían indicar amenazas de seguridad.
Administración de recursos
La administración de recursos para redes virtuales implica mantener un inventario de recursos de red, implementar directivas de gobernanza y garantizar el cumplimiento de los estándares de seguridad. La administración eficaz de recursos ayuda a mantener la posición de seguridad y permite una respuesta rápida a los incidentes de seguridad.
Use Azure Policy para la gobernanza y las restricciones de recursos: implemente definiciones de Azure Policy para aplicar estándares de seguridad para redes virtuales. Estas directivas pueden requerir grupos de seguridad de red en subredes, exigir reglas de seguridad específicas o impedir la creación de direcciones IP públicas. Use definiciones de directiva integradas, como "Tipos de recursos no permitidos" y "Tipos de recursos permitidos" para restringir la creación de recursos. Para más información, consulte Azure Policy para redes virtuales.
Etiquetar recursos de red para la organización: aplique estrategias de etiquetado coherentes a redes virtuales, subredes, NSG y recursos relacionados para habilitar la organización, la administración de costos y la aplicación de directivas de seguridad adecuadas. Utilice etiquetas y el campo de descripción en las reglas de NSG para especificar la necesidad empresarial, la duración y otra información de las reglas de seguridad, y así ayudar en las auditorías de seguridad y la gestión de reglas. Para obtener más información, consulte Etiquetado de recursos.
Supervisión de los cambios de configuración de recursos: use Azure Resource Graph para consultar y detectar todos los recursos de red en las suscripciones. Configure alertas para cambios no autorizados en configuraciones de red críticas. Para más información, consulte Azure Resource Graph.
Implementación de la administración de configuración estandarizada: use plantillas de Azure Resource Manager o Bicep para definir e implementar configuraciones de red de forma coherente. Use Azure Blueprints para simplificar las implementaciones de Azure a gran escala mediante el empaquetado de artefactos clave del entorno, como plantillas de Azure Resource Manager, asignaciones de control de acceso basadas en roles y directivas, en una única definición de plano técnico. Almacene plantillas en el control de versiones e implemente procesos de administración de cambios para modificaciones de red. Para más información, consulte Azure Blueprints.
Mantenimiento de inventarios de recursos aprobados: cree y mantenga inventarios de recursos de Azure aprobados y configuraciones aprobadas para el entorno de red. Audite periódicamente las implementaciones para garantizar el cumplimiento de las líneas base aprobadas.
Pruebas de seguridad
Las pruebas de seguridad para redes virtuales garantizan que los controles de seguridad implementados funcionan correctamente y pueden detectar y evitar posibles amenazas. Las pruebas periódicas validan la eficacia de la posición de seguridad de red.
Realizar pruebas de penetración periódicas: realice pruebas periódicas de penetración realizadas por expertos externos al equipo de carga de trabajo que intenten hackear éticamente la infraestructura de red. Estas pruebas validan las defensas de seguridad mediante la simulación de ataques reales.
Implementar el examen de vulnerabilidades: ejecute el examen de vulnerabilidades rutinario e integrado para detectar vulnerabilidades de seguridad en la infraestructura de red, las máquinas virtuales y los dispositivos de red. Integre escáneres en canalizaciones de implementación para detectar automáticamente vulnerabilidades.
Procedimientos de respuesta a incidentes de prueba: realice ejercicios para probar las funcionalidades de respuesta a incidentes de seguridad de red de forma periódica. Identifique puntos débiles y huecos en los procedimientos de respuesta de seguridad de red y revise los planes según sea necesario.
Validar la segmentación de red: pruebe periódicamente los controles de segmentación de red para asegurarse de que los recursos en peligro de un segmento no pueden acceder a los recursos de otros segmentos. Compruebe que los límites de aislamiento funcionan según lo diseñado.
Probar procedimientos de copia de seguridad y recuperación: pruebe periódicamente la capacidad de volver a crear configuraciones de red virtual a partir de plantillas exportadas o documentación para asegurarse de que los procedimientos de recuperación funcionan correctamente y cumplen los objetivos de tiempo de recuperación.
Habilitar comprobador de red virtual: use el comprobador de red virtual en Azure Virtual Network Manager en entornos de preproducción para probar la conectividad entre los recursos y asegurarse de que son accesibles y no están bloqueados por directivas. Para más información, consulte Comprobador de red virtual.
Uso de Azure Chaos Studio para pruebas de resistencia: implemente Azure Chaos Studio para simular interrupciones de conectividad de red y validar que los controles de seguridad permanecen efectivos durante escenarios de error. Esto garantiza que los mecanismos de seguridad sigan funcionando correctamente incluso cuando la red experimenta estrés o interrupciones parciales. Para más información, consulte Azure Chaos Studio.
Copia de seguridad y recuperación
La copia de seguridad y la recuperación de redes virtuales se centra en conservar las configuraciones de red y garantizar una restauración rápida de la conectividad de red si hay errores de configuración o eliminación accidentales. Aunque las propias redes virtuales no requieren copias de seguridad tradicionales, la conservación de la configuración es fundamental.
Exportación y protección de configuraciones de red: use Azure Resource Manager para exportar configuraciones de red virtual como plantillas que se pueden almacenar y usar para la recuperación ante desastres. Automatice este proceso mediante Azure Automation o Azure Pipelines. Use Azure DevOps para almacenar y administrar de forma segura el código, como definiciones personalizadas de Azure Policy y plantillas de Azure Resource Manager. Habilite Soft-Delete y purgue la protección en Key Vault para proteger las claves frente a la eliminación accidental o malintencionada. Para obtener más información, consulte Exportar plantillas.
Arquitectura de red de documentos: mantenga una documentación completa del diseño de red, incluidos esquemas de direcciones IP, tablas de enrutamiento, reglas de grupo de seguridad y requisitos de conectividad. Almacene esta documentación en una ubicación segura y accesible.
Probar y validar procedimientos de recuperación: pruebe periódicamente la capacidad de volver a crear configuraciones de red virtual a partir de plantillas exportadas o documentación para asegurarse de que los procedimientos de recuperación funcionan correctamente y cumplen los objetivos de tiempo de recuperación. Realice periódicamente la implementación de plantillas de Azure Resource Manager en una suscripción aislada y pruebe la restauración de claves administradas por el cliente de copia de seguridad para garantizar que los procedimientos de recuperación funcionen correctamente.
Copia de seguridad de recursos conectados y claves administradas por el cliente: aunque las redes virtuales no requieren copia de seguridad, asegúrese de que las máquinas virtuales y otros recursos conectados a las redes se realicen correctamente con Azure Backup para mantener funcionalidades de recuperación completas. Si utiliza claves administradas por el cliente para el cifrado dentro de su entorno de red virtual, asegúrese de que estas claves se respalden en Azure Key Vault con los procedimientos de retención y recuperación adecuados. Para más información, consulte Azure Backup.
Preparar la infraestructura de red redundante: Duplicar la infraestructura de red con anticipación, especialmente para configuraciones híbridas. Asegúrese de que las rutas independientes de diferentes regiones estén listas para comunicarse entre sí de antemano. Replique y mantenga los grupos de seguridad de red coherentes y las reglas de Azure Firewall en los sitios de recuperación ante desastres y principales. Evite intervalos de direcciones IP superpuestos entre las redes de producción y recuperación ante desastres para simplificar la administración de red y acelerar la transición durante los eventos de conmutación por error.
Respuesta a incidentes
La respuesta a incidentes de las redes virtuales implica establecer procedimientos para detectar, responder y recuperarse de incidentes de seguridad que afectan a la infraestructura de red. Las funcionalidades adecuadas de respuesta a incidentes ayudan a minimizar el impacto de las infracciones de seguridad y a garantizar una restauración rápida de los servicios.
Crear una guía de respuesta a incidentes: cree una guía de respuesta a incidentes para su organización que defina todos los roles del personal y las fases de control de incidentes desde la detección hasta la revisión posterior al incidente. Incluya procedimientos específicos para incidentes de seguridad de red.
Implementar la puntuación y priorización de incidentes: establezca procedimientos para priorizar los incidentes de seguridad en función de la gravedad y el impacto. Use alertas de Microsoft Defender for Cloud para ayudar a priorizar los incidentes de seguridad de red que se deben investigar primero.
Configurar los detalles de contacto de incidentes de seguridad: configure la información de contacto de incidentes de seguridad que Microsoft usará para ponerse en contacto con usted si el Centro de respuestas de seguridad de Microsoft detecta que un usuario ilegal o no autorizado ha accedido a sus datos. Para obtener más información, consulte Contacto de Microsoft Defender for Cloud Security.
Incorporar alertas de seguridad en la respuesta a incidentes: exporte alertas y recomendaciones de Microsoft Defender for Cloud mediante la característica Exportación continua para ayudar a identificar los riesgos para los recursos de Azure. Use el conector de datos para transmitir alertas a Microsoft Sentinel para la administración centralizada de incidentes.
Procedimientos de respuesta de seguridad de prueba: realice ejercicios para probar las funcionalidades de respuesta a incidentes de los sistemas de forma periódica. Identifique puntos débiles y huecos en los procedimientos de respuesta de seguridad de red y revise los planes según sea necesario.
Automatización de la respuesta a incidentes: use la característica Automatización del flujo de trabajo de Microsoft Defender for Cloud para desencadenar automáticamente las respuestas a través de Logic Apps en alertas de seguridad y recomendaciones para proteger los recursos de red de Azure.