Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Azure Virtual WAN es un servicio de red que aporta muchas funciones de red, seguridad y enrutamiento para proporcionar una única interfaz operativa. Permite a las organizaciones conectarse y proteger sucursales, usuarios remotos y recursos de Azure a través de una arquitectura de red de tránsito global. Al implementar Virtual WAN para la conectividad crítica, debe implementar controles de seguridad completos para proteger la infraestructura de red y los datos en tránsito.
En este artículo se proporcionan instrucciones sobre cómo proteger mejor la implementación de Azure Virtual WAN.
Seguridad de red
La seguridad de red para Virtual WAN se centra en proteger los datos en tránsito, proteger la conectividad entre los recursos locales y en la nube e implementar el cifrado adecuado para todas las comunicaciones de red. La arquitectura en estrella tipo hub-and-spoke de Virtual WAN requiere una cuidadosa consideración del flujo de tráfico, los protocolos de cifrado y las opciones de conectividad seguras para garantizar una protección de red completa.
Habilitación del cifrado de ExpressRoute con Virtual WAN: use las funcionalidades de cifrado nativo de Virtual WAN para el tráfico de ExpressRoute para proteger los datos entre redes locales y redes virtuales de Azure. Esto proporciona tránsito cifrado sin necesidad de tráfico para atravesar la red pública de Internet o usar direcciones IP públicas. Para obtener más información, consulte Cifrado en tránsito.
Configurar conexiones VPN de sitio a sitio seguras: implemente conexiones VPN IPsec con protocolos de cifrado seguros para la conectividad de sitio a sitio. Virtual WAN admite directivas IPsec personalizadas que permiten configurar algoritmos de cifrado preferidos y métodos de autenticación. Para obtener más información, consulte Directivas predeterminadas para la conectividad de IPsec.
Vpn de punto a sitio segura para usuarios remotos: implemente conexiones VPN de usuario (punto a sitio) con autenticación basada en certificados o Azure Active Directory para proporcionar acceso remoto seguro. Configure las opciones de cifrado y las directivas de acceso adecuadas para proteger las conexiones de usuario remotas. Para más información, consulte Creación de una conexión VPN de usuario (punto a sitio).
Implementación de la segmentación de red con directivas de enrutamiento: use las funcionalidades de enrutamiento personalizadas de Virtual WAN para implementar la segmentación de red y controlar el flujo de tráfico entre distintos segmentos de red. Configure tablas de rutas y directivas de enrutamiento para asegurarse de que el tráfico fluye solo a destinos autorizados. Para obtener más información, consulte Acerca del enrutamiento de centros virtuales.
Implementación de Azure Firewall para la inspección del tráfico: configure Azure Firewall en centros de Virtual WAN para inspeccionar y filtrar todo el tráfico de red, incluido el tráfico entre centros, la rama a la red virtual y el tráfico enlazado a Internet. Use directivas de enrutamiento y intención de enrutamiento para enrutar automáticamente el tráfico a través de Azure Firewall para una inspección de seguridad completa. Para más información, consulte Protección del tráfico entre Application Gateway y grupos de back-end.
Habilitación de la tunelización forzada para VPN de punto a sitio: configure la tunelización forzada para enrutar todo el tráfico enlazado a Internet desde usuarios remotos a través de Azure para la inspección y la aplicación de directivas. Esto garantiza que el tráfico de usuario remoto esté sujeto a los mismos controles de seguridad que el tráfico local. Para más información, consulte Configurar la tunelización forzada para la VPN de punto a sitio de la WAN Virtual.
Use aplicaciones virtuales de red (NVA) para la seguridad avanzada: implemente NVA de terceros en centros de Virtual WAN para proporcionar conectividad SD-WAN combinada con las funcionalidades de firewall de próxima generación. Configure las directivas de enrutamiento para enviar tráfico a través de dispositivos virtuales de red (NVA) para la inspección profunda de paquetes y la protección avanzada contra amenazas. Para más información, consulte Acerca de las aplicaciones virtuales de red en un centro de Virtual WAN.
Administración de identidades
La administración de identidades para Virtual WAN garantiza que solo los usuarios y servicios autorizados puedan acceder a los recursos de red y administrar las configuraciones de Virtual WAN. Los controles de identidad adecuados ayudan a evitar el acceso no autorizado a la infraestructura de red confidencial y mantener la integridad de la arquitectura de red global.
Use Azure Key Vault para la administración de credenciales: almacene y administre claves previamente compartidas (PSK), certificados y otras credenciales de forma segura en Azure Key Vault en lugar de insertarlas en archivos de configuración o código. Las conexiones VPN de sitio a sitio en Virtual WAN se pueden integrar con Azure Key Vault para la administración segura del ciclo de vida de las credenciales. Para más información, consulte Integración de Azure Key Vault.
Implementación de la autenticación de Azure Active Directory para VPN de usuario: configure la autenticación de Azure Active Directory para conexiones VPN de punto a sitio para aprovechar la administración centralizada de identidades, las directivas de acceso condicional y la autenticación multifactor. Esto proporciona una mayor seguridad que la autenticación basada en certificados tradicional por sí sola. Para más información, consulte Creación de una conexión VPN de usuario (punto a sitio).
Aplicación del control de acceso basado en rol (RBAC) para la administración de Virtual WAN: use RBAC de Azure para controlar quién puede administrar los recursos de Virtual WAN y qué acciones pueden realizar. Asigne roles adecuados a usuarios y entidades de servicio para seguir el principio de privilegios mínimos para la administración de la infraestructura de red.
Habilitación de identidades administradas para la automatización: use identidades administradas al automatizar las operaciones de Virtual WAN a través de servicios de Azure o aplicaciones personalizadas. Esto elimina la necesidad de almacenar credenciales en archivos de código o configuración, a la vez que proporciona acceso seguro a los recursos de Azure.
Configurar la autenticación basada en certificados con la administración adecuada del ciclo de vida: implemente la autenticación basada en certificados para las conexiones VPN con la administración adecuada del ciclo de vida de los certificados, incluida la rotación y la revocación. Almacene certificados de forma segura y asegúrese de que solo se distribuyen correctamente a los dispositivos autorizados. Para obtener más información, consulte Generación y exportación de certificados para punto a sitio.
Usar la autenticación RADIUS para la administración centralizada de usuarios: implemente la autenticación del servidor RADIUS para centralizar la administración de usuarios y aprovechar la infraestructura de identidad existente. Configure la autenticación RADIUS con protocolos seguros, como EAP-TLS para la autenticación basada en certificados o EAP-MSCHAPv2 para la autenticación de nombre de usuario y contraseña. Para obtener más información, consulte Configurar la puerta de enlace VPN de usuario P2S para la autenticación de ID de Microsoft Entra.
Protección de los datos
La protección de datos en Virtual WAN se centra en garantizar que todo el tráfico de red se cifre correctamente y que las claves de cifrado se administren de forma segura. Virtual WAN controla los datos confidenciales de red y la información de conexión que se deben proteger tanto en tránsito como en reposo.
Habilitar el cifrado de datos en tránsito para todas las conexiones: configure el cifrado para todas las conexiones de Virtual WAN, incluida la VPN de sitio a sitio, la VPN de punto a sitio y ExpressRoute. Virtual WAN admite varios protocolos de cifrado y conjuntos de cifrado para proteger los datos a medida que fluyen a través de la infraestructura de red. Para obtener más información, consulte Cifrado de datos en tránsito.
Uso de Azure Key Vault para la administración de claves de cifrado: integre Virtual WAN con Azure Key Vault para administrar de forma centralizada las claves de cifrado, los certificados y los secretos usados para las conexiones VPN. Esto garantiza la administración del ciclo de vida de claves, la rotación y el control de acceso eficaz para todos los materiales criptográficos. Para más información, consulte Administración de claves en Azure Key Vault.
Implementar el examen de credenciales y el almacenamiento seguro: use el analizador de credenciales para identificar las credenciales que podrían almacenarse accidentalmente en archivos de código o configuración. Mueva todas las credenciales detectadas a ubicaciones seguras, como Azure Key Vault, para evitar el acceso no autorizado a los recursos de red.
Configurar algoritmos de cifrado seguros: seleccione algoritmos de cifrado seguros y tamaños de clave para todas las conexiones VPN. Evite los protocolos criptográficos en desuso o débiles y revise periódicamente la configuración de cifrado para asegurarse de que cumplen los requisitos actuales de cumplimiento y estándares de seguridad.
Registro y detección de amenazas
El registro y la supervisión de Virtual WAN proporcionan visibilidad de las actividades de red, el estado de conexión y las posibles amenazas de seguridad. El registro completo le permite detectar comportamientos anómalos, solucionar problemas de conectividad y mantener el cumplimiento de los requisitos de seguridad.
Habilitación de registros de recursos de Azure para Virtual WAN: configure registros de recursos para Virtual WAN y recursos relacionados para capturar información detallada sobre las actividades de red, los intentos de conexión y los flujos de tráfico. Los registros de recursos están disponibles para las conexiones ExpressRoute y VPN y se pueden enviar a Log Analytics, Event Hubs o cuentas de almacenamiento. Para más información, consulte Registros de recursos.
Configuración de la recopilación de registros centralizada con Azure Monitor: use Azure Monitor para recopilar y analizar registros de recursos de Virtual WAN, incluidos los registros de conexión, el análisis de tráfico y las métricas de rendimiento. Configure áreas de trabajo de Log Analytics para centralizar el almacenamiento de registros y habilitar la correlación entre varios componentes de Virtual WAN. Para más información, consulte Supervisión de Virtual WAN con Azure Monitor.
Configuración de Azure Monitor Insights para Virtual WAN: implemente Azure Monitor Insights para obtener visibilidad mejorada del rendimiento de Virtual WAN, el estado de conectividad y la topología de red. Esto proporciona paneles y análisis pregenerados diseñados específicamente para la supervisión de Virtual WAN. Para más información, consulte Supervisión mediante Azure Monitor Insights.
Configuración de alertas para errores de conexión y anomalías: configure alertas de Azure Monitor para notificar a los administradores los errores de conexión, la degradación del rendimiento o los patrones de tráfico inusuales. Configure los umbrales y canales de notificación adecuados para garantizar una respuesta oportuna a posibles problemas.
Administración de recursos
La administración de recursos para Virtual WAN garantiza que las configuraciones de infraestructura de red cumplan con las directivas de la organización y los estándares de seguridad. La administración de recursos adecuada ayuda a mantener la coherencia entre implementaciones y permite la supervisión automatizada del cumplimiento.
Utilice Azure Policy para el cumplimiento de la configuración: Implemente Azure Policy para supervisar y aplicar configuraciones de Virtual WAN según los estándares de seguridad de su organización. Cree directivas personalizadas para asegurarse de que la configuración de cifrado, los métodos de autenticación y las configuraciones de red cumplen los requisitos de cumplimiento. Para más información, consulte Compatibilidad con Azure Policy.
Implementar la detección de deriva de configuración: Use Azure Monitor para crear alertas cuando se produzcan cambios de configuración en los recursos de Virtual WAN. Esto ayuda a detectar modificaciones no autorizadas y garantiza que las configuraciones de seguridad sigan siendo coherentes con el tiempo.
Automatización de la supervisión del cumplimiento con Microsoft Defender for Cloud: configure Microsoft Defender for Cloud para evaluar continuamente las configuraciones de Virtual WAN con los procedimientos recomendados de seguridad y los marcos de cumplimiento. Use las recomendaciones proporcionadas para mantener una posición de seguridad óptima en la implementación de Virtual WAN.
Uso de efectos de Azure Policy para el cumplimiento: implemente los efectos de Azure Policy [deny] y [deploy if not exists] para aplicar automáticamente configuraciones seguras en los recursos de Virtual WAN. Esto evita la implementación de configuraciones no compatibles y garantiza estándares de seguridad coherentes.
Implementación del planeamiento de la recuperación ante desastres: diseñe topologías de varias regiones y de varios centros para garantizar la continuidad empresarial durante los desastres. Considere la posibilidad de implementar centros virtuales redundantes dentro de regiones y entre regiones para protegerse frente a errores localizados y catastróficos. Planee periódicamente los mecanismos de conmutación por error automatizados y pruebe los procedimientos de recuperación. Para más información, consulte Diseño de recuperación ante desastres para Azure Virtual WAN.