Protección de redes con SASE, Confianza cero e inteligencia artificial

La seguridad de red está evolucionando más allá del perímetro tradicional, que una vez estaba vinculado a los límites físicos de los centros de datos. En la actualidad, el perímetro es dinámico, lo que se extiende a usuarios, dispositivos y datos dondequiera que estén. Este cambio impulsa la adopción de directivas basadas en riesgos que aíslan los hosts, aplican el cifrado, las redes de segmento y colocan controles más cerca de las aplicaciones y los datos.

Secure Access Service Edge (SASE) refleja esta evolución redefinindo completamente el perímetro. Converge la red y la seguridad en un servicio entregado en la nube que sigue a los usuarios y los datos en todos los entornos. Este enfoque simplifica la administración de directivas y refuerza la protección.

Agregar una estrategia de confianza cero a un marco de SASE mejora aún más la seguridad al garantizar que ningún usuario o dispositivo sea de confianza de forma predeterminada, independientemente de la ubicación. Este principio se alinea perfectamente con el objetivo de SASE de proteger el acceso en el perímetro.

La inteligencia artificial (IA) amplía este enfoque mediante el análisis de datos en tiempo real, la detección de amenazas y la habilitación de respuestas rápidas y automatizadas. Juntos, SASE, Confianza cero e inteligencia artificial permiten a las organizaciones proteger un mundo sin perímetro con mayor agilidad, precisión y resistencia.

Principios clave del modelo de red de confianza cero

En lugar de suponer que todo lo que está detrás del firewall corporativo es seguro, una estrategia de confianza cero de un extremo a otro reconoce que las infracciones son inevitables. Este enfoque requiere comprobar cada solicitud como si se origina en una red no controlada, con la administración de identidades desempeñando un papel fundamental. Cuando las organizaciones incorporan los modelos y patrones de confianza cero de ciberseguridad e infraestructura (CISA) y el Instituto Nacional de Estándares y Tecnología (NIST), mejoran su posición de seguridad y protegen mejor sus redes.

En el modelo de confianza cero, la protección de las redes se centra en tres objetivos principales:

• Impedir el acceso no autorizado. Aplique políticas de autenticación sólida, verificación continua y privilegios mínimos para reducir el riesgo de compromiso inicial.
• Limite el impacto de las infracciones. Use la segmentación de red, los micro-perímetros y los controles adaptables para contener amenazas y evitar el movimiento lateral.
• Mejorar la visibilidad y el control. Use soluciones como Secure Access Service Edge (SASE) para unificar la aplicación de directivas de seguridad, supervisar el tráfico y responder rápidamente a amenazas emergentes en entornos híbridos y en la nube.

Estos objetivos se alinean con los principios de confianza cero. Admiten soluciones modernas como SASE, que integra funciones de red y seguridad. Esta integración proporciona una protección completa y una administración centralizada.

Para que esto suceda, siga tres principios de confianza cero:

• Comprobar de forma explícita. Realice siempre las operaciones de autorización y autenticación en función de todos los puntos de datos disponibles. Incluya identidad de usuario, red, ubicación, estado del dispositivo, servicio o carga de trabajo, riesgo de usuario y dispositivo, clasificación de datos y anomalías.
• Utilizar acceso con privilegios mínimos. Limita el acceso del usuario con acceso suficiente y justo a tiempo (JIT/JEA), directivas adaptables basadas en los riesgos y protección de datos para ayudar a proteger los datos y la productividad.
• Asumir la vulneración. Minimice el radio de influencia de las infracciones y evite el movimiento lateral mediante la segmentación del acceso por red, usuario, dispositivos y reconocimiento de aplicaciones. Comprueba que todas las sesiones estén cifradas de extremo a extremo. Utilice el análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas.

Objetivos de implementación de red de confianza cero

Confianza cero (ZT) es un modelo de seguridad que supone que no hay confianza implícita y comprueba continuamente cada solicitud de acceso. El pilar de red de confianza cero se centra en proteger las comunicaciones, segmentar entornos y aplicar el acceso con privilegios mínimos a los recursos.

Al implementar un marco de confianza cero de un extremo a otro para proteger las redes, se recomienda centrarse primero en:

• perímetros deNetwork-Segmentation y Software-Defined
• Secure Access Service Edge (SASE) & Zero Trust Network Access (ZTNA)
• Cifrado seguro y comunicación segura
• Visibilidad de red y detección de amenazas
• Control de acceso controlado por directivas y privilegios mínimos

Una vez completados estos objetivos, céntrese en los objetivos 6 y 7.

Guía de implementación de red de Confianza cero

Esta guía le guía por los pasos necesarios para proteger las redes siguiendo los principios de un marco de seguridad de Confianza cero.

1. Segmentación de red y perímetros definidos por software

La segmentación de red y Software-Defined perímetros (SDP) forman la base del modelo de seguridad de Confianza cero. En lugar de confiar en controles estáticos basados en perímetros, se aplica la seguridad dinámicamente en el nivel de recurso. Al dividir la infraestructura en segmentos aislados mediante microsegmentación, se restringe el movimiento lateral de los atacantes y se minimiza el efecto de las infracciones. SDP refuerza este enfoque mediante la creación de micro perímetros a petición centrados en la identidad en torno a cada interacción de recursos del usuario y validando continuamente el contexto antes de conceder acceso. En resumen, siga estos principios clave:

• Restrinja el movimiento lateral mediante la implementación de segmentación de red específica (Macro y Micro segmentación).
• Utilice redes definidas por software (SDN) y control de acceso a la red (NAC) para aplicar directivas dinámicamente.
• Adopte la segmentación basada en identidades en métodos tradicionales basados en IP.

1.1 Estrategia de segmentación de macros

Antes de profundizar en la microsegmentación, es esencial establecer una estrategia de segmentación más amplia. La segmentación de macros implica dividir la red en segmentos más grandes en función de los requisitos funcionales o de seguridad generales. Este enfoque simplifica la administración inicial y proporciona una base sobre la que se puede crear una granularidad más fina, como la microsegmentación.

1.2 Segmentación de red: muchos micro-perímetros de ingreso/egreso en la nube con cierta microsegmentación

Las organizaciones no deben tener una sola canalización grande dentro y fuera de su red. En la estrategia de Confianza cero, las redes en cambio se segmentan en islas más pequeñas donde se incluyen cargas de trabajo específicas. Cada segmento tiene sus propios controles de entrada y salida para minimizar el efecto del acceso no autorizado a los datos. Al implementar perímetros definidos por software con controles granulares, es más difícil que actores no autorizados se propaguen por toda la red y, por tanto, se reduce el movimiento lateral de las amenazas.

No hay ningún diseño de arquitectura que se adapte a las necesidades de todas las organizaciones. Puede escoger entre algunos modelos de diseño comunes para segmentar la red según el modelo de Confianza cero.

En esta guía de implementación, le guiaremos por los pasos necesarios para lograr uno de esos diseños: Microsegmentación.

Con la microsegmentación, las organizaciones pueden ir más allá de los simples perímetros centralizados basados en red hasta una segmentación completa y distribuida mediante micro-perímetros definidos por software.

1.3 Segmentación de red: micro-perímetros de nube de entrada y salida totalmente distribuidos y microsegmentación más profunda

Una vez que logre los tres objetivos iniciales, el siguiente paso es segmentar aún más la red.

1.4 Segmentar y aplicar los límites externos

Siga estos pasos, en función del tipo de límite:

Límite de Internet

• Para proporcionar conectividad a Internet para la ruta de la aplicación a través del centro de red virtual, actualice las reglas del grupo de seguridad de red en el centro de red virtual.
• Para proteger el hub de red virtual contra ataques de capa de red volumétrica y ataques de protocolo, active Azure DDoS Network Protection.
• Si la aplicación usa protocolos HTTP/S, active Azure Web Application Firewall para protegerse frente a amenazas de la capa 7.

Sugerencia

El servicio Azure DDoS Protection también protege las direcciones IP públicas en redes virtuales y no solo las direcciones IP de la red virtual del centro. Azure Firewall también se puede usar para controlar la conectividad saliente a Internet. Para más información, consulte Planear la conectividad entrante y saliente a Internet.

Límite local

• Si la aplicación necesita conectividad con el centro de datos local o la nube privada, use Microsoft Entra Private Access, Azure ExpressRoute o AZURE VPN para la conectividad con el centro de red virtual.
• Para inspeccionar y controlar el tráfico en el centro de red virtual, configure Azure Firewall.

Límite de servicios PaaS

• Al usar los servicios PaaS proporcionados por Azure, Azure Storage, Azure Cosmos DB o Azure Web App, use la opción de conectividad PrivateLink para asegurarse de que todos los intercambios de datos se encuentran a través del espacio ip privado y el tráfico nunca sale de la red de Microsoft.
• Si los servicios PaaS requieren un límite seguro para comunicarse entre sí y administrar el acceso a la red pública, se recomienda asociarlos a un perímetro de seguridad de red. Se respetará la conectividad de Private Link para el tráfico que entra a través de puntos de conexión privados de estos servicios PaaS, lo que garantiza que todos los intercambios de datos se encuentren a través de direcciones IP privadas y el tráfico nunca salga de la red de Microsoft. Obtenga más información sobre el perímetro de seguridad de red y consulte la lista de servicios paaS admitidos.

Sugerencia

Aprenda a implementar una estrategia de Confianza cero para datos de un extremo a otro.

Dividir componentes de aplicación en particiones entre distintas subredes

Siga estos pasos:

1. Dentro de la red virtual, agregue subredes de red virtual para que los componentes discretos de una aplicación puedan tener sus propios perímetros.
2. Para permitir el tráfico solo desde las subredes que tienen un subcomponente de aplicación identificado como homólogo de comunicaciones legítimas, aplique reglas de grupo de seguridad de red.

Como alternativa, azure firewall también se puede usar para la segmentación y permitir el tráfico desde subredes específicas y redes virtuales.

• Use Azure Firewall para filtrar el tráfico que fluye entre los recursos en la nube, Internet y los recursos locales. Use Azure Firewall o Azure Firewall Manager para crear reglas o directivas que permitan o denieguen el tráfico mediante controles de nivel 3 a nivel 7. Para más información, consulte recomendaciones para crear una estrategia de segmentación.

Las aplicaciones están divididas en particiones en diferentes redes virtuales de Azure (VNet) y conectadas mediante un modelo tipo hub-and-spoke.

Siga estos pasos:

1. Cree redes virtuales dedicadas para distintas aplicaciones y componentes de aplicación.
2. Cree una red virtual central para configurar la posición de seguridad para la conectividad entre aplicaciones y conecte las redes virtuales de la aplicación con una arquitectura tipo hub-and-spoke.
3. Implemente Azure Firewall en el centro de red virtual. Use Azure Firewall para inspeccionar y controlar el tráfico de red.

1.5 Validación de la segmentación con Análisis de tráfico de Network Watcher

Para asegurarse de que la segmentación de red funciona según lo previsto, las organizaciones deben implementar Análisis de tráfico de Azure Network Watcher. Esta funcionalidad proporciona visibilidad de nivel de flujo mediante el análisis de registros de flujo de red virtual, lo que permite a los equipos supervisar patrones de tráfico en entornos segmentados.

Analítica de tráfico admite la segmentación de Zero Trust (Confianza Cero) a través de:

• Validar directivas de segmentación: identifique si el tráfico fluye solo entre segmentos previstos y detecta cualquier infracción de los límites de segmentación.

• Detección del movimiento lateral: exponga el tráfico inesperado o no autorizado este-oeste que puede indicar una vulneración o una configuración incorrecta.

• Mejora de la visibilidad: correlaciona los flujos de tráfico con reglas de NSG e inteligencia sobre amenazas para obtener información útil sobre el comportamiento de la red.

• Apoyando la mejora continua: Usar análisis para refinar las estrategias de microsegmentación y aplicar dinámicamente el acceso de mínimo privilegio.

Al integrar Análisis de tráfico en la implementación de Confianza cero, obtiene la capacidad de evaluar y mejorar continuamente la eficacia de la estrategia de segmentación, lo que garantiza que los límites de red no solo se definen, sino que se supervisan y aplican activamente.

2. Secure Access Service Edge (SASE) y Zero Trust Network Access (ZTNA)

Para proteger eficazmente las redes modernas, las organizaciones deben ir más allá de las soluciones heredadas y adoptar enfoques avanzados e integrados. El traslado incluye la adopción de soluciones de acceso de red de confianza cero (ZTNA) para la conectividad granular controlada por identidades, la aplicación de arquitecturas SASE para unificar las funcionalidades de red y seguridad, e implementar la validación continua de sesiones con controles de acceso basados en riesgos. Estas estrategias funcionan conjuntamente para asegurarse de que el acceso siempre se comprueba, se minimizan las amenazas y las directivas de seguridad se adaptan dinámicamente a los riesgos en constante evolución.

2.1 Acceso a la red de confianza cero (ZTNA)

El acceso a la red de confianza cero reemplaza a las VPN amplias basadas en perímetros con conectividad específica, con reconocimiento de identidad y de contexto. Las tres funcionalidades principales de ZTNA, cada una de las cuales se describe primero para el acceso seguro global de Microsoft y, a continuación, para las opciones de Azure VPN Gateway.

La implementación de Microsoft de ZTNA forma parte de la funcionalidad Global Secure Access (versión preliminar) en Microsoft Entra, basada en la base de Security Service Edge (SSE).
Más información: ¿Qué es el acceso seguro global? (Microsoft Entra)

2.2 Modernize traditional VPNs with identity-aware ZTNA (Modernización de VPN tradicionales con ZTNA compatible con identidades)

Acceso global seguro
El acceso seguro global de Microsoft reemplaza los túneles de red amplios por conexiones basadas en identidades específicas de la aplicación. Cuando un usuario solicita acceso, Global Secure Access usa Microsoft Entra ID para el inicio de sesión único y el acceso condicional al borde; no se requieren reglas de firewall de entrada. Solo las aplicaciones aprobadas están visibles en el portal de usuarios y las decisiones de acceso se basan en la posición del dispositivo (desde Defender para punto de conexión) y las señales de riesgo en tiempo real.

• Introducción al acceso seguro global
• Introducción a Private Access

Azure VPN Gateway
Modernice las VPN de punto a sitio (P2S) mediante la integración de la autenticación con el identificador de Entra de Microsoft, la aplicación de directivas de acceso condicional (como MFA, cumplimiento de dispositivos y ubicaciones con nombre) antes de establecer el túnel. En los centros de Azure Virtual WAN, vpn P2S y ExpressRoute funcionan a escala global, con seguridad y enrutamiento centralizados a través de Azure Firewall Manager. Este enfoque mantiene la conectividad VPN familiar a la vez que garantiza un acceso con privilegios mínimos y consciente de la identidad.

• Configurar VPN de P2S con autenticación de ID de Microsoft Entra
• Información general de Azure Virtual WAN

2.3 Usar arquitectura SASE: Integrar funciones de red y seguridad

Integración de funciones de redes y seguridad con SASE

Acceso global seguro
El acceso seguro global ofrece funcionalidades de Security Service Edge (SSE), como Secure Web Gateway (SWG), Cloud Access Security Broker (CASB) y Firewall como servicio (FWaaS) en un marco SASE unificado. El tráfico de usuario, ya sea destinado a Internet o a aplicaciones privadas, se enruta a través de la red perimetral global de Microsoft. Aquí se aplican la inspección de TLS, el filtrado de direcciones URL, la prevención de pérdida de datos (DLP) y la inteligencia sobre amenazas. Defender for Cloud Apps habilita el control de sesión insertado para aplicaciones SaaS, mientras que Azure Firewall protege el acceso a aplicaciones privadas.

• SWG en Acceso seguro global:Microsoft Entra Internet Access
• CASB con Defender for Cloud Apps:¿Qué es Defender for Cloud Apps?

Esta arquitectura:

• Enruta el tráfico de usuario a través de la red perimetral de Microsoft para la inspección y el control centralizados
• Reduce la complejidad mediante la unificación de la aplicación de directivas de seguridad
• Admite la dirección del tráfico y la división de túneles para mejorar el rendimiento y garantizar el cumplimiento

Integración de Azure VPN Gateway
Los puntos de conexión VPN tradicionales se pueden integrar con Azure Firewall o dispositivos SWG asociados mediante configuraciones de túnel forzado. La configuración permite inspeccionar y controlar el tráfico VPN entrante y saliente con los controles de sesión de acceso condicional, inteligencia sobre amenazas y Azure Firewall Manager. Puede aplicar el filtrado de direcciones URL, la inspección profunda de paquetes (DPI) y DLP a las sesiones VPN. Las directivas de sesión de Defender for Cloud Apps pueden aplicar controles de subida/descarga y detección de TI paralelo en el tráfico tunelizado.

• Más información sobre vpn de túnel forzado con Azure Firewall

2.4 Implementar la validación continua de sesiones y el acceso basado en riesgos

La validación continua de sesiones garantiza que las decisiones de acceso se aplican en tiempo real, no solo en el inicio de sesión inicial. Este enfoque ayuda a las organizaciones a responder rápidamente a las condiciones de riesgo cambiantes y a mantener una posición de seguridad sólida.

Acceso seguro global de Microsoft
El Acceso a la Red de Confianza Cero no es un control único. El acceso seguro global de Microsoft usa la evaluación continua del acceso (CAE) para supervisar las señales de riesgo(como malware detectado o ubicaciones inusuales) y puede revocar o volver a evaluar los tokens de acceso de la aplicación y finalizar la conectividad de red cuando se detecta el riesgo. Defender for Cloud Apps aplica controles de sesión en directo, como bloqueo de descargas, sesiones en cuarentena o requerir autenticación multifactor adicional (MFA) durante una sesión activa. Los cuadernos de estrategias de respuesta automatizadas en Microsoft Sentinel o XDR de Microsoft Defender pueden aislar dispositivos en peligro o deshabilitar cuentas en tiempo real.

• Más información sobre la evaluación continua del acceso (CAE)
• Más información sobre los controles de sesión de Defender for Cloud Apps
• Más información sobre la evaluación de acceso continuo universal (versión preliminar)

Azure VPN Gateway En el caso de las conexiones VPN que usan la autenticación de Id. de Entra de Microsoft, se admite la evaluación continua de acceso (CAE). Si el acceso condicional detecta un usuario o dispositivo de riesgo, el túnel VPN se puede cerrar o requerir la reautenticación. Puede enviar registros de VPN a Microsoft Sentinel y usar cuadernos de estrategias automatizados para bloquear direcciones IP, revocar el acceso o alertar a los equipos de seguridad, lo que permite respuestas rápidas basadas en riesgos para las conexiones VPN.

• Autenticación de VPN Gateway con el identificador de Entra de Microsoft
• Automatizar la respuesta con libretos de Microsoft Sentinel

3. Cifrado seguro y comunicación segura

La comunicación de red moderna debe estar fuertemente cifrada y protegida en cada fase. Las organizaciones deben:

• Use seguridad de la capa de transporte (TLS) 1.3 y aplique el cifrado de un extremo a otro para todo el tráfico de red. TLS 1.3 ofrece una mayor seguridad, protocolos de enlace más rápidos y autenticación de cliente siempre cifrada, esencial para proteger las cargas de trabajo modernas.
• Aplique la autenticación mutua (mTLS) entre cargas de trabajo y dispositivos para asegurarse de que se comprueban las identidades de cliente y servidor, lo que impide el acceso no autorizado incluso con credenciales válidas.
• Bloquear protocolos que no son de confianza o heredados que carecen de cifrado, como TLS 1.0/1.1 o cifrados obsoletos.

Nota:

Aunque TLS protege el tráfico legítimo, las amenazas como malware y pérdida de datos todavía se pueden ocultar en sesiones cifradas. La inspección de TLS de Acceso a Internet de Microsoft proporciona visibilidad sobre el tráfico cifrado, lo que permite la detección de malware, la prevención de pérdida de datos y los controles de seguridad avanzados. Obtenga más información sobre la inspección de seguridad de la capa de transporte.

Nota:

Azure Firewall puede realizar la inspección de TLS en el tráfico de red. Descifra los datos, aplica el sistema de detección y prevención de intrusiones (IDPS) o las reglas de aplicación y, a continuación, vuelve a cifrarlo y lo reenvía. Obtenga más información sobre la inspección de TLS de Azure Firewall y los certificados Premium de Azure Firewall.

Recomendaciones clave

• Azure App Service y Azure Front Door: Establezca la versión mínima de TLS de entrada en 1.3 para asegurarse de que solo se usan conjuntos de cifrado seguros para las aplicaciones web. Para más información, consulte Aplicación de la versión mínima de TLS para App Service y Front Door.
• Azure IoT Edge, IoT Hub y otros servicios paaS: Confirme que los SDK de dispositivo admiten TLS 1.3 o restrinja a TLS 1.2 o versiones posteriores.
• Azure Application Gateway (v2): Admite mTLS mediante certificados validados por OCP para la comprobación del cliente. Para más información, consulte Introducción a TLS en App Service.
• Cifre el tráfico de back-end de la aplicación entre redes virtuales.
• Cifrado del tráfico entre el entorno local y la nube:
  • Configure una VPN de sitio a sitio a través del emparejamiento de Microsoft de ExpressRoute.
  • Utilice el modo de transporte IPsec para el emparejamiento privado de ExpressRoute.
  • Establecer mTLS entre servidores a través del emparejamiento privado de ExpressRoute.

Bloquear protocolos que no son de confianza o heredados

• Puntos de conexión de Azure (App Service, Storage, SQL, Event Hubs, etc.): Acepte solo TLS 1.2+ y, idealmente, aplique la versión 1.3 y deshabilite las versiones heredadas.
• Máquinas virtuales y dispositivos de red: Use Azure Policy y Microsoft Defender for Cloud para buscar protocolos obsoletos (como SMBv1 o TLS <1.2 personalizado) y aplicar la corrección.
• Higiene operativa: Deshabilite los cifrados y protocolos heredados en el nivel de sistema operativo o aplicación (por ejemplo, deshabilite TLS 1.0/1.1 en Windows Server o SQL Server).

Prepárate para la criptografía post-cuántica (PQC)

Los algoritmos criptográficos de clave pública tradicionales (como RSA y ECC) son vulnerables a equipos cuánticos futuros. Microsoft ha integrado algoritmos resistentes a la computación cuántica (LMS y ML-DSA, FIPS 204) en su plataforma, y próximamente ofrecerá una compatibilidad más amplia con la criptografía post-cuántica (PQC). Comience a realizar la transición a TLS 1.3 y prepárese para la integración de PQC a medida que se finalizan los estándares.

3.1 Cifrado: el tráfico interno de usuario a aplicación está cifrado

Agregue cifrado para asegurarse de que el tráfico interno del usuario a la aplicación está cifrado.

Siga estos pasos:

1. Aplique solamente la comunicación HTTPS para las aplicaciones web orientadas a Internet mediante la redirección del tráfico HTTP a HTTPS con el uso de Azure Front Door.
2. Conecte empleados o asociados remotos a Microsoft Azure mediante VPN Gateway de Azure.
3. Active el cifrado para cualquier tráfico de punto a sitio en el servicio de VPN Gateway de Azure.
4. Acceda a las máquinas virtuales de Azure de forma segura mediante la comunicación cifrada a través de Azure Bastion.
5. Conecte con una máquina virtual Linux mediante SSH.
6. Conéctese mediante el Protocolo de Escritorio remoto (RDP) a una máquina virtual Windows.

Sugerencia

Aprenda a implementar una estrategia completa de Confianza cero para las aplicaciones.

3.2 Cifrado: todo el tráfico

Por último, complete la protección de la red asegurándose de que se cifra todo el tráfico.

Siga estos pasos:

1. Cifre el tráfico back-end de la aplicación entre redes virtuales.
2. Cifrado del tráfico entre el entorno local y la nube:
   1. Configure una VPN de sitio a sitio a través del emparejamiento de Microsoft de ExpressRoute.
   2. Configure el modo de transporte de IPsec para emparejamiento privado de ExpressRoute.
   3. Configura mTLS a través del emparejamiento privado de ExpressRoute entre servidores.

4. Visibilidad de red y detección de amenazas

En un modelo de seguridad de confianza cero, el principio de "nunca confiar, comprobar siempre" se aplica no solo a los usuarios y dispositivos, sino también al tráfico de red. La supervisión y el registro de la actividad de red es fundamental para aplicar confianza cero porque proporciona visibilidad continua sobre cómo se accede a los recursos, garantiza el cumplimiento de las directivas de seguridad y permite la detección rápida de comportamientos sospechosos o no autorizados. A continuación se muestran los elementos clave que se tratarán en esta sección:

• Implemente detección y respuesta de red (NDR) para supervisar y analizar el tráfico de red.
• Utilice DPI (Inspección Profunda de Paquetes) y la detección de anomalías impulsada por IA para la búsqueda de amenazas en tiempo real.
• Mantenga un registro centralizado y la integración de SIEM/SOAR para el análisis de red.
• Implemente la detección y respuesta extendidas (XDR) para analizar patrones de tráfico, identificar anomalías y evitar infracciones.
• Integre el análisis controlado por inteligencia artificial para mejorar las respuestas rápidas a las amenazas emergentes.
• Habilite la detección y respuesta mejoradas de amenazas mediante la adopción de la restauración de IP de origen de Acceso Seguro Global.
• Utiliza los registros y el monitoreo del Acceso Seguro Global.

4.1 Protección contra amenazas: protección contra amenazas basada en aprendizaje automático y filtrado con señales basadas en contexto

Para mayor protección contra amenazas, active Azure DDoS Network Protection para supervisar constantemente el tráfico de la aplicación hospedada en Azure, use marcos basados en ML para establecer líneas de base y detectar inundaciones de tráfico volumétrico, detectar ataques de protocolo y aplicar mitigaciones automáticas.

Siga estos pasos:

1. Configuración y administración Azure DDoS Network Protection.
2. Configure alertas para métricas de DDoS Protection.
3. Uso de Microsoft Sentinel con el firewall de aplicaciones web de Azure
4. Uso de Azure Firewall con Microsoft Sentinel

4.2 Protección contra amenazas: filtrado nativo en la nube y protección para amenazas conocidas

Las aplicaciones en la nube que abren puntos de conexión a entornos externos, como Internet o su superficie local, corren el riesgo de ataques procedentes de esos entornos. Por lo tanto, es imperativo examinar el tráfico en busca de cargas o lógica maliciosas.

Estos tipos de amenazas se dividen en dos categorías generales:

• Ataques conocidos Amenazas detectadas por su proveedor de software o por la comunidad más grande. En estos casos, la firma de ataque está disponible y debe asegurarse de que cada solicitud se comprueba con esas firmas. La clave es poder actualizar rápidamente el motor de detección con los ataques recién identificados.

• Ataques desconocidos Estos ataques son amenazas que no coinciden con ninguna firma conocida. Estos tipos de amenazas incluyen vulnerabilidades de día cero y patrones poco frecuentes en el tráfico de solicitudes. La capacidad de detectar estos ataques depende de lo bien que sus defensas sepan qué es normal y qué no. Las defensas deben aprender y actualizar constantemente esos patrones a medida que su negocio (y el tráfico asociado a este) evoluciona.

Tenga en cuenta estos pasos para protegerse frente a amenazas conocidas:

• Implemente funcionalidades de Acceso a Internet de Microsoft Entra, como el filtrado de contenido web y la inspección de TLS. Para obtener más información, consulte Más información sobre Microsoft Entra Internet Access para todas las aplicaciones.

• Protección de puntos de conexión mediante Azure Web Application Firewall (WAF) mediante:

  1. Active el conjunto de reglas predeterminado o el conjunto de las 10 reglas principales de OWASP para protegerse frente a ataques conocidos de capa web
  2. Active el conjunto de reglas de protección contra bots para evitar que bots maliciosos extraigan información, rellenen credenciales, etc.
  3. Agregue reglas personalizadas para protegerse frente a amenazas específicas a su negocio.

  Puede elegir una de estas dos opciones:

  • Azure Front Door
    • Cree una directiva de Web Application Firewall en Azure Front Door.
    • Configure la protección contra bots para Web Application Firewall.
    • Reglas personalizadas para Web Application Firewall.
  • Azure Application Gateway
    • Cree una puerta de enlace de aplicaciones con un Web Application Firewall.
    • Configure la protección contra bots para Web Application Firewall.
    • Cree y use reglas personalizadas de la versión 2 de Web Application Firewall.

• Puntos de conexión frontales con Azure Firewall para el filtrado basado en inteligencia y de IDPS sobre amenazas en la capa 4:

  • Implemente y configure Azure Firewall mediante Azure Portal.
  • Habilite el filtrado basado en inteligencia sobre amenazas para el tráfico.

    Sugerencia

    Aprenda a implementar una estrategia de Confianza cero de un extremo a otro para los puntos de conexión.

  • IDPS de Azure Firewall detecta e impide amenazas en el tráfico de red cuando está habilitada

4.3 Supervisión y visibilidad

Análisis de tráfico

Network Watcher Traffic Analytics desempeña un papel fundamental en la segmentación de Zero Trust mediante el análisis de registros de flujo de VNET para detectar tráfico anómalo, validar directivas de segmentación y descubrir shadow IT o rutas mal configuradas. Permite a los equipos de seguridad visualizar el tráfico entre segmentos y aplicar controles adaptables en función de la telemetría en tiempo real.

Análisis de registros

Detección y respuesta extendidas de Microsoft Defender (XDR)

La detección y respuesta extendidas de Microsoft Defender (XDR) es un conjunto unificado de defensa empresarial que se usa antes y después de una infracción. El conjunto coordina la detección, prevención, investigación y respuesta de forma nativa entre puntos de conexión, identidades, correo electrónico y aplicaciones. Use XDR de Defender para protegerse y responder a ataques sofisticados.

• Investigar las alertas
• Más información sobre Confianza cero con XDR de Defender
• Más información sobre XDR de Defender para la administración pública de EE. UU.

Microsoft Sentinel

Desarrolle consultas de análisis personalizadas y visualice los datos recopilados mediante cuadernos.

• Detección de amenazas con reglas de análisis personalizadas
• Visualización de datos recopilados
• Uso de libros con acceso seguro global

Acceso a la RedAI-Enabled

Microsoft Sentinel

Use Azure Firewall para visualizar actividades de firewall, detectar amenazas con funcionalidades de investigación de IA, correlacionar actividades y automatizar acciones de respuesta.

• Azure Firewall con Microsoft Sentinel

Microsoft Entra ID Protection usa algoritmos de aprendizaje automático (ML) para detectar usuarios y riesgo de inicio de sesión. Use condiciones de riesgo en las directivas de acceso condicional para el acceso dinámico, en función del nivel de riesgo.

• Protección de Microsoft Entra ID
• Detecciones de riesgo
• Directivas de acceso basadas en riesgos

Acceso global seguro

Al aprovechar los registros de Acceso seguro global de Microsoft Entra, las organizaciones pueden realizar un seguimiento de los intentos de acceso, supervisar los flujos de datos e identificar anomalías en tiempo real. Esta supervisión granular ayuda a validar que solo las identidades y dispositivos autorizados acceden a recursos confidenciales, admiten la respuesta a incidentes y proporcionan evidencia vital para auditorías e investigaciones. Por lo tanto, el registro completo del tráfico es un elemento fundamental para mantener y demostrar la eficacia de una arquitectura de confianza cero. Además de los registros de tráfico, hay registros adicionales disponibles para señales adicionales:

• Supervisión y registros de acceso seguro global
• Registros de auditoría de acceso seguro global
• Acceso seguro global enriquecido de registros de Microsoft 365
• Registros de tráfico de acceso seguro global
• Registros de estado de red remotos

4.4 Automatización y orquestación

La automatización y la orquestación son esenciales para aplicar principios de confianza cero en toda la infraestructura de red. Al aprovechar la aplicación automática, la respuesta y la gobernanza, las organizaciones pueden lograr una conectividad segura y resistente.

Redes de Azure

Los servicios de red de Azure, incluidos Azure Firewall, los grupos de seguridad de red (NSG), Virtual WAN y DDoS Protection, se pueden implementar, gobernar y supervisar mediante herramientas de infraestructura como código (IaC), como plantillas de ARM, Bicep, Terraform y Azure Policy.

Funciones clave:

• Implementación automatizada: Use canalizaciones de IaC para implementar automáticamente la segmentación de red (NSG, Azure Firewall) y los controles de filtrado.
• Cumplimiento continuo: Aplique y corrija automáticamente los estándares de seguridad (por ejemplo, bloquear direcciones IP públicas, requerir cifrado) con Azure Policy.
• Integración de DevOps: Integración con flujos de trabajo de GitOps/DevOps para configuraciones de red declarativas controladas por versiones.

Ejemplo: Implemente automáticamente reglas de NSG y directivas de Azure Firewall cuando se aprovisione una nueva subred mediante Bicep y Azure DevOps.

• Inicio rápido: Creación de azure Firewall y una directiva de firewall: Bicep
• Protección del tráfico de pods con directivas de red: Azure Kubernetes Service

Microsoft Entra (acceso seguro global con Identity Governance)

Microsoft Entra Global Secure Access combina el acceso consciente de identidad con controles de red, yendo más allá de las VPN tradicionales. Identity Governance amplía esto con la automatización de derechos.

Funciones clave:

• Incorporación automatizada: Incorpore aplicaciones o servicios a acceso privado o proxy de aplicación mediante las API de Microsoft Graph y las plantillas de directiva.
• Administración de derechos: Defina paquetes de acceso de red con flujos de trabajo de aprobación, expiraciones y revisiones de acceso.
• Desaprovisionamiento dinámico: Elimine automáticamente los derechos de red por cambios de rol o eventos del ciclo de vida.

Ejemplo: Asigne un paquete de acceso que conceda acceso privado a aplicaciones específicas cuando un usuario se une a un proyecto, con la expiración aplicada y la revisión de acceso.

• Automatización de asignaciones de paquetes de acceso con administración de derechos

Microsoft Sentinel

Microsoft Sentinel proporciona cuadernos de estrategias (Logic Apps) para automatizar la detección y respuesta de amenazas de red.

Funciones clave:

• Respuesta automatizada: Actualice las reglas de NSG o Azure Firewall para bloquear direcciones IP o dominios malintencionados.
• Cuarentena de recursos: Deshabilite las sesiones o ponga en cuarentena los recursos ajustando el acceso condicional.
• Enriquecimiento de alertas: Correlacionar las alertas de red con registros de flujo, DNS, identidad y telemetría del dispositivo.

Ejemplo: Sentinel detecta la comunicación con una dirección IP malintencionada conocida; Un cuaderno de estrategias actualiza los grupos ip de Azure Firewall y notifica a SecOps.

• Ejemplo de guía: bloquear direcciones IP malintencionadas en el Grupo de Seguridad de Red de Azure
• Automatización de la respuesta a amenazas con cuadernos de estrategias de Sentinel

Microsoft Defender XDR

XDR de Microsoft Defender automatiza la detección, la investigación y la respuesta coordinada entre las señales de identidad, punto de conexión y red.

Funciones clave:

• Correlación: Detecta el movimiento lateral o los patrones de red anómalos mediante el contexto de identidad y dispositivo.
• Aislamiento automatizado: Aísla los dispositivos en peligro y desencadena acciones de cumplimiento en todas las plataformas.
• Integración: Funciona con Sentinel y Entra para la respuesta integral a incidentes.

Ejemplo: Defender para Endpoint detecta el tráfico de comando y control (C2), XDR aísla el dispositivo y desencadena un playbook de Sentinel para bloquear el destino en Azure Firewall.

• Investigación y respuesta automatizadas en XDR de Defender

5. Control de acceso controlado por directivas y privilegios mínimos

Las redes modernas de Confianza cero requieren controles de acceso pormenorizados y adaptables que aplican privilegios mínimos y responden dinámicamente al riesgo. El acceso controlado por directivas garantiza que los usuarios y los dispositivos solo obtengan los permisos mínimos necesarios, durante el menor tiempo necesario y solo en las condiciones adecuadas.

5.1 Implementación de directivas de acceso compatibles con el contexto

• Use el acceso condicional de Microsoft Entra para definir directivas basadas en señales de usuario, dispositivo, ubicación, aplicación y riesgo.
• Empiece por planear la implementación de acceso condicional para alinear las directivas con los requisitos de la organización.
• Acelere la implementación con plantillas de directiva de acceso condicional para escenarios comunes.

5.2 Aplicar controles adaptables y basados en riesgos

• Requerir autenticación multifactor (MFA) cuando se detecta riesgo, como inicios de sesión desconocidos o dispositivos de riesgo.
• Use MFA basada en el riesgo de inicio de sesión para solicitar automáticamente la MFA en función de la evaluación en tiempo real del riesgo.
• Comprenda las detecciones de riesgo en Microsoft Entra ID Protection para informar a las decisiones de directiva y automatizar la corrección.

5.3 Aplicar Just-in-Time (JIT) y acceso privilegiado

• Aplique el acceso Just-In-Time (JIT) mediante Privileged Identity Management (PIM) para conceder permisos elevados solo cuando sea necesario.
• Proteja el acceso a aplicaciones privadas con PIM y Acceso seguro global para reducir los privilegios permanentes y limitar la exposición.

5.4 Acceso híbrido y específico de la aplicación

• Para entornos híbridos, configure directivas de acceso por aplicación mediante aplicaciones de acceso seguro global.
• Habilite la administración remota segura mediante SSH con Microsoft Entra Private Access para obtener acceso a servidores pormenorizados y controlados por directivas.

5.5 Denegación de forma predeterminada y evaluación continua

• Aplique principios de denegación por defecto en todas las capas de red, concediéndole acceso solo cuando la directiva lo permita explícitamente.
• Evalúe continuamente el riesgo de sesión y aplique los cambios de directiva en tiempo real para minimizar la superficie expuesta a ataques.

Use directivas basadas en el contexto, basadas en riesgos y privilegios mínimos para reducir el acceso no autorizado y limitar el movimiento lateral en la red.

6. Seguridad de red híbrida y en la nube

La protección de entornos híbridos y en la nube requiere una combinación de controles modernos nativos de la nube y aplicación coherente de directivas en todas las plataformas. A medida que las organizaciones adoptan arquitecturas híbridas y multinube, es esencial ampliar los principios de Confianza cero más allá de los centros de datos tradicionales a cargas de trabajo en la nube, SaaS y entornos PaaS.

6.1 Protección de cargas de trabajo en la nube con micro perímetros y firewalls nativos de la nube

• Micro perímetros: Use la microsegmentación para crear límites de seguridad pormenorizados en torno a cargas de trabajo, aplicaciones o servicios individuales. Esto limita el movimiento lateral y contiene posibles infracciones dentro de segmentos aislados.
• Firewalls nativos de la nube: Implemente soluciones como Azure Firewall para inspeccionar y controlar el tráfico entre cargas de trabajo en la nube, aplicar el filtrado basado en inteligencia sobre amenazas y aplicar reglas de aplicación y red a escala.
• Grupos de seguridad de red (NSG): Use grupos de seguridad de red (NSG) y grupos de seguridad de aplicaciones para definir y aplicar controles de acceso específicos para los recursos de las redes virtuales.
• Puntos de conexión privados: Use Azure Private Link para restringir el acceso a los servicios paaS a través de direcciones IP privadas, lo que garantiza que el tráfico permanezca dentro de la red troncal de Microsoft de confianza.

6.2 Integración de servidores proxy compatibles con identidades para la seguridad de SaaS y PaaS

• Servidores proxy con reconocimiento de identidad: Implemente soluciones como Microsoft Entra Private Access para intermediar el acceso a aplicaciones SaaS y PaaS. Estos servidores proxy aplican directivas de autenticación, cumplimiento de dispositivos y acceso condicional antes de conceder acceso. Considere Microsoft Entra Internet Access para el acceso a Internet consciente de la identidad.
• Agente de seguridad de acceso a la nube (CASB): Use Microsoft Defender for Cloud Apps para detectar, supervisar y controlar el uso de SaaS, aplicar la prevención de pérdida de datos (DLP) y aplicar controles de sesión para aplicaciones en la nube.
• Validación continua de la sesión: Aplique la aplicación de directivas en tiempo real y basada en riesgos para el acceso a SaaS y PaaS, incluidos los controles adaptables basados en el contexto de usuario, dispositivo y sesión.

6.3 Garantizar la aplicación coherente de las directivas de seguridad en entornos híbridos y multinube

• Administración unificada de directivas: Use plataformas como El acceso condicional de Microsoft Entra y Azure Policy para definir y aplicar directivas de seguridad coherentes en el entorno local, Azure y otros proveedores de nube.
• Conectividad híbrida: Proteja las conexiones híbridas mediante Azure VPN Gateway, ExpressRoute y aplique controles de cifrado y acceso para todo el tráfico entre entornos.
• Supervisión y respuesta centralizadas: Integre registros y eventos de seguridad de todos los entornos en Microsoft Sentinel o en la plataforma SIEM/SOAR para una visibilidad unificada, detección de amenazas y respuesta automatizada.
• Administración de la posición de seguridad multinube: Use herramientas como Microsoft Defender for Cloud para evaluar, supervisar y mejorar la posición de seguridad de los recursos en Azure y otros proveedores de nube.

Las organizaciones que implementan estas estrategias pueden lograr una seguridad sólida y de un extremo a otro para redes híbridas y en la nube. El enfoque garantiza que los principios de confianza cero se apliquen de forma coherente, independientemente de dónde residen las cargas de trabajo y los datos.

7. Interrumpir la tecnología de seguridad de red heredada

Confianza cero rechaza la confianza implícita en cualquier segmento de red o dispositivo. Los controles heredados centrados en el perímetro, como túneles VPN planos, inspección de tráfico en bucle, listas de control de acceso codificadas de forma rígida (ACL) y firewalls de red estáticos, ya no proporcionan la protección adaptable, consciente de la identidad y el contexto necesarias para entornos híbridos y nativos de nube modernos. Para obtener plena confianza cero, las organizaciones deben retirar estas tecnologías obsoletas en favor de los servicios de seguridad basados en identidades y definidos por software.

7.1 Ámbito de retirada

Entre las tecnologías heredadas para retirarse se incluyen:

• VPN tradicionales que conceden acceso de red amplio basado únicamente en certificados de dispositivo o claves compartidas.
• Firewalls de red rígidos con conjuntos de reglas estáticos y visibilidad limitada a nivel de la aplicación.
• Servidores proxy web heredados que carecen de inspección de amenazas en línea o control de sesión.
• ACL de red o segmentación basada en rutas sin integración en señales de identidad o posición del dispositivo.

7.2 Principios de reemplazo

Para cada control en desuso, adopte una moderna alternativa de Confianza Cero que:

• Aplica el acceso con privilegios mínimos en la capa de aplicación o carga de trabajo mediante acceso de red de confianza cero.
• Integra la identidad y la posición del dispositivo (mediante el identificador de Entra de Microsoft y Microsoft Defender para punto de conexión) en cada decisión de acceso.
• Proporciona validación continua con evaluación continua de acceso y reevaluación de sesión.
• Ofrece visibilidad y control definidos por software a través de soluciones de Secure Access Service Edge (SASE) y Security Service Edge (SSE), como Secure Web Gateway (SWG), Cloud Access Security Broker (CASB), Firewall como servicio (FWaaS) y Detección y respuesta de red (NDR).

7.3 Estrategia de transición

1. Inventario y prioridad

   • Cataloge todos los dispositivos heredados y perfiles de VPN.
   • Clasifique por importancia (aplicaciones orientadas al público, conectividad de asociados, administración remota).

2. Piloto y validación

   • Implemente pilotos ZTNA usando Microsoft Global Secure Access o Azure VPN Gateway con autenticación de Microsoft Entra ID para conjuntos de aplicaciones de bajo riesgo.
   • Valide la conectividad, el rendimiento y la aplicación de directivas.

3. Reducción escalonada

   • Migre cohortes de usuarios y grupos de aplicaciones por etapas, supervisando las métricas de éxito (como el tiempo de acceso, las incidencias del soporte técnico y las alertas de seguridad).
   • Redirija simultáneamente el tráfico a través de la pila de SASE o SSE elegida.

4. Desmantelamiento formal

   • Retire los dispositivos de hardware y revoque las configuraciones de VPN heredadas.
   • Actualice los diagramas de red y los runbooks operativos para quitar la tecnología en desuso.

Productos incluidos en esta guía

Redes de Azure

Redes y subredes virtuales

Grupos de seguridad de red y grupos de seguridad de aplicaciones

Azure Firewall

DDoS Protection de Azure

Web Application Firewall de Azure

Azure VPN Gateway

Azure ExpressRoute

Azure Network Watcher

Microsoft Entra Private Access

Microsoft Entra Internet Access

Conclusión

La protección de las redes es fundamental para una estrategia de Confianza cero correcta. Para obtener más información o ayuda con la implementación, póngase en contacto con el equipo de éxito del cliente o continúe leyendo los demás capítulos de esta guía, que abarca todos los pilares de confianza cero.