Aplicación de principios de confianza cero para interrumpir la tecnología de seguridad de red heredada
En este artículo se proporcionan instrucciones para aplicar los principios de Confianza cero para interrumpir la tecnología de seguridad de red heredada en entornos de Azure. Estos son los principios de Confianza cero.
| Principio de Confianza cero | Definición |
|---|---|
| Comprobación explícita | Autentique y autorice siempre en función de todos los puntos de datos disponibles. |
| Uso del acceso con privilegios mínimos | Limite el acceso de los usuarios con los modelos Just-in-Time y Just-in-Time (JIT/JEA), directivas que se adaptan al nivel de riesgo y protección de datos. |
| Dar por hecho que habrá intrusiones al sistema | Minimice el radio de explosión y el acceso a los segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas. Mejore las defensas del entorno de Azure mediante la eliminación o actualización de los servicios de red heredados a fin de obtener niveles más altos de seguridad. |
Este artículo forma parte de una serie de artículos que muestran cómo aplicar los principios de Confianza cero en las redes de Azure.
Las áreas de red de Azure que se van a revisar para interrumpir el uso de tecnologías de seguridad de red heredadas son las siguientes:
- Servicios básicos de redes
- Servicios de equilibrio de carga y entrega de contenido
- Servicios de conectividad híbrida
La transición fuera del uso de tecnologías de seguridad de red heredadas puede impedir que un atacante acceda a entornos o que se mueva entre ellos para infligir daños generalizados (el principio de confianza cero Presunción de vulneración).
Arquitectura de referencia
En el diagrama siguiente se muestra la arquitectura de referencia de esta guía de Confianza cero a fin de interrumpir la tecnología de seguridad de red heredada para los componentes del entorno de Azure.
Esta arquitectura de referencia incluye:
- Cargas de trabajo de IaaS de Azure que se ejecutan en máquinas virtuales de Azure.
- Servicios de Azure.
- Una red virtual de seguridad (VNet) que contiene una instancia de Azure VPN Gateway y Azure Application Gateway.
- Una red virtual perimetral de Internet que contiene una instancia de Azure Load Balancer.
- Azure Front Door en el perímetro del entorno de Azure.
¿Cuál es el contenido de este artículo?
Los principios de Confianza cero se aplican en toda la arquitectura de referencia, desde usuarios y administradores de Internet o la red local hasta el entorno de Azure y dentro de él. En la tabla siguiente se enumeran las tareas clave para interrumpir la tecnología de seguridad de red heredada en esta arquitectura para el principio de Confianza cero Presunción de vulneración.
| Paso | Tarea |
|---|---|
| 1 | Revise los servicios básicos de red. |
| 2 | Revise los servicios de entrega de contenido y equilibrio de carga. |
| 3 | Revise los servicios de conectividad híbrida. |
Paso 1: Revisión de los servicios básicos de red
La revisión de los servicios básicos de red incluye lo siguiente:
- Pasar de la SKU de IP pública Básica a la SKU de IP pública Estándar.
- Asegurarse de que las direcciones IP de la máquina virtual usan acceso de salida explícito.
En este diagrama se muestran los componentes para actualizar los servicios básicos de red de Azure en la arquitectura de referencia.
SKU de IP pública Básica
Las direcciones IP (públicas y privadas) forman parte de los servicios IP de Azure que permiten la comunicación entre recursos públicos y privados. Las direcciones IP públicas están vinculadas a servicios como puertas de enlace de red virtual, puertas de enlace de aplicaciones y otras que necesitan conectividad saliente a Internet. Las direcciones IP privadas permiten la comunicación entre los recursos de Azure internamente.
En la actualidad, la SKU de IP pública Básica se considera heredada y tiene más limitaciones que la SKU de IP pública Estándar. Una de las principales limitaciones de Confianza cero para la SKU de IP pública Básica es que no se necesitan grupos de seguridad de red, pero se recomiendan, mientras que con la SKU de IP pública Estándar son obligatorios.
Otra característica importante para la SKU de IP pública Estándar es la capacidad de seleccionar una preferencia de enrutamiento, como el enrutamiento por la red global de Microsoft. Esta característica protege el tráfico dentro de la red troncal de Microsoft siempre que sea posible y el tráfico saliente sale lo más cerca posible del servicio o del usuario final.
Para más información, vea Servicios IP de Azure Virtual Network.
Nota:
La SKU de IP pública Básica se retirará en septiembre de 2025.
Acceso de salida predeterminado
De manera predeterminada, Azure proporciona acceso saliente a Internet. La conectividad desde los recursos se concede de manera predeterminada con las rutas del sistema y mediante reglas de salida predeterminadas para los grupos de seguridad de red implementados. Es decir, si no se configura ningún método de conectividad saliente explícito, Azure configura una dirección IP de acceso saliente predeterminada. Pero sin el acceso saliente explícito, surgen ciertos riesgos de seguridad.
Microsoft recomienda no dejar una dirección IP de máquina virtual abierta al tráfico de Internet. No hay control sobre el acceso IP saliente predeterminado y las direcciones IP, junto con sus dependencias, pueden cambiar. En el caso de las máquinas virtuales equipadas con varias tarjetas de interfaz de red (NIC), no se recomienda permitir que todas las direcciones IP de NIC tengan acceso saliente a Internet. En su lugar, debe restringir el acceso solo a las NIC necesarias.
Microsoft recomienda configurar el acceso saliente explícito con una de las siguientes opciones:
-
Para el número máximo de puertos de traducción de direcciones de red de origen (SNAT), Microsoft recomienda Azure NAT Gateway para la conectividad saliente.
Equilibradores de carga de Azure de SKU Estándar
Para esto se necesita una regla de equilibrio de carga para programar SNAT, que puede no ser tan eficaz como una instancia de Azure NAT Gateway.
Uso restringido de direcciones IP públicas.
La asignación de una dirección IP pública directa a una máquina virtual solo se debe realizar para entornos de prueba o desarrollo, debido a consideraciones de escalabilidad y seguridad.
Paso 2: Revisión de los servicios de entrega de contenido y equilibrio de carga
Azure tiene muchos servicios de entrega de aplicaciones que le ayudan a enviar y distribuir el tráfico a las aplicaciones web. A veces, una nueva versión o nivel del servicio mejora la experiencia y proporciona las actualizaciones más recientes. Puede usar la herramienta de migración dentro de cada uno de los servicios de entrega de aplicaciones para cambiar fácilmente a la versión más reciente del servicio y beneficiarse de características nuevas y mejoradas.
La revisión de los servicios de entrega de contenido y equilibrio de carga incluye lo siguiente:
- Migración del nivel de Azure Front Door del nivel Clásico a los niveles Premium o Estándar.
- Migración de las instancias de Azure Application Gateway a WAF_v2.
- Migración a una instancia de Azure Load Balancer con SKU Estándar.
En este diagrama se muestran los componentes para actualizar los servicios de entrega de contenido y equilibrio de carga de Azure.
Azure Front Door
Azure Front Door tiene tres niveles diferentes: Premium, Estándar y Clásico. Los niveles Estándar y Premium combinan características del nivel Clásico de Azure Front Door, Azure Content Delivery Networky Azure Web Application Firewall (WAF) en un servicio.
Microsoft recomienda migrar los perfiles clásicos de Azure Front Door a los niveles Premium o Estándar para disfrutar de estas nuevas características y actualizaciones. El nivel Premium se centra en características de seguridad mejoradas, como la conectividad privada a los servicios de back-end, las reglas de WAF administradas por Microsoft y la protección contra bots para las aplicaciones web.
Además de las características mejoradas, Azure Front Door Premium incluye informes de seguridad integrados en el servicio sin costo adicional. Estos informes le ayudan a analizar las reglas de seguridad de WAF y a ver qué tipo de ataques se podrían enfrentar las aplicaciones web. El informe de seguridad también le permite examinar las métricas por diferentes dimensiones, lo que le ayuda a comprender de dónde procede el tráfico y le proporciona un desglose de los principales eventos por criterios.
El nivel Premium de Azure Front Door proporciona las medidas de seguridad de Internet más sólidas entre clientes y aplicaciones web.
Introducción a Puerta de enlace de aplicaciones
Las instancias de Azure Application Gateway tienen dos tipos de SKU, v1 y v2, y una versión de WAF que se puede aplicar a cualquiera de las SKU. Microsoft recomienda migrar la instancia de Azure Application Gateway a la SKU WAF_v2 para beneficiarse de las actualizaciones de rendimiento y las nuevas características, como el escalado automático, las reglas de WAF personalizadas y la compatibilidad con Azure Private Link.
Las reglas de WAF personalizadas permiten especificar condiciones para evaluar todas las solicitudes que pasan por Azure Application Gateway. Estas reglas tienen mayor prioridad que las de los conjuntos de reglas administradas y se pueden personalizar para adaptarse a las necesidades de la aplicación y los requisitos de seguridad. Las reglas de WAF personalizadas también pueden limitar el acceso a las aplicaciones web por país o regiones mediante la coincidencia de una dirección IP con un código de país.
La otra ventaja de migrar a WAFv2 es que puede conectarse a Azure Application Gateway mediante el servicio Azure Private Link al acceder desde otra red virtual u otra suscripción. Esta característica le permite bloquear el acceso público a Azure Application Gateway, al tiempo que permite que solo los usuarios y los dispositivos accedan mediante un punto de conexión privado. Con la conectividad de Azure Private Link, debe aprobar cada conexión de punto de conexión privado, lo que garantiza que solo pueda acceder la entidad correcta. Para más información sobre las diferencias entre la SKU v1 y v2, vea Azure Application Gateway v2.
Azure Load Balancer
Con la retirada planeada de la SKU de IP pública Básica en septiembre de 2025, tendrá que actualizar los servicios que usan direcciones IP de SKU de IP pública Básica. Microsoft recomienda migrar las instancias de Azure Load Balancer con SKU Básicas actuales a instancias de Azure Load Balancer con SKU Estándar para implementar medidas de seguridad no incluidas con la SKU Básica.
Con la SKU Estándar de Azure Load Balancer, cuenta con seguridad de forma predeterminada. Todo el tráfico entrante de Internet al equilibrador de carga público se bloquea a menos que las reglas del grupo de seguridad de red aplicado lo permitan. Este comportamiento predeterminado evita que se permita accidentalmente el tráfico de Internet a las máquinas virtuales o los servicios antes de que esté listo y se asegure de que controla el tráfico que puede acceder a los recursos.
La SKU Estándar de Azure Load Balancer usa Azure Private Link para crear conexiones de punto de conexión privado, lo que resulta útil cuando se quiere permitir el acceso privado a los recursos detrás de un equilibrador de carga, pero que los usuarios accedan a ellos desde su entorno.
Paso 3: Revisión de los servicios de conectividad híbrida
La revisión de los servicios de conectividad híbrida incluye el uso de la nueva generación de SKU para Azure VPN Gateway.
En este diagrama se muestran los componentes para actualizar los servicios de conectividad de Azure en la arquitectura de referencia.
La forma más eficaz de conectar redes híbridas en Azure actualmente consiste en usar las SKU de nueva generación para Azure VPN Gateway. Aunque todavía es posible usar puertas de enlace de VPN clásicas, están obsoletas y son menos confiables y eficientes. Las puertas de enlace de VPN clásicas admiten un máximo de 10 túneles de protocolo de seguridad de Internet (IPsec), mientras que las SKU más recientes de Azure VPN Gateway se pueden escalar hasta los 100 túneles.
Las SKU más recientes funcionan en un modelo de controlador más reciente e incorporan las últimas actualizaciones de software de seguridad. Los modelos de controladores más antiguos se basaban en tecnologías de Microsoft obsoletas que no son adecuadas para cargas de trabajo modernas. Los modelos de controladores más recientes no solo ofrecen un rendimiento y hardware superiores, sino que también proporcionan resistencia mejorada. El conjunto AZ de SKU de puertas de enlace de VPN se puede colocar en zonas de disponibilidad y admitir conexiones activas-activas con varias direcciones IP públicas, lo que mejora la resistencia y ofrece opciones mejoradas para la recuperación ante desastres.
Además, para las necesidades de enrutamiento dinámico, las puertas de enlace de VPN clásicas no podían ejecutar el Protocolo de puerta de enlace de borde (BGP), solo usaban IKEv1 y no admitían el enrutamiento dinámico. En resumen, las puertas de enlace de VPN de SKU clásicas están diseñadas para cargas de trabajo más pequeñas, ancho de banda reducido y conexiones estáticas.
Las puertas de enlace de VPN clásicas también tienen limitaciones en la seguridad y la funcionalidad de sus túneles IPsec. Solo admiten el modo basado en directivas con el protocolo IKEv1 y un conjunto limitado de cifrados y algoritmos hash que son más susceptibles a las infracciones. Microsoft recomienda realizar la transición a las nuevas SKU que ofrecen una gama más amplia de opciones para los protocolos de fase 1 y fase 2. Una ventaja clave es que las puertas de enlace de VPN basadas en rutas pueden usar el modo principal IKEv1 e IKEv2, lo que proporciona mayor flexibilidad de implementación y algoritmos de hash y cifrado más sólidos.
Si necesita mayor seguridad que los valores de cifrado predeterminados, las instancias de VPN Gateway basadas en rutas permiten personalizar los parámetros de fase 1 y fase 2 para seleccionar cifrados y longitudes de clave específicos. Entre los grupos de cifrado más seguros se incluyen Grupo 14 (2048 bits), Grupo 24 (grupo MODP de 2048 bits) o ECP (grupos de curva elíptica) de 256 o 384 bits (Grupo 19 y Grupo 20, respectivamente). Además, puede especificar qué intervalos de prefijos pueden enviar tráfico cifrado mediante el valor Selector de tráfico para proteger aún más la negociación del túnel frente al tráfico no autorizado.
Para más información, vea Criptografía de Azure VPN Gateway.
Las SKU de Azure VPN Gateway facilitan las conexiones VPN de punto a sitio (P2S) para usar ambos protocolos IPsec basados en los protocolos estándar IKEv2 y VPN basados en SSL/TLS, como OpenVPN y Protocolo de túnel de sockets seguros (SSTP). Esta compatibilidad proporciona a los usuarios varios métodos de implementación y les permite conectarse a Azure mediante diferentes sistemas operativos de dispositivos. Las SKU de Azure VPN Gateway también ofrecen muchas opciones de autenticación de cliente, como la autenticación de certificados, la de Microsoft Entra ID y la de Active Directory Domain Services (AD DS).
Nota:
Las puertas de enlace de IPSec clásicas se retirarán el 31 de agosto de 2024.
Recomendado para el entrenamiento
- Configuración y administración de redes virtuales para administradores de Azure
- Protección y aislamiento del acceso a recursos de Azure mediante grupos de seguridad de red y puntos de conexión de servicio
- Introducción a Azure Front Door
- Introducción a Azure Application Gateway
- Introducción al firewall de aplicaciones web de Azure
- Introducción a Azure Private Link
- Conexión de la red local a Azure con VPN Gateway
Pasos siguientes
Para más información sobre cómo aplicar Confianza cero a las redes de Azure, vea lo siguiente:
- Cifrado de la comunicación de red basada en Azure
- Segmentación de la comunicación de red basada en Azure
- Obtención de visibilidad del tráfico de red
- Protección de redes con Confianza cero
- Redes virtuales radiales en Azure
- Redes virtuales centrales en Azure
- Redes virtuales de radio con servicios PaaS de Azure
- Azure Virtual WAN
Referencias
Consulte estos vínculos para obtener información sobre los distintos servicios y tecnologías mencionados en este artículo.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de