Compartir a través de


Aplicación de los principios de Confianza cero para segmentar la comunicación de red basada en Azure

En este artículo se proporcionan instrucciones para aplicar los Principios de Confianza cero para segmentar redes en entornos de Azure. Estos son los principios de Confianza cero.

Principio de Confianza cero Definición
Comprobación explícita Autentique y autorice siempre en función de todos los puntos de datos disponibles.
Uso del acceso con privilegios mínimos Limite el acceso de los usuarios con los modelos Just-in-Time y Just-in-Time (JIT/JEA), directivas que se adaptan al nivel de riesgo y protección de datos.
Dar por hecho que habrá intrusiones al sistema Minimice el radio de explosión y el acceso a los segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas.

Puede minimizar el radio de acción de ataque cibernético y segmentar el acceso mediante la segmentación de red en varios niveles de la infraestructura de Azure.

Este artículo forma parte de una serie de artículos que muestran cómo aplicar los principios de Confianza cero en las redes de Azure.

A medida que las organizaciones crecen de pequeñas empresas a grandes empresas, a menudo necesitan pasar de una sola suscripción de Azure a varias suscripciones para separar los recursos de cada departamento. Es importante planear cuidadosamente la segmentación de la red para crear límites lógicos y aislamiento entre los entornos.

Cada entorno, que normalmente refleja un departamento independiente de su organización, debe tener sus propios permisos de acceso y directivas para cargas de trabajo específicas. Por ejemplo, los usuarios de la suscripción de desarrollador de software interno no deben tener acceso a la administración e implementación de recursos de red en la suscripción de conectividad. Sin embargo, estos entornos siguen necesitando conectividad de red para lograr la funcionalidad necesaria para los servicios básicos, como DNS, conectividad híbrida y poder acceder a otros recursos en diferentes redes virtuales (VNet) de Azure.

La segmentación de la infraestructura de Azure no solo proporciona aislamiento, sino que también puede crear límites de seguridad que impidan que un atacante se mueva a través de entornos y cause daños adicionales (el principio de la Confianza cero de Suponer que hay una brecha).

Arquitectura de referencia

Puede usar diferentes niveles de segmentación en Azure para ayudar a proteger los recursos frente a ataques malintencionados o de acceso no autorizado. Estos niveles de segmentación comienzan en el nivel de suscripción y llegan hasta las aplicaciones que se ejecutan en máquinas virtuales. La segmentación crea un límite que separa un entorno de otro, cada uno con sus propias reglas y directivas. Con la suposición de que pueden producirse brechas, debe segmentar las redes para evitar su propagación.

Las redes de Azure usan los siguientes niveles de segmentación:

  • Suscripciones

    Una suscripción de Azure es un contenedor lógico que se usa para aprovisionar recursos en Azure. Están vinculadas a una cuenta de Azure en un inquilino de Microsoft Entra ID y actúan como una sola unidad de facturación para los recursos de Azure asignados a la suscripción. Una suscripción de Azure también es un límite lógico para el acceso a los recursos contenidos en la suscripción. El acceso entre los recursos de distintas suscripciones requiere permisos explícitos.

  • Redes virtuales

    Una red virtual de Azure es una red privada aislada que, de manera predeterminada, permite que todas las máquinas virtuales dentro de ella se comuniquen entre sí. De manera predeterminada, las redes virtuales no se pueden comunicar con otras redes virtuales a menos que cree conexiones entre ellas a través del emparejamiento, conexiones VPN o ExpressRoute. Las redes virtuales individuales se pueden usar como un límite de confianza que divide diferentes aplicaciones, cargas de trabajo, departamentos u organizaciones.

    Azure Virtual Network Manager (AVNM) es un servicio de administración de red que permite a un único equipo de administración administrar redes virtuales y aplicar reglas de seguridad en varias suscripciones globalmente. Puede usar AVNM para definir grupos de red para determinar qué redes virtuales pueden comunicarse entre sí. También puede usar AVNM para supervisar los cambios de configuración de red.

  • Cargas de trabajo dentro de una red virtual

    En el caso de las cargas de trabajo dentro de una red virtual (como máquinas virtuales o cualquier servicio PaaS que admita la integración de redes virtuales, como Azure Databricks y App Service), la comunicación se permite de manera predeterminada, ya que están contenidas dentro de la misma red virtual y deben protegerse aún más mediante grupos de seguridad de red. Entre las herramientas y los servicios para la segmentación dentro de una red virtual se incluyen los siguientes:

    • Azure Firewall

      Azure Firewall es un servicio implementado en una red virtual para filtrar el tráfico entre los recursos en la nube, el entorno local e Internet. Con Azure Firewall, puede definir reglas y directivas para permitir o denegar el tráfico en las capas de red y aplicación. También puede beneficiarse de las características avanzadas de protección contra amenazas proporcionadas por Azure Firewall, como el sistema de detección y prevención de intrusiones (IDPS), la inspección de seguridad de la capa de transporte (TLS) y el filtrado basado en inteligencia sobre amenazas.

    • Grupo de seguridad de red

      Un grupo de seguridad de red es un mecanismo de control de acceso que filtra el tráfico de red entre recursos de Azure, como las máquinas virtuales dentro de una red virtual. Un grupo de seguridad de red contiene reglas de seguridad que permiten o deniegan el tráfico en los niveles de subred o máquina virtual de una red virtual. Un uso común de los grupos de seguridad de red es segmentar los conjuntos de máquinas virtuales en subredes diferentes.

    • Grupo de seguridad de aplicaciones

      Un grupo de seguridad de aplicaciones es una extensión de un grupo de seguridad de red que permite agrupar las interfaces de red de las máquinas virtuales en función de sus roles y funciones. A continuación, puede usar los grupos de seguridad de aplicaciones en un grupo de seguridad de red a gran escala sin tener que definir las direcciones IP de las máquinas virtuales.

    • Azure Front Door

      Azure Front Door es la nube moderna de Microsoft Content Delivery Network (CDN) que proporciona acceso rápido, de confianza y seguro entre los usuarios y el contenido web estático y dinámico de las aplicaciones en todo el mundo.

En el diagrama siguiente se muestra la arquitectura de referencia para los niveles de segmentación.

Diagrama que muestra la arquitectura de referencia y los niveles de segmentación de las redes de Azure.

En el diagrama, las líneas rojas sólidas indican niveles de segmentación entre:

  1. Suscripciones de Azure
  2. Redes virtuales en una suscripción
  3. Subredes en una red virtual
  4. Internet y una red virtual

En el diagrama también se muestra un conjunto de redes virtuales administradas por AVNM que pueden abarcar suscripciones de Azure.

¿Cuál es el contenido de este artículo?

Los principios de Confianza cero se aplican en la arquitectura de referencia dentro de la nube de Azure. En la tabla siguiente se describen las recomendaciones para segmentar redes en esta arquitectura para cumplir con el principio de Confianza cero de Suponer que hay una brecha.

Paso Tarea
1 Segmente dentro de las redes virtuales individuales.
2 Conecte varias redes virtuales con el emparejamiento.
3 Conecte varias redes virtuales en una configuración de centro y radio.

Paso 1: Segmentar dentro de las redes virtuales individuales

Dentro de una sola red virtual en una suscripción de Azure, se usan subredes para lograr la separación y la segmentación de los recursos. Por ejemplo, dentro de una red virtual podría haber una subred para los servidores de bases de datos, otra para las aplicaciones web y una subred dedicada para Azure Firewall o Azure Application Gateway con Web Application Firewall. De manera predeterminada, toda la comunicación entre las subredes está habilitada dentro de una red virtual.

Para crear aislamiento entre subredes, puede aplicar grupos de seguridad de red o grupos de seguridad de aplicaciones para permitir o denegar tráfico de red específico basado en direcciones IP, puertos o protocolos. Sin embargo, el diseño y el mantenimiento de grupos de seguridad de red y grupos de seguridad de aplicaciones también pueden crear una sobrecarga de administración.

En esta ilustración se muestra una configuración común y recomendada de una aplicación de tres niveles con subredes independientes para cada nivel y el uso de grupos de seguridad de red y grupos de seguridad de aplicaciones para crear límites segmentados entre cada subred.

Diagrama que muestra el uso de grupos de seguridad de red y grupos de seguridad de aplicaciones para la segmentación entre subredes.

También puede lograr la segmentación de recursos mediante el enrutamiento del tráfico entre subredes mediante rutas definidas por el usuario (UDR) que apunten a Azure Firewall o a una aplicación virtual de red (NVA) de terceros. Azure Firewall y las NVA también tienen la capacidad de permitir o denegar el tráfico mediante controles de capa 3 a capa 7. La mayoría de estos servicios proporcionan funcionalidades de filtrado avanzadas.

Para obtener más información, consulte las instrucciones de Patrón 1: Red virtual única.

Paso 2: Conectar varias redes virtuales con emparejamiento

De manera predeterminada, no se permite la comunicación entre redes virtuales con una sola suscripción de Azure o entre varias suscripciones. Varias redes virtuales, cada una de ellas pertenecientes a diferentes entidades, tienen sus propios controles de acceso. Pueden conectarse entre sí o a una red virtual de centro centralizada mediante el emparejamiento de redes virtuales, donde Azure Firewall o una NVA de red de terceros inspecciona todo el tráfico.

En esta ilustración se muestra una conexión de emparejamiento de red virtual entre dos redes virtuales y el uso de Azure Firewall en cada extremo de la conexión.

Diagrama que muestra el emparejamiento de redes virtuales y el uso de Azure Firewall para conectarse y segmentar dos redes virtuales.

Normalmente, una red virtual de centro contiene componentes compartidos, como firewalls, proveedores de identidades y componentes de conectividad híbrida, entre otros. La administración de UDR se vuelve más sencilla porque agregar UDR de prefijo específicos para la microsegmentación solo sería necesario si el tráfico dentro de la red virtual es un requisito. Sin embargo, dado que la red virtual tiene sus propios límites, los controles de seguridad ya están en vigor.

Para obtener más información, vea la guía siguiente:

Paso 3: Conecta varias redes virtuales en una configuración de centro y radio

Para varias redes virtuales en una configuración de centro y radio, debe tener en cuenta cómo segmentar el tráfico de red para estos límites:

  • Límite de Internet
  • Límites de red local
  • Límites de los servicios globales de Azure

Límite de Internet

Proteger el tráfico de Internet es una prioridad fundamental en la seguridad de red, lo que implica administrar el tráfico de entrada desde Internet (que no es de confianza) y el tráfico de salida dirigido a Internet (de confianza) desde las cargas de trabajo de Azure.

Microsoft recomienda que el tráfico de entrada desde Internet tenga un único punto de entrada. Microsoft recomienda encarecidamente que el tráfico de entrada recorra un recurso PaaS de Azure, como Azure Firewall, Azure Front Door o Azure Application Gateway. Estos recursos PaaS ofrecen más funcionalidades que una máquina virtual con una dirección IP pública.

Azure Firewall

En esta ilustración se muestra cómo Azure Firewall en su propia subred actúa como un punto de entrada central y un límite de segmentación para el tráfico entre Internet y una carga de trabajo de tres niveles en una red virtual de Azure.

Diagrama que muestra el uso de Azure Firewall para la segmentación de tráfico entre una red virtual e Internet.

Para obtener más información, consulte Azure Firewall en el Marco de buena arquitectura de Microsoft Azure.

Azure Front Door

Azure Front Door puede actuar como un límite entre Internet y los servicios hospedados en Azure. Azure Front Door admite la conectividad de Private Link con recursos como el equilibrio de carga interno (ILB) para el acceso a la red virtual, las cuentas de almacenamiento para sitios web estáticos y el almacenamiento de blobs, y Azure App Services. Azure Front Door normalmente se utiliza para implementaciones a gran escala.

Azure Front Door es más que un servicio de equilibrio de carga. La infraestructura de Azure Front Door tiene integrada la protección contra DDoS. Cuando el almacenamiento en caché está habilitado, el contenido se puede recuperar desde ubicaciones de punto de presencia (POP) en lugar de acceder constantemente a los servidores back-end. Cuando expira la memoria caché, Azure Front Door recupera el recurso solicitado y actualiza la memoria caché. En lugar de que los usuarios finales accedan a sus servidores, Azure Front Door usa Split TCP para dos conexiones independientes. Esto no solo mejora la experiencia del usuario final, sino que impide que los actores malintencionados accedan directamente a los recursos.

En esta ilustración se muestra cómo Azure Front Door proporciona segmentación entre usuarios de Internet y los recursos de Azure, que pueden estar en cuentas de almacenamiento.

Diagrama que muestra el uso de una instancia de Azure Front Door como límite entre Internet y los servicios hospedados en Azure.

Para obtener más información, consulte Azure Front Door en el Marco de buena arquitectura de Azure.

Azure Application Gateway

El punto de entrada de Internet también puede ser una combinación de puntos de entrada. Por ejemplo, el tráfico HTTP/HTTPS puede entrar a través de una instancia de Application Gateway protegida por una instancia de Web Application Firewall o Azure Front Door. El tráfico que no es HTTP/HTTPS, como RDP/SSH, puede realizar la entrada a través de Azure Firewall o una NVA. Puede usar estos dos elementos en conjunto para realizar una inspección más profunda y controlar el flujo de tráfico mediante UDR.

En esta ilustración se muestra el tráfico de entrada de Internet y el uso de una instancia de Application Gateway con Web Application Firewall para el tráfico HTTP/HTTPS y Azure Firewall para el resto del tráfico.

Diagrama que muestra las formas de conectarse y segmentar el tráfico entre una suscripción de Azure y una red local.

Dos escenarios recomendados habitualmente son:

  • Coloque una instancia de Azure Firewall o una NVA en paralelo con una instancia de Application Gateway.
  • Coloque una instancia de Azure Firewall o una NVA después de una instancia de Application Gateway para realizar una inspección adicional del tráfico antes de que llegue al destino.

Para obtener más información, consulte Azure Application Gateway en el Marco de buena arquitectura de Microsoft Azure.

Estos son patrones comunes adicionales para los flujos de tráfico de Internet.

Tráfico de entrada mediante varias interfaces

Un enfoque implica el uso de varias interfaces de red en máquinas virtuales al usar NVA: una interfaz para el tráfico que no es de confianza (orientación externa) y otra para el tráfico de confianza (orientación interna). En términos de flujo de tráfico, debe enrutar el tráfico de entrada desde el entorno local a la NVA mediante UDR. El tráfico de entrada desde Internet recibido por la NVA debe enrutarse a la carga de trabajo de destino en la red virtual o la subred adecuada mediante una combinación de rutas estáticas en el dispositivo del sistema operativo invitado y las UDR.

Tráfico de salida y UDR

Para el tráfico que sale de la red virtual hacia Internet, puede aplicar una UDR mediante una tabla de rutas con la NVA elegida como próximo salto. Para reducir la complejidad, puede implementar una instancia de Azure Firewall o una NVA dentro del centro de Azure Virtual WAN y activar la seguridad de Internet con intención de enrutamiento. Esto garantiza que se inspeccione tanto el tráfico norte-sur (que entra y sale de un ámbito de red) y el tráfico este-oeste (entre dispositivos dentro de un ámbito de red) destinado a direcciones IP virtuales (VIP) que no son de Azure.

Tráfico de salida y una ruta predeterminada

Algunos métodos implican administrar una ruta predeterminada (0.0.0.0/0) con métodos diferentes. Como regla general, se recomienda que el tráfico de salida que se origina en Azure use puntos de salida e inspección con Azure Firewall o NVA debido a la cantidad de rendimiento que puede controlar la infraestructura de Azure, lo que en la mayoría de los casos podría ser mucho mayor y más resistente. En este caso, configurar una ruta predeterminada en las UDR de las subredes de carga de trabajo puede forzar el tráfico a esos puntos de salida. También puede preferir enrutar el tráfico de salida desde el entorno local a Azure como un punto de salida. En este caso, use Azure Route Server en combinación con una NVA para anunciar una ruta predeterminada al entorno local mediante el Protocolo de puerta de enlace de borde (BGP).

Hay casos especiales en los que se necesita que todo el tráfico de salida se enrute de nuevo al entorno local mediante la publicidad de una ruta predeterminada a través de BGP. Esto obliga a que el tráfico que sale de la red virtual se tunelice a través de la red local a un firewall para su inspección. Este último enfoque es el menos deseado debido a que produce una mayor latencia y a la falta de controles de seguridad proporcionados por Azure. Esta práctica es ampliamente adoptada por el gobierno y los sectores bancarios que tienen requisitos específicos para la inspección del tráfico dentro de su entorno local.

En términos de escala:

  • Para una sola red virtual, puede usar grupos de seguridad de red, que se adhieren estrictamente a la semántica de capa 4, o puede usar una instancia de Azure Firewall que se ajusta a la semántica de capa 4 y capa 7.
  • En el caso de varias redes virtuales, todavía se puede usar una única instancia de Azure Firewall si esta es accesible, o puede implementar una instancia de Azure Firewall en cada red virtual y dirigir el tráfico con UDR.

En el caso de las redes empresariales distribuidas de gran tamaño, puede seguir usando el modelo de centro y radio y el tráfico directo con UDR. Sin embargo, esto puede provocar una sobrecarga de administración y límites de emparejamiento de red virtual. Para facilitar el uso, Azure Virtual WAN puede lograr esto si implementa una instancia de Azure Firewall en el centro virtual y activa la intención de enrutamiento para la seguridad de Internet. Esto insertará rutas predeterminadas en todos los radios y las redes de rama y enviará tráfico enlazado a Internet a Azure Firewall para su inspección. El tráfico privado destinado a los bloques de direcciones RFC 1918 se envía a Azure Firewall o a una NVA como próximo salto designado dentro del centro de Azure Virtual WAN.

Límites de red local

En Azure, los métodos principales para establecer la conectividad con redes locales incluyen túneles de protocolo de Internet (IPsec), túneles ExpressRoute o túneles WAN definidos por software (SD-WAN). Normalmente, se usa una conexión VPN de sitio a sitio (S2S) de Azure para cargas de trabajo más pequeñas que requieren menos ancho de banda. En el caso de las cargas de trabajo que requieren una ruta de acceso de servicio dedicada y mayores necesidades de rendimiento, Microsoft recomienda ExpressRoute.

En esta ilustración se muestran los distintos tipos de métodos de conexión entre un entorno de Azure y una red local.

Diagrama que muestra los distintos tipos de métodos de conexión entre un entorno de Azure y una red local.

Aunque las conexiones VPN de Azure pueden admitir varios túneles, ExpressRoute se configura a menudo para redes empresariales más grandes que requieren un mayor ancho de banda y conexiones privadas a través de un asociado de conectividad. Para ExpressRoute, es posible conectar la misma red virtual a varios circuitos, pero con fines de segmentación, esto a menudo no es ideal, ya que permite que las redes virtuales que no están conectadas entre sí se comuniquen.

Un método de segmentación implica elegir no usar una puerta de enlace remota en redes virtuales de radio o deshabilitar la propagación de rutas BGP si usa tablas de rutas. Todavía puede segmentar los centros conectados a ExpressRoute con NVA y firewalls. En el caso de los radios emparejados con los centros, puede optar por no usar la puerta de enlace remota en las propiedades de emparejamiento de red virtual. De este modo, los radios solo conocen a sus centros conectados directamente y no a las rutas locales.

Otro enfoque emergente para segmentar el tráfico hacia el entorno local y desde este es el uso de tecnologías SD-WAN. Puede ampliar las ubicaciones de rama a Azure SD-WAN mediante el uso de NVA de terceros en Azure para crear segmentaciones basadas en túneles SD-WAN procedentes de diferentes ramas dentro de los dispositivos NVA. Puede usar Azure Route Server para insertar los prefijos de dirección para los túneles SD-WAN en la plataforma de Azure para una topología de centro y radio.

Para una topología de WAN virtual, puede tener integración directa de la SD-WAN NVA de terceros dentro del centro virtual. También puede usar puntos de conexión BGP para permitir el uso de soluciones SD-WAN, creando túneles a partir de la NVA integrada al centro virtual.

En ambos modelos, puede usar ExpressRoute para segmentar la conectividad pública o privada subyacente con emparejamiento privado o emparejamiento de Microsoft. Para la seguridad, una práctica habitual es anunciar una ruta predeterminada a través de ExpressRoute. Esto obliga a que todo el tráfico que sale de la red virtual se tunelice a la red local para su inspección. Del mismo modo, el tráfico que llega a través de VPN y ExpressRoute se puede enviar a una NVA para una inspección adicional. Esto también se aplica al tráfico que sale de Azure. Estos métodos son sencillos cuando el entorno es más pequeño, como una o dos regiones.

Para redes grandes y distribuidas, también puede usar Azure Virtual WAN activando la inspección de tráfico privado mediante la intención de enrutamiento. Esto dirige todo el tráfico destinado a una dirección IP privada de la NVA para su inspección. Al igual que con los métodos anteriores, esto es mucho más fácil de administrar cuando el entorno abarca varias regiones.

El otro enfoque con Azure Virtual WAN es usar tablas de rutas personalizadas para los límites de aislamiento. Puede crear rutas personalizadas y asociar y propagar solo las redes virtuales que desee para esas tablas de rutas. Sin embargo, esta funcionalidad no se puede combinar con la intención de enrutamiento en la actualidad. Para aislar las ramas, puede asignar etiquetas para asociar ramas a esa etiqueta. También puede deshabilitar la propagación a la etiqueta predeterminada por centro. Actualmente, no se pueden aislar ramas individuales en Azure por separado en un único centro. Por ejemplo, no puede aislar SD-WAN de ExpressRoute. Pero en un centro completo, puede deshabilitar la propagación a la etiqueta predeterminada.

Límites de los servicios globales de Azure

En Azure, la mayoría de los servicios son accesibles de manera predeterminada a través de la WAN global de Azure. Esto también se aplica al acceso público a los servicios PaaS de Azure. Por ejemplo, Azure Storage tiene un firewall integrado que puede restringir el acceso a las redes virtuales y bloquear el acceso público. Sin embargo, a menudo hay una necesidad de lograr un control más pormenorizado. La preferencia típica es conectarse a direcciones VIP de Azure de manera privada, en lugar de usar las direcciones IP públicas predeterminadas proporcionadas.

El método más común para restringir el acceso a los recursos PaaS es a través de Azure Private Link. Al crear un punto de conexión privado, este se inserta en la red virtual. Azure usa esta dirección IP privada para tunelizar el recurso PaaS en cuestión. Azure asigna un registro A de DNS al punto de conexión privado mediante zonas DNS privadas de Azure y asigna un registro CNAME al recurso PaaS de vínculo privado.

Los puntos de conexión de servicio ofrecen un método alternativo para conectarse a direcciones VIP de PaaS. Puede seleccionar etiquetas de servicio para permitir conexiones a todos los recursos PaaS dentro de esa etiqueta y proporcionar conectividad privada al recurso PaaS.

Otro método frecuente implica el uso del emparejamiento de Microsoft para ExpressRoute. Si quiere conectarse a direcciones VIP de PaaS desde el entorno local, puede configurar el emparejamiento de Microsoft. Puede elegir la comunidad de BGP para que se consuman las direcciones VIP y esto se anuncia a través de la ruta de acceso de emparejamiento de Microsoft.

Para obtener más información, vea la guía siguiente:

Resumen de segmentación

En esta tabla se resumen los distintos niveles de segmentación y métodos de seguridad.

BETWEEN Comportamiento predeterminado Comunicación habilitada por... Métodos de seguridad de segmentación
Suscripciones Sin comunicación - Emparejamiento de redes virtuales

- Puertas de enlace de VPN
Azure Firewall
Redes virtuales Sin comunicación - Emparejamiento de redes virtuales

- Puertas de enlace de VPN
Azure Firewall
Cargas de trabajo en subredes dentro de una red virtual Comunicación abierta N/D - Grupos de seguridad de red

- Grupos de seguridad de aplicaciones
Internet y una red virtual Sin comunicación - Load Balancer

- Dirección IP pública

- Application Gateway

- Azure Front Door
- Azure Application Gateway con una instancia de Web Application Firewall

- Azure Firewall

- Azure Front Door con una instancia de Web Application Firewall
Internet y las redes locales Sin comunicación - VPN S2S de Azure

- Túnel IPsec

- Túnel ExpressRoute

- Túnel SD-WAN
Azure Firewall
Internet y máquinas virtuales en una red virtual Ninguna comunicación si las máquinas virtuales solo tienen direcciones IP privadas Asignación de la máquina virtual a una dirección IP pública Firewall de máquina virtual local

Pasos siguientes

Para más información sobre cómo aplicar Confianza cero a las redes de Azure, consulte:

Referencias

Consulte estos vínculos para obtener información sobre los distintos servicios y tecnologías mencionados en este artículo.