Aplicar principios de confianza cero para obtener visibilidad del tráfico de red
En este artículo se proporcionan instrucciones para aplicar los Principios de Confianza cero para segmentar redes en entornos de Azure. Estos son los principios de Confianza cero.
| Principio de Confianza cero | Definición |
|---|---|
| Comprobación explícita | Autentique y autorice siempre en función de todos los puntos de datos disponibles. |
| Uso del acceso con privilegios mínimos | Limite el acceso de los usuarios con los modelos Just-in-Time y Just-in-Time (JIT/JEA), directivas que se adaptan al nivel de riesgo y protección de datos. |
| Dar por hecho que habrá intrusiones al sistema | Minimice el radio de explosión y el acceso a los segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas. Este principio se cumple mediante el análisis para obtener visibilidad del tráfico de red en la infraestructura de Azure. |
Este artículo forma parte de una serie de artículos que muestran cómo aplicar los principios de Confianza cero en las redes de Azure.
Los tipos de tráfico de red descritos en este artículo son:
- Centralizado
- Tráfico este-oeste, que son flujos de tráfico entre las redes virtuales (VNet) de Azure y los servicios de Azure y la red local
- Norte-sur, que son flujos de tráfico entre el entorno de Azure e Internet
Arquitectura de referencia
En el diagrama siguiente se muestra la arquitectura de referencia de esta guía de confianza cero para la inspección del tráfico entre redes virtuales locales y de Azure, entre redes virtuales de Azure y servicios de Azure, y entre el entorno de Azure e Internet.
Esta arquitectura de referencia incluye:
- Cargas de trabajo de IaaS de Azure que se ejecutan en máquinas virtuales de Azure.
- Servicios de Azure.
- Una red virtual perimetral de Internet que contiene Azure DDoS Protection,Azure Firewall y Azure Web Application Firewall (WAF).
- Flechas que muestran flujos de tráfico este-oeste y norte-sur.
¿Cuál es el contenido de este artículo?
Los principios de confianza cero se aplican en la arquitectura de referencia. En la tabla siguiente se describen las recomendaciones para garantizar la visibilidad del tráfico de red en esta arquitectura para el principio de Confianza cerosuponer vulneración de seguridad.
| Paso | Tarea |
|---|---|
| 1 | Implementar un punto de inspección de tráfico centralizado. |
| 2 | Implementar la inspección del tráfico este-oeste. |
| 3 | Implementar la inspección del tráfico norte-sur. |
Paso 1: Implementar un punto de inspección de tráfico centralizado
La inspección centralizada del tráfico le ofrece la capacidad de controlar y visualizar el tráfico que entra y sale de la red. redes virtuales en estrella tipo hub-and-spoke y azure Virtual WAN son las dos topologías de red más comunes de Azure. Tienen diferentes funcionalidades y características en la forma en que conectan las redes. En ambos diseños, la red virtual del concentrador es la red central y se usa para dividir las cargas de trabajo en aplicaciones y cargas de trabajo de la red virtual del concentrador a redes virtuales radiales. La inspección centralizada incluye el tráfico que fluye hacia el norte-sur, este-oeste o ambos.
Topología de red en estrella tipo hub-and-spoke
Una de las características de un modelo en estrella tipo hub-and-spoke es que usted administra todas las redes virtuales. Una red virtual administrada por el centro de clientes actúa como una red virtual compartida a la que se conectan otras redes virtuales radiales. Esta red virtual centralizada se usa normalmente:
- Para establecer la conectividad híbrida con redes locales.
- Para la inspección y segmentación del tráfico mediante Azure Firewall o aplicaciones virtuales de red de terceros (NVA).
- Para centralizar la inspección del servicio de entrega de aplicaciones, como Azure Application Gateway con WAF.
En esta topología, colocará una instancia de Azure Firewall o una NVA en la red virtual del concentrador y configurará rutas definidas por el usuario (UDR) para dirigir el tráfico desde redes virtuales radiales y desde la red local a la red virtual del concentrador. Azure Firewall o NVA también pueden servir como motor de ruta para enrutar el tráfico entre redes virtuales de radio. Una de las características más importantes de un modelo de concentrador de red virtual y radio administrado por el cliente es el control pormenorizado del tráfico mediante UDR y la capacidad de modificar manualmente el enrutamiento, la segmentación y la propagación de esas rutas.
Azure Virtual WAN
Azure Virtual WAN es una red virtual del centro administrado por Azure que contiene instancias de Route Service en segundo plano que supervisan la propagación de rutas desde y hacia todas las ramas y todos los radios. Permite de forma eficaz la conectividad universal.
Una de las grandes diferencias con una red virtual administrada (denominada centro virtual administrado) es que la granularidad del control de enrutamiento se abstrae para los usuarios. Algunas de las principales ventajas son:
- Administración simplificada de rutas mediante conectividad nativa universal. Si necesita aislamiento de tráfico, puede configurar manualmente tablas de rutas personalizadas o rutas estáticas dentro de la tabla de rutas predeterminada.
- Solo las puertas de enlace de red virtual, Azure Firewall y los NVA aprobados o los dispositivos WAN (SD-WAN) definidos por software se pueden implementar en el centro. Los servicios centralizados, como DNS y Application Gateway, deben estar en redes virtuales de radio normales. Los radios deben estar conectados a los centros virtuales mediante el emparejamiento de red virtual.
Las redes virtuales administradas son más adecuadas para:
- Implementaciones a gran escala entre regiones que necesitan conectividad de tránsito que proporciona inspección de tráfico hacia y desde cualquier ubicación.
- Más de 30 sucursales o más de 100 túneles de seguridad de Protocolo de Internet (IPsec).
Algunas de las mejores características de Virtual WAN son la infraestructura de enrutamiento de escalabilidad e interconectividad. Entre los ejemplos de escalabilidad se incluyen el rendimiento de 50 Gbps por centro y 1000 sitios de sucursal. Para escalar aún más, se pueden interconectar varios centros virtuales para crear una red de malla de Virtual WAN más grande. Otra ventaja de Virtual WAN es la capacidad de simplificar el enrutamiento para la inspección del tráfico mediante la inserción de prefijos con el clic de un botón.
Cada diseño tiene sus propias ventajas y desventajas. La elección adecuada debe determinarse en función de los requisitos previstos de crecimiento futuro y sobrecarga de administración.
Paso 2: Implementación de la inspección del tráfico este-oeste
Los flujos de tráfico este-oeste incluyen red virtual a red virtual y red virtual a local. Para inspeccionar el tráfico entre el este y el oeste, puede implementar una instancia de Azure Firewall o una aplicación virtual de red en la red virtual del centro de conectividad. Esto requiere que las UDR dirijan el tráfico privado a Azure Firewall o AVA para su inspección. Dentro de la misma red virtual, puede usar grupos de seguridad de red para el control de acceso, pero si necesita un control más profundo con la inspección, puede usar un firewall local o un firewall centralizado en la red virtual del centro con el uso de UDR.
Con Azure Virtual WAN, puede tener Azure Firewall o una NVA dentro del centro virtual para el enrutamiento centralizado. Puede usar Azure Firewall Manager o la intención de enrutamiento para inspeccionar todo el tráfico privado. Si desea personalizar la inspección, puede tener Azure Firewall o NVA en el centro virtual para inspeccionar el tráfico deseado. La manera más fácil de dirigir el tráfico en un entorno de Virtual WAN es habilitar la intención de enrutamiento para el tráfico privado. Esta característica inserta prefijos de dirección privada (RFC 1918) en todos los radios conectados al centro. Cualquier tráfico destinado a una dirección IP privada se dirigirá al centro virtual para su inspección.
Cada método tiene sus propias ventajas e inconvenientes. La ventaja de usar la intención de enrutamiento es la simplificación de la administración de UDR, sin embargo no puede personalizar la inspección por conexión. La ventaja de no usar la intención de enrutamiento o firewall Manager es que puede personalizar la inspección. La desventaja es que no se puede realizar la inspección del tráfico entre regiones.
En el diagrama siguiente se muestra el tráfico este-oeste dentro del entorno de Azure.
Para obtener visibilidad del tráfico de red dentro de Azure, Microsoft recomienda la implementación de una instancia de Azure Firewall o una NVA en la red virtual. Azure Firewall puede inspeccionar el tráfico de la capa de red y de la capa de aplicación. Además, Azure Firewall proporciona características adicionales, como el sistema de detección y prevención de intrusiones (IDPS), la inspección de seguridad de la capa de transporte (TLS), el filtrado de direcciones URL y el filtrado de categorías web.
La inclusión de Azure Firewall o una aplicación virtual de red en la red de Azure es fundamental para cumplir con el principio de confianza cero para las redesAsumir vulneración de seguridad. Dado que las infracciones pueden transcurrir cada vez que los datos atraviesan una red, es esencial comprender y controlar el tráfico que se permite llegar a su destino. Los grupos de seguridad de red, UDR y Azure Firewall desempeñan un papel fundamental en la habilitación de un modelo de tráfico seguro al permitir o denegar el tráfico entre cargas de trabajo.
Para ver más detalles sobre los flujos de tráfico de red virtual, puede habilitar losregistros de flujo de red virtual o los registros de flujo de NSG. Los datos de registro de flujo se almacenan en una cuenta de Azure Storage donde puede acceder a ellos y exportarlos a una herramienta de visualización, como Azure Traffic Analytics. Con Azure Traffic Analytics, puede encontrar tráfico desconocido o no deseado, supervisar el nivel de tráfico y el uso del ancho de banda, o filtrar el tráfico específico para comprender el comportamiento de la aplicación.
Paso 3: Implementar la inspección del tráfico norte-sur
El tráfico norte-sur suele incluir tráfico entre redes privadas e Internet. Para inspeccionar el tráfico norte-sur en una topología en estrella tipo hub-and-spoke, puede usar UDR para dirigir el tráfico a una instancia de Azure Firewall o a una NVA. Para el anuncio dinámico, puede usar Azure Route Server con una NVA que admita BGP para dirigir todo el tráfico enlazado a Internet desde redes virtuales a la NVA.
En Azure Virtual WAN, para dirigir el tráfico norte-sur desde las redes virtuales a Azure Firewall o NVA compatibles con el centro de conectividad virtual, puede usar estos escenarios comunes:
- Use una aplicación virtual de red o Azure Firewall en el centro virtual que se controla con la intención de enrutamiento o con Azure Firewall Manager para dirigir el tráfico norte-sur.
- Si la aplicación virtual de red no se admite dentro del centro de conectividad virtual, puede implementarla en una red virtual de radio y dirigir el tráfico con UDR para su inspección. Lo mismo se aplica a Azure Firewall. Como alternativa, también puede emparejar BGP una NVA en un radio con el centro virtual para anunciar una ruta predeterminada (0.0.0.0/0).
En el diagrama siguiente se muestra el tráfico norte-sur entre un entorno de Azure e Internet.
Azure proporciona los siguientes servicios de red diseñados para ofrecer visibilidad del tráfico de red que entra y sale del entorno de Azure.
Protección contra DDoS de Azure
Azure DDoS Protection se puede habilitar en cualquier red virtual que tenga recursos de IP pública para supervisar y mitigar posibles ataques de denegación de servicio distribuido (DDoS). Este proceso de mitigación implica analizar el uso del tráfico con respecto a umbrales predefinidos en la directiva DDoS, seguido de registrar esta información para un examen posterior. Para prepararse mejor para incidentes futuros, Azure DDoS Protections ofrece la capacidad de realizar simulaciones contra las direcciones IP y los servicios públicos, lo que proporciona información valiosa sobre la resistencia y respuesta de la aplicación durante un ataque DDoS.
Azure Firewall
Azure Firewall proporciona una colección de herramientas para supervisar, auditar y analizar el tráfico de red.
Registros y métricas
Azure Firewall recopila registros detallados mediante la integración con áreas de trabajo de Azure Log Analytics. Puede usar consultas del lenguaje de consulta Kusto (KQL) para extraer información adicional sobre las principales categorías de reglas, como las reglas de aplicación y redes. También puede recuperar registros específicos de los recursos que se expanden en esquemas y estructuras desde el nivel de red hasta los registros de inteligencia sobre amenazas e IDPS. Para más información, consulte registros estructurados de Azure Firewall.
Libros
Azure Firewall proporciona libros que presentan los datos recopilados mediante gráficos de actividad a lo largo del tiempo. Esta herramienta también le ayuda a visualizar varios recursos de Azure Firewall al combinarlos en una interfaz unificada. Para más información, consulte Uso de libros de Azure Firewall.
Análisis de directivas
Azure Firewall Policy Analytics proporciona información general sobre las directivas que implementó y en función de la información de directivas, el análisis de reglas y el análisis de flujo de tráfico, ajusta y modifica las directivas implementadas para ajustarse a los patrones de tráfico y las amenazas. Para más información, consulte Azure Firewall Policy Analytics.
Estas funcionalidades garantizan que Azure Firewall siga siendo una solución sólida para proteger el tráfico de red al proporcionar a los administradores las herramientas necesarias para una administración de red eficaz.
Application Gateway
Application Gateway proporciona funcionalidades importantes para supervisar, auditar y analizar el tráfico con fines de seguridad. Al habilitar Log Analytics y usar consultas KQL predefinidas o personalizadas, puede ver códigos de error HTTP, incluidos los de los intervalos 4xx y 5xx que son críticos para identificar problemas.
Los registros de acceso de Application Gateway también proporcionan información crítica sobre los parámetros clave relacionados con la seguridad, como direcciones IP de cliente, URI de solicitud, versión HTTP y valores de configuración específicos de SSL/TLS, como protocolos, conjuntos de cifrado TLS y cuando está habilitado el cifrado SSL.
Azure Front Door
Azure Front Door emplea Anycast TCP para enrutar el tráfico al punto de presencia (PoP) más cercano del centro de datos. Al igual que un equilibrador de carga convencional, puede colocar una aplicación virtual de Red o Azure Firewall en el grupo de back-end de Azure Front Door, también conocido como origen. El único requisito es que la dirección IP del origen sea pública.
Una vez configurado Azure Front Door para recibir solicitudes, genera informes de tráfico para mostrar cómo se comporta el perfil de Azure Front Door. Cuando se usa el nivel Azure Front Door Premium, los informes de seguridad también están disponibles para mostrar coincidencias con las reglas de WAF, incluidas las reglas open Worldwide Application Security Project (OWASP), las reglas de protección contra bots y las reglas personalizadas.
Firewall de aplicaciones web de Azure
Azure WAF es una característica de seguridad adicional que inspecciona el tráfico de nivel 7 y se puede activar para Application Gateway y Azure Front Door con determinados niveles. Esto proporciona una capa adicional de seguridad para el tráfico que no se origina en Azure. Puede configurar WAF en los modos de prevención y detección mediante definiciones de reglas principales de OWASP.
Herramientas de supervisión
Para una supervisión completa de los flujos de tráfico norte-sur, puede usar herramientas como registros de flujo de NSG, Análisis de tráfico de Azure y registros de flujo de red virtual para mejorar la visibilidad de la red.
Recomendado para el entrenamiento
- Configuración y administración de redes virtuales para administradores de Azure
- Introducción al firewall de aplicaciones web de Azure
- Introducción a Azure Virtual WAN
- Introducción a Azure Front Door
- Introducción a Azure Application Gateway
Pasos siguientes
Para más información sobre cómo aplicar Confianza cero a las redes de Azure, consulte:
- Cifrado de la comunicación de red basada en Azure
- Segmentación de la comunicación de red basada en Azure
- Interrupción del uso de la tecnología de seguridad de red heredada
- Protección de redes con Confianza cero
- Redes virtuales radiales en Azure
- Redes virtuales centrales en Azure
- Redes virtuales de radio con servicios PaaS de Azure
- Azure Virtual WAN
Referencias
Consulte estos vínculos para obtener información sobre los distintos servicios y tecnologías mencionados en este artículo.
- Protección contra DDoS de Azure
- Azure Firewall
- Firewall de aplicaciones web de Azure
- Azure Virtual WAN
- Introducción a Puerta de enlace de aplicaciones
- Rutas definidas por el usuario
- Azure Firewall Manager
- Registros de flujo de red virtual
- Registros de flujos del grupo de seguridad de red
- Análisis de tráfico de Azure
- Azure Route Server
- Registros estructurados de Azure Firewall
- Uso de libros de Azure Firewall
- Análisis de directivas de Azure Firewall
- Azure Front Door