Planeamiento de la segmentación de la red de zona de aterrizaje

En esta sección se analizan las recomendaciones clave para ofrecer una segmentación muy segura de la red interna en una zona de aterrizaje para impulsar una implementación de red de confianza cero.

Consideraciones de diseño

• El modelo de confianza cero presupone un estado de infracción y comprueba cada solicitud como si proviniera de una red no controlada.

• Una implementación de red avanzada de confianza cero emplea microperímetros de entrada y salida de la nube totalmente distribuidos y una microsegmentación más profunda.

• Los grupos de seguridad de red (NSG) pueden usar etiquetas de servicio de Azure para facilitar la conectividad a las soluciones de plataforma como servicio (PaaS) de Azure.

• Los grupos de seguridad de aplicaciones (ASG) no abarcan ni proporcionan protección entre redes virtuales.

• Use los registros de flujo de red virtual para inspeccionar el tráfico que fluye a través de redes virtuales. Los registros de flujo de red virtual proporcionan funcionalidades similares a los registros de flujo del grupo de seguridad de red, pero abarcan una gama más amplia de casos de uso. También simplifican el ámbito de la supervisión del tráfico, ya que pueden habilitar el registro en el nivel de red virtual.

Nota

El 30 de septiembre de 2027, se retirarán los registros de flujo del grupo de seguridad de red (NSG). Como parte de este retiro, ya no podrás crear nuevos registros de flujo de NSG a partir del 30 de junio de 2025. Se recomienda migrar a los registros de flujo de red virtual, lo que supera las limitaciones de los registros de flujo de NSG. Después de la fecha de retirada, el análisis de tráfico habilitado con los registros de flujo de NSG ya no se admitirá y se eliminarán los recursos de registros de flujo de NSG existentes en las suscripciones. Sin embargo, los registros de flujo de NSG no se eliminarán y seguirán siguiendo sus respectivas directivas de retención. Para más información, consulte la aviso de retirada.

Recomendaciones de diseño

• Delegue la creación de subredes al propietario de la zona de aterrizaje. De esta forma, podrán definir el modo de segmentar las cargas de trabajo entre subredes (por ejemplo, una sola subred de gran tamaño, una aplicación de varios niveles o una aplicación insertada en la red). El equipo de la plataforma puede usar Azure Policy para asegurarse de que un grupo de seguridad de red con reglas específicas (como denegar SSH entrante o RDP desde Internet, o permitir o bloquear el tráfico entre zonas de aterrizaje) siempre está asociado a subredes que tienen directivas de solo denegación.

• Utilice Grupos de Seguridad de Red (NSGs) para ayudar a proteger el tráfico entre subredes y el tráfico este/oeste en toda la plataforma (tráfico entre zonas de aterrizaje).

• El equipo de la aplicación debe utilizar grupos de seguridad de aplicaciones en los Grupos de Seguridad de Red (NSGs) a nivel de subred para ayudar a proteger las máquinas virtuales de varios niveles dentro de la zona de aterrizaje.

  Diagrama que muestra cómo funciona un grupo de seguridad de aplicaciones.

• Utilice NSGs y grupos de seguridad de aplicaciones para microsegmentar el tráfico dentro de la zona de aterrizaje y evite el uso de NVAs centrales para filtrar los flujos de tráfico.

• Active los registros de flujo de red virtual y use el análisis de tráfico para obtener información sobre los flujos de tráfico de entrada y salida. Habilite los registros de flujo en todas las redes virtuales y subredes críticas de las suscripciones, por ejemplo, redes virtuales y subredes que contienen controladores de dominio de Windows Server Active Directory o almacenes de datos críticos. Además, puede usar registros de flujo para detectar e investigar posibles incidentes de seguridad, cumplimiento y supervisión, y para optimizar el uso.

• Planee y migre la configuración actual de los registros de flujo de NSG a los registros de flujo de red virtual. Consulte Migrar registros de flujo de NSG.

• Use los grupos de seguridad de red para permitir de forma selectiva la conectividad entre las zonas de aterrizaje.

• En el caso de las topologías de Virtual WAN, enrute el tráfico entre las zonas de aterrizaje a través de Azure Firewall, si su organización necesita funciones de filtrado y registro para el flujo de tráfico entre zonas de aterrizaje.

• Si su organización decide implementar la tunelización forzada (anuncie la ruta predeterminada) en el entorno local, se recomienda incorporar las siguientes reglas de salida para el grupo de seguridad de red para denegar el tráfico de salida desde las redes virtuales directamente a Internet en caso de que la sesión BGP deje de estar activa.

Nota

Las prioridades de las reglas se deberán ajustar en función del conjunto de reglas existente del grupo de seguridad de red.

Prioridad	Nombre	Origen	Destino	Servicio	Acción	Comentario
100	AllowLocal	Any	VirtualNetwork	Any	Allow	Permite el tráfico durante las operaciones normales. Con la tunelización forzada habilitada, 0.0.0.0/0 se considera parte de la etiqueta VirtualNetwork, siempre que BGP la esté anunciando en ExpressRoute o VPN Gateway.
110	DenyInternet	Any	Internet	Any	Deny	Deniegue el tráfico que sale directamente a Internet si la ruta 0.0.0.0/0 se retira de las rutas anunciadas (por ejemplo, debido a una interrupción o configuración incorrecta).

Precaución

Es posible que los servicios PaaS de Azure que se puedan insertar en una red virtual no sean compatibles con la tunelización forzada. Las operaciones del plano de control pueden requerir conectividad directa a direcciones IP públicas específicas para que el servicio funcione correctamente. Se recomienda comprobar la documentación específica del servicio para conocer los requisitos de red y, finalmente, excluir la subred del servicio de la propagación de ruta predeterminada. Las etiquetas de servicio de UDR se pueden usar para omitir la ruta predeterminada y redirigir únicamente el tráfico del plano de control, si la etiqueta de servicio específica está disponible.