Compartir vía


Planeamiento de la conectividad de Internet entrante y saliente

En este artículo se enumeran las consideraciones y recomendaciones para la conectividad entrante y saliente entre Azure y la red pública de Internet.

Consideraciones de diseño

  • Los servicios de seguridad de red nativos de Azure, como Azure Firewall, Azure Web Application Firewall (WAF) en Azure Application Gateway y Azure Front Door son servicios totalmente administrados. No incurre en los costos operativos y de administración ni en la complejidad de las implementaciones de la infraestructura a gran escala.

  • Si su organización prefiere usar dispositivos virtuales de red (NVA) que no son de Azure, o en situaciones en las que los servicios nativos no cumplen requisitos específicos, la arquitectura de la zona de aterrizaje de Azure es totalmente compatible con los dispositivos virtuales de red de asociados.

  • Azure proporciona varios métodos de conectividad salientes y directos a Internet, como puertas de enlace de traducción de direcciones de red (NAT) o equilibradores de carga, para máquinas virtuales (VM) o instancias de proceso en una red virtual. Se recomienda Azure NAT Gateway como valor predeterminado para habilitar la conectividad de salida, ya que es operativamente el más sencillo de configurar y es la opción más escalable y eficaz entre todos los métodos de conectividad de salida disponibles en Azure. Para más información, consulte Métodos de conectividad de salida de Azure.

Recomendaciones de diseño

  • Use Azure NAT Gateway para la conectividad de salida directa a Internet. Una puerta de enlace NAT es un servicio NAT totalmente administrado y altamente resistente que proporciona SNAT escalable y a petición.

    • Use NAT Gateway para:

      • Cargas de trabajo dinámicas o grandes que envían tráfico a Internet.
      • Direcciones IP públicas estáticas y predecibles para la conectividad de salida. NAT Gateway se puede asociar a hasta 16 direcciones IP públicas o a prefijos de direcciones IP públicas /28.
      • Mitigación de problemas de agotamiento de puertos SNAT que se experimenta habitualmente con las reglas de salida del equilibrador de carga, Azure Firewall o Azure App Service.
      • Seguridad y privacidad de los recursos dentro de la red. Solo el tráfico de salida y el devuelto pueden pasar a través de NAT Gateway.
  • Use las etiquetas de Azure Firewall para controlar:

    • El tráfico saliente de Azure a Internet.
    • Las conexiones entrantes que no son de HTTP/S.
    • El filtrado del tráfico este-oeste, si lo requiere su organización.
  • Use Azure Firewall Premium para funcionalidades avanzadas de firewall, como las siguientes:

    • Inspección de Seguridad de la capa de transporte (TLS)
    • Un sistema de detección y prevención de intrusiones de red (IDPS)
    • Filtrado para direcciones URL
    • Categorías web
  • Azure Firewall Manager admite redes virtuales normales y Azure Virtual WAN. Use Firewall Manager con Virtual WAN para implementar y administrar firewalls de Azure en centros de conectividad de Virtual WAN o redes virtuales de centro de conectividad.

  • Si usa varias direcciones IP e intervalos de forma coherente en reglas de Azure Firewall, configure grupos de direcciones IP en Azure Firewall. Puede usar los grupos de direcciones IP en reglas de DNAT, red y aplicación de Azure Firewall para varios firewalls entre regiones y suscripciones de Azure.

  • Si usa una ruta personalizada definida por el usuario (UDR) para administrar la conectividad saliente a los servicios de plataforma como servicio (PaaS) de Azure, especifique una etiqueta de servicio como el prefijo de dirección. Las etiquetas de servicio actualizan automáticamente las direcciones IP subyacentes para incluir cambios y reducen la sobrecarga de administrar prefijos de Azure en una tabla de rutas.

  • Cree una directiva global de Azure Firewall para regir la posición de seguridad en el entorno de red global. Asigne la directiva a todas las instancias de Azure Firewall.

  • Permita que las directivas granulares cumplan los requisitos específicos de la región mediante el control de acceso basado en rol de Azure para delegar directivas incrementales en los equipos de seguridad locales.

  • Use WAF en una red virtual de zona de aterrizaje para proteger el tráfico entrante HTTP/S de Internet.

  • Use las directivas de WAF y Azure Front Door para proporcionar protección global en todas las regiones de Azure para las conexiones entrantes HTTP/S a una zona de aterrizaje.

  • Para usar Azure Front Door y Azure Application Gateway a fin de ayudar a proteger las aplicaciones HTTP/S, use las directivas del WAF de Azure Front Door. Bloquee Azure Application Gateway para que reciba solo el tráfico procedente de Azure Front Door.

  • Si necesita dispositivos virtuales de red de asociados para las conexiones entrantes HTTP/S, impleméntelas en una red virtual de zona de aterrizaje junto con las aplicaciones a las que protegen y exponen a Internet.

  • Para el acceso de salida, no use el acceso de salida de Internet predeterminado de Azure para ningún escenario. Los problemas experimentados con el acceso de salida predeterminado incluyen:

    • Mayor riesgo de agotamiento de puertos SNAT.
    • Es inseguro por naturaleza.
    • No puede depender de las direcciones IP de acceso predeterminadas. No es propiedad del cliente y está sujeto a cambios.
  • Use una puerta de enlace NAT para zonas de aterrizaje en línea o zonas de aterrizaje que no están conectadas a la red virtual del centro. Los recursos de proceso que necesitan acceso saliente a Internet y no necesitan la seguridad de Azure Firewall Estándar o Premium, o un dispositivo virtual de red de terceros, pueden usar zonas de aterrizaje en línea.

  • Si su organización quiere usar proveedores de seguridad de software como servicio (SaaS) para ayudar a proteger las conexiones salientes, configure los asociados compatibles en Firewall Manager.

  • Si usa dispositivos virtuales de red de asociados para la protección y el filtrado del tráfico este-oeste o norte-sur:

    • En el caso de las topologías de red Virtual WAN, implemente los dispositivos virtuales de red en una red virtual de NAV independiente. Conecte la red virtual al centro de conectividad de Virtual WAN regional y a las zonas de aterrizaje que necesiten acceso a los dispositivos virtuales de red. Para obtener más información, consulte Escenario: Enrutamiento del tráfico a través de una aplicación virtual de red.
    • En el caso de las topologías de red que no sean de Virtual WAN, implemente los dispositivos virtuales de red de asociados en la red virtual del centro de conectividad central.
  • No exponga a Internet los puertos de administración de la máquina virtual. Para tareas de administración:

    • Use Azure Policy para evitar la creación de máquinas virtuales con direcciones IP públicas.
    • Use Azure Bastion para acceder a las máquinas virtuales de Jumpbox.
  • Use los planes de protección de Azure DDoS Protection para proteger los puntos de conexión públicos hospedados en las redes virtuales.

  • No intente replicar los conceptos ni las arquitecturas de redes perimetrales locales en Azure. Aunque Azure tiene funcionalidades de seguridad similares, la implementación y la arquitectura se adaptan a la nube.