Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo, obtendrá información sobre los distintos modos de acceso y cómo realizar la transición a un perímetro de seguridad de red en Azure. Los modos de acceso controlan el acceso a los recursos y el comportamiento de registro, lo que le ayuda a proteger los recursos de Azure.
[! INCLUDE network-security-perimeter-preview-message]
Punto de configuración del modo de acceso en asociaciones de recursos
El punto de configuración del modo de acceso forma parte de una asociación de recursos en el perímetro y, por tanto, el administrador del perímetro puede establecerlo.
La propiedad accessMode se puede establecer en una asociación de recursos para controlar el acceso a la red pública del recurso.
Los valores posibles de accessMode son actualmente Enforced y Transition.
| Modo de acceso | Descripción |
|---|---|
| Transición | Este es el modo de acceso predeterminado. La evaluación en este modo usa la configuración perimetral de seguridad de red como línea base. Cuando no encuentra una regla coincidente, la evaluación vuelve a la configuración del firewall de recursos que, a continuación, puede aprobar el acceso con la configuración existente. |
| Aplicado | Cuando se establece explícitamente, el recurso obedece solo a reglas de acceso de perímetro de seguridad de red. |
Evitar interrupciones de conectividad al adoptar el perímetro de seguridad de red
Habilitar el modo de transición
Para evitar interrupciones de conectividad no deseadas al adoptar el perímetro de seguridad de red a los recursos de PaaS existentes y garantizar una transición sin problemas a configuraciones seguras, los administradores pueden agregar recursos paaS al perímetro de seguridad de red en el modo de transición (anteriormente modo de aprendizaje). Aunque este paso no protege los recursos de PaaS, hará lo siguiente:
- Permite que las conexiones se establezcan de acuerdo con la configuración del perímetro de seguridad de red. Además, los recursos de esta de configuración se recuperan tras error para respetar las reglas de firewall definidas por recursos y el comportamiento de acceso de confianza cuando las reglas de acceso perimetral de seguridad de red no permiten las conexiones.
- Cuando se habilitan los registros de diagnóstico, genera registros que detallan si las conexiones se aprobaron en función de la configuración del perímetro de seguridad de red o la configuración del recurso. Los administradores pueden analizar esos registros para identificar brechas en las reglas de acceso, las pertenencias perimetrales que faltan y las conexiones no deseadas.
Importante
Los recursos de PaaS operativos en el modo de transición (anteriormente Learning) solo deben servir como paso de transición. Los actores malintencionados pueden aprovechar los recursos no seguros para filtrar datos. Por lo tanto, es fundamental realizar la transición a una configuración totalmente segura lo antes posible con el modo de acceso establecido en Forzado.
Transición al modo aplicado para los recursos existentes
Para proteger completamente el acceso público, es esencial pasar al modo reforzado en el perímetro de seguridad de la red. Los aspectos que se deben tener en cuenta antes de pasar al modo aplicado son el impacto en el acceso público, privado, de confianza y perimetral. Cuando está en modo forzado, el comportamiento del acceso a la red en los recursos PaaS asociados se puede resumir de la siguiente manera para diferentes tipos de recursos PaaS:
- Acceso público: hace referencia a las solicitudes entrantes o salientes realizadas a través de redes públicas. Los recursos de PaaS protegidos por un perímetro de seguridad de red tienen deshabilitado el acceso público entrante y saliente de forma predeterminada, pero las reglas de acceso de perímetro de seguridad de red se pueden usar para permitir de forma selectiva el tráfico público que coincida con ellos.
- Acceso perimetral: hace referencia a solicitudes entrantes o salientes entre la parte de recursos del mismo perímetro de seguridad de red. Para evitar la filtración e infiltración de datos, este tráfico perimetral nunca cruzará los límites perimetrales a menos que se apruebe explícitamente como tráfico público tanto en el origen como en el destino en modo aplicado. La identidad administrada debe asignarse a los recursos para el acceso perimetral.
- Acceso de confianza: el acceso de servicio de confianza hace referencia a una característica de algunos servicios de Azure que permiten el acceso a través de redes públicas cuando su origen es servicios específicos de Azure que se consideran de confianza. Dado que el perímetro de seguridad de red proporciona un control más granular que el acceso de confianza, el acceso de confianza no se admite en modo forzado.
- Acceso privado: El acceso a través de Private Links no se ve afectado por el perímetro de seguridad de red.
Traslado de nuevos recursos al perímetro de seguridad de red
El perímetro de seguridad de red admite un comportamiento seguro de forma predeterminada mediante la introducción de una nueva propiedad en publicNetworkAccess denominada SecuredbyPerimeter. Cuando se establece, bloquea el acceso público e impide que los recursos de PaaS se expongan a redes públicas.
En la creación de recursos, si publicNetworkAccess se establece en SecuredByPerimeter, el recurso se crea en el modo de bloqueo incluso cuando no está asociado a un perímetro. Solo se permitirá el tráfico de vínculo privado si está configurado. Una vez asociado a un perímetro, el perímetro de seguridad de red rige el comportamiento del acceso a los recursos. En la tabla siguiente se resume el comportamiento de acceso en varios modos y la configuración de acceso a la red pública:
| Perfil no asociado | Modo de acceso de asociación: transición | Modo de acceso de asociación: Obligatorio | |
|---|---|---|---|
| Acceso a la red pública: habilitado |
Reglas de Ingreso: Reglas de Recursos Saliente: Permitido |
Entrante: Perímetro de seguridad de red + Reglas de recursos Saliente: reglas de perímetro de seguridad de red + Permitido |
Reglas de seguridad perimetrales de red entrantes: Egresos: Reglas de seguridad perimetral de red |
| Acceso a la red pública: deshabilitado |
Entrantes: Negado Saliente: Permitido |
Entrada: Reglas perimetrales de seguridad de red Saliente: reglas de perímetro de seguridad de red + Permitido |
Entrantes: Reglas de seguridad perimetral de la red Saliente: Reglas perimetrales de la seguridad de la red |
| Acceso a la red pública: SecuredByPerimeter |
Entrantes: Negado Saliente: Denegado |
Reglas de tráfico entrante: Reglas perimetrales de seguridad de red Saliente: Reglas perimetrales de seguridad de la red |
Entrantes: Reglas de seguridad perimetral de red Saliente: reglas de perímetro de seguridad de red |
Pasos para configurar las propiedades publicNetworkAccess y accessMode
Las propiedades publicNetworkAccess y accessMode se pueden establecer mediante Azure Portal siguiendo estos pasos:
Vaya al recurso de perímetro de seguridad de red en Azure Portal.
Seleccione Configuración>Recursos asociados para ver la lista de recursos asociados al perímetro.
Seleccione ... (puntos suspensivos) junto al recurso que desea configurar.
En el menú desplegable, seleccione Configurar acceso a la red pública y, a continuación, seleccione el modo de acceso deseado en las tres opciones disponibles: Habilitado, Deshabilitado o SecuredByPerimeter.
Para establecer el modo de acceso, seleccione Cambiar modo de acceso en el menú desplegable y, a continuación, seleccione el modo de acceso deseado en las dos opciones disponibles: Aprendizaje o Aplicación.
