Compartir a través de

¿Qué es la seguridad de red de Azure?

La seguridad de red es un aspecto crítico de la informática en la nube, ya que protege los datos y las aplicaciones que se ejecutan en la nube frente a diversas amenazas y ataques. Azure proporciona un conjunto completo de soluciones de seguridad de red que le permiten diseñar, implementar y administrar redes seguras y resistentes en la nube.

Captura de pantalla que muestra los iconos de Azure Firewall, Azure DDoS Protection y Azure Web Application Firewall.

Uno de los principios rectores de la seguridad de red de Azure es el modelo de confianza cero, que supone que ninguna red o dispositivo es intrínsecamente segura o confiable. En su lugar, todas las solicitudes y conexiones deben comprobarse y validarse en función de los datos, la identidad y el contexto. El modelo de confianza cero le ayuda a evitar el acceso no autorizado, limitar el movimiento lateral y reducir la superficie expuesta a ataques de las redes.

Elección de una solución

Elegir la solución de seguridad de red adecuada para las cargas de trabajo de Azure depende de sus necesidades y requisitos específicos. Azure proporciona una variedad de servicios de seguridad de red que se pueden usar individualmente o en combinación para proteger las cargas de trabajo. Estos son algunos factores clave que se deben tener en cuenta al elegir una solución de seguridad de red:

  • Tipo de carga de trabajo: las distintas cargas de trabajo tienen requisitos de seguridad diferentes. Por ejemplo, las aplicaciones web pueden requerir protección contra ataques web, mientras que las máquinas virtuales pueden requerir protección contra ataques basados en red.
  • Modelo de implementación: Azure proporciona diferentes modelos de implementación para los servicios de seguridad de red, como aplicaciones virtuales, servicios administrados y soluciones integradas. Elija el modelo que mejor se adapte a sus necesidades y requisitos.
  • Integración con otros servicios de Azure: muchos servicios de seguridad de red de Azure se integran con otros servicios de Azure, como Azure Monitor, Azure Security Center y Microsoft Sentinel. Elija una solución que pueda integrarse fácilmente con los servicios de Azure existentes para mejorar la seguridad y la supervisión.
  • Costo: los distintos servicios de seguridad de red tienen modelos de precios diferentes. Elija una solución que se ajuste a su presupuesto y proporcione el nivel de protección que necesita.
  • Requisitos de cumplimiento: en función del sector y la ubicación, es posible que tenga requisitos de cumplimiento específicos que la solución de seguridad de red debe cumplir. Elija una solución que pueda ayudarle a cumplir estos requisitos.
  • Escalabilidad: a medida que crecen las cargas de trabajo, la solución de seguridad de red debe ser capaz de escalar con ellas. Elija una solución que pueda controlar el aumento del tráfico y las cargas de trabajo sin poner en peligro la seguridad.
  • Administración y supervisión: elija una solución que proporcione funcionalidades de administración y supervisión sencillas, como paneles, alertas e informes. Esto le ayudará a identificar y responder rápidamente a incidentes de seguridad.

Azure Firewall

Azure Firewall es un servicio de firewall de red inteligente nativo en la nube que ofrece protección con estado completo con alta disponibilidad integrada y escalabilidad ilimitada en la nube. Proporciona seguridad tanto de red como de nivel de aplicación para las cargas de trabajo de Azure. Como servicio administrado, Azure Firewall se puede implementar en una red virtual e integrarse sin problemas con otros servicios de Azure, como Azure Monitor, Azure Security Center y Microsoft Sentinel para mejorar la seguridad y la supervisión.

Diagrama que muestra cómo Azure Firewall inspecciona el tráfico hacia y desde Internet antes de enrutarlo a su destino.

En función de sus necesidades, puede seleccionar entre tres SKU de Azure Firewall:

  • Básico: la SKU básica es una opción rentable para soluciones de firewall sencillas en cargas de trabajo de Azure. Proporciona características esenciales, como el filtrado de redes y aplicaciones, la traducción de direcciones de red y el registro.
  • Estándar: la SKU estándar es una opción más avanzada que incluye características adicionales, como el proxy DNS y las categorías web. Está diseñado para soluciones de firewall más completas en cargas de trabajo de Azure.
  • Premium: la SKU Premium es la opción más avanzada que incluye todas las características de la SKU estándar, además de características adicionales, como la inspección de TLS, la detección y prevención de intrusiones y el filtrado de direcciones URL. Está diseñado para el mayor nivel de seguridad y control en las cargas de trabajo de Azure.

Casos de uso

  • Seguridad de red: proteja las cargas de trabajo de Azure frente a ataques basados en red y acceso no autorizado.
  • Seguridad de las aplicaciones: proteja las cargas de trabajo de Azure frente a ataques y vulnerabilidades basados en aplicaciones.
  • Detección y prevención de intrusiones: supervise la red para detectar actividades malintencionadas, registrar información sobre esta actividad, notificarla y, opcionalmente, intentar bloquearla.
  • Inspección de TLS: inspeccione y descifre el tráfico TLS para detectar y bloquear amenazas ocultas en el tráfico cifrado.
  • Filtrado de direcciones URL: controle el acceso a direcciones URL o categorías de direcciones URL específicas en función de las directivas de su organización.

Para más información, consulte Introducción a Azure Firewall.

Protección contra DDoS de Azure

Azure DDoS Protection es un servicio que proporciona características mejoradas de mitigación de DDoS para defenderse contra ataques DDoS. Se ajusta automáticamente para ayudar a proteger los recursos específicos de Azure en una red virtual. La protección es sencilla de habilitar en cualquier red virtual nueva o existente o en recursos de dirección IP pública, y no requiere cambios en la aplicación ni en los recursos.

  • Protección ip: Azure DDoS IP Protection proporciona protección para los recursos de Azure asignados a una dirección IP pública. Protege contra ataques de volumen, protocolo y capa de aplicación.

    Diagrama que ilustra Azure DDoS Protection aplicado a un recurso con una dirección IP pública.

  • Protección de red: Azure DDoS Network Protection proporciona protección para los recursos de Azure en una red virtual a la que se asigna una dirección IP pública. Tiene características adicionales, como compatibilidad con respuesta rápida de DDoS, protección de costos y descuentos de WAF.

    Diagrama que muestra Azure DDoS Protection activada en el nivel de red virtual para una topología hub-and-spoke.

Casos de uso

  • Protección frente a ataques DDoS: proteja los recursos de Azure frente a ataques DDoS, incluidos los ataques por volumen, protocolo y capa de aplicación.
  • Protección de costos: proteja los recursos de Azure frente a costos inesperados debido a ataques DDoS.
  • Respuesta rápida: obtenga soporte técnico de respuesta rápida de expertos en DDoS de Azure en caso de un ataque DDoS.

Para más información, consulte Introducción a Azure DDoS Protection.

Firewall de aplicaciones web de Azure

Azure Web Application Firewall (WAF) es un firewall de aplicaciones web que proporciona protección centralizada a las aplicaciones web frente a vulnerabilidades y vulnerabilidades comunes. WAF usa reglas para supervisar las solicitudes y respuestas HTTP, y puede bloquear o permitir el tráfico en función de las reglas que defina.

Diagrama que ilustra el firewall de aplicaciones web de Azure aplicado a Azure Application Gateway y Azure Front Door, lo que permite solicitudes válidas y bloqueo de ataques web.

WAF está disponible en dos opciones de implementación:

  • WAF de Azure Application Gateway: Azure Application Gateway es un equilibrador de carga de tráfico web (nivel 7 de OSI) que permite administrar el tráfico a las aplicaciones web.
  • Azure Front Door WAF: Azure Front Door es un punto de entrada escalable y seguro para la entrega rápida de las aplicaciones globales. Ofrece descarga SSL, aceleración de aplicaciones y equilibrio de carga global con conmutación por error instantánea.

Casos de uso

  • Protección contra ataques web: proteja las aplicaciones web frente a vulnerabilidades comunes, como la inyección SQL y el scripting entre sitios (XSS).
  • Administración centralizada: administre las reglas y directivas del firewall de aplicaciones web desde una sola ubicación.
  • Integración con servicios de Azure: integre WAF con otros servicios de Azure, como Azure Application Gateway y Azure Front Door, para mejorar la seguridad y el rendimiento.
  • Reglas personalizadas: cree reglas personalizadas para cumplir los requisitos y directivas de seguridad específicos.
  • Protección contra bots: proteja las aplicaciones web frente a bots malintencionados y ataques automatizados.

Para más información, consulte Introducción a Azure Web Application Firewall.

Experiencia de Azure Portal

Azure Portal proporciona una experiencia unificada para administrar los servicios de seguridad de red. Puede crear y administrar fácilmente los servicios de seguridad de red desde una sola ubicación, y también puede ver el estado y el estado de los servicios.

Captura de pantalla de la experiencia de selección de seguridad de red en Azure Portal.

Escenarios comunes de seguridad de red

El centro de seguridad de red admite actualmente las siguientes opciones de implementación:

  • Red virtual tipo hub-and-spoke protegida: implemente un Azure Firewall en una red virtual designada como concentrador. Esta red virtual del concentrador puede conectarse a varias redes virtuales radiales mediante el emparejamiento de redes virtuales. Azure Firewall está asociado a una directiva de Azure Firewall que define las reglas y configuraciones del firewall. Este modelo de implementación es ideal para las organizaciones que buscan centralizar la seguridad y la administración de red en una sola ubicación.

  • Protección de WANs virtuales a escala: implemente una instancia de Azure Firewall en un centro protegido de Azure Virtual WAN. Azure Firewall está asociado a una directiva de Azure Firewall y el centro protegido está conectado a varias sucursales y usuarios remotos. Este modelo de implementación es ideal para las organizaciones que usan Azure Virtual WAN para conectar varias sucursales y usuarios remotos a los recursos de Azure.

  • Confianza cero para aplicaciones web: Utilice Azure Application Gateway con una directiva de Firewall de aplicaciones web (WAF) de Azure para proteger las aplicaciones web regionales frente a exploits y vulnerabilidades comunes. Personalice la directiva de WAF para satisfacer las necesidades de seguridad específicas de las aplicaciones web de forma eficaz.

  • Entrega de contenido en la nube de forma segura: Use Azure Front Door con una directiva de cortafuegos de aplicaciones web (WAF) de Azure para proteger y optimizar la entrega de las aplicaciones web globales. Este modelo de implementación garantiza un rendimiento seguro y eficaz de las aplicaciones, a la vez que permite personalizar la directiva waf para satisfacer necesidades de seguridad específicas.

Pasos siguientes

Obtenga más información sobre las distintas características y funcionalidades de cada servicio de seguridad de red de Azure:

Documentación de seguridad de red de Azure

  • Last updated on