Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
La red proporciona la red troncal para cómo los clientes acceden a la aplicación de software como servicio (SaaS) y permite la comunicación entre los componentes de la solución. La forma de diseñar la red tiene un efecto directo en la seguridad, las operaciones, el costo, el rendimiento y la confiabilidad de la solución. Un enfoque estructurado de la estrategia de red se vuelve aún más importante a medida que crece el entorno de nube.
Decidir una estrategia de implementación de red y una topología
Las soluciones SaaS tienen requisitos de red únicos. A medida que incorpora más clientes y aumenta su uso, cambian los requisitos de red. Controlar el crecimiento puede ser difícil debido a recursos limitados, como los intervalos de direcciones IP. El diseño de red afecta a la seguridad y al aislamiento de los clientes. Planee su estrategia de red para ayudar a administrar el crecimiento, mejorar la seguridad y reducir la complejidad operativa.
Consideraciones de diseño
Planee la estrategia de implementación de red en función del modelo de inquilino. Decida si desea compartir recursos de red entre los clientes, dedicar recursos a un solo cliente o una combinación de esas opciones. Esta opción afecta a la funcionalidad, la seguridad y el aislamiento del cliente de la aplicación.
Es habitual compartir recursos de red, como redes virtuales y perfiles de Azure Front Door, entre varios clientes. Este enfoque reduce los costos y la sobrecarga operativa. También simplifica la conectividad. Puede conectar fácilmente los recursos de un cliente con recursos compartidos, como cuentas de almacenamiento compartidas o un plano de control.
Sin embargo, los recursos de red dedicados para cada cliente pueden ser necesarios para establecer una alta seguridad y cumplimiento. Por ejemplo, para admitir un alto grado de segmentación de red entre los clientes, puede usar redes virtuales como límite. Los recursos dedicados pueden ser necesarios cuando el número de recursos de red en todos los clientes supera la capacidad de una sola red compartida.
Planee el número de recursos de red que cada cliente necesita teniendo en cuenta los requisitos inmediatos y futuros. Los requisitos del cliente y los límites de recursos de Azure pueden forzar resultados específicos. Los distintos recursos pueden requerir estrategias de implementación diferentes, como el uso de redes independientes para el emparejamiento de redes virtuales con redes virtuales de Azure propiedad del cliente.
Para más información sobre cómo compartir recursos en una solución SaaS, consulte Organización de recursos para cargas de trabajo de SaaS.
Comprender las topologías de red. Las topologías de red normalmente se dividen en tres categorías:
Red plana: una única red aislada que tiene subredes para la segmentación. Use una topología de red plana cuando tenga una sola aplicación multiinquilino con un diseño de red simple. Las redes planas pueden alcanzar los límites de recursos y requieren más redes a medida que se escala, lo que aumenta la sobrecarga y los costos. Si planea hospedar varias aplicaciones o usar sellos de implementación dedicados dentro de la misma red virtual, es posible que necesite un diseño de red complejo.
Hub y spoke: una red de hub centralizada que se conecta con redes de spoke aisladas. Use una topología hub-and-spoke para lograr una alta escalabilidad y aislamiento de clientes, ya que cada cliente o aplicación tiene su propia conexión satélite y solo se comunica con el concentrador. Puede desplegar rápidamente más radios según sea necesario para que todos los radios puedan utilizar los recursos del centro. La comunicación transitiva o de radio a radio a través del concentrador está deshabilitada de forma predeterminada, lo que ayuda a mantener el aislamiento del cliente en las soluciones SaaS.
Sin red: use una topología sin red para soluciones de plataforma como servicio (PaaS) de Azure donde puede hospedar cargas de trabajo complejas sin implementar redes virtuales. Por ejemplo, App de Azure Service permite la integración directa con otros servicios PaaS a través de la red troncal de Azure. Aunque este enfoque simplifica la administración, restringe la flexibilidad en la implementación de controles de seguridad y la capacidad de optimizar el rendimiento. Este enfoque puede funcionar bien para las aplicaciones nativas de la nube. A medida que la solución evoluciona, espere realizar la transición a una topología en estrella tipo hub-and-spoke a lo largo del tiempo.
Compensación: complejidad y seguridad. A partir de un límite de red definido, puede reducir la carga operativa de administrar componentes de red, como grupos de seguridad, espacio de direcciones IP y firewalls. Sin embargo, un perímetro de red es esencial para la mayoría de las cargas de trabajo. En ausencia de controles de seguridad de red, confíe en una sólida administración de identidades y acceso para proteger la carga de trabajo frente al tráfico malintencionado.
Comprenda cómo las arquitecturas de varias regiones afectan a las topologías de red. En una arquitectura de varias regiones que usa redes virtuales, la mayoría de los recursos de red se implementan en cada región por separado porque los firewalls, las puertas de enlace de red virtual y los grupos de seguridad de red no se pueden compartir entre regiones.
Recomendaciones de diseño
| Recomendación | Prestación |
|---|---|
| Decida qué componentes de red se comparten y qué componentes están dedicados al cliente. Comparta recursos que se cobran por instancia, como Azure Firewall, Azure Bastion y Azure Front Door. |
Equilibre el soporte técnico entre los requisitos de seguridad y aislamiento, a la vez que reduce el costo y la carga operativa. |
| Comience con una topología plana o un enfoque sin red. Revise siempre los requisitos de seguridad en primer lugar porque estos enfoques ofrecen un aislamiento limitado y controles de tráfico. |
Puede reducir la complejidad y el costo de la solución mediante topologías de red más sencillas. |
| Considere topologías hub-and-spoke para necesidades complejas o al implementar redes virtuales dedicadas para cada cliente. Use el centro para hospedar recursos de red compartidos entre redes de clientes. | Puede escalar más fácilmente y mejorar su rentabilidad compartiendo recursos a través de la red central. |
Diseño de un perímetro de red altamente seguro
El perímetro de red establece el límite de seguridad entre la aplicación y otras redes, incluido Internet. Al documentar el perímetro de red, puede distinguir entre los siguientes tipos de flujos de tráfico:
- Tráfico de entrada, que llega a la red desde un origen externo.
- Tráfico interno, que va entre los componentes de la red.
- Tráfico de salida, que sale de la red.
Cada flujo implica diferentes riesgos y controles. Por ejemplo, necesita varios controles de seguridad para inspeccionar y procesar el tráfico de entrada.
Importante
Como procedimiento recomendado general, siga siempre un enfoque de confianza cero. Asegúrese de que todo el tráfico está controlado e inspeccionado, incluido el tráfico interno.
Los clientes también pueden tener requisitos de cumplimiento específicos que influyen en la arquitectura. Por ejemplo, si necesitan el cumplimiento de SOC 2, deben implementar varios controles de red, como un firewall, un firewall de aplicaciones web (WAF) y grupos de seguridad de red, para cumplir los requisitos de seguridad. Incluso si no es necesario cumplir inmediatamente, tenga en cuenta estos factores de extensibilidad al diseñar la arquitectura.
Para obtener más información, consulte Recomendaciones de SE:06 para redes y conectividad.
Consideraciones de diseño
Proteja y administre el tráfico de entrada. Inspeccione este tráfico para detectar amenazas entrantes.
Los firewalls permiten bloquear direcciones IP malintencionadas y completar análisis avanzados para protegerse frente a intentos de intrusiones. Sin embargo, los firewalls pueden ser costosos. Evalúe los requisitos de seguridad para determinar si se requiere un firewall.
Las aplicaciones web son vulnerables a ataques comunes, como la inyección de CÓDIGO SQL, el scripting entre sitios y otras vulnerabilidades principales de OWASP. La característica de firewall de aplicaciones web de Azure ayuda a protegerse contra esos ataques e integrarse con Azure Application Gateway y Azure Front Door. Revise los niveles de estos servicios para comprender qué funcionalidades de WAF están en qué productos.
Los ataques de denegación de servicio distribuido (DDoS) son un riesgo para las aplicaciones accesibles desde Internet. Azure proporciona un nivel básico de protección sin costo alguno. Azure DDoS Protection proporciona protección avanzada aprendiendo los patrones de tráfico y ajustando las protecciones en consecuencia, pero estas características tienen un costo. Si usa Azure Front Door, aproveche las funcionalidades de DDoS integradas.
Además de la seguridad, también puede manipular el tráfico de entrada para mejorar el rendimiento de la aplicación mediante el almacenamiento en caché y el equilibrio de carga.
Considere la posibilidad de usar un servicio de proxy inverso como Azure Front Door para la administración global del tráfico HTTP y HTTPS. Como alternativa, use Application Gateway u otros servicios de Azure para el control de tráfico entrante. Para obtener más información, consulte Opciones de equilibrio de carga.
Proteger el tráfico interno. Asegúrese de que el tráfico entre la aplicación y sus componentes es seguro para ayudar a evitar el acceso malintencionado. Proteja estos recursos y mejore el rendimiento mediante el uso del tráfico interno en lugar de enrutar a través de Internet. Azure Private Link se usa normalmente para conectarse a los recursos de Azure a través de una dirección IP interna dentro de la red. Para algunos tipos de recursos, los puntos de conexión de servicio pueden ser una alternativa más rentable.
Si habilita la conectividad pública a Internet para los recursos, comprenda cómo restringir el tráfico mediante direcciones IP e identidades de aplicación, como identidades administradas.
Proteger el tráfico de salida. En algunas soluciones, inspeccione el tráfico saliente para evitar la filtración de datos, especialmente para el cumplimiento normativo y los clientes empresariales. Use firewalls para administrar y revisar el tráfico de salida bloqueando las conexiones a ubicaciones no autorizadas.
Planee cómo escalar horizontalmente la conectividad saliente y SNAT. El agotamiento de puertos de traducción de direcciones de red de origen (SNAT) puede afectar a las aplicaciones multiinquilino. Estas aplicaciones suelen necesitar conexiones de red distintas para cada inquilino y compartir recursos entre los clientes aumenta el riesgo de agotamiento de SNAT a medida que crece la base de clientes.
Puede mitigar el agotamiento de SNAT mediante Azure NAT Gateway, firewalls como Azure Firewall o una combinación de los dos enfoques.
Recomendaciones de diseño
| Recomendación | Prestación |
|---|---|
| Mantenga un catálogo de los puntos de conexión de red que se exponen a Internet. Capture detalles como la dirección IP (si es estática), el nombre de host, los puertos, los protocolos que usan los puntos de conexión y la justificación de las conexiones. Documente cómo planea proteger cada punto de conexión. |
Esta lista constituye la base de la definición del perímetro para que pueda tomar decisiones explícitas sobre cómo administrar el tráfico a través de la solución. |
| Conozca las funcionalidades del servicio de Azure para limitar el acceso y mejorar la protección. Por ejemplo, necesita más controles para exponer los puntos de conexión de la cuenta de almacenamiento a los clientes. Estos controles incluyen firmas de acceso compartido, firewalls de cuentas de almacenamiento y cuentas de almacenamiento independientes para uso interno y externo. |
Puede seleccionar controles que satisfagan sus necesidades de seguridad, costo y rendimiento. |
| En el caso de las aplicaciones basadas en HTTP y HTTPS, use un proxy inverso, como Azure Front Door o Application Gateway. | Los servidores proxy inversos proporcionan una amplia gama de funcionalidades para mejorar el rendimiento, la resistencia y la seguridad. También ayudan a reducir la complejidad operativa. |
| Inspeccione el tráfico de entrada usando un WAF. Evite exponer recursos basados en web, como App Service o Azure Kubernetes Service (AKS) directamente a Internet. |
Puede proteger de forma más eficaz las aplicaciones web frente a amenazas comunes y reducir la exposición general de la solución. |
| Proteja la aplicación frente a ataques DDoS. Utiliza Azure Front Door o DDoS Protection según los protocolos que usen los puntos de conexión públicos. |
Proteja la solución de un tipo común de ataque. |
| Si la aplicación requiere conectividad de salida a escala, use NAT Gateway o un firewall para proporcionar puertos SNAT adicionales. | Puede admitir niveles más altos de escala. |
Conectividad entre redes
En algunos escenarios, es posible que tenga que conectarse a recursos que están fuera de Azure. Estos recursos incluyen datos dentro de la red privada o los recursos de un cliente en un proveedor de nube diferente en una configuración multinube. Estas necesidades pueden complicar el diseño de la red porque requieren varios enfoques para implementar la conectividad entre redes en función de sus requisitos específicos.
Consideraciones de diseño
Identifique los puntos de conexión a los que la aplicación necesita conectarse. Es posible que la aplicación tenga que comunicarse con otros servicios, como los servicios de almacenamiento y las bases de datos. Documente su propietario, ubicación y tipo de conectividad. A continuación, puede elegir el método adecuado para conectarse a estos puntos de conexión. En la tabla siguiente se describen los enfoques comunes.
Ubicación del recurso Owner Opciones de conectividad que se deben tener en cuenta Azure Customer - Punto de conexión privado (entre inquilinos de Microsoft Entra)
- Emparejamiento de redes virtuales (entre clientes de Microsoft Entra)
- Punto de conexión de servicio (entre inquilinos de Microsoft Entra)
Otro proveedor de nube ISV o cliente - VPN de sitio a sitio
- Azure ExpressRoute
- Internet
Local ISV o cliente - VPN de sitio a sitio
- ExpressRoute
- Internet
Private Link y puntos de conexión privados proporcionan conectividad segura a varios recursos de Azure, incluidos equilibradores de carga internos para máquinas virtuales. Habilitan el acceso privado a la solución SaaS para los clientes, pero tienen consideraciones sobre los costos.
Compensación: seguridad y costo. Private Link ayuda a garantizar que el tráfico permanece dentro de la red privada. Se recomienda Private Link para la conectividad de red entre los inquilinos de Microsoft Entra. Sin embargo, cada punto de conexión privado conlleva costos, lo que puede acumularse en función de sus necesidades de seguridad. Los puntos de conexión de servicio pueden ser una alternativa rentable. Mantienen el tráfico en la red troncal de Microsoft al tiempo que proporcionan un nivel de conectividad privada.Los puntos de conexión de servicio enrutan el tráfico a los recursos de PaaS a través de la red troncal de Microsoft, que protege la comunicación entre servicios. Los puntos de conexión de servicio pueden ser rentables para las aplicaciones de ancho de banda alto, pero debe configurar y mantener listas de control de acceso para la seguridad. La compatibilidad con los puntos de conexión de servicio en las entidades de Microsoft Entra varía según el servicio de Azure. Compruebe la documentación del producto para cada servicio que use.
El emparejamiento de redes virtuales conecta dos redes virtuales y permite que los recursos de una red accedan a direcciones IP en la otra. Facilita la conectividad a los recursos privados de una red virtual de Azure. Puede administrar el acceso mediante grupos de seguridad de red, pero aplicar el aislamiento puede ser difícil. Por lo tanto, es importante planear la topología de red en función de las necesidades específicas del cliente.
Las redes privadas virtuales (VPN) crean un túnel seguro a través de Internet entre dos redes, incluidos los proveedores de nube y las ubicaciones locales. Las VPN de sitio a sitio usan dispositivos de red en cada red para la configuración. Ofrecen una opción de conectividad de bajo costo, pero requieren configuración y no garantizan un rendimiento predecible.
ExpressRoute proporciona una conexión privada dedicada, de alto rendimiento entre Azure y otros proveedores de nube o redes locales. Garantiza un rendimiento predecible y omite el tráfico de Internet, pero conlleva mayores costos y requiere una configuración más compleja.
Planee en función del destino. Es posible que tenga que conectarse a recursos en distintos inquilinos de Microsoft Entra, especialmente si el recurso de destino está en la suscripción de Azure de un cliente. Considere la posibilidad de usar puntos de conexión privados, una VPN de sitio a sitio o redes virtuales emparejadas. Para más información, consulte Creación de un emparejamiento de red virtual entre distintas suscripciones.
Para conectarse a recursos que hospeda otro proveedor de nube, es habitual usar la conectividad a Internet pública, una VPN de sitio a sitio o ExpressRoute. Para más información, consulte Conectividad con otros proveedores de nube.
Comprenda los efectos de la conectividad en la topología de red. Una red virtual de Azure solo puede tener una puerta de enlace de red virtual, que puede conectarse a varias ubicaciones a través de una VPN de sitio a sitio o ExpressRoute. Sin embargo, hay límites en el número de conexiones que puede realizar a través de una puerta de enlace y aislar el tráfico del cliente puede ser difícil. Para varias conexiones a diferentes ubicaciones, planee la topología de red en consecuencia, posiblemente mediante la implementación de una red virtual independiente para cada cliente.
Comprenda las implicaciones para el planeamiento de direcciones IP. Algunos enfoques de conectividad proporcionan automáticamente traducción de direcciones de red (NAT), lo que ayuda a evitar los problemas que provocan las direcciones IP superpuestas. Sin embargo, el emparejamiento de redes virtuales y ExpressRoute no realizan NAT. Al usar estos métodos, planee cuidadosamente los recursos de red y las asignaciones de direcciones IP para evitar intervalos de direcciones IP superpuestos y garantizar el crecimiento futuro. El planeamiento de direcciones IP puede ser complejo, especialmente cuando se conecta a orígenes externos como los clientes, por lo que considere posibles conflictos con sus intervalos de direcciones IP.
Comprender la facturación de salida de red. Azure normalmente factura el tráfico de red saliente cuando sale de la red de Microsoft o se mueve entre regiones de Azure. Al diseñar soluciones de varias regiones o multinube, es importante comprender las implicaciones de los costos. Las opciones de arquitectura, como el uso de Azure Front Door o ExpressRoute, pueden afectar a la forma en que se le factura el tráfico de red.
Recomendaciones de diseño
| Recomendación | Prestación |
|---|---|
| Elija enfoques de redes privadas para conectarse entre redes para priorizar la seguridad. Considere la posibilidad de realizar el enrutamiento a través de Internet después de evaluar las implicaciones de rendimiento y seguridad asociadas. |
El tráfico privado atraviesa una ruta de acceso de red protegida, lo que ayuda a reducir muchos tipos de riesgos de seguridad. |
| Cuando se conecta a los recursos que hospedan los entornos de Azure de los clientes, use Private Link, puntos de conexión de servicio o emparejamientos de red virtual. | Puede mantener el tráfico en la red de Microsoft, lo que ayuda a reducir los costos y la complejidad operativa en comparación con otros enfoques. |
| Al conectarse entre proveedores de nube o a redes locales, use VPN de sitio a sitio o ExpressRoute. | Estas tecnologías proporcionan conexiones seguras entre proveedores. |
Despliegue a los entornos de sus clientes
El modelo de negocio puede requerir que hospede la aplicación o sus componentes dentro del entorno de Azure de un cliente. El cliente administra su propia suscripción de Azure y paga directamente el costo de los recursos necesarios para ejecutar la aplicación. Como proveedor de soluciones, es responsable de administrar la solución, incluida la implementación inicial, la aplicación de la configuración y la implementación de actualizaciones en la aplicación.
En tales situaciones, los clientes suelen traer su propia red e implementar la aplicación en un espacio de red que definen. Las aplicaciones administradas de Azure proporcionan funcionalidades para facilitar este proceso. Para más información, consulte Uso de una red virtual existente con Azure Managed Applications.
Consideraciones de diseño
Prepárese para diferentes intervalos de direcciones IP y conflictos. Cuando los clientes implementan y administran redes virtuales, son responsables de controlar los conflictos de red y el escalado. Sin embargo, debe prever diferentes escenarios de uso de clientes. Planee las implementaciones en entornos con un espacio mínimo de direcciones IP utilizando direcciones IP de manera eficiente. Evite codificar de forma rígida intervalos de direcciones IP para evitar superposiciones con intervalos de clientes.
Como alternativa, implemente una red virtual dedicada para la solución. Puede usar Private Link o emparejamiento de red virtual para permitir que los clientes se conecten a los recursos. Para obtener más información, consulte Conectividad entre redes. Si ha definido puntos de entrada y salida, evalúe NAT como un enfoque para eliminar los problemas que provocan las superposiciones de direcciones IP.
Proporcionar acceso a la red con fines de administración. Revise los recursos que implemente en entornos de cliente y planee cómo acceder a ellos para supervisar, administrar o volver a configurarlos. Al implementar recursos con direcciones IP privadas en un entorno propiedad del cliente, asegúrese de que tiene una ruta de acceso de red para acceder a ellos desde su propia red. Tenga en cuenta cómo facilita los cambios de aplicación y recursos, como insertar una nueva versión de la aplicación o actualizar una configuración de recursos de Azure.
En algunas soluciones, puede usar funcionalidades que proporcionan las aplicaciones administradas de Azure, como el acceso Just-In-Time y la implementación de actualizaciones en las aplicaciones. Si necesita más control, puede hospedar un punto de conexión dentro de la red del cliente a la que puede conectarse el plano de control. Este enfoque proporciona acceso a los recursos. Este método requiere más recursos y desarrollo de Azure para cumplir los requisitos de seguridad, operativos y de rendimiento. Para obtener un ejemplo de cómo implementar este enfoque, consulte Ejemplo de actualización de Aplicaciones administradas de Azure.
Recomendaciones de diseño
| Recomendación | Prestación |
|---|---|
| Use Azure Managed Applications para implementar y administrar recursos implementados por el cliente. | Las aplicaciones administradas de Azure proporcionan una variedad de funcionalidades que le permiten implementar y administrar recursos dentro de la suscripción de Azure de un cliente. |
| Minimice el número de direcciones IP que consume dentro del espacio de red virtual del cliente. | A menudo, los clientes tienen disponibilidad restringida de direcciones IP. Al minimizar su huella y desacoplar el escalado del uso de direcciones IP, puede ampliar el número de clientes que pueden usar su solución y permitir niveles más altos de crecimiento. |
| Planee cómo obtener acceso de red para administrar recursos en entornos de cliente para que pueda realizar la supervisión, los cambios en la configuración de recursos y las actualizaciones de aplicaciones. | Puede configurar directamente los recursos que administra. |
| Decida si desea implementar una red virtual dedicada o integrarla con la red virtual existente de un cliente. | Al decidir qué red virtual se va a usar con antelación, puede asegurarse de que puede cumplir los requisitos de los clientes para el aislamiento, la seguridad y la integración con sus otros sistemas. |
| De forma predeterminada, deshabilite el acceso público en los recursos de Azure. Elija la entrada privada siempre que sea posible. | Puede reducir el ámbito de los recursos de red que usted y sus clientes necesitan proteger. |
Recursos adicionales
Multiinquilino es una metodología empresarial básica para diseñar cargas de trabajo de SaaS. Estos artículos proporcionan más información relacionada con el diseño de red:
- Enfoques de arquitectura para redes en soluciones multiinquilino
- Modelos de arrendamiento para una solución multiinquilino
- Topología de red de concentrador y radio
- Consideraciones de Azure NAT Gateway para la administración multiinquilino
- Enfoques arquitectónicos para la integración de inquilinos y el acceso a datos
Paso siguiente
Obtenga información sobre las consideraciones de la plataforma de datos para la integridad de los datos y el rendimiento de las cargas de trabajo de SaaS en Azure.