Configuración del firewall en recursos de Azure

  • 7 minutos

En esta unidad se describe una colección de procedimientos recomendados de Azure para mejorar la seguridad de red. Estos procedimientos recomendados se derivan de nuestra experiencia con las redes en Azure, y las experiencias de clientes como usted.

Para cada procedimiento recomendado, en este artículo se explica:

  • Qué es el procedimiento recomendado
  • Por qué le conviene habilitar este procedimiento recomendado
  • Cuál podría ser el resultado si no habilita el procedimiento recomendado
  • Alternativas posibles al procedimiento recomendado
  • Cómo aprender a habilitar el procedimiento recomendado

Estos procedimientos recomendados se basan en una opinión consensuada y en las funcionalidades y los conjuntos de características de la plataforma Azure existentes cuando se redactó. Las opiniones y las tecnologías cambian con el tiempo, por lo que este artículo se actualizará de forma periódica para reflejar esos cambios.

Uso de controles de red sólidos

Puede conectar las máquinas virtuales y los dispositivos de Azure a otros dispositivos en red, colocándolos en redes virtuales de Azure. Esto es, puede conectar tarjetas de interfaz de red virtual a una red virtual para posibilitar las comunicaciones basadas en TCP/IP entre dispositivos habilitados para la red. Las máquinas virtuales conectadas a una red virtual de Azure pueden conectarse a dispositivos en la misma red virtual, en distintas redes virtuales, en Internet o, incluso, en sus propias redes locales.

Al planear la red y la seguridad de la red, se recomienda centralizar lo siguiente:

  • La administración de funciones de red centrales como ExpressRoute, el aprovisionamiento de redes virtuales y subredes, y la asignación de direcciones IP.
  • El gobierno de elementos de seguridad de red, como las funciones de aplicación virtual de red del tipo ExpressRoute, el aprovisionamiento de redes virtuales y subredes, y la asignación de direcciones IP.

Si usa un conjunto común de herramientas de administración para supervisar la red y la seguridad de la red, tendrá una visibilidad clara de ambos aspectos. Una estrategia de seguridad sencilla y unificada reduce los errores, ya que permite una mejor comprensión del lado humano y aumenta la confiabilidad de la automatización.

Segmentación lógica de subredes

Las redes virtuales de Azure son similares a una LAN de red local. La idea detrás de una red virtual de Azure es crear una red basada en un único espacio de direcciones IP privadas en la que pueden colocar todas las máquinas virtuales de Azure. Los espacios de direcciones IP privadas disponibles están en los intervalos de clase A (10.0.0.0/8), B (172.16.0.0/12) y C (192.168.0.0/16).

Los procedimientos recomendados para segmentar lógicamente las subredes son:

Procedimiento recomendado: no asignar reglas de permiso con intervalos amplios (por ejemplo, permita 0.0.0.0 a 255.255.255.255.255).
Detalle: asegúrese de que los procedimientos de solución de problemas desalentan o prohíben la configuración de estos tipos de reglas. Estas reglas de permiso dan una falsa sensación de seguridad y, a menudo, son detectadas y explotadas por equipos de operaciones clandestinas.

Procedimiento recomendado: segmente el espacio de direcciones más grande en subredes.
Detalle: use los principios de subred basados en CIDR para crear las subredes.

Procedimiento recomendado: Cree controles de acceso de red entre subredes. El enrutamiento entre subredes se realizará automáticamente y no es necesario configurar manualmente las tablas de enrutamiento. De manera predeterminada, no hay controles de acceso de red entre las subredes que cree en una red virtual de Azure.
Detalle: use un grupo de seguridad de red para protegerse contra el tráfico no solicitado en subredes de Azure. Los grupos de seguridad de red (NSG) son dispositivos de inspección de paquetes simples y con estado. Los grupos de seguridad de red usan el enfoque de 5 tuplas (IP de origen, puerto de origen, IP de destino, puerto de destino y protocolo) para crear reglas de permiso y denegación para el tráfico de red. Puede permitir o denegar el tráfico hacia una sola dirección IP y desde esta, hacia varias direcciones IP y desde estas o, incluso, hacia subredes enteras desde estas.

Al usar grupos de seguridad de red para controlar el acceso a la red entre subredes, puede establecer recursos que pertenezcan a la misma zona de seguridad o rol en sus propias subredes.

Procedimiento recomendado: evite pequeñas redes virtuales y subredes para garantizar la simplicidad y la flexibilidad. Detalle: la mayoría de las organizaciones agregan más recursos de los previstos inicialmente y la reasignación de direcciones requiere mucho trabajo. Si se usan subredes pequeñas, el valor de seguridad que se obtiene es limitado, y asignar un grupo de seguridad de red a cada subred supone una sobrecarga. Defina subredes amplias para asegurarse de que dispone de flexibilidad para crecer.

Procedimiento recomendado: simplifique la administración de reglas de grupo de seguridad de red mediante la definición de grupos de seguridad de aplicaciones.
Detalle: defina un grupo de seguridad de aplicaciones para las listas de direcciones IP que cree que podrían cambiar en el futuro o usarse en muchos grupos de seguridad de red. Procure dar un nombre claro a los grupos de seguridad de aplicaciones para que otros comprendan su contenido y finalidad.

Adoptar un método de Confianza cero

Las redes basadas en el perímetro funcionan bajo el supuesto de que se puede confiar en todos los sistemas dentro de una red. Pero los empleados de hoy acceden a los recursos de su organización desde cualquier lugar de varios dispositivos y aplicaciones, lo que hace que los controles de seguridad perimetral sean irrelevantes. Las directivas de control de acceso que se centran únicamente en quién puede acceder a un recurso no son suficientes. Para dominar el equilibrio entre seguridad y productividad, los administradores de seguridad también deben tener en cuenta el modo en que se accede a los recursos.

Las redes deben evolucionar de las defensas tradicionales porque pueden ser vulnerables a diversas infracciones: un atacante puede poner en peligro un único punto de conexión dentro del límite de confianza y, tras ello, expandir rápidamente su presencia en toda la red. Las redes de Confianza cero eliminan el concepto de confianza según la ubicación de red dentro de un perímetro. En su lugar, las arquitecturas de Confianza cero usan notificaciones de confianza de usuario y dispositivo para obtener acceso a los datos y los recursos de la organización. En las nuevas iniciativas, adopte métodos de Confianza cero que validen la confianza en el momento del acceso.

Los procedimientos recomendados son:

Procedimiento recomendado: Conceder acceso condicional a los recursos en función del dispositivo, la identidad, la garantía, la ubicación de red, etc.
Detalle: El acceso condicional de Microsoft Entra le permite aplicar los controles de acceso adecuados mediante la implementación de decisiones de control de acceso automatizadas en función de las condiciones necesarias. Para obtener más información, consulte Administración del acceso a la Administración de Azure con acceso condicional.

Procedimiento recomendado: habilite el acceso al puerto solo después de la aprobación del flujo de trabajo.
Detalle: Puede usar el acceso a máquinas virtuales Just-In-Time en Microsoft Defender for Cloud para bloquear el tráfico entrante a las máquinas virtuales de Azure, lo que reduce la exposición a ataques al tiempo que proporciona acceso sencillo para conectarse a las máquinas virtuales cuando sea necesario.

Procedimiento recomendado: conceda permisos temporales para realizar tareas con privilegios, lo que impide que los usuarios malintencionados o no autorizados obtengan acceso después de que los permisos hayan expirado. El acceso se concede solo cuando los usuarios lo necesitan.
Detalle: use el acceso Just-In-Time en Microsoft Entra Privileged Identity Management o en una solución de terceros para conceder permisos para realizar tareas con privilegios.

Confianza cero es la próxima evolución en seguridad de red. El estado de los ataques cibernéticos condiciona a las organizaciones a adquirir una mentalidad de "presunción de infracción", pero este método no debería limitar nada. Las redes de Confianza cero protegen los recursos y los datos corporativos, al tiempo que garantizan que las organizaciones puedan crear un área de trabajo moderna mediante tecnologías que permiten a los empleados ser productivos en cualquier momento, lugar y modo.

Control del comportamiento de enrutamiento

Cuando coloca una máquina virtual en una red virtual de Azure, la máquina virtual puede conectarse a cualquier otra máquina virtual de la misma red virtual, incluso si las otras máquinas virtuales están en subredes diferentes. Esto es posible porque hay una colección de rutas del sistema que están habilitadas de manera predeterminada y que permiten este tipo de comunicación. Estas rutas predeterminadas permiten que las máquinas virtuales de la misma red virtual inicien conexiones entre sí y con Internet (solo para comunicaciones salientes a Internet).

Si bien las rutas del sistema predeterminadas son útiles para muchos escenarios de implementación, habrá veces en las que preferirá personalizar la configuración de enrutamiento para las implementaciones. Puede configurar la dirección del próximo salto para que acceda a destinos específicos.

Igualmente le recomendamos que configure las rutas definidas por el usuario al implementar un dispositivo de seguridad para una red virtual. Trataremos esta recomendación más adelante en la sección dedicada a proteger los recursos de servicio de Azure críticos únicamente para las redes virtuales.

Nota:

Las rutas definidas por el usuario no son necesarias, y las rutas del sistema predeterminadas funcionan en la mayoría de lo casos.

Uso de aplicaciones de red virtual

Los grupos de seguridad de red y el enrutamiento definido por el usuario pueden proporcionar un cierto grado de seguridad de red en las capas de red y de transporte del modelo OSI. Aún así, es posible que en algunas situaciones quiera o necesite habilitar la seguridad en los niveles altos de la pila. En tales situaciones, se recomienda implementar aplicaciones de seguridad de la red virtual proporcionadas por asociados de Azure.

Las aplicaciones de seguridad de la red de Azure pueden proporcionar niveles de seguridad mejorados que los que proporcionan los controles de nivel de red. Las funcionalidades de seguridad de red correspondientes a los dispositivos de seguridad de la red virtual incluyen:

  • Firewalls
  • Detección y prevención de intrusiones
  • Administración de vulnerabilidades
  • Control de la aplicación
  • Detección de anomalías basadas en la red
  • Filtrado de web
  • Antivirus
  • Protección de redes de robots (botnets)

Para encontrar los dispositivos de seguridad de red virtual de Azure, vaya a Azure Marketplace y búsquelos mediante las palabras clave "seguridad" y "seguridad de red".

Implementar redes perimetrales para las zonas de seguridad

Una red perimetral (también conocida como DMZ) es un segmento de red físico o lógico que está diseñado para proporcionar un nivel de seguridad adicional entre los recursos e Internet. Los dispositivos de control de acceso de red especializados que se encuentran en el borde de una red perimetral solo permiten el tráfico deseado en la red virtual.

Las redes perimetrales son útiles porque permiten centrar la administración, supervisión, registro y generación de informes sobre los dispositivos del control de acceso a la red en el borde de la instancia de red virtual de Azure. Una red perimetral es donde normalmente se habilita la protección contra denegación de servicio distribuido (DDoS), sistemas de detección de intrusiones/prevención de intrusiones (IDS/IPS), reglas y directivas de firewall, filtrado web, antimalware de red, etc. Los dispositivos de seguridad de la red se sitúan entre Internet y la red virtual de Azure, y tienen una interfaz en ambas redes.

Aunque este es el diseño básico de una red perimetral, existen muchos diseños diferentes, como la configuración opuesta, el triple alojamiento o el múltiple alojamiento.

Según el concepto de Confianza cero mencionado anteriormente, se recomienda que considere la posibilidad de usar una red perimetral en todas las implementaciones de alta seguridad para mejorar el nivel de control de acceso y seguridad de red de los recursos de Azure. Puede usar Azure o una solución de terceros para proporcionar una capa adicional de seguridad entre sus recursos e Internet:

  • Controles nativos de Azure. Azure Firewall y Azure Web Application Firewall ofrecen ventajas básicas de seguridad. Las ventajas son un firewall como servicio con estado completo, alta disponibilidad integrada, escalabilidad de nube sin restricciones, filtrado de FQDN, compatibilidad con conjuntos de reglas principales de OWASP y configuración sencilla.
  • Ofertas de terceros. Busque en Azure Marketplace un firewall de próxima generación (NGFW) y otras ofertas de terceros que proporcionen herramientas de seguridad conocidas y niveles de seguridad de red mejorados. La configuración podría ser más compleja, pero una oferta de terceros podría permitirle usar los conjuntos de habilidades y capacidades existentes.

Muchas organizaciones han elegido la ruta de TI híbrida. Con la TI híbrida, algunos de los recursos de información de la compañía están en Azure, mientras que otros siguen siendo locales. En muchos casos, algunos componentes de un servicio se ejecutan en Azure, mientras que otros componentes siguen siendo locales.

En un escenario de TI híbrida, suele haber algún tipo de conectividad entre locales. Esta conectividad entre locales permite a la empresa conectar sus redes locales con las redes virtuales de Azure. Hay dos soluciones de conectividad entre locales:

  • VPN de sitio a sitio. Es una tecnología de confianza y bien establecida, pero que realiza la conexión a través de Internet. El ancho de banda está limitado a un máximo de aproximadamente 1,25 Gbps. VPN de sitio a sitio es una opción conveniente en algunos escenarios.
  • Azure ExpressRoute. Se recomienda que use ExpressRoute para la conectividad entre locales. ExpressRoute le permite ampliar sus redes locales en la nube de Microsoft a través de una conexión privada que facilita un proveedor de conectividad. Mediante ExpressRoute, se pueden establecer conexiones con servicios en la nube de Microsoft, como Azure, Microsoft 365 y Dynamics 365. ExpressRoute es un vínculo de WAN dedicada entre su ubicación local o un proveedor de hospedaje de Microsoft Exchange. Al tratarse de una conexión de telecomunicaciones, los datos no viajan a través de Internet y, por tanto, no se exponen a los posibles riesgos inherentes a este tipo de comunicaciones.

La ubicación de la conexión de ExpressRoute puede afectar a la capacidad del firewall, la escalabilidad, la confiabilidad y la visibilidad del tráfico de red. Será necesario identificar dónde debe terminar ExpressRoute en las redes existentes (locales). Ustedes pueden:

  • Terminarlo fuera del firewall (el paradigma de red perimetral). Use esta recomendación si necesita visibilidad del tráfico, si necesita continuar con una práctica existente de aislar los centros de datos o si solo coloca recursos de extranet en Azure.
  • Terminarlo dentro del firewall (paradigma de extensión de red). Esta es la recomendación predeterminada. En todos los demás casos, se recomienda tratar Azure como un centro de datos más.

Optimización del rendimiento y el tiempo de actividad

Si un servicio está inactivo, no se puede acceder a la información. Si el rendimiento es tan bajo que no se pueden utilizar los datos, podemos considerar que los datos son inaccesibles. Por lo tanto, desde una perspectiva de seguridad, debe hacer todo lo posible para asegurarse de que los servicios tienen un rendimiento y un tiempo de actividad óptimos.

Un método popular y eficaz para mejorar la disponibilidad y el rendimiento es usar el equilibrio de carga. El equilibrio de carga es un método para distribuir el tráfico de la red entre los servidores que forman parte de un servicio. Por ejemplo, si tiene servidores web front-end que forman parte de su servicio, puede usar el equilibrio de carga para distribuir el tráfico entre ellos.

Esta distribución del tráfico aumenta la disponibilidad, ya que si uno de los servidores web deja de estar disponible, el equilibrio de carga deja de enviarle tráfico y lo redirige a los servidores que aún están en línea. El equilibrio de carga también mejora el rendimiento, ya que la sobrecarga del procesador, la red y la memoria para atender a las solicitudes se distribuye entre todos los servidores con carga equilibrada.

Se recomienda usar el equilibrio de carga siempre que se pueda y, según sea adecuado para los servicios. Estos son los escenarios en el nivel de red virtual de Azure y el nivel global, junto con las opciones de equilibrio de carga para cada uno.

Escenario: tiene una aplicación que:

  • Requiere solicitudes de la misma sesión de usuario o cliente para llegar a la misma máquina virtual de back-end. Ejemplos de esto serían las aplicaciones del carro de la compra y los servidores de correo web.
  • Como solo acepta una conexión segura, la comunicación sin cifrar con los servidores no es una opción aceptable.
  • Es necesario que varias solicitudes HTTP en la misma conexión TCP de ejecución prolongada se enruten a servidores de back-end diferentes o su carga se equilibre entre estos.

Opción de equilibrio de carga: use Azure Application Gateway, un equilibrador de carga de tráfico web HTTP. Application Gateway admite el cifrado TLS de un extremo a otro y la terminación TLS en la puerta de enlace. A continuación, los servidores web pueden librarse de la sobrecarga de cifrado y descifrado y del tráfico que fluye sin encriptar a los servidores de back-end.

Escenario: debe equilibrar la carga de las conexiones entrantes desde Internet entre los servidores ubicados en una red virtual de Azure. Los escenarios surgen cuando:

  • Tiene aplicaciones sin estado que acepten solicitudes entrantes de Internet.
  • No se requieren sesiones permanentes o descargas de TLS. Las sesiones permanentes son un método que se utiliza con el balanceo de carga de la aplicación para lograr afinidad con el servidor.

Opción de equilibrio de carga: use Azure Portal para crear un equilibrador de carga externo que distribuye las solicitudes entrantes entre varias máquinas virtuales para proporcionar un mayor nivel de disponibilidad.

Escenario: tendrá que equilibrar la carga de las conexiones de las máquinas virtuales que no estén en Internet. En la mayoría de los casos, los dispositivos se encargan de iniciar en una red virtual de Azure las conexiones que se aceptan para el equilibrio de carga, como instancias de SQL Server o servidores web internos.
Opción de equilibrio de carga: use Azure Portal para crear un equilibrador de carga interno que distribuye las solicitudes entrantes entre varias máquinas virtuales para proporcionar un mayor nivel de disponibilidad.

Escenario: necesita balanceo de carga global porque:

  • Tiene una solución en la nube que se distribuye ampliamente en varias regiones y requiere el nivel más alto de tiempo de actividad (o disponibilidad) posible.
  • Necesita el nivel más alto de tiempo de actividad para asegurarse de que el servicio está disponible incluso si todo un centro de datos deja de funcionar.

Opción de balanceo de carga: use Azure Traffic Manager. Traffic Manager le permite equilibrar la carga de las conexiones a los servicios, en función de la ubicación del usuario.

Por ejemplo, si el usuario realiza una solicitud a su servicio desde la Unión Europea, la conexión se dirige a los servicios situados en un centro de datos de la Unión Europea. Esta parte del equilibrio de carga global de Traffic Manager ayuda a mejorar el rendimiento, ya que la conexión al centro de datos más cercano es más rápida que a los centros de datos que están lejos.

Deshabilitar el acceso RDP/SSH a las máquinas virtuales

Es posible obtener acceso a las máquinas virtuales de Azure mediante el Protocolo de escritorio remoto (RDP) y el protocolo de Secure Shell (SSH). Estos protocolos le permiten administrar máquinas virtuales desde ubicaciones remotas y son los protocolos estándar que se usan en la computación de los centros de datos.

El posible problema de seguridad al usar estos protocolos a través de Internet es que los atacantes pueden utilizar diversas técnicas de fuerza bruta para obtener acceso a las máquinas virtuales de Azure. Una vez que los atacantes obtienen acceso, pueden utilizar la máquina virtual como punto de inicio para poner en peligro otros equipos de la red virtual o incluso atacar dispositivos en red fuera de Azure.

Se recomienda deshabilitar el acceso directo de RDP y SSH a las máquinas virtuales de Azure desde Internet. Cuando se deshabilita el acceso directo de RDP y SSH desde Internet, dispone de otras opciones que puede utilizar para acceder a estas máquinas virtuales y llevar a cabo una administración remota:

Escenario: habilite un único usuario para conectarse a una red virtual de Azure a través de Internet.
Opción: VPN de punto a sitio es otro término para una conexión cliente/servidor de VPN con acceso remoto. Una vez establecida la conexión de punto a sitio, el usuario podrá usar RDP o SSH para conectarse a cualquier máquina virtual situada en la red virtual de Azure a la que el usuario se conectó mediante la VPN de punto a sitio. Con esto, se supone que el usuario tiene permiso para obtener acceso a dichas máquinas virtuales.

La VPN de punto a sitio es más segura que las conexiones de RDP o SSH directas, ya que el usuario tiene que autenticarse dos veces antes de conectarse a una máquina virtual. En primer lugar, el usuario debe autenticarse (y tener autorización) para poder establecer la conexión VPN de punto a sitio. En segundo lugar, el usuario debe autenticarse (y tener autorización) para poder establecer la sesión RDP o SSH.

Escenario: habilite a los usuarios de la red local para conectarse a las máquinas virtuales de la red virtual de Azure.
Opción: una VPN de sitio a sitio conecta una red completa a otra red a través de Internet. Puede usar una VPN de sitio a sitio para conectar su red local a una red virtual de Azure. Los usuarios de su red local se pueden conectar mediante el protocolo RDP o SSH, a través de la conexión VPN de sitio a sitio. No debe permitir el acceso directo de RDP o SSH a través de Internet.

Escenario: use un vínculo WAN dedicado para proporcionar funcionalidad similar a la VPN de sitio a sitio.
Opción: use ExpressRoute. Proporciona funcionalidades similares a la VPN de sitio a sitio. Las diferencias principales son las siguientes:

  • El vínculo WAN dedicado no recorre Internet.
  • Los vínculos WAN dedicados suelen ser más estables y eficaces.

Proteja los recursos críticos del servicio de Azure solo en las redes virtuales.

Use Azure Private Link para acceder a los servicios PaaS de Azure (por ejemplo, Azure Storage y SQL Database) a través de un punto de conexión privado de la red virtual. Los puntos de conexión privados permiten proteger los recursos de servicio de Azure críticos únicamente para las redes virtuales. El tráfico desde la red virtual al servicio de Azure siempre permanece en la red troncal de Microsoft Azure. Ya no es necesario exponer la red virtual a la red pública de Internet para consumir los servicios PaaS de Azure.

Azure Private Link proporciona las ventajas siguientes:

  • Seguridad mejorada para los recursos de servicio de Azure: con Azure Private Link, los recursos de servicio de Azure se pueden proteger en la red virtual mediante el punto de conexión privado. La protección de los recursos de servicio para un punto de conexión privado en una red virtual mejora la seguridad al eliminar completamente el acceso a los recursos a través de la red pública de Internet y al permitir el tráfico únicamente desde el punto de conexión privado en la red virtual.
  • Acceso privado a los recursos de servicio de Azure en la plataforma Azure: conecte la red virtual a los servicios de Azure mediante puntos de conexión privados. No es necesaria una dirección IP pública. La plataforma Private Link administrará la conectividad entre el consumidor y los servicios a través de la red troncal de Azure.
  • Acceso desde redes locales y emparejadas: acceda a los servicios que se ejecutan en Azure desde el entorno local a través del emparejamiento privado de ExpressRoute, los túneles VPN y las redes virtuales emparejadas mediante puntos de conexión privados. No es necesario configurar el emparejamiento de Microsoft para ExpressRoute ni atravesar Internet para llegar hasta el servicio. Private Link proporciona una manera segura de migrar cargas de trabajo a Azure.
  • Protección contra la pérdida de datos: se asigna un punto de conexión privado a una instancia de un recurso de PaaS en lugar de a todo el servicio. Los consumidores solo pueden conectarse al recurso específico. Se bloquea el acceso a cualquier otro recurso del servicio. Este mecanismo proporciona protección contra los riesgos de pérdida de datos.
  • Alcance global: conéctese de forma privada a los servicios que se ejecutan en otras regiones. La red virtual del consumidor podría estar en la región A y puede conectarse a los servicios en la región B.
  • Fácil de configurar y administrar: ya no necesita direcciones IP públicas reservadas y públicas en las redes virtuales para proteger los recursos de Azure a través de un firewall de IP. No hay ningún dispositivo NAT o de puerta de enlace necesaria para configurar los puntos de conexión privados. Los puntos de conexión privados se configuran a través de un flujo de trabajo sencillo. En el lado del servicio, también puede administrar las solicitudes de conexión en el recurso de servicio de Azure con facilidad. Azure Private Link funciona para consumidores y servicios que pertenecen a diferentes inquilinos de Microsoft Entra.

Para obtener más información sobre los puntos de conexión privados y los servicios y regiones de Azure para los que están disponibles los puntos de conexión privados, consulte Azure Private Link.