Introducción a la seguridad de red de Azure

La seguridad de red se puede definir como el proceso de protección de recursos contra un acceso no autorizado o un ataque mediante la aplicación de controles para el tráfico de red. El objetivo es asegurarse de que solo se permita el tráfico legítimo. Azure incluye una sólida infraestructura de red que respalda sus requisitos de conectividad de aplicaciones y servicios. La conectividad de red es posible entre recursos ubicados en Azure, entre recursos locales y hospedados en Azure y entre Internet y Azure.

En este artículo se explican algunas de las opciones que Azure ofrece en el área de la seguridad de red. Puede obtener información acerca de:

• Redes de Azure
• Control de acceso de red
• Azure Firewall
• Protección del acceso remoto y la conectividad local
• Disponibilidad
• Resolución de nombres
• Arquitectura de red perimetral (DMZ)
• Azure DDoS Protection
• Azure Front Door (portal de entrada de Azure)
• Traffic Manager
• Detección de amenazas y supervisión

Redes de Azure

Es necesario que las máquinas virtuales de Azure estén conectadas a una instancia de Azure Virtual Network. Una red virtual es una construcción lógica creada encima del tejido de red físico de Azure. Cada red virtual está aislada de todas las demás redes virtuales. Esto contribuye a garantizar que otros clientes de Azure no puedan obtener acceso al tráfico de red de sus implementaciones.

Más información:

• Información general sobre redes virtuales

Control de acceso de red

El control de acceso de red es el acto de limitar la conectividad entre subredes o dispositivos específicos dentro de una red virtual. El objetivo del control de acceso de red es limitar el acceso a las máquinas virtuales y los servicios a los usuarios y dispositivos aprobados. Los controles de acceso se basan en decisiones que permiten o deniegan la conexión a o desde la máquina virtual o el servicio.

Azure admite varios tipos de controles de acceso de red, como:

• Control de capa de red
• Control de ruta y tunelización forzada
• Dispositivos de seguridad de red virtual

Control de capa de red

Toda implementación segura requiere alguna medida de control del acceso a la red. El objetivo del control de acceso de red es restringir la comunicación de la máquina virtual con los sistemas necesarios. Se bloquean los demás intentos de comunicación.

Reglas de seguridad de red (NSG)

Si necesita un control de acceso de nivel de red básico (basado en la dirección IP y los protocolos TCP o UDP), puede usar los grupos de seguridad de red (NSG). Un grupo de seguridad de red (NSG) es un firewall de filtrado de paquetes básico y con estado que le permite controlar el acceso basado en una 5-tupla. Los NSG incluyen funcionalidad para simplificar la administración y reducir las posibilidades de errores de configuración:

• Las reglas de seguridad aumentada simplifican la definición de la regla de NSG y permiten crear reglas complejas en lugar de tener que crear varias reglas sencillas para lograr el mismo resultado.
• Las etiquetas de servicio son etiquetas creadas por Microsoft que representan un grupo de direcciones IP. Se actualizan dinámicamente para incluir los intervalos IP que cumplen las condiciones que definen su inclusión en la etiqueta. Por ejemplo, si quiere crear una regla que se aplique a todo Azure Storage en la región Este puede usar Storage.EastUS
• Los grupos de seguridad de la aplicación permiten implementar recursos en grupos de aplicaciones y controlar el acceso a dichos recursos mediante la creación de reglas que usan los grupos de aplicaciones. Por ejemplo, si ha implementado servidores web en el grupo de aplicaciones "Webservers", puede crear una regla que se aplique a un NSG que permita el tráfico 443 desde Internet a todos los sistemas del grupo de aplicaciones "Webservers".

Los NSG no proporcionan inspección de nivel de aplicación ni controles de acceso autenticados.

Más información:

• Grupos de seguridad de red

Defender for Cloud: acceso JIT a máquinas virtuales

Microsoft Defender for Cloud puede administrar los grupos de seguridad de red de las máquinas virtuales y bloquear el acceso a la máquina virtual hasta que un usuario con los permisos adecuados del control de acceso basado en rol de Azure (Azure RBAC) solicite acceso. Cuando el usuario está correctamente autorizado, Defender for Cloud realiza modificaciones en los grupos de seguridad de red para permitir el acceso a los puertos seleccionados durante el tiempo especificado. Cuando expira el tiempo, los NSG se restauran a su estado seguro anterior.

Más información:

• Acceso Just-in-Time en Microsoft Defender for Cloud

Puntos de conexión del servicio

Los puntos de conexión de servicio son otra forma de controlar el tráfico. Puede limitar la comunicación con los servicios admitidos a únicamente las redes virtuales a través de una conexión directa. El tráfico desde la red virtual al servicio de Azure especificado permanece en la red troncal de Microsoft Azure.

Más información:

• Puntos de conexión de servicio

Control de ruta y tunelización forzada

La capacidad de controlar el comportamiento de enrutamiento en las redes virtuales es fundamental. Si el enrutamiento no está configurado correctamente, las aplicaciones y los servicios hospedados en la máquina virtual podrían conectarse a dispositivos no autorizados, incluyendo sistemas que son propiedad de atacantes potenciales o que están operados por ellos.

Las redes de Azure ofrecen la posibilidad de personalizar el comportamiento de enrutamiento del tráfico de red en las redes virtuales. Gracias a ello, puede modificar las entradas de tabla de enrutamiento predeterminadas en la red virtual. El control del comportamiento de enrutamiento le ayuda a garantizar que todo el tráfico procedente de un determinado dispositivo o grupo de dispositivos entra o sale de la red virtual a través de una ubicación específica.

Por ejemplo, suponga que tiene un dispositivo de seguridad de red virtual en la red virtual. Quiere asegurarse de que todo el tráfico que entra y sale de la red virtual pase por el dispositivo de seguridad virtual. Para ello, puede configurar rutas definidas por el usuario (UDR) en Azure.

La tunelización forzada es un mecanismo que puede usar para tener la seguridad de que no se permite que sus servicios inicien una conexión con dispositivos en Internet. Tenga en cuenta que este proceso no es lo mismo que aceptar conexiones entrantes y luego responder a ellas. En este caso, los servidores web de front-end tienen que responder a las solicitudes de los hosts de Internet, así que se permite que el tráfico cuyo origen es Internet entre en estos servidores web y que dichos servidores respondan.

Lo que no quiere es permitir que un servidor web front-end inicie una solicitud saliente. Estas solicitudes pueden representar un riesgo para la seguridad porque estas conexiones podrían usarse para descargar software malintencionado. Incluso si quiere que estos servidores de front-end inicien solicitudes salientes a Internet, puede que quiera obligarles a que pasen por los proxies web locales. Así podrá aprovechar las ventajas del filtrado y el registro de direcciones URL.

En su lugar, y para evitar esto, querrá usar la tunelización forzada. Cuando se habilita la tunelización forzada, todas las conexiones a Internet tienen que pasar a la fuerza por la puerta de enlace local. Puede configurar la tunelización forzada aprovechando las rutas que definió el usuario.

Más información:

• Enrutamiento del tráfico de redes virtuales

Dispositivos de seguridad de red virtual

Aunque los grupos de seguridad de red, las UDR y la tunelización forzada proporcionan un nivel de seguridad en las capas de red y transporte del modelo OSI, es posible que también desee habilitar la seguridad en el nivel de aplicación.

Por ejemplo, sus requisitos de seguridad podrían incluir:

• Autenticación y autorización antes de permitir el acceso a la aplicación
• Detección de intrusiones y respuesta a estas
• Inspección de la capa de aplicación para comprobar la existencia de protocolos de alto nivel
• Filtrado para direcciones URL
• Antimalware y antivirus de nivel de red
• Protección contra robots
• Control de acceso a las aplicaciones
• Protección adicional de DDoS (por encima de la protección de DDoS que proporciona el mismo tejido de Azure)

Puede tener acceso a estas características de seguridad de red mejoradas mediante el uso de una solución de socio de Azure. Para encontrar las soluciones de seguridad de red más actuales de los asociados de Azure, visite Azure Marketplace y busque "seguridad" y "seguridad de red".

Azure Firewall

Azure Firewall es un servicio de seguridad de firewall de red inteligente y nativo de la nube que le proporciona la mejor protección contra amenazas para las cargas de trabajo en la nube que se ejecutan en Azure. Se trata de un firewall como servicio con estado completo que incorpora alta disponibilidad y escalabilidad a la nube sin restricciones. Azure Firewall inspecciona el tráfico este-oeste y norte-sur.

Azure Firewall está disponible en tres SKU: Básico, Estándar y Premium.

• Azure Firewall Basic ofrece seguridad simplificada similar a la SKU estándar, pero sin características avanzadas.
• Azure Firewall Estándar proporciona fuentes de inteligencia sobre amenazas y filtrado L3-L7 directamente desde Microsoft Cyber Security.
• Azure Firewall Premium incluye funcionalidades avanzadas, como IDPS basado en firmas para la detección rápida de ataques mediante la identificación de patrones específicos.

Más información:

• ¿Qué es Azure Firewall?

Protección del acceso remoto y la conectividad local

La instalación, la configuración y la administración de los recursos de Azure se han de realizar de forma remota. Además, puede que quiera implementar soluciones de TI híbrida que tengan componentes locales y en la nube pública de Azure. Estos escenarios requieren acceso remoto seguro.

Las redes de Azure admiten los siguientes escenarios de acceso remoto seguro:

• Conexión de estaciones de trabajo individuales a una red virtual.
• Conexión de la red local a una red virtual con una VPN.
• Conexión de la red local a una red virtual con un vínculo WAN dedicado.
• Conexión de redes virtuales entre sí.

Conexión de estaciones de trabajo individuales a una red virtual.

También es posible que quiera que determinados desarrolladores o miembros del personal de operaciones administren máquinas virtuales y servicios en Azure. Por ejemplo, si necesita acceso a una máquina virtual en una red virtual, pero la directiva de seguridad prohíbe el acceso remoto RDP o SSH a máquinas virtuales individuales, puede usar una conexión VPN de punto a sitio .

Una conexión VPN de punto a sitio le permite establecer una conexión privada y segura entre el usuario y la red virtual. Una vez establecida la conexión VPN, el usuario puede RDP o SSH a través del vínculo VPN a cualquier máquina virtual de la red virtual, siempre que se autentique y autorice. Vpn de punto a sitio admite:

• Protocolo de tunelización de sockets seguros (SSTP): Un protocolo VPN propietario basado en SSL que puede penetrar firewalls, ya que la mayoría de los firewalls abren el puerto TCP 443, que TLS/SSL usa. SSTP se admite en dispositivos Windows (Windows 7 y versiones posteriores).
• VPN IKEv2: Una solución VPN IPsec basada en estándares que se puede usar para conectarse desde dispositivos Mac (versiones 10.11 y posteriores de OSX).
• Protocolo OpenVPN: Un protocolo VPN basado en SSL/TLS que puede penetrar firewalls, ya que la mayoría de los firewalls abren el puerto TCP 443 saliente, que TLS usa. OpenVPN puede utilizarse para la conexión desde dispositivos Android, iOS (versión 11.0 y posteriores), Windows, Linux y Mac (macOS 10.13 y versiones posteriores). Las versiones admitidas son TLS 1.2 y TLS 1.3 basadas en el protocolo de enlace TLS.

Más información:

• Acerca del enrutamiento vpn de punto a sitio

Conecte su red en las instalaciones a una red virtual con un Gateway VPN

Para conectar toda la red corporativa o segmentos específicos a una red virtual, considere la posibilidad de usar una VPN de sitio a sitio. Este enfoque es común en escenarios de TI híbridos en los que las partes de un servicio se hospedan tanto en Azure como en el entorno local. Por ejemplo, puede tener servidores web front-end en Azure y bases de datos back-end en las instalaciones. Las VPN de sitio a sitio mejoran la seguridad de la administración de recursos de Azure y permiten escenarios como la extensión de controladores de dominio de Active Directory a Azure.

Una VPN de sitio a sitio difiere de una VPN de punto a sitio en que conecta toda una red (como la red local) a una red virtual, en lugar de solo un dispositivo. Las VPN de sitio a sitio usan el protocolo VPN del modo de túnel IPsec altamente seguro para establecer estas conexiones.

Más información:

• Acerca de VPN Gateway

Conexión de la red local a una red virtual con un vínculo WAN dedicado.

Las conexiones VPN de punto a sitio y de sitio a sitio son útiles para habilitar la conectividad entre locales. Sin embargo, tienen algunas limitaciones:

• Las conexiones VPN transmiten datos a través de Internet, exponiéndolos a posibles riesgos de seguridad asociados a redes públicas. Además, no se puede garantizar la confiabilidad y disponibilidad de las conexiones a Internet.
• Es posible que las conexiones VPN a redes virtuales no proporcionen ancho de banda suficiente para determinadas aplicaciones, normalmente con un máximo de alrededor de 200 Mbps.

En el caso de las organizaciones que requieren los niveles más altos de seguridad y disponibilidad para sus conexiones entre locales, a menudo se prefieren vínculos WAN dedicados. Azure ofrece soluciones como ExpressRoute, ExpressRoute Direct y Global Reach de ExpressRoute para facilitar estas conexiones dedicadas entre la red local y las redes virtuales de Azure.

Más información:

• Introducción a ExpressRoute
• ExpressRoute Direct
• ExpressRoute Global Reach

Conexión de redes virtuales entre sí.

Es posible usar varias redes virtuales para las implementaciones por diversos motivos, como simplificar la administración o aumentar la seguridad. Independientemente de la motivación, puede haber ocasiones en las que quiera que los recursos de diferentes redes virtuales se conecten entre sí.

Una opción consiste en que los servicios de una red virtual se conecten a los servicios de otra red virtual mediante el "bucle invertido" a través de Internet. Esto significa que la conexión se inicia en una red virtual, pasa por Internet y, a continuación, llega a la red virtual de destino. Sin embargo, esto expone la conexión a los riesgos de seguridad inherentes a la comunicación basada en Internet.

Una mejor opción es crear una VPN de sitio a sitio que conecte las dos redes virtuales. Este método usa el mismo protocolo de modo de túnel IPsec que la conexión VPN de sitio a sitio entre locales mencionada anteriormente.

La ventaja de este enfoque es que la conexión VPN se establece a través del tejido de red de Azure, lo que proporciona una capa adicional de seguridad en comparación con las VPN de sitio a sitio que se conectan a través de Internet.

Más información:

• Configuración de una conexión de red virtual a red virtual mediante Azure Portal

Otro método para conectar las redes virtuales es mediante VNet peering. El emparejamiento de red virtual habilitan la comunicación directa entre dos redes virtuales de Azure a través de la infraestructura troncal de Microsoft, omitiendo la red pública de Internet. Esta característica admite el emparejamiento dentro de la misma región o entre diferentes regiones de Azure. También puede usar grupos de seguridad de red (NSG) para controlar y restringir la conectividad entre subredes o sistemas dentro de las redes emparejadas.

Disponibilidad

La disponibilidad es fundamental para cualquier programa de seguridad. Si los usuarios y sistemas no pueden acceder a los recursos necesarios, el servicio se ve comprometido de forma eficaz. Azure ofrece tecnologías de red que admiten mecanismos de alta disponibilidad, entre los que se incluyen:

• Equilibrio de carga basado en HTTP
• Equilibrio de carga de nivel de red
• Equilibrio de carga global

El equilibrio de carga distribuye las conexiones uniformemente entre varios dispositivos, con el objetivo de:

• Aumentar la disponibilidad: Al distribuir conexiones, el servicio permanece operativo aunque uno o varios dispositivos no estén disponibles. Los dispositivos restantes siguen sirviendo el contenido.
• Mejora del rendimiento: La distribución de conexiones reduce la carga en cualquier dispositivo único, lo que propaga las demandas de procesamiento y memoria en varios dispositivos.
• Facilitar el escalado: A medida que aumenta la demanda, puede agregar más dispositivos al equilibrador de carga, lo que le permite controlar más conexiones.

Equilibrio de carga basado en HTTP

Las organizaciones que ejecutan servicios basados en web suelen beneficiarse del uso de un equilibrador de carga basado en HTTP para garantizar un alto rendimiento y disponibilidad. A diferencia de los equilibradores de carga basados en red tradicionales que dependen de protocolos de capa de red y transporte, los equilibradores de carga basados en HTTP toman decisiones basadas en las características del protocolo HTTP.

Azure Application Gateway y Azure Front Door ofrecen equilibrio de carga basado en HTTP para servicios web. Ambos servicios admiten:

• Afinidad de sesión basada en cookies: Garantiza que las conexiones establecidas en un servidor sigan siendo coherentes entre el cliente y el servidor, manteniendo la estabilidad de las transacciones.
• Descarga de TLS: Cifra las sesiones entre el cliente y el equilibrador de carga mediante HTTPS (TLS). Para mejorar el rendimiento, la conexión entre el equilibrador de carga y el servidor web puede usar HTTP (sin cifrar), lo que reduce la sobrecarga de cifrado en los servidores web y les permite controlar las solicitudes de forma más eficaz.
• Enrutamiento de contenido basado en direcciones URL: Permite que el equilibrador de carga reenvíe las conexiones en función de la dirección URL de destino, lo que proporciona mayor flexibilidad que las decisiones basadas en direcciones IP.
• Firewall de aplicaciones web: Ofrece protección centralizada para aplicaciones web frente a amenazas y vulnerabilidades comunes.

Más información:

• Introducción a Application Gateway
• Introducción a Azure Front Door
• Introducción al firewall de aplicaciones web

Equilibrio de carga de nivel de red

A diferencia del equilibrio de carga basado en HTTP, el equilibrio de carga de nivel de red toma decisiones basadas en números de puerto y dirección IP (TCP o UDP). Azure Load Balancer proporciona equilibrio de carga de nivel de red con las siguientes características clave:

• Equilibra el tráfico en función de la dirección IP y los números de puerto.
• Admite cualquier protocolo de capa de aplicación.
• Distribuye el tráfico a las máquinas virtuales de Azure y a las instancias de rol de servicio en la nube.
• Se puede usar para aplicaciones y máquinas virtuales accesibles desde Internet (equilibrio de carga externo) y no accesibles desde Internet (equilibrio de carga interno).
• Incluye la supervisión de puntos de conexión para detectar y responder a la falta de disponibilidad del servicio.

Más información:

• Información general sobre el equilibrador de carga interno

Equilibrio de carga global

Algunas organizaciones querrán el nivel más alto de disponibilidad posible. Una manera de lograr este objetivo es hospedar aplicaciones en centros de datos distribuidos globalmente. Cuando una aplicación está hospedada en centros de datos repartidos por todo el mundo, una región geopolítica entera puede dejar de estar disponible, pero la aplicación puede seguir funcionando.

Esta estrategia de equilibrio de carga también puede producir mejoras en el rendimiento. Puede dirigir las solicitudes para el servicio en el centro de datos que esté más próximo al dispositivo con el que está realizando la solicitud.

En Azure, puede obtener las ventajas del equilibrio de carga global mediante Azure Traffic Manager para el equilibrio de carga basado en DNS, El equilibrador de carga global para el equilibrio de carga de la capa de transporte o Azure Front Door para el equilibrio de carga basado en HTTP.

Más información:

• ¿Qué es el Administrador de tráfico?
• Introducción a Azure Front Door
• Introducción a Global Load Balancer

Resolución de nombres

La resolución de nombres es esencial para todos los servicios hospedados en Azure. Desde el punto de vista de la seguridad, comprometer el proceso de resolución de nombres puede permitir que los atacantes redirijan solicitudes desde tus sitios a sitios malintencionados. Por lo tanto, la resolución de nombres segura es fundamental para todos los servicios hospedados en la nube.

Hay dos tipos de resolución de nombres que se deben tener en cuenta:

• Resolución de nombres interna: se usa en los servicios dentro de las redes virtuales, las redes locales o ambas. Estos nombres no son accesibles a través de Internet. Para obtener una seguridad óptima, asegúrese de que el esquema de resolución de nombres interno no esté expuesto a usuarios externos.
• Resolución de nombres externos: Utilizada por personas y dispositivos fuera de tus redes locales y virtuales. Estos nombres son visibles en Internet y en las conexiones directas a los servicios basados en la nube.

Para la resolución de nombres interna, tiene dos opciones:

• Servidor DNS de red virtual: Al crear una nueva red virtual, Azure proporciona un servidor DNS que puede resolver los nombres de las máquinas dentro de esa red virtual. Azure administra este servidor DNS y no es configurable, lo que ayuda a proteger la resolución de nombres.
• Traiga su propio servidor DNS: Puede implementar un servidor DNS de su elección en la red virtual. Puede ser un servidor DNS integrado de Active Directory o una solución de servidor DNS dedicado de un asociado de Azure, disponible en Azure Marketplace.

Más información:

• Información general sobre redes virtuales
• Manage DNS Servers used by a virtual network (Administrar los servidores DNS que use una red virtual)

En cuanto a la resolución de nombres externa, tiene dos opciones:

• Hospedar su propio servidor DNS externo en el entorno local.
• Use un proveedor de servicios DNS externo.

Las organizaciones grandes a menudo hospedan sus propios servidores DNS locales debido a su experiencia en redes y presencia global.

Sin embargo, para la mayoría de las organizaciones, es preferible usar un proveedor de servicios DNS externo. Estos proveedores ofrecen alta disponibilidad y confiabilidad para los servicios DNS, lo que es fundamental porque los errores de DNS pueden hacer que los servicios accesibles desde Internet no sean accesibles.

Azure DNS ofrece una solución DNS externa de alto rendimiento y alta disponibilidad. Aprovecha la infraestructura global de Azure, lo que le permite hospedar el dominio en Azure con las mismas credenciales, API, herramientas y facturación que los demás servicios de Azure. Además, se beneficia de los controles de seguridad sólidos de Azure.

Más información:

• Introducción a Azure DNS
• Las zonas privadas de Azure DNS le permiten configurar nombres DNS privados para los recursos de Azure en lugar de los nombres asignados automáticamente sin necesidad de agregar una solución DNS personalizada.

Arquitectura de red perimetral

Muchas organizaciones de gran tamaño usan redes perimetrales para segmentar sus redes y crear una zona de protección entre Internet y sus servicios. La parte perimetral de la red se considera una zona de baja seguridad y ningún recurso de alto valor se coloca en ese segmento de red. Por lo general, verá dispositivos de seguridad de red que tienen una interfaz de red en el segmento de red perimetral. Otra interfaz de red se conecta a una red que tiene máquinas virtuales y servicios que aceptan las conexiones entrantes de Internet.

Puede diseñar redes perimetrales de diferentes maneras. La decisión de implementar una red perimetral y qué tipo de red perimetral usará, si decide usar una, depende de los requisitos de seguridad de la red.

Más información:

• Redes perimetrales para las zonas de seguridad

Azure DDoS Protection

Los ataques por denegación de servicio distribuido (DDoS) son amenazas de seguridad y disponibilidad significativas para las aplicaciones en la nube. Estos ataques tienen como objetivo agotar los recursos de una aplicación, lo que hace que sea inaccesible para los usuarios legítimos. Cualquier punto de conexión accesible públicamente puede ser un destino.

Las características de DDoS Protection incluyen:

• Integración de plataforma nativa: Totalmente integrado en Azure con la configuración disponible a través de Azure Portal. Comprende los recursos y sus configuraciones.
• Protección de llaves: Protege automáticamente todos los recursos de una red virtual en cuanto se habilita DDoS Protection, sin necesidad de intervención del usuario. La mitigación comienza al instante tras la detección de ataques.
• Supervisión del tráfico siempre activado: Supervisa el tráfico de la aplicación 24/7 para detectar signos de ataques DDoS e inicia la mitigación cuando se infringen las directivas de protección.
• Informes de mitigación de ataques: Proporciona información detallada sobre los ataques mediante datos de flujo de red agregados.
• Registros de flujo de mitigación de ataques: Ofrece registros casi en tiempo real del tráfico descartado y reenviado durante un ataque DDoS activo.
• Ajuste adaptable: Aprende los patrones de tráfico de la aplicación a lo largo del tiempo y ajusta el perfil de protección en consecuencia. Proporciona protección de nivel 3 a nivel 7 cuando se usa con un firewall de aplicaciones web.
• Escala de mitigación extensa: Puede mitigar más de 60 tipos de ataque diferentes con capacidad global para controlar los ataques DDoS más grandes conocidos.
• Métricas de ataque: Las métricas resumidas de cada ataque están disponibles a través de Azure Monitor.
• Alertas de ataque: Alertas configurables para el inicio, la detención y la duración de un ataque, la integración con herramientas como registros de Azure Monitor, Splunk, Azure Storage, Correo electrónico y Azure Portal.
• Garantía de costos: Ofrece créditos de servicio para la transferencia de datos y el escalado de aplicaciones, aplicables a ataques DDoS documentados.
• Respuesta rápida de DDoS: Proporciona acceso a un equipo de respuesta rápida durante un ataque activo para la investigación, las mitigaciones personalizadas y el análisis posterior al ataque.

Más información:

• Información general sobre la protección contra DDoS

Azure Front Door (portal de entrada de Azure)

Azure Front Door le permite definir, administrar y supervisar el enrutamiento global del tráfico web, lo que lo optimiza para mejorar el rendimiento y la alta disponibilidad. Permite crear reglas personalizadas de firewall de aplicaciones web (WAF) para proteger las cargas de trabajo HTTP/HTTPS de la explotación en función de las direcciones IP del cliente, los códigos de país y los parámetros HTTP. Además, Front Door admite reglas de limitación de velocidad para combatir el tráfico malintencionado de bots, incluye la descarga de TLS y proporciona procesamiento de la capa de aplicación de solicitud POR HTTP/HTTPS.

La plataforma Front Door está protegida por la protección contra DDoS de nivel de infraestructura de Azure. Para mejorar la protección, puede habilitar Azure DDoS Network Protection en las redes virtuales para proteger los recursos frente a ataques de nivel de red (TCP/UDP) mediante el ajuste automático y la mitigación. Como proxy inverso de nivel 7, Front Door solo permite que el tráfico web pase a los servidores back-end, bloqueando otros tipos de tráfico de forma predeterminada.

Más información:

• Para más información sobre todo el conjunto de funcionalidades de Azure Front Door, puede revisar la información general sobre Azure Front Door.

Azure Traffic Manager

Azure Traffic Manager es un equilibrador de carga de tráfico basado en DNS que distribuye el tráfico a los servicios en regiones globales de Azure, lo que garantiza una alta disponibilidad y capacidad de respuesta. Usa DNS para enrutar las solicitudes de cliente al punto de conexión de servicio más adecuado en función de un método de enrutamiento de tráfico y el estado de los puntos de conexión. Un punto de conexión puede ser cualquier servicio accesible desde Internet hospedado dentro o fuera de Azure. Traffic Manager supervisa continuamente los puntos de conexión y evita dirigir el tráfico a cualquiera que no esté disponible.

Más información:

• Información general sobre Azure Traffic Manager

Detección de amenazas y supervisión

Azure proporciona funcionalidades para ayudarle en esta área clave con la detección temprana, la supervisión y la capacidad de recopilar y revisar el tráfico de red.

Azure Network Watcher

Azure Network Watcher proporciona herramientas para ayudar a solucionar e identificar problemas de seguridad.

• Vista de grupo de seguridad: audita y garantiza el cumplimiento de seguridad de las máquinas virtuales comparando las directivas de línea base con reglas eficaces, lo que ayuda a identificar el desfase de configuración.
• Captura de paquetes: captura el tráfico de red hacia y desde máquinas virtuales, lo que ayuda en la recopilación de estadísticas de red y la solución de problemas de la aplicación. Azure Functions también puede desencadenarlo en respuesta a alertas específicas.

Para más información, consulte Introducción a la supervisión de Azure Network Watcher.

Microsoft Defender for Cloud

Microsoft Defender for Cloud ayuda a evitar amenazas y a detectarlas y responder a ellas, y proporciona mayor visibilidad y control sobre la seguridad de sus recursos de Azure. Proporciona administración de directivas y supervisión de la seguridad integrada en las suscripciones de Azure, ayuda a detectar las amenazas que podrían pasar desapercibidas y funciona con un amplio conjunto de soluciones de seguridad.

Defender for Cloud le ayuda a optimizar y controlar la seguridad de la red al:

• Proporcionar recomendaciones de seguridad de la red.
• Supervisar el estado de la configuración de seguridad de la red.
• Alertar de las amenazas basadas en la red, tanto en los niveles de red como en el punto de conexión.

Más información:

• Introducción a Microsoft Defender for Cloud

Tap de red virtual

Azure Virtual Network TAP (punto de acceso del terminal) permite transmitir continuamente el tráfico de red de la máquina virtual a un recopilador de paquetes de red o a una herramienta de análisis. Un asociado de la aplicación virtual de red proporciona el recopilador o la herramienta de análisis de la herramienta. Puede usar el mismo recurso de Virtual Red TAP para agregar tráfico de diferentes interfaces de red en la misma suscripción o en suscripciones distintas.

Más información:

• Tap de red virtual

Registro

El registro en el nivel de red es una función clave en cualquier escenario de seguridad de red. En Azure, puede registrar la información obtenida de los grupos de seguridad de red (NSG) a fin de obtener información del registro de nivel de red. Con el registro de NSG, obtiene información de:

• Registros de actividad. Use estos registros para ver todas las operaciones enviadas a las suscripciones de Azure. Estos registros están habilitados de forma predeterminada y se pueden usar en Azure Portal. Anteriormente se les llamaba registros de "auditoría" o "registros operativos".
• Registros de eventos. Estos registros proporcionan información sobre las reglas de NSG que se aplicaron.
• Registro de contadores. Estos registros le permiten saber cuántas veces se aplica cada regla de NSG para denegar o permitir el tráfico.

También puede usar Microsoft Power BI, una eficaz herramienta de visualización de datos, para ver y analizar estos registros. Más información:

• Registros de Azure Monitor para grupos de seguridad de red (NSG)