Omitir navegación

Habilitación de Confianza cero con los servicios de seguridad de red de Azure

Publicado el 31 enero, 2022

Senior Program Manager, Azure Networking

En este blog, ha colaborado Eliran Azulai, director principal de programas.

Debido al ritmo acelerado de la transformación digital desde el avance de la pandemia de la COVID-19, las organizaciones buscan constantemente migrar sus cargas de trabajo a la nube y asegurarse de que estén protegidas. Además, las organizaciones necesitan un nuevo modelo de seguridad que se adapte con mayor eficacia a la complejidad del entorno moderno, que se ajuste a un área de trabajo híbrida y que proteja aplicaciones y datos con independencia de donde estén.

El marco de Confianza cero de Microsoft protege los recursos en cualquier lugar mediante el cumplimiento de tres principios:

  1. Comprobación explícita: autentique y autorice siempre las aplicaciones en función de todos los puntos de datos disponibles, como la identidad del usuario, la ubicación, el estado del dispositivo, el servicio o la carga de trabajo, la clasificación de los datos y las anomalías.
  2. Uso del acceso con privilegios mínimos: limite el acceso de los usuarios mediante el acceso Just-In-Time (JIT) y Just-Enough Access (JEA), las directivas adaptables en función de los riesgos y la protección de datos para ayudar a proteger los datos y la productividad.
  3. Supuesto de infracción: minimice el alcance del impacto y el acceso a los segmentos. Compruebe el cifrado de un extremo a otro y use análisis para obtener visibilidad, impulsar la detección de amenazas y mejorar las defensas.

En este blog, describiremos algunos servicios de seguridad de red de Azure que ayudan a las organizaciones a abordar el marco de Confianza cero, centrándonos en el tercer principio: supuesto de infracción.

Firewalls de red

Los firewalls de red normalmente se implementan en las redes perimetrales, filtrando el tráfico entre zonas de confianza y que no son de confianza. El enfoque de Confianza cero amplía este modelo y recomienda filtrar el tráfico entre redes internas, hosts y aplicaciones.

El enfoque de Confianza cero asume la vulneración de seguridad y acepta la realidad de que los actores malintencionados están en todas partes. En lugar de crear un muro entre las zonas de confianza y las que no son de confianza, se recomienda comprobar todos los intentos de acceso, limitar el acceso de los usuarios a JIT y JEA y proteger los propios recursos. Sin embargo, esto no nos impide mantener zonas de seguridad. De hecho, el firewall de red proporciona un tipo de controles y salvaguardias para las comunicaciones de red, segmentando la red en zonas más pequeñas y controlando qué tráfico puede fluir entre ellas. Esta práctica de seguridad en profundidad nos obliga a considerar si una conexión determinada debe cruzar un límite confidencial.

¿Dónde deben intervenir los firewalls en las redes de Confianza cero? Dado que la red es vulnerable por naturaleza, se deben implementar los firewalls en el nivel de host y fuera de él. En Azure, proporcionamos servicios de filtrado y firewalls que se implementan en diferentes ubicaciones de red: en el host y entre redes virtuales o subredes. Vamos a tratar la compatibilidad de los servicios de firewall de Azure con el marco de Confianza cero.

Filtros de red en la red virtual de Azure

Grupo de seguridad de red (NSG) de Azure

Puede usar el grupo de seguridad de red de Azure para filtrar el tráfico de red hacia y desde los recursos de Azure en una red virtual de Azure. El NSG se implementa en el nivel de host, fuera de las máquinas virtuales (VM). En términos de configuración de usuario, el NSG se puede asociar a una subred o una NIC de la máquina virtual. La asociación de un NSG a una subred es una forma de filtrado perimetral que trataremos más adelante. La aplicación más importante del NSG en el contexto de las redes de Confianza cero está asociada a una máquina virtual específica (por ejemplo, mediante la asignación de un NSG a una NIC de la máquina virtual). Admite la directiva de filtrado por máquina virtual, lo que hace que la máquina virtual participe en su propia seguridad. Sirve para garantizar que cada máquina virtual filtra su propio tráfico de red, en lugar de delegar todo a un firewall centralizado.

Aunque el firewall host se puede implementar a nivel del sistema operativo invitado, el NSG de Azure protege contra una máquina virtual en peligro. Un atacante que consigue acceder a la máquina virtual y eleva sus privilegios podría quitar el firewall en el host. El NSG se implementa fuera de la máquina virtual, lo que aísla el filtrado a nivel del host, lo que proporciona garantías sólidas frente a ataques en el sistema de firewall.

Filtrado entrante y saliente

El NSG proporciona tanto el filtrado entrante (regular el tráfico que entra en una máquina virtual) como el filtrado saliente (regular el tráfico que sale de una máquina virtual). El filtrado saliente, especialmente entre los recursos de la red virtual, tiene un rol importante en las redes con Confianza cero para consolidar aún más las cargas de trabajo. Por ejemplo, una configuración incorrecta de las reglas de NSG de entrada puede provocar una pérdida de esta importante capa de defensa de filtrado de entrada que es muy difícil de detectar. El filtrado saliente generalizado de NSG protege las subredes incluso cuando se produce este error crítico de configuración.

Simplificación de la configuración de los NSG con grupos de seguridad de aplicaciones de Azure

Los grupos de seguridad de aplicaciones de Azure (ASG) simplifican la configuración y administración de los NSG mediante la configuración de la seguridad de red como una extensión de la estructura de una aplicación. Los ASG permiten agrupar las máquinas virtuales y definir directivas de seguridad de red basadas en estos grupos. Con los ASG, puede reutilizar la seguridad de red a gran escala sin mantenimiento manual de direcciones IP explícitas. En el ejemplo simplificado siguiente, se aplica un NSG1 en un nivel de subred y se asocian dos máquinas virtuales a una instancia de WebASG (ASG de nivel de aplicación web) y otra con una instancia de LogicASG (ASG de nivel de aplicación de lógica de negocios).

Uso del grupo de seguridad de aplicaciones (ASG) en las reglas del grupo de seguridad de red (NSG)

Podemos aplicar reglas de seguridad a los ASG en lugar de a cada una de las máquinas virtuales individualmente. Por ejemplo, la regla siguiente permite el tráfico HTTP desde Internet (puerto TCP 80) a VM1 y VM2 en la capa de aplicación web, especificando WebASG como destino, en lugar de crear una regla independiente para cada máquina virtual.

Prioridad

Origen

Puertos de origen

Destino

Puertos de destino

Protocolo

Acceso

100

Internet

*

WebASG

80

TCP

Permitir

Azure Firewall

Aunque el filtrado a nivel de host es ideal para crear microperímetros, el firewall en el nivel de red virtual o subred agrega otra capa importante de protección. Protege tanta infraestructura como sea posible frente a tráfico no autorizado y posibles ataques desde Internet. También sirve para proteger el tráfico este-oeste para minimizar el alcance del impacto en caso de ataques.

Azure Firewall es un servicio de seguridad de red nativo para el firewall. Estos dos servicios, implementados junto con NSG, proporcionan controles y salvaguardias importantes en las redes con Confianza cero. Azure Firewall implementa reglas globales y directivas de host generales, mientras que el NSG establece directivas específicas. Esta separación del filtrado perimetral frente al filtrado de host puede simplificar la administración de la directiva de firewall.

El procedimiento recomendado del modelo de Confianza cero es cifrar siempre los datos en tránsito para lograr el cifrado de un extremo a otro. Sin embargo, desde una perspectiva operativa, los clientes a menudo desearían tener visibilidad de sus datos, así como aplicar servicios de seguridad adicionales a los datos sin cifrar.

Azure Firewall Premium con su inspección de seguridad de la capa de transporte (TLS) puede realizar el descifrado completo y el cifrado del tráfico, lo que ofrece la capacidad de utilizar sistemas de detección y prevención de intrusiones (IDPS), así como proporcionar a los clientes visibilidad de los propios datos.

DDoS Protection

El modelo de Confianza cero trata de autenticar y autorizar prácticamente todo en la red, pero no proporciona una buena mitigación frente a ataques DDoS, especialmente contra ataques volumétricos. Cualquier sistema que pueda recibir paquetes es vulnerable a ataques DDoS, incluso a aquellos que emplean una arquitectura de Confianza cero. Por lo tanto, es fundamental que cualquier implementación de Confianza cero esté totalmente protegida frente a ataques DDoS.

Azure DDoS Protection Estándar proporciona características de mitigación de DDoS para la defensa contra los ataques DDoS. Se ajusta de forma automática para proteger todos los recursos accesibles desde Internet en una red virtual. La protección se puede habilitar fácilmente en cualquier red virtual nueva o existente y no requiere cambios en las aplicaciones ni los recursos.

Optimice las operaciones de seguridad con Azure Firewall Manager

Azure Firewall Manager es un servicio de administración de la seguridad que proporciona una directiva de seguridad central y administración de rutas para perímetros de seguridad basados en la nube.

Además de la administración de directivas de Azure Firewall, Azure Firewall Manager permite asociar las redes virtuales a un plan de protección contra DDoS. En un solo inquilino, los planes de protección contra DDoS se pueden aplicar a redes virtuales en varias suscripciones. Puede usar el panel Redes virtuales para enumerar todas las redes virtuales que no tienen un plan de protección contra DDoS y asignarles planes de protección nuevos o disponibles.

Uso de Azure Firewall Manager para administrar el plan de protección contra DDoS

Además, Azure Firewall Manager permite usar las mejores ofertas de seguridad como servicio (SECaaS) de terceros que ya conoce para proteger el acceso a Internet de los usuarios.

Mediante la integración sin problemas con los servicios de seguridad principales de Azure, como Microsoft Defender for Cloud, Microsoft Sentinel y Azure Log Analytics, puede optimizar aún más SecOps con una ventanilla única que le proporciona los mejores servicios de seguridad de red, administración de posiciones de seguridad y protección de cargas de trabajo, así como SIEM y análisis de datos.

Qué es lo próximo

Confianza cero es fundamental para las organizaciones que trabajan para proteger todo tal y como está. Es un proceso continuo para los profesionales de seguridad, pero la introducción comienza con algunos primeros pasos y mejoras iterativas continuas. En este blog, se describen varios servicios de seguridad de Azure y cómo habilitan el proceso de Confianza cero para todas las organizaciones.

Para obtener más información sobre estos servicios, consulte los siguientes recursos: