Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
El modelo de confianza cero asume la vulneración y comprueba cada solicitud como si se origina en una red no controlada. Los servicios de seguridad de red de Azure desempeñan un papel fundamental en la aplicación de principios de confianza cero mediante la inspección, el filtrado y el registro del tráfico en el entorno en la nube.
Las siguientes recomendaciones le ayudan a evaluar y reforzar la posición de seguridad de red de Azure. Cada recomendación se vincula a una guía detallada que describe la comprobación de seguridad, su nivel de riesgo y los pasos de corrección.
Sugerencia
Algunas organizaciones pueden tomar estas recomendaciones exactamente como están escritas, mientras que otras podrían optar por realizar modificaciones en función de sus propias necesidades empresariales. Se recomienda implementar todos los siguientes controles cuando proceda. Estos patrones y prácticas ayudan a proporcionar una base para un entorno de red de Azure seguro. Con el tiempo se agregarán más controles a este documento.
Evaluación automatizada
La comprobación manual de esta guía en la configuración del entorno puede llevar mucho tiempo y ser propensa a errores. La evaluación de Confianza cero transforma este proceso con automatización para probar estos elementos de configuración de seguridad y mucho más. Más información en ¿Qué es la evaluación de Confianza cero?
Protección contra DDoS de Azure
Azure DDoS Protection protege los recursos orientados al público frente a ataques de denegación de servicio distribuidos. Las siguientes recomendaciones comprueban que la protección contra DDoS está habilitada y supervisada correctamente.
Para más información, consulte Recomendaciones de confianza cero para Azure DDoS Protection.
| Recomendación | Nivel de riesgo | Impacto en el usuario | Costo de implementación |
|---|---|---|---|
| DDoS Protection está habilitado para todas las direcciones IP públicas en VNets | Alto | Low | Low |
| Las métricas están habilitadas para direcciones IP públicas protegidas por DDoS | Medio | Low | Low |
| El registro de diagnóstico está habilitado para direcciones IP públicas protegidas por DDoS | Medio | Low | Low |
Azure Firewall
Azure Firewall proporciona una aplicación centralizada de directivas de seguridad de red y registro en las redes virtuales. Las siguientes recomendaciones comprueban que las características de protección clave están activas.
Para más información, consulte Recomendaciones de confianza cero para Azure Firewall.
| Recomendación | Nivel de riesgo | Impacto en el usuario | Costo de implementación |
|---|---|---|---|
| El tráfico saliente de las cargas de trabajo integradas en la red virtual se enruta a través de Azure Firewall | Alto | Low | Medio |
| La inteligencia sobre amenazas está habilitada en modo de denegación en Azure Firewall | Alto | Low | Low |
| La inspección de IDPS está habilitada en modo de denegación en Azure Firewall | Alto | Low | Low |
| La inspección del tráfico TLS saliente está habilitada en Azure Firewall | Alto | Low | Low |
| El registro de diagnóstico está habilitado en Azure Firewall | Alto | Low | Low |
Application Gateway WAF
Azure Web Application Firewall en Application Gateway protege las aplicaciones web frente a explotaciones y vulnerabilidades comunes. Las siguientes recomendaciones comprueban que WAF está configurado y supervisado correctamente.
Para más información, consulte Recomendaciones de confianza cero para WAF de Application Gateway.
| Recomendación | Nivel de riesgo | Impacto en el usuario | Costo de implementación |
|---|---|---|---|
| Application Gateway WAF está habilitado en modo de prevención | Alto | Low | Low |
| Está habilitada la inspección del cuerpo de la solicitud en WAF de Application Gateway | Alto | Low | Low |
| El conjunto de reglas predeterminado está habilitado en WAF de Application Gateway | Alto | Low | Low |
| El conjunto de reglas de protección de bots está habilitado y asignado en WAF de Application Gateway | Alto | Low | Low |
| El conjunto de reglas de protección contra DDoS HTTP está habilitado en WAF de Application Gateway | Alto | Low | Low |
| La limitación de velocidad está habilitada en WAF de Application Gateway | Alto | Low | Medio |
| El desafío de JavaScript está habilitado en WAF de Application Gateway | Medio | Low | Low |
| El registro de diagnóstico está habilitado en el WAF del Application Gateway | Alto | Low | Low |
Azure Front Door WAF
Azure Web Application Firewall en Front Door protege las aplicaciones web en el perímetro de red. Las siguientes recomendaciones comprueban que WAF está configurado y supervisado correctamente.
Para más información, consulte Recomendaciones de confianza cero para WAF de Azure Front Door.
| Recomendación | Nivel de riesgo | Impacto en el usuario | Costo de implementación |
|---|---|---|---|
| Azure Front Door WAF está habilitado en modo de prevención | Alto | Low | Low |
| La inspección del cuerpo de las solicitudes está habilitada en WAF con Azure Front Door | Alto | Low | Low |
| El conjunto de reglas predeterminado se asigna en WAF de Azure Front Door | Alto | Low | Low |
| El conjunto de reglas de protección de bots está habilitado y asignado en WAF de Azure Front Door | Alto | Low | Low |
| La limitación de velocidad está habilitada en WAF de Azure Front Door | Alto | Low | Medio |
| El desafío de JavaScript está habilitado en WAF de Azure Front Door | Medio | Low | Low |
| El desafío CAPTCHA está habilitado en WAF de Azure Front Door | Medio | Low | Low |
| El registro de diagnóstico está habilitado en WAF de Azure Front Door | Alto | Low | Low |