Az - Azure Network

Información Básica

Azure proporciona redes virtuales (VNet) que permiten a los usuarios crear redes aisladas dentro de la nube de Azure. Dentro de estas VNets, recursos como máquinas virtuales, aplicaciones, bases de datos... pueden ser alojados y gestionados de forma segura. La red en Azure soporta tanto la comunicación dentro de la nube (entre servicios de Azure) como la conexión a redes externas y a internet. Además, es posible conectar VNets con otras VNets y con redes locales.

Red Virtual (VNET) y Subredes

Una Red Virtual de Azure (VNet) es una representación de tu propia red en la nube, proporcionando aislamiento lógico dentro del entorno de Azure dedicado a tu suscripción. Las VNets te permiten aprovisionar y gestionar redes privadas virtuales (VPNs) en Azure, alojando recursos como Máquinas Virtuales (VMs), bases de datos y servicios de aplicaciones. Ofrecen control total sobre la configuración de la red, incluyendo rangos de direcciones IP, creación de subredes, tablas de rutas y puertas de enlace de red.

Subredes son subdivisiones dentro de una VNet, definidas por rangos de direcciones IP específicos. Al segmentar una VNet en múltiples subredes, puedes organizar y asegurar recursos de acuerdo a tu arquitectura de red. Por defecto, todas las subredes dentro de la misma Red Virtual de Azure (VNet) pueden comunicarse entre sí sin ninguna restricción.

Ejemplo:

• MyVNet con un rango de direcciones IP de 10.0.0.0/16.

• Subred-1: 10.0.0.0/24 para servidores web.

• Subred-2: 10.0.1.0/24 para servidores de bases de datos.

Enumeración

Para listar todas las VNets y subredes en una cuenta de Azure, puedes usar la Interfaz de Línea de Comando de Azure (CLI). Aquí están los pasos:

# List VNets
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}"

# List subnets of a VNet
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, addressPrefix:addressPrefix}" -o table

Grupos de Seguridad de Red (NSG)

Un Grupo de Seguridad de Red (NSG) filtra el tráfico de red tanto hacia como desde los recursos de Azure dentro de una Red Virtual de Azure (VNet). Alberga un conjunto de reglas de seguridad que pueden indicar qué puertos abrir para el tráfico entrante y saliente según el puerto de origen, la IP de origen, el puerto de destino y es posible asignar una prioridad (cuanto menor sea el número de prioridad, mayor será la prioridad).

Los NSG pueden asociarse a subredes y NICs.

Ejemplo de reglas:

• Una regla de entrada que permite el tráfico HTTP (puerto 80) desde cualquier origen a tus servidores web.

• Una regla de salida que permite solo el tráfico SQL (puerto 1433) a un rango de direcciones IP de destino específico.

Enumeración

# List NSGs
az network nsg list --query "[].{name:name, location:location}" -o table
az network nsg show --name <nsg-name>

# Get NSG rules
az network nsg rule list --nsg-name <NSGName> --resource-group <ResourceGroupName> --query "[].{name:name, priority:priority, direction:direction, access:access, protocol:protocol, sourceAddressPrefix:sourceAddressPrefix, destinationAddressPrefix:destinationAddressPrefix, sourcePortRange:sourcePortRange, destinationPortRange:destinationPortRange}" -o table

# Get NICs and subnets using this NSG
az network nsg show --name MyLowCostVM-nsg --resource-group Resource_Group_1 --query "{subnets: subnets, networkInterfaces: networkInterfaces}"

Azure Firewall

Azure Firewall es un servicio de seguridad de red gestionado en Azure que protege los recursos en la nube al inspeccionar y controlar el tráfico. Es un firewall con estado que filtra el tráfico basado en reglas para las Capas 3 a 7, soportando la comunicación tanto dentro de Azure (tráfico este-oeste) como hacia/desde redes externas (tráfico norte-sur). Desplegado a nivel de Red Virtual (VNet), proporciona protección centralizada para todas las subredes en la VNet. Azure Firewall se escala automáticamente para manejar las demandas de tráfico y asegura alta disponibilidad sin requerir configuración manual.

Está disponible en tres SKUs—Básico, Estándar y Premium, cada uno adaptado a necesidades específicas de los clientes:

Enumeration

# List Azure Firewalls
az network firewall list --query "[].{name:name, location:location, subnet:subnet, publicIp:publicIp}" -o table

# Get network rules of a firewall
az network firewall network-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get application rules of a firewall
az network firewall application-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

# Get nat rules of a firewall
az network firewall nat-rule collection list --firewall-name <FirewallName> --resource-group <ResourceGroupName> --query "[].{name:name, rules:rules}" -o table

Tablas de Rutas de Azure

Las Tablas de Rutas de Azure se utilizan para controlar el enrutamiento del tráfico de red dentro de una subred. Definen reglas que especifican cómo se deben reenviar los paquetes, ya sea a recursos de Azure, a internet o a un siguiente salto específico como un Appliance Virtual o Azure Firewall. Puedes asociar una tabla de rutas con una subred, y todos los recursos dentro de esa subred seguirán las rutas en la tabla.

Ejemplo: Si una subred alberga recursos que necesitan enrutar el tráfico saliente a través de un Appliance Virtual de Red (NVA) para inspección, puedes crear una ruta en una tabla de rutas para redirigir todo el tráfico (por ejemplo, 0.0.0.0/0) a la dirección IP privada del NVA como el siguiente salto.

Enumeración

# List Route Tables
az network route-table list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List routes for a table
az network route-table route list --route-table-name <RouteTableName> --resource-group <ResourceGroupName> --query "[].{name:name, addressPrefix:addressPrefix, nextHopType:nextHopType, nextHopIpAddress:nextHopIpAddress}" -o table

Azure Private Link

Azure Private Link es un servicio en Azure que permite el acceso privado a los servicios de Azure al garantizar que el tráfico entre tu red virtual de Azure (VNet) y el servicio viaje completamente dentro de la red troncal de Microsoft Azure. Efectivamente, trae el servicio a tu VNet. Esta configuración mejora la seguridad al no exponer los datos a Internet público.

Private Link se puede utilizar con varios servicios de Azure, como Azure Storage, Azure SQL Database y servicios personalizados compartidos a través de Private Link. Proporciona una forma segura de consumir servicios desde tu propia VNet o incluso desde diferentes suscripciones de Azure.

Ejemplo:

Considera un escenario donde tienes una Azure SQL Database a la que deseas acceder de forma segura desde tu VNet. Normalmente, esto podría implicar atravesar Internet público. Con Private Link, puedes crear un punto final privado en tu VNet que se conecta directamente al servicio de Azure SQL Database. Este punto final hace que la base de datos parezca parte de tu propia VNet, accesible a través de una dirección IP privada, asegurando así un acceso seguro y privado.

Enumeración

# List Private Link Services
az network private-link-service list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List Private Endpoints
az network private-endpoint list --query "[].{name:name, location:location, resourceGroup:resourceGroup, privateLinkServiceConnections:privateLinkServiceConnections}" -o table

Puntos de Conexión de Servicio de Azure

Los Puntos de Conexión de Servicio de Azure extienden el espacio de direcciones privadas de su red virtual y la identidad de su VNet a los servicios de Azure a través de una conexión directa. Al habilitar los puntos de conexión de servicio, los recursos en su VNet pueden conectarse de manera segura a los servicios de Azure, como Azure Storage y Azure SQL Database, utilizando la red troncal de Azure. Esto asegura que el tráfico de la VNet al servicio de Azure permanezca dentro de la red de Azure, proporcionando un camino más seguro y confiable.

Ejemplo:

Por ejemplo, una cuenta de Azure Storage por defecto es accesible a través de internet público. Al habilitar un punto de conexión de servicio para Azure Storage dentro de su VNet, puede asegurarse de que solo el tráfico de su VNet pueda acceder a la cuenta de almacenamiento. El firewall de la cuenta de almacenamiento puede configurarse para aceptar tráfico solo de su VNet.

Enumeración

# List Virtual Networks with Service Endpoints
az network vnet list --query "[].{name:name, location:location, serviceEndpoints:serviceEndpoints}" -o table

# List Subnets with Service Endpoints
az network vnet subnet list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, serviceEndpoints:serviceEndpoints}" -o table

Diferencias entre Puntos de Servicio y Enlaces Privados

Microsoft recomienda usar Enlaces Privados en los docs:

Puntos de Servicio:

• El tráfico de tu VNet al servicio de Azure viaja a través de la red troncal de Microsoft Azure, evitando el internet público.

• El punto de servicio es una conexión directa al servicio de Azure y no proporciona una IP privada para el servicio dentro de la VNet.

• El servicio en sí sigue siendo accesible a través de su punto de acceso público desde fuera de tu VNet a menos que configures el firewall del servicio para bloquear dicho tráfico.

• Es una relación uno a uno entre la subred y el servicio de Azure.

• Menos costoso que los Enlaces Privados.

Enlaces Privados:

• El Enlace Privado mapea los servicios de Azure en tu VNet a través de un punto de acceso privado, que es una interfaz de red con una dirección IP privada dentro de tu VNet.

• El servicio de Azure se accede utilizando esta dirección IP privada, haciendo que parezca parte de tu red.

• Los servicios conectados a través de Enlace Privado solo pueden ser accedidos desde tu VNet o redes conectadas; no hay acceso a internet público al servicio.

• Permite una conexión segura a los servicios de Azure o a tus propios servicios alojados en Azure, así como una conexión a servicios compartidos por otros.

• Proporciona un control de acceso más granular a través de un punto de acceso privado en tu VNet, en lugar de un control de acceso más amplio a nivel de subred con puntos de servicio.

En resumen, aunque tanto los Puntos de Servicio como los Enlaces Privados proporcionan conectividad segura a los servicios de Azure, los Enlaces Privados ofrecen un mayor nivel de aislamiento y seguridad al garantizar que los servicios se accedan de forma privada sin exponerlos a internet público. Los Puntos de Servicio, por otro lado, son más fáciles de configurar para casos generales donde se requiere un acceso simple y seguro a los servicios de Azure sin necesidad de una IP privada en la VNet.

Azure Front Door (AFD) y AFD WAF

Azure Front Door es un punto de entrada escalable y seguro para la rápida entrega de tus aplicaciones web globales. Combina varios servicios como balanceo de carga global, aceleración de sitios, descarga de SSL y capacidades de Firewall de Aplicaciones Web (WAF) en un solo servicio. Azure Front Door proporciona enrutamiento inteligente basado en la ubicación de borde más cercana al usuario, asegurando un rendimiento y confiabilidad óptimos. Además, ofrece enrutamiento basado en URL, alojamiento de múltiples sitios, afinidad de sesión y seguridad a nivel de aplicación.

Azure Front Door WAF está diseñado para proteger aplicaciones web de ataques basados en la web sin modificar el código de backend. Incluye reglas personalizadas y conjuntos de reglas gestionadas para proteger contra amenazas como inyección SQL, scripting entre sitios y otros ataques comunes.

Ejemplo:

Imagina que tienes una aplicación distribuida globalmente con usuarios en todo el mundo. Puedes usar Azure Front Door para enrutar las solicitudes de los usuarios al centro de datos regional más cercano que aloje tu aplicación, reduciendo así la latencia, mejorando la experiencia del usuario y defendiéndola de ataques web con las capacidades de WAF. Si una región particular experimenta tiempo de inactividad, Azure Front Door puede redirigir automáticamente el tráfico a la siguiente mejor ubicación, asegurando alta disponibilidad.

Enumeración

# List Azure Front Door Instances
az network front-door list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

# List Front Door WAF Policies
az network front-door waf-policy list --query "[].{name:name, resourceGroup:resourceGroup, location:location}" -o table

Azure Application Gateway y Azure Application Gateway WAF

Azure Application Gateway es un balanceador de carga de tráfico web que te permite gestionar el tráfico hacia tus aplicaciones web. Ofrece balanceo de carga de Capa 7, terminación de SSL y capacidades de firewall de aplicaciones web (WAF) en el Controlador de Entrega de Aplicaciones (ADC) como servicio. Las características clave incluyen enrutamiento basado en URL, afinidad de sesión basada en cookies y descarga de capa de sockets seguros (SSL), que son cruciales para aplicaciones que requieren capacidades de balanceo de carga complejas como enrutamiento global y enrutamiento basado en rutas.

Ejemplo:

Considera un escenario en el que tienes un sitio web de comercio electrónico que incluye múltiples subdominios para diferentes funciones, como cuentas de usuario y procesamiento de pagos. Azure Application Gateway puede enrutar el tráfico a los servidores web apropiados según la ruta de la URL. Por ejemplo, el tráfico a example.com/accounts podría ser dirigido al servicio de cuentas de usuario, y el tráfico a example.com/pay podría ser dirigido al servicio de procesamiento de pagos. Y proteger tu sitio web de ataques utilizando las capacidades de WAF.

Enumeración

# List the Web Application Firewall configurations for your Application Gateways
az network application-gateway waf-config list --gateway-name <AppGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, firewallMode:firewallMode, ruleSetType:ruleSetType, ruleSetVersion:ruleSetVersion}" -o table

Azure Hub, Spoke y VNet Peering

VNet Peering es una característica de red en Azure que permite que diferentes Redes Virtuales (VNets) se conecten de manera directa y sin problemas. A través del VNet peering, los recursos en una VNet pueden comunicarse con recursos en otra VNet utilizando direcciones IP privadas, como si estuvieran en la misma red. VNet Peering también se puede usar con redes locales configurando una VPN de sitio a sitio o Azure ExpressRoute.

Azure Hub y Spoke es una topología de red utilizada en Azure para gestionar y organizar el tráfico de red. El "hub" es un punto central que controla y enruta el tráfico entre diferentes "spokes". El hub típicamente contiene servicios compartidos como dispositivos virtuales de red (NVAs), Azure VPN Gateway, Azure Firewall o Azure Bastion. Los "spokes" son VNets que alojan cargas de trabajo y se conectan al hub utilizando VNet peering, permitiéndoles aprovechar los servicios compartidos dentro del hub. Este modelo promueve un diseño de red limpio, reduciendo la complejidad al centralizar servicios comunes que múltiples cargas de trabajo en diferentes VNets pueden usar.

Ejemplo:

Imagina una empresa con departamentos separados como Ventas, Recursos Humanos y Desarrollo, cada uno con su propia VNet (los spokes). Estas VNets requieren acceso a recursos compartidos como una base de datos central, un firewall y una puerta de enlace a internet, que se encuentran en otra VNet (el hub). Al utilizar el modelo Hub y Spoke, cada departamento puede conectarse de manera segura a los recursos compartidos a través de la VNet hub sin exponer esos recursos a internet público o crear una estructura de red compleja con numerosas conexiones.

Enumeración

# List all VNets in your subscription
az network vnet list --query "[].{name:name, location:location, addressSpace:addressSpace}" -o table

# List VNet peering connections for a given VNet
az network vnet peering list --resource-group <ResourceGroupName> --vnet-name <VNetName> --query "[].{name:name, peeringState:peeringState, remoteVnetId:remoteVnetId}" -o table

# List Shared Resources (e.g., Azure Firewall) in the Hub
az network firewall list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

VPN de Sitio a Sitio

Una VPN de Sitio a Sitio en Azure te permite conectar tu red local a tu Red Virtual (VNet) de Azure, permitiendo que recursos como las VMs dentro de Azure aparezcan como si estuvieran en tu red local. Esta conexión se establece a través de una puerta de enlace VPN que cifra el tráfico entre las dos redes.

Ejemplo:

Una empresa con su oficina principal ubicada en Nueva York tiene un centro de datos local que necesita conectarse de manera segura a su VNet en Azure, que alberga sus cargas de trabajo virtualizadas. Al configurar una VPN de Sitio a Sitio, la empresa puede garantizar conectividad cifrada entre los servidores locales y las VMs de Azure, permitiendo que los recursos sean accesibles de manera segura en ambos entornos como si estuvieran en la misma red local.

Enumeración

# List VPN Gateways
az network vnet-gateway list --query "[].{name:name, location:location, resourceGroup:resourceGroup}" -o table

# List VPN Connections
az network vpn-connection list --gateway-name <VpnGatewayName> --resource-group <ResourceGroupName> --query "[].{name:name, connectionType:connectionType, connectionStatus:connectionStatus}" -o table

Azure ExpressRoute

Azure ExpressRoute es un servicio que proporciona una conexión privada, dedicada y de alta velocidad entre su infraestructura local y los centros de datos de Azure. Esta conexión se realiza a través de un proveedor de conectividad, evitando el internet público y ofreciendo más confiabilidad, velocidades más rápidas, menores latencias y mayor seguridad que las conexiones típicas a internet.

Ejemplo:

Una corporación multinacional requiere una conexión consistente y confiable a sus servicios de Azure debido al alto volumen de datos y la necesidad de un alto rendimiento. La empresa opta por Azure ExpressRoute para conectar directamente su centro de datos local a Azure, facilitando transferencias de datos a gran escala, como copias de seguridad diarias y análisis de datos en tiempo real, con mayor privacidad y velocidad.

Enumeración

# List ExpressRoute Circuits
az network express-route list --query "[].{name:name, location:location, resourceGroup:resourceGroup, serviceProviderName:serviceProviderName, peeringLocation:peeringLocation}" -o table