Guía de Conexiones de Internet de confianza

En este artículo se explica cómo puede usar características de seguridad en los servicios en la nube de Azure para ayudar a lograr el cumplimiento de la iniciativa Conexiones de Internet de confianza (TIC). Se aplica tanto a los entornos de servicio en la nube de Azure como a los de Azure Government, y abarca las implicaciones de TIC para los modelos de servicio en la nube de infraestructura como servicio (IaaS) de Azure y plataforma como servicio (PaaS).

Introducción a las conexiones de Internet de confianza

El propósito de la iniciativa TIC es mejorar la seguridad de red en todo el gobierno federal de Estados Unidos. Este objetivo se realizó inicialmente mediante la consolidación de conexiones externas y el enrutamiento de todo el tráfico de red a través de dispositivos aprobados en los puntos de acceso TIC. En los años intermedios, la informática en la nube se estableció correctamente, lo que allanó el camino para las arquitecturas de seguridad modernas y un cambio del enfoque principal en la seguridad perimetral. En consecuencia, la iniciativa TIC evolucionó para proporcionar a las agencias federales una mayor flexibilidad para usar capacidades modernas de seguridad.

Guía de TIC 2.0

La iniciativa TIC fue descrita originalmente en la Oficina de Gestión y Presupuesto (OMB) Memorándum M-08-05 publicada en noviembre de 2007, y mencionada en este artículo como guía TIC 2.0. El programa TIC se ha previsto para mejorar las funciones federales de seguridad del perímetro perimetral y respuesta a incidentes. TIC se diseñó originalmente para realizar el análisis de red de todo el tráfico .gov entrante y saliente. El objetivo era identificar patrones específicos en los flujos de datos de red y descubrir anomalías de comportamiento, como la actividad de red de robots (botnet). Las agencias fueron obligados a consolidar sus conexiones de red externas y enrutar todo el tráfico a través de dispositivos de detección y prevención de intrusiones conocidos como EINSTEIN. Los dispositivos se hospedan en un número limitado de puntos de conexión de red, a los que se hace referencia como conexiones de Internet de confianza.

El objetivo de TIC es que las agencias conozcan:

  • ¿Quién está en mi red (autorizado o no autorizado)?
  • ¿Cuándo se accede a mi red y por qué?
  • ¿A qué recursos se accede?

En el marco de TIC 2.0, todas las conexiones externas de la agencia deben enrutarse a través de una TIC aprobada por OMB. Las agencias federales deben participar en el programa TIC como proveedor de acceso a TIC (TICAP) o mediante la contratación de servicios con uno de los principales proveedores de servicios de Internet de nivel 1. Estos proveedores se conocen como proveedores de servicios de protocolo de Internet de confianza administrada (MTIPS). TIC 2.0 incluye funcionalidades críticas obligatorias que realizan la agencia y el proveedor de MTIPS. En TIC 2.0, los dispositivos de detección de intrusiones de la versión 2 de EINSTEIN y la versión 3 de prevención de intrusiones aceleradas (3A) de EINSTEIN se implementan en cada TICAP y MTIPS. La agencia establece un Memorándum de Entendimiento con el Departamento de Seguridad Nacional (DHS) para implementar capacidades de EINSTEIN en sistemas federales.

Como parte de su responsabilidad de proteger la red .gov, DHS requiere las fuentes de distribución de datos sin procesar de los datos de flujo neto de la agencia para correlacionar incidentes en toda la empresa federal y realizar análisis mediante herramientas especializadas. Los enrutadores DHS habilitan la recopilación del tráfico de red IP a medida que entra o sale de una interfaz. Los administradores de red pueden analizar los datos de flujo neto para determinar el origen y el destino del tráfico, la clase de servicio y otros parámetros. Los datos de flujo neto se consideran "datos que no son de contenido" similares al encabezado, la dirección IP de origen, la dirección IP de destino, etc. Los datos que no son de contenido permiten a DHS obtener información sobre el contenido: quién estaba haciendo qué y durante cuánto tiempo.

La iniciativa TIC 2.0 también incluye directivas de seguridad, directrices y marcos que asumen una infraestructura local. Las agencias gubernamentales se trasladan a la nube para lograr ahorros de costes, eficiencia operativa e innovación. Sin embargo, los requisitos de implementación de TIC 2.0 pueden ralentizar el tráfico de red. La velocidad y agilidad con la que los usuarios gubernamentales pueden acceder a sus datos basados en la nube se limita como resultado.

Guía de TIC 3.0

En septiembre de 2019, la OMB publicó el Memorando M-19-26 que recindió los memorandos anteriores relacionados con TIC e introdujo la guía TIC 3.0. Los Memorandos anteriores de la OMB requerían que el tráfico del organismo fluya a través de un punto de acceso TIC físico, lo que ha demostrado ser un obstáculo para la adopción de la infraestructura basada en la nube. Por ejemplo, TIC 2.0 se centra exclusivamente en la seguridad perimetral canalizando todos los datos de agencias entrantes y salientes a través de un punto de acceso TIC. En cambio, TIC 3.0 reconoce la necesidad de tener en cuenta varias y diversas arquitecturas de seguridad en lugar de un único enfoque de seguridad perimetral. Esta flexibilidad permite a las agencias elegir cómo implementar funcionalidades de seguridad de una manera que se adapte mejor a su arquitectura general de red, enfoque de administración de riesgos, etc.

Para permitir esta flexibilidad, la Agencia de Seguridad de la Ciberseguridad e Infraestructura (CISA) trabaja con agencias federales para llevar a cabo pilotos en diversos entornos de agencias, lo que da lugar al desarrollo de casos de uso de TIC 3.0. En el caso de las implementaciones de TIC 3.0, CISA anima a las agencias a usar los Documentos básicos de orientación de TIC 3.0 con el Marco de Ciberseguridad (CSF) del Instituto Nacional de Estándares y Tecnología (NIST) y NIST SP 800-53Controles de seguridad y privacidad para los sistemas y organizaciones federales de información. Estos documentos pueden ayudar a las agencias a diseñar una arquitectura de red segura y determinar los requisitos adecuados de los proveedores de servicios en la nube.

TIC 3.0 complementa otras iniciativas federales centradas en la adopción de la nube, como el Programa Federal de Administración de Riesgos y Autorización (FedRAMP), que se basa en el estándar NIST SP 800-53 aumentado por controles y mejoras de control de FedRAMP. Las agencias pueden usar las autorizaciones provisionales existentes de Azure y Azure Government FedRAMP High para operar (P-ATO) emitidas por la Junta de Autorización Conjunta de FedRAMP. También pueden usar la compatibilidad de Azure y Azure Government con el NIST CSF. Para ayudar a las agencias con la implementación de TIC 3.0 al seleccionar funcionalidades de seguridad basadas en la nube, CISA ha asignado funcionalidades de TIC al NIST CSF y NIST SP 800-53. Por ejemplo, los objetivos de seguridad de TIC 3.0 se pueden asignar a las cinco funciones del CSF de NIST, como Identificar, Proteger, Detectar, Responder y Recuperar. Las funcionalidades de seguridad de TIC se asignan al NIST CSF en el catálogo de funcionalidades de seguridad de TIC 3.0 disponible en los Documentos de guía básica de TIC 3.0.

TIC 3.0 es una guía de ciberseguridad no prescriptiva desarrollada para proporcionar a las agencias flexibilidad para implementar capacidades de seguridad que coincidan con sus niveles de tolerancia a riesgos específicos. Aunque la guía requiere que las agencias cumplan todos los requisitos de telemetría aplicables, como el Sistema nacional de protección de ciberseguridad (NCPS) y el diagnóstico y mitigación continuos (CDM), TIC 3.0 actualmente solo requiere que las agencias se atestiguan automáticamente en su cumplimiento con la guía de TIC.

Con TIC 3.0, los organismos pueden mantener la implementación heredada de TIC 2.0 que usa puntos de acceso TIC al adoptar capacidades de TIC 3.0. CISA proporcionó instrucciones sobre cómo implementar el modelo tradicional de TIC en TIC 3.0, conocido como Caso de uso tradicional de TIC.

En el resto de este artículo se proporcionan instrucciones pertinentes para las funcionalidades de Azure necesarias para las implementaciones heredadas de TIC 2.0; sin embargo, algunas de estas instrucciones también son útiles para los requisitos de TIC 3.0.

Opciones de red de Azure

Hay cuatro opciones principales para conectarse a los servicios de Azure:

  • Conexión directa a Internet: Conectarse a los servicios de Azure directamente a través de una conexión a Internet abierta. El medio y la conexión son públicos. Se confía en el cifrado de nivel de transporte y aplicación para garantizar la protección de datos. El ancho de banda está limitado por la conectividad de un sitio a Internet. Use más de un proveedor activo para garantizar la resistencia.
  • Red privada virtual (VPN): Conectarse a la red virtual de Azure de forma privada mediante una puerta de enlace de VPN. El medio es público porque atraviesa la conexión a Internet estándar de un sitio, pero la conexión se cifra en un túnel para garantizar la protección de datos. El ancho de banda está limitado en función de los dispositivos VPN y de la configuración que elija. Las conexiones de punto a sitio de Azure suelen estar limitadas a 100 Mbps. Las conexiones de sitio a sitio oscilan entre 100 Mbps y 10 Gbps.
  • Azure ExpressRoute: ExpressRoute es una conexión directa a los servicios de Microsoft. ExpressRoute usa un proveedor en una ubicación de emparejamiento para conectarse a enrutadores perimetrales de Microsoft Enterprise. ExpressRoute usa diferentes tipos de emparejamiento para los servicios IaaS y PaaS/SaaS, el emparejamiento privado y el emparejamiento de Microsoft. El ancho de banda oscila entre 50 Mbps y 10 Gbps.
  • Azure ExpressRoute Direct: ExpressRoute Direct permite conexiones directas de fibra desde el perímetro a los enrutadores perimetrales de Microsoft Enterprise en la ubicación de emparejamiento. ExpressRoute Direct quita un proveedor de conectividad de terceros de los saltos necesarios. El ancho de banda oscila entre 10 Gbps y 100 Gbps.

Para habilitar la conexión desde la agencia a Azure o Microsoft 365, sin enrutar el tráfico a través de TIC de la agencia, la agencia debe usar:

  • Un túnel cifrado, o
  • Una conexión dedicada al proveedor de servicios en la nube (CSP).

Los servicios CSP pueden garantizar que la conectividad a los recursos en la nube de la agencia no se ofrece a través de la red pública de Internet para el acceso directo al personal de la agencia.

Solo para Azure, la segunda opción (VPN) y la tercera opción (ExpressRoute) pueden cumplir estos requisitos cuando se usan con servicios que limitan el acceso a Internet.

Microsoft 365 es compatible con las instrucciones de TIC mediante ExpressRoute con el emparejamiento de Microsoft habilitado o una conexión a Internet que cifra todo el tráfico mediante la seguridad de la capa de transporte (TLS) 1.2. Los usuarios finales de la agencia de la red de la agencia pueden conectarse a través de su red de agencias e infraestructura tic a través de Internet. Todo el acceso remoto a Internet a Microsoft 365 está bloqueado y se enruta a través de la agencia.

Opciones de red de Azure para el cumplimiento de TIC

Ofertas de IaaS de Azure

El cumplimiento de la directiva de TIC mediante IaaS de Azure es relativamente sencillo porque los clientes de Azure administran su propio enrutamiento de red virtual.

El requisito principal para ayudar a garantizar el cumplimiento de la arquitectura de referencia de TIC 2.0 es asegurarse de que la red virtual es una extensión privada de la red de agencias. Para ser una extensión privada, la directiva requiere que no se permita que ningún tráfico salga de la red, excepto a través de la conexión de red TIC local. Este proceso se conoce como tunelización forzada. Para el cumplimiento de TIC 2.0, el proceso enruta todo el tráfico desde cualquier sistema del entorno CSP a través de una puerta de enlace local en la red de una organización hacia Internet a través de TIC.

El cumplimiento de TIC de IaaS de Azure se divide en dos pasos principales:

  • Paso 1: Configuración
  • Paso 2: Auditoría

Cumplimiento de TIC de IaaS de Azure: Configuración

Para configurar una arquitectura compatible con TIC con Azure, primero debe evitar el acceso directo a Internet a la red virtual y, a continuación, forzar el tráfico de Internet a través de la red local.

Impedir el acceso directo a Internet

Las redes IaaS de Azure se realizan a través de redes virtuales que se componen de subredes a las que están asociadas las tarjetas de interfaz de red (NIC) de las máquinas virtuales.

El escenario más sencillo para admitir el cumplimiento de TIC es asegurarse de que una máquina virtual o una colección de máquinas virtuales no se puede conectar a ningún recurso externo. Puede asegurar la desconexión de redes externas mediante grupos de seguridad de red. Use grupos de seguridad de red para controlar el tráfico a una o varias NIC o subredes de la red virtual. Un grupo de seguridad de red contiene reglas de control de acceso que permiten o deniegan el tráfico en función de la dirección del tráfico, el protocolo, la dirección de origen y el puerto, y la dirección y el puerto de destino. Puede cambiar las reglas de un grupo de seguridad de red en cualquier momento y los cambios se aplican a todas las instancias asociadas. Para más información sobre cómo crear un grupo de seguridad de red, consulte Filtrado del tráfico de red con un grupo de seguridad de red.

Forzar el tráfico de Internet a través de una red local

Azure crea automáticamente rutas del sistema y asigna las rutas a cada subred de una red virtual. No puede crear ni quitar rutas del sistema, pero puede invalidar las rutas del sistema con rutas personalizadas. Azure crea rutas del sistema predeterminadas para cada subred. Azure agrega rutas predeterminadas opcionales a subredes específicas o a cada subred cuando se usan funcionalidades específicas de Azure. Este tipo de enrutamiento garantiza:

  • El tráfico destinado a la red virtual permanece dentro de la red virtual.
  • Autoridad de Asignación de Números de Internet (IANA): se eliminan los espacios de direcciones privadas designados como 10.0.0.0/8, a menos que se incluyan en el espacio de direcciones de la red virtual.
  • Último recurso enrutamiento de 0.0.0.0/0 al punto de conexión de Internet de la red virtual.

Tunelización forzada de TIC

Todo el tráfico que sale de la red virtual debe enrutarse a través de la conexión local, para asegurarse de que todo el tráfico atraviesa el TIC de la agencia. Las rutas personalizadas se crean mediante la creación de rutas definidas por el usuario o mediante el intercambio de rutas del Protocolo de puerta de enlace de borde (BGP) entre la puerta de enlace de red local y una puerta de enlace de VPN de Azure.

Adición de rutas definidas por el usuario

Si usa una puerta de enlace de red virtual basada en rutas, puede usar la tunelización forzada en Azure. Agregue una ruta definida por el usuario que establezca el tráfico 0.0.0.0/0 para enrutar a un próximo salto de la puerta de enlace de red virtual. Azure prioriza las rutas definidas por el usuario en las rutas definidas por el sistema. Todo el tráfico de red no virtual se envía a la puerta de enlace de red virtual, que luego puede enrutar el tráfico a un entorno local. Después de definir la ruta definida por el usuario, asocie la ruta a subredes existentes o nuevas subredes dentro de todas las redes virtuales del entorno de Azure.

Rutas definidas por el usuario y TIC

Uso del Protocolo de puerta de enlace de borde

Si usa ExpressRoute o una puerta de enlace de red virtual habilitada para BGP, BGP es el mecanismo preferido para las rutas de publicidad. Para una ruta anunciada de BGP de 0.0.0.0/0, ExpressRoute y puertas de enlace de red virtual compatibles con BGP garantizan que la ruta predeterminada se aplica a todas las subredes de las redes virtuales.

Cumplimiento de TIC de IaaS de Azure: Auditoría

Azure ofrece varias maneras de auditar el cumplimiento de TIC.

Visualización de rutas eficaces

Confirme la propagación de rutas predeterminada mediante la observación de las rutas efectivas para una máquina virtual determinada, una NIC específica o una tabla de rutas definida por el usuario en Azure Portal o en Azure PowerShell . Las Rutas efectivas muestran las rutas definidas por el usuario pertinentes, las rutas anunciadas por BGP y las rutas del sistema que se aplican a la entidad pertinente, tal como se muestra en la ilustración siguiente:

Rutas eficaces

Nota:

No puede ver las rutas efectivas de una NIC, a menos que la NIC esté asociada a una máquina virtual en ejecución.

Uso de Azure Network Watcher

Network Watcher ofrece varias herramientas para auditar el cumplimiento de TIC. Para más información, consulte Introducción a Azure Network Watcher.

Capture registros de flujo del grupo de seguridad de red

Use Network Watcher para capturar los registros de flujo de red que indican los metadatos que rodean el tráfico IP. Los registros de flujo de red contienen las direcciones de origen y destino de los destinos y otros datos. Puede usar estos datos con registros de la puerta de enlace de red virtual, dispositivos perimetrales locales o TIC para supervisar que todo el tráfico enruta de forma local.

Ofertas de PaaS de Azure

Los servicios PaaS de Azure, como Azure Storage, son accesibles a través de una dirección URL accesible desde Internet. Cualquier persona con credenciales aprobadas puede acceder al recurso, como una cuenta de almacenamiento, desde cualquier ubicación sin atravesar un TIC. Por este motivo, muchos clientes gubernamentales concluyen incorrectamente que los servicios PaaS de Azure no son compatibles con las directivas de TIC 2.0. Sin embargo, muchos servicios PaaS de Azure pueden ser compatibles con la directiva TIC 2.0. Un servicio es compatible cuando la arquitectura es la misma que el entorno IaaS compatible con TIC (que se describió anteriormente) y el servicio está asociado a una red virtual de Azure.

Cuando los servicios PaaS de Azure se integran con una red virtual, el servicio es accesible de forma privada desde esa red virtual. Puede aplicar el enrutamiento personalizado para 0.0.0.0/0 a través de rutas definidas por el usuario o BGP. El enrutamiento personalizado garantiza que todo el tráfico enlazado a Internet enrute en el entorno local para atravesar el TIC. Integre los servicios de Azure en redes virtuales mediante los siguientes patrones:

  • Implementación de una instancia dedicada de un servicio: Un número creciente de servicios PaaS se pueden implementar como instancias dedicadas con puntos de conexión conectados a la red virtual, a veces denominada Inyección de red virtual. Puede implementar una instancia de App Service Environment en modo aislado para permitir que el punto de conexión de red se restrinja a una red virtual. A continuación, App Service Environment puede hospedar muchos servicios PaaS de Azure, como Web Apps, API Management y Functions. Para más información, consulte Implementación de servicios de Azure dedicados en redes virtuales.
  • Usar puntos de conexión de servicio de red virtual: Un número creciente de servicios PaaS permite mover su punto de conexión a una dirección IP privada de red virtual en lugar de una dirección pública. Para obtener más información, consulte Puntos de conexión de servicio de Virtual Network.
  • Uso de Azure Private Link: Proporcione un servicio compartido con un punto de conexión privado en la red virtual. El tráfico entre la red virtual y el servicio viaja a través de la red troncal de Microsoft y no atraviesa la red pública de Internet. Para más información, consulte Azure Private Link.

Detalles de integración de red virtual

En el diagrama siguiente se muestra el flujo de red general para el acceso a los servicios PaaS de Azure. El acceso se muestra desde la inserción de red virtual y la tunelización del servicio de red virtual. Para más información sobre las puertas de enlace de servicio de red, las redes virtuales y las etiquetas de servicio, consulteEtiquetas de servicio de red virtual.

Opciones de conectividad de PaaS para TIC

  1. Una conexión privada se realiza a Azure mediante ExpressRoute. El emparejamiento privado de ExpressRoute con tunelización forzada se usa para forzar todo el tráfico de red virtual del cliente a través de ExpressRoute y volver a un entorno local. No se requiere el emparejamiento de Microsoft.
  2. Azure VPN Gateway, cuando se usa con ExpressRoute y el emparejamiento de Microsoft, puede superponer el cifrado IPsec de un extremo a otro entre la red virtual del cliente y el perímetro local.
  3. La conectividad de red a la red virtual del cliente se controla mediante grupos de seguridad de red que permiten a los clientes permitir o denegar el tráfico en función de IP, puerto y protocolo.
  4. El tráfico hacia y desde la red virtual privada del cliente se supervisa a través de Azure Network Watcher y los datos se analizan mediante Log Analytics y Microsoft Defender for Cloud.
  5. La red virtual del cliente se extiende al servicio PaaS mediante la creación de un punto de conexión de servicio para el servicio del cliente.
  6. El punto de conexión de servicio de PaaS está protegido para denegar todo de manera predeterminada y permitir solo el acceso desde subredes especificadas dentro de la red virtual del cliente. La protección de los recursos de servicio en una red virtual proporciona una seguridad mejorada mediante la eliminación completa del acceso público a Internet a los recursos y la habilitación del tráfico solo desde la red virtual.
  7. Otros servicios de Azure que necesitan acceder a los recursos dentro de la red virtual del cliente deben ser:
    • Se implementa directamente en la red virtual, o
    • Se permite de forma selectiva en función de las instrucciones del servicio de Azure correspondiente.

Opción A: Implementación de una instancia dedicada de un servicio (inyección de red virtual)

La inserción de red virtual permite a los clientes implementar de forma selectiva instancias dedicadas de un servicio de Azure determinado, como HDInsight, en su propia red virtual. Las instancias de servicio se implementan en una subred dedicada en la red virtual de un cliente. La inyección de red virtual permite el acceso a los recursos de servicio a través de las direcciones enrutables que no son de Internet. Las instancias locales usan ExpressRoute o una VPN de sitio a sitio para acceder directamente a las instancias de servicio a través del espacio de direcciones de red virtual, en lugar de abrir un firewall en el espacio de direcciones de Internet público. Cuando se adjunta una instancia dedicada a un punto de conexión, puede usar las mismas estrategias que para el cumplimiento de TIC de IaaS. El enrutamiento predeterminado garantiza que el tráfico enlazado a Internet se redirija a una puerta de enlace de red virtual enlazada para el entorno local. Puede controlar aún más el acceso entrante y saliente a través de grupos de seguridad de red para la subred especificada.

Introducción a la inyección de red virtual

Opción B: Uso de puntos de conexión de servicio de red virtual (túnel de servicio)

Un número creciente de servicios multiinquilino de Azure ofrecen puntos de conexión de servicio. Los puntos de conexión de servicio son un método alternativo para la integración en redes virtuales de Azure. Los puntos de conexión de servicio de red virtual amplían el espacio de direcciones IP de la red virtual y la identidad de la red virtual al servicio a través de una conexión directa. El tráfico de la red virtual al servicio de Azure siempre permanece dentro de la red troncal de Azure.

Después de habilitar un punto de conexión de servicio para un servicio, use directivas expuestas por el servicio para restringir las conexiones del servicio a esa red virtual. El servicio Azure aplica las comprobaciones de acceso en la plataforma. Solo se concede acceso a un recurso bloqueado si la solicitud se origina en la red virtual o subred permitida, o desde las dos direcciones IP que se usan para identificar el tráfico local si usa ExpressRoute. Use este método para evitar que el tráfico entrante o saliente salga directamente del servicio PaaS.

Introducción a los puntos de conexión de servicio

Puede usar Azure Private Link para acceder a los servicios PaaS de Azure y a los servicios de cliente o asociados hospedados en Azure a través de un punto de conexión privado de la red virtual, lo que garantiza que el tráfico entre la red virtual y el servicio viaja a través de la red troncal global de Microsoft. Este enfoque elimina la necesidad de exponer el servicio a la red pública de Internet. También puede crear su propio servicio de vínculo privado en su propia red virtual y entregarlo a sus clientes.

El punto de conexión privado de Azure es una interfaz de red que le conecta de forma privada y segura a un servicio con tecnología de Azure Private Link. El punto de conexión privado usa una dirección IP privada de la red virtual, lo que aporta eficazmente el servicio a la red virtual.

Herramientas para el reconocimiento de la situación de red

Azure proporciona herramientas nativas de la nube para ayudar a asegurarse de que tiene el conocimiento de la situación necesario para comprender los flujos de tráfico de la red. Las herramientas no son necesarias para el cumplimiento de la directiva TIC. Sin embargo, las herramientas pueden mejorar enormemente sus funcionalidades de seguridad.

Azure Policy

Azure Policy es un servicio de Azure que proporciona a su organización una mejor capacidad de auditar y aplicar las iniciativas de cumplimiento. Ahora puede planear y probar las reglas de Azure Policy para garantizar el cumplimiento futuro de TIC.

Azure Policy está dirigido al nivel de suscripción. El servicio proporciona una interfaz centralizada en la que puede realizar tareas de cumplimiento, entre las que se incluyen:

  • Administración de iniciativas
  • Configuración de definiciones de directiva
  • Auditar cumplimiento
  • Exigir el cumplimiento
  • Administrar excepciones

Junto con muchas definiciones de directivas integradas, los administradores pueden definir sus propias definiciones personalizadas mediante plantillas JSON sencillas. Microsoft recomienda la priorización de la auditoría sobre la aplicación, siempre que sea posible.

Análisis de tráfico de Network Watcher

Network Watcher análisis de tráfico consumir datos de registro de flujo y otros registros para proporcionar información general de alto nivel sobre el tráfico de red. Los datos son útiles para auditar el cumplimiento de TIC e identificar puntos de problemas. Puede usar el panel de alto nivel para mostrar rápidamente las máquinas virtuales que se comunican con Internet y obtener una lista centrada para el enrutamiento de TIC.

Análisis de tráfico de Network Watcher

Use el mapa geográfico para identificar rápidamente los destinos físicos probables del tráfico de Internet para las máquinas virtuales. Puede identificar y evaluar las ubicaciones sospechosas o los cambios de patrón:

Mapa geográfico

Use la Topología de redes virtuales para analizar rápidamente las redes virtuales existentes:

Mapa de topología de red

Pruebas de próximo salto de Network Watcher

Las redes en regiones supervisadas por Network Watcher pueden realizar pruebas de próximo salto. En Azure Portal, puede especificar un origen y un destino para un flujo de red de ejemplo para que Network Watcher resuelva el destino del próximo salto. Ejecute esta prueba en máquinas virtuales y direcciones de Internet de ejemplo para asegurarse de que el destino del próximo salto es la puerta de enlace virtual de red esperada.

Pruebas de próximo salto

Conclusiones

Puede configurar fácilmente el acceso a la red para ayudar a cumplir las instrucciones de TIC 2.0 y usar la compatibilidad de Azure con los requisitos de NIST CSF y NIST SP 800-53 para abordar los requisitos de TIC 3.0.

Pasos siguientes

  • Last updated on