tutoriales.com

Asegurando tu Infraestructura con Azure Firewall: Implementación y Configuración Avanzada

Este tutorial te guiará paso a paso en la implementación y configuración de Azure Firewall, una solución de seguridad de red gestionada. Descubre cómo proteger tus recursos en Azure con políticas de filtrado avanzadas, inspección de tráfico y protección contra amenazas.

Intermedio15 min de lectura7 views
Reportar error

🛡️ Introducción a Azure Firewall: El Guardián de tu Red

En el mundo actual de la computación en la nube, la seguridad es una preocupación primordial. Con la creciente migración de infraestructuras a plataformas como Azure, se hace imperativo contar con herramientas robustas que protejan nuestros recursos. Aquí es donde entra en juego Azure Firewall, un servicio de seguridad de red inteligente y gestionado en la nube que proporciona protección contra amenazas para tus cargas de trabajo en Azure.

Azure Firewall ofrece inspección de tráfico de Capa 3 a Capa 7, filtrado de amenazas basado en inteligencia de amenazas, políticas centralizadas y un alto nivel de escalabilidad. Es el componente central para establecer una arquitectura de red segura, permitiéndote controlar el tráfico de entrada y salida de tus redes virtuales (VNets) y subredes, asegurando que solo el tráfico autorizado alcance tus aplicaciones.

¿Por qué Azure Firewall? 🤔

CaracterísticaDescripciónBeneficio Clave
Alta DisponibilidadIntegrado de forma nativa.No requiere configuración adicional para redundancia.
Escalabilidad AutomáticaSe escala automáticamente para satisfacer la demanda.Sin gestión manual de capacidad.
Políticas CentralizadasControl granular sobre el tráfico de red.Simplifica la gestión de seguridad.
Inteligencia de AmenazasProtección basada en fuentes de Microsoft Cyber Security.Bloquea tráfico malicioso conocido.
Soporte para Zonas de DisponibilidadImplementación en varias zonas.Resistencia a fallos zonales.
NAT de Origen/DestinoModificación de direcciones IP.Permite acceder a recursos internos de forma segura.
🔥 **Importante:** Azure Firewall es un servicio de firewall con estado, lo que significa que rastrea el estado de las conexiones de red (por ejemplo, sesiones TCP) y toma decisiones de filtrado basadas en el contexto de las conexiones.

🚀 Preparando el Terreno: Requisitos Previos

Antes de sumergirnos en la implementación, es crucial asegurar que tenemos todo lo necesario. La configuración de Azure Firewall implica la creación de una red virtual y subredes específicas.

📝 Requisitos:

  • Suscripción de Azure: Necesitarás una suscripción activa de Azure. Si no tienes una, puedes crear una cuenta gratuita.
  • Grupo de Recursos: Un grupo de recursos para organizar todos los recursos relacionados con el firewall.
  • Red Virtual (VNet): Una red virtual con al menos dos subredes:
    • AzureFirewallSubnet: Esta subred es obligatoria y debe llamarse exactamente así. Es donde se implementará el Firewall de Azure. Su tamaño mínimo es /26.
    • Workload-Subnet: Una subred para tus máquinas virtuales o aplicaciones que serán protegidas por el firewall.
📌 **Nota:** El nombre `AzureFirewallSubnet` es un requisito estricto de Azure y el firewall no se podrá desplegar en otra subred con un nombre diferente.
Internet Red Virtual (VNet) AzureFirewallSubnet (/26) Workload-Subnet (/24)

🛠️ Implementación de Azure Firewall Paso a Paso

Ahora que tenemos los requisitos claros, procederemos con la implementación.

Paso 1: Crear el Grupo de Recursos 📂

Lo primero es crear un grupo de recursos donde se alojarán todos nuestros componentes.

  1. Inicia sesión en el Portal de Azure.
  2. En la barra de búsqueda, escribe Grupos de recursos y selecciónalo.
  3. Haz clic en Crear.
  4. Introduce los siguientes detalles:
    • Suscripción: Tu suscripción de Azure.
    • Grupo de recursos: rg-azurefirewall-tutorial
    • Región: Elige una región cercana (ej. East US o West Europe).
  5. Haz clic en Revisar + crear y luego en Crear.
10%

Paso 2: Crear la Red Virtual y Subredes 🌐

Ahora crearemos la VNet y las dos subredes necesarias.

  1. En la barra de búsqueda del Portal de Azure, escribe Redes virtuales y selecciónalo.
  2. Haz clic en Crear.
  3. Introduce los siguientes detalles:
    • Suscripción: Tu suscripción.
    • Grupo de recursos: rg-azurefirewall-tutorial
    • Nombre: vnet-tutorial-firewall
    • Región: La misma que la del grupo de recursos.
  4. Haz clic en Siguiente: Direcciones IP.
  5. Para el espacio de direcciones IPv4, usa 10.0.0.0/16.
  6. Bajo Subredes, haz clic en + Agregar subred y crea la primera subred:
    • Nombre de la subred: AzureFirewallSubnet
    • Rango de direcciones de subred: 10.0.1.0/26 (Asegúrate de que sea al menos /26).
    • Haz clic en Agregar.
  7. Agrega la segunda subred:
    • Haz clic en + Agregar subred de nuevo.
    • Nombre de la subred: Workload-Subnet
    • Rango de direcciones de subred: 10.0.2.0/24
    • Haz clic en Agregar.
  8. Haz clic en Revisar + crear y luego en Crear.
30%

Paso 3: Implementar Azure Firewall 🧱

Con la red virtual lista, es hora de desplegar el firewall.

  1. En la barra de búsqueda del Portal de Azure, escribe Firewalls y selecciónalo.
  2. Haz clic en Crear.
  3. Introduce los siguientes detalles:
    • Suscripción: Tu suscripción.
    • Grupo de recursos: rg-azurefirewall-tutorial
    • Nombre de la instancia de Firewall: azf-tutorial
    • Región: La misma que antes.
    • Nivel de Firewall: Estándar (Para este tutorial. Premium ofrece más características como TLS inspection).
    • Zona de disponibilidad: Selecciona Ninguno para simplificar, o elige zonas para alta disponibilidad.
    • Red virtual: Selecciona vnet-tutorial-firewall.
    • Dirección IP pública: Haz clic en Agregar nuevo.
      • Nombre: pip-azf-tutorial
      • Haz clic en Aceptar.
  4. Haz clic en Revisar + crear y luego en Crear.

La implementación del firewall puede tardar unos minutos (aproximadamente 10-15 minutos). Ten paciencia.

💡 Consejo: Considera el nivel Premium de Azure Firewall si necesitas funcionalidades avanzadas como IDPS, TLS Inspection y Network Threat Intelligence.
60%

Paso 4: Crear una Máquina Virtual de Carga de Trabajo (Opcional, pero recomendado) 🖥️

Para probar el firewall, es útil tener una máquina virtual en la Workload-Subnet.

  1. En la barra de búsqueda, escribe Máquinas virtuales y selecciónalo.
  2. Haz clic en Crear y luego en Máquina virtual de Azure.
  3. Introduce los detalles básicos:
    • Suscripción: Tu suscripción.
    • Grupo de recursos: rg-azurefirewall-tutorial
    • Nombre de la máquina virtual: vm-workload-01
    • Región: La misma que antes.
    • Tipo de seguridad: Estándar
    • Imagen: Windows Server 2019 Datacenter (o cualquier otra imagen de tu elección).
    • Tamaño: Standard B2s (o cualquier otro tamaño compatible).
    • Nombre de usuario: azureuser
    • Contraseña: Una contraseña segura.
    • Puertos de entrada públicos: Ninguno (El firewall se encargará del acceso).
  4. Haz clic en Siguiente: Discos y luego Siguiente: Redes.
  5. Configura las redes:
    • Red virtual: vnet-tutorial-firewall
    • Subred: Workload-Subnet
    • Dirección IP pública: Ninguno
    • Grupo de seguridad de red (NSG): Básico (Permitirá tráfico de RDP dentro de la VNet)
  6. Revisa y crea la VM.
70%

🚦 Configuración de Reglas de Azure Firewall

Una vez implementado, el firewall por sí solo no hace nada; necesita reglas para funcionar. Azure Firewall utiliza colecciones de reglas para permitir o denegar el tráfico. Hay tres tipos principales:

  • Reglas de Red: Basadas en la capa 3 y 4 (protocolo, IP de origen/destino, puerto).
  • Reglas de Aplicación: Basadas en FQDN (nombres de dominio calificados) o etiquetas de servicio de Azure (capa 7).
  • Reglas de FQDN de Red: Permiten el tráfico basado en FQDN para protocolos que no son HTTP/HTTPS (ej. NTP).

También es fundamental configurar las tablas de rutas para que el tráfico de la Workload-Subnet pase a través del firewall.

Paso 5: Crear una Tabla de Rutas y Asociarla a la Subred de Carga de Trabajo 🛣️

Para que el firewall inspeccione el tráfico de la VM, debemos forzar que todo el tráfico saliente de la Workload-Subnet pase a través del firewall.

  1. En la barra de búsqueda del Portal de Azure, escribe Tablas de rutas y selecciónalo.
  2. Haz clic en Crear.
  3. Introduce los detalles:
    • Suscripción: Tu suscripción.
    • Grupo de recursos: rg-azurefirewall-tutorial
    • Región: La misma que la de la VNet.
    • Nombre: rt-to-azf
    • Propagar rutas de puerta de enlace: No (porque queremos controlar las rutas explícitamente).
  4. Haz clic en Revisar + crear y luego en Crear.
  5. Una vez creada la tabla de rutas, ve a ella y haz clic en Rutas en el menú de la izquierda.
  6. Haz clic en + Agregar.
    • Nombre de la ruta: DefaultRouteToFirewall
    • Prefijo de dirección de destino: 0.0.0.0/0 (Todo el tráfico)
    • Tipo de próximo salto: Dispositivo virtual
    • Dirección del próximo salto: Introduce la IP privada del Azure Firewall. Puedes encontrarla en la página de descripción general del firewall (azf-tutorial).
    • Haz clic en Agregar.
  7. Ahora, asocia esta tabla de rutas a la Workload-Subnet.
    • En la tabla de rutas (rt-to-azf), haz clic en Subredes en el menú de la izquierda.
    • Haz clic en + Asociar.
    • Red virtual: vnet-tutorial-firewall
    • Subred: Workload-Subnet
    • Haz clic en Aceptar.
⚠️ Advertencia: Sin esta tabla de rutas, el tráfico de la Workload-Subnet no pasará por el firewall y este no podrá aplicar sus políticas.
80%

Paso 6: Configurar Políticas de Firewall (Reglas de Aplicación y Red) 🔐

Vamos a configurar algunas reglas básicas para permitir el acceso a internet para nuestra VM.

  1. Ve a tu Azure Firewall (azf-tutorial).

  2. En el menú de la izquierda, bajo Configuración, haz clic en Reglas.

  3. Haz clic en la pestaña Colección de reglas de aplicación y luego en + Agregar colección de reglas de aplicación.

    • Nombre: AppCollection-OutboundInternet
    • Prioridad: 100
    • Acción: Permitir
    • Bajo Reglas, agrega una regla:
      • Nombre: AllowGoogle
      • Tipo de origen: Dirección IP
      • Orígenes: 10.0.2.0/24 (la subred de tu VM)
      • Protocolo: puerto: http, https
      • Tipo de destino: FQDN
      • Destinos: www.google.com
    • Haz clic en Agregar.

  4. Ahora, agregaremos una regla de red para permitir la resolución DNS, que es esencial para el funcionamiento de cualquier aplicación.

    • Haz clic en la pestaña Colección de reglas de red y luego en + Agregar colección de reglas de red.
    • Nombre: NetCollection-DNS
    • Prioridad: 200
    • Acción: Permitir
    • Bajo Reglas, agrega una regla:
      • Nombre: AllowDNS
      • Protocolo: UDP
      • Tipo de origen: Dirección IP
      • Orígenes: 10.0.2.0/24
      • Tipo de destino: Dirección IP
      • Direcciones de destino: 20.20.20.20, 8.8.8.8, 8.8.4.4 (Ejemplo de DNS públicos, o IPs de tus servidores DNS internos)
      • Puertos de destino: 53
    • Haz clic en Agregar.
90%

✅ Verificación y Pruebas

Ahora que todo está configurado, es momento de verificar que el firewall funciona como esperamos.

  1. Conéctate a tu máquina virtual vm-workload-01 (vía RDP si es Windows).
  2. Desde la VM, intenta navegar a www.google.com. Debería ser exitoso.
  3. Intenta navegar a otro sitio web que no esté permitido por la regla de aplicación (ej. www.bing.com). Debería ser bloqueado por el firewall. Verás un mensaje de error en el navegador o un tiempo de espera.
  4. Puedes verificar los logs del firewall para ver el tráfico permitido y denegado. Para ello, debes configurar Registros de diagnóstico en tu firewall de Azure y enviarlos a un Log Analytics Workspace.
🔎 **Cómo ver los logs del Firewall (Opcional)** Para ver los logs, navega a tu Azure Firewall en el portal, luego selecciona `Registros de diagnóstico` bajo `Supervisión`. Haz clic en `+ Agregar configuración de diagnóstico`. Asígnale un nombre, selecciona `AzureFirewallLogs` y `AzureFirewallNetworkRule` bajo `Registros`. Elige `Enviar a Log Analytics Workspace` y selecciona un workspace existente o crea uno nuevo. Una vez que los logs estén fluyendo (puede tardar unos minutos), puedes ir a tu Log Analytics Workspace, hacer clic en `Registros` y ejecutar consultas Kusto como `AzureDiagnostics | where ResourceType == "AZUREFIREWALLS"` para ver la actividad del firewall.

🔄 Limpieza de Recursos

Para evitar cargos innecesarios, es una buena práctica eliminar los recursos cuando ya no los necesites.

  1. En el Portal de Azure, ve a Grupos de recursos.
  2. Selecciona el grupo de recursos rg-azurefirewall-tutorial.
  3. Haz clic en Eliminar grupo de recursos.
  4. Escribe el nombre del grupo de recursos para confirmar y haz clic en Eliminar.

Esto eliminará todos los recursos que creamos en este tutorial.

🎯 Conclusión

Azure Firewall es una herramienta fundamental para proteger tus recursos en la nube. Hemos cubierto los pasos esenciales para su implementación y configuración, desde la preparación de la red hasta la creación de reglas de aplicación y red, y la asociación de tablas de rutas. Con estas capacidades, puedes asegurar que tu infraestructura de Azure esté protegida contra amenazas y que solo el tráfico autorizado fluya a través de tus redes.

Al dominar Azure Firewall, no solo mejoras la postura de seguridad de tus despliegues en la nube, sino que también obtienes un control granular sobre el tráfico de red, lo que es esencial para cumplir con las normativas y proteger la información sensible. ¡Sigue explorando sus características avanzadas para llevar la seguridad de tu infraestructura al siguiente nivel!

Tutoriales relacionados

Comentarios (0)

Aún no hay comentarios. ¡Sé el primero!