¿Qué es una NVA?
Una aplicación virtual de red (NVA) es una aplicación virtual que se compone de varias capas como las siguientes:
- un firewall
- un optimizador de WAN
- controladores de entrega de aplicaciones
- enrutadores
- equilibradores de carga
- IDS/IPS
- proxies
Puede implementar NVA que seleccione de proveedores en Azure Marketplace. Estos proveedores incluyen Cisco, Check Point, Barracuda, Sophos, WatchGuard y SonicWall. Puede usar una aplicación virtual de red para filtrar el tráfico de entrada a una red virtual, bloquear solicitudes malintencionadas y bloquear solicitudes realizadas desde recursos inesperados.
En el escenario de ejemplo de la organización comercial, debe trabajar con los equipos de seguridad y de red. Quiere implementar un entorno seguro que examine todo el tráfico entrante y bloquee el tráfico no autorizado para que no pase a la red interna. Como parte de la estrategia de seguridad de red de la empresa, también quiere proteger las redes de máquinas virtuales y las de los servicios de Azure.
El objetivo es impedir que el tráfico de red no seguro o no deseado llegue a los sistemas clave.
Como parte de la estrategia de seguridad de red, debe controlar el flujo de tráfico dentro de la red virtual. También debe conocer el rol de una NVA y la ventaja de usarla para controlar el flujo de tráfico a través de una red de Azure.
Aplicación virtual de red
Las aplicaciones virtuales de red (NVA) son máquinas virtuales que controlan el flujo del tráfico de red mediante el control del enrutamiento. Se suelen usar para administrar el flujo de tráfico desde un entorno de red perimetral a otras redes o subredes.
Puede implementar aplicaciones de firewall en una red virtual con distintas configuraciones. Puede colocar un dispositivo de firewall en una subred de red perimetral en la red virtual o si quiere tener un mayor control de la seguridad, implemente un enfoque de microsegmentación.
Con el enfoque de microsegmentación puede crear subredes dedicadas para el firewall y luego implementar aplicaciones web y otros servicios en otras subredes. Todo el tráfico se enruta a través del firewall y lo inspeccionan las NVA. Habilitará el reenvío en las interfaces de red de aplicaciones virtuales para pasar el tráfico que acepta la subred adecuada.
La microsegmentación permite al firewall inspeccionar todos los paquetes en la capa 4 OSI y, en el caso de las aplicaciones compatibles con aplicaciones, en la capa 7. Al implementar una NVA en Azure, actúa como un enrutador que reenvía las solicitudes entre las subredes de la red virtual.
Algunas NVA requieren varias interfaces de red. Una interfaz de red está dedicada a la red de administración para la aplicación. Las interfaces de red adicionales administran y controlan el procesamiento del tráfico. Una vez implementada la NVA, se puede configurar para enrutar el tráfico a través de la interfaz adecuada.
Rutas definidas por el usuario
En la mayoría de los entornos, las rutas predeterminadas del sistema ya definidas por Azure son suficientes para poner en marcha los entornos. En ciertos casos, hay que crear una tabla de enrutamiento y agregar rutas personalizadas. Algunos ejemplos son:
- Acceso a Internet a través de una red local con tunelización forzada
- Uso de aplicaciones virtuales para controlar el flujo de tráfico
Puede crear varias tablas de rutas en Azure. Cada tabla de enrutamiento se puede asociar con una o más subredes. Una subred solo se puede asociar con una tabla de rutas.
Aplicaciones virtuales de red en una arquitectura de alta disponibilidad
Si el tráfico se enruta a través de una NVA, esta se convierte en una parte fundamental de la infraestructura. Cualquier error de NVA afectará directamente a la capacidad de los servicios para comunicarse. Es importante incluir una arquitectura de alta disponibilidad en la implementación de NVA.
Hay varios métodos para lograr una alta disponibilidad cuando se usan NVA. Al final de este módulo encontrará más información sobre el uso de NVA en escenarios de alta disponibilidad.