Aplicando NSG, ASG y VMs para reforzar la comunicación segura entre capas de aplicación en Azure
Resumen del proyecto
Este proyecto amplía una arquitectura hub and spoke en Azure incorporando controles de seguridad de red para simular un despliegue seguro de cargas de trabajo. El objetivo fue permitir que los servidores web de frontend y las bases de datos de backend se comuniquen de forma segura, restringiendo al mismo tiempo el tráfico innecesario. Es mi proyecto 19 en Azure y estuvo centrado en Application Security Groups ASG y Network Security Groups NSG.
Objetivos
1. Desplegar VMs en los subredes frontend y backend de app-vnet.
2. Crear y asociar un Application Security Group para los servidores de frontend.
3. Crear y asociar un Network Security Group al subred de backend.
4. Configurar reglas de entrada para permitir tráfico SSH seguro desde el ASG de frontend hacia los servidores de backend.
Diseño de red
La topología se basa en hub and spoke con segmentación en subredes frontend y backend dentro de app-vnet. El perímetro y las rutas se prepararon para escalar con servicios avanzados como Azure Firewall en fases posteriores.
Creación del ASG
Nombre app-frontend-asg. Región East US. Grupo de recursos RG1. Asociación del ASG con VM1 servidor web de frontend para agrupar de forma lógica la función de la carga de trabajo sin depender de direcciones IP.
Creación y asociación del NSG
Nombre app-vnet-nsg. Asociación del NSG al subred de backend en app-vnet para aplicar políticas de filtrado a nivel de subred.
Regla de seguridad de entrada para SSH
Propiedad y Valor
Origen Any
Destino ASG app-frontend-asg
Servicio SSH
Acción Allow
Prioridad 100
Nombre AllowSSH
Resultados y validación
Con la regla anterior, las conexiones SSH hacia hosts del backend solo son posibles desde VMs asociadas al ASG de frontend. No se permite SSH desde otros orígenes, reforzando el principio de mínimo privilegio entre capas de aplicación.
Lecciones clave
ASG simplifica la seguridad agrupando VMs por función en lugar de por IP.
NSG filtra tráfico entrante y saliente a nivel de subred y de NIC, ofreciendo un control granular.
La separación por subredes frontend y backend aporta una capa de defensa esencial.
Combinar ASG con NSG permite políticas escalables, reutilizables y fáciles de mantener.
Próximos pasos
Incorporar Azure Firewall para control centralizado.
Configurar UDRs para encaminar el tráfico a través del firewall.
Desplegar una aplicación web de ejemplo y una base de datos para pruebas end to end.
Conclusión
Este ejercicio profundiza en aislamiento y seguridad de red en Azure, y refuerza habilidades prácticas valiosas para certificación y despliegues reales. La combinación de ASG y NSG es una base sólida para proteger aplicaciones por capas, con reglas claras y mantenibles.
Cómo potenciarlo con Q2BSTUDIO
En Q2BSTUDIO ayudamos a empresas a diseñar arquitecturas seguras y de alto rendimiento en la nube, automatizar el despliegue de infraestructuras y proteger cargas de trabajo con buenas prácticas de ciberseguridad. Si estás evaluando una migración o modernización, nuestro equipo puede acompañarte con servicios cloud aws y azure, consultoría DevOps y observabilidad. Conoce más sobre nuestros servicios cloud en Azure y AWS o refuerza tu postura de seguridad con auditorías y pruebas de intrusión en nuestro servicio de ciberseguridad y pentesting.
Además, desarrollamos aplicaciones a medida y software a medida optimizados para la nube, integramos inteligencia artificial e ia para empresas mediante agentes IA, y habilitamos decisiones basadas en datos con servicios inteligencia de negocio y tableros en power bi. Nuestro enfoque combina calidad técnica y rapidez de entrega para acelerar resultados.
Palabras clave recomendadas para posicionamiento
aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA, power bi