AZ-305

Deep Dive

D4 · Infraestructura

Seguridad y Entrega de Red

La matriz de balanceadores (global vs regional × HTTP vs no-HTTP) es de las preguntas más fiables del AZ-305. Más Azure Firewall vs NSG, WAF y DDoS Protection.

Icon-networking-62

Los 4 balanceadores — la matriz

HTTP/S (L7)No-HTTP (L4)
Global (multi-región)Azure Front Door
Anycast, CDN, WAF, TLS edge, failover instantáneo
Traffic Manager
DNS-based, cualquier protocolo, failover sujeto a TTL
RegionalApplication Gateway
L7: path/host routing, WAF, TLS termination, cookie affinity, AGIC para AKS
Azure Load Balancer
L4 TCP/UDP, latencia ultra baja, HA ports, interno o público, zone-redundant

Cómo decidir en 2 preguntas

¿El tráfico es HTTP/S? Sí → Front Door (global) o App Gateway (regional). No (TCP/UDP, SQL, RDP, juegos) → Traffic Manager (global) o Load Balancer (regional). ¿Una región o varias? decide la fila.

Icon-networking-84

Azure Firewall y NSGs

NSG (Network Security Group)

  • Filtro stateful L3/L4 en subnet/NIC — gratis
  • Reglas por IP/puerto/service tags/ASGs
  • Application Security Groups: reglas por rol de servidor (web, db) sin IPs
  • Microsegmentación dentro de la VNet
  • No inspecciona contenido ni filtra por FQDN (salvo tags)

Azure Firewall

  • Firewall PaaS stateful CENTRALIZADO, zone-redundant, autoescalable
  • Filtrado por FQDN, FQDN tags, SNAT/DNAT
  • Standard: + threat intelligence (bloquea IPs/dominios maliciosos)
  • Premium: + TLS inspection, IDPS, URL filtering, web categories
  • Firewall Policy + Firewall Manager para gestión multi-hub

No compiten: se usan JUNTOS

Defensa en profundidad: Firewall en el hub para tráfico norte-sur y este-oeste + NSGs en las subnets para microsegmentación. "Permitir solo salida a *.windowsupdate.com" → Firewall (FQDN). "Solo la subnet web habla con la subnet db por 1433" → NSG.

Icon-362Artboard 1

WAF y protección DDoS

Web Application Firewall

  • • Protege apps web de OWASP Top 10: SQLi, XSS, etc. (managed rules + custom)
  • • Se despliega EN: Front Door (edge global) o Application Gateway v2 (regional)
  • • Modos: Detection (log) → Prevention (bloquea)
  • • Bot protection, rate limiting (Front Door WAF), geo-filtering

DDoS Protection

  • Infrastructure protection: gratis, automático, para toda Azure
  • Network Protection: de pago — tuning adaptativo por recurso, telemetría/alertas, rapid response team, protección de costos
  • IP Protection: por IP pública individual (más barato)
  • • Señal: "mitigación DDoS con SLA, métricas y soporte de respuesta" → Network Protection

Diseños de entrada combinados

EscenarioCadena
Web multi-región con WAF y CDNFront Door (WAF) → App Service / App Gateway regional → backends
App regional de 3 capasApp Gateway WAF → web tier → Internal LB → app tier → DB
AKS con ingress gestionadoApp Gateway for Containers (o AGIC) → pods
Solo aceptar tráfico que pasó por Front DoorApp Gateway/NSG filtrando service tag AzureFrontDoor.Backend + header X-Azure-FDID
SQL Server en VMs con listenerInternal Load Balancer (HA ports) frente al Always On AG
Juego online UDP globalTraffic Manager → Load Balancer público regional

Tabla de decisión

RequisitoServicio
Web en 3 regiones, failover rápido, aceleración y WAFAzure Front Door (Premium con Private Link a backends)
Routing por path /api → pool A, /images → pool B (regional)Application Gateway
Balancear TCP 1433 interno con latencia mínimaInternal Load Balancer
Failover DNS de un servicio no-HTTP entre regionesTraffic Manager (priority)
Egress filtrado por FQDN con threat intelligenceAzure Firewall Standard
Inspección TLS e IDPS del tráficoAzure Firewall Premium
Reglas de red por rol de servidor sin gestionar IPsNSG + Application Security Groups
Proteger del OWASP Top 10WAF (en Front Door o App Gateway)
Telemetría y SLA ante ataques DDoSDDoS Network Protection
RDP/SSH a VMs sin IPs públicasAzure Bastion

¿Entendiste este tema?

Pon a prueba lo que acabas de aprender

Una app web corre en App Service en West Europe y East US. Requisitos: un único punto de entrada global con failover automático en segundos, protección contra inyección SQL y XSS en el edge, aceleración de contenido estático, y que los App Services NO acepten tráfico directo de internet. ¿Qué diseñas?

Inicia sesión para llevar tu progreso.