Redes Azure: VNets, subnets, peering y buenas prácticas de segmentación

La red es la columna vertebral de cualquier arquitectura Azure. Una VNet mal diseñada causa problemas de seguridad, conectividad y escalabilidad difíciles de corregir después. Vale la pena invertir tiempo en el diseño inicial.

Planificación del direccionamiento IP

Defina un plan de direccionamiento no conflictivo con la red on-premises:

Hub VNet:           10.0.0.0/16
  GatewaySubnet:    10.0.0.0/27   (mínimo /27 para VPN Gateway)
  AzureFirewallSubnet: 10.0.1.0/26
  ManagementSubnet: 10.0.2.0/24

Spoke Analytics:    10.1.0.0/16
  WorkloadSubnet:   10.1.0.0/24
  DataSubnet:       10.1.1.0/24
  PrivateEndpoints: 10.1.2.0/24

VNet Peering

az network vnet peering create \
  --name Hub-to-Analytics \
  --resource-group rg-networking \
  --vnet-name vnet-hub \
  --remote-vnet vnet-analytics \
  --allow-vnet-access \
  --allow-forwarded-traffic \
  --use-remote-gateways  # permite usar el VPN Gateway del hub

Network Security Groups (NSGs)

Aplique NSGs en las subnets, no en las NICs individuales (más simple de gestionar). Reglas esenciales:

# Permitir tráfico de gestión desde un bastion
Priority 100: Allow TCP 22,3389 from AzureBastionSubnet
Priority 200: Deny  All Inbound from Internet
Priority 4096: Deny All (regla implícita)

Private Endpoints

Para servicios PaaS (Storage, SQL, Key Vault), use Private Endpoints en lugar de exponer service endpoints públicamente. El tráfico permanece dentro de la VNet.

Conclusión

Una red Hub-Spoke con direccionamiento planificado, NSGs restrictivos y Private Endpoints para PaaS es la base de la seguridad de red en Azure. Constrúyala correctamente desde el inicio — refactorizar redes en producción es costoso y arriesgado.