Acceso seguro a cargas de trabajo con redes virtuales de Azure

Aprende a enrutar todo el tráfico saliente de las subredes frontend y backend en Azure a través de Azure Firewall, usando tablas de rutas y buenas prácticas de seguridad.

4 sept 2025 • 4 min de lectura • Equipo Q2BSTUDIO

Inteligencia-Artificial-

Asegurar cargas de trabajo en la nube no consiste solo en proteger aplicaciones, también en controlar cómo fluye el tráfico hacia y desde tu entorno. En este proyecto configuré el enrutamiento de Azure Virtual Network para forzar que todo el tráfico saliente de las cargas de trabajo de aplicación pase por un firewall para inspección y aplicación de políticas.

En este artículo encontrarás el escenario, la arquitectura, los pasos de configuración y los aprendizajes clave. Además, te cuento cómo Q2BSTUDIO puede ayudarte con aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad y servicios cloud AWS y Azure, integrando buenas prácticas de seguridad desde el diseño.

Escenario

Objetivo: aplicar políticas de firewall al tráfico saliente garantizando que el tráfico de las subredes frontend y backend se enrute a través de Azure Firewall.

Requisitos

Una tabla de rutas para la red virtual.

Asociar esa tabla de rutas a las subredes frontend y backend.

Definir una ruta personalizada que envíe todo el tráfico saliente 0.0.0.0/0 a la IP privada del firewall como siguiente salto.

Skilling tasks practicadas

Creación y configuración de una tabla de rutas personalizada en Azure.

Asociación de tablas de rutas a subredes específicas.

Adición de una ruta que obligue el tráfico saliente a atravesar un firewall.

Arquitectura

Una red virtual con subred frontend, subred backend, un Azure Firewall y una tabla de rutas vinculada a ambas subredes para forzar el tráfico saliente a través del firewall.

Paso 1 Registrar la IP privada del firewall

En el portal de Azure, abre el recurso del firewall de la VNet. En la vista de información general copia la dirección IP privada. La necesitarás como siguiente salto en la tabla de rutas.

Paso 2 Crear la tabla de rutas

En el portal busca Route tables y selecciona Crear.

Completa los campos: Grupo de recursos RG1. Región East US. Nombre app-vnet-firewall-rt. Revisa y crea el recurso.

Paso 3 Asociar la tabla de rutas a las subredes

Abre la tabla de rutas app-vnet-firewall-rt. En Configuración Subnets selecciona Asociar. Elige la VNet y la subred frontend para asociarla. Repite el proceso y asocia la subred backend.

Paso 4 Crear la ruta que fuerza el tráfico saliente

En la misma tabla de rutas, abre Routes y selecciona Agregar. Configura lo siguiente: Nombre de la ruta outbound-firewall. Tipo de destino Direcciones IP. CIDR de destino 0.0.0.0/0. Tipo de siguiente salto Virtual appliance. Dirección del siguiente salto IP privada del firewall.

Notas y consideraciones

Azure aplica rutas del sistema automáticamente, pero las UDR permiten anularlas para definir caminos específicos.

Encaminar el tráfico saliente a través de una NVA como Azure Firewall centraliza inspección, filtrado por reglas y registro de eventos, clave para ciberseguridad y cumplimiento.

La asociación por subred ofrece control granular del flujo de tráfico, pudiendo aplicar distintas políticas por segmento.

Las tablas de rutas son fundamentales en un diseño de red segura en la nube junto con NSG, Application Gateway, NAT Gateway y políticas de Azure Firewall.

Buenas prácticas adicionales

Valida conectividad con pruebas desde máquinas en cada subred y revisa que el tráfico saliente se origine en la IP pública del firewall si aplicas SNAT.

Complementa con NSG para control de acceso a nivel de puerto y con reglas del Firewall por FQDN o etiquetas de servicio cuando aplique.

Activa diagnóstico y envío de logs del Firewall y de la VNet a Log Analytics para observabilidad y auditoría. Puedes visualizar métricas y eventos con power bi y dashboards operativos.

Cómo te ayudamos desde Q2BSTUDIO

En Q2BSTUDIO diseñamos arquitecturas seguras de red y servicios cloud aws y azure alineadas a mejores prácticas, automatizamos despliegues y consolidamos gobierno y observabilidad. Descubre más sobre nuestros servicios cloud AWS y Azure y cómo integramos controles de seguridad desde el diseño. Si buscas fortalecer la postura de seguridad, pruebas de intrusión o hardening, explora nuestras soluciones de ciberseguridad. Nuestro equipo combina ia para empresas, agentes IA y servicios inteligencia de negocio para acelerar decisiones y orquestar respuestas, siempre con foco en resiliencia.

Conclusiones

Este ejercicio ofrece experiencia práctica en enrutamiento y seguridad en Azure. Configurar rutas definidas por el usuario garantiza que las cargas no eludan el firewall, algo esencial en arquitecturas productivas. ¿Lo habrías hecho de otra manera, por ejemplo con NSG o con Application Gateway como proxy de salida según el caso?

Próximos pasos

Extender el proyecto con monitorización en Azure Monitor, habilitar diagnóstico del firewall y análisis de tráfico permitido y bloqueado. Integrar alertas y tableros, y correlacionar eventos con otras fuentes. Si deseas llevar tu red al siguiente nivel con software a medida, aplicaciones a medida, inteligencia artificial aplicada y ciberseguridad avanzada, hablamos en Q2BSTUDIO.

Palabras clave para ayudarte a encontrar este contenido

aplicaciones a medida, software a medida, inteligencia artificial, ia para empresas, agentes IA, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, power bi

¿UNA PAUSA?

Juega un momento antes de irte

NUESTROS SERVICIOS

Cómo podemos ayudarte

¿Tienes un proyecto en mente?

Cuéntanos tu visión y la convertimos en una solución de software. Sea cual sea el alcance, hacemos realidad tu idea.