Implementación de Arquitectura de Red Resiliente y Aislamiento de Entornos mediante Topología Hub-and-Spoke en Azure Introducción Este proyecto demuestra el despliegue de una infraestructura de red segura y altamente estructurada en la nube bajo los pilares de segmentación perimetral, control de flujo de tráfico y aislamiento de entornos. Utilizando los servicios de Microsoft Azure, se configuró una topología híbrida de tipo Hub-and-Spoke orientada al sector empresarial. Para validar el comportamiento dinámico y las políticas de enrutamiento del sistema, se realizaron pruebas de conectividad ICMP y saltos lógicos de administración vía SSH, forzando la verificación del principio de no-transitividad de los enlaces para garantizar que los entornos críticos de producción y desarrollo permanezcan completamente aislados de forma eficiente y transparente.
- Azure Resource Groups
- Azure Virtual Networks
- Azure VNet Peerings
- Azure Virtual Machines
- Network Security Groups
Topología
Paso-A-Paso
Creación e inicialización del Grupo de Recursos principal denominado RG-HBANDSPK-LAB en la región East US. Este contenedor alojara de forma centralizada todos los componentes de cómputo y conectividad lógica del proyecto
Despliegue y diseño jerárquico de las tres redes de la topología dentro del mismo grupo de recursos para garantizar el orden de la arquitectura.
Subnet-Core: Configuración del direccionamiento base IPv4 10.0.1.0/24 asociado a la red central VNet-Hub.
Subnet-Prod: Segmentación de la red del entorno de producción VNet-Spoke-Prod utilizando el rango IPv4 10.1.1.0/24.
Subnet-Dev: Aislamiento del entorno de desarrollo VNet-Spoke-Dev mediante la asignación del rango IPv4 10.2.1.0/24.
Consolidación y auditoría visual de los espacios de red creados bajo la misma suscripción activa de Azure.
Configuración de los enlaces lógicos de comunicación privada desde el nodo central VNet-Hub. El motor de Azure genera automáticamente el enrutamiento bidireccional correspondiente.
Hub-to-Prod: Acoplamiento directo de la red central con el segmento de producción.
Hub-to-Dev: Acoplamiento directo de la red central con el segmento de desarrollo.
Validación de la conectividad en el portal: La tabla de interconexiones confirma un estado síncrono óptimo de Connected para ambos enlaces lógicos.
Despliegue de la máquina virtual central denominada VM-Hub utilizando una imagen base Linux (Ubuntu Server 24.04 LTS)
Configuración de red de la VM central asignándole una IP pública temporal para que funcione de manera controlada como un Jumpbox de administración.
Despliegue y aprovisionamiento de la instancia aislada VM-Prod dentro de su respectiva subred productiva sin exposición directa a internet (Public IP: None).
Despliegue y aprovisionamiento de la instancia aislada VM-Dev dentro de su subred de desarrollo, manteniendo un esquema de seguridad estricto sin IP pública.
Validación en el panel de cómputo de la ejecución simultánea de los tres nodos (Running) bajo un tamaño optimizado de cómputo.
Acceso remoto seguro al nodo pasarela VM-Hub vía SSH utilizando su interfaz de direccionamiento público y las credenciales del administrador. ssh usuario@iPpublica
Auditoría de direccionamiento interno desde el portal para mapear la IP privada de destino de la zona de producción 10.1.1.4.
Ejecución de la primera prueba ICMP exitosa 0% packet loss verificando que el tráfico fluye de forma nativa desde el Hub hacia la red de producción.
Mapeo complementario de la interfaz privada de desarrollo 10.2.1.5 y validación del tráfico exitoso desde el Hub hacia desarrollo, confirmando la salud de ambos Peerings corporativos.
Se puede ver como desde el hub tenemos ping hacia ambas maquinas, tanto dev como prod.
Ejecución de un salto lógico SSH interno desde la terminal del Hub para autenticarse directamente en la consola privada de la máquina
Validación del Aislamiento Total: Inyección de tráfico ICMP desde la máquina de producción hacia la IP privada de desarrollo. La instrucción arroja un fallo crítico absoluto por Timeout (100% packet loss). Esto constata de forma empírica que el Peering de Azure no es transitivo, demostrando que los entornos de negocio están blindados y aislados con éxito.
