¿Qué implica este cambio para su infraestructura?
Uno de los aspectos fundamentales de la configuración de una infraestructura en Azure es la gestión de la conectividad de las máquinas virtuales (VM). En este post, exploraremos el concepto de “acceso saliente predeterminado” y por qué se recomienda deshabilitarlo, especialmente teniendo en cuenta los importantes cambios programados para septiembre de 2025.
¿Qué es el acceso saliente predeterminado en Azure?
En Azure, cuando creamos máquinas virtuales en una red virtual sin definir una conectividad saliente explícita, se les asigna automáticamente una dirección IP pública saliente por defecto. Esta dirección IP permite que los recursos de la VM se conecten a Internet, lo que se conoce como “acceso saliente predeterminado”.
¿Por qué se recomienda deshabilitar el acceso saliente predeterminado?
A pesar de su conveniencia en algunas situaciones, se recomienda deshabilitar el acceso saliente predeterminado por varias razones:
Seguridad por defecto: La filosofía de seguridad de red de confianza cero (o Zero Trust) se basa en no permitir el acceso a Internet de forma predeterminada, lo que reduce la exposición a posibles amenazas.
Métodos Explícitos vs. Implícitos: Es preferible tener métodos explícitos de conectividad al conceder acceso a los recursos de la red virtual, lo que brinda un mayor control y visibilidad sobre el tráfico.
Pérdida de la dirección IP: La dirección IP de acceso saliente predeterminada pertenece a Microsoft y puede cambiar, lo que podría causar problemas en el futuro.
Para garantizar conexiones a Internet más controlables y rastreables, en OSOMCO te explicamos cómo realizar la transición a un método explícito de conectividad pública y deshabilitar el acceso saliente predeterminado:
- Asocie una Puerta de Enlace NAT: Asocie una puerta de enlace NAT a la subred de la máquina virtual.
- Equilibrador de Carga: Asocie un equilibrador de carga estándar configurado con reglas de salida.
- IP Pública Básica: Asocie una IP pública básica a la interfaz de red de la máquina virtual (si solo hay una interfaz de red).
- IP Pública Estándar: Asocie una IP pública estándar a cualquiera de las interfaces de red de la máquina virtual (si hay varias interfaces de red, tener una sola NIC con una IP pública estándar impedirá el acceso saliente predeterminado para la máquina virtual).
- Orquestación Flexible: Use el modo de orquestación flexible para conjuntos de escalado de máquinas virtuales.
Cambios importantes a partir de 2025
A partir del 30 de septiembre de 2025, Microsoft retirará la conectividad de acceso saliente predeterminada para las máquinas virtuales en Azure. Esto significa que las nuevas máquinas virtuales no recibirán automáticamente una dirección IP pública predeterminada para acceder a Internet. En su lugar, todas las nuevas VM que requieran acceso a Internet deberán utilizar métodos de conectividad saliente explícitos.
¿Qué implica este cambio para su infraestructura en Azure?
Para los usuarios de Azure, esto significa que todas las máquinas virtuales recién implementadas requerirán una configuración explícita de conectividad saliente a Internet. Es esencial estar al tanto de esta fecha límite y comenzar a planificar la transición para garantizar que sus cargas de trabajo no se vean afectadas por los cambios en las direcciones IP públicas.
Es importante destacar que las máquinas virtuales existentes que utilizan acceso saliente predeterminado continuarán funcionando después de la fecha de retirada. Sin embargo, se recomienda encarecidamente que realice la transición a un método de salida explícito por varias razones, como la continuidad de las cargas de trabajo, un mayor control sobre la conectividad y el uso de recursos de IP rastreables.
¿Cómo desactivar el acceso saliente predeterminado?
Para deshabilitar el acceso saliente predeterminado y migrar a un método explícito de conectividad pública, existen varias opciones disponibles, como la asociación de una puerta de enlace NAT, el uso de equilibradores de carga o la asignación de IP públicas directamente a las VM.
Estos cambios en la conectividad saliente predeterminada en Azure están diseñados para mejorar la seguridad y el control de sus recursos en un modelo IaaS. Es esencial estar preparado para esta transición antes del 30 de septiembre de 2025, para garantizar un funcionamiento ininterrumpido de sus cargas de trabajo.
