Configuración de grupos de seguridad de red con etiquetas en Windows Admin Center
Se aplica a: Azure Stack HCI, versiones 23H2 y 22H2
En este artículo se describe cómo configurar grupos de seguridad de red con etiquetas de seguridad de red en Windows Admin Center.
Con las etiquetas de seguridad de red, puede crear etiquetas personalizadas definidas por el usuario, adjuntarlas a las interfaces de red de la máquina virtual (VM) y aplicar directivas de acceso de red (con grupos de seguridad de red) basadas en estas etiquetas.
Simplificación de la seguridad con etiquetas de seguridad de red
Los grupos de seguridad de red permiten configurar directivas de acceso basadas en construcciones de red como prefijos de red y subredes. Por ejemplo, si desea restringir la comunicación entre las máquinas virtuales del servidor web y las máquinas virtuales de base de datos, debe identificar las subredes de red correspondientes y crear una directiva para denegar la comunicación entre esas subredes. Sin embargo, hay algunas limitaciones con este enfoque:
Las directivas de seguridad están vinculadas a construcciones de red, lo que significa que debe saber qué aplicaciones residen en segmentos de red específicos. Comprender la infraestructura y la arquitectura de red son cruciales.
Al compilar directivas para aplicaciones, es posible que quiera reutilizarlas en diferentes escenarios. Por ejemplo, si la aplicación web de producción solo se puede acceder a través del puerto 80 desde Internet y no se puede acceder a ellas en otras aplicaciones de producción u otros entornos, tendría una directiva similar para cualquier nueva aplicación. Sin embargo, con la segmentación de red, es necesario volver a crear directivas debido a elementos de red únicos para cada aplicación.
Si retira una aplicación antigua y aprovisiona una nueva dentro del mismo segmento de red, se requieren ajustes de directiva.
Con la característica de etiquetas de seguridad de red, ya no es necesario realizar un seguimiento de los segmentos de red en los que se hospedan las aplicaciones. Esto simplifica la administración de directivas y evita las complejidades asociadas a las construcciones de red. Vamos a reconsiderar el ejemplo con máquinas virtuales de base de datos y servidor web: etiquete las máquinas virtuales correspondientes con etiquetas de seguridad de red "Web" y "Base de datos" y, a continuación, cree una regla para restringir la comunicación entre las etiquetas "Web" y "Base de datos".
Creación de grupos de seguridad de red basados en etiquetas de seguridad de red
Para crear grupos de seguridad de red basados en etiquetas de seguridad de red, siga estos pasos:
Asigne una etiqueta de seguridad de red a una máquina virtual.
Cree una regla de seguridad de red para el grupo de seguridad de red.
Creación de etiquetas de seguridad de red
En la pantalla principal de Windows Admin Center, en Todas las conexiones, seleccione el clúster en el que desea crear el grupo de seguridad de red.
En Herramientas, desplácese hacia abajo hasta el área Redes y seleccione Grupos de seguridad de red.
En Grupos de seguridad de red, seleccione la pestaña Etiquetas de seguridad de red y, a continuación, seleccione Nuevo.
En el panel Crear etiqueta de seguridad de red, escriba un nombre para la etiqueta de seguridad de red en el campo Nombre .
(Opcional) En el campo Tipo , escriba un tipo para la etiqueta. Este campo es útil si desea clasificar etiquetas para facilitar la administración. Por ejemplo, puede tener etiquetas diferentes con el mismo tipo "Application", como SQL, Web, IOT, Sensor, etc.
Seleccione Submit (Enviar).
Asignación de una etiqueta de seguridad de red a una máquina virtual
Puede asignar una etiqueta de seguridad de red a una máquina virtual al crear una nueva máquina virtual o después al cambiar las propiedades de una máquina virtual existente.
Asignación de una etiqueta de seguridad de red durante la creación de la máquina virtual
Para obtener instrucciones paso a paso sobre cómo crear una nueva máquina virtual, consulte Creación de una nueva máquina virtual.
Para asignar una etiqueta de seguridad de red al crear una nueva máquina virtual:
En la página principal de Windows Admin Center, en Todas las conexiones, seleccione el servidor o clúster en el que desea crear la máquina virtual.
En Herramientas, desplácese hacia abajo y seleccione Máquinas virtuales.
En Máquinas virtuales, seleccione la pestaña Inventario , seleccione Agregar y, a continuación, seleccione Nuevo.
En Nueva máquina virtual, escriba un nombre para la máquina virtual.
Escriba otras propiedades para la máquina virtual.
En Red, seleccione la etiqueta de seguridad de red que creó anteriormente en Crear etiqueta de seguridad de red.
Seleccione Crear.
Asignación de una etiqueta de seguridad de red a una máquina virtual existente
Puede asignar una etiqueta de seguridad de red a una máquina virtual existente cambiando su configuración. Para obtener instrucciones detalladas sobre cómo cambiar la configuración de la máquina virtual, consulte Cambio de la configuración de la máquina virtual.
En Herramientas, desplácese hacia abajo hasta el área Redes y seleccione Máquinas virtuales.
Seleccione la pestaña Inventario, seleccione una máquina virtual y, a continuación, seleccione Configuración.
En la página Configuración, seleccione Redes.
En la sección Etiqueta de seguridad de red, seleccione Agregar etiqueta de seguridad de red, seleccione la etiqueta de seguridad de red que creó anteriormente, en Crear etiqueta de seguridad de red.
Seleccione Guardar configuración de red.
Crear un grupo de seguridad de red
En la pantalla principal de Windows Admin Center, en Todas las conexiones, seleccione el clúster en el que desea crear el grupo de seguridad de red.
En Herramientas, desplácese hacia abajo hasta el área Redes y seleccione Grupos de seguridad de red.
En Grupos de seguridad de red, seleccione la pestaña Inventario y, a continuación, seleccione Nuevo.
En el panel Grupos de seguridad de red, escriba un nombre para el grupo de seguridad de red y, a continuación, seleccione Enviar.
En Grupos de seguridad de red, compruebe que el estado de aprovisionamiento del nuevo grupo de seguridad de red muestra Correcto.
Creación de una regla de grupo de seguridad de red
Después de crear un grupo de seguridad de red, está listo para crear reglas de grupo de seguridad de red. Si desea aplicar reglas de grupo de seguridad de red al tráfico entrante y saliente, debe crear dos reglas.
En la pantalla principal de Windows Admin Center, en Todas las conexiones, seleccione el clúster en el que desea crear el grupo de seguridad de red.
En Herramientas, desplácese hacia abajo hasta el área Redes y seleccione Grupos de seguridad de red.
En Grupos de seguridad de red, seleccione la pestaña Inventario y, a continuación, seleccione el grupo de seguridad de red que creó anteriormente, en Crear un grupo de seguridad de red.
En Regla de seguridad de red, seleccione Nuevo.
En el panel Regla de seguridad de red de la derecha, proporcione la siguiente información:
Campo Descripción Nombre Nombre de la regla. Prioridad Prioridad de la regla. Los valores aceptables son de 101 a 65000. Un valor inferior representa una prioridad más alta. Tipos Tipo de la regla. Puede ser entrante o saliente. Protocolo Protocolo para que coincida con un paquete entrante o saliente. Los valores aceptables son All (Todos), TCP y UDP. Origen Seleccione Etiqueta de seguridad de red.
Nota: Puede seleccionar un prefijo de dirección o una etiqueta de seguridad de red, pero no ambas.Tipo de etiqueta de seguridad de origen (Opcional) Seleccione un tipo para la etiqueta. Etiqueta de seguridad de origen Seleccione una etiqueta de seguridad de red que creó anteriormente en Crear etiqueta de seguridad de red. Intervalo de puertos de origen Especifique el intervalo de puertos de origen para que coincida con un paquete entrante o saliente. Puede escribir *
para especificar todos los puertos de origen.Destino Seleccione Etiqueta de seguridad de red.
Nota: Puede seleccionar un prefijo de dirección o una etiqueta de seguridad de red, pero no ambas. Origen y Destino pueden ser diferentes.Tipo de etiqueta de seguridad de destino (Opcional) Seleccione un tipo para la etiqueta. Etiqueta de seguridad de destino Seleccione una etiqueta de seguridad de red que creó anteriormente en Crear etiqueta de seguridad de red. Intervalo de puertos de destino Especifique el intervalo de puertos de destino para que coincida con un paquete entrante o saliente. Puede especificar *
para especificar todos los puertos de destino.Acciones Si se cumplen las condiciones anteriores, especifique para permitir o bloquear el paquete. Los valores posibles son Allow (Permitir) y Deny (Rechazar). Logging Especifique para habilitar o deshabilitar el registro de la regla. Si se habilita el registro, todo el tráfico coincidente con esta regla se registra en los equipos host. Seleccione Submit (Enviar).
Aplicación del grupo de seguridad de red
Puede aplicar un grupo de seguridad de red a:
Aplicación del grupo de seguridad de red a una etiqueta de seguridad de red
Cuando se aplica un grupo de seguridad de red a una etiqueta de seguridad de red, las reglas del grupo de seguridad de red de red se aplican a todas las interfaces de red de máquina virtual asociadas a esa etiqueta de seguridad de red.
Para aplicar un grupo de seguridad de red a una etiqueta de seguridad de red a través de Windows Admin Center, siga estos pasos:
En la pantalla principal de Windows Admin Center, en Todas las conexiones, seleccione el clúster en el que desea aplicar el grupo de seguridad de red.
En Herramientas, desplácese hacia abajo hasta el área Redes y seleccione Grupos de seguridad de red.
En Grupos de seguridad de red, seleccione la pestaña Etiquetas de seguridad de red .
Seleccione la etiqueta de seguridad de red que desea editar y, a continuación, seleccione Configuración.
En el panel Editar etiqueta de seguridad de red de la etiqueta seleccionada, seleccione el grupo de seguridad de red que desea aplicar a la etiqueta de seguridad de red.
Seleccione Submit (Enviar).
Pasos siguientes
Para obtener información relacionada, consulte:
Comentarios
https://aka.ms/ContentUserFeedback.
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea:Enviar y ver comentarios de