Configuración de grupos de seguridad de red con etiquetas en Windows Admin Center

Se aplica a: Azure Stack HCI, versiones 23H2 y 22H2

En este artículo se describe cómo configurar grupos de seguridad de red con etiquetas de seguridad de red en Windows Admin Center.

Con las etiquetas de seguridad de red, puede crear etiquetas personalizadas definidas por el usuario, adjuntarlas a las interfaces de red de la máquina virtual (VM) y aplicar directivas de acceso de red (con grupos de seguridad de red) basadas en estas etiquetas.

Simplificación de la seguridad con etiquetas de seguridad de red

Los grupos de seguridad de red permiten configurar directivas de acceso basadas en construcciones de red como prefijos de red y subredes. Por ejemplo, si desea restringir la comunicación entre las máquinas virtuales del servidor web y las máquinas virtuales de base de datos, debe identificar las subredes de red correspondientes y crear una directiva para denegar la comunicación entre esas subredes. Sin embargo, hay algunas limitaciones con este enfoque:

• Las directivas de seguridad están vinculadas a construcciones de red, lo que significa que debe saber qué aplicaciones residen en segmentos de red específicos. Comprender la infraestructura y la arquitectura de red son cruciales.

• Al compilar directivas para aplicaciones, es posible que quiera reutilizarlas en diferentes escenarios. Por ejemplo, si la aplicación web de producción solo se puede acceder a través del puerto 80 desde Internet y no se puede acceder a ellas en otras aplicaciones de producción u otros entornos, tendría una directiva similar para cualquier nueva aplicación. Sin embargo, con la segmentación de red, es necesario volver a crear directivas debido a elementos de red únicos para cada aplicación.

• Si retira una aplicación antigua y aprovisiona una nueva dentro del mismo segmento de red, se requieren ajustes de directiva.

Con la característica de etiquetas de seguridad de red, ya no es necesario realizar un seguimiento de los segmentos de red en los que se hospedan las aplicaciones. Esto simplifica la administración de directivas y evita las complejidades asociadas a las construcciones de red. Vamos a reconsiderar el ejemplo con máquinas virtuales de base de datos y servidor web: etiquete las máquinas virtuales correspondientes con etiquetas de seguridad de red "Web" y "Base de datos" y, a continuación, cree una regla para restringir la comunicación entre las etiquetas "Web" y "Base de datos".

Creación de grupos de seguridad de red basados en etiquetas de seguridad de red

Para crear grupos de seguridad de red basados en etiquetas de seguridad de red, siga estos pasos:

1. Cree una o varias etiquetas de seguridad de red.

2. Asigne una etiqueta de seguridad de red a una máquina virtual.

3. Cree un grupo de seguridad de red.

4. Cree una regla de seguridad de red para el grupo de seguridad de red.

5. Aplique el grupo de seguridad de red a una máquina virtual, subred de red, etiqueta de seguridad de red.

Creación de etiquetas de seguridad de red

1. En la pantalla principal de Windows Admin Center, en Todas las conexiones, seleccione el clúster en el que desea crear el grupo de seguridad de red.

2. En Herramientas, desplácese hacia abajo hasta el área Redes y seleccione Grupos de seguridad de red.

3. En Grupos de seguridad de red, seleccione la pestaña Etiquetas de seguridad de red y, a continuación, seleccione Nuevo.

4. En el panel Crear etiqueta de seguridad de red, escriba un nombre para la etiqueta de seguridad de red en el campo Nombre .

   

5. (Opcional) En el campo Tipo , escriba un tipo para la etiqueta. Este campo es útil si desea clasificar etiquetas para facilitar la administración. Por ejemplo, puede tener etiquetas diferentes con el mismo tipo "Application", como SQL, Web, IOT, Sensor, etc.

6. Seleccione Submit (Enviar).

Asignación de una etiqueta de seguridad de red a una máquina virtual

Puede asignar una etiqueta de seguridad de red a una máquina virtual al crear una nueva máquina virtual o después al cambiar las propiedades de una máquina virtual existente.

Asignación de una etiqueta de seguridad de red durante la creación de la máquina virtual

Para obtener instrucciones paso a paso sobre cómo crear una nueva máquina virtual, consulte Creación de una nueva máquina virtual.

Para asignar una etiqueta de seguridad de red al crear una nueva máquina virtual:

1. En la página principal de Windows Admin Center, en Todas las conexiones, seleccione el servidor o clúster en el que desea crear la máquina virtual.

2. En Herramientas, desplácese hacia abajo y seleccione Máquinas virtuales.

3. En Máquinas virtuales, seleccione la pestaña Inventario , seleccione Agregar y, a continuación, seleccione Nuevo.

4. En Nueva máquina virtual, escriba un nombre para la máquina virtual.

5. Escriba otras propiedades para la máquina virtual.

6. En Red, seleccione la etiqueta de seguridad de red que creó anteriormente en Crear etiqueta de seguridad de red.

   

7. Seleccione Crear.

Asignación de una etiqueta de seguridad de red a una máquina virtual existente

Puede asignar una etiqueta de seguridad de red a una máquina virtual existente cambiando su configuración. Para obtener instrucciones detalladas sobre cómo cambiar la configuración de la máquina virtual, consulte Cambio de la configuración de la máquina virtual.

1. En Herramientas, desplácese hacia abajo hasta el área Redes y seleccione Máquinas virtuales.

2. Seleccione la pestaña Inventario, seleccione una máquina virtual y, a continuación, seleccione Configuración.

3. En la página Configuración, seleccione Redes.

4. En la sección Etiqueta de seguridad de red, seleccione Agregar etiqueta de seguridad de red, seleccione la etiqueta de seguridad de red que creó anteriormente, en Crear etiqueta de seguridad de red.

5. Seleccione Guardar configuración de red.

Crear un grupo de seguridad de red

1. En la pantalla principal de Windows Admin Center, en Todas las conexiones, seleccione el clúster en el que desea crear el grupo de seguridad de red.

2. En Herramientas, desplácese hacia abajo hasta el área Redes y seleccione Grupos de seguridad de red.

3. En Grupos de seguridad de red, seleccione la pestaña Inventario y, a continuación, seleccione Nuevo.

4. En el panel Grupos de seguridad de red, escriba un nombre para el grupo de seguridad de red y, a continuación, seleccione Enviar.

   

5. En Grupos de seguridad de red, compruebe que el estado de aprovisionamiento del nuevo grupo de seguridad de red muestra Correcto.

Creación de una regla de grupo de seguridad de red

Después de crear un grupo de seguridad de red, está listo para crear reglas de grupo de seguridad de red. Si desea aplicar reglas de grupo de seguridad de red al tráfico entrante y saliente, debe crear dos reglas.

1. En la pantalla principal de Windows Admin Center, en Todas las conexiones, seleccione el clúster en el que desea crear el grupo de seguridad de red.

2. En Herramientas, desplácese hacia abajo hasta el área Redes y seleccione Grupos de seguridad de red.

3. En Grupos de seguridad de red, seleccione la pestaña Inventario y, a continuación, seleccione el grupo de seguridad de red que creó anteriormente, en Crear un grupo de seguridad de red.

4. En Regla de seguridad de red, seleccione Nuevo.

5. En el panel Regla de seguridad de red de la derecha, proporcione la siguiente información:

   Campo	Descripción
   Nombre	Nombre de la regla.
   Prioridad	Prioridad de la regla. Los valores aceptables son de 101 a 65000. Un valor inferior representa una prioridad más alta.
   Tipos	Tipo de la regla. Puede ser entrante o saliente.
   Protocolo	Protocolo para que coincida con un paquete entrante o saliente. Los valores aceptables son All (Todos), TCP y UDP.
   Origen	Seleccione Etiqueta de seguridad de red. Nota: Puede seleccionar un prefijo de dirección o una etiqueta de seguridad de red, pero no ambas.
   Tipo de etiqueta de seguridad de origen	(Opcional) Seleccione un tipo para la etiqueta.
   Etiqueta de seguridad de origen	Seleccione una etiqueta de seguridad de red que creó anteriormente en Crear etiqueta de seguridad de red.
   Intervalo de puertos de origen	Especifique el intervalo de puertos de origen para que coincida con un paquete entrante o saliente. Puede escribir * para especificar todos los puertos de origen.
   Destino	Seleccione Etiqueta de seguridad de red. Nota: Puede seleccionar un prefijo de dirección o una etiqueta de seguridad de red, pero no ambas. Origen y Destino pueden ser diferentes.
   Tipo de etiqueta de seguridad de destino	(Opcional) Seleccione un tipo para la etiqueta.
   Etiqueta de seguridad de destino	Seleccione una etiqueta de seguridad de red que creó anteriormente en Crear etiqueta de seguridad de red.
   Intervalo de puertos de destino	Especifique el intervalo de puertos de destino para que coincida con un paquete entrante o saliente. Puede especificar * para especificar todos los puertos de destino.
   Acciones	Si se cumplen las condiciones anteriores, especifique para permitir o bloquear el paquete. Los valores posibles son Allow (Permitir) y Deny (Rechazar).
   Logging	Especifique para habilitar o deshabilitar el registro de la regla. Si se habilita el registro, todo el tráfico coincidente con esta regla se registra en los equipos host.

6. Seleccione Submit (Enviar).

Aplicación del grupo de seguridad de red

Puede aplicar un grupo de seguridad de red a:

• Subred de red virtual
• Subred de red lógica
• Interfaz de red específica
• Etiqueta de seguridad de red

Aplicación del grupo de seguridad de red a una etiqueta de seguridad de red

Cuando se aplica un grupo de seguridad de red a una etiqueta de seguridad de red, las reglas del grupo de seguridad de red de red se aplican a todas las interfaces de red de máquina virtual asociadas a esa etiqueta de seguridad de red.

Para aplicar un grupo de seguridad de red a una etiqueta de seguridad de red a través de Windows Admin Center, siga estos pasos:

1. En la pantalla principal de Windows Admin Center, en Todas las conexiones, seleccione el clúster en el que desea aplicar el grupo de seguridad de red.

2. En Herramientas, desplácese hacia abajo hasta el área Redes y seleccione Grupos de seguridad de red.

3. En Grupos de seguridad de red, seleccione la pestaña Etiquetas de seguridad de red .

4. Seleccione la etiqueta de seguridad de red que desea editar y, a continuación, seleccione Configuración.

5. En el panel Editar etiqueta de seguridad de red de la etiqueta seleccionada, seleccione el grupo de seguridad de red que desea aplicar a la etiqueta de seguridad de red.

   

6. Seleccione Submit (Enviar).

Pasos siguientes

Para obtener información relacionada, consulte:

• ¿Qué es un firewall del centro de datos?
• Configuración de grupos de seguridad de red con Windows Admin Center
• Configuración de grupos de seguridad de red con PowerShell