Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Se aplica a: Azure Local 2311.2 y versiones posteriores
Se aplica a: Windows Server 2025
En este artículo se describe cómo configurar grupos de seguridad de red con etiquetas de seguridad de red en Windows Admin Center.
Con las etiquetas de seguridad de red, puede crear etiquetas personalizadas definidas por el usuario, adjuntarlas a las interfaces de red de la máquina virtual (VM) y aplicar directivas de acceso de red (con grupos de seguridad de red) basadas en estas etiquetas.
Requisitos previos
Complete los siguientes requisitos previos para usar grupos de seguridad de red con etiquetas:
Tiene instalado el sistema operativo Azure Stack HCI, versión 22H2 o posterior en el sistema. Para más información, consulte Instalación del sistema operativo Azure Stack HCI, versión 23H2.
Tiene instalada una controladora de red. Controladora de red aplica las directivas de red predeterminadas. Para obtener más información, consulte cómo instalar controladora de red.
Tiene una red lógica o una red virtual para usar. Para obtener más información, consulte Creación de una red lógica o Creación de una red virtual.
Tiene una máquina virtual a la que aplicar un grupo de seguridad de red. Para obtener más información, consulte Administración de máquinas virtuales con Windows Admin Center.
Tiene permisos de administrador o equivalentes a los nodos de clúster y la controladora de red.
Tiene Windows Server 2025 o posterior. Para obtener más información, consulte Introducción a Windows Server.
Tiene instalada una controladora de red. Para obtener más información, consulte Implementación de una infraestructura de SDN mediante SDN Express.
Tiene una red lógica o una red virtual para usar. Para obtener más información, consulte Creación de una red lógica o Creación de una red virtual.
Tiene una máquina virtual a la que aplicar un grupo de seguridad de red. Para obtener más información, consulte Administración de máquinas virtuales con Windows Admin Center.
Tiene permisos de administrador o equivalentes a los nodos de clúster y la controladora de red.
Simplificación de la seguridad con etiquetas de seguridad de red
Los grupos de seguridad de red permiten configurar directivas de acceso basadas en construcciones de red como prefijos de red y subredes. Por ejemplo, si desea restringir la comunicación entre las máquinas virtuales del servidor web y las máquinas virtuales de base de datos, debe identificar las subredes de red correspondientes y crear una directiva para denegar la comunicación entre esas subredes. Sin embargo, hay algunas limitaciones con este enfoque:
Las directivas de seguridad están vinculadas a construcciones de red, lo que significa que necesita saber qué aplicaciones residen en segmentos de red específicos. Comprender la infraestructura de red y la arquitectura son cruciales.
Al compilar directivas para aplicaciones, es posible que quiera reutilizarlas en distintos escenarios. Por ejemplo, si tu aplicación web de producción solo se puede acceder a través del puerto 80 desde Internet y no se puede acceder desde otras aplicaciones en producción u otros entornos, establecerías una política similar para cualquier aplicación nueva. Sin embargo, con la segmentación de red, la recreación de directivas se hace necesaria debido a elementos de red únicos para cada aplicación.
Si retira una aplicación antigua e implementa una nueva en el mismo segmento de red, se requieren ajustes de directiva.
Con las etiquetas de seguridad de red, ya no es necesario realizar un seguimiento de los segmentos de red donde se hospedan las aplicaciones. Las etiquetas de seguridad de red simplifican la administración de directivas y evitan las complejidades asociadas a las construcciones de red. Vamos a reconsiderar el ejemplo con máquinas virtuales de base de datos y servidor web: etiquete las máquinas virtuales correspondientes con etiquetas de seguridad de red "Web" y "Base de datos" y, a continuación, cree una regla para restringir la comunicación entre las etiquetas "Web" y "Base de datos".
Creación de grupos de seguridad de red basados en etiquetas de seguridad de red
Para crear grupos de seguridad de red basados en etiquetas de seguridad de red, siga estos pasos:
Cree una o varias etiquetas de seguridad de red.
Asigne una etiqueta de seguridad de red a una máquina virtual.
Cree una regla de seguridad de red para el grupo de seguridad de red.
Aplique el grupo de seguridad de red a una máquina virtual, una subred de red y una etiqueta de seguridad de red.
Creación de etiquetas de seguridad de red
En la pantalla principal de Windows Admin Center, en Todas las conexiones, seleccione el clúster en el que desea crear el grupo de seguridad de red.
En Herramientas, desplácese hacia abajo hasta el área Redes y seleccione Grupos de seguridad de red.
En Grupos de seguridad de red, seleccione la pestaña Etiquetas de seguridad de red y, a continuación, seleccione Nuevo.
En el panel Crear etiqueta de seguridad de red, escriba un nombre para la etiqueta de seguridad de red en el campo Nombre .
(Opcional) En el campo Tipo , escriba un tipo para la etiqueta. Este campo es útil si desea clasificar etiquetas para facilitar la administración. Por ejemplo, puede tener etiquetas diferentes con el mismo tipo "Application", como SQL, Web, IOT, Sensor, etc.
Seleccione Submit (Enviar).
Asignación de una etiqueta de seguridad de red a una máquina virtual
Puede asignar una etiqueta de seguridad de red a una máquina virtual al crear una nueva máquina virtual o después al cambiar las propiedades de una máquina virtual existente.
Asignación de la etiqueta de seguridad de red durante la creación de máquinas virtuales
Para obtener instrucciones paso a paso sobre cómo crear una nueva máquina virtual, consulte Creación de una nueva máquina virtual.
Para asignar una etiqueta de seguridad de red al crear una nueva máquina virtual:
En la página principal de Windows Admin Center, en Todas las conexiones, seleccione el servidor o clúster en el que desea crear la máquina virtual.
En Herramientas, desplácese hacia abajo y seleccione Máquinas virtuales.
En Máquinas virtuales, seleccione la pestaña Inventario , seleccione Agregar y, a continuación, seleccione Nuevo.
En Nueva máquina virtual, escriba un nombre para la máquina virtual.
Escriba otras propiedades para la máquina virtual.
En Red, seleccione la etiqueta de seguridad de red que creó anteriormente, en Crear etiqueta de seguridad de red.
Seleccione Crear.
Asignación de la etiqueta de seguridad de red a una máquina virtual existente
Puede asignar una etiqueta de seguridad de red a una máquina virtual existente cambiando su configuración. Para obtener instrucciones detalladas sobre cómo cambiar la configuración de la máquina virtual, consulte Cambio de la configuración de la máquina virtual.
En Herramientas, desplácese hacia abajo hasta el área Redes y seleccione Máquinas virtuales.
Seleccione la pestaña Inventario, seleccione una máquina virtual y, a continuación, seleccione Configuración.
En la página Configuración, seleccione Redes.
En la sección Etiqueta de seguridad de red, seleccione Agregar etiqueta de seguridad de red, seleccione la etiqueta de seguridad de red que creó anteriormente, en Crear etiqueta de seguridad de red.
Seleccione Guardar configuración de red.
Crear un grupo de seguridad de red
En la pantalla principal de Windows Admin Center, en Todas las conexiones, seleccione el clúster en el que desea crear el grupo de seguridad de red.
En Herramientas, desplácese hacia abajo hasta el área Redes y seleccione Grupos de seguridad de red.
En Grupos de seguridad de red, seleccione la pestaña Inventario y, a continuación, seleccione Nuevo.
En el panel Grupos de seguridad de red, escriba un nombre para el grupo de seguridad de red y seleccione Enviar.
En Grupos de seguridad de red, compruebe que el estado de aprovisionamiento del nuevo grupo de seguridad de red muestra Correcto.
Creación de una regla de grupo de seguridad de red
Después de crear un grupo de seguridad de red, está listo para crear reglas de grupo de seguridad de red. Si desea aplicar reglas de grupo de seguridad de red al tráfico entrante y saliente, debe crear dos reglas.
En la pantalla principal de Windows Admin Center, en Todas las conexiones, seleccione el clúster en el que desea crear el grupo de seguridad de red.
En Herramientas, desplácese hacia abajo hasta el área Redes y seleccione Grupos de seguridad de red.
En Grupos de seguridad de red, seleccione la pestaña Inventario y, a continuación, seleccione el grupo de seguridad de red que creó anteriormente, en Crear un grupo de seguridad de red.
En Regla de seguridad de red, seleccione Nuevo.
En el panel Regla de seguridad de red de la derecha, proporcione la siguiente información:
Campo Descripción Nombre Nombre de la regla. Prioridad Prioridad de la regla. Los valores aceptables son de 101 a 65000. Un valor inferior representa una prioridad más alta. Tipos Tipo de la regla. Este tipo de regla puede ser Entrante o Saliente. Protocolo Protocolo para que coincida con un paquete entrante o saliente. Los valores aceptables son All (Todos), TCP y UDP. Origen Seleccione Etiqueta de seguridad de red.
Nota: Puede seleccionar un prefijo de dirección o una etiqueta de seguridad de red, pero no ambas.Tipo de etiqueta de seguridad de origen (Opcional) Seleccione un tipo para la etiqueta. Etiqueta de seguridad de origen Seleccione una etiqueta de seguridad de red que creó anteriormente, en Crear etiqueta de seguridad de red. Intervalo de puertos de origen Especifique el intervalo de puertos de origen para que coincida con un paquete entrante o saliente. Puede introducir *para especificar todos los puertos de origen.Destino Seleccione Etiqueta de seguridad de red.
Nota: Puede seleccionar un prefijo de dirección o una etiqueta de seguridad de red, pero no ambas. El origen y el destino pueden ser diferentes.Tipo de etiqueta de seguridad de destino (Opcional) Seleccione un tipo para la etiqueta. Etiqueta de seguridad de destino Seleccione una etiqueta de seguridad de red que creó anteriormente, en Crear etiqueta de seguridad de red. Intervalo de puertos de destino Especifique el intervalo de puertos de destino para que coincida con un paquete entrante o saliente. Puede escribir *para especificar todos los puertos de destino.Acciones Si coinciden las condiciones anteriores, especifique para permitir o bloquear el paquete. Los valores posibles son Allow (Permitir) y Deny (Rechazar). Registro Especifique si desea habilitar o deshabilitar el registro de la regla. Si se habilita el registro, todo el tráfico coincidente con esta regla se registra en los equipos host. Seleccione Submit (Enviar).
Aplicación del grupo de seguridad de red
Puede aplicar un grupo de seguridad de red a:
Aplicación del grupo de seguridad de red a una etiqueta de seguridad de red
Al aplicar un grupo de seguridad de red a una etiqueta de seguridad de red, las reglas del grupo de seguridad de red se aplican a todas las interfaces de red de máquina virtual asociadas a esa etiqueta de seguridad de red.
Para aplicar un grupo de seguridad de red a una etiqueta de seguridad de red a través de Windows Admin Center, siga estos pasos:
En la pantalla principal de Windows Admin Center, en Todas las conexiones, seleccione el clúster en el que quiere aplicar el grupo de seguridad de red.
En Herramientas, desplácese hacia abajo hasta el área Redes y seleccione Grupos de seguridad de red.
En Grupos de seguridad de red, seleccione la pestaña Etiquetas de seguridad de red.
Seleccione la etiqueta de seguridad de red que desea editar y, a continuación, seleccione Configuración.
En el panel Editar etiqueta de seguridad de red de la etiqueta seleccionada, seleccione el grupo de seguridad de red que desea aplicar a la etiqueta de seguridad de red.
Seleccione Submit (Enviar).
Pasos siguientes
Para obtener información relacionada, consulte: