Analice la seguridad de una máquina virtual con la vista de grupos de seguridad mediante la CLI de Azure
Nota
La API de vista de grupo de seguridad ya no se mantiene y dejará de utilizarse pronto. Use la característica Reglas de seguridad vigentes que proporciona la misma funcionalidad.
La vista de grupos de seguridad devuelve las reglas de seguridad de red configuradas y vigentes que se aplican a una máquina virtual. Esta funcionalidad resulta útil para auditar y diagnosticar los grupos de seguridad de red y las reglas que están configuradas en una máquina virtual para asegurarse de que el tráfico se está permitiendo o denegando correctamente. En este artículo, se muestra cómo recuperar las reglas de seguridad configuradas y vigentes para una máquina virtual mediante la CLI de Azure
Para seguir los pasos de este artículo, es preciso instalar la CLI de Azure para macOS, Linux y Windows.
Antes de empezar
En este escenario, se da por hecho que ya ha seguido los pasos descritos en Creación de una instancia de Network Watcher para crear un monitor de red.
Escenario
El escenario descrito en este artículo recupera las reglas de seguridad configuradas y vigentes para una máquina virtual dada.
Obtención de una máquina virtual
Se necesita una máquina virtual para ejecutar el cmdlet vm list. El comando siguiente muestra las máquinas virtuales de un grupo de recursos:
az vm list -resource-group resourceGroupName
Una vez que conozca la máquina virtual, puede usar el cmdlet vm show para obtener su identificador de recurso:
az vm show -resource-group resourceGroupName -name virtualMachineName
Recuperación de la vista de grupos de seguridad
El siguiente paso es recuperar el resultado de la vista de grupos de seguridad.
az network watcher show-security-group-view --resource-group resourceGroupName --vm vmName
Visualización de los resultados
El ejemplo siguiente es una respuesta reducida de los resultados devueltos. Los resultados muestran todas las reglas de seguridad vigentes y aplicadas en la máquina virtual, clasificadas en los grupos NetworkInterfaceSecurityRules, DefaultSecurityRules y EffectiveSecurityRules.
{
"networkInterfaces": [
{
"id": "/subscriptions/00000000-0000-0000-0000-0000000000000/resourceGroups/{resourceGroupName}/providers/Microsoft.Network/networkInterfaces/{nicName}",
"resourceGroup": "{resourceGroupName}",
"securityRuleAssociations": {
"defaultSecurityRules": [
{
"access": "Allow",
"description": "Allow inbound traffic from all VMs in VNET",
"destinationAddressPrefix": "VirtualNetwork",
"destinationPortRange": "*",
"direction": "Inbound",
"etag": null,
"id": "/subscriptions/00000000-0000-0000-0000-0000000000000/resourceGroups//providers/Microsoft.Network/networkSecurityGroups/{nsgName}/defaultSecurityRules/AllowVnetInBound",
"name": "AllowVnetInBound",
"priority": 65000,
"protocol": "*",
"provisioningState": "Succeeded",
"resourceGroup": "",
"sourceAddressPrefix": "VirtualNetwork",
"sourcePortRange": "*"
}...
],
"effectiveSecurityRules": [
{
"access": "Deny",
"destinationAddressPrefix": "*",
"destinationPortRange": "0-65535",
"direction": "Outbound",
"expandedDestinationAddressPrefix": null,
"expandedSourceAddressPrefix": null,
"name": "DefaultOutboundDenyAll",
"priority": 65500,
"protocol": "All",
"sourceAddressPrefix": "*",
"sourcePortRange": "0-65535"
},
{
"access": "Allow",
"destinationAddressPrefix": "VirtualNetwork",
"destinationPortRange": "0-65535",
"direction": "Outbound",
"expandedDestinationAddressPrefix": [
"10.1.0.0/24",
"168.63.129.16/32"
],
"expandedSourceAddressPrefix": [
"10.1.0.0/24",
"168.63.129.16/32"
],
"name": "DefaultRule_AllowVnetOutBound",
"priority": 65000,
"protocol": "All",
"sourceAddressPrefix": "VirtualNetwork",
"sourcePortRange": "0-65535"
},...
],
"networkInterfaceAssociation": {
"id": "/subscriptions/00000000-0000-0000-0000-0000000000000/resourceGroups/{resourceGroupName}/providers/Microsoft.Network/networkInterfaces/{nicName}",
"resourceGroup": "{resourceGroupName}",
"securityRules": [
{
"access": "Allow",
"description": null,
"destinationAddressPrefix": "*",
"destinationPortRange": "3389",
"direction": "Inbound",
"etag": "W/\"efb606c1-2d54-475a-ab20-da3f80393577\"",
"id": "/subscriptions/00000000-0000-0000-0000-0000000000000/resourceGroups/{resourceGroupName}/providers/Microsoft.Network/networkSecurityGroups/{nsgName}/securityRules/default-allow-rdp",
"name": "default-allow-rdp",
"priority": 1000,
"protocol": "TCP",
"provisioningState": "Succeeded",
"resourceGroup": "{resourceGroupName}",
"sourceAddressPrefix": "*",
"sourcePortRange": "*"
}
]
},
"subnetAssociation": null
}
}
]
}
Pasos siguientes
Visite Automate NSG auditing with Azure Network Watcher Security group view (Automatización de la auditoría de grupos de seguridad de red (NSG) con la vista de grupos de seguridad de Azure Network Watcher) para aprender a automatizar la validación de grupos de seguridad de red.
Para más información sobre las reglas de seguridad que se aplican a los recursos de red, consulte la información general de la vista de grupos de seguridad.