Compartir a través de

Protección de puertos de red de alto riesgo con reglas de administrador de seguridad en Azure Virtual Network Manager

  • Artículo

En este artículo, aprenderá a bloquear puertos de red de alto riesgo con Azure Virtual Network Manager y reglas de administrador de seguridad. Recorrerá la creación de una instancia de Azure Virtual Network Manager, agrupará las redes virtuales (VNet) con grupos de red y creará e implementará configuraciones de administrador de seguridad para su organización. Implementará una regla de bloqueo general para puertos de alto riesgo. Después, creará una regla de excepción para administrar la red virtual de una aplicación específica mediante grupos de seguridad de red.

Aunque este artículo se centra en un único puerto, SSH, puede proteger cualquier puerto de alto riesgo en su entorno con los mismos pasos. Para más información, revise esta lista de puertos de alto riesgo

Requisitos previos

Implementación del entorno de red virtual

Necesitará un entorno de red virtual que incluya redes virtuales que se puedan separar para permitir y bloquear un tráfico específico. Puede usar la tabla siguiente o su propia configuración de redes virtuales:

Nombre Espacio de direcciones IPv4 subnet
vnetA-gen 10.0.0.0/16 Valor predeterminado: 10.0.0.0/24
vnetB-gen 10.1.0.0/16 Valor predeterminado: 10.1.0.0/24
vnetC-gen 10.2.0.0/16 Valor predeterminado: 10.2.0.0/24
vnetD-app 10.3.0.0/16 Valor predeterminado: 10.3.0.0/24
vnetE-app 10.4.0.0/16 Valor predeterminado: 10.4.0.0/24
  • Coloque todas las redes virtuales en la misma suscripción, región y grupo de recursos.

¿No está seguro de cómo crear una red virtual? Puede encontrar más información en Inicio rápido: Creación de una red virtual mediante Azure Portal.

Creación de una instancia de Virtual Network Manager

En esta sección, implementará una instancia de Virtual Network Manager con la característica Administrador de seguridad de la organización.

  1. Seleccione + Crear un recurso y busque Network Manager. A continuación, seleccione Crear para empezar a configurar Azure Virtual Network Manager.

  2. En la pestaña Aspectos básicos, escriba o seleccione la información de su organización:

    Captura de pantalla de la página Crear un administrador de red en Aspectos básicos.

    Configuración Valor
    Suscripción Seleccione la suscripción en la que desea implementar Azure Virtual Network Manager.
    Resource group Seleccione o cree un grupo de recursos para almacenar Azure Virtual Network Manager. En este ejemplo se usa myAVNMResourceGroup creado anteriormente.
    Nombre Escriba un nombre para esta instancia de Azure Virtual Network Manager. Este ejemplo usa el nombre de myAVNM.
    Region Seleccione la región para esta implementación. Azure Virtual Network Manager puede administrar redes virtuales en cualquier región. La región seleccionada es para donde se implementará la instancia de Virtual Network Manager.
    Descripción (Opcional) Proporcione una descripción sobre esta instancia de Virtual Network Manager y la tarea que está administrando.
    Ámbito Defina el ámbito para el que se puede administrar Azure Virtual Network Manager. En este ejemplo se usa un ámbito de nivel de suscripción.
    Características Seleccione las características que quiere habilitar para Azure Virtual Network Manager. Las características disponibles son Connectivity (Conectividad), SecurityAdmin o Select All (Seleccionar todo).
    Conectividad: permite crear una topología de red en estrella tipo hub-and-spoke completa o de malla entre redes virtuales dentro del ámbito.
    SecurityAdmin: permite crear reglas de seguridad de red globales.

  3. Seleccione Revisar y crear y, a continuación, seleccione Crear una vez superada la validación.

  4. Seleccione Ir al recurso cuando se complete la implementación y revise la configuración del administrador de redes virtuales.

Creación de un grupo de red para todas las redes virtuales

Con el administrador de red virtual creado, ahora se crea un grupo de red que contiene todas las redes virtuales de la organización, y deberá añadir manualmente todas las redes virtuales.

  1. Seleccione Grupos de red, en Configuración.
  2. Seleccione + Crear, escriba un nombre para el grupo de red y seleccione Agregar.
  3. En la página Grupos de red, seleccione el grupo de red que ha creado.
  4. Seleccione Agregar, en Pertenencia estática para agregar manualmente todas las redes virtuales.
  5. En la página Agregar miembros estáticos, seleccione todas las redes virtuales que quiera incluir y seleccione Agregar. Captura de pantalla de la página Agregar miembros estáticos que muestra la selección manual de redes virtuales.

Creación de una configuración de administrador de seguridad para todas las redes virtuales

Es el momento de construir nuestras reglas de administración de seguridad dentro de una configuración para aplicar esas reglas a todas las redes virtuales del grupo de red a la vez. En esta sección, creará una configuración de administrador de seguridad. A continuación, creará una colección de reglas y agregará reglas para puertos de alto riesgo, como SSH o RDP. Esta configuración deniega el tráfico de red a todas las redes virtuales del grupo de red.

  1. Vuelva al recurso del administrador de redes virtuales.

  2. En Parámetros, seleccione Configuración y, después, + Crear.

  3. Seleccione Configuración de seguridad en el menú desplegable.

  4. En la pestaña Aspectos básicos, escriba un Nombre para identificar esta configuración de seguridad y seleccione Siguiente: Recopilaciones de reglas.

    Captura de pantalla del campo de nombre de la configuración de seguridad.

  5. Seleccione + Agregar en la página Agregar una configuración de seguridad.

  6. Escriba un Nombre para identificar esta colección de reglas y, a continuación, seleccione los Grupos de red de destino a los que quiere aplicar el conjunto de reglas. El grupo de destino será el grupo de red que contiene todas las redes virtuales.

    Captura de pantalla del nombre de la colección de reglas y los grupos de red de destino.

Adición de una regla de seguridad para denegar el tráfico de red de alto riesgo

En esta sección, definirá la regla de seguridad para bloquear el tráfico de red de alto riesgo en todas las redes virtuales. Al asignar prioridad, tenga en cuenta las reglas de excepción futuras. Establezca la prioridad para que las reglas de excepción se apliquen a esta regla.

  1. Seleccione + Agregar en Reglas de administrador de seguridad.

    Captura de pantalla del botón para agregar una regla.

  2. Escriba la información necesaria para definir la regla de seguridad y, a continuación, seleccione Agregar para agregar la regla a la colección de reglas.

    Captura de pantalla de la página para agregar una regla.

    Configuración Value
    Nombre Especificar el nombre de la regla.
    Descripción Escriba una descripción sobre la regla.
    Prioridad* Escriba un valor entre 1 y 4096 para determinar la prioridad de la regla. Cuanto menor sea el valor, mayor será la prioridad.
    Acción* Seleccione Denegar para bloquear el tráfico. Para obtener más información, consulte Acciones.
    Dirección* Seleccione Entrante, ya que con esta regla quiere denegar el tráfico entrante.
    Protocolo* Seleccione el protocolo de red del puerto.
    Origen
    Tipo de origen Seleccione el tipo de origen de la dirección IP o las etiquetas de servicio.
    Direcciones IP de origen Este campo aparece al seleccionar el tipo de origen Dirección IP. Escriba una dirección IPv4 o IPv6 o bien un intervalo mediante la notación CIDR. Al definir más de una dirección o bloques de direcciones, sepárelos mediante una coma. Déjelo en blanco para este ejemplo.
    Etiqueta de servicio de origen Este campo aparece al seleccionar el tipo de origen Etiqueta de servicio. Seleccione etiquetas de servicio para los servicios que quiere especificar como origen. Consulte Etiquetas de servicio disponibles para obtener la lista de etiquetas admitidas.
    Puerto de origen Escriba un número de puerto único o un intervalo de puertos como (1024-65535). Al definir más de un puerto o intervalos de puertos, sepárelos mediante una coma. Para especificar cualquier puerto, escriba *. Déjelo en blanco para este ejemplo.
    Destino
    Tipo de destino Seleccione el tipo de destino de la dirección IP o las etiquetas de servicio.
    Direcciones IP de destino Este campo aparece al seleccionar el tipo de destino Dirección IP. Escriba una dirección IPv4 o IPv6 o bien un intervalo mediante la notación CIDR. Al definir más de una dirección o bloques de direcciones, sepárelos mediante una coma.
    Etiqueta de servicio de destino Este campo aparece al seleccionar el tipo de destino Etiqueta de servicio. Seleccione etiquetas de servicio para los servicios que quiere especificar como destino. Consulte Etiquetas de servicio disponibles para obtener la lista de etiquetas admitidas.
    Puerto de destino Escriba un número de puerto único o un intervalo de puertos como (1024-65535). Al definir más de un puerto o intervalos de puertos, sepárelos mediante una coma. Para especificar cualquier puerto, escriba *. Escriba 3389 para este ejemplo.

  3. Repita los pasos del 1 al 3 otra vez si quiere agregar más reglas a la colección de reglas.

  4. Una vez que esté satisfecho con todas las reglas que quería crear, seleccione Agregar para añadir la colección de reglas a la configuración del administrador de seguridad.

    Captura de pantalla de una colección de reglas.

  5. A continuación, seleccione Revisar y crear y Crear para completar la configuración de seguridad.

Implementación de una configuración de administrador de seguridad para bloquear el tráfico de red

En esta sección, las reglas creadas surtirán efecto al implementar la configuración del administrador de seguridad.

  1. Seleccione Implementaciones en Configuración y, después, seleccione Implementar configuración.

    Captura de pantalla del botón para implementar una configuración.

  2. Marque la casilla de Incluir administrador de seguridad en el estado objetivo y escoja en el menú desplegable la configuración de seguridad que creó en la última sección. A continuación, elija las regiones en las que quiere implementar esta configuración.

    Captura de pantalla de la página de implementación de una configuración de seguridad.

  3. Seleccione Siguiente e Implementar para implementar la configuración del administrador de seguridad.

Creación de un grupo de red para la regla de excepción de tráfico

Con el tráfico bloqueado en todas las redes virtuales, necesita una excepción para permitir el tráfico a redes virtuales específicas. Creará un grupo de red específicamente para las redes virtuales que necesitan la exclusión de la otra regla de administrador de seguridad.

  1. En el administrador de redes virtuales, seleccione Grupos de red, en Configuración.
  2. Seleccione + Crear, escriba un nombre para el grupo de red de la aplicación y seleccione Agregar.
  3. En Definir pertenencia dinámica, seleccione Definir.
  4. Escriba o seleccione los valores para permitir el tráfico a la red virtual de la aplicación. Captura de pantalla de la página Definir grupo de red con una condición para seleccionar la membresía de grupo de las redes virtuales.
  5. Seleccione Vista previa de los recursos para revisar las Redes virtuales eficaces incluidas y seleccione Cerrar. Captura de pantalla de la página Redes virtuales eficaces que muestra las redes virtuales incluidas dinámicamente en el grupo de red.
  6. Seleccione Guardar.

Creación de una regla y recopilación de administración de seguridad de excepciones de tráfico

En esta sección, creará una nueva colección de reglas y una regla de administrador de seguridad que permitirán el tráfico de alto riesgo al subconjunto de redes virtuales que ha definido como excepciones. A continuación, lo agregará a la configuración de administrador de seguridad existente.

Importante

Para que la regla de administración de seguridad permita el tráfico a las redes virtuales de la aplicación, la prioridad debe establecerse en un número menor que las reglas existentes que bloquean el tráfico.

Por ejemplo, una regla de red que bloquea los SSH tiene una prioridad de 10, por lo que la regla de permiso debe tener una prioridad de 1 a 9.

  1. En el administrador de redes virtuales, seleccione Parámetros y seleccione la configuración de seguridad.
  2. Seleccione Colecciones de reglas en Configuración y, a continuación, seleccione + Crear para crear una nueva colección de reglas.
  3. En la página Agregar una colección de reglas, escriba un nombre para la colección de reglas de aplicación y elija el grupo de red de aplicación que creó.
  4. En Reglas de administrador de seguridad, seleccione + Agregar.
  5. Escriba o seleccione los valores para permitir el tráfico de red específico al grupo de red de la aplicación y seleccione Agregar cuando haya finalizado.
  6. Repita el proceso de agregar regla para todo el tráfico que necesite una excepción.
  7. Cuando haya terminado, haga clic en Guardar.

Reimplementación de la configuración del administrador de seguridad con regla de excepción

Para aplicar la nueva colección de reglas, implemente la configuración del administrador de seguridad, ya que se modificó al agregar una colección de reglas.

  1. En el administrador de red virtual, seleccione Parámetros.
  2. Seleccione la configuración de administrador de seguridad y seleccione Implementar.
  3. En la página Implementar configuración, seleccione todas las regiones de destino que reciben la implementación.
  4. Por último, seleccione Siguiente e Implementar.

Pasos siguientes