Partekatu honen bidez:


Diagnóstico de reglas de seguridad de red

En este artículo, aprenderá a usar diagnósticos de NSGde Azure Network Watcher para comprobar y solucionar problemas de reglas de seguridad aplicadas al tráfico de Azure a través de grupos de seguridad de red y Azure Virtual Network Manager. Los diagnósticos de NSG comprueban si las reglas de seguridad aplicadas permiten o deniegan el tráfico.

En el ejemplo de este artículo se muestra cómo un grupo de seguridad de red mal configurado puede impedir que use Azure Bastion para conectarse a una máquina virtual.

Requisitos previos

Crear una red virtual y un host bastión

En esta sección, creará una red virtual con dos subredes y un host de Azure Bastion. La primera subred se usa para la máquina virtual y la segunda subred se usa para el host de Bastion. También se crea un grupo de seguridad de red y se aplica a la primera subred.

  1. En el cuadro de búsqueda de la parte superior del portal, escriba redes virtuales. En los resultados de la búsqueda, seleccione Redes virtuales.

    Captura de pantalla que muestra cómo buscar redes virtuales en Azure Portal.

  2. Seleccione + Create (+ Crear). En Crear una red virtual, escriba o seleccione los siguientes valores en la pestaña Información básica:

    Configuración Valor
    Detalles del proyecto
    Subscription Seleccione su suscripción a Azure.
    Grupo de recursos Seleccione Crear nuevo.
    Escriba myResourceGroup en Nombre.
    Seleccione
    .
    Detalles de instancia
    Nombre de la red virtual Escriba MyVnet.
    Region Seleccione (EE. UU.) Este de EE. UU. .
  3. Seleccione la pestaña Seguridad o elija el botón Siguiente situado en la parte inferior de la página.

  4. En Azure Bastion, seleccione Habilitar Azure Bastion y acepte los valores predeterminados:

    Configuración Valor
    Nombre de host de Azure Bastion myVNet-Bastion.
    Dirección IP pública de Azure Bastion (Nuevo) myVNet-bastion-publicIpAddress.
  5. Seleccione la pestaña Direcciones IP o el botón Siguiente situado en la parte inferior de la página.

  6. Acepte el espacio de direcciones IP predeterminado 10.0.0.0/16 y edite la subred predeterminada seleccionando el icono del lápiz. En la página Editar subred, escriba los valores siguientes:

    Configuración Valor
    Detalles de subred
    Nombre Escriba mySubnet.
    Seguridad
    Grupo de seguridad de red Seleccione Crear nuevo.
    Escriba mySubnet-nsg en Nombre.
    Seleccione Aceptar.
  7. Seleccione Revisar y crear.

  8. Revise la configuración y, a continuación, seleccione Crear.

Importante

Los precios por hora comienzan desde el momento en que se implementa el host bastión, independientemente del uso de datos salientes. Para obtener más información, consulte el apartado Precios. Le recomendamos que elimine este recurso cuando haya terminado de usarlo.

Creación de una máquina virtual

En esta sección, creará una máquina virtual y un grupo de seguridad de red aplicado a su interfaz de red.

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba máquinas virtuales. En los resultados de la búsqueda, seleccione Máquinas virtuales.

  2. Seleccione + Crear y, a continuación, Máquina virtual de Azure.

  3. En Crear una máquina virtual, escriba o seleccione los valores siguientes en la pestaña Básico:

    Configuración Valor
    Detalles del proyecto
    Subscription Seleccione su suscripción a Azure.
    Grupo de recursos Seleccione myResourceGroup.
    Detalles de instancia
    Nombre de la máquina virtual Escriba myVM.
    Region Selecciona (EE. UU.) Este de EE. UU. .
    Opciones de disponibilidad Seleccione No se requiere redundancia de la infraestructura.
    Tipo de seguridad Seleccione Estándar.
    Imagen Seleccione Windows Server 2022 Datacenter: Azure Edition - x64 Gen2.
    Size Elija un tamaño o deje la configuración predeterminada.
    Cuenta de administrador
    Nombre de usuario Especifique un nombre de usuario.
    Contraseña Escriba una contraseña.
    Confirmación de la contraseña Vuelva a escribir la contraseña.
  4. Seleccione la pestaña Redes o seleccione Siguiente: Discos y, después, Siguiente: Redes.

  5. En la pestaña Redes, seleccione los siguientes valores:

    Configuración Valor
    Interfaz de red
    Virtual network Seleccione myVNet.
    Subnet Seleccione Predeterminado.
    Dirección IP pública Selecciona Ninguno.
    Grupo de seguridad de red de NIC Seleccione Básica.
    Puertos de entrada públicos Seleccione Ninguno.
  6. Seleccione Revisar + crear.

  7. Revise la configuración y, a continuación, seleccione Crear.

Adición de una regla de seguridad al grupo de seguridad de red

En esta sección, agregará una regla de seguridad al grupo de seguridad de red asociado a la interfaz de red de myVM. La regla deniega cualquier tráfico entrante de la red virtual.

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba grupos de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.

  2. En la lista de grupos de seguridad de red, seleccione myVM-nsg.

  3. En Configuración, seleccione Reglas de seguridad de entrada.

  4. Seleccione +Agregar. En la pestaña Redes, escriba o seleccione los siguientes valores:

    Configuración Valor
    Source Seleccione Service Tag (Etiqueta de servicio).
    Etiqueta de servicio de origen Seleccione VirtualNetwork.
    Source port ranges Escriba *.
    Destination Seleccione Cualquiera.
    Servicio seleccione Personalizada.
    Intervalos de puertos de destino Escriba *.
    Protocolo Seleccione Cualquiera.
    Acción Seleccione Denegar.
    Priority Escriba 1000.
    Nombre Escriba DenyVnetInBound.
  5. Seleccione Agregar.

    Captura de pantalla que muestra cómo agregar una regla de seguridad entrante al grupo de seguridad de red en Azure Portal.

Nota

La etiqueta de servicio VirtualNetwork representa el espacio de direcciones de la red virtual, todos los espacios de direcciones locales conectados, las redes virtuales del mismo nivel, las redes virtuales conectadas a una puerta de enlace de red virtual, la dirección IP virtual del host y los prefijos de dirección usados en las rutas definidas por el usuario. Para obtener más información, consulte Etiquetas de servicio.

Comprobación de las reglas de seguridad aplicadas a un tráfico de máquina virtual

Use diagnósticos de NSG para comprobar las reglas de seguridad aplicadas al tráfico originado desde la subred de Bastion a la máquina virtual.

  1. En el cuadro de búsqueda de la parte superior del portal, busque y seleccione Network Watcher.

  2. En Herramientas de diagnóstico de red, seleccione Diagnóstico de NSG.

  3. En la página Diagnóstico de NSG, escriba o seleccione los siguientes valores:

    Configuración Value
    Recurso de destino
    Tipo de recurso de destino Seleccione Máquina virtual.
    Máquina virtual Seleccione la máquina virtual myVM .
    Detalles del tráfico
    Protocolo seleccione TCP. Otras opciones disponibles son: Cualquiera, UDP y ICMP.
    Dirección Seleccione Entrante. Otra opción disponible es: Saliente.
    Tipo de origen Seleccione Dirección IPv4/CIDR. Otra opción disponible es: Etiqueta de servicio.
    Dirección IPv4/CIDR Escriba 10.0.1.0/26, que es el intervalo de direcciones IP de la subred de Bastion. Los valores aceptables son: dirección IP única, varias direcciones IP, prefijo IP único, varios prefijos IP.
    Dirección IP de destino Deje el valor predeterminado de 10.0.0.4, que es la dirección IP de myVM.
    Puerto de destino Escriba * para incluir todos los puertos.

    Captura de pantalla que muestra los valores requeridos para el diagnóstico de NSG para probar las conexiones entrantes a una máquina virtual en Azure Portal.

  4. Seleccione Ejecutar diagnósticos de NSG para ejecutar la prueba. Una vez que el diagnóstico de NSG completa la comprobación de todas las reglas de seguridad, muestra el resultado.

    Captura de pantalla que muestra el resultado de las conexiones entrantes a la máquina virtual como Denegadas.

    El resultado muestra que hay tres reglas de seguridad evaluadas para la conexión entrante desde la subred de Bastion:

    • GlobalRules: esta regla de administración de seguridad se aplica en el nivel de red virtual mediante Azure Virtual Network Manager. La regla permite el tráfico TCP entrante desde la subred de Bastion a la máquina virtual.
    • mySubnet-nsg: este grupo de seguridad de red se aplica en el nivel de subred (subred de la máquina virtual). La regla permite el tráfico TCP entrante desde la subred de Bastion a la máquina virtual.
    • myVM-nsg: este grupo de seguridad de red se aplica en el nivel de interfaz de red (NIC). La regla deniega el tráfico TCP entrante de la subred de Bastion a la máquina virtual.
  5. Seleccione Ver detalles de myVM-nsg para ver detalles sobre las reglas de seguridad que tiene este grupo de seguridad de red y qué regla está denegando el tráfico.

    Captura de pantalla que muestra los detalles del grupo de seguridad de red que denegó el tráfico a la máquina virtual.

    En el grupo de seguridad de red myVM-nsg, la regla de seguridad DenyVnetInBound deniega cualquier tráfico procedente del espacio de direcciones de la etiqueta de servicio VirtualNetwork a la máquina virtual. El host bastión usa direcciones IP del intervalo de direcciones 10.0.1.0/26, que se incluye en la etiqueta de servicio VirtualNetwork, para conectarse a la máquina virtual. Por lo tanto, la regla de seguridad DenyVnetInBound deniega la conexión desde el host de Bastion.

Adición de una regla de seguridad para permitir el tráfico desde la subred de Bastion

Para conectarse a myVM mediante Azure Bastion, el grupo de seguridad de red debe permitir el tráfico desde la subred de Bastion. Para permitir el tráfico de 10.0.1.0/26, agregue una regla de seguridad con una prioridad más alta (número de prioridad menor) que la regla DenyVnetInBound o edite la regla DenyVnetInBound para permitir el tráfico desde la subred de Bastion.

Puede agregar la regla de seguridad al grupo de seguridad de red desde la página de Network Watcher que mostró los detalles sobre la regla de seguridad que deniega el tráfico a la máquina virtual.

  1. Para agregar la regla de seguridad desde Network Watcher, seleccione + Agregar regla de seguridad y, a continuación, escriba o seleccione los valores siguientes:

    Configuración Valor
    Source Seleccione Direcciones IP.
    Intervalos de direcciones IP de origen y CIDR Escriba 10.0.1.0/26, que es el intervalo de direcciones IP de la subred de Bastion.
    Source port ranges Escriba *.
    Destination Seleccione Cualquiera.
    Servicio seleccione Personalizada.
    Intervalos de puertos de destino Escriba *.
    Protocolo Seleccione Cualquiera.
    Acción seleccione Permitir.
    Priority Escriba 900, que es una prioridad mayor que 1000 usada para la regla DenyVnetInBound.
    Nombre Escriba AllowBastionConnections.

    Captura de pantalla que muestra cómo agregar una nueva regla de seguridad al grupo de seguridad de red para permitir el tráfico a la máquina virtual desde la subred de Bastion.

  2. Seleccione Volver a comprobar para volver a ejecutar la sesión de diagnóstico. La sesión de diagnóstico ahora debería mostrar que se permite el tráfico desde la subred de Bastion.

    Captura de pantalla que muestra los detalles del grupo de seguridad de red después de agregar una regla de seguridad que permite el tráfico a la máquina virtual desde la subred de Bastion.

    La regla de seguridad AllowBastionConnections permite el tráfico desde cualquier dirección IP en 10.0.1.0/26 a la máquina virtual. Dado que el host de Bastion usa direcciones IP de 10.0.1.0/26, la regla de seguridad AllowBastionConnections permite su conexión a la máquina virtual.

Limpieza de recursos

Cuando ya no sea necesario, elimine el grupo de recursos y todos los recursos que contiene:

  1. Escriba myResourceGroup en el cuadro de búsqueda que se encuentra en la parte superior del portal. Seleccione myResourceGroup en los resultados de la búsqueda.

  2. Seleccione Eliminar grupo de recursos.

  3. En Eliminar un grupo de recursos, escriba myResourceGroup y, después, seleccione Eliminar.

  4. Seleccione Eliminar para confirmar la eliminación del grupo de recursos y todos sus recursos.