Compartir por


Crear, modificar o eliminar un grupo de seguridad de red

Al utilizar las reglas de seguridad en grupos de seguridad de red (NSG) puede filtrar el tipo de tráfico de red que fluye dentro y fuera de las interfaces de red y las subredes de redes virtuales. Para obtener más información sobre los grupos de seguridad de red, consulte Información general de los grupos de seguridad de red. Después, complete el tutorial Filtrado del tráfico de red para obtener experiencia con los grupos de seguridad de red.

Requisitos previos

Si no tiene una cuenta de Azure con una suscripción activa, puede crear una cuenta gratuita. Complete una de estas tareas antes de continuar con este artículo:

  • Usuarios de Portal: Inicie sesión en Azure Portal con su cuenta de Azure.

  • Usuarios de PowerShell: ejecute los comandos en Azure Cloud Shell o bien ejecute PowerShell localmente en el equipo. Cloud Shell es un servicio de shell interactivo gratuito que se puede usar para ejecutar los pasos de este artículo. Tiene las herramientas comunes de Azure preinstaladas y configuradas para usarlas en la cuenta. En la pestaña explorador de Cloud Shell, busque la lista desplegable Seleccionar entorno. A continuación, seleccione PowerShell si aún no está seleccionado.

    Si ejecuta PowerShell en el entorno local, use la versión del módulo de Azure PowerShell 1.0.0 o una posterior. Ejecute Get-Module -ListAvailable Az.Network para buscar la versión instalada. Si necesita instalarla o actualizarla, consulte el artículo sobre cómo instalar el módulo de Azure PowerShell. Ejecute Connect-AzAccount para iniciar sesión en Azure.

  • Usuarios de la CLI de Azure: Ejecute los comandos en Azure Cloud Shell o bien ejecute la CLI de Azure localmente en el equipo. Cloud Shell es un servicio de shell interactivo gratuito que se puede usar para ejecutar los pasos de este artículo. Tiene las herramientas comunes de Azure preinstaladas y configuradas para usarlas en la cuenta. En la pestaña explorador de Cloud Shell, busque la lista desplegable Seleccionar entorno. A continuación, seleccione Bash si aún no está seleccionado.

    Use la versión 2.0.28 de la CLI de Azure o una posterior si ejecuta la CLI de Azure en el entorno local. Ejecute az --version para buscar la versión instalada. Si necesita instalarla o actualizarla, consulte Instalación de la CLI de Azure. Ejecute az login para iniciar sesión en Azure.

Asigne el Rol colaborador de red o un Rol personalizado con los permisos adecuados.

Trabajar con grupos de seguridad de red

Puede crear, ver todas, ver sus detalles, cambiar y eliminar un NSG. También puede asociar o desasociar un NSG a una interfaz de red o una subred.

Crear un grupo de seguridad de red

El número de NSG que puede crear para cada región y suscripción de Azure está limitado. Para obtener más información, consulte Límites, cuotas y restricciones de suscripción y servicios de Microsoft Azure.

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.

  2. Seleccione + Create (+ Crear).

  3. En la página Crear grupo de seguridad de red, en la pestaña Aspectos básicos, escriba o seleccione los valores siguientes:

    Configuración Acción
    Detalles del proyecto
    Subscription Seleccione su suscripción a Azure.
    Resource group Seleccione un grupo de recursos existente o seleccione Crear nuevo para crear uno. Este ejemplo usa el grupo de recursos myResourceGroup.
    Detalles de instancia
    Nombre del grupo de seguridad de red Escriba un nombre para el NSG que va a crear.
    Region Seleccione la región que desee.

    Recorte de pantalla que muestra la creación de un NSG en Azure Portal.

  4. Seleccione Revisar + crear.

  5. Cuando vea el mensaje Validación superada, seleccione Crear.

Ver todos los grupos de seguridad de red

En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de red. Seleccione Grupos de seguridad de red en los resultados de la búsqueda para ver la lista de grupos de seguridad de red de la suscripción.

Recorte de pantalla que muestra la lista Grupos de seguridad de red en Azure Portal.

Ver detalles de un grupo de seguridad de red

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de red y seleccione Grupos de seguridad de red en los resultados de la búsqueda.

  2. Seleccione el nombre del NSG.

    Recorte de pantalla en el que se muestra la página del grupo de seguridad de red en Azure Portal.

Para más información sobre las configuraciones comunes de Azure que se muestran, consulte los artículos siguientes:

Cambiar un grupo de seguridad de red

Los cambios más comunes en un NSG son:

Asociar o desasociar un grupo de seguridad de red en una interfaz de red

Para obtener más información sobre la asociación y desasociación de un NSG, consulte Asociación o desasociación de un grupo de seguridad de red.

Asociar o desasociar un grupo de seguridad de red en una subred

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.

  2. Seleccione el nombre de NSG y, a continuación, seleccione Subredes.

    • Para asociar un NSG a la subred, seleccione + Asociar. A continuación, seleccione la red virtual y la subred a la que desea asociar el NSG. Seleccione Aceptar.

      Recorte de pantalla que muestra la asociación de un grupo de seguridad de red a una subred en Azure Portal.

    • Para desasociar un NSG de la subred, seleccione los tres puntos situados junto a la subred desde la que desea desasociar el NSG y, a continuación, seleccioneDesasociar. Seleccione .

      Recorte de pantalla que muestra la desasociación de un NSG de una subred en Azure Portal.

Eliminar un grupo de seguridad de red

Si un NSG está asociado a cualquier subred o interfaces de red no se puede eliminar. Desasociar un NSG de todas las subredes e interfaces de red antes de intentar eliminarlo.

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.

  2. Seleccione el NSG que desea eliminar.

  3. Seleccione Eliminar y, a continuación, seleccione en el cuadro de diálogo de confirmación.

    Recorte de pantalla que muestra la eliminación de un grupo de seguridad de red en Azure Portal.

Trabajar con reglas de seguridad

Un NSG contiene cero o más reglas de seguridad. Las reglas de seguridad se pueden crear, ver todas, ver sus detalles, cambiar y eliminar.

Creación de una regla de seguridad

El número de reglas por NSG que puede crear para cada ubicación y suscripción de Azure está limitada. Para obtener más información, consulte Límites, cuotas y restricciones de suscripción y servicios de Microsoft Azure.

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.

  2. Seleccione el nombre de NSG al que desea agregar una regla de seguridad.

  3. Seleccione Reglas de seguridad de entrada o Reglas de seguridad de salida.

    Se muestran varias reglas existentes, incluidas algunas que quizás no haya agregado. Al crear un NSG, se crean varias reglas de seguridad predeterminadas en él. Para más información, consulte las Reglas de seguridad predeterminadas. Las reglas de seguridad predeterminadas no se pueden eliminar, pero pueden reemplazarse por reglas de prioridad más alta.

  4. Seleccione + Agregar. Seleccione o agregue valores para las configuraciones siguientes y, luego, seleccione Agregar.

    Configuración Valor Detalles
    Origen Uno de los valores siguientes:
    • Cualquiera
    • Direcciones IP
    • Mi dirección IP
    • Etiqueta de servicio
    • Grupo de seguridad de aplicaciones

    Si selecciona Direcciones IP, debe especificar Intervalos de direcciones IP de origen o CIDR.

    Si selecciona Etiqueta de servicio, también debe seleccionar una Etiqueta de servicio de origen.

    Si selecciona Grupo de seguridad de aplicaciones, debe seleccionar un grupo de seguridad de aplicaciones existente. Si selecciona Grupo de seguridad de aplicaciones para Origen y Destino, las interfaces de red de ambos grupos de seguridad de aplicaciones deben estar en la misma red virtual. Obtenga información sobre cómo crear un grupo de seguridad de aplicaciones.

    Intervalos de direcciones IP de origen y CIDR Lista delimitada por comas de direcciones IP e intervalos de Enrutamiento de interdominios sin clases (CIDR)

    Esta opción aparece si establece Origen en Direcciones IP. Debe especificar un valor único o una lista de varios valores separados por comas. Un ejemplo de varios valores es 10.0.0.0/16, 192.188.1.1. El número de valores que puede especificar es limitado. Para más información, consulte Límites de Azure.

    Si la dirección IP que especifica está asignada a una VM de Azure, especifique su dirección IP privada, no la pública. Azure procesa las reglas de seguridad después de cambiar la dirección IP pública por una dirección IP privada para las reglas de seguridad de entrada, pero antes de cambiar una dirección IP privada por una dirección IP pública para las reglas de salida. Para más información sobre las direcciones IP en Azure, consulte Direcciones IP públicas y Direcciones IP privadas.

    Etiqueta de servicio de origen Una etiqueta de servicio de la lista desplegable Esta configuración aparece si se establece Origen en Etiqueta de servicio para una regla de seguridad. Una etiqueta de servicio es un identificador predefinido para una categoría de direcciones IP. Para más información sobre las etiquetas de servicio disponibles y qué representa cada etiqueta, consulte Etiquetas de servicio.
    Grupo de seguridad de aplicación de origen Grupo de seguridad de aplicaciones existente Esta opción de configuración aparece si se establece Origen en Grupo de seguridad de aplicaciones. Seleccione un grupo de seguridad de aplicaciones que exista en la misma región que la interfaz de red. Obtenga información sobre cómo crear un grupo de seguridad de aplicaciones.
    Intervalos de puertos de origen Uno de los valores siguientes:
    • Un puerto único, como 80
    • Un intervalo de puertos, como 1024-65535
    • Una lista de puertos únicos o intervalos de puertos separados por comas, como 80, 1024-65535
    • Un asterisco (*) para permitir el tráfico en cualquier puerto
    Esta opción de configuración especifica los puertos en los que la regla permite o deniega el tráfico. El número de puertos que puede especificar es limitado. Para más información, consulte Límites de Azure.
    Destino Uno de los valores siguientes:
    • Cualquiera
    • Direcciones IP
    • Etiqueta de servicio
    • Grupo de seguridad de aplicaciones

    Si selecciona Direcciones IP, debe especificar Intervalos de direcciones IP de destino o CIDR.

    Si selecciona Etiqueta de servicio, también debe seleccionar una Etiqueta de servicio de destino.

    Si selecciona Grupo de seguridad de aplicaciones, debe seleccionar un grupo de seguridad de aplicaciones existente. Si selecciona Grupo de seguridad de aplicaciones para Origen y Destino, las interfaces de red de ambos grupos de seguridad de aplicaciones deben estar en la misma red virtual. Obtenga información sobre cómo crear un grupo de seguridad de aplicaciones.

    Intervalos de direcciones IP de destino y CIDR Lista de direcciones IP e intervalos CIDR delimitados por comas

    Esta opción aparece si cambia Destino a Direcciones IP. De manera similar a Origen e Intervalos de direcciones IP de origen o CIDR, puede especificar uno o varios intervalos o direcciones. El número que puede especificar es limitado. Para más información, consulte Límites de Azure.

    Si la dirección IP que especifica está asignada a una VM de Azure, asegúrese de especificar su dirección IP privada, no la pública. Azure procesa las reglas de seguridad después de cambiar la dirección IP pública por una dirección IP privada para las reglas de seguridad de entrada, pero antes de cambiar una dirección IP privada por una dirección IP pública para las reglas de salida. Para más información sobre las direcciones IP en Azure, consulte Direcciones IP públicas y Direcciones IP privadas.

    Etiqueta de servicio de destino Una etiqueta de servicio de la lista desplegable Esta configuración aparece si se establece Destino en Etiqueta de servicio para una regla de seguridad. Una etiqueta de servicio es un identificador predefinido para una categoría de direcciones IP. Para más información sobre las etiquetas de servicio disponibles y qué representa cada etiqueta, consulte Etiquetas de servicio.
    Grupo de seguridad de aplicación de destino Grupo de seguridad de aplicaciones existente Esta opción de configuración aparece si se establece Destino en Grupo de seguridad de aplicaciones. Seleccione un grupo de seguridad de aplicaciones que exista en la misma región que la interfaz de red. Obtenga información sobre cómo crear un grupo de seguridad de aplicaciones.
    Servicio Un protocolo de destino de la lista desplegable Esta configuración especifica el protocolo de destino y el intervalo de puertos para la regla de seguridad. Puede elegir un servicio predefinido, como RDP, o seleccionar Personalizar y proporcionar el intervalo de puertos en Intervalos de puertos de destino.
    Intervalos de puertos de destino Uno de los valores siguientes:
    • Un puerto único, como 80
    • Un intervalo de puertos, como 1024-65535
    • Una lista de puertos únicos o intervalos de puertos separados por comas, como 80, 1024-65535
    • Un asterisco (*) para permitir el tráfico en cualquier puerto
    Como con Intervalos de puertos de origen, puede especificar uno o varios puertos e intervalos. El número que puede especificar es limitado. Para más información, consulte Límites de Azure.
    Protocolo Cualquiera, TCP, UDP o ICMP Puede restringir la regla al Protocolo de control de transmisión (TCP), el Protocolo de datagramas de usuario (UDP) y el Protocolo de mensajes de control de Internet (ICMP). La opción predeterminada es que la regla se aplique a todos los protocolos (Cualesquiera).
    Acción Permitir o Denegar Esta opción de configuración especifica si esta regla permite o deniega el acceso a la configuración de origen y de destino proporcionada.
    Prioridad Escriba un valor de 100 a 4096 que sea único para todas las reglas de seguridad dentro de NSG Azure procesa las reglas de seguridad en orden de prioridad. Cuanto menor sea el número, mayor será la prioridad. Se recomienda dejar un espacio entre los números de prioridad al crear reglas, como 100, 200 y 300. Dejar espacios facilita la adición de reglas en el futuro, de modo que pueda asignarles una prioridad mayor o menor que las reglas existentes.
    Nombre Un nombre único para la regla dentro de NSG Puede tener hasta 80 caracteres. Debe comenzar con una letra o un número y terminar con una letra, un número o un carácter de subrayado. El nombre solo puede contener letras, números, caracteres de subrayado, puntos o guiones.
    Descripción Descripción de texto Opcionalmente, puede especificar una descripción de texto para la regla de seguridad. La descripción no puede tener más de 140 caracteres.

    Recorte de pantalla que muestra cómo agregar una regla de seguridad a un NSG en Azure Portal.

Ver todas las reglas de seguridad

Un NSG contiene cero o más reglas. Para obtener más información sobre la lista de información al ver las reglas, consulte Reglas de seguridad.

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.

  2. Seleccione el nombre de NSG para el que desea ver las reglas.

  3. Seleccione Reglas de seguridad de entrada o Reglas de seguridad de salida.

    La lista contiene las reglas que ha creado y las reglas de seguridad predeterminadas de NSG.

    Recorte de pantalla que muestra las reglas de seguridad de entrada de un grupo de seguridad de red en Azure Portal.

Ver detalles de una regla de seguridad

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.

  2. Seleccione el nombre de NSG para el que desea ver las reglas.

  3. Seleccione Reglas de seguridad de entrada o Reglas de seguridad de salida.

  4. Seleccione la regla para la que desea ver los detalles. Para obtener una explicación de todas las opciones, consulte Configuración de reglas de seguridad.

    Nota:

    Este procedimiento solo se aplica a una regla de seguridad personalizada. No funciona si elige una regla de seguridad predeterminada.

    Recorte de pantalla que muestra los detalles de una regla de seguridad de entrada de un grupo de seguridad de red en Azure Portal.

Cambiar una regla de seguridad

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.

  2. Seleccione el nombre de NSG para el que desea ver las reglas.

  3. Seleccione Reglas de seguridad de entrada o Reglas de seguridad de salida.

  4. Seleccione la regla que quiere cambiar.

  5. Cambie la configuración según sea necesario y, a continuación, seleccione Guardar. Para obtener una explicación de todas las opciones, consulte Configuración de reglas de seguridad.

    Recorte de pantalla que muestra cómo cambiar los detalles de la regla de seguridad de entrada de un grupo de seguridad de red en Azure Portal.

    Nota:

    Este procedimiento solo se aplica a una regla de seguridad personalizada. No se permite cambiar una regla de seguridad predeterminada.

Eliminar una regla de seguridad

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de red. En los resultados de la búsqueda, seleccione Grupos de seguridad de red.

  2. Seleccione el nombre de NSG para el que desea ver las reglas.

  3. Seleccione Reglas de seguridad de entrada o Reglas de seguridad de salida.

  4. Seleccione las reglas que quiere eliminar.

  5. Seleccione Eliminar y, luego, seleccione .

    Recorte de pantalla que muestra la eliminación de una regla de seguridad de entrada de un grupo de seguridad de red en Azure Portal.

    Nota:

    Este procedimiento solo se aplica a una regla de seguridad personalizada. No se permite eliminar una regla de seguridad predeterminada.

Trabajar con grupos de seguridad de aplicaciones

Un grupo de seguridad de aplicaciones contiene una interfaz de red, varias o ninguna. Para más información, consulte Grupos de seguridad de aplicaciones. Todas las interfaces de red de un grupo de seguridad de aplicaciones deben existir en la misma red virtual. Para obtener información sobre cómo agregar una interfaz de red a un grupo de seguridad de aplicaciones, consulte el tema sobre cómo agregar una interfaz de red a un grupo de seguridad de aplicaciones.

Crear un grupo de seguridad de aplicaciones

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de aplicaciones. Entonces, seleccione Grupos de seguridad de aplicaciones en los resultados de la búsqueda.

  2. Seleccione + Create (+ Crear).

  3. En la página Crear un grupo de seguridad de aplicaciones, en la pestaña Aspectos básicos, escriba los valores siguientes:

    Configuración Acción
    Detalles del proyecto
    Subscription Seleccione su suscripción a Azure.
    Resource group Seleccione un grupo de recursos existente o seleccione Crear nuevo para crear uno. Este ejemplo usa el grupo de recursos myResourceGroup.
    Detalles de instancia
    Nombre Escriba un nombre para el grupo de seguridad de aplicaciones que va a crear.
    Region Seleccione la región en la que desea crear el grupo de seguridad de aplicaciones.

    Recorte de pantalla que muestra la creación de un grupo de seguridad de aplicaciones en Azure Portal.

  4. Seleccione Revisar + crear.

  5. Cuando vea el mensaje Validación superada, seleccione Crear.

Ver todos los grupos de seguridad de aplicaciones

En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de aplicaciones. Entonces, seleccione Grupos de seguridad de aplicaciones en los resultados de la búsqueda. Azure Portal muestra una lista de sus grupos de seguridad de aplicaciones.

Recorte de pantalla que muestra los grupos de seguridad de aplicaciones existentes en Azure Portal.

Ver detalles de un grupo de seguridad de aplicaciones específico

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de aplicaciones. Entonces, seleccione Grupos de seguridad de aplicaciones en los resultados de la búsqueda.

  2. Seleccione el grupo de seguridad de aplicaciones para el que desea ver los detalles.

Cambiar un grupo de seguridad de aplicaciones

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de aplicaciones. Entonces, seleccione Grupos de seguridad de aplicaciones en los resultados de la búsqueda.

  2. Seleccione el grupo de seguridad de aplicaciones que quiere cambiar:

    • Seleccione Mover que se encuentra junto a Grupo de recursos o Suscripción para cambiar el grupo de recursos o la suscripción, respectivamente.

    • Seleccione Editar junto a Etiquetas para agregar o quitar etiquetas. Para más información, consulte Uso de etiquetas para organizar los recursos de Azure y la jerarquía de administración.

      Recorte de pantalla que muestra cómo cambiar un grupo de seguridad de aplicaciones en Azure Portal.

      Nota:

      No se puede cambiar la ubicación de un grupo de seguridad de aplicaciones.

    • Seleccione Control de acceso (IAM) para asignar o quitar permisos para el grupo de seguridad de aplicaciones.

Eliminar un grupo de seguridad de aplicaciones

No puede eliminar un grupo de seguridad de aplicaciones si contiene alguna interfaz de red. Para quitar todas las interfaces de red del grupo de seguridad de aplicaciones, cambie la configuración de la interfaz de red o elimine las interfaces de red. Para obtener más información, consulte Adición o eliminación de grupos de seguridad de aplicaciones o Eliminación de una interfaz de red.

  1. En el cuadro de búsqueda que aparece en la parte superior del portal, escriba Grupo de seguridad de aplicaciones. Entonces, seleccione Grupos de seguridad de aplicaciones en los resultados de la búsqueda.

  2. Seleccione el grupo de seguridad de aplicaciones que quiera eliminar.

  3. Haga clic en Eliminar y después en para eliminar el grupo de seguridad de aplicaciones.

    Recorte de pantalla que muestra la eliminación de un grupo de seguridad de aplicaciones en Azure Portal.

Permisos

Para administrar los NSG, reglas de seguridad y grupos de seguridad de aplicaciones, la cuenta debe asignarse al rol Colaborador de red. También puede usar un rol personalizado con los permisos adecuados asignados, como se muestra en las tablas siguientes.

Nota:

Es posible que no vea la lista completa de etiquetas de servicio si el rol Colaborador de red se ha asignado en un nivel de grupo de recursos. Para ver la lista completa, puede asignar este rol en un ámbito de suscripción en su lugar. Si solo puede permitir el rol Colaborador de red para el grupo de recursos, también puede crear un rol personalizado para los permisos Microsoft.Network/locations/serviceTags/read y Microsoft.Network/locations/serviceTagDetails/read. Asígnelos en un ámbito de suscripción junto con el rol Colaborador de red en el ámbito del grupo de recursos.

Grupo de seguridad de red

Acción Nombre
Microsoft.Network/networkSecurityGroups/read Obtener un NSG.
Microsoft.Network/networkSecurityGroups/write Crear o actualizar un NSG.
Microsoft.Network/networkSecurityGroups/delete Eliminar un NSG.
Microsoft.Network/networkSecurityGroups/join/action Asociar un NSG a una subred o interfaz de red.

Nota:

Para realizar operaciones write en un NSG, la cuenta de la suscripción debe tener al menos permisos read para el grupo de recursos, así como el permiso Microsoft.Network/networkSecurityGroups/write.

Regla de grupo de seguridad de red

Acción Nombre
Microsoft.Network/networkSecurityGroups/securityRules/read Obtener una regla.
Microsoft.Network/networkSecurityGroups/securityRules/write Crear o actualizar una regla.
Microsoft.Network/networkSecurityGroups/securityRules/delete Eliminar una regla.

Grupo de seguridad de aplicaciones

Acción Nombre
Microsoft.Network/applicationSecurityGroups/joinIpConfiguration/action Unir una configuración IP a un grupo de seguridad de aplicaciones.
Microsoft.Network/applicationSecurityGroups/joinNetworkSecurityRule/action Unir una regla de seguridad a un grupo de seguridad de aplicaciones.
Microsoft.Network/applicationSecurityGroups/read Obtener un grupo de seguridad de aplicaciones.
Microsoft.Network/applicationSecurityGroups/write Crear o actualizar un grupo de seguridad de aplicaciones.
Microsoft.Network/applicationSecurityGroups/delete Eliminar un grupo de seguridad de aplicaciones.