Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Use un grupo de seguridad de red (NSG) de Azure para filtrar el tráfico de red hacia y desde recursos de Azure en una red virtual de Azure. Los grupos de seguridad de red proporcionan funcionalidades esenciales de filtrado de tráfico que ayudan a proteger la infraestructura en la nube mediante el control del tráfico que puede fluir entre los recursos. Un grupo de seguridad de red contiene reglas de seguridad que permiten o deniegan el tráfico de red entrante o el tráfico de red saliente de varios tipos de recursos de Azure. Para cada regla, puede especificar los detalles de origen y destino, el puerto y el protocolo.
Puede implementar recursos de varios servicios de Azure en una red virtual de Azure. Para obtener una lista completa, consulte Servicios que se pueden implementar en una red virtual. Si lo desea, puede asociar un grupo de seguridad de red a cada subred de red virtual e interfaz de red en una máquina virtual. El mismo grupo de seguridad de red se puede asociar a tantas subredes e interfaces de red como elija.
En el diagrama siguiente se muestran diferentes escenarios sobre cómo se pueden implementar los grupos de seguridad de red para permitir el tráfico de red hacia y desde Internet a través del puerto TCP 80:
Consulte el diagrama anterior para comprender cómo Azure procesa las reglas entrantes y salientes. En el diagrama se muestra cómo los grupos de seguridad de red controlan el filtrado del tráfico.
Inbound traffic
Para el tráfico entrante, Azure procesa primero las reglas de un grupo de seguridad de red asociado a una subred si existe. A continuación, Azure procesa las reglas de un grupo de seguridad de red asociado a la interfaz de red si existe. Este mismo orden de evaluación se aplica al tráfico dentro de la subred.
VM1: las reglas de seguridad de NSG1 se procesan porque NSG1 está asociado a Subnet1 y VM1 reside en Subnet1. La regla de seguridad predeterminada DenyAllInbound bloquea el tráfico a menos que cree una regla personalizada que permita explícitamente el puerto 80 entrante. NSG2, asociado a la interfaz de red NIC1, no evalúa el tráfico bloqueado. Sin embargo, si NSG1 permite el puerto 80 en su regla de seguridad, NSG2 evalúa el tráfico. Para permitir el puerto 80 a la máquina virtual, NSG1 y NSG2 deben incluir una regla que permita el puerto 80 desde Internet.
VM2: las reglas de seguridad de NSG1 se procesan porque VM2 también está en Subnet1. Dado que VM2 no tiene un grupo de seguridad de red asociado a su interfaz de red, recibe todo el tráfico permitido a través de NSG1 y deniega todo el tráfico bloqueado por NSG1. El tráfico se permite o deniega a todos los recursos de la misma subred cuando un grupo de seguridad de red está asociado a una subred.
VM3: dado que no hay ningún grupo de seguridad de red asociado a Subnet2, el tráfico se permite en la subred y se procesa mediante NSG2 porque NSG2 está asociado a la interfaz de red NIC1 conectada a VM3.
VM4: el tráfico se bloquea a VM4 porque un grupo de seguridad de red no está asociado a Subnet3 ni a la interfaz de red de la máquina virtual. Todo el tráfico de red se bloquea a través de una subred y una interfaz de red si no tienen un grupo de seguridad de red asociado. La máquina virtual con una dirección IP pública estándar es segura de forma predeterminada. Para que el tráfico fluya desde Internet, un grupo de seguridad de red debe estar asociado a la subred o a la interfaz de red de la máquina virtual. Para obtener más información, consulte Versión de la dirección IP.
Outbound traffic
Para el tráfico saliente, Azure procesa reglas de grupo de seguridad de red en un orden específico. Azure evalúa las reglas de cualquier grupo de seguridad de red asociado a una interfaz de red. Después, Azure procesa las reglas de cualquier grupo de seguridad de red asociado a la subred. Este mismo orden de procesamiento se aplica al tráfico dentro de la subred.
VM1: se procesan las reglas de seguridad de NSG2. La regla de seguridad predeterminada AllowInternetOutbound en NSG1 y NSG2 permite el tráfico a menos que cree una regla de seguridad que deniega explícitamente el puerto 80 saliente a Internet. Si NSG2 deniega el puerto 80 en su regla de seguridad, deniega el tráfico y NSG1 nunca recibe el tráfico y no puede evaluarlo. Para denegar el puerto 80 desde la máquina virtual, uno de los grupos de seguridad de red o ambos debe tener una regla que deniegue el puerto 80 a Internet.
VM2: todo el tráfico se envía a través de la interfaz de red a la subred, ya que la interfaz de red conectada a VM2 no tiene un grupo de seguridad de red asociado. Se procesan las reglas de NSG1.
VM3: si NSG2 deniega el puerto 80 en su regla de seguridad, bloquea el tráfico. Si NSG2 no deniega el puerto 80, la regla de seguridad predeterminada AllowInternetOutbound de NSG2 permite el tráfico porque no hay ningún grupo de seguridad de red asociado a Subnet2.
VM4: el tráfico fluye libremente desde VM4 porque no hay ningún grupo de seguridad de red asociado a la interfaz de red o a la subred3 de la máquina virtual.
Intra-subnet traffic
Es importante tener en cuenta que las reglas de seguridad de un grupo de seguridad de red asociado a una subred pueden afectar a la conectividad entre máquinas virtuales dentro de ella. De forma predeterminada, las máquinas virtuales de la misma subred pueden comunicarse en función de una regla de grupo de seguridad de red predeterminada que permita el tráfico dentro de la subred. Si agrega una regla a NSG1 que deniega todo el tráfico entrante y saliente, VM1 y VM2 no se pueden comunicar entre sí.
Puede ver fácilmente las reglas agregadas que se aplican a una interfaz de red mediante la visualización de las reglas de seguridad vigentes de una interfaz de red. La funcionalidad de comprobación del flujo de IP en Azure Network Watcher ayuda a determinar si se permite la comunicación hacia o desde una interfaz de red. La comprobación del flujo de IP determina si se permite o se deniega una comunicación. También identifica qué regla de seguridad de red es responsable de permitir o denegar el tráfico.
El comprobador de red de Azure Virtual Network Manager también puede ayudar a solucionar problemas de accesibilidad entre máquinas virtuales e Internet u otros recursos de Azure. El comprobador de red proporciona información sobre las reglas del grupo de seguridad de red y otras reglas y directivas de Azure que podrían afectar a la conectividad.
Tip
Para una configuración de seguridad óptima, evite asociar grupos de seguridad de red con una subred y sus interfaces de red al mismo tiempo. Elija asociar el grupo de seguridad de red a la subred o a la interfaz de red, pero no a ambos. Al aplicar grupos de seguridad de red en varios niveles, las reglas pueden entrar en conflicto entre sí. Esta superposición en las reglas de seguridad suele dar lugar a problemas inesperados de filtrado de tráfico que son difíciles de solucionar.
Next steps
Obtenga información sobre los recursos de Azure que puede implementar en una red virtual. Consulte Integración de red virtual para servicios de Azure para encontrar recursos que admitan grupos de seguridad de red.
Complete un tutorial rápido para obtener experiencia en la creación de un grupo de seguridad de red.
Si está familiarizado con los grupos de seguridad de red y necesita administrarlos, consulte Administración de un grupo de seguridad de red.
Si tiene problemas con las comunicaciones y necesita solucionar problemas de los grupos de seguridad de red, consulte Diagnóstico de un problema de filtro de tráfico de red de una máquina virtual.
Obtenga información sobre cómo habilitar los registros de flujo de red virtual para analizar el tráfico hacia y desde la red virtual que podrían pasar a través de grupos de seguridad de red asociados.