Planeamiento de la implementación para actualizar Windows Virtual Machines en Azure

Aunque haya bloqueado el acceso a su red virtual de Azure desde Internet, puede obtener las actualizaciones de Windows sin poner en peligro la seguridad ni abrir el acceso a Internet en su totalidad. Este artículo contiene recomendaciones sobre cómo configurar una red perimetral, también denominada subred filtrada, para hospedar una instancia de Windows Server Update Service (WSUS), con el fin de actualizar de forma segura redes virtuales sin conectividad a Internet.

Si usa Azure Firewall, use la WindowsUpdate etiqueta FQDN en las reglas de aplicación para permitir el tráfico de red saliente necesario a través del firewall. Para obtener más información, consulte Introducción a las etiquetas FQDN y Planeamiento de actualizaciones de software: configuración de firewalls.

Para implementar las recomendaciones de este artículo, debe estar familiarizado con los servicios de Azure. En las secciones siguientes se describe el diseño de implementación recomendado, que usa una configuración en estrella tipo hub-spoke en una sola región o configuración de varias regiones.

Topología de red en estrella tipo hub-spoke de Azure Virtual Network

Se recomienda configurar una topología de red de modelo en estrella tipo hub-spoke mediante la creación de una red perimetral. Hospede el servidor de WSUS en una máquina virtual de Azure que se encuentre en el centro de conectividad entre Internet y las redes virtuales. El centro de conectividad debe tener puertos abiertos. Para obtener las actualizaciones de Microsoft, WSUS utiliza el puerto 80 para el protocolo HTTP y el 443 para el protocolo HTTPS. Los radios son las restantes redes virtuales, que se comunicarán con el centro de conectividad, no con Internet. Esto se logra mediante la creación de una subred, grupos de seguridad de red y un emparejamiento de la red virtual de Azure que permita el paso del tráfico de WSUS, pero que bloquee el resto de tráfico de Internet. En esta imagen se muestra un ejemplo de topología en estrella tipo hub-spoke:

Descargue un archivo Visio de esta arquitectura.

En esta imagen:

• snet-wsus es la subred del concentrador de la topología en estrella tipo hub-and-spoke que contiene el servidor WSUS.
• nsg-ds es una regla de grupo de seguridad de red que permite el tráfico de WSUS al bloquear otro tráfico de Internet.
• La máquina virtual de Windows Server Update Service es la máquina virtual de Azure configurada para ejecutar WSUS.
• snet-workload es un ejemplo de una subred en una red virtual de radio emparejada que contiene máquinas virtuales Windows.
• nsg-ms es una directiva de grupo de seguridad de red que permite el tráfico a la máquina virtual WSUS, pero deniega otro tráfico de Internet.

Puede reutilizar un servidor existente o implementar uno nuevo que se convierta en el servidor WSUS. La máquina virtual de WSUS debe cumplir los requisitos del sistema documentados. Como se trata de una funcionalidad confidencial de seguridad, debe planear el acceso a esta máquina virtual mediante Just-In-Time (JIT). Consulte Administración del acceso a máquinas virtuales mediante Just-In-Time.

La red tendrá más de una red virtual de Azure y pueden estar todas en la misma región o en regiones diferentes. Debe evaluar todas las máquinas virtuales de Windows Server para ver si se puede usar como servidor WSUS. Si tiene miles de máquinas virtuales que actualizar, se recomienda dedicar una máquina virtual con Windows Server al rol de WSUS. También se recomienda que las máquinas virtuales no usen un servidor WSUS en otra región como origen principal.

Si todas las redes virtuales están en la misma región, se recomienda disponer de un WSUS por cada 18 000 máquinas virtuales. Esta sugerencia se basa en una combinación de los requisitos de máquinas virtuales, el número de máquinas virtuales cliente que se van a actualizar y el costo de la comunicación entre las redes virtuales. Para más información sobre los requisitos de capacidad de WSUS, consulte Planear la implementación de WSUS.

Para determinar el costo de estas configuraciones, utilice la calculadora de precios de Azure. Es necesario que proporcione las especificaciones de las máquinas virtuales WSUS y sus expectativas de red: en la misma región, entre regiones. Para la transferencia de datos, comience con 3 GB. Los precios varían según la región.

Implementación manual

Después de identificar la red virtual de Azure que se va a usar o determinar que necesita crear una nueva instancia de Windows Server, debe crear una regla de NSG. La regla permitirá el tráfico de Internet, lo que permite que los metadatos y el contenido de Windows Update se sincronicen con el servidor WSUS que cree. Estas son las reglas que es necesario agregar:

• Regla de grupo de seguridad de red de entrada o salida para permitir el tráfico hacia Internet, y desde este, en el puerto 80 (para contenido).
• Regla de grupo de seguridad de red de entrada o salida para permitir el tráfico hacia Internet, y desde este, en el puerto 443 (para metadatos).
• Regla de grupo de seguridad de red de entrada o salida para permitir el tráfico desde las máquinas virtuales cliente en el puerto 8530 (el predeterminado, salvo que se haya configurado otro).

Configuración de WSUS

Se pueden usar dos métodos para configurar un servidor de WSUS:

• Si desea configurar automáticamente un servidor para controlar una carga de trabajo típica con el mínimo de trabajo de administración necesario, puede usar el script de automatización de PowerShell.
• Si necesita controlar miles de clientes en los que se ejecutan muchos sistemas operativos y lenguajes diferentes, o si desea configurar WSUS de alguna forma que el script de PowerShell no pueda controlar, puede configurar WSUS manualmente. Ambos métodos se describirán más adelante en este mismo artículo.

También puede combinar los dos enfoques, es decir, usar primero el script de automatización para que haga la mayor parte del trabajo y, después, la consola de administración de WSUS para ajustar con precisión los valores del servidor.

Configuración de WSUS mediante un script de automatización

El Configure-WSUSServer script permite configurar un servidor WSUS que sincronizará y aprobará automáticamente las actualizaciones de un conjunto elegido de productos e idiomas.

La versión más reciente del script está disponible en GitHub.

Configure el script mediante un archivo JSON. Actualmente puede configurar estas opciones:

• Si las cargas de actualización se deben almacenar localmente (y, en ese caso, dónde deben almacenarse) o dejarse en los servidores de Microsoft.
• Qué productos, clasificaciones de actualizaciones y lenguajes deben estar disponibles en el servidor.
• Si el servidor debe aprobar automáticamente las actualizaciones para su instalación o debe dejarlas sin aprobar hasta que un administrador las apruebe.
• Si el servidor debe recuperar automáticamente nuevas actualizaciones de Microsoft y, en caso afirmativo, con qué frecuencia.
• Si se deben usar paquetes de actualizaciones rápidas (los paquetes de actualizaciones rápidas reducen el ancho de banda necesario entre el servidor y el cliente, a cambio de usar la CPU o el disco del cliente y el ancho de banda entre servidores).
• Si el script debe sobrescribir su configuración previa. (Por lo general, para evitar una reconfiguración involuntaria que pudiera interrumpir el funcionamiento del servidor, el script se ejecutará una sola vez en un servidor determinado).

Copie el script y su archivo de configuración en un almacenamiento local y edítelo para adecuarlo a sus necesidades.

Este script se puede ejecutar de una de estas dos formas:

• Manualmente, desde la máquina virtual de WSUS.

  El siguiente comando, que se ejecuta desde una ventana del símbolo del sistema con privilegios elevados, instalará y configurará WSUS. Usará el script y el archivo de configuración del directorio actual.

  powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json

• Puede usar la extensión del script personalizado para Windows.

  Copie el script y el archivo de configuración JSON en su propio contenedor de almacenamiento que tenga una línea de visión de red privada en la máquina virtual de WSUS.

  En las configuraciones de máquinas virtuales y de Azure Virtual Network habituales, la extensión del script personalizado solo necesita los dos parámetros siguientes para ejecutar el script correctamente (es preciso reemplazar los valores que se muestran por las direcciones URL de las ubicaciones de almacenamiento).

  settings: {
    fileUris: [
      'https://yourstorageaccount.blob.core.windows.net/wsus/Configure-WSUSServer.ps1'
      'https://yourstorageaccount.blob.core.windows.net/container/WSUS-Config.json'
    ]
    commandToExecute: 'powershell.exe -ExecutionPolicy Unrestricted -File .\Configure-WSUSServer.ps1 -WSUSConfigJson .\WSUS-Config.json'
  }
  

El script empezará la sincronización inicial necesaria para hacer que las actualizaciones estén disponibles para los equipos cliente. Sin embargo, no esperará a que esa sincronización se complete. En función de los productos, las clasificaciones y los lenguajes que se hayan seleccionado, la sincronización inicial puede tardar varias horas en realizarse. No obstante, las sincronizaciones posteriores deberían tardar menos.

Configuración manual de WSUS

En la máquina virtual de WSUS, siga las instrucciones que se encuentran en Instalación del rol de servidor WSUS.

Durante la sincronización, WSUS determina si hay nuevas actualizaciones disponibles desde la última sincronización. Si es la primera vez que sincroniza WSUS, los metadatos se descargarán inmediatamente. La carga solo se descarga si se ha activado activa el almacenamiento local y se ha aprobado la actualización para al menos un grupo de equipos.

Configuración de redes virtuales para que se comuniquen con WSUS

A continuación, configure el emparejamiento de red virtual de Azure o el emparejamiento de red virtual global para comunicarse con el centro de conectividad. Se recomienda configurar un servidor de WSUS en cada región que haya implementado para minimizar la latencia.

En cada red virtual de Azure que sea un satélite, debe crear una directiva de seguridad de red (NSG) que tenga estas reglas:

• Una regla de NSG entrante o saliente para permitir el tráfico a la máquina virtual WSUS en el puerto 8530 (valor predeterminado a menos que esté configurado).
• Una regla de NSG entrante o saliente para denegar el tráfico a Internet.

Después, cree el emparejamiento de red virtual de Azure desde el radio hasta el centro de conectividad.

Configuración de máquinas virtuales cliente

WSUS se puede usar para actualizar cualquier máquina virtual que ejecute Windows. Para configurar clientes mediante la directiva de grupo, consulte Configuración de equipos cliente para recibir actualizaciones del servidor WSUS.

Los administradores de redes grandes deben consultar la sección Configuración de las actualizaciones automáticas y actualización de la ubicación del servicio para poder utilizar la configuración de la directiva de grupo para configurar automáticamente los clientes.

Administrador de actualizaciones de Azure

Puede usar Azure Update Manager para administrar y programar actualizaciones del sistema operativo para las máquinas virtuales que se sincronizan con WSUS. El estado de la actualización de seguridad de la máquina virtual (es decir, qué actualizaciones faltan) se evalúa según el origen con el que la máquina virtual está configurada para sincronizarse. Si la máquina virtual Windows está configurada para informar a WSUS, el resultado podría no ser el mismo que el que muestra. Todo depende de cuándo fue la última vez que se actualizó Microsoft Update. Después de configura el entorno de WSUS, puede habilitar Update Management. Para más información, consulte la introducción a Azure Update Manager.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Autor principal:

• Paul Reed | Responsable sénior de programas de cumplimiento de Azure

Pasos siguientes

• Para más información sobre el planeamiento de una implementación, consulte Planear la implementación de WSUS.
• Para más información sobre la administración de WSUS, la configuración de una programación de sincronización de WSUS, etc., consulte Administración de WSUS.

Recurso relacionado

• Ejecución de una VM con Windows en Azure