Determinar las reglas efectivas del grupo de seguridad de red

Cada grupo de seguridad de red y sus reglas de seguridad definidas se evalúan de forma independiente. Azure procesa las condiciones de cada regla definida para cada máquina virtual de la configuración.

• Para el tráfico entrante, Azure procesa primero las reglas de seguridad del grupo de seguridad de red para las subredes asociadas y, a continuación, las interfaces de red asociadas.
• Para el tráfico saliente, se invierte el proceso. Azure evalúa primero las reglas de seguridad del grupo de seguridad de red para las interfaces de red asociadas seguidas de las subredes asociadas.
• En el caso del proceso de evaluación de entrada y salida, Azure también comprueba cómo aplicar las reglas para el tráfico dentro de la subred. El tráfico entre subredes hace referencia a las máquinas virtuales de la misma subred.

La forma en que Azure termina aplicando las reglas de seguridad definidas para una máquina virtual determina la vigencia general de las reglas.

Evaluación del grupo de seguridad de red

Al aplicar grupos de seguridad de red a una subred y a una interfaz de subred, cada grupo de seguridad de red se evalúa por separado. Las reglas entrantes y salientes se consideran en función del orden de prioridad y procesamiento.

Aspectos que hay que tener en cuenta al crear reglas vigentes

Revise las consideraciones siguientes sobre la creación de reglas de seguridad vigentes para las máquinas de la red virtual.

• Considere la posibilidad de permitir todo el tráfico. Si coloca la máquina virtual dentro de una subred o utiliza una interfaz de red, no tiene que asociar la subred o la NIC a un grupo de seguridad de red. Este enfoque permite todo el tráfico de red a través de la subred o la NIC según las reglas de seguridad predeterminadas de Azure. Si no le preocupa controlar el tráfico al recurso en un nivel específico, no asocie el recurso en ese nivel a un grupo de seguridad de red.

• Considere la importancia de las reglas de permiso. Al crear un grupo de seguridad de red, debe definir una regla de permiso para la subred y la interfaz de red del grupo para asegurarse de que el tráfico puede pasar. Si tiene una subred o una NIC en el grupo de seguridad de red, debe definir una regla de permiso en cada nivel. De lo contrario, se deniega el tráfico para cualquier nivel que no proporcione una definición de regla de permiso.

• Considere el tráfico dentro de la subred. Las reglas de seguridad de un grupo de seguridad de red asociado a una subred pueden afectar al tráfico entre todas las máquinas virtuales de la subred. Puede prohibir el tráfico dentro de la subred definiendo una regla en el grupo de seguridad de red para denegar todo el tráfico entrante y saliente. Esta regla impide que todas las máquinas virtuales de la subred se comuniquen entre sí.

• Considere la prioridad de las reglas. Las reglas de seguridad de un grupo de seguridad de red se procesan en orden de prioridad. Para asegurarse de que siempre se procesa una regla de seguridad determinada, asigne el valor de prioridad más bajo posible a la regla. Se recomienda dejar espacios en la numeración de prioridad, como 100, 200, 300, etc. Los espacios en la numeración permiten agregar nuevas reglas sin tener que editar las reglas existentes.

Visualización de las reglas de seguridad vigentes

Si tiene varios NSG y no está seguro de qué reglas de seguridad se aplican, puede usar el vínculo Reglas de seguridad vigentes en Azure Portal. Puede usar el vínculo para comprobar qué reglas de seguridad se aplican a las máquinas, subredes e interfaces de red.