Un Network Security Group es un firewall a nivel de red con un conjunto de reglas que gestiona permitiendo o denegando el tráfico de red tanto de entrada como de salida a los recursos de Azure que tengamos desplegados.
Reglas de un NSG
- Por defecto, Microsoft ya nos provee de un conjunto de reglas por defecto que no podemos borrar, eso sí, nos permiten deshabilitarlas sí lo consideramos oportuno.
- Cuando tenemos una red virtual con varias subredes, por defecto, el tráfico tanto de entrada como de salida entre las subredes está permitido (RECOMENDADO: crear un NSG diferente para proteger cada subred que un grupo de reglas personalizadas y diferentes entre ellas).
- Por defecto, cuando creamos una máquina virtual el tráfico de salida a Internet está permitido y el tráfico de entrada está bloqueado, para cambiar este comportamiento o nos creamos una nueva regla o desplegamos un Balanceador de carga.
- Podemos implementar reglas a nivel de subredes o de interfaces de red de nuestras máquinas virtuales.
Qué tenemos que tener en cuenta en el despliegue de un NSG
- Tenemos que crear el NSG en la misma región donde residan la/s red/es que vayan a proteger (y sus correspondientes subredes).
- Dentro del conjunto de reglas creadas en un NSG siempre prevalecerá la regla que tenga el número de prioridad más bajo. Comenzando desde 100 hasta 4096.
- Si seleccionamos dentro de una regla de un NSG el Servicio: “Custom”, podremos permitir o denegar la entrada/salida de tráfico basándonos en un rango de puertos. Separando los números de los puertos con comas, o en el caso del que estamos hablando, especificando puerto inicial – puerto final.
Cómo implementar reglas a nivel de interfaz de red para logarnos vía RDP únicamente a una/s máquina/s virtual/es que tenemos desplegada en Azure:
Seguiremos los siguientes pasos:
- Logarnos en el portal de Azure.
- Dentro de nuestro grupo de recursos buscamos y hacemos clic en el nombre de nuestro Network Security Group, en este ejemplo: DC-Produccion-nsg
- Dentro de la sección: Configuración, en la entrada: Interfaces de red, podemos asociar la interfaz de red de la/s máquina/s virtual/es a las que queremos permitir la conexión RDP o SSH para poderlas administrar.
- Clic dentro de la sección: Configuración en Reglas de seguridad de entrada. Clic en el botón: + Agregar.
- Creamos una regla para poder acceder al sistema operativo de la máquina virtual que tenemos asociada a nivel de interfaz de red.
Regla permite RDP a nuestra Máquina Virtual:
-
- Origen: Any.
- Intervalos de puerto de origen: *
- Destino: IP Addresses
- Intervalos de puerto de destino y CDR: IP pública de la máquina Virtual
- Servicio: RDP
- Intervalos de puerto de destino: 3389
- Protocolo: TCP
- Acción: Permitir
- Prioridad: 100
- Nombre: RDP-DC-Produccion
- Descripción: Podemos escribir el texto descriptivo que queramos
- Clic en el botón: Agregar (para agregar la regla al NSG)
Y ya tendríamos acceso a la máquina/s virtual/es vía protocolo RDP:
Cómo implementar reglas en el NSG a nivel de subred:
NOTA: Podemos crear todos los NSGs que necesitemos ya que es un recurso gratuito en Azure. Por lo que RECOMENDADO crear un NSG para cada subred que necesitemos implementar diferentes reglas de protección de red.
Seguiremos los siguientes pasos:
- Logarnos en el portal de Azure.
- Dentro de nuestro grupo de recursos buscamos y hacemos clic en el nombre de nuestro Network Security Group, en este ejemplo: DC-Produccion-nsg
- Dentro de la sección: Configuración, podemos asociar la red y las subredes dentro de la misma. Podemos asociar la red virtual y seleccionar una única subred o repitiendo el proceso todas las subredes que necesitemos.
- Clic dentro de la sección: Configuración en Reglas de seguridad de entrada. Clic en el botón: + Agregar.
- Creamos una regla para permitir el acceso a nuestros servidores web desplegados en la subred: 10.0.2.0/24.
Regla permite RDP a nuestra Máquina Virtual:
-
- Origen: Any.
- Intervalos de puerto de origen: *
- Destino: IP Addresses
- Intervalos de puerto de destino y CDR: 10.0.2.0/24
- Servicio: Custom
- Intervalos de puerto de destino: 80,443
- Protocolo: TCP
- Acción: Permitir
- Prioridad: 110
- Nombre: Ports-80,443
- Descripción: Podemos escribir el texto descriptivo que queramos
- Clic en el botón: Agregar (para agregar la regla al NSG)
En V-Valley, junto con GTI, como proveedor de soluciones Cloud y especialistas en Microsoft, llevamos años asesorando y colaborando con nuestros partners en el desarrollo de los modelos de negocio y correcto licenciamiento de las soluciones Microsoft.
Estamos a vuestra disposición para facilitaros el acceso a este servicio y colaborar juntos. No dudéis en contactar con nosotros.