Crear, modificar o eliminar un grupo de seguridad de red

Las reglas de seguridad de grupos de seguridad de red permiten filtrar el tipo de tráfico de red que puede fluir dentro y fuera de las interfaces de red y las subredes de redes virtuales. Para más información acerca de los grupos de seguridad de red, consulte Seguridad de las redes. Después, complete el tutorial Filtrado del tráfico de red para obtener experiencia con los grupos de seguridad de red.

Antes de empezar

Si no tiene ninguna, configure una cuenta de Azure con una suscripción activa. Cree una cuenta gratuita. Complete una de estas tareas antes de continuar con este artículo:

• Usuarios de Portal: Inicie sesión en Azure Portal con su cuenta de Azure.

• Usuarios de PowerShell: ejecute los comandos en Azure Cloud Shell, o bien ejecute PowerShell en el equipo. Azure Cloud Shell es un shell interactivo gratuito que puede usar para ejecutar los pasos de este artículo. Tiene las herramientas comunes de Azure preinstaladas y configuradas para usarlas en la cuenta. En la pestaña del explorador Azure Cloud Shell, busque la lista desplegable Seleccionar entorno y, después, elija PowerShell si aún no está seleccionado.

  Si ejecuta PowerShell en el entorno local, use la versión del módulo de Azure PowerShell 1.0.0 o una posterior. Ejecute Get-Module -ListAvailable Az.Network para buscar la versión instalada. Si necesita actualizarla, consulte Instalación del módulo de Azure PowerShell. Ejecute Connect-AzAccount para crear una conexión con Azure.

• Usuarios de la interfaz de la línea de comandos (CLI) de Azure: ejecute los comandos en Azure Cloud Shell, o bien ejecute la CLI en el equipo. Use la versión 2.0.28 de la CLI de Azure o una posterior si ejecuta la CLI de Azure en el entorno local. Ejecute az --version para buscar la versión instalada. Si necesita instalarla o actualizarla, vea Instalación de la CLI de Azure. Ejecute az login para crear una conexión con Azure.

La cuenta en la que inicia sesión o con la que se conecta a Azure debe tener asignado el rol Colaborador de red o un rol personalizado que tenga asignadas las acciones apropiadas en Permisos.

Trabajar con grupos de seguridad de red

Los grupos de seguridad de red se pueden crear, ver todos, ver sus detalles, cambiar y eliminar. También puede asociar o desasociar un grupo de seguridad de red de una interfaz de red o subred.

Crear un grupo de seguridad de red

Existe un límite para la cantidad de grupos de seguridad de red que puede crear por suscripción y ubicación de Azure. Para obtener más información, consulte Límites, cuotas y restricciones de suscripción y servicios de Microsoft Azure.

1. En el menú Azure Portal o en la página Inicio, seleccione Crear un recurso.

2. Seleccione Redes y, a continuación, Grupo de seguridad de red.

3. En la página Crear grupo de seguridad de red, en la pestaña Aspectos básicos, establezca los valores de configuración siguientes:

   Configuración	Acción
   Suscripción	Elija su suscripción.
   Grupos de recursos	Seleccione un grupo de recursos existente o seleccione Crear nuevo para crear uno nuevo.
   Nombre	Escriba una cadena de texto única en un grupo de recursos.
   Región	Elija la ubicación que desee.

4. Seleccione Revisar + crear.

5. Cuando vea el mensaje Validación superada, seleccione Crear.

Comandos:

Ver todos los grupos de seguridad de red

Diríjase a Azure Portal para ver sus grupos de seguridad de red. Busque y seleccione Grupos de seguridad de red. Aparecerá la lista de grupos de seguridad de red de su suscripción.

Comandos:

Ver detalles de un grupo de seguridad de red

1. Diríjase a Azure Portal para ver sus grupos de seguridad de red. Busque y seleccione Grupos de seguridad de red.

2. Seleccione el nombre del grupo de seguridad de red.

En la barra de menús del grupo de seguridad de red, en Configuración, puede ver las opciones de Reglas de seguridad de entrada, Reglas de seguridad de salida, Interfaces de red y Subredes a las que está asociado el grupo de seguridad de red.

En Supervisión, puede habilitar o deshabilitar Configuración de diagnóstico. En Soporte técnico y solución de problemas, puede ver Reglas de seguridad vigentes. Para más información, consulte Registros de diagnóstico de un grupo de seguridad de red y Diagnóstico de problemas al filtrar el tráfico de red de una VM.

Para más información sobre la configuración común de Azure que se muestra, consulte los artículos siguientes:

• Registro de actividad
• Control de acceso (IAM)
• Etiquetas
• Bloqueos
• Script de Automation

Comandos:

Cambiar un grupo de seguridad de red

1. Diríjase a Azure Portal para ver sus grupos de seguridad de red. Busque y seleccione Grupos de seguridad de red.

2. Seleccione el nombre del grupo de seguridad de red que quiere modificar.

Los cambios más comunes son agregar una regla de seguridad, quitar una regla de seguridad y asociar un grupo de seguridad de red a una subred o una interfaz de red, o desasociarlo.

Comandos:

Asociar o desasociar un grupo de seguridad de red a o de una subred o una interfaz de red

Para asociar un grupo de seguridad de red a una interfaz de red o desasociarlo de esta, consulte Asociar un grupo de seguridad de red o una interfaz de red o desasociarlo de esta. Para asociar un grupo de seguridad de red a una subred o desasociarlo de esta, consulte Modificación de la configuración de subred.

Eliminar un grupo de seguridad de red

Si un grupo de seguridad de red está asociado a subredes o interfaces de red, no se puede eliminar. Desasocie un grupo de seguridad de red de todas las subredes e interfaces de red antes de intentar eliminarlo.

1. Diríjase a Azure Portal para ver sus grupos de seguridad de red. Busque y seleccione Grupos de seguridad de red.

2. Seleccione el nombre del grupo de seguridad de red que quiere eliminar.

3. En la barra de herramientas del grupo de seguridad de red, seleccione Eliminar. A continuación, seleccione Sí en el cuadro de diálogo de confirmación.

Comandos:

Trabajar con reglas de seguridad

Un grupo de seguridad de red puede contener una regla de seguridad, varias o ninguna. Las reglas de seguridad se pueden crear, ver todas, ver sus detalles, cambiar y eliminar.

Creación de una regla de seguridad

Existe un límite para la cantidad de reglas por grupo de seguridad de red que puede crear por suscripción y ubicación de Azure. Para obtener más información, consulte Límites, cuotas y restricciones de suscripción y servicios de Microsoft Azure.

1. Diríjase a Azure Portal para ver sus grupos de seguridad de red. Busque y seleccione Grupos de seguridad de red.

2. Seleccione el nombre del grupo de seguridad de red al que quiere agregar una regla de seguridad.

3. En la barra de menús del grupo de seguridad de red, elija Reglas de seguridad de entrada o Reglas de seguridad de salida.

   Se muestran varias reglas existentes, incluidas algunas que quizás no haya agregado. Cuando se crea un grupo de seguridad de red, se crean en este varias reglas de seguridad predeterminadas. Para más información, consulte las reglas de seguridad predeterminadas. Las reglas de seguridad predeterminadas no se pueden eliminar, pero pueden reemplazarse por reglas de prioridad más alta.

4. Seleccione Agregar. Seleccione o agregue valores para las siguientes opciones y, continuación, seleccione Aceptar:

   Configuración	Value	Detalles
   Origen	Uno de los valores siguientes: Cualquiera Direcciones IP Etiqueta de servicio (regla de seguridad de entrada) o VirtualNetwork (regla de seguridad de salida) Grupo de seguridad de aplicaciones	Si elige Direcciones IP, también debe especificar Intervalos de direcciones IP de origen y CIDR. Si elige Etiqueta de servicio, también puede seleccionar una opción de Etiqueta de servicio de origen. Si elige Grupo de seguridad de aplicaciones, también debe seleccionar un grupo de seguridad de aplicaciones existente. Si elige Grupo de seguridad de aplicaciones en Origen y Destino, las interfaces de red de ambos grupos de seguridad de aplicaciones deben estar en la misma red virtual.
   Intervalos de direcciones IP de origen y CIDR	Lista delimitada por comas de direcciones IP e intervalos de Enrutamiento de interdominios sin clases (CIDR)	Esta opción aparece si cambia Origen a Direcciones IP. Debe especificar un valor único o una lista de varios valores separados por comas. Un ejemplo de varios valores es 10.0.0.0/16, 192.188.1.1. Se aplican límites al número de valores que puede especificar. Para más información, consulte Límites de Azure. Si la dirección IP que especifica se asigna a una VM de Azure, especifique su dirección IP privada, no la pública. Azure procesa las reglas de seguridad después de cambiar la dirección IP pública por una dirección IP privada para las reglas de seguridad de entrada, pero antes de cambiar una dirección IP privada por una dirección IP pública para las reglas de salida. Para más información sobre las direcciones IP públicas y privadas de Azure, consulte Tipos de direcciones IP.
   Etiqueta de servicio de origen	Una etiqueta de servicio de la lista desplegable	Esta opción de configuración opcional aparece si se establece Origen en Etiqueta de servicio para una regla de seguridad de entrada. Una etiqueta de servicio es un identificador predefinido para una categoría de direcciones IP. Para más información sobre las etiquetas de servicio disponibles y qué representa cada etiqueta, consulte Etiquetas de servicio.
   Grupo de seguridad de aplicación de origen	Grupo de seguridad de aplicaciones existente	Esta opción de configuración aparece si se establece Origen en Grupo de seguridad de aplicaciones. Seleccione un grupo de seguridad de aplicaciones que exista en la misma región que la interfaz de red. Obtenga información sobre cómo crear un grupo de seguridad de aplicaciones.
   Intervalos de puertos de origen	Uno de los valores siguientes: Un puerto único, como 80 Un intervalo de puertos, como 1024-65535 Una lista de puertos únicos o intervalos de puertos separados por comas, como 80, 1024-65535 Un asterisco (*) para permitir el tráfico en cualquier puerto	Esta opción de configuración especifica los puertos en los que la regla permite o deniega el tráfico. Se aplican límites al número de puertos que puede especificar. Para más información, consulte Límites de Azure.
   Destino	Uno de los valores siguientes: Cualquiera Direcciones IP Etiqueta de servicio (regla de seguridad de salida) o VirtualNetwork (regla de seguridad de entrada) Grupo de seguridad de aplicaciones	Si selecciona Direcciones IP, especifique también los Intervalos de direcciones IP de destino y CIDR. Si elige VirtualNetwork, se permite el tráfico a todas las direcciones IP del espacio de direcciones de la red virtual. VirtualNetwork es una etiqueta de servicio. Si selecciona Grupo de seguridad de aplicaciones, debe seleccionar un grupo de seguridad de aplicaciones existente. Obtenga información sobre cómo crear un grupo de seguridad de aplicaciones.
   Intervalos de direcciones IP de destino y CIDR	Lista de direcciones IP e intervalos CIDR delimitados por comas	Esta opción aparece si cambia Destino a Direcciones IP. De manera similar a Origen e Intervalos de direcciones IP de origen y CIDR, puede especificar uno o varios intervalos o direcciones. Se aplican límites al número que puede especificar. Para más información, consulte Límites de Azure. Si la dirección IP que especifica se asigna a una VM de Azure, asegúrese de especificar su dirección IP privada, no la pública. Azure procesa las reglas de seguridad después de cambiar la dirección IP pública por una dirección IP privada para las reglas de seguridad de entrada, pero antes de cambiar una dirección IP privada por una dirección IP pública para las reglas de salida. Para más información sobre las direcciones IP públicas y privadas de Azure, consulte Tipos de direcciones IP.
   Etiqueta de servicio de destino	Una etiqueta de servicio de la lista desplegable	Esta opción de configuración opcional aparece si se establece Destino en Etiqueta de servicio para una regla de seguridad de salida. Una etiqueta de servicio es un identificador predefinido para una categoría de direcciones IP. Para más información sobre las etiquetas de servicio disponibles y qué representa cada etiqueta, consulte Etiquetas de servicio.
   Grupo de seguridad de aplicación de destino	Grupo de seguridad de aplicaciones existente	Esta opción de configuración aparece si se establece Destino en Grupo de seguridad de aplicaciones. Seleccione un grupo de seguridad de aplicaciones que exista en la misma región que la interfaz de red. Obtenga información sobre cómo crear un grupo de seguridad de aplicaciones.
   Intervalos de puertos de destino	Uno de los valores siguientes: Un puerto único, como 80 Un intervalo de puertos, como 1024-65535 Una lista de puertos únicos o intervalos de puertos separados por comas, como 80, 1024-65535 Un asterisco (*) para permitir el tráfico en cualquier puerto	Como con Intervalos de puertos de origen, puede especificar uno o varios puertos e intervalos. Se aplican límites al número que puede especificar. Para más información, consulte Límites de Azure.
   Protocolo	Cualquiera, TCP, UDP o ICMP	Puede restringir la regla al Protocolo de control de transmisión (TCP), el Protocolo de datagramas de usuario (UDP) y el Protocolo de mensajes de control de Internet (ICMP). La opción predeterminada es que la regla se aplique a todos los protocolos.
   Acción	Permitir o Denegar	Esta opción de configuración especifica si esta regla permite o deniega el acceso a la configuración de origen y de destino proporcionada.
   Prioridad	Escriba un valor de 100 a 4096 que sea único para todas las reglas de seguridad del grupo de seguridad de red	Azure procesa las reglas de seguridad en orden de prioridad. Cuanto menor sea el número, mayor será la prioridad. Se recomienda dejar un espacio entre los números de prioridad al crear reglas, como 100, 200 y 300. Dejar espacios facilita la adición de reglas en el futuro, de modo que pueda asignarles una prioridad por encima o por debajo de las reglas existentes.
   Nombre	Nombre único para la regla en el grupo de seguridad de red	Puede tener hasta 80 caracteres. Debe comenzar con una letra o un número y terminar con una letra, un número o un carácter de subrayado. El nombre solo puede contener letras, números, caracteres de subrayado, puntos o guiones.
   Descripción	Descripción de texto	Opcionalmente, puede especificar una descripción de texto para la regla de seguridad. La descripción no puede tener más de 140 caracteres.

Comandos:

Ver todas las reglas de seguridad

Un grupo de seguridad de red contiene varias reglas o ninguna. Para más detalles sobre la información que aparece al ver las rutas, consulte la introducción a la seguridad de red.

1. Diríjase a Azure Portal para ver las reglas de un grupo de seguridad de red. Busque y seleccione Grupos de seguridad de red.

2. Seleccione el nombre del grupo de seguridad de red cuyas reglas quiere ver.

3. En la barra de menús del grupo de seguridad de red, elija Reglas de seguridad de entrada o Reglas de seguridad de salida.

La lista contiene todas las reglas que ha creado y las reglas de seguridad predeterminadas del grupo de seguridad de red.

Comandos:

Ver detalles de una regla de seguridad

1. Diríjase a Azure Portal para ver las reglas de un grupo de seguridad de red. Busque y seleccione Grupos de seguridad de red.

2. Seleccione el nombre del grupo de seguridad de red del que quiere ver los detalles de una de sus reglas.

3. En la barra de menús del grupo de seguridad de red, elija Reglas de seguridad de entrada o Reglas de seguridad de salida.

4. Seleccione la regla cuyos detalles quiere ver. Para obtener una explicación de todas las opciones, consulte Configuración de reglas de seguridad.

   Nota

   Este procedimiento solo se aplica a una regla de seguridad personalizada. No funciona si elige una regla de seguridad predeterminada.

Comandos:

Cambiar una regla de seguridad

1. Complete los pasos de Ver detalles de una regla de seguridad.

2. Cambie la configuración según sea necesario y, a continuación, seleccione Guardar. Para obtener una explicación de todas las opciones, consulte Configuración de reglas de seguridad.

   Nota

   Este procedimiento solo se aplica a una regla de seguridad personalizada. No se permite cambiar una regla de seguridad predeterminada.

Comandos:

Eliminar una regla de seguridad

1. Complete los pasos de Ver detalles de una regla de seguridad.

2. Seleccione Eliminar y, luego, seleccione Sí.

   Nota

   Este procedimiento solo se aplica a una regla de seguridad personalizada. No se permite eliminar una regla de seguridad predeterminada.

Comandos:

Trabajar con grupos de seguridad de aplicaciones

Un grupo de seguridad de aplicaciones contiene una interfaz de red, varias o ninguna. Para más información, consulte grupos de seguridad de aplicaciones. Todas las interfaces de red de un grupo de seguridad de aplicaciones deben existir en la misma red virtual. Para obtener información sobre cómo agregar una interfaz de red a un grupo de seguridad de aplicaciones, consulte el tema sobre cómo agregar una interfaz de red a un grupo de seguridad de aplicaciones.

Crear un grupo de seguridad de aplicaciones

1. En el menú Azure Portal o en la página Inicio, seleccione Crear un recurso.

2. En el cuadro de búsqueda, escriba Grupo de seguridad de aplicaciones.

3. En la página Grupo de seguridad de aplicaciones, seleccione Crear.

4. En la página Crear un grupo de seguridad de aplicación, en la pestaña Aspectos básicos, establezca los valores de configuración siguientes:

   Configuración	Acción
   Suscripción	Elija su suscripción.
   Grupos de recursos	Seleccione un grupo de recursos existente o seleccione Crear nuevo para crear uno nuevo.
   Nombre	Escriba una cadena de texto única en un grupo de recursos.
   Región	Elija la ubicación que desee.

5. Seleccione Revisar + crear.

6. En la pestaña Revisar y crear, cuando aparezca el mensaje Validación superada, seleccione Crear.

Comandos:

Ver todos los grupos de seguridad de aplicaciones

Vaya a Azure Portal para ver sus grupos de seguridad de aplicaciones. Busque y seleccione Grupos de seguridad de aplicaciones. Azure Portal muestra una lista de sus grupos de seguridad de aplicaciones.

Comandos:

Ver detalles de un grupo de seguridad de aplicaciones específico

1. Diríjase a Azure Portal para ver un grupo de seguridad de aplicaciones. Busque y seleccione Grupos de seguridad de aplicaciones.

2. Seleccione el nombre del grupo de seguridad de aplicaciones del que quiera ver los detalles.

Comandos:

Cambiar un grupo de seguridad de aplicaciones

1. Diríjase a Azure Portal para ver un grupo de seguridad de aplicaciones. Busque y seleccione Grupos de seguridad de aplicaciones.

2. Seleccione el nombre del grupo de seguridad de aplicaciones que quiere cambiar.

3. Seleccione Cambiar junto a la opción de configuración que desea modificar. Por ejemplo, puede agregar o quitar Etiquetas, o bien cambiar los valores de Grupo de recursos o Suscripción.

   Nota

   No puede cambiar la ubicación.

   En la barra de menús, también puede seleccionar Control de acceso (IAM) . En la página Control de acceso (IAM) , puede asignar o quitar permisos para el grupo de seguridad de aplicaciones.

Comandos:

Eliminar un grupo de seguridad de aplicaciones

No puede eliminar un grupo de seguridad de aplicaciones si contiene alguna interfaz de red. Para quitar todas las interfaces de red del grupo de seguridad de aplicaciones, cambie la configuración de la interfaz de red o elimine las interfaces de red. Para obtener más información, consulte Adición o eliminación de grupos de seguridad de aplicaciones o Eliminación de una interfaz de red.

1. Vaya a Azure Portal para administrar sus grupos de seguridad de aplicaciones. Busque y seleccione Grupos de seguridad de aplicaciones.

2. Seleccione el nombre del grupo de seguridad de aplicaciones que quiere eliminar.

3. Haga clic en Eliminar y después en Sí para eliminar el grupo de seguridad de aplicaciones.

Comandos:

Permisos

Para realizar tareas en grupos de seguridad de red, reglas de seguridad y grupos de seguridad de aplicaciones, la cuenta debe estar asignada al rol de colaborador de red o a un rol personalizado que tenga asignados los permisos adecuados que se indican en las tablas siguientes:

Grupo de seguridad de red

Regla de grupo de seguridad de red

Grupo de seguridad de aplicaciones

Pasos siguientes

• Crear una red o un grupo de seguridad de aplicaciones con scripts de ejemplo de PowerShell o de la CLI de Azure, o bien con plantillas de Azure Resource Manager
• Crear y asignar definiciones de Azure Policy para redes virtuales