Grupos de seguridad de red

Puede usar el grupo de seguridad de red de Azure para filtrar el tráfico de red entre los recursos de Azure de una red virtual de Azure. Un grupo de seguridad de red contiene reglas de seguridad que permiten o deniegan el tráfico de red entrante o el tráfico de red saliente de varios tipos de recursos de Azure. Para cada regla, puede especificar un origen y destino, un puerto y un protocolo.

En este artículo se abordan las propiedades de una regla de grupo de seguridad de red, las reglas de seguridad predeterminadas que se aplican y las propiedades de regla que se pueden modificar para crear una regla de seguridad aumentada.

Reglas de seguridad

Un grupo de seguridad de red contiene tantas reglas como desee, siempre que esté dentro de los límites de la suscripción de Azure. Cada regla especifica las siguientes propiedades:

Propiedad Explicación
Nombre Un nombre único dentro del grupo de seguridad de red. El nombre puede tener hasta 80 caracteres. Debe comenzar con un carácter de palabra y debe terminar con un carácter de palabra o con "_". El nombre puede contener caracteres de palabra o ".", "-", "_".
Priority Un número entre 100 y 4096. Las reglas se procesan en orden de prioridad. Se procesan primero las reglas con los números más bajos ya que estos tienen más prioridad. Si el tráfico coincide con una regla, se detiene el procesamiento. Como resultado, las reglas con menor prioridad (números más altos) que tengan los mismos atributos que las reglas con una prioridad mayor no se procesarán.
Las reglas de seguridad predeterminadas de Azure reciben el número más alto con la prioridad más baja para asegurarse de que las reglas personalizadas siempre se procesan primero.
Origen o destino Cualquiera, una dirección IP individual, un bloque CIDR de enrutamiento entre dominios sin clases (10.0.0.0/24, por ejemplo), una etiqueta de servicio o un grupo de seguridad de aplicaciones. Si especifica una dirección para un recurso de Azure, especifique la dirección IP privada asignada al recurso. Las grupos de seguridad de red se procesan después de que Azure traduzca una dirección IP pública a una dirección IP privada para el tráfico de entrada y antes de que Azure traduzca una dirección IP privada a una dirección IP pública para el tráfico de salida. Se necesitan menos reglas de seguridad cuando se especifica un intervalo, una etiqueta de servicio o un grupo de seguridad de aplicaciones. La posibilidad de especificar varias direcciones IP individuales e intervalos (no puede especificar varias etiquetas de servicio ni grupos de aplicaciones) en una regla se conoce como reglas de seguridad aumentada. Las reglas de seguridad aumentada solo se pueden generar en los grupos de seguridad de red creados mediante el modelo de implementación de Resource Manager. No puede especificar varias direcciones IP ni intervalos de ellas en grupos de seguridad de red creados mediante el modelo de implementación clásica.
Protocolo TCP, UDP, ICMP, ESP, AH o cualquiera. Los protocolos ESP y AH no están disponibles actualmente en Azure Portal, pero se pueden usar mediante plantillas de ARM.
Dirección Si la regla se aplica al tráfico entrante o al saliente.
Intervalo de puertos Puede especificar un puerto individual o un intervalo de puertos. Por ejemplo, puede especificar 80 o 10000-10005. La especificación de intervalos le permite crear menos reglas de seguridad. Las reglas de seguridad aumentada solo se pueden generar en los grupos de seguridad de red creados mediante el modelo de implementación de Resource Manager. No puede especificar varios puertos ni intervalos de ellos en la misma regla de seguridad de los grupos de seguridad de red creados mediante el modelo de implementación clásica.
Acción Permitir o denegar

Las reglas de seguridad se evalúan y aplican en función de la información de cinco tuplas (origen, puerto de origen, destino, puerto de destino y protocolo). No puede crear dos reglas de seguridad con la misma prioridad y dirección. Se crea un registro de flujo para las conexiones existentes. Se permite o deniega la comunicación en función del estado de conexión del registro de flujo. El registro de flujo permite que un grupo de seguridad de red sea con estado. Por ejemplo, si especifica una regla de seguridad de salida para cualquier dirección a través del puerto 80, no será necesario especificar una regla de seguridad de entrada para la respuesta al tráfico saliente. Solo debe especificar una regla de seguridad de entrada si la comunicación se inicia de forma externa. Lo contrario también es cierto. Si se permite el tráfico entrante a través de un puerto, no es necesario especificar una regla de seguridad de salida para responder al tráfico a través del puerto.

No es posible interrumpir las conexiones existentes cuando se elimina una regla de seguridad que permitió la conexión. Al modificar las reglas de grupo de seguridad de red, solo se verán afectadas las nuevas conexiones. Cuando se crea una nueva regla o se actualiza una regla ya existente en un grupo de seguridad de red, solo se aplicará a las nuevas conexiones. Las conexiones ya existentes no se reevalúan con las nuevas reglas.

Hay límites en el número de reglas de seguridad que puede crear en un grupo de seguridad de red. Para más información, consulte el artículo acerca de los límites de Azure.

Reglas de seguridad predeterminadas

Azure crea las siguientes reglas predeterminadas en cada grupo de seguridad de red que cree:

Entrada

AllowVNetInBound
Priority Source Puertos de origen Destination Puertos de destino Protocolo Acceso
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Any Allow
AllowAzureLoadBalancerInBound
Priority Source Puertos de origen Destination Puertos de destino Protocolo Acceso
65001 AzureLoadBalancer 0-65535 0.0.0.0/0 0-65535 Any Allow
DenyAllInbound
Priority Source Puertos de origen Destination Puertos de destino Protocolo Acceso
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Any Denegar

Salida

AllowVnetOutBound
Priority Source Puertos de origen Destination Puertos de destino Protocolo Acceso
65000 VirtualNetwork 0-65535 VirtualNetwork 0-65535 Any Allow
AllowInternetOutBound
Priority Source Puertos de origen Destination Puertos de destino Protocolo Acceso
65001 0.0.0.0/0 0-65535 Internet 0-65535 Any Allow
DenyAllOutBound
Priority Source Puertos de origen Destination Puertos de destino Protocolo Acceso
65500 0.0.0.0/0 0-65535 0.0.0.0/0 0-65535 Any Denegar

En las columnas Origen y Destino, VirtualNetwork, AzureLoadBalancer e Internet son etiquetas de servicios, en lugar de direcciones IP. En la columna de protocolos, Cualquiera abarca TCP, UDP e ICMP. Al crear una regla, puede especificar TCP, UDP, ICMP o Cualquiera. 0.0.0.0/0 en las columnas Origen y Destino representa todas las direcciones. Los clientes, como Azure Portal, la CLI de Azure o PowerShell, pueden usar * o any en esta expresión.

Las reglas predeterminadas no se pueden quitar, pero puede reemplazarlas con reglas de prioridad más alta.

Reglas de seguridad aumentada

Las reglas de seguridad aumentada permiten simplificar la definición de seguridad para las redes virtuales, lo que le permitirá definir directivas de seguridad de red más grandes y complejas, con menos reglas. Puede combinar varios puertos y varias direcciones IP explícitas e intervalos en una única regla de seguridad de fácil comprensión. Use reglas aumentadas en los campos de origen, destino y puerto de una regla. Para simplificar el mantenimiento de la definición de la regla de seguridad, combine las reglas de seguridad aumentada con etiquetas de servicio o grupos de seguridad de aplicaciones. Hay límites en el número de direcciones, intervalos y puertos que se pueden especificar en una regla. Para más información, consulte el artículo acerca de los límites de Azure.

Etiquetas de servicio

Una etiqueta de servicio representa un grupo de prefijos de direcciones IP de un servicio de Azure determinado. Ayuda a minimizar la complejidad de las actualizaciones frecuentes de las reglas de seguridad de red.

Para más información, consulte Etiquetas de servicio de Azure. Para ver un ejemplo de cómo usar la etiqueta del servicio Storage para restringir el acceso a la red, consulte Restricción del acceso de red a los recursos de PaaS.

Grupos de seguridad de aplicaciones

Los grupos de seguridad de aplicaciones le permiten configurar la seguridad de red como una extensión natural de la estructura de una aplicación, lo que le permite agrupar máquinas virtuales y directivas de seguridad de red basadas en esos grupos. Puede reutilizar la directiva de seguridad a escala sin mantenimiento manual de direcciones IP explícitas. Para más información, consulte Grupos de seguridad de aplicaciones.

Consideraciones de la plataforma Azure

  • Dirección IP virtual del nodo de host: los servicios de infraestructura básica, como DHCP, DNS, IMDS y seguimiento de estado se proporcionan mediante las direcciones IP de host virtualizadas 168.63.129.16 y 169.254.169.254. Estas direcciones IP pertenecen a Microsoft y son la únicas direcciones IP virtualizadas que se usarán en todas las regiones con este fin. De forma predeterminada, estos servicios no están sujetos a los grupos de seguridad de red configurados a menos que estén dirigidos por las etiquetas de servicio específicas de cada servicio. Para invalidar esta comunicación de la infraestructura básica, puede crear una regla de seguridad para denegar el tráfico usando las siguientes etiquetas de servicio en las reglas del grupo de seguridad de red: AzurePlatformDNS, AzurePlatformIMDS, AzurePlatformLKM. Aprenda sobre el diagnóstico del filtrado de tráfico de red y el diagnóstico del enrutamiento de red.

  • Licencias (Servicio de administración de claves) : las imágenes de Windows que se ejecutan en máquinas virtuales deben tener licencia. Para garantizar que se usen licencias, se envía una solicitud a los servidores host del Servicio de administración de claves que administran dichas consultas. La solicitud de salida se realiza a través del puerto 1688. Para implementaciones que usan la configuración de la ruta predeterminada 0.0.0.0/0, se deshabilitará esta regla de plataforma.

  • Máquinas virtuales en grupos de carga equilibrada: el puerto y el intervalo de direcciones de origen aplicados proceden del equipo de origen, no del equilibrador de carga. El puerto y el intervalo de direcciones de destino son los del equipo de destino, no los del equilibrador de carga.

  • Instancias de servicio de Azure: instancias de varios servicios de Azure, como HDInsight, App Service Environment y Virtual Machine Scale Sets, implementados en subredes de la red virtual. Para ver una lista completa de los servicios que puede implementar en redes virtuales, consulte el artículo sobre la Red virtual para los servicios de Azure. Antes de aplicar un grupo de seguridad de red a la subred, familiarícese con los requisitos de puerto para cada servicio. Si deniega los puertos que el servicio requiere, este no funcionará correctamente.

  • Envío de correo electrónico saliente: Microsoft recomienda usar servicios de retransmisión SMTP autenticados (que normalmente se conectan a través del puerto TCP 587, pero a menudo también de otros) para enviar correo electrónico desde Azure Virtual Machines. Los servicios de retransmisión SMTP se especializan en la reputación del remitente, con el fin de minimizar la posibilidad de que proveedores de correo electrónico de terceros rechacen los mensajes. Estos servicios de retransmisión de SMTP incluyen Exchange Online Protection y SendGrid, pero no se limitan a ellos. El uso de servicios de retransmisión de SMTP no tiene ninguna restricción en Azure, independientemente del tipo de suscripción.

    Si ha creado la suscripción a Azure antes del 15 de noviembre de 2017, además de poder usar los servicios de retransmisión de SMTP, puede enviar el correo electrónico directamente a través del puerto TCP 25. Si ha creado la suscripción después del 15 de noviembre de 2017, es posible que no pueda enviar correo electrónico directamente a través del puerto 25. El comportamiento de la comunicación saliente a través del puerto 25 depende del tipo de suscripción que tenga, como se indica a continuación:

    • Contrato Enterprise: en el caso de las máquinas virtuales implementadas en suscripciones de Contrato Enterprise estándar, las conexiones SMTP salientes en el puerto TCP 25 no se bloquearán. Sin embargo, no existen garantías de que los dominios externos acepten los correos electrónicos entrantes de las máquinas virtuales. Si los dominios externos rechazan o filtran los correos electrónicos, tiene que ponerse en contacto con los proveedores de servicios de correo electrónico de los dominios externos para resolver los problemas. Estos problemas no están cubiertos por el Soporte técnico de Azure.

      En el caso de las suscripciones de Desarrollo/pruebas - Enterprise, el puerto 25 está bloqueado de manera predeterminada. Es posible quitar el bloqueo. Para solicitar que se quite el bloqueo, vaya a la sección No se puede enviar correo (puerto SMTP 25) de la página de configuración Diagnosticar y solucionar de un recurso de Azure Virtual Network en Azure Portal y ejecute el diagnóstico. Esto excluirá automáticamente las suscripciones de desarrollo/pruebas empresariales calificadas.

      Después de que la suscripción quede exenta de este bloqueo y se hayan detenido y reiniciado las VM, todas las VM de esa suscripción estarán exentas en el futuro. La exención solo se aplica a la suscripción solicitada, y al tráfico de la VM que se enruta directamente a Internet.

    • Pago por uso: la comunicación saliente a través del puerto 25 está bloqueada en todos los recursos. No se pueden realizar solicitudes para quitar la restricción, ya que no se conceden solicitudes. Si necesita enviar correo electrónico desde la máquina virtual, debe usar un servicio de retransmisión SMTP.

    • MSDN, Pase para Azure, Azure bajo licencia Open, Education y evaluación gratuita: La comunicación del puerto de salida 25 se bloquea en todos los recursos. No se pueden realizar solicitudes para quitar la restricción, ya que no se conceden solicitudes. Si necesita enviar correo electrónico desde la máquina virtual, debe usar un servicio de retransmisión SMTP.

    • Proveedor de servicios en la nube: la comunicación saliente en el puerto 25 está bloqueada en todos los recursos. No se pueden realizar solicitudes para quitar la restricción, ya que no se conceden solicitudes. Si necesita enviar correo electrónico desde la máquina virtual, debe usar un servicio de retransmisión SMTP.

Pasos siguientes