Configuración de red y seguridad

Los ajustes en la configuración del servidor se realizan normalmente con equipos en el entorno local. En este sentido, puede considerar las máquinas virtuales de Azure como una extensión de ese entorno. Puede modificar la configuración, administrar redes, abrir o bloquear el tráfico y mucho más mediante Azure Portal, la CLI de Azure o las herramientas de Azure PowerShell.

El servidor está en ejecución, y Apache está instalado y sirviendo páginas. Nuestro equipo de seguridad exige que se bloqueen todos los servidores y todavía no hemos hecho nada a esta máquina virtual. No hemos hecho nada y eso permitió que Apache escuchara en el puerto 80. Vamos a examinar la configuración de red de Azure para ver cómo usar la compatibilidad de seguridad integrada para fortalecer el servidor.

Apertura de puertos en máquinas virtuales de Azure

De forma predeterminada, las nuevas máquinas virtuales están bloqueadas.

Las aplicaciones pueden realizar solicitudes salientes, pero el único tráfico entrante permitido es desde la red virtual (por ejemplo, otros recursos en la misma red local) y desde Azure Load Balancer (comprobaciones de sondeo).

Hay dos pasos para ajustar la configuración para que admita distintos protocolos en la red. Al crear una nueva VM, tiene la oportunidad de abrir algunos puertos comunes (RDP, HTTP, HTTPS y SSH). Sin embargo, si necesita otros cambios en el firewall, tendrá que hacerlos manualmente.

El proceso implica dos pasos:

  1. Crear un grupo de seguridad de red.
  2. Crear una regla de entrada que permita el tráfico con los puertos que se necesitan.

¿Qué es un grupo de seguridad de red?

Las redes virtuales (VNet) constituyen la base del modelo de redes de Azure y proporcionan aislamiento y protección. Los grupos de seguridad de red (NSG) son la principal herramienta para aplicar y controlar las reglas de tráfico de red en el nivel de red. Los grupos de seguridad de red son una capa de seguridad opcional que proporciona un firewall de software gracias al filtrado del tráfico entrante y saliente de la red virtual.

Se pueden asociar a una interfaz de red (para reglas por host), una subred de la red virtual (para aplicar a varios recursos) o a ambos niveles.

Reglas del grupo de seguridad

Los NSG usan reglas para permitir o denegar el movimiento del tráfico a través de la red. Cada regla identifica las direcciones de origen y destino (o rangos), el protocolo, el puerto (o rango), la dirección (entrante o saliente), una prioridad numérica y si desea permitir o denegar el tráfico que coincide con la regla.

Ilustración en la que se muestra la arquitectura de red de grupos de seguridad en dos subredes diferentes. En una subred, hay dos máquinas virtuales, cada una con sus propias reglas de interfaz de red.  La propia subred tiene un conjunto de reglas que se aplica a ambas máquinas virtuales.

Cada grupo de seguridad tiene un conjunto de reglas de seguridad predeterminadas para aplicar las reglas de red predeterminadas descritas anteriormente. Estas reglas predeterminadas no se pueden modificar, pero se pueden reemplazar.

Uso de las reglas de red por parte de Azure

Para el tráfico entrante, Azure procesa el grupo de seguridad asociado a la subred y, después, el grupo de seguridad que se aplica a la interfaz de red. El tráfico saliente se controla en orden inverso (la interfaz de red en primer lugar, seguida de la subred).

Advertencia

Tenga en cuenta que los grupos de seguridad son opcionales en ambos niveles. Si no hay ningún grupo de seguridad aplicado, Azure permite todo el tráfico. Si la máquina virtual tiene una dirección IP pública, esto podría plantear un riesgo grave, especialmente si el sistema operativo no proporciona un firewall integrado.

Las reglas se evalúan en orden de prioridad, comenzando por la regla de prioridad más baja. Las reglas de denegación siempre detienen la evaluación. Por ejemplo, si una regla de la interfaz de red bloquea una solicitud saliente, no se comprobarán las reglas aplicadas a la subred. Para permitir el tráfico a través del grupo de seguridad, debe pasar por todos los grupos aplicados.

La última regla es siempre una regla de Denegar todo. Se trata de una regla predeterminada que se agrega a todos los grupos de seguridad para el tráfico entrante y saliente con una prioridad de 65500. Esto significa que, para que el tráfico pase por el grupo de seguridad, debe tener una regla de permiso o la regla final predeterminada lo bloqueará.

Nota

SMTP (puerto 25) es un caso especial. Según el nivel de suscripción y la fecha de creación de la cuenta, es posible que bloquee el tráfico SMTP saliente. Puede solicitar quitar esta restricción por justificación comercial.

Creación de grupos de seguridad de red

Los grupos de seguridad son recursos administrados, como casi todo en Azure. Puede crearlos en Azure Portal o mediante las herramientas de scripting de línea de comandos. El desafío consiste en definir las reglas. Veamos la definición de una nueva regla para permitir el acceso HTTP y bloquear todo lo demás.