Registros de flujo de grupos de seguridad de red
Los registros de flujo de grupos de seguridad de red (NSG) son una característica de Azure Network Watcher que le permite registrar información sobre el tráfico de IP que pasa por un grupo de seguridad de red. Los datos de flujo se envían a Azure Storage y desde allí se puede acceder a ellos y exportarlos a cualquier herramienta que se quiera de visualización, solución de administración de eventos e información de seguridad (SIEM) o sistema de detección de intrusiones (IDS).
¿Por qué usar registros de flujo?
Es fundamental supervisar, administrar y conocer la propia red para poder protegerla y optimizarla. Debe conocer el estado actual de la red, quién se conecta y dónde se conectan los usuarios. También debe saber qué puertos están abiertos a Internet, qué comportamiento de red se espera, cuál es irregular y cuándo se producen aumentos de tráfico repentinos.
Los registros de flujo son el origen único de toda la actividad de red del entorno en la nube. Tanto si es una startup que intenta optimizar los recursos como si forma parte de una gran empresa que intenta detectar intrusiones, los registros de flujo les resultará de gran ayuda. Puede usarlos para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más.
Casos de uso comunes
Supervisión de redes
- Identifique el tráfico desconocido o no deseado.
- Supervise los niveles de tráfico y el consumo de ancho de banda.
- Filtre los registros de flujo por IP y puerto para comprender el comportamiento de la aplicación.
- Exporte registros de flujo a las herramientas de visualización y análisis que prefiera para configurar paneles de supervisión.
Supervisión y optimización de uso
- Identifique los principales hablantes en su red.
- Combine datos de GeoIP para identificar el tráfico entre regiones.
- Comprenda el crecimiento del tráfico para realizar previsiones de capacidad.
- Use datos para quitar reglas de tráfico excesivamente restrictivas.
Cumplimiento normativo
- Use los datos de flujo para comprobar el aislamiento de red y el cumplimiento de las reglas de acceso empresarial.
Análisis de seguridad y análisis forense de la red
- Analice los flujos de red de las IP e interfaces de red comprometidas.
- Exporte los registros de flujo a cualquier herramienta SIEM o IDS de su elección.
Funcionamiento de los registros de flujo de NSG
Entre las propiedades clave de los registros de flujo de NSG se incluyen las siguientes:
- Los registros de flujo funcionan en la capa 4 del modelo Interconexión de sistemas abiertos (OSI) y registran todos los flujos IP que entran y salen de un grupo de seguridad de red.
- Los registros se recopilan, a intervalos de 1 minuto, a través de la plataforma Azure. No afectan a los recursos de Azure ni al rendimiento de la red de ninguna manera.
- Los registros se escriben en formato JSON y muestran flujos entrantes y salientes por cada regla del grupo de seguridad de red.
- Cada entrada del registro contiene la interfaz de red (NIC) a la que se aplica el flujo, información de 5-tupla, la decisión de tráfico e información de rendimiento (solo en la versión 2).
- Los registros de flujo de NSG tienen una característica de retención que permite la eliminación automática de los registros hasta un año después de su creación.
Nota
La retención solo está disponible si usa cuentas de almacenamiento de uso general v2.
Entre los conceptos básicos de los registros de flujo se incluyen los siguientes:
- Las redes definidas por software están organizadas en torno a redes virtuales y subredes. Puede administrar la seguridad de estas redes virtuales y subredes mediante grupos de seguridad de red.
- Un grupo de seguridad de red contiene reglas de seguridad que permiten o deniegan el tráfico de red hacia o desde los recursos de Azure a los que está conectado el grupo de seguridad de red. Un grupo de seguridad de red se puede asociar a una subred o a una interfaz de red de una máquina virtual (VM). Para más información, consulte Introducción a los grupos de seguridad de red.
- Todos los flujos de tráfico de la red se evalúan mediante las reglas del grupo de seguridad de red correspondiente. El resultado de estas evaluaciones son los registros de flujo del grupo de seguridad de red.
- Los registros de flujo de NSG se recopilan mediante la plataforma Azure y no requieren ningún cambio en los recursos de Azure.
- Hay dos tipos de reglas de grupo de seguridad de red: de terminación y de no terminación. Cada tipo tiene comportamientos de registro diferentes:
- Las reglas de denegación son de terminación. El grupo de seguridad de red que deniega el tráfico lo registra en los registros de flujo. El procesamiento, en este caso, se detiene después de que cualquier grupo de seguridad de red deniega el tráfico.
- Las reglas de permiso son de no terminación. Si el grupo de seguridad de red permite el tráfico, el procesamiento continúa hasta el grupo de seguridad de red siguiente. El último grupo de seguridad de red que permita el tráfico lo registra en los registros de flujo.
- Los registros de flujo de grupos de seguridad de red se escriben en cuentas de almacenamiento. Puede exportar, procesar, analizar y visualizar registros de flujo de NSG usando herramientas como los análisis de tráfico de Network Watcher, Splunk, Grafana o Stealthwatch.
Formato de registro
Los registros de flujo de NSG incluyen las propiedades siguientes:
time: la hora UTC en la que se registró el evento.systemId: el identificador de sistema del grupo de seguridad de red.category: categoría del evento. La categoría es siempreNetworkSecurityGroupFlowEvent.resourceid: el identificador de recurso del grupo de seguridad de red.operationName: siempreNetworkSecurityGroupFlowEvents.properties: recopilación de las propiedades del flujo:Version: número de versión del esquema de eventos del registro de flujos.flows: recopilación de flujos. Esta propiedad tiene varias entradas según diferentes reglas.rule: regla según la cual se muestran los flujos.flows: recopilación de flujos.mac: dirección MAC de la NIC de la máquina virtual en la que se recopiló el flujo.flowTuples: cadena que contiene varias propiedades de la tupla de flujo en un formato separado por comas:Time stamp: marca de tiempo de cuando se produjo el flujo en formato de tiempo UNIX.Source IP: dirección IP de origen.Destination IP: dirección IP de destino.Source port: puerto de origen.Destination port: puerto de destino.Protocol: protocolo del flujo. Los valores válidos sonTpara TCP yUpara UDP.Traffic flow: dirección del tráfico del flujo. Los valores válidos sonIpara el correo entrante yOpara el saliente.Traffic decision: indica si el tráfico se permitió o se denegó. Los valores válidos sonApara permitido yDpara denegado.Flow State - Version 2 Only: estado del flujo. Los estados posibles son:B: inicio, cuando se creó el flujo. No se proporcionan las estadísticas.C: continuación del curso de un flujo. Las estadísticas se proporcionan a intervalos de cinco minutos.E: finalización, cuando terminó el flujo. Se proporcionan las estadísticas.
Packets sent - Version 2 Only: número total de paquetes TCP enviados desde el origen al destino desde la última actualización.Bytes sent - Version 2 Only: número total de bytes de paquetes TCP enviados desde el origen al destino desde la última actualización. Los bytes de paquete incluyen el encabezado y la carga del paquete.Packets received - Version 2 Only: número total de paquetes TCP enviados desde el destino al origen desde la última actualización.Bytes received - Version 2 Only: número total de bytes de paquetes TCP enviados desde el destino al origen desde la última actualización. Los bytes de paquete incluyen el encabezado y la carga del paquete.
La versión 2 de los registros de flujo de grupos de seguridad de red presenta el concepto de estado del flujo. Puede configurar qué versión de los registros de flujo recibe.
El estado de flujo B se registra cuando se inicia un flujo. El estado de flujo C y el estado de flujo E son estados que marcan la continuación de un flujo y la terminación de este, respectivamente. Los estados C y E contienen información sobre el ancho de banda del tráfico.
Entradas de registro de ejemplo
En los ejemplos siguientes de un registro de flujo de NSG, varios registros siguen la lista de propiedades que se ha descrito arriba.
Nota
Los valores de la propiedad flowTuples son una lista separada por comas.
versión 1
Este es un formato de ejemplo de un registro de flujo de grupos de seguridad de red de la versión 1:
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
{
"records": [
{
"time": "2017-02-16T22:00:32.8950000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282421,42.119.146.95,10.1.0.4,51529,5358,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282370,163.28.66.17,10.1.0.4,61771,3389,T,I,A",
"1487282393,5.39.218.34,10.1.0.4,58596,3389,T,I,A",
"1487282393,91.224.160.154,10.1.0.4,61540,3389,T,I,A",
"1487282423,13.76.89.229,10.1.0.4,53163,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:01:32.8960000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282481,195.78.210.194,10.1.0.4,53,1732,U,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282435,61.129.251.68,10.1.0.4,57776,3389,T,I,A",
"1487282454,84.25.174.170,10.1.0.4,59085,3389,T,I,A",
"1487282477,77.68.9.50,10.1.0.4,65078,3389,T,I,A"
]
}
]
}
]
}
},
{
"time": "2017-02-16T22:02:32.9040000Z",
"systemId": "2c002c16-72f3-4dc5-b391-3444c3527434",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 1,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282492,175.182.69.29,10.1.0.4,28918,5358,T,I,D",
"1487282505,71.6.216.55,10.1.0.4,8080,8080,T,I,D"
]
}
]
},
{
"rule": "UserRule_default-allow-rdp",
"flows": [
{
"mac": "000D3AF8801A",
"flowTuples": [
"1487282512,91.224.160.154,10.1.0.4,59046,3389,T,I,A"
]
}
]
}
]
}
}
]
}
]
}
versión 2
Este es un formato de ejemplo de un registro de flujo de grupos de seguridad de red de la versión 2:
{
"records": [
{
"time": "2018-11-13T12:00:35.3899262Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110402,94.102.49.190,10.5.16.4,28746,443,U,I,D,B,,,,",
"1542110424,176.119.4.10,10.5.16.4,56509,59336,T,I,D,B,,,,",
"1542110432,167.99.86.8,10.5.16.4,48495,8088,T,I,D,B,,,,"
]
}
]
},
{
"rule": "DefaultRule_AllowInternetOutBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110377,10.5.16.4,13.67.143.118,59831,443,T,O,A,B,,,,",
"1542110379,10.5.16.4,13.67.143.117,59932,443,T,O,A,E,1,66,1,66",
"1542110379,10.5.16.4,13.67.143.115,44931,443,T,O,A,C,30,16978,24,14008",
"1542110406,10.5.16.4,40.71.12.225,59929,443,T,O,A,E,15,8489,12,7054"
]
}
]
}
]
}
},
{
"time": "2018-11-13T12:01:35.3918317Z",
"systemId": "a0fca5ce-022c-47b1-9735-89943b42f2fa",
"category": "NetworkSecurityGroupFlowEvent",
"resourceId": "/SUBSCRIPTIONS/00000000-0000-0000-0000-000000000000/RESOURCEGROUPS/FABRIKAMRG/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/FABRIAKMVM1-NSG",
"operationName": "NetworkSecurityGroupFlowEvents",
"properties": {
"Version": 2,
"flows": [
{
"rule": "DefaultRule_DenyAllInBound",
"flows": [
{
"mac": "000D3AF87856",
"flowTuples": [
"1542110437,125.64.94.197,10.5.16.4,59752,18264,T,I,D,B,,,,",
"1542110475,80.211.72.221,10.5.16.4,37433,8088,T,I,D,B,,,,",
"1542110487,46.101.199.124,10.5.16.4,60577,8088,T,I,D,B,,,,",
"1542110490,176.119.4.30,10.5.16.4,57067,52801,T,I,D,B,,,,"
]
}
]
}
]
}
}
]
}
Cálculo de tupla y ancho de banda de registro
Este es un cálculo de ancho de banda de ejemplo para las tuplas de flujo de una conversación TCP entre 185.170.185.105:35370 y 10.2.0.4:23:
1493763938,185.170.185.105,10.2.0.4,35370,23,T,I,A,B,,,,
1493695838,185.170.185.105,10.2.0.4,35370,23,T,I,A,C,1021,588096,8005,4610880
1493696138,185.170.185.105,10.2.0.4,35370,23,T,I,A,E,52,29952,47,27072
Para los estados de continuación (C) y de finalización (E), los recuentos de paquetes y bytes son recuentos agregados desde el momento del registro de la tupla de flujo anterior. En el ejemplo anterior, el número total de paquetes transferidos es 1021+52+8005+47 = 9125. El número total de bytes transferidos es 588096+29952+4610880+27072 = 5256000.
Administración de registros de flujo de NSG
Para obtener información sobre cómo crear, cambiar, deshabilitar o eliminar registros de flujo de NSG, consulte una de las siguientes guías:
Trabajar con registros de flujo
Lectura y exportación de registros de flujo
Para obtener información sobre cómo leer y exportar registros de flujo de NSG, consulte una de las siguientes guías:
- Descarga y visualización de registros de flujo desde el portal
- Lectura de registros de flujo mediante las funciones de PowerShell
- Exportación de registros de flujo de grupos de seguridad de red a Splunk
Los archivos de registro de flujo de NSG se almacenan en una cuenta de almacenamiento en la ruta de acceso siguiente:
https://{storageAccountName}.blob.core.windows.net/insights-logs-networksecuritygroupflowevent/resourceId=/SUBSCRIPTIONS/{subscriptionID}/RESOURCEGROUPS/{resourceGroupName}/PROVIDERS/MICROSOFT.NETWORK/NETWORKSECURITYGROUPS/{nsgName}/y={year}/m={month}/d={day}/h={hour}/m=00/macAddress={macAddress}/PT1H.json
Visualización de registros de flujo
Para obtener información sobre cómo visualizar los registros de flujo de NSG, consulte una de las siguientes guías:
- Visualización de registros de flujo de grupos de seguridad de red mediante el análisis de tráfico de Azure Network Watcher
- Visualización de registros de flujo de grupos de seguridad de red mediante Power BI
- Visualización de registros de flujo de grupo de seguridad de red mediante Elastic Stack
- Administración y análisis de registros de flujo de grupos de seguridad de red con Grafana
- Administración y análisis de registros de flujo de grupos de seguridad de red con Graylog
Consideraciones para los registros de flujo de grupos de seguridad de red
Cuenta de almacenamiento
- Ubicación: la cuenta de almacenamiento debe estar en la misma región que el grupo de seguridad de red.
- suscripción: la cuenta de almacenamiento debe estar en la misma suscripción del grupo de seguridad de red o en una suscripción asociada al mismo inquilino de Microsoft Entra de la suscripción del grupo de seguridad de red.
- Nivel de rendimiento: la cuenta de almacenamiento debe ser estándar. No se admiten cuentas de almacenamiento prémium.
- Rotación de claves autoadministrable: si se cambian o rotan las claves de acceso a su cuenta de almacenamiento, los registros de flujos de grupos de seguridad de red dejan de funcionar. Para solucionar este problema, se deben deshabilitar y volver a habilitar los registros de flujos de grupos de seguridad de red.
Costee
El registro de flujos de NSG se factura según el volumen de registros generados. Un volumen de tráfico elevado puede dar lugar a un volumen de registro de flujo elevado, lo que aumenta los costos asociados.
Los precios del registro de flujo de NSG no incluyen los costos subyacentes del almacenamiento. Conservar los datos de los registros de flujo del grupo de seguridad de red para siempre o usar la característica de directiva de retención significa incurrir en costos de almacenamiento durante largos períodos de tiempo.
Reglas TCP de entrada no predeterminadas
Los grupos de seguridad de red se implementan como un firewall con estado. No obstante, debido a las limitaciones actuales de la plataforma, las reglas de seguridad no predeterminadas de los grupos de seguridad de red que afectan a los flujos TCP de entrada se implementan en modo sin estado.
Los flujos afectados por reglas de entrada no predeterminadas pasan a ser de no terminación. Además, los recuentos de bytes y de paquetes no se registran para estos flujos. Por todo esto, el número de bytes y paquetes que se indican en los registros de flujo de grupos de seguridad de red (y en el análisis de tráfico de Network Watcher) podrían ser diferentes de los números reales.
Puede resolver esta diferencia configurando la propiedad FlowTimeoutInMinutes de las redes virtuales asociadas en un valor que no sea 0. Puede lograr un comportamiento con estado predeterminado estableciendo FlowTimeoutInMinutes en 4 minutos. Para las conexiones de larga duración en las que no desea que los flujos se desconecten de un servicio o destino, puede establecer FlowTimeoutInMinutes en un valor de hasta 30 minutos. Use Get-AzVirtualNetwork para establecer la propiedad FlowTimeoutInMinutes:
$virtualNetwork = Get-AzVirtualNetwork -Name 'myVNet' -ResourceGroupName 'myResourceGroup'
$virtualNetwork.FlowTimeoutInMinutes = 4
$virtualNetwork | Set-AzVirtualNetwork
Flujos entrantes registrados desde direcciones IP de Internet a VM sin direcciones IP públicas
Las máquinas virtuales que no tienen una IP pública asociada con la NIC como IP pública de nivel de instancia, o que forman parte de un grupo de back-end de equilibrador de carga básico, usan SNAT predeterminada. Azure asigna una dirección IP a esas máquinas virtuales para facilitar la conectividad saliente. Como consecuencia, es posible que vea las entradas de registro de flujo para los flujos desde las direcciones IP de Internet, si el flujo está destinado a un puerto en el intervalo de puertos que se han asignado para SNAT.
Aunque Azure no permite estos flujos a la VM, el intento se registra y aparece en el registro de flujos de grupos de seguridad de red de Network Watcher por diseño. Le recomendamos que bloquee explícitamente el tráfico entrante de Internet no deseado con un grupo de seguridad de red.
Grupo de seguridad de red en una subred de puerta de enlace de ExpressRoute
No le recomendamos registrar flujos en una subred de puerta de enlace de Azure ExpressRoute, porque el tráfico puede omitir ese tipo de puerta de enlace (por ejemplo, FastPath). Si un grupo de seguridad de red está vinculado a una subred de puerta de enlace de ExpressRoute y los registros de flujo de grupos de seguridad de red están habilitados, los flujos salientes a las máquinas virtuales podrían no capturarse. Estos flujos deben capturarse en la subred o NIC de la máquina virtual.
Tráfico a un punto de conexión privado
El tráfico a puntos de conexión privados solo se puede capturar en la máquina virtual de origen. El tráfico se registra con la dirección IP de origen de la máquina virtual y la dirección IP de destino del punto de conexión privado. El tráfico no se puede registrar en el propio punto de conexión privado debido a las limitaciones de la plataforma.
Compatibilidad con grupos de seguridad de red asociados a la subred de Application Gateway v2
Actualmente no se admiten registros de flujo de NSG para grupos de seguridad de red asociados a la subred de Azure Application Gateway V2. Se admiten los registros de flujo de NSG para grupos de seguridad de red asociados a la subred de Application Gateway V1.
Servicios incompatibles
Actualmente, estos servicios de Azure no admiten registros de flujo de NSG:
- Azure Container Instances
- Azure Logic Apps
- Funciones de Azure
- Azure DNS Private Resolver
- App Service
- Azure Database for MariaDB
- Azure Database for MySQL
- Azure Database para PostgreSQL
Nota
Los servicios de aplicaciones implementados en el plan de App Service no admiten los registros de flujo de grupos de seguridad de red. Para más información, consulte Cómo funciona la integración de red virtual.
Procedimientos recomendados
Habilitar los registros de flujo de NSG en subredes críticas: los registros de flujo deben habilitarse en todas las subredes críticas de la suscripción como un procedimiento recomendado de seguridad y auditoría.
Habilitar los registros de flujo de NSG en todos los grupos de seguridad de red adjuntos a un recurso: los registros de flujo de NSG se configuran en grupos de seguridad de red. Un flujo se asocia con una regla de grupo de seguridad de red única. En los escenarios en los que utilice varios grupos de seguridad de red, le recomendamos que habilite los registros de flujo de NSG en todos los grupos de seguridad de red aplicados a la interfaz de red (NIC) o subred de un recurso para garantizar que todo el tráfico se registre. Para más información, consulte Cómo filtran el tráfico de red los grupos de seguridad de red.
A continuación, presentamos algunos casos comunes:
- Varias NIC en una máquina virtual: en caso de que varias NIC se asocien a una máquina virtual, deberá permitir los registros de flujo en todas ellas.
- Grupo de seguridad de red en los niveles de NIC y subred: si un grupo de seguridad de red está configurado en el nivel de NIC y en el nivel de subred, deberá habilitar los registros de flujo en ambos grupos de seguridad de red. La secuencia exacta de procesamiento de reglas por los grupos de seguridad de red en niveles de NIC y subred depende de la plataforma y varía de mayúsculas y minúsculas. Los flujos de tráfico se registran en el grupo de seguridad de red que se procesa al último. El estado de la plataforma cambia el orden de procesamiento. Debe comprobar ambos registros de flujo.
- Subred de clústeres de Azure Kubernetes Service (AKS): AKS agrega un grupo de seguridad de red predeterminado a la subred de clústeres. Debe habilitar los registros de flujo de NSG en este grupo de seguridad de red.
Aprovisionamiento de almacenamiento: aprovisione el almacenamiento en ajuste con el volumen esperado de registros de flujo.
Nomenclatura: el nombre del grupo de seguridad de red debe tener hasta 80 caracteres y el nombre de una regla del grupo de seguridad de red no puede tener más de 65. Si los nombres superan sus límites de caracteres, podrían truncarse durante el registro.
Solución de problemas habituales
No puedo habilitar los registros de flujo de NSG
Es posible que reciba un error AuthorizationFailed o GatewayAuthenticationFailed si no habilitó el proveedor de recursos Microsoft.Insights en la suscripción antes de intentar habilitar los registros de flujo de NSG. Para más información, consulte Registro del proveedor de Insights.
He habilitado los registros de flujo de un grupo de seguridad de red, pero no veo los datos en mi cuenta de almacenamiento
Este problema puede estar relacionado con:
Tiempo de instalación: los registros de flujo de un grupo de seguridad de red pueden tardar hasta 5 minutos en aparecer en una cuenta de almacenamiento (si los configuró correctamente). Aparece un archivo PT1H.json. Para más información, consulte Descargar el registro de flujo.
No hay tráfico en los grupos de seguridad de red: en ocasiones, no ve registros porque las máquinas virtuales no están activas, porque hay filtros ascendentes en una instancia de Application Gateway o porque otros dispositivos están bloqueando el tráfico a los grupos de seguridad de red.
Precios
Los registros de flujo de grupos de seguridad de red se cobran por gigabyte (GB) de registros de flujo de red recopilados e incluyen un plan gratuito de 5 GB/mes por suscripción.
Si se activa el análisis de tráfico con los registros de flujo de NSG, los precios del análisis de tráfico se aplican según las tasas de procesamiento de gigabyte. El análisis de tráfico no se ofrece con un plan gratuito de precios. Para más información, consulte Precios de Network Watcher.
El almacenamiento de registros se cobra por separado. Para obtener más información, consulte Precios de Azure Blob Storage.
Contenido relacionado
- Para obtener información sobre cómo administrar los registros de flujo de NSG, consulte Creación, modificación, deshabilitación o eliminación de registros de flujo de NSG mediante Azure Portal.
- Para encontrar respuestas a algunas de las preguntas más frecuentes sobre los registros de flujo de NSG, consulte Preguntas más frecuentes sobre los registros de flujo.
- Para obtener más información sobre los análisis de tráfico, consulte Descripción general de los análisis de tráfico.