María Alloza
Sunday, October 1, 2023 | 4 minutes
Taller Azure AZ-900 - Crear un grupo de Seguridad de Red
Introducción a Azure Network Security
La seguridad de red se puede definir como el proceso de protección de recursos contra un acceso no autorizado o un ataque mediante la aplicación de controles para el tráfico de red. El objetivo es asegurarse de que solo se permita el tráfico legítimo. Azure incluye una sólida infraestructura de red que respalda sus requisitos de conectividad de aplicaciones y servicios. La conectividad de red es posible entre recursos ubicados en Azure, entre recursos locales y hospedados en Azure y entre Internet y Azure.
Podemos encontrar más información en Introducción a Azure Network Security.
En este post, configuraremos un grupo de seguridad de red.
Configuramos
Iniciamos sesión en Microsoft Azure y buscamos Máquina virtual y hacemos clic en + Agregar y configuraremos los parámetros que nos requiera la plantilla:
| Conficuración | Valores |
|---|---|
| Suscripción | CS-SUB-0467 |
| Grupo de recursos | Crear nuevo grupo de recursos |
| Nombre de la máquina virtual | SimpleWinVM |
| Región | Este de EE. UU. (US) |
| Imagen | Windows Server 2019 Datacenter Gen 2 |
| Tamaño | Estándar D2s v3 |
| Nombre de usuario de la cuenta de administrador | azureuser |
| Contraseña de cuenta de administrador | Pa$$w0rd1234 |
| Reglas de puerto de entrada | Ninguna |
Vamos a la pestaña de Redes y configuramos el grupo de seguridad de red NIC en ninguno y en la pestaña de Administración, deshabilitamos los diagnósticos de arranque. Una vez completado todo, clic en Revisar y crear, y tras estar todo verificado, volvemos a clicar en Crear.
Como podemos ver en la imagen anterior, ya se ha implementado correctamente.
Nos dirigimos al recurso y en las reglas de puerto de entrada debemos de tener en cuenta que no hay un grupo de seguridad de red asociado con la interfaz de red de la máquina virtual o la subred a la que está conectada la interfaz de red.
Creamos un grupo de seguridad de red
En este apartado, crearemos un grupo de seguridad de red y lo asociaremos con la interfaz de red.
Desde la página principal, buscamos Grupos de seguridad de Red y hacemos clic en Crear y configuraremos los parámetros que nos requiera la plantilla:
| Conficuración | Valores |
|---|---|
| Suscripción | CS-SUB-0467 |
| Grupo de recursos | Seleccionar el predeterminado en el menú desplegable |
| Nombre | myNSGSecure |
| Región | Este de EE. UU. (US) |
Una vez completado todo, clic en Revisar y crear, y tras estar todo verificado, volvemos a clicar en Crear.
Una vez creado, nos dirigimos al recurso, y en el apartado de Configuración, hacemo clic en Interfaces de Red y luego Asociar. Recuerda que deberemos seleccionar la interfaz de red que hemos identificado en el apartado anterior.
Configuramos una regla de puerto de seguridad entrante para permitir RDP
En este apartado, permitiremos el tráfico RDP a la máquina virtual mediante la configuración de una regla de puerto de seguridad entrante.
Buscamos nuestra máquina virtual y la seleccionamos. En la misma hoja de Información General, clicamos en Conectar. En nuestro caso lo haremos por RDP. Por ello, seleccionamos la opción Descargar archivo RDP. Una vez descargado, abrimos el archivo. Nos saltará una ventana emergente, y clicamos en Conectar pero…
Cerramos esta ventanoa y nos dirigimos a la sección de Configuración del grupo de seguridad al que tenemos conectada la interfaz de red, es decir myNSGSecure. Una vez ahí, en la pestaña de Reglas de puerto de entrada, agregamos una nueva regla:
| Conficuración | Valores |
|---|---|
| Origen | Cualquiera |
| Rangos de puertos de origen | * |
| Destino | Cualquiera |
| Rangos de puertos de destino | 3389 |
| Protocolo | TCP |
| Acción | Permitir |
| Prioridad | 300 |
| Nombre | AllowRDP |
Agregamos y probamos de nuevo a conectarnos por RDP a nuestra máquina. Y ahora, si estamos dentro.
Configuramos una regla de puerto de seguridad saliente para denegar el acceso a Internet
En este apartado, vamos a crear una regla de puerto de salida NSG que denegará el acceso a Internet y luego la probaremos para asegurarnos de que la regla funciona.
Para ello, vamos a comprobar, que la máquina virtual, desde el asistente de escritorio remoto, tiene conexión a internet entrando en https://www.bing.com.
Volvemos a Azure Portal y nos dirigimos a nuestra máquina virtual. En la sección de Configuración, nos vamos a Redes y añadimos una Reglas de puerto de salida.
| Conficuración | Valores |
|---|---|
| Origen | Cualquiera |
| Rangos de puertos de origen | * |
| Destino | Etiqueta de servicio |
| Etiqueta de servicio de destino | Internet |
| Rangos de puertos de destino | 3389 |
| Protocolo | TCP |
| Acción | PDenegar |
| Prioridad | 4000 |
| Nombre | DenegarInternet |
Vamos a comprobar, que la máquina virtual, desde el asistente de escritorio remoto, no tiene conexión a internet entrando en https://www.microsoft.com.
Resumen
Hemos creado una máquina virtual, hemos creado un grupo de seguridad de red, hemos agregado la interfaz de red de la máquina virtual al grupo de seguridad de red. Y por último, hemos añadido reglas de puerto de entrada (para permitir la navegación) y de salida (para denegar la navegación).