0

Azure – Grupos de seguridad de aplicación

Hola a tod@s,

En este post vamos a ver los Application Security Groups, los grupos de seguridad de aplicación nos van a permitir configurar la seguridad de la red como una extensión natural de la estructura de una aplicación, lo que nos permite agrupar máquinas virtuales y definir políticas de seguridad de red basadas en esos grupos.

  • Como ejemplo, vamos a poner, las dos máquinas virtuales, que nos hemos desplegado anteriormente con el Veeam Backup.
  • Una de ellas es un Veeam Proxy en Azure:

  • Y la otra, es un Veeam Helper Appliance en Azure:

  • Estas dos máquinas cuando las desplegamos con el Veeam, crean por defecto un grupo de seguridad de red con puertos configurados para el acceso desde el exterior.
  • La primera máquina AzureProxy, crea este grupo de seguridad de red con los puertos 3389 y 443 accesibles desde cualquier sitio:

  • La segunda máquina Veeam Helper Appliance, crea este grupo de seguridad de red con el puerto 22 accesible desde cualquier sitio:

  • Como ya hemos comentado antes, en nuestra infraestructura, los grupos de seguridad de red los tenemos configurados por subredes, en este caso, estas dos máquinas virtuales las tenemos ubicadas en nuestra subred para DMZ, y esta subred tiene configurado su grupo de seguridad de red con sus reglas, para poder hacer el despliegue de estas dos máquinas virtuales hemos tenido que permitir el acceso desde cualquier origen a cualquier destino de esta subred en los puertos 6160 (Veeam Installer Service), 443 (Veeam Azure Proxy) y 22 (Veeam Helper Appliance), esta configuración compromete la seguridad de toda esta subred, por lo que aquí van a entrar en juego los Grupos de seguridad de aplicaciones:

  • Vamos a crear, tres Grupos de seguridad de aplicaciones, uno para Veeam Installer Service, otro para Veeam Azure Proxy y otro para Veeam Helper Appliance.
  • Empezamos por el Grupo de seguridad de aplicación para Veeam Installer Service, para ello, accedemos a Grupos de seguridad de aplicación > Crear:

  • Para este primer grupo, nos creamos un nuevo Grupo de recursos (asg-rg), dónde ubicaremos, todos los Grupos de seguridad de aplicación, le indicamos un nombre y la región, Revisar y Crear:

  • Para el segundo y tercer Grupo de seguridad de aplicación, hacemos lo mismo, le indicamos el Grupo de recursos, un nombre y la región, Revisar y Crear:

  • Como podemos ver, aquí tenemos los tres grupos de seguridad de aplicación creados:

  • Ahora sobre Máquinas virtuales, seleccionamos la máquina azureproxy, vamos a la parte de Redes y sobre la interface de red seleccionamos Grupos de seguridad de aplicación y Configurar grupos de seguridad de aplicación:

  • La vamos a añadir estos dos Grupos de seguridad de aplicación para esta máquina, veeamazureproxy-asg y veeaminstallerservice-asg, Guardar:

  • Aquí podemos ver que ya los tiene agregados:

  • Para la otra máquina virtual, Veeam Helper Appliance, haremos lo mismo, pero en este caso, le hemos configurado el Grupo de seguridad de aplicación veeamhelperappliance-asg:

  • Una vez que tenemos configuradas las máquinas virtuales con sus Grupos de seguridad de aplicación, vamos a modificar las reglas del Grupo de seguridad de red, dónde se ubican estas máquinas, en este caso, vamos a modificar las reglas de entrada del Grupo DMZ-nsg, concretamente las reglas 1030, 1040 y 1050, que como podemos ver el acceso se permite desde cualquier origen a cualquier destino en los puertos especificados:

  • Así quedarían las reglas 1030, 1040 y 1050 una vez modificadas y aplicándoles los Grupos de seguridad de aplicación que hemos creado y configurado sobre las interfaces de red de las máquinas virtuales, como podemos ver, el origen es cualquiera y el destino los Grupos de seguridad de aplicación, lo ideal sería poner en el origen, en lugar de cualquiera, la IP pública con la que nuestra máquina del Veeam Backup & Replication se comunica con Azure:

 

Saludos y esperos que os sea de ayuda 😉

jramos

Técnico Superior STI

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.