Acerca de los grupos de seguridad

IBM Cloud® Los Grupos de Seguridad para VPC le ofrecen una forma cómoda de aplicar reglas que establecen el filtrado a un objetivo de una instancia de servidor virtual, basándose en su dirección IP. Los objetivos del grupo de seguridad incluyen interfaces de red de instancia de servidor virtual, puertas de enlace de punto final y equilibradores de carga. Cuando cree un grupo de seguridad, lo debe configurar para crear los patrones de tráfico de red que desee.

De forma predeterminada, un grupo de seguridad se configura con reglas que deniegan todo el tráfico de entrada y permiten todo el tráfico de salida. A medida que se añaden nuevas reglas a un grupo de seguridad, las nuevas reglas redefinen el ámbito del tráfico de entrada o de salida permitido.

Las reglas son con estado. Tener reglas con estado significa que cuando se crea una regla que permite el tráfico en una dirección, la regla permite automáticamente el tráfico inverso. Por ejemplo, si crea una regla para permitir el tráfico entrante TCP en el puerto 80, el grupo de seguridad también permite responder al tráfico saliente TCP en el puerto 80 de vuelta al host de origen. No es necesario crear otra regla.

Los grupos de seguridad se circunscriben a un solo VPC. Este alcance implica que un grupo de seguridad puede adjuntarse a cualquier objetivo de grupo de seguridad dentro de la misma VPC. Puede configurar una regla de grupo de seguridad para permitir el tráfico entre todos los miembros de un grupo de seguridad.

Cuando se crea una VPC, se le asigna un grupo de seguridad predeterminado. Puede modificar los valores de grupo de seguridad predeterminados y las reglas de grupos de seguridad individuales.

Cuando crea un recurso que utiliza un grupo de seguridad y no especifica un grupo de seguridad, la interfaz de red primaria del recurso se conecta al grupo de seguridad default de la VPC de dicho recurso.

La actualización de las reglas para el grupo de seguridad default es un proceso independiente de la actualización del grupo de seguridad predeterminado. Si edita las reglas del grupo de seguridad predeterminado, dichas reglas editadas se aplican a todos los servidores actuales y futuros del grupo. Para obtener más información, consulte Actualización de reglas de grupo de seguridad predeterminadas.

No se pueden anidar grupos de seguridad entre sí, pero se pueden hacer referencias a grupos de seguridad remotos. Al hacer referencia a un grupo de seguridad remoto en una regla, dicha regla se aplica a todos los destinos del grupo de seguridad de referencia asociados a esa regla.

Un grupo de seguridad no puede hacer referencia a otro grupo de seguridad en una zona distinta de la misma región.

Destinos de grupo de seguridad

Un destino es cualquier recurso al que se asigna o se retira un grupo de seguridad. Los objetivos del grupo de seguridad incluyen interfaces de red de instancia de servidor virtual, puertas de enlace de punto final y equilibradores de carga.

Cada recurso que puede enviar y recibir tráfico puede tener un grupo de seguridad configurado para él. Los recursos pueden incluir interfaces de servidores virtuales, servidores físicos, equilibradores de carga, cualquier puerta de enlace de punto final a lo largo de la ruta de datos y mucho más.

Puede asociar un grupo de seguridad con cualquier recurso a lo largo de la vía de acceso de datos.

Consideraciones sobre las cuotas:

Cada grupo de seguridad creado por un usuario admite hasta 1.000 objetivos. El grupo de seguridad por defecto, que se aplica automáticamente a todos los objetivos de una VPC, no está sujeto a este límite de 1.000 objetivos. Este comportamiento garantiza que la asignación automática al grupo de seguridad predeterminado no restrinja el aprovisionamiento.

Grupos de seguridad frente a ACL de red

Los grupos de seguridad están vinculados a un recurso, mientras que las listas de control de acceso de red (NACL) están vinculadas a la subred.

Las NACL se aplican a nivel de subred, por lo que cualquier recurso de la subred con una NACL asociada sigue las reglas de la NACL. Sin embargo, ese no es el caso de los grupos de seguridad. Los grupos de seguridad deben asignarse explícitamente al recurso. Además, a diferencia de las NACL, un grupo de seguridad puede aplicarse a múltiples recursos a través de subredes e incluso a través de zonas.

Las NACLs son sin estado.

Debido a que las NACL no tienen estado, si desea permitir el tráfico en ambos sentidos en un destino, debe configurar dos reglas.

Grupos de seguridad entre instancias y zonas
Grupos de seguridad entre instancias y zonas

Directrices del grupo de seguridad

Las siguientes directrices explican cómo funcionan los grupos de seguridad, cómo se aplican las reglas y las prácticas recomendadas para adjuntarlos a las interfaces de red.

Reglas

  • Cada grupo de seguridad define diferentes conjuntos de reglas de red que definen el tráfico entrante y saliente para una interfaz de red virtual.
  • Las reglas de los grupos de seguridad solo pueden ser permisivas. El tráfico está bloqueado de forma predeterminada.
  • Los cambios realizados en las reglas de grupos de seguridad se aplican automáticamente y se pueden modificar en cualquier momento.
  • El orden de las reglas dentro de un grupo de seguridad no importa. La prioridad siempre recae en la regla menos restrictiva.
  • Las reglas tienen estado. Las conexiones establecidas antes de un cambio de grupo de seguridad no se modifican. Las nuevas conexiones se rigen por reglas que existen en el momento en que se establece la conectividad.
  • Los grupos de seguridad no anulan los cortafuegos del sistema operativo en una instancia de servidor virtual o en un servidor físico. Aunque el sistema operativo disponga de un cortafuegos más restrictivo que el aplicado por el grupo de seguridad, se aplicarán las reglas del sistema operativo.
  • Si su instancia de servidor virtual o servidor bare metal necesita acceso a servicios internos, como un servidor de actualización, almacenamiento en red (NAS) o monitorización avanzada, asegúrese de que las reglas del grupo de seguridad acomodan el tráfico para esos servicios internos.

Destinos

  • Un grupo de seguridad puede estar vinculado a varios objetivos.
  • Se pueden adjuntar uno o más grupos de seguridad a:
    • una interfaz de red virtual
    • una interfaz de red de instancia
    • una interfaz de red de servidor bare metal
    • una puerta de enlace de punto final
    • un equilibrador de carga
    • un servidor VPN.
  • Todas las reglas de los grupos de seguridad adjuntos se aplican colectivamente al destino.
  • Si hay varios grupos de seguridad asociados, el tráfico se permite o se bloquea según la regla menos restrictiva de todos los grupos.

Definición de reglas de grupo de seguridad

Cada grupo de seguridad consta de un conjunto de reglas. El grupo de seguridad examina todas sus reglas antes de permitir que cualquier tráfico entre o salga de la instancia. Las reglas que se utilizan para controlar el tráfico de entrada son independientes de las reglas que se utilizan para controlar el tráfico de salida.

Cuando se crea un nuevo grupo de seguridad, inicialmente todo el tráfico entrante está restringido y el saliente está permitido. Por lo tanto, debe añadir reglas al grupo para permitir el tráfico de entrada y aplicar restricciones en el tráfico de salida.

Dado que un recurso puede estar asociado a varios grupos de seguridad, todas las reglas de cada grupo de seguridad asociado se combinan para formar un único conjunto de reglas. Este conjunto de reglas se utiliza para determinar si se debe denegar o permitir el tráfico entrante y saliente del recurso. Para cada regla de seguridad que añade al grupo de seguridad, debe especificar valores para los siguientes campos:

  • Dirección: la dirección del tráfico que se aplica, ya sea de entrada o de salida.

  • Protocolo - Indica el protocolo al que se aplica esta regla. Los valores son ICMP_TCP_UDP, o ANY, o uno de los IPv4 protocols.

    • Si su valor es ANY, significa que esta regla se aplica al protocolo ANY. Por lo tanto, no es válido especificar el rango de puertos (PortMin, PortMax).
    • Si el protocolo es tcp o udp, la regla también puede contener el rango de puertos (PortMin, PortMax). Configura ambos puertos o ninguno. Cuando no se establece ninguno, se permite el tráfico en todos los puertos. Para un único puerto, debe establecer ambos puertos en el mismo valor.
    • Cuando el protocolo es icmp, puede especificar opcionalmente la propiedad type. Si se especifica, el tráfico ICMP solo está permitido para el tipo de ICMP especificado. Además, si especifica type, puede especificar opcionalmente la propiedad de código para permitir el tráfico solo para el código ICMP especificado.

  • Remoto: describe el conjunto de interfaces de red hacia las que esta regla permite el tráfico (o desde las que permite el tráfico, para las reglas de salida). Puede especificar este valor como una dirección IP, un bloque de CIDR o todos los identificadores de un grupo de seguridad individual (ID, CRN y nombre). Si se omite este valor, se utiliza un bloque CIDR de 0.0.0.0/0 para permitir el tráfico desde cualquier origen (o hacia cualquier origen, para las reglas de salida).

Puede asignar nombres a las reglas de los grupos de seguridad. Sin embargo, el sistema no establece ninguna correlación entre el nombre y la configuración de la regla. Por ejemplo, si nombra una regla inbound-https-from-my-subnet, el sistema no verifica que la regla funcione tal y como su nombre indica. Es su responsabilidad gestionar los nombres y las configuraciones de las reglas de su grupo de seguridad para garantizar la coherencia, si fuera necesario.

Para obtener más información sobre cómo configurar reglas de grupos de seguridad mediante la CLI, consulte. Hoja de referencia con la lista comando Para obtener más información sobre cómo configurar reglas de grupos de seguridad mediante la API, consulte Configuración del grupo de seguridad para su instancia de servidor virtual mediante la API.

Limitaciones

  • Actualmente, los paquetes del protocolo ESP solo son compatibles con instancias con Gen2 perfiles. En instancias con otros perfiles y en todos los servidores bare metal, los paquetes ESP entrantes y salientes siempre se descartan. Aunque las reglas de los grupos de seguridad se pueden configurar para el tráfico ESP con la API de VPC, dichas reglas solo afectan a las instancias con Gen2 perfiles. El protocolo ESP no se muestra como una opción en la IBM Cloud consola para evitar confusiones entre las generaciones de perfiles de instancia. Para obtener más información, consulte los perfiles de instancia de x86-64.

cómo empezar

Para empezar, decida si desea crear un nuevo grupo de seguridad para su recurso y Cree su grupo de seguridad.

Casos de uso de grupo de seguridad

La creación de un grupo de seguridad es una forma estándar para que un usuario aplique reglas que filtran patrones de tráfico de red hacia y desde sus recursos. La capacidad de realizar las acciones siguientes depende del nivel de autorización de la cuenta. Póngase en contacto con el administrador si tiene preguntas sobre las autorizaciones de su cuenta.

Caso de uso 1: Cambio del grupo de seguridad predeterminado de un recurso

Cada VPC tiene un grupo de seguridad predeterminado, que es un grupo de seguridad que se crea para un usuario. Ese grupo de seguridad predeterminado también tiene una regla predeterminada. Esta regla predeterminada es la misma regla predeterminada que se asigna a los grupos de seguridad que crea antes de personalizar el valor del grupo de seguridad añadiendo o eliminando reglas.

Un grupo de seguridad predeterminado es diferente de la regla predeterminada para los nuevos grupos de seguridad. Puede personalizar tanto la regla de su grupo de seguridad predeterminado como la regla predeterminada que se asigna a los nuevos grupos de seguridad.

Por ejemplo, imagina que formas parte de una organización y alguien con acceso a la cuenta de tu organización modifica la regla del grupo de seguridad predeterminado. Después de la modificación, la regla es diferente a la regla predeterminada que se obtiene al crear un nuevo grupo de seguridad. El miembro del equipo es un cliente muy consciente de la seguridad y cambia los valores predeterminados del grupo de seguridad para denegar todo el tráfico de red de entrada y salida.

En este ejemplo, cuando se crea un recurso, inicialmente se asigna al grupo de seguridad predeterminado de su VPC. La regla predeterminada de este grupo de seguridad rechaza todo el tráfico de red entrante y saliente debido a las reglas de denegación que ha configurado el miembro de su equipo consciente de la seguridad. Como resultado, el tráfico hacia y desde su nuevo recurso tiene aplicado el mismo comportamiento de denegación.

Si no está satisfecho con la regla predeterminada del grupo de seguridad, una solución es crear un grupo de seguridad diferente con una configuración personalizada y aplicarlo a su recurso. Otra solución es modificar la regla en el grupo de seguridad predeterminado. Crear otro grupo de seguridad con una configuración personalizada es la solución más sencilla, ya que permite crear reglas que se aplican al único recurso al que se desea afectar. Si modifica la regla del grupo de seguridad predeterminado, estos cambios se aplicarán no solo al recurso al que desea afectar, sino a todos los demás recursos asignados al grupo de seguridad predeterminado.

Cualquier nueva regla que cree en el grupo de seguridad predeterminado se aplicará a todos los recursos actuales y futuros que se asignen al grupo de seguridad predeterminado.

Para obtener más información sobre cómo actualizar el grupo de seguridad predeterminado, consulte Actualización de reglas de grupo de seguridad predeterminado.

Caso de uso 2: Personalización de grupos y reglas de seguridad durante el aprovisionamiento

El diagrama siguiente ilustra las opciones de personalización potenciales al crear un recurso nuevo. Si un usuario crea un recurso y no realiza ninguna acción adicional para especificar un grupo de seguridad al que adjuntarlo, su nuevo recurso se asigna al grupo de seguridad predeterminado de la VPC. Este grupo de seguridad predeterminado adopta la regla de grupo de seguridad predeterminada o sigue una regla personalizada que fue configurada previamente por los miembros de su cuenta.

Si el usuario decide asignar el nuevo recurso a un nuevo grupo de seguridad, el nuevo grupo de seguridad se asigna automáticamente a la regla de grupo de seguridad predeterminada. A continuación, el usuario puede optar por no realizar ninguna acción adicional o personalizar las reglas para crear una regla de grupo de seguridad personalizada para su nuevo grupo de seguridad. Estas nuevas reglas también se aplican al nuevo recurso creado y asignado al nuevo grupo de seguridad:

Opciones de personalización del grupo de seguridad y de las reglas del grupo de seguridad al crear un nuevo " caption-side="bottom"} de personalización del grupo de{: caption="y de las reglas del grupo de seguridad al crear un nuevo recurso*

Caso de uso 3: Permitir tráfico entre miembros de un grupo de seguridad

La forma más convencional de configurar el grupo de seguridad es controlar el tráfico hacia y desde los destinos con reglas específicas que filtran por direcciones IP y puertos.

Una forma más dinámica de configurar su grupo de seguridad es permitir todo el tráfico entrante procedente de otros destinos que también formen parte del grupo de seguridad. Cuando se permite el tráfico entre los miembros de un grupo de seguridad, no es necesario configurar permisos individuales entre cada miembro actual y cada nuevo miembro de un grupo de seguridad. Cuando se añaden o eliminan recursos del grupo de seguridad, los permisos se aplican a todos los miembros.

Por ejemplo, puede tener el host A y el host B en un grupo de seguridad, y añadir el host C. Normalmente, sería necesario realizar tareas de mantenimiento para permitir que el host A y el host B envíen tráfico hacia y desde el host C después de añadir el host C al grupo de seguridad.

Para facilitar este proceso, puede definir una regla en la que permita todo el tráfico siempre que sea de otro miembro del grupo. A continuación, a medida que añadas o elimines miembros de un grupo, la regla cambiará automáticamente para permitir que los miembros del grupo envíen tráfico entre ellos.

Las siguientes son instrucciones de la interfaz de usuario para definir reglas en un grupo de seguridad para permitir todo el tráfico entre miembros de ese grupo de seguridad:

  1. En el navegador, abra la consola deIBM Cloud.
  2. Seleccione el ícono del menú de navegación, luego haga clic en el ícono de Infraestructura VPC > Red > Grupos de seguridad.
  3. En Grupos de seguridad, seleccione el objeto de grupo de seguridad que desea modificar.
  4. Haga clic en Crear + en la tabla Reglas de entrada. Aparece una ventana Crear regla de entrada.
  5. En la sección Protocolo, seleccione TCP-UDP-ICMP.
  6. En la sección Tipo de origen, seleccione Grupo de seguridad.
  7. Pulse Crear para aplicar estos cambios.