Acerca de los grupos de seguridad
IBM Cloud® Los Grupos de Seguridad para VPC le ofrecen una forma cómoda de aplicar reglas que establecen el filtrado a un objetivo de una instancia de servidor virtual, basándose en su dirección IP. Los objetivos del grupo de seguridad incluyen interfaces de red de instancia de servidor virtual, puertas de enlace de punto final y equilibradores de carga. Cuando cree un grupo de seguridad, lo debe configurar para crear los patrones de tráfico de red que desee.
De forma predeterminada, un grupo de seguridad se configura con reglas que deniegan todo el tráfico de entrada y permiten todo el tráfico de salida. A medida que se añaden nuevas reglas a un grupo de seguridad, las nuevas reglas redefinen el ámbito del tráfico de entrada o de salida permitido.
Las reglas son de estado. Tener reglas con estado significa que cuando se crea una regla que permite el tráfico en una dirección, la regla permite automáticamente el tráfico inverso. Por ejemplo, si crea una regla para permitir el tráfico TCP entrante en el puerto 80, el grupo de seguridad también permite responder al tráfico TCP saliente en el puerto 80 de vuelta al host de origen, sin necesidad de otra regla.
Los grupos de seguridad se circunscriben a un solo VPC. Este alcance implica que un grupo de seguridad puede adjuntarse a cualquier objetivo de grupo de seguridad dentro de la misma VPC. Puede configurar una regla de grupo de seguridad para permitir el tráfico entre todos los miembros de un grupo de seguridad.
Cuando se crea una VPC, se le asigna un grupo de seguridad predeterminado. Puede modificar los valores de grupo de seguridad predeterminados y las reglas de grupos de seguridad individuales.
Cuando crea un recurso que utiliza un grupo de seguridad y no especifica un grupo de seguridad, la interfaz de red primaria del recurso se conecta al grupo de seguridad default de la VPC de dicho recurso.
La actualización de las reglas para el grupo de seguridad default es un proceso independiente de la actualización del grupo de seguridad predeterminado. Si edita las reglas del grupo de seguridad predeterminado, dichas reglas editadas se aplican a todos los servidores actuales y futuros del grupo. Para obtener más información, consulte Actualización de reglas de grupo de seguridad predeterminadas.
No se pueden anidar grupos de seguridad entre sí, pero se puede hacer referencia a grupos de seguridad remotos. Al hacer referencia a un grupo de seguridad remoto en una regla, ésta se aplicará a todos los objetivos del grupo de seguridad de referencia adjuntos a dicha regla.
Un grupo de seguridad no puede hacer referencia a otro grupo de seguridad en una zona distinta de la misma región.
Destinos de grupo de seguridad
Un destino es cualquier recurso al que se conecta o del que se desconecta un grupo de seguridad. Los objetivos del grupo de seguridad incluyen interfaces de red de instancia de servidor virtual, puertas de enlace de punto final y equilibradores de carga.
Cada recurso que puede enviar y recibir tráfico puede tener un grupo de seguridad configurado para él. Esto puede incluir interfaces de servidor virtual, servidores nativos, equilibradores de carga, cualquier pasarela de punto final a lo largo de la vía de acceso de datos, etc.
Puede asociar un grupo de seguridad con cualquier recurso a lo largo de la vía de acceso de datos.
Grupos de seguridad frente a ACL de red
Los grupos de seguridad están vinculados a un recurso, mientras que las listas de control de acceso de red (NACL) están vinculadas a la subred.
Las NACL son aplicables a nivel de subred, por lo que cualquier recurso de la subred con una NACL asociada seguirá las reglas de la NACL. Sin embargo, ese no es el caso de los grupos de seguridad. Los grupos de seguridad deben asignarse explícitamente al recurso. Además, a diferencia de las NACL, un grupo de seguridad puede aplicarse a múltiples recursos a través de subredes e incluso a través de zonas.
Las NACLs son sin estado.
Debido a que las NACL no tienen estado, si desea permitir el tráfico en ambos sentidos en un destino, debe configurar dos reglas.
Definición de reglas de grupo de seguridad
Cada grupo de seguridad consta de un conjunto de reglas. El grupo de seguridad examina todas sus reglas antes de permitir que el tráfico entre en la instancia o salga de ella. Las reglas que se utilizan para controlar el tráfico de entrada son independientes de las reglas que se utilizan para controlar el tráfico de salida.
Cuando se crea un nuevo grupo de seguridad, inicialmente todo el tráfico entrante está restringido y el saliente está permitido. Por lo tanto, debe añadir reglas al grupo para permitir el tráfico de entrada y aplicar restricciones en el tráfico de salida.
Dado que un recurso puede tener asociados varios grupos de seguridad, todas las reglas de cada grupo de seguridad asociado al recurso se combinan para formar un único conjunto de reglas. Este conjunto de reglas se utiliza para determinar si el tráfico debe denegarse o permitirse dentro y fuera del recurso. Para cada regla de seguridad que añade al grupo de seguridad, debe especificar valores para los siguientes campos:
-
Dirección: la dirección del tráfico que se aplica, ya sea de entrada o de salida.
-
Protocolo - Indica el protocolo al que se aplica esta regla. Los valores son
tcp,udp,icmpoall.- Si el valor es
all, significa que esta regla se aplica a todos los protocolos. Por lo tanto, no es válido especificar el rango de puertos (PortMin, PortMax). - Si el protocolo es
tcpoudp, la regla también puede contener el rango de puertos (PortMin, PortMax). Configura ambos puertos o ninguno. Cuando no se establece ninguno, se permite el tráfico en todos los puertos. Para un único puerto, debe establecer ambos puertos en el mismo valor. - Cuando el protocolo es
icmp, puede especificar opcionalmente la propiedadtype. Si se especifica, el tráfico ICMP solo está permitido para el tipo de ICMP especificado. Además, si especificatype, puede especificar opcionalmente la propiedad de código para permitir el tráfico solo para el código ICMP especificado.
- Si el valor es
-
Remoto: describe el conjunto de interfaces de red hacia las que esta regla permite el tráfico (o desde las que permite el tráfico, para las reglas de salida). Puede especificar este valor como una dirección IP, un bloque de CIDR o todos los identificadores de un grupo de seguridad individual (ID, CRN y nombre). Si se omite este valor, se utiliza un bloque CIDR de
0.0.0.0/0para permitir el tráfico desde cualquier origen (o hacia cualquier origen, para las reglas de salida).
Para obtener más información sobre cómo configurar reglas de grupo de seguridad utilizando la CLI, consulte la Hoja de apuntes de lista de mandatos. Para obtener más información sobre cómo configurar reglas de grupo de seguridad utilizando la API, consulte Configuración del grupo de seguridad para la instancia de servidor virtual utilizando la API.
cómo empezar
Para empezar, decida si desea crear un nuevo grupo de seguridad para su recurso y Cree su grupo de seguridad.
Casos de uso de grupo de seguridad
La creación de un grupo de seguridad es una forma estándar para que un usuario aplique reglas que filtran patrones de tráfico de red hacia y desde sus recursos. La capacidad de realizar las acciones siguientes depende del nivel de autorización de la cuenta. Póngase en contacto con el administrador si tiene preguntas sobre las autorizaciones de su cuenta.
Caso de uso 1: Cambio del grupo de seguridad predeterminado de un recurso
Cada VPC tiene un grupo de seguridad predeterminado, que es un grupo de seguridad que se crea para un usuario. Ese grupo de seguridad predeterminado también tiene una regla predeterminada. Esta regla predeterminada es la misma regla predeterminada que se asigna a los grupos de seguridad que crea antes de personalizar el valor del grupo de seguridad añadiendo o eliminando reglas.
Un grupo de seguridad predeterminado es diferente de la regla predeterminada para los nuevos grupos de seguridad. Puede personalizar la regla en el grupo de seguridad predeterminado, así como la regla predeterminada asignada a nuevos grupos de seguridad.
Por ejemplo, imagina que formas parte de una organización y alguien con acceso a la cuenta de tu organización modifica la regla por defecto del grupo de seguridad para que sea diferente de la regla por defecto que obtienes cuando creas un nuevo grupo de seguridad. El miembro del equipo es un cliente muy consciente de la seguridad y cambia los valores predeterminados del grupo de seguridad para denegar todo el tráfico de red de entrada y salida.
En este ejemplo, si crea un recurso nuevo, se asignará inicialmente al grupo de seguridad predeterminado de la VPC. La regla de este grupo de seguridad predeterminado deniega todo el tráfico de red de entrada y salida debido a las reglas de denegación configuradas por el miembro del equipo consciente de la seguridad. Como resultado, el tráfico hacia y desde el nuevo recurso tendrá aplicado este comportamiento de denegación.
Continuando con este ejemplo, si no está satisfecho con la regla de grupo de seguridad predeterminada que ha configurado el miembro del equipo, una solución es crear un nuevo grupo de seguridad con valores personalizados y aplicarlo al recurso. Otra solución es modificar la regla en el grupo de seguridad predeterminado. La creación de un nuevo grupo de seguridad con valores personalizados es la solución más fácil, ya que puede crear reglas que se apliquen al único recurso que desea que afecte. Si modifica la regla del grupo de seguridad predeterminado, estos cambios se aplicarán no sólo al recurso que desea que afecte, sino a todos los demás recursos que se han asignado al grupo de seguridad predeterminado.
Las nuevas reglas que cree en el grupo de seguridad predeterminado se aplicarán a todos los recursos actuales y futuros asignados al grupo de seguridad predeterminado.
Para obtener más información sobre cómo actualizar el grupo de seguridad predeterminado, consulte Actualización de reglas de grupo de seguridad predeterminado.
Caso de uso 2: Personalización de grupos de seguridad y reglas al crear un nuevo recurso
El diagrama siguiente ilustra las opciones de personalización potenciales al crear un recurso nuevo. Si un usuario crea un recurso nuevo y no realiza ninguna acción adicional para especificar un grupo de seguridad al que conectarlo, su nuevo recurso se asigna al grupo de seguridad predeterminado de la VPC. Este grupo de seguridad predeterminado tomará la regla de grupo de seguridad predeterminada o seguirá una regla personalizada configurada previamente por los miembros de su cuenta.
Si el usuario decide asignar el nuevo recurso a un nuevo grupo de seguridad, al nuevo grupo de seguridad se le asigna automáticamente la regla de grupo de seguridad predeterminada. A continuación, el usuario puede optar por no realizar ninguna otra acción o elegir personalizar las reglas para crear una regla de grupo de seguridad personalizada para su nuevo grupo de seguridad. Estas nuevas reglas también se aplican al nuevo recurso creado y asignado al nuevo grupo de seguridad:
{:
caption="y de las reglas del grupo de seguridad al crear un nuevo recurso*
Caso de uso 3: Permitir tráfico entre miembros de un grupo de seguridad
La forma más convencional de configurar el grupo de seguridad es controlar el tráfico hacia y desde los destinos con reglas específicas que filtran por direcciones IP y puertos.
Una forma más dinámica de configurar el grupo de seguridad es permitir todo el tráfico de entrada de otros destinos que también forman parte del grupo de seguridad. Cuando permite el tráfico entre miembros de un grupo de seguridad, a medida que se añaden o suprimen recursos del grupo de seguridad, no tiene que configurar permisos individuales entre cada miembro actual y cada miembro nuevo de un grupo de seguridad.
Por ejemplo, supongamos que tiene el host A y el host B en un grupo de seguridad y que añade un nuevo host C. Normalmente, deberá realizar el mantenimiento para permitir que el host A y el host B envíen tráfico a y desde el host C después de añadir el host C al grupo de seguridad.
Para facilitar este proceso, puede definir una regla en la que permita todo el tráfico siempre que sea de otro miembro del grupo. A continuación, a medida que añade o elimina miembros de un grupo, la regla cambia automáticamente para permitir que los miembros del grupo envíen tráfico entre ellos.
Las siguientes son instrucciones de la interfaz de usuario para definir reglas en un grupo de seguridad para permitir todo el tráfico entre miembros de ese grupo de seguridad:
- En el navegador, abra la consola deIBM Cloud.
- Seleccione el
menú de navegación, luego haga clic en el ícono de Infraestructura 
> Red > Grupos de seguridad. - En Grupos de seguridad, seleccione el objeto de grupo de seguridad que desea modificar.
- Pulse el botón Crear + en la parte superior derecha de la tabla Reglas de entrada. Aparece una ventana Crear regla de entrada.
- En la sección Protocolo, seleccione TODOS.
- En la sección Tipo de origen, seleccione Grupo de seguridad.
- Pulse Crear para aplicar estos cambios.