Crear y configurar grupos de seguridad de red es esencial para controlar el tráfico entre subredes y proteger las aplicaciones en la nube. En este artículo se explica paso a paso cómo implementar Application Security Groups ASG y Network Security Groups NSG en Microsoft Azure, traduciendo y adaptando el escenario práctico planteado para que puedas aplicarlo en entornos reales.

Escenario práctico: tu organización necesita un control estricto del tráfico en la red app-vnet. La subred frontend aloja servidores web accesibles desde internet y requiere un Application Security Group para agrupar las interfaces de red de las máquinas que actúan como frontend. La subred backend contiene servidores de base de datos accesibles solo desde los servidores web, por lo que debe protegerse mediante un Network Security Group asociado a la interfaz de red de las máquinas backend o directamente a la subred backend. Para pruebas se desplegarán dos máquinas virtuales Ubuntu VM1 en frontend y VM2 en backend mediante una plantilla de Azure Resource Manager proporcionada por el equipo de TI.

Paso 1 Crear la infraestructura de red requerida: asegúrate de tener las redes y subredes del laboratorio Lab 01. Si no las tienes, utiliza la plantilla proporcionada por tu equipo. Abre Cloud Shell en https://shell.azure.com y selecciona PowerShell cuando se te pida. Selecciona la suscripción adecuada y aplica los cambios. A continuación despliega las máquinas virtuales necesarias con la plantilla ARM suministrada.

Paso 2 Crear un Application Security Group ASG: los ASG permiten agrupar recursos por rol de aplicación y definir reglas de seguridad basadas en esos grupos en lugar de direcciones IP individuales. En el portal busca Application security groups y selecciona Crear. Configura el nombre, el grupo de recursos y la región coincidente con tu VNet y crea el ASG, por ejemplo app-frontend-asg.

Paso 3 Asociar el ASG a las interfaces de red: en el portal localiza la máquina virtual VM1, abre la sección Networking y selecciona Application security groups. Añade app-frontend-asg a la interfaz de red de VM1 para que las reglas que referencien este ASG se apliquen automáticamente a esa VM.

Paso 4 Crear un Network Security Group NSG: los NSG definen reglas de filtrado para tráfico entrante y saliente. En el portal busca Network security group y selecciona Crear. Crea app-vnet-nsg en el mismo grupo de recursos y región. Una vez creado, navega al recurso y en Settings selecciona Subnets para asociarlo a la subred backend. Elige la VNet app-vnet y la Backend subnet y confirma la asociación.

Paso 5 Crear reglas de NSG: dentro del NSG ve a Inbound security rules y agrega reglas que permitan únicamente el tráfico necesario. Ejemplo de reglas para este escenario: permitir HTTP 80 y HTTPS 443 desde el ASG de frontend hacia las VMs de backend si fuese necesario, o permitir solo tráfico de base de datos en el puerto específico desde las IP o ASG correspondientes. Añade también reglas de salida e implementa prioridades correctas para evitar conflictos con reglas por defecto.

Ejemplo de uso conjunto ASG y NSG: en lugar de crear reglas que referencien direcciones IP estáticas de cada servidor web, crea un ASG llamado Web-ASG y asigna todas las interfaces de los servidores web. En la NSG del backend define una regla de origen Web-ASG con destino las VMs de base de datos en el puerto de la base de datos. Así simplificas la gestión, escalas sin cambiar reglas y mantienes una política consistente.

Componentes clave y ventajas de los ASG: los ASG son recursos dentro de un grupo de recursos y una región, se asocian a interfaces de red de VMs o nodos de AKS, y se referencian en reglas NSG como origen o destino. Beneficios principales: simplificación de la gestión de reglas, escalabilidad automática al añadir recursos al ASG, y flexibilidad para crear capas de seguridad en aplicaciones multinivel. Esto facilita manejar IPs dinámicas en entornos con autoescalado.

Buenas prácticas: aplicar el principio de menor privilegio en las reglas, usar ASG para agrupar funciones similares, asociar NSG a subredes para reglas comunes y a NICs para reglas específicas, nombrar recursos de forma coherente y documentar prioridades y excepciones. Prueba las reglas con VMs de test como VM1 y VM2 antes de mover a producción y monitoriza con logs de NSG para detectar tráfico no deseado.

Comandos y despliegue: utiliza plantillas ARM o Azure CLI/PowerShell para reproducir la configuración de manera repetible. En Cloud Shell PowerShell puedes desplegar la plantilla ARM que crea las VMs Ubuntu y los recursos de red. Asegúrate de seleccionar la suscripción correcta y revisar los parámetros de la plantilla como nombres de VNet, subredes, NSG y ASG.

Soluciones integradas y servicios profesionales: en Q2BSTUDIO somos especialistas en desarrollo de software a medida y aplicaciones a medida, con experiencia en arquitecturas seguras en la nube y en inteligencia artificial para empresas. Ofrecemos servicios gestionados en plataformas cloud como AWS y Azure y podemos ayudarte a diseñar e implementar la segmentación de red, NSG y ASG para tus aplicaciones críticas. Conoce nuestras soluciones cloud en Servicios cloud AWS y Azure y cómo aplicamos inteligencia artificial en proyectos empresariales en Soluciones de inteligencia artificial para empresas.

Servicios relacionados: además de ciberseguridad y pentesting para validar la robustez de tus reglas de red, Q2BSTUDIO desarrolla estrategias de inteligencia de negocio y Power BI para obtener visibilidad de tus operaciones y seguridad. Integramos agentes IA y automatización para optimizar tareas repetitivas y mejorar tiempos de respuesta. Palabras clave: aplicaciones a medida, software a medida, inteligencia artificial, ciberseguridad, servicios cloud aws y azure, servicios inteligencia de negocio, ia para empresas, agentes IA y power bi.

Resumen final: implementar ASG y NSG correctamente permite un control granular del tráfico, reduce la complejidad operativa y mejora la seguridad. Si necesitas apoyo para diseñar e implementar estas soluciones en Azure o AWS, Q2BSTUDIO ofrece servicios profesionales de consultoría, desarrollo e integración para asegurar tus aplicaciones en la nube.