Proteger su infraestructura OVHcloud con Stormshield Network Security

Bases de conocimiento

KB0065121

Proteger su infraestructura OVHcloud con Stormshield Network Security


Icons/System/eye-open Created with Sketch. 202 visualizaciones 29.05.2025 Cloud / Network Gateway for Public Cloud
Información sobre la traducción

Esta traducción ha sido generada de forma automática por nuestro partner SYSTRAN. En algunos casos puede contener términos imprecisos, como en las etiquetas de los botones o los detalles técnicos. En caso de duda, le recomendamos que consulte la versión inglesa o francesa de la guía. Si quiere ayudarnos a mejorar esta traducción, por favor, utilice el botón «Contribuir» de esta página.

En el panorama digital en constante evolución, la seguridad de la infraestructura cloud se ha convertido en una prioridad para las organizaciones de todos los tamaños. A medida que las empresas confían cada vez más en las soluciones cloud para sus operaciones, garantizar la protección de los datos sensibles y mantener la integridad de la red es una tarea crítica. Stormshield SNS EVA (Stormshield Elastic Virtual Appliance) es una completa solución de seguridad diseñada para proteger los entornos cloud de una amplia gama de amenazas.

Esta guía explica cómo desplegar y configurar SNS EVA en el Public Cloud de OVHcloud con el vRack y el enrutamiento IP público, cubriendo funcionalidades clave como los firewalls de red, las VPN IPSec y las VPN SSL/TLS. Esta guía explica cómo mejorar la seguridad de la infraestructura Public Cloud de OVHcloud y garantizar la seguridad de sus operaciones.

Esta guía explica cómo proteger su infraestructura de OVHcloud con Stormshield Network Security desplegado en Public Cloud.

Este tutorial explica cómo utilizar una o varias soluciones de OVHcloud con herramientas externas y explica las acciones que debe realizar en un contexto específico. Es posible que tenga que adaptar las instrucciones a su caso particular.

Si tiene problemas para aplicar estas instrucciones, le recomendamos que contacte con un proveedor especializado o hable del problema con nuestra comunidad. Para obtener más información, consulte la sección Más información de este tutorial.

Requisitos

  • Un proyecto de Public Cloud en su cuenta de OVHcloud.
  • Un usuario OpenStack (opcional).
  • Conocimientos básicos de redes.
  • Una cuenta Stormshield creada a través del sitio Stormshield.
  • Asegurarse de que el vRack esté activado y configurado para permitir una comunicación segura entre los componentes de la infraestructura.
  • Un bloque de direcciones Additional IP (/29) para permitir el failover y la configuración de la alta disponibilidad.
  • Una licencia Stormshield Elastic Virtual Appliance BYOL (Bring Your Own Licence), obtenida de partners o revendedores terceros, que deberá proporcionar durante la instalación y la configuración.

Acceso al área de cliente de OVHcloud

Procedimiento

Además de instalar y configurar Stormshield Network Security, este tutorial explica cómo utilizarlo en función de sus necesidades:

Instalar y configurar Stormshield Network Security en su entorno Public Cloud

En este tutorial, la instalación y configuración de Stormshield SNS EVA se realiza principalmente a través de la línea de comandos. Abra un terminal para ejecutar las instrucciones.

Tenga en cuenta que todas las secciones relativas a la «Alta disponibilidad» o a «Stormshield-2» son opcionales, así como el uso de la red vRack con Additional IP. Se incluyen para mostrar cómo implementar el sistema con dos instancias en modo activo/pasivo para alta disponibilidad. En una versión mínima, también puede funcionar con una sola instancia si es suficiente para sus necesidades.

En este escenario, utilizaremos dos máquinas virtuales configuradas para el dispositivo de seguridad para alcanzar la alta disponibilidad (High Availability o HA), así como una máquina virtual adicional para la administración y gestión del dispositivo de seguridad. Esta configuración garantiza la protección contra fallos y la disponibilidad continua del servicio. Para obtener más ejemplos y sugerencias detalladas sobre las opciones de escalabilidad, consulte la documentación de Stormshield.

Configurar el vRack

En esta etapa, configuramos el vRack, una red virtual privada proporcionada por OVHcloud. El vRack le permite interconectar varias instancias o servidores en un entorno Public Cloud, garantizando así el aislamiento de la red y manteniendo una comunicación segura. Añadiendo su proyecto de Public Cloud y su bloque Additional IP al mismo vRack, podrá permitir que sus instancias SNS EVA se comuniquen de forma segura, conservando un control total de la gestión de las direcciones IP. La red privada vRack también permite proteger los servidores Bare Metal Cloud o las MV Private Cloud con appliances de seguridad desplegados en el Public Cloud.

Añadir su proyecto de Public Cloud y su bloque Additional IP al mismo vRack.

A efectos de ejemplo para esta guía, el bloque de IP es 147.135.161.152/29
Utilizamos la primera IP utilizable 147.135.161.153 para la primera instancia de SNS EVA y utilizamos temporalmente la segunda IP utilizable 147.135.161.154 para el segundo SNS EVA.
La dirección de la pasarela es 147.135.161.158.

Consulte la guía «Configurar un bloque de IP en el vRack» para obtener más información.

A continuación se muestra la arquitectura que vamos a implementar.

SNS EVA vrack

Configurar la red OpenStack

Cree la red privada para las interfaces externas SNS EVA:

openstack network create --provider-network-type vrack --provider-segment 0 --disable-port-security stormshield-ext
openstack subnet create --network stormshield-ext --subnet-range 192.168.1.0/29 --dhcp stormshield-ext

Cree la red privada para las interfaces internas del SNS EVA:

openstack network create --provider-network-type vrack --provider-segment 200 --disable-port-security stormshield-vlan200
openstack subnet create --network stormshield-vlan200 --subnet-range 10.200.0.0/16 --dhcp --dns-nameserver <dns_address_ip> stormshield-vlan200

Cree la red privada para las interfaces SNS EVA HA (High Availability):

openstack network create --provider-network-type vrack --provider-segment 199 --disable-port-security stormshield-ha
openstack subnet create --network stormshield-ha --subnet-range 192.168.2.0/29 --dhcp --gateway none stormshield-ha

Desplegar las instancias SNS EVA

Acceda a la sección download del sitio oficial de Stormshield. Inicie sesión en su cuenta de Stormshield y siga las instrucciones para descargar la imagen de Stormshield OpenStack.

Acceda a la carpeta en la que haya descargado su imagen SNS EVA OpenStack e importe la imagen (para este tutorial utilizamos la imagen utm-SNS-EVA-4.8.3-openstack.qcow2):

openstack image create --disk-format raw --container-format bare --file ./utm-SNS-EVA-4.8.3-openstack.qcow2 stormshield-SNS-EVA-4.8.3

Cree las instancias SNS EVA (en este ejemplo, las hemos llamado stormshield-1 y stormshield-2):

openstack server create --flavor b3-32 --image stormshield-SNS-EVA-4.8.3 --network stormshield-ext --network stormshield-vlan200 --network stormshield-ha stormshield-1
openstack server create --flavor b3-32 --image stormshield-SNS-EVA-4.8.3 --network stormshield-ext --network stormshield-vlan200 --network stormshield-ha stormshield-2

Por motivos de rendimiento, le recomendamos que utilice las versiones de máquinas virtuales que figuran en la lista para los tipos de licencias SNS EVA dados:

  • EVA1: B3-8 / B3-16
  • EVA2: B3-16 / B3-32
  • EVA3: B3-32 / B3-64
  • EVA4: B3-64 / B3-128
  • EVAU: B3-128 / B3-256

Configurar las instancias SNS EVA

En la sección Public Cloud, seleccione su proyecto. En el menú de la izquierda, haga clic en Instances en la pestaña Compute y seleccione las dos instancias SNS EVA.

Acceda a la consola VNC para las dos instancias SNS EVA y configure la distribución del teclado y la contraseña.

Configure la pasarela por defecto en el primer SNS EVA con nuestra pasarela de bloque IP:

vi /usr/Firewall/ConfigFiles/object

[Host]
Firewall_out_router=147.135.161.158,resolve=static
...

Configure la interfaz de red externa en el primer SNS EVA con la primera dirección IP utilizable de nuestro bloque IP y la interfaz de red interna con la dirección IP 10.200.0.1:

vi /usr/Firewall/ConfigFiles/network

...
[ethernet0]
...
Address=147.135.161.153
Mask=255.255.255.248

[ethernet1]
...
Address=10.200.0.1
Mask=255.255.0.0
...

Aplique la nueva configuración de red:

ennetwork

Realice la misma configuración para el segundo SNS EVA pero con la segunda dirección IP 147.135.161.154 de nuestro bloque IP para la interfaz externa en lugar de 147.135.161.153.

Añada una licencia diferente en las dos instancias SNS EVA siguiendo la documentación oficial.

Cree una regla de firewall similar a la siguiente en los dos SNS EVA en la interfaz gráfica web:

SNS EVA vrack

En el primer SNS EVA, cree un grupo de firewall (Configuration > System > High Availability). En cuanto a la dirección IP, compruebe qué IP ha asignado el DHCP OpenStack a la interfaz HA.

SNS EVA vrack

SNS EVA vrack

Una vez completada la configuración de la HA en el primer SNS EVA, únase al grupo de firewall en el segundo:

SNS EVA vrack

SNS EVA vrack

La segunda interfaz externa del SNS EVA utilizará ahora la misma dirección IP que la primera. Por lo tanto, la dirección IP 147.135.161.154 puede ahora utilizarse para otros fines.

Si todo está configurado correctamente, después de reiniciar el segundo SNS EVA, debería ver algo similar en los indicadores de mantenimiento del enlace HA:

SNS EVA vrack

Configurar y proteger la gestión del SNS EVA

  • Etapa 1
  • Etapa 2
  • Etapa 3
  • Etapa 4

Recupere su dirección IP pública:

curl ipinfo.io/ip
<ip_address>

Cree un objeto host para su dirección IP pública:

SNS EVA vrack

Limite el acceso a la interfaz gráfica a su dirección IP pública y active el SSH:

SNS EVA vrack

Limite el acceso al SSH a su dirección IP pública:

SNS EVA vrack

Resincronizar la configuración HA

La sincronización entre las dos instancias SNS EVA es fundamental para garantizar que los dos cortafuegos estén siempre actualizados con la misma configuración. Puede hacerlo desde la línea de comandos SSH o directamente desde la interfaz gráfica de usuario (GUI).

Para este ejemplo, utilizamos la solución en línea de comandos SSH. Si prefiere utilizar la interfaz gráfica de usuario para la sincronización, consulte «Pantalla de alta disponibilidad» en la documentación de Stormshield SNS EVA para obtener información detallada.

En este punto, las dos instancias SNS EVA no deben sincronizarse, ya que hemos configurado un gran número de parámetros en la primera instancia de la que la segunda no tiene conocimiento.

Conéctese por SSH a la instancia SNS EVA activa:

ssh admin@<ip_address>

Sincronice los dos SNS EVA:

hasync

Es necesario realizar esta operación cada vez que actualice la configuración.

Configuraciones de casos de uso

Una vez implementado el firewall SNS EVA, puede utilizarse en varios escenarios de seguridad avanzada, como VPN IPsec, VPN SSL/TLS, puertas de enlace de red (IN o OUT), tal y como se describe a continuación. Gracias a la red privada vRack, las VLAN enumeradas también pueden utilizarse fuera del entorno Public Cloud: en los productos Bare Metal o Private Cloud.

Caso de uso nº 1: configurar Stormshield Network Security para utilizarlo como puerta de enlace

En este ejemplo, el firewall virtual funcionará como una puerta de enlace segura para las instancias privadas (o cualquier otro servidor) en el VLAN200 de la red vRack dada. Este tipo de tráfico puede filtrarse por URL en el cortafuegos.

SNS EVA vrack

SNS EVA vrack

SNS EVA vrack

Sincronice las dos instancias HA SNS EVA:

ssh admin@<ip_address>
hasync
Comprobar si una instancia puede conectarse a Internet desde el VLAN200

Importe su clave pública SSH:

openstack keypair create --public-key ~/.ssh/id_rsa.pub <name>

Cree una instancia en el VLAN200:

openstack server create --flavor b2-7 --image "Ubuntu 22.04" --network stormshield-vlan200 --key-name <name> ubuntu-webserver

Conéctese por SSH a la instancia SNS EVA:

ssh -A admin@<instance_ip>

Desde la instancia SNS EVA, conéctese por SSH al servidor web Ubuntu. Compruebe qué dirección IP ha asignado el DHCP OpenStack a la instancia del servidor web Ubuntu:

ssh ubuntu@<ip_address>

Pruebe si puede acceder a un sitio web público:

curl -I https://www.ovh.com/manager/
HTTP/2 200

Caso de uso n°2: configurar un NAT (Nnetwork Address Translation) para acceder a un servicio HTTP privado desde el exterior

En este ejemplo, Internet debe poder conectarse al servidor web privado instalado en el VLAN200. El objetivo de esta configuración es proteger el servidor web con un firewall de red.

SNS EVA vrack

  • Etapa 1
  • Etapa 2
  • Etapa 3
  • Etapa 4

Instale Nginx en la instancia ubuntu-webserver :

sudo apt-get update
sudo apt-get install -y nginx

Cree un objeto host para la instancia ubuntu-webserver:

SNS EVA vrack

Cree una regla NAT similar a la siguiente:

SNS EVA vrack

Cree una regla de filtrado similar a la siguiente:

SNS EVA vrack

Pruebe el acceso al sitio web desde el exterior:

curl -I http://<ip_address>
HTTP/1.1 200 OK

Sincronice las dos instancias HA SNS EVA:

ssh admin@<ip_address>
hasync

Caso de uso n°3: túnel IPsec (de sitio a sitio)

En este ejemplo, el túnel IPsec está configurado para interconectar dos regiones PCI diferentes: SBG7 (red VLAN200) y GRA11 (red VLAN201), pero cada uno de estos sitios puede ser un sitio remoto, como una oficina o un datacenter.

SNS EVA vrack

Repita todos los pasos en otra región utilizando la VLAN 201 en lugar de la VLAN 200 y rangos de direcciones IP diferentes para las subredes Stormshield-ext y Stormshield-ha.;

Configurar el primer sitio
  • Etapa 1
  • Etapa 2
  • Etapa 3
  • Etapa 4
  • Etapa 5

Añada la red privada local y la red privada remota:

SNS EVA vrack

Cree la puerta de enlace remota:

SNS EVA vrack

Seleccione una clave previamente compartida:

SNS EVA vrack

Cree y active el túnel:

SNS EVA vrack

Añada una regla de filtrado como la siguiente para autorizar el tráfico a través del túnel:

SNS EVA vrack

Sincronice las dos instancias HA SNS EVA:

ssh admin@<ip_address>
hasync
Configurar el segundo sitio

Haga exactamente lo mismo que con el primer sitio, pero utilice VLAN200 para la red privada remota y la dirección IP adecuada para OVH_REMOTE_FW.

Pruebe el túnel VPN IPsec

Desde la primera instancia de un servidor web privado del sitio web:

ssh -A admin@<ip_address>
ssh ubuntu@<ip_address>
ping <ip_address>
PING <ip_address>(<ip_address>) 56(84) bytes of data.
64 bytes from <ip_address>: icmp_seq=1 ttl=64 time=15.2 ms
64 bytes from <ip_address>: icmp_seq=2 ttl=64 time=14.0 ms

Desde la segunda instancia de servidor web privado del sitio web:

ssh -A admin@<ip_address>
ssh ubuntu@<ip_address>
ping <ip_address>
PING <ip_address> (<ip_address>) 56(84) bytes of data.
64 bytes from <ip_address>: icmp_seq=2 ttl=64 time=16.9 ms
64 bytes from <ip_address>: icmp_seq=3 ttl=64 time=16.4 ms

Caso de uso n°4: VPN SSL/TLS (de cliente a sitio)

En este ejemplo, un cliente remoto de OpenVPN se conectará a la red privada dentro del VLAN200.

SNS EVA vrack

Configuración del directorio LDAP

En un escenario de producción, este LDAP/AD debe ser remoto en lugar de local.

SNS EVA vrack

  • Cree el directorio de usuarios:

SNS EVA vrack

  • Añada un usuario a nuestro directorio local:

SNS EVA vrack

  • Elija una contraseña para el nuevo usuario:

SNS EVA vrack

Configuración de objetos de red VPN

Cree dos objetos de red para el cliente VPN SSL.

Red cliente UDP:

SNS EVA vrack

Red de cliente TCP:

SNS EVA vrack

Configuración del servidor VPN SSL

Configure el servidor VPN SSL:

SNS EVA vrack

Gestión de los permisos de los usuarios

Añada a su usuario permiso para utilizar el servidor VPN SSL (Configuration > Users > Access privileges > Detailed Access > Add)

Busque su usuario:

SNS EVA vrack

Autorizar VPN SSL :

SNS EVA vrack

Configuración de las reglas de filtrado

Añada una regla de filtrado como la siguiente para permitir que el cliente VPN acceda al VLAN200:

SNS EVA vrack

Sincronización de las instancias SNS

Sincronice las dos instancias HA SNS EVA:

ssh admin@<ip_address>
hasync
Probar la VPN SSL/TLS

Para probar la conectividad SSL/TLS, utilice cualquier dispositivo que tenga OpenVPN instalado. Este ejemplo incluye la prueba de un cliente OpenVPN sobre una instancia OpenStack en otra región.

En este ejemplo, utilizamos el cliente OpenVPN, pero también puede utilizar la versión empaquetada por Stormshield.

Descargue el archivo de configuración VPN (Configuration > VPN > SSL VPN > Advanced configuration > Export the configuration file).

Cree una instancia de cliente OpenVPN pública en la región que elija:

openstack server create --flavor b2-7 --image "Ubuntu 22.04" --network Ext-Net --key-name sguyenne ubuntu-vpn-client

Compruebe la dirección IP asignada a la instancia y copie en ella el archivo de configuración:

scp ~/Download/openvpn_mobile_client.ovpn ubuntu@<adresse_ip>:~

Conéctese a la instancia:

ssh ubuntu@<ip_address>

Instale el cliente OpenVPN:

sudo apt-get update
sudo apt-get install -y openvpn

Conéctese a la VPN:

sudo openvpn --config openvpn_mobile_client.ovpn 
Enter Auth Username: address@stormshield.ovh
🔐 Enter Auth Password: ******************

Prueba de ping de la instancia privada del servidor web:

ssh ubuntu@<ip_address>
ping <ip_address>

PING <ip_address> (<ip_address>) 56(84) bytes of data.
64 bytes from <ip_address>: icmp_seq=1 ttl=64 time=14.1 ms
64 bytes from <ip_address>: icmp_seq=2 ttl=64 time=13.1 ms

Más información

Si necesita formación o asistencia técnica para implementar nuestras soluciones, póngase en contacto con su representante de ventas o haga clic en este enlace para obtener una cotización y solicite a nuestros expertos de Professional Services que le ayuden en su caso de uso específico de su proyecto.

Interactúe con nuestra comunidad de usuarios.

Artículos relacionados