Aislamiento de red Aislamiento en hosts físicos Control del tráfico de red

Seguridad de la infraestructura de Amazon EC2

Como se trata de un servicio administrado, Amazon Elastic Compute Cloud está protegido por la seguridad de red global de AWS. Para obtener información sobre los servicios de seguridad de AWS y cómo AWSprotege la infraestructura, consulte Seguridad en la nube de AWS. Para diseñar su entorno de AWS con las prácticas recomendadas de seguridad de infraestructura, consulte Protección de la infraestructura en Portal de seguridad de AWS Well‐Architected Framework.

Puede utilizar llamadas a la API publicadas en AWS para acceder a Amazon EC2 a través de la red. Los clientes deben admitir lo siguiente:

Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad de seguridad de IAM principal. También puede utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

Para obtener más información, consulte Protección de la infraestructura en el Pilar de seguridad: AWS Well-Architected Framework.

Aislamiento de red

Una Virtual Private Cloud (VPC) es una red virtual en su propia área, aislada lógicamente en la nube de AWS. Utilice VPC separados para aislar la infraestructura por carga de trabajo o unidad organizativa.

Una subred es un rango de direcciones IP de una VPC. Al iniciar una instancia, la lanza a una subred en su VPC. Utilice subredes para aislar los niveles de la aplicación (por ejemplo, web, aplicación y base de datos) en una VPC individual. Utilice subredes privadas para las instancias si no se debe acceder a ellas directamente desde Internet.

Para llamar a la API de Amazon EC2 desde la VPC mediante direcciones IP privadas, use AWS PrivateLink. Para obtener más información, consulte Acceso a Amazon EC2 mediante un punto de conexión de VPC de interfaz..

Aislamiento en hosts físicos

Las diferentes instancias de EC2 en un mismo host físico se aíslan unas de otras como si estuvieran en hosts físicos distintos. El hipervisor aísla la CPU y la memoria, y a las instancias se les proporcionan discos virtualizados en lugar de acceso a los dispositivos del disco sin procesar.

Al detener o finalizar una instancia, el hipervisor limpia la memoria que tiene asignada (la establece en cero) antes de asignarla a una instancia nueva. Además, se restablece cada bloque de almacenamiento. Esto garantiza que los datos no se expongan de forma involuntaria a otra instancia.

Las direcciones MAC de la red se asignan de forma dinámica a las instancias mediante la infraestructura de red de AWS. Las direcciones IP o bien las asigna la infraestructura de red de AWS de forma dinámica a las instancias o bien las asigna un administrador de EC2 mediante solicitudes API autenticadas. La red de AWS permite que las instancias envíen tráfico únicamente desde las direcciones MAC e IP que tienen asignadas. De lo contrario, el tráfico se corta.

De forma predeterminada, una instancia no puede recibir tráfico que no esté dirigido específicamente a ella. Si tiene que ejecutar servicios de traducción de direcciones de red (NAT), de direccionamiento o de firewall en la instancia, puede desactivar la comprobación de origen o destino para la interfaz de red.

Control del tráfico de red

Tenga en cuenta las siguientes opciones para controlar el tráfico de red a las instancias de EC2:

Limite el acceso a las instancias mediante el uso de grupos de seguridad. Configure reglas que permitan el tráfico de red mínimo requerido. Por ejemplo, puede permitir el tráfico únicamente desde rangos de direcciones para su red corporativa o solo para protocolos específicos, como HTTPS. En el caso de las instancias de Windows, permita el tráfico de administración de Windows y conexiones salientes mínimas.
Aproveche los grupos de seguridad como mecanismo principal para controlar el acceso de la red a las instancias Amazon EC2. Cuando sea necesario, utilice las ACL de red con moderación para proporcionar un control de red sin estado y amplio. Los grupos de seguridad son más versátiles que las ACL de red debido a su capacidad de realizar un filtrado de paquetes con estado y crear reglas que hagan referencia a otros grupos de seguridad. Sin embargo, las ACL de red pueden ser eficaces como control secundario para denegar un subconjunto específico de tráfico o proporcionar medidas de protección de subred de alto nivel. Además, dado que las ACL de red se aplican a toda una subred, se pueden utilizar como defensa en profundidad en caso de que una instancia se lance involuntariamente sin un grupo de seguridad correcto.
[Instancias de Windows] Administre de forma centralizada la configuración de Firewall de Windows con objetos de políticas de grupo (GPO) para mejorar aún más los controles de red. Los clientes suelen utilizar el Firewall de Windows para obtener una mayor visibilidad del tráfico de red y complementar los filtros de grupos de seguridad, creando reglas avanzadas para impedir que aplicaciones específicas accedan a la red o para filtrar el tráfico de un subconjunto de direcciones IP. Por ejemplo, el Firewall de Windows puede limitar el acceso a la dirección IP del servicio de metadatos de EC2 a usuarios o aplicaciones específicos. Como alternativa, un servicio público podría utilizar grupos de seguridad para restringir el tráfico a puertos específicos y el Firewall de Windows a fin de mantener una lista de direcciones IP bloqueadas explícitamente.
Utilice subredes privadas para las instancias si no se debe acceder a ellas directamente desde Internet. Utilice un host bastión o puerta de enlace de NAT para acceder a Internet desde una instancia en una subred privada.
[Instancias de Windows] Use protocolos de administración seguros como la encapsulación RDP sobre SSL/TLS. El inicio rápido de la puerta de enlace de escritorio remoto ofrece prácticas recomendadas para implementar la puerta de enlace de escritorio remoto, incluida la configuración de RDP para usar SSL/TLS.
[Instancias de Windows] Utilice Active Directory o AWS Directory Service para controlar y supervisar de forma estricta y centralizada el acceso interactivo de usuarios y grupos a instancias de Windows y evitar los permisos de usuarios locales. Evite también el uso de administradores de dominio y, en su lugar, cree cuentas basadas en roles más detalladas y específicas de la aplicación. Just Enough Administration (JEA) permite administrar los cambios en las instancias de Windows sin acceso interactivo o de administrador. Además, JEA permite a las organizaciones bloquear el acceso administrativo al subconjunto de comandos de Windows PowerShell necesarios para la administración de instancias. Para obtener información adicional, consulte la sección “Administración del acceso a Amazon EC2 de nivel de sistema operativo” en el documento técnico Prácticas recomendadas de seguridad de AWS.
[Instancias de Windows] Los administradores de sistemas deben usar cuentas de Windows con acceso limitado para realizar actividades diarias y elevar el acceso solo cuando sea necesario para realizar cambios de configuración específicos. Además, acceda directamente a las instancias de Windows solo cuando sea absolutamente necesario. En su lugar, aproveche los sistemas de administración de la configuración central como EC2 Run Command, Systems Center Configuration Manager (SCCM), Windows PowerShell DSC o Amazon EC2 Systems Manager (SSM) para introducir cambios en los servidores de Windows.
Configure tablas de enrutamiento de subred de Amazon VPC con las rutas de red mínimas requeridas. Por ejemplo, coloque solo las instancias de Amazon EC2 que requieran acceso directo a Internet en subredes con rutas a una puerta de enlace de Internet y coloque solo las instancias de Amazon EC2 que necesiten acceso directo a redes internas en subredes con rutas a una puerta de enlace privada virtual.
Considere la posibilidad de utilizar grupos de seguridad adicionales o interfaces de red para controlar y auditar el tráfico de administración de instancias de Amazon EC2 con independencia del tráfico normal de aplicaciones. Este enfoque permite a los clientes implementar políticas especiales de IAM para el control de cambios, lo que facilita la auditoría de los cambios en reglas de grupos de seguridad o en los scripts automatizados de verificación de reglas. El uso de múltiples interfaces de red también ofrece opciones adicionales para controlar el tráfico de red, incluida la capacidad de crear políticas de direccionamiento basadas en el host o aprovechar diferentes reglas de direccionamiento de la subred de la VPC basadas en una subred asignada de la interfaz de red.
Utilice AWS Virtual Private Network o AWS Direct Connect para establecer conexiones privadas desde sus redes remotas a sus VPC. Para obtener más información, consulte la sección sobre opciones de conectividad entre la red y Amazon VPC.
Utilice registros de flujo de VPC para monitorear el tráfico que llegue a sus instancias.
Utilice Protección contra malware de GuardDuty para identificar comportamientos sospechosos que indiquen la presencia de software malicioso en sus instancias y que puedan comprometer su carga de trabajo, reutilizar los recursos para usos malintencionados y obtener acceso no autorizado a sus datos.
Utilice el Monitoreo de tiempo de ejecución GuardDuty para identificar las posibles amenazas a sus instancias y responder a ellas. Para obtener más información, consulte Cómo funciona el Monitoreo de tiempo de ejecución con las instancias de Amazon EC2.
Utilice AWS Security Hub, el Analizador de accesibilidad o el Analizador de acceso a la red para comprobar si sus instancias acceden a la red de forma no intencionada.
Utilice EC2 Instance Connect para conectarse a sus instancias desde Secure Shell (SSH) sin compartir ni administrar claves SSH.
Utilice Session Manager de AWS Systems Manager para acceder a las instancias remotamente en lugar de abrir puertos SSH o RDP de entrada y administrar pares de claves.
Utilice Run Command de AWS Systems Manager para automatizar las tareas administrativas comunes en lugar de conectarse a sus instancias.
[Instancias de Windows] Muchos de los roles del sistema operativo Windows y las aplicaciones empresariales de Microsoft también proporcionan funcionalidad mejorada, como restricciones de rango de direcciones IP dentro de IIS, políticas de filtrado TCP/IP en Microsoft SQL Server y políticas de filtro de conexión en Microsoft Exchange. La funcionalidad de restricción de red dentro de la capa de aplicación puede proporcionar capas adicionales de defensa para los servidores de aplicaciones empresariales críticos.

Amazon VPC admite controles de seguridad de red adicionales, como puertas de enlace, servidores proxy y opciones de monitoreo de red. Para obtener más información, consulte Control del tráfico de red en la Guía del usuario de Amazon VPC.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Protección de los datos

Resiliencia