Seguridad de la infraestructura de Amazon EC2 - Amazon Elastic Compute Cloud
Aislamiento de redAislamiento en hosts físicosControl del tráfico de red

Seguridad de la infraestructura de Amazon EC2

Como se trata de un servicio administrado, Amazon Elastic Compute Cloud está protegido por la seguridad de red global de AWS. Para obtener información sobre los servicios de seguridad de AWS y cómo AWSprotege la infraestructura, consulte Seguridad en la nube de AWS. Para diseñar su entorno de AWS con las prácticas recomendadas de seguridad de infraestructura, consulte Protección de la infraestructura en Portal de seguridad de AWS Well‐Architected Framework.

Puede utilizar llamadas a la API publicadas en AWS para acceder a Amazon EC2 a través de la red. Los clientes deben admitir lo siguiente:

  • Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.

  • Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. También puede utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

Para obtener más información, consulte Protección de la infraestructura en el Pilar de seguridad: AWS Well-Architected Framework.

Aislamiento de red

Una Virtual Private Cloud (VPC) es una red virtual en su propia área, aislada lógicamente en la nube de AWS. Utilice VPC separados para aislar la infraestructura por carga de trabajo o unidad organizativa.

Una subred es un rango de direcciones IP de una VPC. Al iniciar una instancia, la lanza a una subred en su VPC. Utilice subredes para aislar los niveles de la aplicación (por ejemplo, web, aplicación y base de datos) en una VPC individual. Utilice subredes privadas para las instancias si no se debe acceder a ellas directamente desde Internet.

Para llamar a la API de Amazon EC2 desde la VPC mediante direcciones IP privadas, use AWS PrivateLink. Para obtener más información, consulte Acceso a Amazon EC2 mediante un punto de conexión de VPC de interfaz..

Aislamiento en hosts físicos

Las diferentes instancias EC2 en un mismo host físico se aíslan unas de otras como si estuvieran en hosts físicos distintos. El hipervisor aísla la CPU y la memoria, y a las instancias se les proporcionan discos virtualizados en lugar de acceso a los dispositivos del disco sin procesar.

Al detener o finalizar una instancia, el hipervisor limpia la memoria que tiene asignada (la establece en cero) antes de asignarla a una instancia nueva. Además, se restablece cada bloque de almacenamiento. Esto garantiza que los datos no se expongan de forma involuntaria a otra instancia.

Las direcciones MAC de la red se asignan de forma dinámica a las instancias mediante la infraestructura de red de AWS. Las direcciones IP o bien las asigna la infraestructura de red de AWS de forma dinámica a las instancias o bien las asigna un administrador de EC2 mediante solicitudes API autenticadas. La red de AWS permite que las instancias envíen tráfico únicamente desde las direcciones MAC e IP que tienen asignadas. De lo contrario, el tráfico se corta.

De forma predeterminada, una instancia no puede recibir tráfico que no esté dirigido específicamente a ella. Si tiene que ejecutar servicios de traducción de direcciones de red (NAT), de direccionamiento o de firewall en la instancia, puede desactivar la comprobación de origen o destino para la interfaz de red.

Control del tráfico de red

Tenga en cuenta las siguientes opciones para controlar el tráfico de red a las instancias EC2:

  • Limite el acceso a las instancias mediante el uso de grupos de seguridad. Configure los grupos de seguridad de instancias Amazon EC2 para permitir el tráfico de red mínimo requerido para la instancia Amazon EC2 y para permitir el acceso solo desde ubicaciones definidas, esperadas y aprobadas. Por ejemplo, si una instancia Amazon EC2 es un servidor web IIS, configure sus grupos de seguridad para permitir solo HTTP/HTTPS entrante, tráfico de administración de Windows y conexiones salientes mínimas.

  • Aproveche los grupos de seguridad como mecanismo principal para controlar el acceso de la red a las instancias Amazon EC2. Cuando sea necesario, utilice las ACL de red con moderación para proporcionar un control de red sin estado y amplio. Los grupos de seguridad son más versátiles que las ACL de red debido a su capacidad de realizar un filtrado de paquetes con estado y crear reglas que hagan referencia a otros grupos de seguridad. Sin embargo, las ACL de red pueden ser eficaces como control secundario para denegar un subconjunto específico de tráfico o proporcionar medidas de protección de subred de alto nivel. Además, dado que las ACL de red se aplican a toda una subred, se pueden utilizar como defensa en profundidad en caso de que una instancia se lance involuntariamente sin un grupo de seguridad correcto.

  • Administre de forma centralizada la configuración de Firewall de Windows con objetos de políticas de grupo (GPO) para mejorar aún más los controles de red. Los clientes suelen utilizar el Firewall de Windows para obtener una mayor visibilidad del tráfico de red y complementar los filtros de grupos de seguridad, creando reglas avanzadas para impedir que aplicaciones específicas accedan a la red o para filtrar el tráfico de un subconjunto de direcciones IP. Por ejemplo, el Firewall de Windows puede limitar el acceso a la dirección IP del servicio de metadatos de EC2 a usuarios o aplicaciones específicos. Como alternativa, un servicio público podría utilizar grupos de seguridad para restringir el tráfico a puertos específicos y el Firewall de Windows a fin de mantener una lista de direcciones IP bloqueadas explícitamente.

  • Al administrar instancias de Windows, limite el acceso a unos pocos servidores de administración centralizados bien definidos o hosts de bastión para reducir la superficie de ataque del entorno. Además, use protocolos de administración seguros como la encapsulación RDP sobre SSL/TLS. El inicio rápido de la gateway de escritorio remoto ofrece prácticas recomendadas para implementar la gateway de escritorio remoto, incluida la configuración de RDP para usar SSL/TLS.

  • Utilice Active Directory o AWS Directory Service para controlar y supervisar de forma estricta y centralizada el acceso interactivo de usuarios y grupos a instancias de Windows y evitar los permisos de usuarios locales. Evite también el uso de administradores de dominio y, en su lugar, cree cuentas basadas en roles más detalladas y específicas de la aplicación. Just Enough Administration (JEA) permite administrar los cambios en las instancias de Windows sin acceso interactivo o de administrador. Además, JEA permite a las organizaciones bloquear el acceso administrativo al subconjunto de comandos de Windows PowerShell necesarios para la administración de instancias. Para obtener información adicional, consulte la sección “Administración del acceso a Amazon EC2 de nivel de sistema operativo” en el documento técnico Prácticas recomendadas de seguridad de AWS.

  • Los administradores de sistemas deben usar cuentas de Windows con acceso limitado para realizar actividades diarias y elevar el acceso solo cuando sea necesario para realizar cambios de configuración específicos. Además, acceda directamente a las instancias de Windows solo cuando sea absolutamente necesario. En su lugar, aproveche los sistemas de administración de la configuración central como EC2 Run Command, Systems Center Configuration Manager (SCCM), Windows PowerShell DSC o Amazon EC2 Systems Manager (SSM) para introducir cambios en los servidores de Windows.

  • Configure tablas de enrutamiento de subred de Amazon VPC con las rutas de red mínimas requeridas. Por ejemplo, coloque solo las instancias Amazon EC2 que requieran acceso directo a Internet en subredes con rutas a una gateway de Internet y coloque solo las instancias Amazon EC2 que necesiten acceso directo a redes internas en subredes con rutas a una gateway privada virtual.

  • Considere la posibilidad de utilizar grupos de seguridad adicionales o ENI para controlar y auditar el tráfico de administración de instancias Amazon EC2 con independencia del tráfico normal de aplicaciones. Este enfoque permite a los clientes implementar políticas especiales de IAM para el control de cambios, lo que facilita la auditoría de los cambios en reglas de grupos de seguridad o en los scripts automatizados de verificación de reglas. Múltiples ENI también ofrecen opciones adicionales para controlar el tráfico de red, incluida la capacidad de crear políticas de direccionamiento basado en host o aprovechar diferentes reglas de direccionamiento de la subred VPC basadas en una subred asignada de ENI.

  • Utilice AWS Virtual Private Network o AWS Direct Connect para establecer conexiones privadas desde sus redes remotas a sus VPC. Para obtener más información, consulte la sección sobre opciones de conectividad entre la red y Amazon VPC.

  • Utilice registros de flujo de VPC para monitorear el tráfico que llegue a sus instancias.

  • Utilice Protección contra malware de GuardDuty para identificar comportamientos sospechosos que indiquen la presencia de software malicioso en sus instancias y que puedan comprometer su carga de trabajo, reutilizar los recursos para usos malintencionados y obtener acceso no autorizado a sus datos.

  • Utilice el Monitoreo de tiempo de ejecución GuardDuty para identificar las posibles amenazas a sus instancias y responder a ellas. Para obtener más información, consulte Cómo funciona el Monitoreo de tiempo de ejecución con las instancias de Amazon EC2.

  • Utilice AWS Security Hub, el Analizador de accesibilidad o el Analizador de acceso a la red para comprobar si sus instancias acceden a la red de forma no intencionada.

  • Utilice Session Manager de AWS Systems Manager para acceder a las instancias remotamente en lugar de abrir puertos RDP.

  • Utilice AWS Systems Manager Run Command para automatizar las tareas administrativas comunes en lugar de abrir puertos RDP.

  • Muchos de los roles del sistema operativo Windows y las aplicaciones empresariales de Microsoft también proporcionan funcionalidad mejorada, como restricciones de rango de direcciones IP dentro de IIS, políticas de filtrado TCP/IP en Microsoft SQL Server y políticas de filtro de conexión en Microsoft Exchange. La funcionalidad de restricción de red dentro de la capa de aplicación puede proporcionar capas adicionales de defensa para los servidores de aplicaciones empresariales críticos.

Amazon VPC admite controles de seguridad de red adicionales, como puertas de enlace, servidores proxy y opciones de monitoreo de red. Para obtener más información, consulte Control del tráfico de red en la Guía del usuario de Amazon VPC.