Menú
Amazon Virtual Private Cloud
Guía de usuario

Seguridad

Amazon VPC ofrece características que puede utilizar para aumentar y controlar la seguridad de su VPC:

  • Grupos de seguridad: actúan como firewall para las instancias asociadas de Amazon EC2, al controlar el tráfico entrante y saliente en el ámbito de la instancia.

  • Listas de control de acceso (ACL) de red: actúan como firewall para las subredes asociadas, al controlar el tráfico entrante y saliente en el ámbito de la subred.

  • Logs de flujo: capture información acerca del tráfico IP entrante y saliente de las interfaces de red de su VPC.

Cuando lanza una instancia en una VPC, puede asociarle uno o varios grupos de seguridad que ha creado. Cada instancia de su VPC podría pertenecer a un conjunto distinto de grupos de seguridad. Si no especifica ningún grupo de seguridad al lanzar una instancia, la instancia pertenecerá automáticamente al grupo de seguridad predeterminado para la VPC. Para obtener más información acerca de los grupos de seguridad, consulte Grupos de seguridad de su VPC.

Puede asegurar sus instancias de VPC utilizando solo grupos de seguridad; no obstante, puede añadir ACL de red como una segunda capa de defensa. Para obtener más información acerca de las ACL de red, consulte ACL de red.

Puede controlar el tráfico IP aceptado y rechazado que entra y sale de sus instancias; para ello, cree un log de flujo para una VPC, subred o interfaz de red individual. Los datos del log de flujo se publican en CloudWatch Logs, y pueden ayudarle a diagnosticar reglas de ACL de red y de grupos de seguridad excesivamente restrictivas o excesivamente permisivas. Para obtener más información, consulte Logs de flujo de VPC.

Puede utilizar AWS Identity and Access Management para controlar quién de su organización tiene permiso para crear y administrar grupos de seguridad, ACL de red y logs de flujo. Por ejemplo, puede conceder ese permiso únicamente a sus administradores de red, pero no al personal que solo necesita lanzar instancias. Para obtener más información, consulte Control del acceso a los recursos de Amazon VPC.

Los grupos de seguridad y las ACL de red de Amazon no filtran el tráfico entrante o saliente de las direcciones de enlace local (169.254.0.0/16) o direcciones IPv4 reservadas de AWS: estas son las cuatro primeras direcciones IPv4 de la subred (incluida la dirección del servidor DNS de Amazon para la VPC). De forma similar, los logs de flujo no capturan el tráfico IP entrante o saliente de estas direcciones. Estas direcciones admiten los siguientes servicios: servicio de nombres de dominio (DNS), protocolo de configuración dinámica de host (DHCP), metadatos de instancia EC2 de Amazon, servicio de administración de claves (KMS: administración de licencias para instancias de Windows), y direccionamiento en la subred. Puede implementar soluciones adicionales de firewall en sus instancias para bloquear la comunicación de red con direcciones de enlace local.

Comparación de grupos de seguridad y ACL de red

La siguiente tabla resume las diferencias básicas entre grupos de seguridad y ACL de red.

Grupo de seguridad ACL de red

Funciona en el ámbito de la instancia (primera capa de defensa)

Funciona en el ámbito de la subred (segunda capa de defensa)

Solo admite reglas de permiso

Admite reglas de permiso y de denegación

Es con estado: el tráfico de retorno se admite automáticamente, independientemente de las reglas

Es sin estado: las reglas deben permitir de forma explícita el tráfico de retorno

Evaluamos todas las normas antes de decidir si permitir el tráfico

Procesamos las reglas por orden numérico al decidir si permitir el tráfico

Se aplica a una instancia únicamente si alguien especifica el grupo de seguridad al lanzar la instancia, o asocia el grupo de seguridad a la instancia más adelante

Se aplica automáticamente a todas las instancias de las subredes con las que se ha asociado (capa de copia de seguridad de defensa, por lo que no tiene que confiar en que alguien especifique el grupo de seguridad)

El siguiente diagrama muestra las capas de seguridad proporcionadas por los grupos de seguridad y las ACL de red. Por ejemplo, el tráfico de un puerto de enlace a Internet se direcciona a la subred correspondiente mediante las rutas de la tabla de ruteo. Las reglas de la ACL de red asociadas a la subred controlan el tráfico que se permite en la subred. Las reglas del grupo de seguridad asociadas a una instancia controlan el tráfico que se permite en la instancia.

 El tráfico se controla mediante grupos de seguridad y ACL de red