Prácticas recomendadas - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Prácticas recomendadas

Recomendamos las siguientes prácticas para migrar aplicaciones de la zona perimetral a la Nube de AWS:

  • Diseñe su arquitectura de destino para que sea compatible con firewalls de red de terceros, solo si puede exponer los firewalls a la red de VPC de la aplicación a través del equilibrador de carga de una puerta de enlace.

  • Utilice una red de confianza para proteger el flujo de tráfico entre la VPC de su AWS aplicación y su entorno local. Puede crear una red de confianza mediante AWS Direct Connect o AWS Site-to-Site VPN.

  • Utilice la arquitectura de destino para exponer las aplicaciones web a redes que no sean de confianza, pero evite utilizarla con una API.

  • Utilice Registros de flujo de VPC durante la fase de pruebas. Esto se debe a que puede haber varios componentes interconectados que requieren la configuración y la verificación correctas.

  • Valide las reglas de entrada y salida necesarias para cada aplicación y su disponibilidad AWS Network Firewall durante la fase de diseño de la migración.

  • Si se requiere un servicio externo Servicio de AWS , como Amazon Simple Storage Service (Amazon S3) o Amazon DynamoDB, se recomienda exponer ese servicio a la VPC de la aplicación a través de puntos de enlace (dentro de la subred del punto final). Esto impide la comunicación a través de una red que no es de confianza.

  • Proporcione acceso a los recursos (Amazon EC2, en este caso) AWS Systems Manager Session Managerpara evitar el acceso SSH directo a los recursos.

  • El Equilibrador de carga de aplicación ofrece una alta disponibilidad a la aplicación y el enrutamiento de tráfico entrante y saliente mediante Network Firewall. No se requiere un equilibrador de carga independiente para la subred de seguridad.

  • Ten en cuenta que el Application Load Balancer es un balanceador de cargas orientado a Internet, aunque la subred del punto final no tenga acceso directo a Internet. No hay ninguna puerta de enlace de Internet en el diagrama Punto de conexión A de la tabla de enrutamiento y Punto de conexión B de la tabla de enrutamiento de la sección Arquitectura de zona perimetral basada en Network Firewall de esta guía. La subred está protegida por Network Firewall y tiene acceso a Internet a través de Network Firewall.

  • Utilice Network Firewall para realizar un filtrado web entrante y saliente para el tráfico web no cifrado.