Restringir VPC el tráfico saliente de un - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Restringir VPC el tráfico saliente de un

Restringir VPC el tráfico saliente de un usuario mediante grupos de seguridad

Tras evaluar los requisitos de tráfico saliente de su arquitectura, comience a modificar las reglas del grupo VPC de seguridad para adaptarlas a las necesidades de seguridad de su organización. Asegúrese de agregar todos los puertos, protocolos y direcciones IP de destino necesarios a las listas de permisos de los grupos de seguridad.

Para obtener instrucciones, consulte Controlar el tráfico a los recursos mediante grupos de seguridad en la Guía del VPC usuario de Amazon.

Importante

Tras actualizar las reglas VPC del grupo de seguridad en el entorno de prueba, asegúrese de confirmar que la aplicación sigue funcionando según lo previsto. Para obtener más información, consulte la sección Prácticas recomendadas para analizar VPC el tráfico saliente al utilizar los registros de VPC flujo de esta guía.

Consideraciones clave sobre los grupos de seguridad para servicios específicos AWS

Amazon Elastic Compute Cloud (AmazonEC2)

Al crear unVPC, viene con un grupo de seguridad predeterminado que permite todo el tráfico saliente. Las instancias de Amazon Elastic Compute Cloud (AmazonEC2) utilizan este grupo de seguridad predeterminado, a menos que cree sus propios grupos de seguridad personalizados.

Importante

Para reducir el riesgo de que tu EC2 instancia de Amazon utilice el grupo de seguridad predeterminado de forma no intencionada, elimina todas las reglas de salida del grupo. Para obtener más información, consulte Eliminar reglas de grupos de seguridad en la sección Trabajar con reglas de grupos de seguridad de la Guía del VPC usuario de Amazon.

Amazon Relational Database Service (AmazonRDS)

Todas las reglas de grupos de seguridad salientes de una RDS instancia de base de datos de Amazon se pueden eliminar, a menos que la base de datos actúe como cliente. Para obtener más información, consulte Descripción general de los grupos de VPC seguridad en la Guía del RDS usuario de Amazon.

Amazon ElastiCache

Todas las reglas de grupos de seguridad salientes para las instancias de Amazon ElastiCache (RedisOSS) y Amazon ElastiCache (Memcached) se pueden eliminar, a menos que la instancia actúe como cliente. Para más información, consulte los siguientes temas:

Restringir el tráfico saliente VPC de un usuario mediante el uso de nombres de host AWS Network Firewall DNS

Cuando una aplicación usa direcciones IP dinámicas, se recomienda filtrar su tráfico saliente mediante DNS nombres VPC de host en lugar de direcciones IP. Por ejemplo, si una aplicación utiliza un equilibrador de carga de aplicación, las direcciones IP asociadas a la aplicación cambiarán porque los nodos se escalan continuamente. En este tipo de situaciones, es más seguro usar DNS nombres de host para filtrar el tráfico de red saliente que direcciones IP estáticas.

Puedes utilizar AWS Network Firewallpara restringir tu VPC acceso saliente a Internet a un conjunto de nombres de host proporcionados por la indicación del nombre del servidor (SNI) en el tráfico. HTTPS

Para obtener más información y ejemplos de reglas de política de Network Firewall, consulte Filtrado de dominios en la Guía para desarrolladores de AWS Network Firewall . Para obtener instrucciones detalladas, consulte el siguiente patrón de orientación AWS prescriptiva (APG): Utilice Network Firewall para capturar los nombres de DNS dominio de la indicación del nombre del servidor (SNI) para el tráfico saliente.

Nota

SNIes una extensión TLS que permanece sin cifrar en el flujo de tráfico. Indica el nombre de host de destino a través del cual el cliente intenta acceder. HTTPS

Importante

Tras actualizar las reglas con estado de Network Firewall en el entorno de prueba, asegúrese de que la aplicación siga funcionando según lo previsto. Asegúrese de que ninguno de los nombres de DNS dominio necesarios proporcionados por el SNI esté bloqueado.

Ejemplo de arquitectura

En el siguiente diagrama se muestra un ejemplo de arquitectura AWS Network Firewall para filtrar el tráfico saliente VPC de a mediante nombres de DNS host:

Ejemplo de arquitectura para filtrar el tráfico saliente de AWS Network Firewall a mediante nombres VPC de host DNS

En el diagrama, se muestra el siguiente flujo de trabajo:

  1. La solicitud saliente se origina en la subred privada y se envía a la NAT puerta de enlace de la subred protegida.

  2. El HTTPS tráfico recibido por la NAT puerta de enlace se enruta a un AWS Network Firewall punto final de la subred pública.

  3. AWS Network Firewall inspecciona la solicitud y aplica las reglas de política de firewall configuradas para aceptar o rechazar la solicitud de paso a la puerta de enlace de Internet.

  4. Las solicitudes salientes aprobadas se envían a la puerta de enlace de Internet.

  5. El tráfico aprobado de la pasarela de Internet se envía a Internet para acceder al tráfico previsto URL (indicado SNI en el HTTPS encabezado no cifrado).