Restringir el tráfico saliente de una VPC - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Restringir el tráfico saliente de una VPC

Restringir el tráfico saliente de una VPC mediante grupos de seguridad

Tras evaluar los requisitos de tráfico saliente de la arquitectura, comience a modificar las reglas de los grupos de seguridad de la VPC para adaptarlas a las necesidades de seguridad de la organización. Asegúrese de agregar todos los puertos, protocolos y direcciones IP de destino necesarios a las listas de permisos de los grupos de seguridad.

Para obtener instrucciones, consulte Controlar el tráfico hacia los recursos mediante grupos de seguridad en la Guía del usuario de Amazon VPC.

Importante

Tras actualizar las reglas del grupo de seguridad de la VPC en el entorno de prueba, asegúrese de confirmar que la aplicación sigue funcionando según lo previsto. Para obtener más información, consulte la sección Prácticas recomendadas para analizar el tráfico saliente de la VPC al utilizar los registros de flujo de la VPC de esta guía.

Consideraciones de los grupos de seguridad clave para servicios de AWS específicos

Amazon Elastic Compute Cloud (Amazon EC2)

Al crear una VPC, esta incluye un grupo de seguridad predeterminado que autoriza todo el tráfico saliente. Las instancias de Amazon Elastic Compute Cloud (Amazon EC2) utilizan este grupo de seguridad predeterminado, a menos que cree sus propios grupos de seguridad personalizados.

Importante

Para reducir el riesgo de que una instancia de Amazon EC2 utilice el grupo de seguridad predeterminado de forma no intencionada, elimine todas las reglas de salida del grupo. Si desea obtener más información, consulte Eliminar reglas de grupos de seguridad en la sección Trabajar con reglas de grupo de seguridad de la Guía del usuario de Amazon VPC.

Amazon Relational Database Service (Amazon RDS)

Se pueden eliminar todas las reglas de grupos de seguridad salientes de una instancia de base de datos de Amazon RDS, a menos que la base de datos actúe como cliente. Para obtener más información, consulte Descripción general de los grupos de seguridad de la VPC en la Guía del usuario de Amazon RDS.

Amazon ElastiCache

Todas las reglas de grupos de seguridad salientes para instancias de ElastiCache para Redis y Amazon ElastiCache para Memcached se pueden eliminar, a menos que la instancia actúe como cliente. Para obtener más información, consulte lo siguiente:

Restringir el tráfico saliente de una VPC mediante AWS Network Firewall y nombres de host del DNS

Cuando una aplicación utiliza direcciones IP dinámicas, se recomienda filtrar el tráfico saliente de la VPC mediante nombres de host del DNS en lugar de direcciones IP. Por ejemplo, si una aplicación utiliza un equilibrador de carga de aplicación, las direcciones IP asociadas a la aplicación cambiarán porque los nodos se escalan continuamente. En este tipo de situaciones, es más seguro utilizar nombres de host del DNS para filtrar el tráfico de red saliente que direcciones IP estáticas.

Puede utilizar AWS Network Firewall para restringir el acceso saliente a Internet de la VPC a un conjunto de nombres de host proporcionados por la Indicación del nombre del servidor (SNI) en el tráfico HTTPS.

Para obtener más información y ejemplos de reglas de política de Network Firewall, consulte Filtrado de dominios en la Guía para desarrolladores de AWS Network Firewall. Para obtener instrucciones detalladas, consulte el siguiente patrón de las Recomendaciones de AWS (APG): Utilice Network Firewall para capturar los nombres de dominio del DNS de la indicación del nombre del servidor (SNI) para el tráfico saliente.

Nota

La SNI es una extensión del TLS que permanece sin cifrar en el flujo de tráfico. Indica el nombre del host de destino al que el cliente intenta acceder a través de HTTPS.

Importante

Tras actualizar las reglas con estado de Network Firewall en el entorno de prueba, asegúrese de que la aplicación siga funcionando según lo previsto. Asegúrese de que los nombres de dominio del DNS necesarios proporcionados por la SNI estén bloqueados.

Ejemplo de arquitectura

En el siguiente diagrama, se muestra un ejemplo de arquitectura para utilizar AWS Network Firewall para filtrar el tráfico saliente de una VPC mediante nombres de hosts del DNS:


        Ejemplo de arquitectura para utilizar AWS Network Firewall para filtrar el tráfico saliente de una VPC mediante nombres de hosts del DNS

En el diagrama, se muestra el siguiente flujo de trabajo:

  1. La solicitud saliente se origina en la subred privada y se envía a la puerta de enlace NAT de la subred protegida.

  2. El tráfico HTTPS recibido por la puerta de enlace NAT se enruta a un punto de conexión de AWS Network Firewall de la subred pública.

  3. AWS Network Firewall inspecciona la solicitud y aplica las reglas de política de firewall configuradas para aceptar o rechazar la solicitud de paso a la puerta de enlace de Internet.

  4. Las solicitudes salientes aprobadas se envían a la puerta de enlace de Internet.

  5. El tráfico aprobado de la puerta de enlace de Internet se envía a Internet para acceder a la URL deseada (proporcionada por la SNI en el encabezado HTTPS no cifrado).