Seguridad

Cuando crea sistemas en la infraestructura de AWS, las responsabilidades de seguridad se comparten entre usted y AWS. Este modelo de responsabilidad compartida reduce la carga operativa, ya que AWS opera, administra y controla los componentes, incluidos el sistema operativo anfitrión, la capa de virtualización y la seguridad física de las instalaciones en las que operan los servicios. Para obtener más información sobre la seguridad de AWS, visite Seguridad en la nube de AWS.

Roles de IAM

Las funciones de AWS Identity and Access Management (IAM) permiten a los clientes asignar políticas y permisos de acceso detallados a los servicios y usuarios de la nube de AWS. Esta solución crea funciones de IAM que otorgan acceso a las funciones de AWS Lambda de la solución para crear recursos regionales.

Amazon CloudFront

Esta solución implementa una interfaz de usuario web alojada en un bucket de Amazon S3, distribuido por Amazon CloudFront. Para reducir la latencia y mejorar la seguridad, esta solución incluye una CloudFront distribución con una identidad de acceso de origen, es decir, un CloudFront usuario que proporciona acceso público al contenido del bucket del sitio web de la solución. De forma predeterminada, la CloudFront distribución usa TLS 1.2 para aplicar el nivel más alto de protocolo de seguridad. Para obtener más información, consulte Restringir el acceso a un origen de Amazon S3 en la Guía para CloudFront desarrolladores de Amazon.

CloudFront activa medidas de seguridad adicionales para añadir encabezados de seguridad HTTP a cada respuesta del espectador. Para obtener más información, consulta Añadir o eliminar encabezados HTTP en las respuestas. CloudFront

Esta solución usa el CloudFront certificado predeterminado, que tiene un protocolo de seguridad mínimo admitido de TLS v1.0. Para imponer el uso de TLS v1.2 o TLS v1.3, debe usar un certificado SSL personalizado en lugar del certificado predeterminado. CloudFront Para obtener más información, consulte Cómo configuro mi CloudFront distribución para usar un certificado. SSL/TLS

Grupo de seguridad AWS Fargate

De forma predeterminada, esta solución abre al público la regla de salida del grupo de seguridad de AWS Fargate. Si quiere impedir que AWS Fargate envíe tráfico a todas partes, cambie la regla de salida por un enrutamiento entre dominios sin clase (CIDR) específico.

Este grupo de seguridad también incluye una regla de entrada que permite el tráfico local en el puerto 50.000 a cualquier fuente que pertenezca al mismo grupo de seguridad. Esto se usa para permitir que los contenedores se comuniquen entre sí.

Prueba de stress de red

Usted es responsable de usar esta solución según la política de pruebas de esfuerzo de red. Esta política cubre situaciones como cuando planea ejecutar pruebas de red de gran volumen directamente desde sus instancias de Amazon a otras ubicaciones, como otras EC2 instancias de Amazon EC2 , propiedades o servicios de AWS o puntos de enlace externos. Estas pruebas a veces se denominan pruebas de stress, pruebas de carga o pruebas diurnas. La mayoría de las pruebas realizadas con clientes no están sujetas a esta política; sin embargo, consulte esta política si cree que generará tráfico que se mantendrá, en total, durante más de 1 minuto, a más de 1 Gbps (mil millones de bits por segundo) o más de 1 Gbps (mil millones de paquetes por segundo).

Restringir el acceso a la interfaz de usuario pública

Para restringir el acceso a la interfaz de usuario pública más allá de los mecanismos de autenticación y autorización proporcionados por IAM y Amazon Cognito, utilice la solución de automatización de seguridad AWS WAF (firewall de aplicaciones web).

Esta solución implementa automáticamente un conjunto de reglas de AWS WAF que filtran los ataques habituales basados en la web. Los usuarios pueden seleccionar entre las funciones de protección preconfiguradas que definen las reglas incluidas en una lista de control de acceso web (ACL web) de AWS WAF.