Amazon Virtual Private Cloud
Guía del usuario

Seguridad

Amazon Virtual Private Cloud ofrece características que puede utilizar para aumentar y monitorear la seguridad de su nube virtual privada (VPC):

  • Grupos de seguridad: los grupos de seguridad actúan como firewall para las instancias Amazon EC2 asociadas al controlar el tráfico entrante y saliente en el ámbito de la instancia. Cuando lanza una instancia, puede asociarla a uno o varios grupos de seguridad que haya creado. Cada instancia de su VPC podría pertenecer a un conjunto distinto de grupos de seguridad. Si no especifica ningún grupo de seguridad al lanzar una instancia, esta se asocia automáticamente al grupo de seguridad predeterminado de la VPC. Para obtener más información, consulte Grupos de seguridad de su VPC.

  • Listas de control de acceso (ACL) de red: las ACL de red actúan como firewall para las subredes asociadas y controlan el tráfico entrante y saliente en el ámbito de la subred. Para obtener más información, consulte ACL de red.

  • Registros de flujo: los registros de flujo capturan información acerca del tráfico IP entrante y saliente de las interfaces de red en su VPC. Puede crear un registro de flujo para una VPC, una subred o una interfaz de red individual. Los datos del registro de flujo se publican en CloudWatch Logs o Amazon S3, y pueden ayudarle a diagnosticar reglas de ACL de red y de grupos de seguridad excesivamente restrictivas o excesivamente permisivas. Para obtener más información, consulte Logs de flujo de VPC.

Puede utilizar AWS Identity and Access Management para controlar quién de su organización tiene permiso para crear y administrar grupos de seguridad, ACL de red y registros de flujo. Por ejemplo, puede conceder ese permiso únicamente a sus administradores de red, pero no al personal que solo necesita lanzar instancias. Para obtener más información, consulte Control del acceso a los recursos de Amazon VPC.

Los grupos de seguridad y las ACL de red de Amazon no filtran el tráfico entrante o saliente de las direcciones de enlace local (169.254.0.0/16) o direcciones IPv4 reservadas de AWS: estas son las cuatro primeras direcciones IPv4 de la subred (incluida la dirección del servidor DNS de Amazon para la VPC). De forma similar, los logs de flujo no capturan el tráfico IP entrante o saliente de estas direcciones. Estas direcciones admiten los siguientes servicios: servicio de nombres de dominio (DNS), protocolo de configuración dinámica de host (DHCP), metadatos de instancias de Amazon EC2, servicio de administración de claves (KMS: administración de licencias para instancias de Windows), y direccionamiento en la subred. Puede implementar soluciones adicionales de firewall en sus instancias para bloquear la comunicación de red con direcciones de enlace local.

Comparación de grupos de seguridad y ACL de red

La siguiente tabla resume las diferencias básicas entre grupos de seguridad y ACL de red.

Security group (Grupo de seguridad) ACL de red

Opera en el nivel de la instancia

Opera en el nivel de la subred

Solo admite reglas de permiso

Admite reglas de permiso y de denegación

Es con estado: el tráfico de retorno se admite automáticamente, independientemente de las reglas

Es sin estado: las reglas deben permitir de forma explícita el tráfico de retorno

Evaluamos todas las normas antes de decidir si permitir el tráfico

Procesamos las reglas por orden numérico al decidir si permitir el tráfico

Se aplica a una instancia únicamente si alguien especifica el grupo de seguridad al lanzar la instancia, o asocia el grupo de seguridad a la instancia más adelante

Se aplica automáticamente a todas las instancias de las subredes con las que se ha asociado (por lo tanto, una capa de defensa adicional si las reglas del grupo de seguridad son demasiado permisivas)

El siguiente diagrama muestra las capas de seguridad proporcionadas por los grupos de seguridad y las ACL de red. Por ejemplo, el tráfico de un puerto de enlace a Internet se direcciona a la subred correspondiente mediante las rutas de la tabla de ruteo. Las reglas de la ACL de red asociadas a la subred controlan el tráfico que se permite en la subred. Las reglas del grupo de seguridad asociadas a una instancia controlan el tráfico que se permite en la instancia.


        El tráfico se controla mediante grupos de seguridad y ACL de red

Puede proteger las instancias utilizando solo grupos de seguridad; sin embargo, puede añadir ACL de red como una capa adicional de defensa. Para ver un ejemplo, consulte Ejemplo: control del acceso a las instancias en una subred.