Privacidad del tráfico entre redes en Amazon VPC - Amazon Virtual Private Cloud

Privacidad del tráfico entre redes en Amazon VPC

Amazon Virtual Private Cloud ofrece características que puede utilizar para aumentar y monitorear la seguridad de Virtual Private Cloud (VPC):

  • Grupos de seguridad: los grupos de seguridad actúan como firewall para las instancias Amazon EC2 asociadas, al controlar el tráfico entrante y saliente en el nivel de la instancia. Cuando lanza una instancia, puede asociarla a uno o varios grupos de seguridad que haya creado. Cada instancia de su VPC podría pertenecer a un conjunto distinto de grupos de seguridad. Si no especifica ningún grupo de seguridad al lanzar una instancia, esta se asocia automáticamente al grupo de seguridad predeterminado de la VPC. Para obtener más información, consulte Grupos de seguridad de su VPC.

  • Listas de control de acceso (ACL) de red: las ACL de red actúan como firewall para las subredes asociadas y controlan el tráfico entrante y saliente en el ámbito de la subred. Para obtener más información, consulte ACL de red.

  • Registros de flujo: los registros de flujo capturan información acerca del tráfico IP entrante y saliente de las interfaces de red en su VPC. Puede crear un registro de flujo para una VPC, una subred o una interfaz de red individual. Los datos del registro de flujo se publican en CloudWatch Logs o Amazon S3 y pueden ayudarle a diagnosticar reglas de ACL de red y de grupos de seguridad excesivamente restrictivas o permisivas. Para obtener más información, consulte Logs de flujo de VPC.

  • Replicación del tráfico: puede copiar el tráfico de red desde una interfaz de red elástica de una instancia de Amazon EC2. A continuación, puede enviar el tráfico a dispositivos de supervisión y seguridad fuera de banda. Para obtener más información, consulte la Guía de replicación de tráfico.

Puede utilizar AWS Identity and Access Management (IAM) para controlar quién en la organización tiene permiso para crear y administrar grupos de seguridad, ACL de red y registros de flujo. Por ejemplo, puede conceder ese permiso a sus administradores de red, pero no dar permiso al personal que solo necesita lanzar instancias. Para obtener más información, consulte Identity and Access Management para Amazon VPC.

Los grupos de seguridad y las ACL de red de Amazon no filtran el tráfico destinado a los siguientes servicios de Amazon ni desde los mismos:

  • Servicios de nombres de dominio de Amazon (DNS)

  • Protocolo de configuración dinámica de host de Amazon (DHCP)

  • Metadatos de la instancia de Amazon EC2

  • Activación de licencia de Windows para Amazon

  • Amazon Time Sync Service

  • Dirección IP reservada del enrutador de la VPC predeterminado

Comparación de grupos de seguridad y ACL de red

La siguiente tabla resume las diferencias básicas entre grupos de seguridad y ACL de red.

Security group (Grupo de seguridad) ACL de red

Opera en el nivel de la instancia

Opera en el nivel de la subred

Solo admite reglas de permiso

Admite reglas de permiso y de denegación

Es con estado: el tráfico de retorno se admite automáticamente, independientemente de las reglas

Es sin estado: las reglas deben permitir de forma explícita el tráfico de retorno

Evaluamos todas las normas antes de decidir si permitir el tráfico

Procesamos las reglas en orden, empezando por la regla numerada más baja, al decidir si permitir el tráfico

Se aplica a una instancia únicamente si alguien especifica el grupo de seguridad al lanzar la instancia, o asocia el grupo de seguridad a la instancia más adelante

Se aplica automáticamente a todas las instancias de las subredes con las que se ha asociado (por lo tanto, proporciona una capa de defensa adicional si las reglas del grupo de seguridad son demasiado permisivas)

El siguiente diagrama muestra las capas de seguridad proporcionadas por los grupos de seguridad y las ACL de red. Por ejemplo, el tráfico de un puerto de enlace a Internet se dirige a la subred correspondiente mediante las rutas de la tabla de ruteo. Las reglas de la ACL de red que se asocian a la subred controlan el tráfico que se permite en la subred. Las reglas del grupo de seguridad que se asocian a una instancia controlan el tráfico que se permite en la instancia.


        El tráfico se controla mediante grupos de seguridad y ACL de red

Puede proteger sus instancias utilizando sólo grupos de seguridad. Sin embargo, puede añadir ACL de red como una capa adicional de defensa. Para ver un ejemplo, consulte Ejemplo: controlar el acceso a las instancias en una subred.