Privacidad del tráfico entre redes en Amazon VPC - Amazon Virtual Private Cloud

Privacidad del tráfico entre redes en Amazon VPC

Amazon Virtual Private Cloud ofrece características que puede utilizar para aumentar y supervisar la seguridad de la nube privada virtual (VPC):

  • Grupos de seguridad: los grupos de seguridad permiten o deniegan el tráfico entrante y saliente específico a nivel de recursos (como una instancia de EC2). Cuando lanza una instancia, puede asociarla a uno o varios grupos de seguridad. Cada instancia de su VPC podría pertenecer a un conjunto distinto de grupos de seguridad. Si no especifica ningún grupo de seguridad al lanzar una instancia, se asocia automáticamente al grupo de seguridad predeterminado de la VPC. Para obtener más información, consulte Controlar el tráfico hacia los recursos mediante grupos de seguridad .

  • Listas de control de acceso (ACL) de red: las ACL de red permiten o deniegan el tráfico entrante y saliente específico en el ámbito de la subred. Para obtener más información, consulte Controlar el tráfico hacia las subredes utilizando las ACL de red .

  • Registros de flujo: los registros de flujo capturan información acerca del tráfico IP entrante y saliente de las interfaces de red en su VPC. Puede crear un registro de flujo para una VPC, una subred o una interfaz de red individual. Los datos del registro de flujo se publican en CloudWatch Logs o Amazon S3 y pueden ayudarlo a diagnosticar reglas de ACL de red y de grupos de seguridad excesivamente restrictivas o permisivas. Para obtener más información, consulte Registro del tráfico de IP con registros de flujo de la VPC.

  • Replicación del tráfico: puede copiar el tráfico de red desde una interfaz de red elástica de una instancia de Amazon EC2. A continuación, puede enviar el tráfico a dispositivos de supervisión y seguridad fuera de banda. Para obtener más información, consulte la Guía de replicación de tráfico.

Puede utilizar AWS Identity and Access Management (IAM) para controlar quién de su organización tiene permiso para crear y administrar grupos de seguridad, ACL de red y registros de flujo. Por ejemplo, puede conceder ese permiso a sus administradores de red, pero no dar permiso al personal que solo necesita lanzar instancias. Para obtener más información, consulte Identity and Access Management para Amazon VPC .

Los grupos de seguridad y las ACL de red de Amazon no filtran el tráfico destinado a los siguientes servicios ni desde los mismos:

  • Servicios de nombres de dominio de Amazon (DNS)

  • Protocolo de configuración dinámica de host de Amazon (DHCP)

  • Metadatos de la instancia de Amazon EC2

  • Puntos de conexión de metadatos de tareas de Amazon ECS

  • Activación de licencias para instancias de Windows

  • Amazon Time Sync Service

  • Direcciones IP reservadas del enrutador de la VPC predeterminado

Comparar grupos de seguridad y ACL de red

La siguiente tabla resume las diferencias básicas entre grupos de seguridad y ACL de red.

Security group (Grupo de seguridad) ACL de red
Opera en el nivel de la instancia Opera en el nivel de la subred
Se aplica a una instancia solo si está asociada a la instancia Se aplica a todas las instancias implementadas en la subred asociada (proporciona una capa de defensa adicional si las reglas del grupo de seguridad son demasiado permisivas)
Solo admite reglas de permiso Admite reglas de permiso y de denegación
Evaluamos todas las normas antes de decidir si permitir el tráfico Evaluamos las reglas en orden, empezando por la regla numerada más baja, al decidir si permitir el tráfico
Con estado: el tráfico de retorno se permite de manera automática, independientemente de las reglas Sin estado: las reglas deben permitir de forma explícita el tráfico de retorno

El siguiente diagrama muestra las capas de seguridad proporcionadas por los grupos de seguridad y las ACL de red. Por ejemplo, el tráfico de un puerto de enlace a Internet se dirige a la subred correspondiente mediante las rutas de la tabla de ruteo. Las reglas de la ACL de red que se asocian a la subred controlan el tráfico que se permite en la subred. Las reglas del grupo de seguridad que se asocian a una instancia controlan el tráfico que se permite en la instancia.


        El tráfico se controla mediante grupos de seguridad y ACL de red

Puede proteger sus instancias utilizando sólo grupos de seguridad. Sin embargo, puede añadir ACL de red como una capa adicional de defensa. Para ver un ejemplo, consulte Ejemplo: controlar el acceso a las instancias de una subred.