Grupos de seguridad de su VPC - Amazon Virtual Private Cloud

Grupos de seguridad de su VPC

Un grupo de seguridad funciona como un firewall virtual de la instancia para controlar el tráfico entrante y saliente. Cuando lanza una instancia en una VPC, puede asignar hasta cinco grupos de seguridad a la instancia. Los grupos de seguridad actúan en el ámbito de la instancia, no en el de la subred. Por lo tanto, cada instancia de la subred de su VPC puede asignarse a distintos conjuntos de grupos de seguridad.

Si lanza una instancia con la API de Amazon EC2 o una herramienta de línea de comandos y no especifica un grupo de seguridad, la instancia se asigna automáticamente al grupo de seguridad predeterminado para la VPC. Si lanza una instancia con la consola de Amazon EC2, tiene la opción de crear un nuevo grupo de seguridad para la instancia.

Para cada grupo de seguridad, es necesario añadir reglas que controlan el tráfico entrante a las instancias, así como un conjunto de reglas distinto que controla el tráfico saliente. Esta sección describe los conceptos básicos que debe conocer acerca de los grupos de seguridad de su VPC y sus reglas.

Puede configurar ACL de red con reglas similares a sus grupos de seguridad para añadir una capa de seguridad adicional a su VPC. Para obtener más información acerca de las diferencias entre los grupos de seguridad y las ACL de red, consulte Comparación de grupos de seguridad y ACL de red.

Conceptos básicos de los grupos de seguridad

A continuación se describen las características básicas de los grupos de seguridad para su VPC:

  • Puede especificar reglas de permiso, pero no reglas de denegación.

  • Es posible especificar reglas separadas para el tráfico entrante y saliente.

  • Las reglas de grupo de seguridad le permiten filtrar el tráfico en función de los protocolos y números de puerto.

  • Los grupos de seguridad con estado: si envía una solicitud desde la instancia, se permite el flujo del tráfico de respuesta para dicha solicitud, independientemente de las reglas de entrada del grupo de seguridad. El flujo saliente de las respuestas al tráfico entrante está permitido independientemente de las reglas salientes.

    nota

    El seguimiento de determinados tipos de tráfico se realiza de forma distinta al de otros tipos. Para obtener más información, consulte Seguimiento de la conexión en la Guía del usuario de Amazon EC2 para instancias de Linux.

  • Cuando se crea un nuevo grupo de seguridad, este carece de reglas entrantes. Por lo tanto, no se permitirá el tráfico entrante que proceda de otro host a su instancia hasta que no añada reglas entrantes al grupo de seguridad.

  • De forma predeterminada, los grupos de seguridad incluyen una regla entrante que permite todo el tráfico saliente. Es posible quitar esta regla y añadir reglas saliente que permitan solo el tráfico saliente específico. Si el grupo de seguridad no tiene reglas entrantes, no se permitirá el tráfico saliente que proceda de esta instancia.

  • Se ha establecido una cuota del número de grupos de seguridad que puede crear por cada VPC, al igual que el número de reglas que puede añadir a cada grupo de seguridad y el número de grupos de seguridad que puede asociar a una interfaz de red. Para obtener más información, consulte Cuotas de Amazon VPC.

  • Las instancias asociadas a un grupo de seguridad no pueden hablar entre sí a no ser que añada reglas que lo permitan el tráfico (excepción: el grupo de seguridad predeterminado dispone de estas reglas de manera predeterminada).

  • Los grupos de seguridad están asociados a interfaces de red. Tras lanzar una instancia, podrá cambiar los grupos de seguridad que están asociados con la instancia, lo que modifica los grupos de seguridad asociados a la interfaz de red principal (eth0). También puede especificar o cambiar los grupos de seguridad asociados a cualquier otra interfaz de red. De forma predeterminada, al crear una interfaz de red, ésta se asocia con el grupo de seguridad predeterminado para la VPC, a menos que especifique otro grupo de seguridad. Para obtener más información acerca de las interfaces de red, consulte Interfaces de red elástica.

  • Al crear un grupo de seguridad, debe darle un nombre y una descripción. Se aplican las siguientes reglas:

    • Los nombres y las descripciones pueden tener una longitud máxima de 255 caracteres.

    • Los nombres y las descripciones solo pueden contener los siguientes caracteres: a-z, A-Z, 0-9, espacios y ._-:/()#,@[]+=&;{}!$*.

    • Si el nombre contiene espacios finales, se eliminan al guardarlo. Por ejemplo, si introduce el nombre "Grupo de seguridad de prueba ", se guardará como "Grupo de seguridad de prueba".

    • Un nombre de grupo de seguridad no puede comenzar con sg-, ya que indica un grupo de seguridad predeterminado.

    • El nombre de un grupo de seguridad debe ser único dentro de la VPC.

  • Un grupo de seguridad solo se puede utilizar en la VPC que especifique al crear el grupo de seguridad.

Grupo de seguridad predeterminado para su VPC

Su VPC incluye automáticamente un grupo de seguridad predeterminado. Si no especifica un grupo de seguridad distinto al lanzar la instancia, se asociará el grupo de seguridad predeterminado a su instancia.

nota

Si lanza una instancia en la consola de Amazon EC2, el asistente de lanzamiento de instancias define automáticamente un grupo de seguridad "launch-wizard-xx", que puede asociar a la instancia en lugar del grupo de seguridad predeterminado.

La tabla siguiente describe las reglas predeterminadas del grupo de seguridad predeterminado.

Inbound
Source Protocol Port range Description

ID del grupo de seguridad (sg-xxxxxxxx).

Todo

Todos

Permite el tráfico entrante de las interfaces de red (y las instancias asociadas) asignadas al mismo grupo de seguridad.

Outbound

Destination Protocol Port range Description

0.0.0.0/0

Todos

Todos

Permite todo el tráfico IPv4 saliente.

::/0 Todos Todo Permite todo el tráfico IPv6 saliente. Esta regla se añade de manera predeterminada si crea una VPC con un bloque de CIDR IPv6 o si asocia un bloque de CIDR IPv6 a su VPC existente.

Puede cambiar las reglas del grupo de seguridad predeterminado.

El grupo de seguridad predeterminado no se puede eliminar. Si intenta eliminar el grupo de seguridad predeterminado, aparece el error siguiente: Client.CannotDelete: the specified group: "sg-51530134" name: "default" cannot be deleted by a user.

nota

Si ha modificado las reglas salientes de su grupo de seguridad, no se añadirá automáticamente ninguna regla saliente para el tráfico IPv6 al asociar un bloque de CIDR IPv6 a su VPC.

Reglas del grupo de seguridad

Puede añadir o quitar reglas de un grupo de seguridad (este proceso también se conoce como autorización o revocación del acceso entrante o saliente). Las reglas se aplican al tráfico entrante (entrada) o saliente (salida). Puede conceder acceso a un rango de CIDR específico o a otro grupo de seguridad de su VPC o de una VPC del mismo nivel (requiere interconexión de VPC).

A continuación se describen las partes básicas de las reglas de los grupos de seguridad de una VPC:

  • (Solo reglas entrantes) Origen del tráfico y puerto de destino o rango de puertos. El origen puede ser otro grupo de seguridad, un bloque de CIDR IPv4 o IPv6, una única dirección IPv4 o IPv6 o un ID de lista de prefijos.

  • (Solo reglas salientes) Destino del tráfico y puerto de destino o rango de puertos. El destino puede ser otro grupo de seguridad, un bloque de CIDR IPv4 o IPv6, bien una única dirección IPv4 o IPv6, o un ID de lista de prefijos.

  • Cualquier protocolo que tenga un número de protocolo estándar (para obtener una lista, consulte Protocol Numbers). Si especifica ICMP como el protocolo, puede especificar cualquiera de los tipos y códigos de ICMP.

  • Una descripción opcional de la regla del grupo de seguridad que le ayude a identificarla posteriormente. Una descripción puede tener una longitud máxima de 255 caracteres. Los caracteres permitidos incluyen a-z, A-Z, 0-9, espacios y ._-:/()#,@[]+=;{}!$*.

  • Si agrega una regla de grupo de seguridad usando la CLI de AWS, la consola o la API, se establece automáticamente el bloque de CIDR de origen o de destino en la forma canónica. Por ejemplo, si especifica 100.68.0.18/18 para el bloque de CIDR, creamos una regla con un bloque de CIDR de 100.68.0.0/18.

Cuando se especifica un bloque de CIDR como el origen de una regla, se permite el tráfico desde las direcciones especificadas para el protocolo y puertos especificados.

Cuando se especifica un grupo de seguridad como el origen de una regla, se permite el tráfico desde las interfaces de red asociadas al grupo de seguridad de origen para el protocolo y los puertos especificados. Se permite el tráfico entrante según las direcciones IP privadas de las interfaces de red asociadas al grupo de seguridad de origen (y no la dirección IP pública o las direcciones IP elásticas). Cuando se añade un grupo de seguridad como origen, no se añaden reglas desde el grupo de seguridad de origen. Para ver un ejemplo, consulte Grupo de seguridad predeterminado para su VPC.

Si especifica una única dirección IPv4, indíquela con la longitud de prefijo /32. Si especifica una única dirección IPv6, especifíquela con la longitud de prefijo /128.

Algunos sistemas de configuración de firewalls permiten filtrar por los puertos de origen. Los grupos de seguridad solo permiten filtrar por puertos de destino.

Al añadir o quitar reglas, estas se aplican automáticamente a todas las instancias asociadas al grupo de seguridad.

El tipo de reglas que se añaden dependerá del propósito del grupo de seguridad. La tabla siguiente describe reglas de ejemplo de un grupo de seguridad asociado a servidores web. Los servidores web pueden recibir tráfico HTTP y HTTPS de todas las direcciones IPv4 e IPv6 y, a continuación, enviar el tráfico SQL o MySQL al servidor de la base de datos.

Inbound
Source Protocol Port range Description

0.0.0.0/0

TCP

80

Permite el acceso HTTP entrante desde todas las direcciones IPv4.

::/0 TCP 80 Permite el acceso HTTP entrante desde todas las direcciones IPv6.

0.0.0.0/0

TCP

443

Permite el acceso HTTPS entrante desde todas las direcciones IPv4.

::/0 TCP 443 Permite el acceso HTTPS entrante desde todas las direcciones IPv6.

Rango de direcciones IPv4 públicas de su red

TCP

22

Permite el acceso SSH entrante a las instancias de Linux desde direcciones IP IPv4 de su red (a través de la gateway de Internet).

Rango de direcciones IPv4 públicas de su red

TCP

3389

Permite el acceso RDP entrante a las instancias de Windows desde direcciones IP IPv4 de su red (a través de la gateway de Internet).

Outbound

Destination Protocol Port range Description

ID del grupo de seguridad para los servidores de la base de datos de Microsoft SQL Server

TCP

1433

Permite el acceso saliente de Microsoft SQL Server a las instancias del grupo de seguridad especificado

ID del grupo de seguridad para los servidores de la base de datos MySQL

TCP

3306

Permite el acceso saliente de MySQL a las instancias del grupo de seguridad especificado

El servidor de la base de datos necesitará un conjunto de reglas distintas. Por ejemplo, en lugar del tráfico HTTP y HTTPS entrante, puede añadir una regla que permita el acceso de MySQL o Microsoft SQL Server entrante. Para obtener un ejemplo de las reglas de grupo de seguridad para servidores web y servidores de bases de datos, consulte Seguridad. Para obtener más información acerca de los grupos de seguridad para instancias de base de datos de Amazon RDS, consulte Control de acceso con grupos de seguridad en la Guía del usuario de Amazon RDS.

Para obtener ejemplos de reglas de grupos de seguridad para determinados tipos de acceso, consulte Referencia de reglas de grupos de seguridad en la Guía del usuario de Amazon EC2 para instancias de Linux.

Reglas antiguas de los grupos de seguridad

Si su VPC tiene una interconexión con otra VPC, la regla del grupo de seguridad puede hacer referencia a otro grupo de seguridad de la VPC del mismo nivel. Esto permite que las instancias asociadas al grupo de seguridad al que se hace referencia y las asociadas al grupo de seguridad que hace la referencia se comuniquen entre sí.

Si el propietario de la VPC del mismo nivel elimina el grupo de seguridad al que se hace referencia, o bien si usted o el propietario de la VPC del mismo nivel elimina la interconexión de VPC, la regla del grupo de seguridad se marcará como stale. Las reglas obsoletas de los grupos de seguridad se pueden eliminar de la misma manera que cualquier otra regla del grupo de seguridad.

Para obtener más información, consulte Trabajar con grupos de seguridad obsoletos en la Guía de interconexión de Amazon VPC.

Diferencias entre los grupos de seguridad para EC2-Classic y EC2-VPC

No puede utilizar los grupos de seguridad que ha creado con EC2-Classic con instancias en su VPC. Debe crear grupos de seguridad específicamente para utilizarlos con instancias de su VPC. Las reglas que cree para utilizarlas con un grupo de seguridad de una VPC no pueden hacer referencia a un grupo de seguridad de EC2-Classic y viceversa. Para obtener más información sobre las diferencias entre los grupos de seguridad que se utilizan con EC2-Classic y los que se utilizan con una VPC, consulte Diferencias entre EC2-Classic y una VPC en la Guía del usuario de Amazon EC2 para instancias de Linux.

Uso de grupos de seguridad

Las siguientes tareas muestran cómo usar grupos de seguridad con la consola de Amazon VPC.

Para ver políticas de IAM de ejemplo que funcionen con grupos de seguridad, consulte Administración de grupos de seguridad.

Modificar el grupo de seguridad predeterminado

La VPC incluye un grupo de seguridad predeterminado. Este grupo no se puede eliminar; sin embargo, es posible cambiar las reglas del grupo. El procedimiento es el mismo que para modificar cualquier otro grupo de seguridad. Para obtener más información, consulte Agregar, eliminar y actualizar reglas.

Crear un grupo de seguridad

Aunque puede utilizar el grupo de seguridad predeterminado para sus instancias, puede que desee crear sus propios grupos para reflejar las distintas funciones de desempeñan que juegan las instancias en su sistema.

El procedimiento siguiente crea un grupo de seguridad sin reglas de entrada y la regla de salida predeterminada.

Para crear un grupo de seguridad con la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Elija Create Security Group (Crear grupo de seguridad).

  4. Escriba un nombre para el grupo de seguridad (por ejemplo, my-security-group) y proporcione una descripción.

  5. En VPC, seleccione el ID de su VPC.

  6. (Opcional) Añada o elimine una etiqueta.

    [Agregar una etiqueta] Elija Agregar etiqueta y haga lo siguiente:

    • En Key (Clave), escriba el nombre de la clave.

    • En Value (Valor), escriba el valor de la clave.

    [Eliminar una etiqueta] Elija Eliminar a la derecha de la clave y el valor de la etiqueta.

  7. Seleccione Create (Crear).

Para crear un grupo de seguridad con la línea de comandos

Para describir uno o varios grupos de seguridad con la línea de comandos

De forma predeterminada, los grupos de seguridad nuevos comienzan con una única regla de salida que permite que todo el tráfico salga de las instancias. Debe añadir reglas para permitir el tráfico entrante o restringir el tráfico saliente.

Agregar, eliminar y actualizar reglas

Al añadir o quitar una regla, las instancias ya asignadas al grupo de seguridad quedan sujetas al cambio.

Si tiene una interconexión de VPC, podrá hacer referencia a grupos de seguridad de la VPC del mismo nivel como origen o destino en sus reglas de grupo de seguridad. Para obtener más información, consulte Actualizar los grupos de seguridad para que hagan referencia a grupos de seguridad de VPC del mismo nivel en la Guía de interconexión de Amazon VPC.

Para agregar una regla a través de la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups.

  3. Seleccione el grupo de seguridad que desea actualizar.

  4. Elija Actions (Acciones), Edit inbound rules (Editar reglas de entrada) o Actions (Acciones), Edit outbound rules (Editar reglas de salida).

  5. Seleccione Add rule. En Type (Tipo), seleccione el tipo de tráfico y, a continuación, especifique el origen (reglas de entrada) o el destino (reglas de salida). Por ejemplo, para un servidor web público, elija HTTP o HTTPS y especifique un valor para Source como 0.0.0.0/0.

    Si utiliza 0.0.0.0/0, permitirá que todas las direcciones IPv4 tengan acceso a su instancia mediante HTTP o HTTPS. Para restringir el acceso, escriba una dirección IP específica o un rango de direcciones.

  6. También puede permitir la comunicación entre todas las instancias que están asociadas a este grupo de seguridad. Cree una regla de entrada con las opciones siguientes:

    • Type (Tipo): All Traffic (Todo el tráfico)

    • Source (Origen): escriba el ID del grupo de seguridad.

  7. Seleccione Save rules (Guardar reglas).

Para eliminar una regla a través de la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups.

  3. Seleccione el grupo de seguridad que desea actualizar.

  4. Elija Actions (Acciones), Edit inbound rules (Editar reglas de entrada) o Actions (Acciones), Edit outbound rules (Editar reglas de salida).

  5. Elija Delete (Eliminar) para la regla que desea eliminar.

  6. Seleccione Save rules (Guardar reglas).

Al modificar el protocolo, el intervalo de puertos o el origen o destino de una regla de grupo de seguridad existente mediante la consola, esta elimina la regla existente y agrega una nueva automáticamente.

Para actualizar una regla a través de la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups.

  3. Seleccione el grupo de seguridad que desea actualizar.

  4. Elija Actions (Acciones), Edit inbound rules (Editar reglas de entrada) o Actions (Acciones), Edit outbound rules (Editar reglas de salida).

  5. Modifique la entrada la regla según sea necesario.

  6. Seleccione Save rules (Guardar reglas).

No es posible modificar la regla si va a actualizar el protocolo, el intervalo de puertos o el origen o el destino de una regla existente mediante la API de Amazon EC2 o una herramienta de línea de comandos. En su lugar, debe eliminar la regla existente y añadir una nueva. Para actualizar solo la descripción de la regla, puede usar los comandos update-security-group-rule-descriptions-ingress y update-security-group-rule-descriptions-egress.

Para añadir una regla a un grupo de seguridad con la línea de comandos

Para eliminar una regla de un grupo de seguridad con la línea de comandos

Para actualizar la descripción de una regla de grupo de seguridad con la línea de comandos

Cambiar los grupos de seguridad de una instancia

Tras lanzar una instancia en una VPC, podrá cambiar los grupos de seguridad asociados a dicha instancia. Es posible modificar los grupos de seguridad de una instancia cuando esta tiene el estado running o stopped.

nota

Este procedimiento permite modificar los grupos de seguridad asociados a la interfaz de red principal (eth0) de la instancia. Para cambiar los grupos de seguridad de otras interfaces de red, consulte Cambio del grupo de seguridad.

Para cambiar los grupos de seguridad para una instancia con la consola

  1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

  2. En el panel de navegación, elija Instances (Instancias).

  3. Elija Actions (Acciones), Security (Seguridad), Change security groups (Cambiar grupos de seguridad).

  4. En Associated security groups (Grupos de seguridad asociados), seleccione un grupo de seguridad de la lista y elija Add security group (Agregar grupo de seguridad).

    Para quitar un grupo de seguridad ya asociado, elija Remove (Quitar) para ese grupo de seguridad.

  5. Elija Save (Guardar).

Para cambiar los grupos de seguridad para una instancia con la línea de comandos

Eliminar un grupo de seguridad

Solo se puede eliminar el grupo de seguridad si este no tiene ninguna instancia asociada (en ejecución o detenida). Puede asignar las instancias a otro grupo de seguridad antes de eliminar el grupo de seguridad (consulte Cambiar los grupos de seguridad de una instancia). El grupo de seguridad predeterminado no se puede eliminar.

Si está utilizando la consola, puede eliminar más de un grupo de seguridad a la vez. Si está utilizando la línea de comando o el API, solo puede eliminar un grupo de seguridad a la vez.

Para eliminar un grupo de seguridad con la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups.

  3. Seleccione uno o varios grupos de seguridad y elija Security Group Actions, Delete Security Group.

  4. En el cuadro de diálogo Delete Security Group, elija Yes, Delete.

Para eliminar un grupo de seguridad con la línea de comandos

Eliminar el grupo de seguridad 2009-07-15 predeterminado

Las VPC creadas con una API cuya versión sea anterior al 01-01-2011 tendrán el grupo de seguridad 2009-07-15-default. Este grupo de seguridad existe además del grupo de seguridad default que se incluye en cada VPC. No es posible adjuntar una gateway de Internet a una VPC con el grupo de seguridad 2009-07-15-default. Por lo tanto, debe eliminar este grupo de seguridad para poder adjuntar una gateway de Internet a la VPC.

nota

Si ha asignado este grupo de seguridad a otras instancias, debe asignar a dichas instancias otro grupo de seguridad distinto para poder eliminar el grupo de seguridad.

Para eliminar el grupo de seguridad 2009-07-15-default

  1. Asegúrese de que este grupo de seguridad no esté asignado a ninguna instancia.

    1. Abra la consola de Amazon EC2 en https://console.aws.amazon.com/ec2/.

    2. En el panel de navegación, elija Network Interfaces.

    3. Seleccione la interfaz de red de la instancia de la lista y elija Change Security Groups, Actions.

    4. En el cuadro de diálogo Change Security Groups, seleccione un nuevo grupo de seguridad de la lista y elija Save.

      Cuando cambie el grupo de seguridad de una instancia, podrá seleccionar varios grupos de seguridad de la lista. Los grupos de seguridad que seleccione sustituirán los grupos de seguridad actuales de la instancia.

    5. Repita los pasos anteriores para cada instancia.

  2. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  3. En el panel de navegación, elija Security Groups.

  4. Elija el grupo de seguridad 2009-07-15-default, a continuación elija Security Group Actions (Acciones de grupo de seguridad), Delete Security Group (Eliminar grupo de seguridad).

  5. En el cuadro de diálogo Delete Security Group, elija Yes, Delete.

Administrar de forma centralizada grupos de seguridad de VPC mediante AWS Firewall Manager

AWS Firewall Manager simplifica las tareas de administración y mantenimiento de grupos de seguridad de la VPC en varias cuentas y recursos. Con Firewall Manager, puede configurar y auditar los grupos de seguridad de su organización desde una única cuenta de administrador central. Firewall Manager aplica automáticamente las reglas y las protecciones en todas las cuentas y recursos, incluso cuando se agregan recursos nuevos. Firewall Manager es especialmente útil cuando se desea proteger a toda la organización o si se agregan con frecuencia nuevos recursos que se desea proteger desde una cuenta de administrador central.

Puede utilizar Firewall Manager para administrar de forma centralizada grupos de seguridad de las siguientes maneras:

  • Configurar grupos de seguridad de referencia común en toda la organización: puede utilizar una política de grupo de seguridad común para proporcionar una asociación controlada centralmente de grupos de seguridad con cuentas y recursos de toda la organización. Especifique dónde y cómo aplicar la política en su organización.

  • Auditar grupos de seguridad existentes en la organización: puede utilizar una política de grupos de seguridad de auditoría para comprobar las reglas existentes que están en uso en los grupos de seguridad de la organización. Puede definir el alcance de la política para auditar todas las cuentas, cuentas específicas o recursos etiquetados dentro de la organización. Firewall Manager detecta automáticamente nuevas cuentas y recursos y los audita. Puede crear reglas de auditoría para establecer límites sobre qué reglas de grupo de seguridad permitir o no permitir dentro de la organización y para comprobar si hay grupos de seguridad no utilizados o redundantes.

  • Obtener informes sobre recursos no conformes y remediarlo: puede obtener informes y alertas de recursos no conformes para sus políticas de referencia y de auditoría. También puede establecer flujos de trabajo de corrección automática para corregir cualquier recurso no compatible que Firewall Manager detecte.

Para obtener más información sobre el uso de Firewall Manager para administrar los grupos de seguridad, consulte los siguientes temas en la Guía para desarrolladores de AWS WAF: