Controlar el tráfico hacia los recursos mediante grupos de seguridad - Amazon Virtual Private Cloud

Controlar el tráfico hacia los recursos mediante grupos de seguridad

Un grupo de seguridad actúa como firewall virtual, lo que controla el tráfico al que se permite llegar y dejar los recursos a los que está asociado. Por ejemplo, después de asociar un grupo de seguridad a una instancia de EC2, controla el tráfico de entrada y salida de la instancia.

Al crear una VPC, incluye un grupo de seguridad predeterminado. Puede crear grupos de seguridad adicionales para cada VPC. Puede asociar un grupo de seguridad solo a los recursos de la VPC para la que se creó.

Para cada grupo de seguridad, puede agregar reglas que controlan el tráfico en función de los protocolos y números de puerto. Hay conjuntos de reglas independientes para el tráfico de entrada y el tráfico de salida.

Puede configurar ACL de red con reglas similares a sus grupos de seguridad para añadir una capa de seguridad adicional a su VPC. Para obtener más información acerca de las diferencias entre los grupos de seguridad y las ACL de red, consulte Comparar grupos de seguridad y ACL de red.

Conceptos básicos de los grupos de seguridad

A continuación, se describen las características de los grupos de seguridad:

  • Al crear un grupo de seguridad, debe darle un nombre y una descripción. Se aplican las siguientes reglas:

    • El nombre de un grupo de seguridad debe ser único dentro de la VPC.

    • Los nombres y las descripciones pueden tener una longitud máxima de 255 caracteres.

    • Los nombres y las descripciones solo pueden contener los siguientes caracteres: a-z, A-Z, 0-9, espacios y ._-:/()#,@[]+=&;{}!$*.

    • Cuando el nombre contiene espacios finales, los recortamos. Por ejemplo, si introduce el nombre "Grupo de seguridad de prueba ", se guardará como "Grupo de seguridad de prueba".

    • El nombre del grupo de seguridad no puede comenzar con sg-.

  • Los grupos de seguridad son grupos con estado. Por ejemplo, si envía una solicitud desde una instancia, se permite el tráfico de respuesta de dicha solicitud para conectar la instancia independientemente de las reglas del grupo de seguridad de entrada. Se permiten las respuestas al tráfico de entrada para dejar la instancia, independientemente de las reglas de salida.

  • Se ha establecido una cuota del número de grupos de seguridad que puede crear por cada VPC, al igual que el número de reglas que puede añadir a cada grupo de seguridad y el número de grupos de seguridad que puede asociar a una interfaz de red. Para obtener más información, consulte Cuotas de Amazon VPC .

A continuación, se describen las características de las reglas de los grupos de seguridad:

  • Puede especificar reglas de permiso, pero no reglas de denegación.

  • Cuando se crea un grupo de seguridad, este carece de reglas de entrada. Por lo tanto, no se permitirá el tráfico de entrada hasta que no agregue reglas de entrada al grupo de seguridad.

  • La primera vez que crea un grupo de seguridad, este tiene una regla de salida que permite todo el tráfico de salida procedente del recurso. Es posible quitar esta regla y añadir reglas saliente que permitan solo el tráfico saliente específico. Si el grupo de seguridad no tiene reglas de entrada, no se permitirá el tráfico de salida.

  • Cuando asocia varios grupos de seguridad a un recurso, las reglas de cada grupo de seguridad se agregan para formar un solo conjunto de reglas utilizadas para determinar si se permite el acceso.

  • Cuando se agregan, actualizan o eliminan reglas, los cambios se aplican automáticamente a todos los recursos asociados al grupo de seguridad. El efecto de algunos cambios en las reglas puede depender de cómo se realiza el seguimiento del tráfico. Para obtener más información, consulte Seguimiento de la conexión en la Guía del usuario de Amazon EC2 para instancias de Linux.

  • Cuando usted crea una regla de grupo de seguridad, AWS le asigna un ID único. Puede utilizar el ID de una regla cuando utilice la API o la CLI para modificarla o eliminarla.

Grupos de seguridad predeterminados para las VPC

Las VPC predeterminadas y las VPC que cree incluyen un grupo de seguridad predeterminado. Con algunos recursos, si no se asocia un grupo de seguridad al crear el recurso, se asociará el grupo de seguridad predeterminado. Por ejemplo, si no especifica ningún grupo de seguridad al lanzar una instancia de EC2, se asociará el grupo de seguridad predeterminado.

Puede cambiar las reglas de un grupo de seguridad predeterminado. El grupo de seguridad predeterminado no se puede eliminar. Si intenta eliminar el grupo de seguridad predeterminado, aparece el error siguiente: Client.CannotDelete.

La tabla siguiente describe las reglas predeterminadas del grupo de seguridad predeterminado.

Inbound
Fuente Protocolo Rango de puerto Descripción

El ID del grupo de seguridad (su propio ID de recurso)

Todos

Todos

Permite el tráfico de entrada de los recursos asignados al mismo grupo de seguridad.

Outbound

Destino Protocolo Rango de puerto Descripción

0.0.0.0/0

Todos

Todos

Permite todo el tráfico IPv4 saliente.

::/0 All All Allows all outbound IPv6 traffic. This rule is added only if your VPC has an associated IPv6 CIDR block.

Reglas del grupo de seguridad

Las reglas de un grupo de seguridad controlan el tráfico de entrada que puede llegar a los recursos asociados al grupo de seguridad. Las reglas también controlan el tráfico saliente que puede salir de ellos.

Puede añadir o quitar reglas de un grupo de seguridad (este proceso también se conoce como autorización o revocación del acceso entrante o saliente). Las reglas se aplican al tráfico entrante (entrada) o saliente (salida). Puede conceder acceso a un rango de CIDR específico o a otro grupo de seguridad de su VPC o de una VPC del mismo nivel (requiere interconexión de VPC).

Especifique lo siguiente para cada regla:

  • Protocolo: el protocolo que se permite. Los protocolos más habituales son 6 (TCP), 17 (UDP) y 1 (ICMP).

  • Rango de puertos: para TCP, UDP o un protocolo personalizado, el rango de puertos que se permite. Puede especificar un solo número de puerto (por ejemplo, 22), o bien un rango de números de puertos (por ejemplo, 7000-8000).

  • Tipo y código ICMP: para ICMP, el tipo y el código ICMP. Por ejemplo, utilice el tipo 8 para la Echo Request de ICMP o el tipo 128 para la Echo Request de ICMPv6.

  • Origen o destino: el origen (reglas de entrada) o el destino (reglas de salida) del tráfico que se va a permitir. Especifique uno de los siguientes valores:

    • Una única dirección IPv4. Debe utilizar la longitud de prefijo /32. Por ejemplo, 203.0.113.1/32.

    • Una única dirección IPv6. Debe utilizar la longitud de prefijo /128. Por ejemplo, 2001:db8:1234:1a00::123/128.

    • Un rango de direcciones IPv4 en notación de bloque de CIDR. Por ejemplo, 203.0.113.0/24.

    • Un rango de direcciones IPv6 en notación de bloque de CIDR. Por ejemplo, 2001:db8:1234:1a00::/64.

    • El ID de una lista de prefijos. Por ejemplo, pl-1234abc1234abc123. Para obtener más información, consulte Utilizar colecciones de bloques de CIDR con listas de prefijos .

    • Identificador de un grupo de seguridad (referido aquí como el grupo de seguridad especificado). Por ejemplo, el grupo de seguridad actual, un grupo de seguridad de la misma VPC o un grupo de seguridad para una VPC interconectada. Esto permite el tráfico en función de las direcciones IP privadas de los recursos asociados al grupo de seguridad especificado. Esto no agrega reglas del grupo de seguridad especificado al grupo de seguridad actual. †

  • (Opcional) Descripción: puede añadir una descripción a la regla, que puede ayudarle a identificarla más adelante. Una descripción puede tener una longitud máxima de 255 caracteres. Los caracteres permitidos incluyen a-z, A-Z, 0-9, espacios y ._-:/()#,@[]+=;{}!$*.

† Si configura rutas para reenviar el tráfico entre dos instancias en subredes diferentes a través de un dispositivo middlebox, debe asegurarse de que los grupos de seguridad de ambas instancias permitan que el tráfico fluya entre las instancias. El grupo de seguridad de cada instancia debe hacer referencia a la dirección IP privada de la otra instancia, o al rango CIDR de la subred que contiene la otra instancia, como fuente. Si hace referencia al grupo de seguridad de la otra instancia como fuente, esto no permite que el tráfico fluya entre las instancias.

Reglas de ejemplo

Por lo general, las reglas que agregue a un grupo de seguridad dependerá del propósito de este. La tabla siguiente describe reglas de ejemplo de un grupo de seguridad asociado a servidores web. Los servidores web pueden recibir tráfico HTTP y HTTPS de todas las direcciones IPv4 e IPv6 y enviar el tráfico SQL o MySQL a los servidores de la base de datos.

Inbound
Fuente Protocolo Rango de puerto Descripción

0.0.0.0/0

TCP

80

Permite el acceso HTTP de entrada desde todas las direcciones IPv4

::/0 TCP 80 Allows inbound HTTP access from all IPv6 addresses

0.0.0.0/0

TCP

443

Permite el acceso HTTPS de entrada desde todas las direcciones IPv4

::/0 TCP 443 Allows inbound HTTPS access from all IPv6 addresses

Rango de direcciones IPv4 públicas de su red

TCP

22

Permite el acceso SSH de entrada desde las direcciones IP IPv4 de su red.

Rango de direcciones IPv4 públicas de su red

TCP

3389

Permite el acceso RDP de entrada desde las direcciones IP IPv4 de su red.

Outbound

Destino Protocolo Rango de puerto Descripción

ID del grupo de seguridad para los servidores de la base de datos de Microsoft SQL Server

TCP

1433

Permite el acceso de Microsoft SQL Server de salida

ID del grupo de seguridad para los servidores de la base de datos MySQL

TCP

3306

Permite el acceso de MySQL de salida

El servidor de la base de datos necesitará un conjunto de reglas diferente. Por ejemplo, en lugar del tráfico HTTP y HTTPS entrante, puede añadir una regla que permita el acceso de MySQL o Microsoft SQL Server entrante. Para ver ejemplos, consulte Seguridad. Para obtener más información acerca de los grupos de seguridad para instancias de base de datos de Amazon RDS, consulte Control de acceso con grupos de seguridad en la Guía del usuario de Amazon RDS.

Para ver otros ejemplos, consulte Referencia de reglas de grupos de seguridad en la Guía del usuario de Amazon EC2 para instancias de Linux.

Reglas antiguas de los grupos de seguridad

Si su VPC tiene una conexión de emparejamiento de VPC con otra VPC, o si utiliza una VPC compartida con otra cuenta, la regla del grupo de seguridad puede hacer referencia a otro grupo de seguridad de la VPC del mismo nivel. Esto permite que los recursos asociados al grupo de seguridad al que se hace referencia y los asociados al grupo de seguridad que hace la referencia se comuniquen entre sí.

Si se elimina el grupo de seguridad de la VPC compartida o si se elimina la conexión de emparejamiento de VPC, la regla del grupo de seguridad se marca como obsoleta. Las reglas obsoletas de los grupos de seguridad se pueden eliminar de la misma manera que cualquier otra regla del grupo de seguridad. Para obtener más información, consulte Trabajo con reglas de grupo de seguridad obsoletas en la Guía de interconexión de Amazon VPC.

Trabajar con grupos de seguridad

Las siguientes tareas muestran cómo usar grupos de seguridad con la consola de Amazon VPC.

Permisos necesarios

Crear un grupo de seguridad

De forma predeterminada, los grupos de seguridad nuevos comienzan con una única regla de salida que permite que todo el tráfico salga del recurso. Debe añadir reglas para permitir el tráfico entrante o restringir el tráfico saliente.

El grupo de seguridad solo se puede utilizar en la VPC para la que se creó.

Para obtener información sobre los permisos necesarios para crear grupos de seguridad y administrar las reglas de los grupos de seguridad, consulte Administrar grupos de seguridad y Administración de reglas de grupos de seguridad.

Para crear un grupo de seguridad con la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Elija Create Security Group (Crear grupo de seguridad).

  4. Ingrese un nombre y una descripción para el grupo de seguridad. No puede cambiar el nombre ni la descripción de un grupo de seguridad después de crearlo.

  5. En VPC, elija la VPC.

  6. Puede agregar reglas de grupo de seguridad ahora o más adelante. Para obtener más información, consulte Agregar reglas a un grupo de seguridad .

  7. Puede agregar etiquetas ahora o más adelante. Para agregar una etiqueta, elija Add new tag (Agregar nueva etiqueta) y, a continuación, ingrese la clave y el valor de la etiqueta.

  8. Elija Create Security Group (Crear grupo de seguridad).

Para crear un grupo de seguridad con la línea de comandos

Ver los grupos de seguridad

Puede ver información acerca de sus grupos de seguridad de la siguiente manera.

Para obtener más información sobre los permisos necesarios para visualizar los grupos de seguridad, consulte Administrar grupos de seguridad.

Para ver los grupos de seguridad mediante la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Los grupos de seguridad aparecen en la lista. Para ver los detalles de un grupo de seguridad específico, incluidas sus reglas de entrada y salida, elija el grupo de seguridad.

Para ver los grupos de seguridad mediante la línea de comandos

Para ver todos los grupos de seguridad en las regiones

Abra la consola de Amazon EC2 Global View en https://console.aws.amazon.com/ec2globalview/home.

Para obtener más información acerca del uso de Amazon EC2 Global View, consulte Enumerar y filtrar recursos mediante Amazon EC2 Global View en la Guía del usuario de Amazon EC2 para instancias de Linux.

Etiquetar los grupos de seguridad

Añada etiquetas a sus recursos para organizarlos e identificarlos mejor, por ejemplo, por objetivo, propietario o entorno. Puede agregar etiquetas a sus grupos de seguridad. Las claves de las etiquetas deben ser únicas para cada grupo de seguridad. Si agrega una etiqueta con una clave que ya está asociada a la regla, se actualiza el valor de esa etiqueta.

Para etiquetar un grupo de seguridad mediante la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Seleccione la casilla de verificación del grupo de seguridad.

  4. Elija Actions (Acciones) y, a continuación, Manage tags (Administrar etiquetas).

  5. La página Manage tags (Administrar etiquetas) muestra las etiquetas que están asignadas al grupo de seguridad. Para agregar una etiqueta, elija Add tag (Agregar etiqueta) e ingrese la clave y el valor de la etiqueta. Para eliminar una etiqueta, elija Remove (Eliminar) junto a la etiqueta que desee eliminar.

  6. Elija Save changes.

Para etiquetar un grupo de seguridad mediante la línea de comandos

Eliminación de un grupo de seguridad

Puede eliminar un grupo de seguridad solo si no está asociado a ninguna instancia. El grupo de seguridad predeterminado no se puede eliminar.

Si está utilizando la consola, puede eliminar más de un grupo de seguridad a la vez. Si utiliza la línea de comandos o la API, solo podrá eliminar un grupo de seguridad a la vez.

Para eliminar un grupo de seguridad con la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Seleccione uno o más grupos de seguridad y elija Actions (Acciones) y Delete security groups (Eliminar grupos de seguridad).

  4. Cuando se le pida confirmación, ingrese delete y elija Delete (Eliminar).

Para eliminar un grupo de seguridad con la línea de comandos

Trabajar con reglas de grupos de seguridad

Las siguientes tareas muestran cómo usar reglas de grupos de seguridad con la consola de Amazon VPC.

Agregar reglas a un grupo de seguridad

Al agregar una regla a un grupo de seguridad, la nueva regla se aplica automáticamente a cualquier recurso asociado al grupo de seguridad.

Si tiene una interconexión de VPC, podrá hacer referencia a grupos de seguridad de la VPC del mismo nivel como origen o destino en sus reglas de grupo de seguridad. Para obtener más información, consulte Actualizar los grupos de seguridad para que hagan referencia a grupos de seguridad de VPC del mismo nivel en la Guía de interconexión de Amazon VPC.

Para obtener más información sobre los permisos necesarios para administrar las reglas de los grupos de seguridad, consulte Administración de reglas de grupos de seguridad.

Para agregar una regla a través de la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Seleccione el grupo de seguridad.

  4. Elija Actions (Acciones), Edit inbound rules (Editar reglas de entrada) o Actions (Acciones), Edit outbound rules (Editar reglas de salida).

  5. Para cada regla, elija Add Rule (Agregar regla) y realice lo siguiente.

    1. En Type (Tipo), elija el tipo de protocolo que desea permitir.

      • Para TCP o UDP, debe ingresar el rango de puertos que va a permitir.

      • Para el protocolo ICMP personalizado, debe elegir el nombre del tipo de ICMP en Protocol (Protocolo) y, si se aplica, el nombre del código en Port Range (Rango de puertos).

      • Si elige cualquier otro tipo, el protocolo y el rango de puertos se configurarán de forma automática.

    2. Para Source (Origen) (reglas de entrada) o Destination (Destino) (reglas de salida), realice alguna de las siguientes acciones para permitir el tráfico:

      • Elija Custom (Personalizado) y, a continuación, ingrese una dirección IP en notación CIDR, un bloque de CIDR, otro grupo de seguridad o una lista de prefijos.

      • Elija Anywhere (Cualquier lugar) para permitir el tráfico de cualquier dirección IP (reglas de entrada) o para permitir que el tráfico llegue a todas las direcciones IP (reglas de salida). Esto agrega automáticamente una regla para el bloque de CIDR IPv4 0.0.0.0/0.

        Si el grupo de seguridad está en una VPC habilitada para IPv6, esto agregará automáticamente una regla para el bloque de CIDR IPv6 ::/0.

        En el caso de las reglas de entrada, esta opción es aceptable para un periodo corto en un entorno de prueba, pero no es seguro en los entornos de producción. En entornos de producción, autorice el acceso a una dirección IP específica o a un rango de direcciones IP.

      • Elija My IP (Mi IP) para permitir solo el tráfico entrante (reglas de entrada) o saliente (reglas de salida) de la dirección IPv4 pública de su computadora local.

    3. En Description (Descripción), especifique una breve descripción de la regla.

  6. Seleccione Save rules (Guardar reglas).

Para añadir una regla a un grupo de seguridad con la línea de comandos

Actualizar reglas de los grupos de seguridad

Cuando actualiza una regla, esta se aplica automáticamente a todos los recursos asociados al grupo de seguridad.

Para obtener más información sobre los permisos necesarios para administrar las reglas de los grupos de seguridad, consulte Administración de reglas de grupos de seguridad.

Para actualizar una regla a través de la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Seleccione el grupo de seguridad.

  4. Elija Actions (Acciones), Edit inbound rules (Editar reglas de entrada) o Actions (Acciones), Edit outbound rules (Editar reglas de salida).

  5. Actualice la regla según sea necesario.

  6. Seleccione Save rules (Guardar reglas).

Para actualizar la descripción de una regla de grupo de seguridad con la línea de comandos

Etiquete las reglas de los grupos de seguridad

Añada etiquetas a sus recursos para organizarlos e identificarlos mejor, por ejemplo, por objetivo, propietario o entorno. Puede agregar etiquetas a las reglas de los grupos de seguridad. Las claves de las etiquetas deben ser únicas para cada regla de grupo de seguridad. Si agrega una etiqueta con una clave que ya está asociada a la regla del grupo de seguridad, se actualizará el valor de esa etiqueta.

Para etiquetar una regla mediante la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Seleccione el grupo de seguridad.

  4. En la pestaña Inbound rules (Reglas de entrada) o Outbound rules (Reglas de salida), seleccione la casilla de verificación correspondiente a la regla y, luego, elija Manage tags (Administrar etiquetas).

  5. La página Manage tags (Administrar etiquetas) muestra las etiquetas asignadas a la regla. Para agregar una etiqueta, elija Add tag (Agregar etiqueta) e ingrese la clave y el valor de la etiqueta. Para eliminar una etiqueta, elija Remove (Eliminar) junto a la etiqueta que desee eliminar.

  6. Elija Save changes.

Para etiquetar una regla mediante la línea de comandos

Eliminar las reglas de un grupo de seguridad

Al eliminar una regla de un grupo de seguridad, el cambio se aplica de forma automática a toda instancia asociada al grupo de seguridad.

Para eliminar una regla del grupo de seguridad desde la consola

  1. Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/.

  2. En el panel de navegación, elija Security Groups (Grupos de seguridad).

  3. Seleccione el grupo de seguridad.

  4. Seleccione Actions (Acciones) y, a continuación, elija Edit inbound rules (Editar reglas de entrada) para eliminar una regla de entrada o Edit outbound rules (Editar reglas de salida) para eliminar una regla de salida.

  5. Presione el botón Delete (Eliminar), que se encuentra junto a la regla que desea eliminar.

  6. Seleccione Save rules (Guardar reglas).

Para eliminar una regla de un grupo de seguridad mediante la línea de comandos

Administrar de manera centralizada los grupos de seguridad de VPC mediante AWS Firewall Manager

AWS Firewall Manager simplifica las tareas de administración y mantenimiento de los grupos de seguridad de la VPC en varias cuentas y recursos. Con Firewall Manager, puede configurar y auditar los grupos de seguridad de su organización desde una única cuenta de administrador central. Firewall Manager aplica automáticamente las reglas y las protecciones en todas las cuentas y recursos, incluso cuando se agregan recursos nuevos. Firewall Manager es especialmente útil cuando se desea proteger a toda la organización o si se agregan con frecuencia nuevos recursos que se desea proteger desde una cuenta de administrador central.

Puede utilizar Firewall Manager para administrar de forma centralizada grupos de seguridad de las siguientes maneras:

  • Configurar grupos de seguridad de referencia común en toda la organización: puede utilizar una política de grupo de seguridad común para proporcionar una asociación controlada centralmente de grupos de seguridad con cuentas y recursos de toda la organización. Especifique dónde y cómo aplicar la política en su organización.

  • Auditar grupos de seguridad existentes en la organización: puede utilizar una política de grupos de seguridad de auditoría para comprobar las reglas existentes que están en uso en los grupos de seguridad de la organización. Puede definir el alcance de la política para auditar todas las cuentas, cuentas específicas o recursos etiquetados dentro de la organización. Firewall Manager detecta automáticamente nuevas cuentas y recursos y los audita. Puede crear reglas de auditoría para establecer límites sobre qué reglas de grupo de seguridad permitir o no permitir dentro de la organización y para comprobar si hay grupos de seguridad no utilizados o redundantes.

  • Obtener informes sobre recursos no conformes y remediarlo: puede obtener informes y alertas de recursos no conformes para sus políticas de referencia y de auditoría. También puede establecer flujos de trabajo de corrección automática para corregir cualquier recurso no compatible que Firewall Manager detecte.

Para obtener más información acerca del uso de Firewall Manager para administrar los grupos de seguridad, consulte los siguientes temas de la Guía para desarrolladores de AWS WAF: