Seguridad de la infraestructura en Amazon VPC - Amazon Virtual Private Cloud

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Seguridad de la infraestructura en Amazon VPC

Como servicio gestionado, Amazon Virtual Private Cloud está protegido por la seguridad de la red AWS global. Para obtener información sobre los servicios AWS de seguridad y cómo se AWS protege la infraestructura, consulte Seguridad AWS en la nube. Para diseñar su AWS entorno utilizando las mejores prácticas de seguridad de la infraestructura, consulte Protección de infraestructuras en un marco de buena AWS arquitectura basado en el pilar de la seguridad.

Utiliza las llamadas a la API AWS publicadas para acceder a Amazon VPC a través de la red. Los clientes deben admitir lo siguiente:

  • Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.

  • Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.

Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad principal de IAM. También puede utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.

Aislamiento de red

Una nube privada virtual (VPC) es una red virtual en su propia área aislada lógicamente en la nube. AWS Utilice VPC separados para aislar la infraestructura por carga de trabajo o unidad organizativa.

Una subred es un rango de direcciones IP de una VPC. Al lanzar una instancia, la lanza a una subred en su VPC. Utilice subredes para aislar los niveles de la aplicación (por ejemplo, web, aplicación y base de datos) en una VPC individual. Utilice subredes privadas para las instancias si no se debe acceder a ellas directamente desde Internet.

Puede utilizarlos AWS PrivateLinkpara permitir que los recursos de su VPC se conecten Servicios de AWS mediante direcciones IP privadas, como si esos servicios estuvieran alojados directamente en su VPC. Por lo tanto, no necesita usar una puerta de enlace a Internet ni un dispositivo NAT para acceder. Servicios de AWS

Controlar el tráfico de red

Tenga en cuenta las siguientes opciones para controlar el tráfico de red a los recursos en la VPC, como las instancias EC2:

  • Utilice grupos de seguridad como mecanismo principal para controlar el acceso de red a las VPC. Cuando sea necesario, utilice las ACL de red para proporcionar un control de red sin estado y amplio. Los grupos de seguridad son más versátiles que las ACL de red, debido a su capacidad de realizar un filtrado de paquetes con estado y crear reglas que hagan referencia a otros grupos de seguridad. Las ACL de red pueden ser efectivas como control secundario (por ejemplo, para denegar un subconjunto específico de tráfico) o como medidas de protección de subred de alto nivel. Además, dado que las ACL de red se aplican a toda una subred, se pueden usar como defense-in-depth si alguna vez se lanzara una instancia sin el grupo de seguridad correcto.

  • Utilice subredes privadas para las instancias si no se debe acceder a ellas directamente desde Internet. Utilice un host bastión o una puerta de enlace NAT para acceder a Internet desde las instancias en subredes privadas.

  • Configure tablas de enrutamiento de subred con las rutas de red mínimas para cumplir con los requisitos de conectividad.

  • Considere la posibilidad de utilizar grupos de seguridad adicionales o interfaces de red para controlar y auditar el tráfico de administración de instancias de Amazon EC2 con independencia del tráfico normal de aplicaciones. Así, puede implementar políticas de IAM especiales para el control de cambios, lo que facilita auditar los cambios de las reglas de los grupos de seguridad o en los scripts de verificación de reglas automatizados. Múltiples interfaces de red también ofrecen opciones adicionales para controlar el tráfico de red, incluida la capacidad de crear políticas de direccionamiento basadas en el host o aprovechar diferentes reglas de direccionamiento de la subred de la VPC basadas en interfaces de red asignadas a una subred.

  • Use AWS Virtual Private Network o AWS Direct Connect para establecer conexiones privadas desde sus redes remotas a sus VPC. Para obtener más información, consulte Opciones de conectividad de red a Amazon VPC.

  • Utilice registros de flujo de VPC para monitorear el tráfico que llegue a sus instancias.

  • Utilice AWS Security Hub para verificar la accesibilidad accidental a la red desde sus instancias.

  • Utilice AWS Network Firewall para proteger las subredes de la VPC de amenazas de red comunes.

Comparar grupos de seguridad y ACL de red

La siguiente tabla resume las diferencias básicas entre grupos de seguridad y ACL de red.

Security group (Grupo de seguridad) ACL de red
Opera en el nivel de la instancia Opera en el nivel de la subred
Se aplica a una instancia solo si está asociada a la instancia Se aplica a todas las instancias implementadas en la subred asociada (proporciona una capa de defensa adicional si las reglas del grupo de seguridad son demasiado permisivas)
Solo admite reglas de permiso Admite reglas de permiso y de denegación
Evalúa todas las normas antes de decidir si permitir el tráfico Evalúa las reglas en orden, a partir de la regla numerada más baja, al decidir si permitir el tráfico
Con estado: el tráfico de retorno se permite de manera automática, independientemente de las reglas Sin estado: las reglas deben permitir de forma explícita el tráfico de retorno

El siguiente diagrama muestra las capas de seguridad proporcionadas por los grupos de seguridad y las ACL de red. Por ejemplo, el tráfico de un puerto de enlace a Internet se dirige a la subred correspondiente mediante las rutas de la tabla de ruteo. Las reglas de la ACL de red que se asocian a la subred controlan el tráfico que se permite en la subred. Las reglas del grupo de seguridad que se asocian a una instancia controlan el tráfico que se permite en la instancia.


                El tráfico se controla mediante grupos de seguridad y ACL de red

Puede proteger sus instancias utilizando sólo grupos de seguridad. Sin embargo, puede añadir ACL de red como una capa adicional de defensa. Para obtener más información, consulte Ejemplo: controlar el acceso a las instancias de una subred.