Grupos de seguridad
Un grupo de seguridad funciona como un firewall que controla el tráfico que proviene de los recursos de la nube privada virtual (VPC) y el tráfico que se dirige a ellos. Puede elegir los puertos y los protocolos para permitir el tráfico entrante y el tráfico saliente.
En cada grupo de seguridad, se agregan conjuntos de reglas independientes para el tráfico entrante y el tráfico saliente. Para obtener más información, consulte Reglas del grupo de seguridad.
Conceptos básicos de los grupos de seguridad
Características de los grupos de seguridad
-
Al crear un grupo de seguridad, debe darle un nombre y una descripción. Se aplican las siguientes reglas:
-
El nombre de un grupo de seguridad debe ser único dentro de la VPC.
-
Los nombres y las descripciones pueden tener una longitud máxima de 255 caracteres.
-
Los nombres y las descripciones solo pueden contener los siguientes caracteres: a-z, A-Z, 0-9, espacios y ._-:/()#,@[]+=&;{}!$*.
-
Cuando el nombre contiene espacios finales, los recortamos. Por ejemplo, si introduce el nombre "Grupo de seguridad de prueba ", se guardará como "Grupo de seguridad de prueba".
-
El nombre del grupo de seguridad no puede comenzar con
sg-
.
-
-
Los grupos de seguridad son grupos con estado. Por ejemplo, si envía una solicitud desde una instancia, se permite el tráfico de respuesta de dicha solicitud para conectar la instancia independientemente de las reglas del grupo de seguridad de entrada. Se permiten las respuestas al tráfico de entrada para dejar la instancia, independientemente de las reglas de salida.
-
Los grupos de seguridad no filtran el tráfico destinado a los siguientes servicios ni desde estos:
-
Servicios de nombres de dominio de Amazon (DNS)
-
Protocolo de configuración dinámica de host de Amazon (DHCP)
-
Metadatos de la instancia de Amazon EC2
-
Puntos de conexión de metadatos de tareas de Amazon ECS
-
Activación de licencias para instancias de Windows
-
Servicio de sincronización temporal de Amazon
-
Direcciones IP reservadas del enrutador de la VPC predeterminado
-
-
Se ha establecido una cuota del número de grupos de seguridad que puede crear por cada VPC, al igual que el número de reglas que puede añadir a cada grupo de seguridad y el número de grupos de seguridad que puede asociar a una interfaz de red. Para obtener más información, consulte Cuotas de Amazon VPC.
Prácticas recomendadas
-
Autorice solo a entidades principales de IAM específicas a crear y modificar grupos de seguridad.
-
Cree el número mínimo de grupos de seguridad que necesite para reducir el riesgo de error. Use cada grupo de seguridad para administrar el acceso a los recursos que tienen funciones y requisitos de seguridad similares.
-
Al agregar reglas entrantes para los puertos 22 (SSH) o 3389 (RDP) para acceder a sus instancias de EC2, autorice solo rangos de direcciones IP específicas. Si especifica 0.0.0.0/0 (IPv4) y ::/ (IPv6), esto permite a cualquier persona acceder a sus instancias desde cualquier dirección IP mediante el protocolo especificado.
-
No abra rangos de puertos grandes. Asegúrese de que el acceso a través de cada puerto esté restringido a las fuentes o destinos que lo requieran.
-
Considere crear ACL de red con reglas similares a sus grupos de seguridad para agregar una capa de seguridad adicional a su VPC. Para obtener más información acerca de las diferencias entre los grupos de seguridad y las ACL de red, consulte Comparar grupos de seguridad y ACL de red.
Trabajar con grupos de seguridad
Las siguientes tareas muestran cómo trabajar con grupos de seguridad.
Permisos de necesarios
Tareas
Crear un grupo de seguridad
De forma predeterminada, los grupos de seguridad nuevos comienzan con una única regla de salida que permite que todo el tráfico salga del recurso. Debe añadir reglas para permitir el tráfico entrante o restringir el tráfico saliente.
El grupo de seguridad solo se puede utilizar en la VPC para la que se creó.
Para obtener información sobre los permisos necesarios para crear grupos de seguridad y administrar las reglas de los grupos de seguridad, consulte Administrar grupos de seguridad y Administración de reglas de grupos de seguridad.
Para crear un grupo de seguridad con la consola
Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/
. -
En el panel de navegación, elija Grupos de seguridad.
-
Elija Create Security Group (Crear grupo de seguridad).
-
Ingrese un nombre y una descripción para el grupo de seguridad. No puede cambiar el nombre ni la descripción de un grupo de seguridad después de crearlo.
-
En VPC, elija la VPC.
-
Puede agregar reglas de grupo de seguridad ahora o más adelante. Para obtener más información, consulte Agregar reglas a un grupo de seguridad.
-
Puede agregar etiquetas ahora o más adelante. Para agregar una etiqueta, elija Add new tag (Agregar nueva etiqueta) y, a continuación, ingrese la clave y el valor de la etiqueta.
-
Elija Create Security Group (Crear grupo de seguridad).
Después de crear un grupo de seguridad, puede asignarlo a una instancia de EC2 cuando lance la instancia o cambiar el grupo de seguridad actualmente asignado a una instancia. Para obtener más información, consulte Launch an instance using defined parameters (Lanzar una instancia mediante parámetros definidos) o Change an instance's security group (Cambiar el grupo de seguridad de una instancia) en la Guía del usuario de Amazon EC2 para instancias de Linux.
Para crear un grupo de seguridad con AWS CLI
Utilice el comando create-security-group.
Ver los grupos de seguridad
Puede ver información acerca de sus grupos de seguridad de la siguiente manera.
Para obtener más información sobre los permisos necesarios para visualizar los grupos de seguridad, consulte Administrar grupos de seguridad.
Para ver los grupos de seguridad mediante la consola
Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/
. -
En el panel de navegación, elija Grupos de seguridad.
-
Los grupos de seguridad aparecen en la lista. Para ver los detalles de un grupo de seguridad específico, incluidas sus reglas de entrada y salida, elija el grupo de seguridad.
Para ver todos los grupos de seguridad en las regiones
Abra la consola de Amazon EC2 Global View en https://console.aws.amazon.com/ec2globalview/home
Para ver los grupos de seguridad mediante la AWS CLI
Utilice los comandos describe-security-groups y describe-security-group-rules.
Etiquetar los grupos de seguridad
Añada etiquetas a sus recursos para organizarlos e identificarlos mejor, por ejemplo, por objetivo, propietario o entorno. Puede agregar etiquetas a sus grupos de seguridad. Las claves de las etiquetas deben ser únicas para cada grupo de seguridad. Si agrega una etiqueta con una clave que ya está asociada a la regla, se actualiza el valor de esa etiqueta.
Para etiquetar un grupo de seguridad mediante la consola
Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/
. -
En el panel de navegación, elija Grupos de seguridad.
-
Seleccione la casilla de verificación del grupo de seguridad.
-
Elija Actions (Acciones) y, a continuación, Manage tags (Administrar etiquetas). La página Manage tags (Administrar etiquetas) muestra las etiquetas que están asignadas al grupo de seguridad.
-
Para agregar una etiqueta, elija Agregar nueva etiqueta y luego, ingrese la clave y el valor de la etiqueta. Para eliminar una etiqueta, elija Remove (Eliminar) junto a la etiqueta.
-
Elija Save changes.
Para etiquetar un grupo de seguridad mediante la AWS CLI
Utilice el comando create-tags.
Eliminación de un grupo de seguridad
Puede eliminar un grupo de seguridad solo si no está asociado a ninguna instancia. El grupo de seguridad predeterminado no se puede eliminar.
Si está utilizando la consola, puede eliminar más de un grupo de seguridad a la vez. Si utiliza la línea de comandos o la API, solo podrá eliminar un grupo de seguridad a la vez.
Para eliminar un grupo de seguridad con la consola
Abra la consola de Amazon VPC en https://console.aws.amazon.com/vpc/
. -
En el panel de navegación, elija Grupos de seguridad.
-
Seleccione uno o más grupos de seguridad y elija Actions (Acciones) y Delete security groups (Eliminar grupos de seguridad).
-
Cuando se le pida confirmación, ingrese
delete
y elija Delete (Eliminar).
Para eliminar un grupo de seguridad mediante la AWS CLI
Utilice el comando delete-security-group.
Administración centralizada de grupos de seguridad mediante AWS Firewall Manager
AWS Firewall Manager simplifica las tareas de administración y mantenimiento de grupos de seguridad en múltiples cuentas y recursos. Con Firewall Manager, puede configurar y auditar los grupos de seguridad de la organización desde una única cuenta de administrador central. Firewall Manager aplica automáticamente las reglas y las protecciones en todas las cuentas y recursos, incluso cuando se agregan recursos nuevos. Firewall Manager es especialmente útil cuando se desea proteger a toda la organización o si se agregan con frecuencia nuevos recursos que se desea proteger desde una cuenta de administrador central.
Puede utilizar Firewall Manager para administrar de forma centralizada grupos de seguridad de las siguientes maneras:
Configurar grupos de seguridad de referencia común en toda la organización: puede utilizar una política de grupo de seguridad común para proporcionar una asociación controlada centralmente de grupos de seguridad con cuentas y recursos de toda la organización. Especifique dónde y cómo aplicar la política en su organización.
Auditar grupos de seguridad existentes en la organización: puede utilizar una política de grupos de seguridad de auditoría para comprobar las reglas existentes que están en uso en los grupos de seguridad de la organización. Puede definir el alcance de la política para auditar todas las cuentas, cuentas específicas o recursos etiquetados dentro de la organización. Firewall Manager detecta automáticamente nuevas cuentas y recursos y los audita. Puede crear reglas de auditoría para establecer límites sobre qué reglas de grupo de seguridad permitir o no permitir dentro de la organización y para comprobar si hay grupos de seguridad no utilizados o redundantes.
Obtener informes sobre recursos no conformes y remediarlo: puede obtener informes y alertas de recursos no conformes para sus políticas de referencia y de auditoría. También puede establecer flujos de trabajo de corrección automática para corregir cualquier recurso no compatible que Firewall Manager detecte.
Para obtener más información acerca del uso de Firewall Manager para administrar grupos de seguridad, consulte los siguientes recursos en la Guía para desarrolladores de AWS WAF: