SEC05-BP01 Crear capas de red - AWS Well-Architected Framework
Guía para la implementaciónRecursos

SEC05-BP01 Crear capas de red

Agrupe por capas los componentes que tienen los mismos requisitos de confidencialidad para minimizar el alcance potencial del impacto de un acceso no autorizado. Por ejemplo, un clúster de base de datos que está en una nube virtual privada (VPC) y no necesita acceso a Internet debe colocarse en subredes sin enrutamiento hacia Internet o desde Internet. El tráfico solo debe salir desde el siguiente recurso adyacente menos confidencial. Supongamos que tiene una aplicación web detrás de un equilibrador de carga. Su base de datos no debería ser accesible directamente desde este equilibrador de carga. Solo deberían tener acceso directo a su base de datos la lógica empresarial o el servidor web.

Resultado deseado: crear una red en capas. Las redes en capas ayudan a agrupar de forma lógica componentes de red similares. También reducen el alcance potencial del impacto que supondría un acceso no autorizado a la red. Una red que se haya configurado por capas de la forma adecuada hace más difícil que los usuarios no autorizados se dirijan a recursos adicionales dentro de su entorno de AWS. Además de asegurar las rutas de red internas, también debe proteger la periferia de su red, como las aplicaciones web y los puntos de conexión de API.

Antipatrones usuales:

  • Crear todos los recursos en una única VPC o subred.

  • Utilizar grupos de seguridad demasiado permisivos.

  • No utilizar subredes.

  • Permitir el acceso directo a almacenes de datos como bases de datos.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: alto

Guía para la implementación

Los componentes como instancias Amazon Elastic Compute Cloud (Amazon EC2), clústeres de base de datos de Amazon Relational Database Service (Amazon RDS) y funciones AWS Lambda que comparten requisitos de accesibilidad pueden segmentarse en capas formadas por subredes. Considere la posibilidad de desplegar cargas de trabajo sin servidor, como funciones Lambda, dentro de una VPC o detrás de un Amazon API Gateway. Las tareas de AWS Fargate que no tengan la necesidad de acceder a Internet deben colocarse en subredes sin una ruta hacia o desde Internet. Este enfoque por capas mitiga el impacto de una configuración errónea de una sola capa, que podría permitir un acceso no intencionado. Para AWS Lambda, puede ejecutar sus funciones en su VPC a fin de aprovechar los controles basados en VPC.

Si la conectividad de red incluye miles de VPC, Cuentas de AWS y redes locales, debe utilizar AWS Transit Gateway. Transit Gateway actúa como un centro que controla cómo se enruta el tráfico entre todas las redes conectadas, que actúan como radios. El tráfico entre Amazon Virtual Private Cloud (Amazon VPC) y Transit Gateway permanece en la red privada de AWS, lo que reduce la exposición externa a usuarios no autorizados y a posibles problemas de seguridad. El emparejamiento interregional de Transit Gateway también cifra el tráfico interregional sin ningún punto único de fallo ni cuello de botella en el ancho de banda.

Pasos para la implementación

  • Utilice Reachability Analyzer para analizar la ruta entre un origen y un destino en función de la configuración: Reachability Analyzer le permite automatizar la verificación de la conectividad hacia y desde los recursos conectados a la VPC. Tenga en cuenta que, para realizar este análisis, se revisa la configuración (no se envían paquetes de red).

  • Utilice el analizador de acceso de la red de Amazon VPC para identificar el acceso no intencionado de la red a los recursos: el analizador de acceso de la red de Amazon VPC le permite especificar sus requisitos de acceso a la red e identificar posibles rutas de la red.

  • Considere si es necesario que los recursos se encuentren en una subred pública: no coloque recursos en subredes públicas de su VPC a menos que sea absolutamente necesario que reciban tráfico de red de fuentes públicas.

  • Cree subredes en sus VPC: cree subredes para cada capa de red (en grupos que incluyan varias zonas de disponibilidad) para mejorar la microsegmentación. Compruebe también que ha asociado las tablas de enrutamiento correctas con sus subredes para controlar el enrutamiento y la conectividad a Internet.

  • Utilice AWS Firewall Manager para administrar sus grupos de seguridad de VPC: AWS Firewall Manager ayuda a disminuir la carga de administración que supone el uso de varios grupos de seguridad.

  • Utilice AWS WAF para protegerse contra vulnerabilidades web comunes: AWS WAF puede ayudar a mejorar la seguridad de la periferia inspeccionando el tráfico en busca de vulnerabilidades web comunes, como la inyección de código SQL. También le permite restringir el tráfico de direcciones IP procedentes de determinados países o ubicaciones geográficas.

  • Utilice Amazon CloudFront como red de distribución de contenido (CDN): Amazon CloudFront puede ayudarle a acelerar su aplicación web al almacenar los datos más cerca de sus usuarios. También puede mejorar la seguridad de la periferia al utilizar HTTPS, restringir el acceso a zonas geográficas y garantizar que el tráfico de red solo pueda acceder a los recursos cuando se enrute a través de CloudFront.

  • Utilice Amazon API Gateway cuando cree interfaces de programación de aplicaciones (API):Amazon API Gateway ayuda a publicar, supervisar y proteger las API de REST, HTTPS y WebSocket.

Recursos

Documentos relacionados:

Vídeos relacionados:

Ejemplos relacionados: