SEC05-BP02 Control del flujo de tráfico dentro de las capas de red

Dentro de las capas de su red, utilice una mayor segmentación para restringir el tráfico únicamente a los flujos necesarios para cada carga de trabajo. En primer lugar, céntrese en controlar el tráfico entre Internet u otros sistemas externos y una carga de trabajo y su entorno (tráfico norte-sur). Posteriormente, observe los flujos entre los diferentes componentes y sistemas (tráfico este-oeste).

Resultado deseado: permitir que solamente los flujos de red necesarios para que los componentes de sus cargas de trabajo se comuniquen entre sí, con sus clientes y con cualquier otro servicio del que dependan. Tener en cuenta en su diseño cuestiones como la entrada y salida públicas en comparación con las privadas, la clasificación de datos, las normativas regionales y los requisitos de protocolo. Siempre que sea posible, preferir los flujos punto a punto en lugar de la interconexión de red como parte del diseño con el principio de privilegios mínimos.

Antipatrones usuales:

• Adoptar un enfoque de seguridad de red basado en el perímetro y controlar solamente el flujo de tráfico dentro de los límites de las capas de red.

• Dar por sentado que todo el tráfico dentro de una capa de red está autenticado y autorizado.

• Aplicar controles para el tráfico de entrada o de salida, pero no para ambos.

• Confiar únicamente en los componentes de la carga de trabajo y los controles de red para autenticar y autorizar el tráfico.

Beneficios de establecer esta práctica recomendada: esta práctica ayuda a reducir el riesgo de movimientos no autorizados dentro de la red y aporta un nivel adicional de autorización a las cargas de trabajo. Al controlar el flujo de tráfico, puede restringir el alcance del impacto de un incidente de seguridad y acelerar la detección y la respuesta.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: alto

Guía para la implementación

Si bien las capas de red ayudan a establecer límites en torno a los componentes de la carga de trabajo similares en cuanto a función, nivel de confidencialidad de los datos y comportamiento, puede crear un nivel de control del tráfico mucho más detallado mediante el uso de técnicas para segmentar aún más los componentes de estas capas siguiendo el principio de privilegios mínimos. En AWS, las capas de red se definen principalmente mediante subredes según los rangos de direcciones IP dentro de una Amazon VPC. Las capas también se pueden definir mediante diferentes VPC, por ejemplo, para agrupar entornos de microservicios por dominio empresarial. Si utiliza varias VPC, intervenga en el enrutamiento mediante una AWS Transit Gateway. Si bien esto permite controlar el tráfico en el nivel de capa 4 (rangos de direcciones IP y puertos) mediante grupos de seguridad y tablas de enrutamiento, puede obtener un mayor control mediante servicios adicionales como AWS PrivateLink, Amazon Route 53 Resolver DNS Firewall, AWS Network Firewall y AWS WAF.

Determine y haga un inventario de los requisitos de flujo de datos y comunicación de sus cargas de trabajo que incluya las entidades que inician la conexión, los puertos, los protocolos y las capas de red. Evalúe los protocolos disponibles para establecer conexiones y transmitir datos con el objetivo de seleccionar aquellos que cumplan sus requisitos de protección (por ejemplo, HTTPS en lugar de HTTP). Aplique estos requisitos tanto en los límites de sus redes como dentro de cada capa. Una vez identificados estos requisitos, explore las opciones para permitir solamente el tráfico requerido en cada punto de conexión. Un buen punto de partida es usar grupos de seguridad en la VPC, ya que pueden estar asociados a recursos que utilizan una interfaz de red elástica (ENI), como las instancias de Amazon EC2, las tareas de Amazon ECS, los pods de Amazon EKS o las bases de datos de Amazon RDS. A diferencia de un firewall de capa 4, un grupo de seguridad puede tener una regla que permita el tráfico de otro grupo de seguridad mediante su identificador, lo que reduce al mínimo las actualizaciones a medida que los recursos del grupo cambian con el tiempo. También puede filtrar el tráfico con reglas entrantes y salientes mediante grupos de seguridad.

Cuando el tráfico fluye entre las VPC, es habitual utilizar el emparejamiento de VPC para el enrutamiento sencillo o AWS Transit Gateway para el enrutamiento complejo. Con estos enfoques, se facilitan los flujos de tráfico entre el rango de direcciones IP de las redes de origen y destino. Sin embargo, si su carga de trabajo solo requiere flujos de tráfico entre componentes específicos en diferentes VPC, plantéese el uso de una conexión punto a punto con AWS PrivateLink. Para ello, identifique qué servicio debe actuar como productor y cuál debe actuar como consumidor. Despliegue un equilibrador de carga compatible para el productor, active PrivateLink correspondientemente y, a continuación, acepte una solicitud de conexión del consumidor. A continuación, al servicio productor se le asigna una dirección IP privada de la VPC del consumidor que este puede utilizar para realizar solicitudes posteriormente. Este enfoque reduce la necesidad de emparejar las redes. Incluya los costes del procesamiento de datos y el equilibrio de carga como parte de la evaluación de PrivateLink.

Aunque los grupos de seguridad y PrivateLink ayudan a controlar el flujo entre los componentes de sus cargas de trabajo, otra cosa importante que tener en cuenta es cómo controlar a qué dominios de DNS pueden acceder sus recursos (si los hay). En función de la configuración de DHCP de sus VPC, puede plantearse dos servicios de AWS diferentes para tal fin. La mayoría de los clientes utilizan el servicio de DNS predeterminado de Route 53 Resolver (también denominado servidor DNS de Amazon o AmazonProvidedDNS) disponible para las VPC en la dirección +2 de su rango de CIDR. Con este enfoque, puede crear reglas de firewall de DNS y asociarlas a su VPC para determinar qué acciones tomar para las listas de dominios que proporcione.

Si no está utilizando el Route 53 Resolver o si desea complementarlo con capacidades de inspección y control de flujo más profundas que vayan más allá del filtrado de dominios, piense en la posibilidad de desplegar un AWS Network Firewall. Este servicio inspecciona los paquetes individuales mediante reglas sin estado o con estado para determinar si se debe denegar o permitir el tráfico. Puede adoptar un enfoque similar para filtrar el tráfico web entrante a sus puntos de enlace públicos con AWS WAF. Para obtener más orientación sobre estos servicios, consulte SEC05-BP03 Implantación de una protección basada en la inspección.

Pasos para la implementación

1. Identifique los flujos de datos necesarios entre los componentes de sus cargas de trabajo.

2. Aplique múltiples controles con un enfoque de defensa en profundidad tanto para el tráfico entrante como para el saliente, incluido el uso de grupos de seguridad y tablas de enrutamiento. 

3. Utilice firewalls para definir un control detallado del tráfico de red entrante, saliente y que pase por sus VPC, como el Firewall DNS de Route 53 Resolver, AWS Network Firewall y AWS WAF. Plantéese el uso de AWS Firewall Manager para configurar y administrar de forma centralizada las reglas de firewall en toda la organización.

Recursos

Prácticas recomendadas relacionadas:

• REL03-BP01 Cómo segmentar la carga de trabajo

• SEC09-BP02 Aplicación del cifrado en tránsito

Documentos relacionados:

• Prácticas recomendadas de seguridad de la VPC

• AWS Network Optimization Tips

• Guidance for Network Security on AWS

• Secure your VPC's outbound network traffic in the Nube de AWS

Herramientas relacionadas:

• AWS Firewall Manager

Vídeos relacionados:

• AWS Transit Gateway reference architectures for many VPCs

• Application Acceleration and Protection with Amazon CloudFront, AWS WAF, and AWS Shield

• AWS re:Inforce 2023: Firewalls and where to put them

Ejemplos relacionados:

• Laboratorio: CloudFront for Web Application