View a markdown version of this page

Grupos de seguridad y red ACLs (BP5) - AWS Mejores prácticas para la DDoS resiliencia

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Grupos de seguridad y red ACLs (BP5)

Amazon Virtual Private Cloud (AmazonVPC) le permite aprovisionar una sección aislada de forma lógica desde la Nube de AWS que puede lanzar AWS los recursos en una red virtual que usted defina.

Los grupos de seguridad y la red ACLs son similares en el sentido de que le permiten controlar el acceso a AWS los recursos de su VPC red. Sin embargo, los grupos de seguridad le permiten controlar el tráfico entrante y saliente a nivel de instancia, mientras que la red ACLs ofrece capacidades similares a nivel de VPC subred. El uso de grupos de seguridad o redes no conlleva ningún cargo adicional. ACLs

Puede elegir si desea especificar los grupos de seguridad al lanzar una instancia o asociar la instancia a un grupo de seguridad más adelante. Se deniega implícitamente todo el tráfico de Internet a un grupo de seguridad, a menos que cree una regla de autorización para permitir el tráfico.

Por ejemplo, si tienes EC2 instancias de Amazon detrás de un Elastic Load Balancer, las instancias en sí mismas no deberían ser de acceso público y solo deberían ser privadasIPs. En su lugar, puede proporcionar al Elastic Load Balancer acceso a los puertos de escucha de destino necesarios mediante una regla de grupo de seguridad que permita el acceso a 0.0.0.0/0 (para evitar problemas de seguimiento de conexiones, consulte la nota siguiente) junto con una lista de control de acceso a la red (NACL) en la subred del grupo de destino para permitir que solo los rangos de IP de Elastic Load Balancing se comuniquen con las instancias. Esto garantiza que el tráfico de Internet no pueda comunicarse directamente con tus EC2 instancias de Amazon, lo que dificulta que un atacante conozca tu aplicación e impacte en ella.

Al crear una redACLs, puede especificar tanto las reglas de autorización como las de denegación. Esto resulta útil si quiere denegar de forma explícita ciertos tipos de tráfico a su aplicación. Por ejemplo, puede definir direcciones IP (como CIDR rangos), protocolos y puertos de destino a los que se deniega el acceso a toda la subred. Si la aplicación se usa solo para TCP el tráfico, puede crear una regla para denegar todo UDP el tráfico o viceversa. Esta opción resulta útil a la hora de responder a DDoS los ataques porque te permite crear tus propias reglas para mitigar el ataque cuando conoces el origen IPs u otra firma.

Si está suscrito AWS Shield Advanced, puede registrar las direcciones IP elásticas como recursos protegidos. DDoSlos ataques contra las direcciones IP de Elastic que se han registrado como recursos protegidos se detectan más rápidamente, lo que puede reducir el tiempo de mitigación. Cuando se detecta un ataque, los sistemas de DDoS mitigación leen la red ACL que corresponde a la dirección IP de Elastic objetivo y la utilizan en el borde de la AWS red, en lugar de hacerlo a nivel de subred. Esto reduce considerablemente el riesgo de que se vean afectados por varios ataques a la capa DDoS de infraestructura.

Para obtener más información sobre cómo configurar los grupos de seguridad y la red ACLs para optimizar DDoS la resiliencia, consulte Cómo prepararse para DDoS los ataques reduciendo su superficie de ataque.

Para obtener más información sobre el uso de Shield Advanced con direcciones IP elásticas como recursos protegidos, consulte los pasos para suscribirse AWS Shield Advanced.