Unidad organizativa de infraestructura: cuenta de red - AWS Guía prescriptiva
Arquitectura de redesVPC entrante (de entrada)VPC saliente (de salida)VPC de inspecciónAWS Network FirewallAnalizador de acceso a la redAWS RAMAcceso verificado de AWSAmazon VPC LatticeSeguridad de la periferiaAmazon CloudFrontAWS WAFAWS ShieldAWS Certificate ManagerAmazon Route 53

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Unidad organizativa de infraestructura: cuenta de red

Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWS SRA) realizando una breve encuesta.

En el siguiente diagrama, se ilustran los servicios de seguridad de AWS que se pueden configurar en la cuenta de red. 

Servicios de seguridad para la cuenta de red

La cuenta de red administra la puerta de enlace entre la aplicación y el resto de Internet. Es importante proteger esa interfaz bidireccional. La cuenta de red aísla los servicios, la configuración y el funcionamiento de la red de las cargas de trabajo de las aplicaciones individuales, la seguridad y otras infraestructuras. Este mecanismo no solo limita la conectividad, los permisos y el flujo de datos, sino que también permite la separación de tareas y el uso de privilegios mínimos para los equipos que necesitan operar en estas cuentas. Al dividir el flujo de la red en nubes privadas virtuales (VPC) entrantes y salientes independientes, puede proteger la infraestructura y el tráfico confidenciales del acceso no deseado. Por lo general, la red entrante se considera de mayor riesgo y merece un enrutamiento y una supervisión adecuados y la mitigación de posibles problemas. Estas cuentas de infraestructura heredarán las barreras de protección de permisos de la cuenta de administración de la organización y de la unidad organizativa de infraestructura. Los equipos de redes (y seguridad) administran la mayor parte de la infraestructura de esta cuenta.

Arquitectura de redes

Si bien el diseño y las especificaciones de la red van más allá del alcance de este documento, recomendamos estas tres opciones para la conectividad de red entre las distintas cuentas: interconexión de VPC, AWS y PrivateLink AWS Transit Gateway. A la hora de elegir una de estas opciones, es importante tener en cuenta las normas operativas, los presupuestos y las necesidades específicas de ancho de banda. 

  • Interconexión de VPC: la forma más sencilla de conectar dos VPC es utilizar la interconexión de VPC. Una conexión permite una conectividad bidireccional completa entre las VPC. Las VPC que se encuentran en cuentas y regiones de AWS independientes también se pueden interconectar. A gran escala, cuando tiene de decenas a cientos de VPC, conectarlas mediante la interconexión genera una malla de cientos o miles de interconexiones, lo que puede resultar difícil de administrar y escalar. La interconexión de VPC funciona mejor cuando los recursos de una VPC deben comunicarse con los recursos de otra VPC, el entorno de ambas VPC está controlado y protegido y la cantidad de las VPC que se van a conectar es inferior a 10 (para permitir la administración individual de cada conexión).

  • AWS PrivateLink ‒ PrivateLink proporciona conectividad privada entre las VPC, los servicios y las aplicaciones. Puede crear su propia aplicación en su VPC y configurarla como un servicio PrivateLink con tecnología (denominado servicio de punto final). Otras entidades principales de AWS pueden crear una conexión desde su VPC al servicio del punto de conexión utilizando un punto de conexión de VPC de interfaz o un punto de conexión del equilibrador de carga de la puerta de enlace, según el tipo de servicio. Cuando lo usas PrivateLink, el tráfico del servicio no pasa por una red enrutable de forma pública. Úselo PrivateLink cuando tenga una configuración cliente-servidor en la que desee conceder a una o más VPC de consumo acceso unidireccional a un servicio o conjunto de instancias específicos en la VPC del proveedor de servicios. Esta también es una buena opción cuando los clientes y los servidores de las dos VPC tienen direcciones IP superpuestas, ya que PrivateLink utiliza interfaces de red elásticas dentro de la VPC del cliente para que no haya conflictos de IP con el proveedor de servicios. 

  • AWS Transit Gateway: Transit Gateway ofrece un hub-and-spoke diseño para conectar VPC y redes locales como un servicio totalmente gestionado sin necesidad de aprovisionar dispositivos virtuales. AWS administra servicios de alta disponibilidad y escalabilidad. Una puerta de enlace de tránsito es un recurso regional y puede conectar miles de VPC dentro de la misma región de AWS. Puede asociar su conectividad híbrida (conexiones de VPN y AWS Direct Connect) a una única puerta de enlace de tránsito, lo que consolida y controla toda la configuración de enrutamiento de su organización de AWS en un solo lugar. Una puerta de enlace de tránsito resuelve la complejidad que implica la creación y administración de múltiples conexiones de emparejamiento de VPC a escala. Es la opción predeterminada para la mayoría de las arquitecturas de red, pero las necesidades específicas en cuanto al costo, el ancho de banda y la latencia pueden hacer que la interconexión de VPC se adapte mejor a sus necesidades.

VPC entrante (de entrada)

La VPC entrante está diseñada para aceptar, inspeccionar y enrutar las conexiones de red iniciadas fuera de la aplicación. Según las características específicas de la aplicación, puede esperar ver alguna que otra traducción de direcciones de red (NAT) en esta VPC. Los registros de flujo de esta VPC se capturan y almacenan en la cuenta de archivo de registro.

VPC saliente (de salida)

La VPC saliente está destinada a administrar las conexiones de red iniciadas desde la aplicación. Según las características específicas de la aplicación, puede esperar ver tráfico de NAT, puntos de conexión de VPC específicos de los servicios de AWS y alojamiento de puntos de conexión de API externos en esta VPC. Los registros de flujo de esta VPC se capturan y almacenan en la cuenta de archivo de registro.

VPC de inspección

Una VPC de inspección dedicada proporciona un enfoque simplificado y central para administrar inspecciones entre las VPC (en las mismas o diferentes regiones de AWS), Internet y redes en las instalaciones. En el caso de la AWS SRA, asegúrese de que todo el tráfico entre las VPC pase por la VPC de inspección y evite utilizar la VPC de inspección para cualquier otra carga de trabajo.

AWS Network Firewall

AWS Network Firewall es un servicio de firewall de red administrado y de alta disponibilidad para su VPC. Le permite implementar y administrar sin esfuerzo la inspección de estado, la prevención y detección de intrusiones y el filtrado web para ayudar a proteger sus redes virtuales en AWS. Puede usar Network Firewall para descifrar las sesiones de TLS e inspeccionar el tráfico entrante y saliente. Para obtener más información sobre la configuración de Network Firewall, consulte la entrada del blog AWS Network Firewall – New Managed Firewall Service in VPC.

El firewall se utiliza por zona de disponibilidad en la VPC. Para cada zona de disponibilidad, elige una subred para alojar el punto de conexión del firewall que filtra su tráfico. El punto de conexión del firewall de una zona de disponibilidad puede proteger todas las subredes de la zona, excepto la subred en la que se encuentra. Según el caso de uso y el modelo de implementación, la subred del firewall puede ser pública o privada. El firewall es completamente transparente en cuanto al flujo de tráfico y no traduce direcciones de red (NAT). Conserva la dirección de origen y destino. En esta arquitectura de referencia, los puntos de conexión del firewall se alojan en una VPC de inspección. Todo el tráfico de la VPC entrante y hacia la VPC saliente se enruta a través de esta subred de firewall para su inspección. 

Network Firewall hace que la actividad del firewall sea visible en tiempo real a través de CloudWatch las métricas de Amazon y ofrece una mayor visibilidad del tráfico de red mediante el envío de registros a Amazon Simple Storage Service (Amazon S3) CloudWatch y Amazon Data Firehose. Network Firewall es interoperable con su enfoque de seguridad actual, incluidas las tecnologías de los socios de AWS. También puede importar los conjuntos de reglas de Suricata existentes, que pueden haber sido redactados internamente o extraídos externamente de otros proveedores o plataformas de código abierto. 

En la AWS SRA, Network Firewall se usa dentro de la cuenta de red porque la funcionalidad del servicio centrada en el control de la red se alinea con la intención de la cuenta. 

Consideraciones sobre el diseño

  • AWS Firewall Manager es compatible con Network Firewall, por lo que puede configurar e implementar de forma centralizada las reglas de Network Firewall en toda su organización. (Para obtener más información, consulte Políticas de AWS Network Firewall en la documentación de AWS). Al configurar Firewall Manager, este crea automáticamente un firewall con conjuntos de reglas en las cuentas y VPC que especifique. También implementa un punto de conexión en una subred dedicada para cada zona de disponibilidad que contenga subredes públicas. Al mismo tiempo, cualquier cambio que se efectúa en el conjunto de reglas configurado centralmente se propaga de forma automática a los firewalls de Network Firewall implementados. 

  • Existen varios modelos de implementación disponibles con Network Firewall. El modelo correcto depende de su caso de uso y sus requisitos. Algunos ejemplos son los siguientes:

    • Un modelo de implementación distribuida en el que Network Firewall se implementa en VPC individuales.

    • Un modelo de implementación centralizada en el que Network Firewall se implementa en una VPC centralizada para el tráfico este-oeste (de VPC a VPC) o norte-sur (entrada y salida de Internet, en las instalaciones).

    • Un modelo de implementación combinado en el que Network Firewall se implementa en una VPC centralizada para el tráfico este-oeste y un subconjunto del tráfico norte-sur.

  • Como recomendación, no utilice la subred de Network Firewall para implementar cualquier otro servicio. Esto se debe a que Network Firewall no puede inspeccionar el tráfico de orígenes o destinos dentro de la subred de un firewall.

Analizador de acceso a la red

Analizador de acceso a la red es una característica de Amazon VPC que identifica el acceso de red no deseado a sus recursos. Puede usar Analizador de acceso a la red para validar la segmentación de la red, identificar los recursos a los que se puede acceder desde Internet o a los que solo se puede acceder desde rangos de direcciones IP confiables y validar que cuenta con los controles de red adecuados en todas las rutas de red.

Analizador de acceso a la red utiliza algoritmos de razonamiento automatizado para analizar las rutas de red que un paquete puede tomar entre los recursos de una red de AWS y produce resultados para las rutas que coinciden con el alcance de acceso a la red definido. Analizador de acceso a la red realiza un análisis estático de una configuración de red, lo que significa que no se transmite ningún paquete en la red como parte de este análisis.

Las reglas de Accesibilidad de la red de Amazon Inspector proporcionan una característica relacionada. Los resultados generados por estas reglas se utilizan en la cuenta de aplicación. Tanto Analizador de acceso a la red como Accesibilidad de la red utilizan la tecnología más reciente de la iniciativa de seguridad comprobable de AWS y aplican esta tecnología con diferentes áreas de enfoque. El paquete de Accesibilidad de la red se centra específicamente en las instancias de EC2 y su accesibilidad a Internet. 

La cuenta de red define la infraestructura de red crítica que controla el tráfico que entra y sale de su entorno de AWS. Este tráfico debe supervisarse rigurosamente. En la AWS SRA, Analizador de acceso a la red se utiliza en la cuenta de red para ayudar a identificar el acceso no deseado a la red, detectar qué recursos pueden acceder a Internet a través de las puertas de enlace de Internet y comprobar que los controles de red adecuados, como los firewalls de red y las puertas de enlace de NAT, estén presentes en todas las rutas de red entre los recursos y las puertas de enlace de Internet. 

Consideración del diseño

  • Analizador de acceso a la red es una característica de Amazon VPC y se puede utilizar en cualquier cuenta de AWS que tenga una VPC. Los administradores de red pueden asignar roles de IAM multicuenta con un alcance muy ajustado para validar que las rutas de red aprobadas se apliquen en cada cuenta de AWS.

AWS RAM

AWS Resource Access Manager (AWS RAM) lo ayuda a compartir de forma segura los recursos de AWS que cree en una cuenta de AWS con otras cuentas de AWS. AWS RAM proporciona un lugar central para administrar el uso compartido de recursos y estandarizar esta experiencia en todas las cuentas. Esto simplifica la administración de los recursos al mismo tiempo que se aprovecha el aislamiento administrativo y de facturación, y reduce el alcance de las ventajas de la contención del impacto que una estrategia de múltiples cuentas puede ofrecer. Si su cuenta está administrada por AWS Organizations, AWS RAM le permite compartir recursos con todas las demás cuentas de la organización o solo con las cuentas que pertenezcan a una o más unidades organizativas (OU) específicas. También puede compartirlos con cuentas de AWS específicas por ID de cuenta, independientemente de si la cuenta forma parte de una organización. También puede compartir algunos tipos de recursos compatibles con roles y usuarios de IAM específicos.

AWS RAM le permite compartir recursos que no son compatibles con las políticas de IAM basadas en recursos, como las subredes de VPC y las reglas de Route 53. Además, con AWS RAM, los propietarios de un recurso pueden ver qué entidades principales tienen acceso a cada recurso individual que han compartido. Las entidades de IAM pueden recuperar directamente la lista de recursos que han compartido con ellas, lo que no pueden hacer con los recursos compartidos por las políticas de recursos de IAM. Si AWS RAM se utiliza para compartir recursos fuera de su organización de AWS, se inicia un proceso de invitación. El destinatario debe aceptar la invitación antes de que se le conceda el acceso a los recursos. Esto proporciona controles y equilibrios adicionales.

El propietario del recurso invoca y administra AWS RAM en la cuenta en la que se implementa el recurso compartido. Un caso de uso común de AWS RAM ilustrado en la AWS SRA es que los administradores de red comparten subredes de VPC y puertas de enlace de tránsito con toda la organización de AWS. Esto permite desvincular las funciones de administración de cuentas y redes de AWS y ayuda a lograr la separación de tareas. Para obtener más información sobre el uso compartido de VPC, consulte la publicación del blog de AWS VPC sharing: A new approach to multiple accounts and VPC management y el documento técnico sobre infraestructura de red de AWS

Consideración del diseño

  • Si bien AWS RAM como servicio se implementa solo en la cuenta de red de la AWS SRA, normalmente se implementa en más de una cuenta. Por ejemplo, puede centralizar la administración de su lago de datos en una sola cuenta de lago de datos y, a continuación, compartir los recursos del catálogo de datos de AWS Lake Formation (bases de datos y tablas) con otras cuentas de su organización de AWS. Para obtener más información, consulte la documentación de AWS Lake Formation y la entrada del blog de AWS Securely share your data across AWS accounts using AWS Lake Formation. Además, los administradores de seguridad pueden usar la RAM de AWS para seguir las prácticas recomendadas al crear una Autoridad de certificación privada de AWS jerarquía. Las CA se pueden compartir con terceros externos, que pueden emitir certificados sin tener acceso a la jerarquía de CA. Esto permite a las organizaciones de origen limitar y revocar el acceso de terceros.

Acceso verificado de AWS

Acceso verificado de AWS proporciona un acceso seguro a las aplicaciones corporativas sin una conexión de VPN. Mejora la posición de seguridad al evaluar cada solicitud de acceso en tiempo real en función de los requisitos predefinidos. Puede definir una política de acceso única para cada aplicación con condiciones basadas en los datos de identidad y en la posición del dispositivo. Acceso verificado también simplifica las operaciones de seguridad al ayudar a los administradores a establecer y supervisar las políticas de acceso de manera eficiente. Esto libera tiempo para actualizar las políticas, responder a los incidentes de seguridad y conectividad y auditar los estándares de cumplimiento. Acceso verificado también admite la integración con AWS WAF para ayudarlo a filtrar amenazas comunes como la inyección de código SQL y scripting entre sitios (XSS). Verified Access se integra perfectamente con AWS IAM Identity Center, que permite a los usuarios autenticarse con proveedores de identidad externos basados en SAML (). IdPs Si ya tiene una solución de IdP personalizada que sea compatible con OpenID Connect (OIDC), Acceso verificado también puede autenticar a los usuarios mediante la conexión directa con su IdP. Además, Acceso verificado registra todos los intentos de acceso para ayudarlo a responder rápidamente a los incidentes de seguridad y a las solicitudes de auditoría. Verified Access admite el envío de estos registros a Amazon Simple Storage Service (Amazon S3), Amazon Logs y CloudWatch Amazon Data Firehose.

Acceso verificado admite dos patrones comunes de aplicaciones corporativas: internas y con acceso a Internet. Acceso verificado se integra con las aplicaciones mediante equilibradores de carga de aplicación o interfaces de red elásticas. Si utiliza un equilibrador de carga de aplicación, Acceso verificado requiere un equilibrador de carga interno. Como Acceso verificado es compatible con AWS WAF a nivel de instancia, una aplicación existente que tenga una integración de AWS WAF con un equilibrador de carga de aplicación puede transferir políticas del equilibrador de carga a la instancia de Acceso verificado. Una aplicación corporativa se representa como un punto de conexión de Acceso verificado. Cada punto de conexión está asociado a un grupo de Acceso verificado y hereda la política de acceso del grupo. Un grupo de Acceso verificado es un conjunto de puntos de conexión de Acceso verificado y una política de Acceso verificado a nivel de grupo. Los grupos simplifican la administración de políticas y permiten a los administradores de TI establecer criterios básicos. Los propietarios de las aplicaciones pueden definir con más detalle las políticas detalladas en función de la sensibilidad de la aplicación.

En la AWS SRA, Acceso verificado se aloja en la cuenta de red. El equipo central de TI establece las configuraciones administradas de forma centralizada. Por ejemplo, puede conectar proveedores de confianza, como proveedores de identidad (por ejemplo, Okta) y proveedores de confianza de dispositivos (por ejemplo, Jamf), crear grupos y determinar la política a nivel de grupo. Luego, estas configuraciones se pueden compartir con decenas, cientos o miles de cuentas de carga de trabajo mediante AWS Resource Access Manager (AWS RAM). Esto permite a los equipos de aplicaciones administrar los puntos de conexión subyacentes que gestionan sus aplicaciones sin sobrecargar a otros equipos. AWS RAM proporciona una forma escalable de aprovechar Acceso verificado para las aplicaciones corporativas que se alojan en diferentes cuentas de carga de trabajo.

Consideración del diseño

  • Puede agrupar los puntos de conexión para aplicaciones que tengan requisitos de seguridad similares para simplificar la administración de políticas y luego compartir el grupo con las cuentas de aplicación. Todas las aplicaciones del grupo comparten la política de grupo. Si una aplicación del grupo requiere una política específica debido a un caso extremo, puede aplicar una política a nivel de aplicación para esa aplicación.

Amazon VPC Lattice

Amazon VPC Lattice es un servicio de redes de aplicaciones que conecta, supervisa y protege las comunicaciones. service-to-service Un servicio, que suele denominarse microservicio, es una unidad de software que se puede implementar de forma independiente y que realiza una tarea específica. VPC Lattice administra automáticamente la conectividad de la red y el enrutamiento de la capa de aplicación entre los servicios de las VPC y las cuentas de AWS sin necesidad de administrar la conectividad de red subyacente, los equilibradores de carga frontend o los proxies sidecar. Proporciona un proxy de capa de aplicación totalmente administrado que proporciona un enrutamiento a nivel de aplicación en función de las características de las solicitudes, como las rutas y los encabezados. VPC Lattice está integrado en la infraestructura de VPC, por lo que proporciona un enfoque coherente en una amplia gama de tipos de procesamiento, como Amazon Elastic Compute Cloud (Amazon EC2), Amazon Elastic Kubernetes Service (Amazon EKS) y AWS Lambda. VPC Lattice también admite el enrutamiento ponderado para implementaciones azul/verde y de valor controlado. Puede usar VPC Lattice para crear una red de servicios con un límite lógico que implemente automáticamente la detección y la conectividad de los servicios. VPC Lattice se integra con AWS Identity and Access Management (IAM) para la service-to-service autenticación y la autorización mediante políticas de autenticación.

VPC Lattice se integra con AWS Resource Access Manager (AWS RAM) para permitir compartir servicios y redes de servicios. En la AWS SRA, se describe una arquitectura distribuida en la que los desarrolladores o propietarios de servicios crean servicios de VPC Lattice en su cuenta de aplicación. Los propietarios de los servicios definen los oyentes, las reglas de enrutamiento y los grupos objetivo junto con las políticas de autenticación. A continuación, comparten los servicios con otras cuentas y los asocian a las redes de servicios de VPC Lattice. Los administradores de red crean estas redes en la cuenta de red y las comparten con la cuenta de aplicación. Los administradores de red configuran las políticas de autenticación y el monitoreo a nivel de la red de servicios. Los administradores asocian las VPC y los servicios de VPC Lattice con una o más redes de servicios. Para obtener una guía detallada de esta arquitectura distribuida, consulte la entrada del blog de AWS Build secure multi-account multi-VPC connectivity for your applications with Amazon VPC Lattice.

Consideración del diseño

  • Según el modelo operativo de servicio de su organización o la visibilidad de la red de servicios, los administradores de red pueden compartir sus redes de servicios y dar a los propietarios de los servicios el control necesario para asociar sus servicios y VPC a estas redes de servicios. O bien, los propietarios de los servicios pueden compartir sus servicios y los administradores de red pueden asociar los servicios a las redes de servicios.

    Un cliente puede enviar solicitudes a servicios asociados con una red de servicios solo si el cliente está en una VPC asociada con la misma red de servicios. Se deniega el tráfico de clientes que atraviesa una conexión de emparejamiento de VPC o una puerta de enlace de tránsito.

Seguridad de la periferia

La seguridad de la periferia generalmente implica tres tipos de protecciones: entrega segura de contenido, protección de la capa de red y aplicación, y mitigación de la denegación de servicio distribuida (DDoS). El contenido, como los datos, los videos, las aplicaciones y las API, debe entregarse de forma rápida y segura, con la versión recomendada de TLS para cifrar las comunicaciones entre los puntos de conexión. El contenido también debe tener restricciones de acceso mediante URL firmadas, cookies firmadas y autenticación mediante token. La seguridad a nivel de aplicación debe diseñarse para controlar el tráfico de bots, bloquear los patrones de ataque más comunes, como la inyección de código SQL o scripting entre sitios (XSS), y proporcionar visibilidad del tráfico web. En la periferia, la mitigación de los ataques DDoS proporciona una importante capa de defensa que garantiza la disponibilidad continua de las operaciones y los servicios empresariales esenciales. Las aplicaciones y las API deben estar protegidas contra las inundaciones de SYN, las inundaciones de UDP u otros ataques de reflexión, y contar con una mitigación en línea para detener los ataques básicos a la capa de red.

AWS ofrece varios servicios para ayudar a proporcionar un entorno seguro, desde la nube principal hasta la periferia de la red de AWS. Amazon CloudFront, AWS Certificate Manager (ACM), AWS Shield, AWS WAF y Amazon Route 53 trabajan juntos para ayudar a crear un perímetro de seguridad flexible y en capas. Con Amazon CloudFront, el contenido, las API o las aplicaciones se pueden entregar a través de HTTPS mediante TLSv1.3 para cifrar y proteger la comunicación entre los clientes de los espectadores y. CloudFront Puede usar ACM para crear un certificado SSL personalizado e implementarlo en una CloudFront distribución de forma gratuita. ACM maneja automáticamente la renovación del certificado. AWS Shield es un servicio de protección contra ataques DDoS administrado que ayuda a proteger las aplicaciones que se ejecutan en AWS. Proporciona una detección dinámica y mitigaciones automáticas en línea que minimizan el tiempo de inactividad y la latencia de las aplicaciones. AWS WAF le permite crear reglas para filtrar el tráfico web en función de condiciones específicas (direcciones IP, encabezados y cuerpo HTTP o URI personalizados), ataques web comunes y bots generalizados. Route 53 es un servicio web de sistema de nombres de dominio (DNS) escalable y de alta disponibilidad. Route 53 conecta las solicitudes de los usuarios con las aplicaciones de Internet que se ejecutan en AWS o en las instalaciones. En la AWS SRA, se adopta una arquitectura de entrada de red centralizada mediante el uso de AWS Transit Gateway, alojada en la cuenta de red, por lo que la infraestructura de seguridad de la periferia también está centralizada en esta cuenta.

Amazon CloudFront

Amazon CloudFront es una red de entrega de contenido (CDN) segura que proporciona una protección inherente contra los intentos de DDoS comunes en la capa de red y el transporte. Puede entregar su contenido, sus API o sus aplicaciones con certificados TLS, y las características avanzadas de TLS se habilitan automáticamente. Puede utilizar ACM para crear un certificado TLS personalizado y reforzar las comunicaciones HTTPS entre los espectadores CloudFront, tal y como se describe más adelante en la sección ACM. También puede exigir que las comunicaciones entre CloudFront y su origen personalizado implementen el end-to-end cifrado en tránsito. En este caso, debe instalar un certificado TLS en su servidor de origen. Si su origen es un equilibrador de carga elástico, puede usar un certificado generado por ACM o un certificado validado por una entidad de certificación (CA) externa e importado a ACM. Si los puntos de enlace del sitio web del bucket de S3 sirven como origen CloudFront, no puede configurarlo CloudFront para usar HTTPS con su origen, ya que Amazon S3 no admite HTTPS para los puntos de enlace del sitio web. (Sin embargo, puede seguir requiriendo HTTPS entre los espectadores y CloudFront.) Para todos los demás orígenes que admiten la instalación de certificados HTTPS, debe utilizar un certificado firmado por una CA de terceros confiable.

CloudFront ofrece varias opciones para proteger y restringir el acceso a su contenido. Por ejemplo, puede restringir el acceso a su origen de Amazon S3 mediante el uso de URL firmadas y cookies firmadas. Para obtener más información, consulte Configurar el acceso seguro y restringir el acceso al contenido en la CloudFront documentación.

La SRA de AWS ilustra CloudFront las distribuciones centralizadas en la cuenta de red porque se alinean con el patrón de red centralizada que se implementa mediante Transit Gateway. Al implementar y administrar CloudFront las distribuciones en la cuenta de red, obtiene las ventajas de los controles centralizados. Puede administrar todas CloudFront las distribuciones en un solo lugar, lo que facilita el control del acceso, la configuración de los ajustes y la supervisión del uso en todas las cuentas. Además, puede administrar los certificados ACM, los registros de DNS y los CloudFront registros desde una cuenta centralizada. El panel CloudFront de seguridad proporciona visibilidad y controles de AWS WAF directamente en su CloudFront distribución. Obtendrá visibilidad de las principales tendencias de seguridad de su aplicación, del tráfico permitido y bloqueado y de la actividad de los bots. Puede utilizar herramientas de investigación, como analizadores visuales de registros y controles de bloqueo integrados, para aislar los patrones de tráfico y bloquear el tráfico sin consultar los registros ni escribir reglas de seguridad.

Consideraciones sobre el diseño

  • Como alternativa, puede implementarla CloudFront como parte de la aplicación en la cuenta de la aplicación. En este escenario, el equipo de aplicaciones toma decisiones como la forma de implementar las CloudFront distribuciones, determina las políticas de caché adecuadas y asume la responsabilidad de la gobernanza, la auditoría y la supervisión de las CloudFront distribuciones. Al distribuir CloudFront las distribuciones entre varias cuentas, puede beneficiarse de cuotas de servicio adicionales. Como otra ventaja, puede utilizar CloudFront la configuración de identidad de acceso de origen (OAI) y control de acceso de origen (OAC) inherente y automatizada para restringir el acceso a los orígenes de Amazon S3.

  • Cuando publica contenido web a través de una CDN, por ejemplo CloudFront, debe evitar que los espectadores pasen por alto la CDN y accedan directamente a su contenido original. Para lograr esta restricción de acceso al origen, puede utilizar CloudFront AWS WAF para añadir encabezados personalizados y verificar los encabezados antes de reenviar las solicitudes a su origen personalizado. Para obtener una explicación detallada de esta solución, consulte la entrada del blog de seguridad de AWS Cómo mejorar la seguridad de Amazon CloudFront Origin con AWS WAF y AWS Secrets Manager. Un método alternativo consiste en limitar únicamente la lista de CloudFront prefijos del grupo de seguridad asociado al Application Load Balancer. Esto ayudará a garantizar que solo una CloudFront distribución pueda acceder al balanceador de cargas.

AWS WAF

AWS WAF es un firewall de aplicaciones web que ayuda a proteger sus aplicaciones web de aprovechamientos web, como vulnerabilidades comunes y bots que podrían afectar la disponibilidad de las aplicaciones, comprometer la seguridad o consumir recursos excesivos. Se puede integrar con una CloudFront distribución de Amazon, una API REST de Amazon API Gateway, un Application Load Balancer, una API AppSync GraphQL de AWS, un grupo de usuarios de Amazon Cognito y el servicio AWS App Runner.

AWS WAF utiliza listas de control de acceso (ACL) web para proteger un conjunto de recursos de AWS. Una ACL web es un conjunto de reglas que definen los criterios de inspección y la acción asociada que se debe realizar (bloquear, permitir, contar o ejecutar el control de bots) si una solicitud web cumple con los criterios. AWS WAF brinda un conjunto de reglas administradas que proporcionan protección contra las vulnerabilidades comunes de las aplicaciones. AWS y los socios de AWS seleccionan y administran estas reglas. AWS WAF también ofrece un potente lenguaje de reglas para crear reglas personalizadas. Puede usar reglas personalizadas para redactar criterios de inspección que se ajusten a sus necesidades específicas. Los ejemplos incluyen las restricciones de IP, las restricciones geográficas y las versiones personalizadas de las reglas administradas que se adapten mejor al comportamiento específico de su aplicación.

AWS WAF proporciona un conjunto de reglas inteligentes administradas por niveles para bots comunes y específicos y para la protección contra la apropiación de cuentas (ATP). Se le cobrará una cuota de suscripción y una cuota de inspección de tráfico cuando utilice los grupos de reglas de ATP y control de bots. Por lo tanto, le recomendamos que primero supervise su tráfico y luego decida qué utilizar. Puede utilizar los paneles de administración de bots y toma de control de cuentas que están disponibles de forma gratuita en la consola de AWS WAF para supervisar estas actividades y, a continuación, decidir si necesita un grupo de reglas de AWS WAF de nivel inteligente.

En la SRA de AWS, AWS WAF está integrado en la cuenta CloudFront de red. En esta configuración, el procesamiento de las reglas de WAF se realiza en las ubicaciones periféricas en lugar de dentro de la VPC. Esto permite filtrar el tráfico malintencionado más cerca del usuario final que solicitó el contenido y ayuda a impedir que dicho tráfico entre en la red principal.

Puede enviar registros completos de AWS WAF a un bucket de S3 de la cuenta de archivo de registro configurando el acceso entre cuentas al bucket de S3. Para obtener más información, consulte el artículo de AWS Re:post sobre este tema.

Consideraciones sobre el diseño

  • Como alternativa a la implementación centralizada de AWS WAF en la cuenta de red, algunos casos de uso se resuelven mejor si se implementa AWS WAF en la cuenta de aplicación. Por ejemplo, puede elegir esta opción cuando implemente sus CloudFront distribuciones en su cuenta de aplicación o tenga balanceadores de carga de aplicaciones de acceso público, o si usa Amazon API Gateway delante de sus aplicaciones web. Si decide implementar AWS WAF en cada cuenta de aplicación, utilice AWS Firewall Manager para administrar las reglas de AWS WAF en estas cuentas desde la cuenta de herramientas de seguridad centralizada.

  • También puede añadir reglas generales de AWS WAF en la CloudFront capa y reglas de AWS WAF adicionales específicas de la aplicación en un recurso regional, como Application Load Balancer o API Gateway.

AWS Shield

AWS Shield es un servicio de protección contra ataques DDoS administrado que protege las aplicaciones que se ejecutan en AWS. Hay dos niveles de Shield: Shield Estándar y Shield Avanzado. Shield Estándar proporciona a todos los clientes de AWS protección contra los eventos de infraestructura más comunes (capas 3 y 4) sin costo adicional. Shield Advanced proporciona mitigaciones automáticas más sofisticadas para eventos no autorizados que se dirigen a aplicaciones en zonas alojadas protegidas de Amazon Elastic Compute Cloud (Amazon EC2), Elastic Load Balancing (ELB), Amazon, CloudFront AWS Global Accelerator y Route 53. Si posee sitios web de alta visibilidad o si sus aplicaciones son propensas a sufrir eventos de ataques DDoS frecuentes, considere las características adicionales que ofrece Shield Avanzado.

Puede utilizar la función de mitigación automática de DDoS en la capa de aplicación de Shield Advanced para configurar Shield Advanced para que responda automáticamente y mitigue los ataques de la capa de aplicaciones (capa 7) contra sus CloudFront distribuciones protegidas y sus balanceadores de carga de aplicaciones. Al habilitar esta característica, Shield Avanzado genera automáticamente reglas de AWS WAF personalizadas para mitigar los ataques DDoS. Shield Avanzado también le da acceso al equipo de respuesta de AWS Shield (SRT). Puede contactarse con el SRT en cualquier momento para crear y gestionar mitigaciones personalizadas para su aplicación o durante un ataque DDoS activo. Si desea que el SRT supervise de forma proactiva sus recursos protegidos y se ponga en contacto con usted en caso de un intento de ataque DDoS, considere la posibilidad de habilitar la característica de participación proactiva.

Consideraciones sobre el diseño

  • Si tiene cargas de trabajo gestionadas por recursos con acceso a Internet en la cuenta de la aplicación, como Amazon CloudFront, un Application Load Balancer o un Network Load Balancer, configure Shield Advanced en la cuenta de la aplicación y añada esos recursos a la protección Shield. Puede usar AWS Firewall Manager para configurar estas opciones a escala.

  • Si tiene varios recursos en el flujo de datos, como una CloudFront distribución delante de un Application Load Balancer, utilice únicamente el recurso de punto de entrada como recurso protegido. Esto garantizará que no pague dos veces las tarifas de transferencia de datos salientes (DTO) de Shield por dos recursos.

  • Shield Advanced registra las métricas que puedes supervisar en Amazon CloudWatch. (Para obtener más información, consulte Métricas y alarmas de AWS Shield Avanzado en la documentación de AWS). Configura CloudWatch alarmas para recibir notificaciones de redes sociales en tu centro de seguridad cuando se detecte un evento DDoS. En caso de sospecha de un ataque DDoS, póngase en contacto con el equipo de AWS Enterprise Support a través de un ticket de soporte de máxima prioridad. El equipo de Enterprise Support incluirá al equipo de respuesta de Shield (SRT) cuando se encargue del evento. Además, puede preconfigurar la función de Lambda de participación de AWS Shield para crear un ticket de soporte y enviar un correo electrónico al SRT.

AWS Certificate Manager

AWS Certificate Manager (ACM) le permite administrar, aprovisionar e implementar certificados TLS públicos y privados para utilizar con los servicios de AWS y sus recursos internos conectados. Con ACM, puede solicitar rápidamente un certificado, implementarlo en los recursos de AWS integrados con ACM, como los balanceadores de carga de Elastic Load Balancing, las distribuciones de Amazon y las API de CloudFront Amazon API Gateway, y dejar que ACM se encargue de las renovaciones de los certificados. Al solicitar certificados públicos de ACM, no es necesario generar un par de claves ni una solicitud de firma de certificado (CSR), enviar una CSR a una autoridad de certificación (CA) ni cargar e instalar el certificado cuando se reciba. ACM también ofrece la opción de importar certificados TLS emitidos por entidades de certificación de terceros e implementarlos con los servicios integrados de ACM. Cuando utiliza ACM para administrar certificados, las claves privadas de los certificados se protegen y almacenan de forma segura mediante un cifrado sólido y las mejores prácticas de administración de claves. Con ACM no hay ningún cargo adicional por el aprovisionamiento de certificados públicos y ACM gestiona el proceso de renovación.

El ACM se utiliza en la cuenta de red para generar un certificado TLS público que, a su vez, las CloudFront distribuciones utilizan para establecer la conexión HTTPS entre los espectadores y. CloudFront Para obtener más información, consulte la documentación. CloudFront

Consideración del diseño

  • En el caso de los certificados externos, ACM debe residir en la misma cuenta que los recursos para los que aprovisiona los certificados. Los certificados no se pueden compartir entre cuentas.

Amazon Route 53

Amazon Route 53 es un servicio web de sistema de nombres de dominio (DNS) escalable y de alta disponibilidad. Puede utilizar Route 53 para realizar tres funciones principales: registro de dominio, direccionamiento de DNS y comprobación de estado.

Puede usar Route 53 como un servicio de DNS para asignar nombres de dominio a sus instancias EC2, buckets S3, CloudFront distribuciones y otros recursos de AWS. La naturaleza distribuida de los servidores de DNS de AWS ayuda a garantizar que los usuarios finales se dirijan a la aplicación de forma coherente. Las características como el flujo de tráfico de Route 53 y el control de enrutamiento lo ayudan a mejorar la confiabilidad. Si el punto de conexión de su aplicación principal deja de estar disponible, puede configurar la conmutación por error para redirigir a los usuarios a una ubicación alternativa. Route 53 Resolver proporciona DNS recursivo para su VPC y redes en las instalaciones a través de AWS Direct Connect o una VPN administrada por AWS.

Al utilizar el servicio AWS Identity and Access Management (IAM) con Route 53, obtiene un control detallado sobre quién puede actualizar sus datos de DNS. Puede habilitar la firma de extensiones de seguridad de DNS (DNSSEC) para permitir que los solucionadores de DNS validen que una respuesta de DNS provino de Route 53 y no haya sido manipulada.

Route 53 Resolver DNS Firewall brinda protección para las solicitudes de DNS salientes de sus VPC. Estas solicitudes pasan por Route 53 Resolver para la resolución de nombres de dominio. Un uso principal de las protecciones de DNS Firewall es ayudar a evitar la filtración de datos DNS. Con DNS Firewall, puede monitorear y controlar los dominios que las aplicaciones pueden consultar. Puede denegar el acceso a los dominios que sabe que son malos y permitir que pasen el resto de las consultas. También puede denegar el acceso a todos los dominios, excepto a aquellos en los que confía explícitamente. También puede utilizar DNS Firewall para bloquear las solicitudes de resolución a los recursos de zonas alojadas privadas (compartidas o locales), incluidos los nombres de los puntos de conexión de VPC. Asimismo, puede bloquear solicitudes de nombres de instancias de EC2 públicas o privadas.

Los solucionadores de Route 53 se crean de forma predeterminada como parte de cada VPC. En la AWS SRA, Route 53 se usa en la cuenta de red principalmente para la capacidad de firewall de DNS. 

Consideración del diseño

  • DNS Firewall y AWS Network Firewall ofrecen filtrado de nombres de dominio, pero para diferentes tipos de tráfico. Puede usar DNS Firewall y Network Firewall juntos a fin de configurar el filtrado basado en el dominio para el tráfico de la capa de aplicación en dos rutas de red diferentes.

    • DNS Firewall proporciona filtrado para consultas de DNS de salida que pasan a través de Route 53 Resolver desde aplicaciones en sus VPC. También puede configurar DNS Firewall a fin de enviar respuestas personalizadas para las consultas a nombres de dominio bloqueados.

    • Network Firewall proporciona filtrado para el tráfico de la capa de red y de aplicación, pero no tiene visibilidad de las consultas que realiza Route 53 Resolver.