Seguridad de la infraestructura en Amazon VPC
Como se trata de un servicio administrado, Amazon Virtual Private Cloud está protegido por la seguridad de red global de AWS. Para obtener información sobre los servicios de seguridad de AWS y cómo AWSprotege la infraestructura, consulte Seguridad en la nube de AWS
Puede utilizar llamadas a la API publicadas de AWS para acceder a Amazon VPC a través de la red. Los clientes deben admitir lo siguiente:
-
Seguridad de la capa de transporte (TLS). Exigimos TLS 1.2 y recomendamos TLS 1.3.
-
Conjuntos de cifrado con confidencialidad directa total (PFS) como DHE (Ephemeral Diffie-Hellman) o ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). La mayoría de los sistemas modernos como Java 7 y posteriores son compatibles con estos modos.
Además, las solicitudes deben estar firmadas mediante un ID de clave de acceso y una clave de acceso secreta que esté asociada a una entidad de seguridad de IAM principal. También puede utilizar AWS Security Token Service (AWS STS) para generar credenciales de seguridad temporales para firmar solicitudes.
Aislamiento de red
Una Virtual Private Cloud (VPC) es una red virtual en su propia área, aislada lógicamente en la nube de AWS. Utilice VPC separados para aislar la infraestructura por carga de trabajo o unidad organizativa.
Una subred es un rango de direcciones IP de una VPC. Al iniciar una instancia, la lanza a una subred en su VPC. Utilice subredes para aislar los niveles de la aplicación (por ejemplo, web, aplicación y base de datos) en una VPC individual. Utilice subredes privadas para las instancias si no se debe acceder a ellas directamente desde Internet.
Puede utilizar AWS PrivateLink para permitir que los recursos de la VPC se conecten a Servicios de AWS mediante direcciones IP privadas, como si los servicios estuvieran alojados directamente en la VPC. Por lo tanto, no es necesario utilizar una puerta de enlace de Internet o un dispositivo NAT para acceder a los Servicios de AWS.
Controlar el tráfico de red
Tenga en cuenta las siguientes opciones para controlar el tráfico de red a los recursos en la VPC, como las instancias EC2:
Utilice grupos de seguridad como mecanismo principal para controlar el acceso de red a las VPC. Cuando sea necesario, utilice las ACL de red para proporcionar un control de red sin estado y amplio. Los grupos de seguridad son más versátiles que las ACL de red, debido a su capacidad de realizar un filtrado de paquetes con estado y crear reglas que hagan referencia a otros grupos de seguridad. Las ACL de red pueden ser efectivas como control secundario (por ejemplo, para denegar un subconjunto específico de tráfico) o como medidas de protección de subred de alto nivel. Además, dado que las ACL de red se aplican a toda una subred, se pueden utilizar como defensa en profundidad en caso de que una instancia se lance sin un grupo de seguridad correcto.
Utilice subredes privadas para las instancias si no se debe acceder a ellas directamente desde Internet. Utilice un host bastión o una puerta de enlace NAT para acceder a Internet desde las instancias en subredes privadas.
Configure tablas de enrutamiento de subred con las rutas de red mínimas para cumplir con los requisitos de conectividad.
Considere la posibilidad de utilizar grupos de seguridad adicionales o interfaces de red para controlar y auditar el tráfico de administración de instancias de Amazon EC2 con independencia del tráfico normal de aplicaciones. Así, puede implementar políticas de IAM especiales para el control de cambios, lo que facilita auditar los cambios de las reglas de los grupos de seguridad o en los scripts de verificación de reglas automatizados. Múltiples interfaces de red también ofrecen opciones adicionales para controlar el tráfico de red, incluida la capacidad de crear políticas de direccionamiento basadas en el host o aprovechar diferentes reglas de direccionamiento de la subred de la VPC basadas en interfaces de red asignadas a una subred.
-
Utilice AWS Virtual Private Network o AWS Direct Connect para establecer conexiones privadas desde sus redes remotas a sus VPC. Para obtener más información, consulte Opciones de conectividad de red a Amazon VPC.
-
Utilice registros de flujo de VPC para monitorear el tráfico que llegue a sus instancias.
-
Utilice AWS Security Hub
para verificar la accesibilidad accidental a la red desde sus instancias. -
Utilice AWS Network Firewall para proteger las subredes de la VPC de amenazas de red comunes.
Comparar grupos de seguridad y ACL de red
La siguiente tabla resume las diferencias básicas entre grupos de seguridad y ACL de red.
Security group (Grupo de seguridad) | ACL de red |
---|---|
Opera en el nivel de la instancia | Opera en el nivel de la subred |
Se aplica a una instancia solo si está asociada a la instancia | Se aplica a todas las instancias implementadas en la subred asociada (proporciona una capa de defensa adicional si las reglas del grupo de seguridad son demasiado permisivas) |
Solo admite reglas de permiso | Admite reglas de permiso y de denegación |
Evalúa todas las normas antes de decidir si permitir el tráfico | Evalúa las reglas en orden, a partir de la regla numerada más baja, al decidir si permitir el tráfico |
Con estado: el tráfico de retorno se permite de manera automática, independientemente de las reglas | Sin estado: las reglas deben permitir de forma explícita el tráfico de retorno |
El siguiente diagrama muestra las capas de seguridad proporcionadas por los grupos de seguridad y las ACL de red. Por ejemplo, el tráfico de un puerto de enlace a Internet se dirige a la subred correspondiente mediante las rutas de la tabla de ruteo. Las reglas de la ACL de red que se asocian a la subred controlan el tráfico que se permite en la subred. Las reglas del grupo de seguridad que se asocian a una instancia controlan el tráfico que se permite en la instancia.
Puede proteger sus instancias utilizando sólo grupos de seguridad. Sin embargo, puede añadir ACL de red como una capa adicional de defensa. Para obtener más información, consulte Ejemplo: controlar el acceso a las instancias de una subred.