Políticas de grupos de seguridad - AWS WAF, AWS Firewall Manager, y AWS Shield Advanced
Políticas de grupos de seguridad comunesPolíticas de grupos de seguridad de auditoría de contenidoPolíticas de grupos de seguridad de auditoría de usoPrácticas recomendadasAdvertencias y limitaciones de las políticas de los grupos de seguridadCasos de uso de políticas de grupos de seguridad

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Políticas de grupos de seguridad

Puede usar políticas AWS Firewall Manager de grupos de seguridad para administrar los grupos de seguridad de Amazon Virtual Private Cloud para su organización en AWS Organizations. Puede aplicar políticas de grupos de seguridad controladas centralmente a toda la organización o a un subconjunto seleccionado de cuentas y recursos. También puede supervisar y administrar las políticas de grupos de seguridad que están en uso en su organización, con políticas de grupos de seguridad de auditoría y uso.

Firewall Manager mantiene continuamente sus políticas y las aplica a cuentas y recursos a medida que se agregan o actualizan en toda la organización. Para obtener más información al respecto AWS Organizations, consulte la Guía AWS Organizations del usuario.

Para obtener información sobre los grupos de seguridad de Amazon Virtual Private Cloud, consulte Grupos de seguridad para su VPC en la Guía del usuario de Amazon VPC.

Puede utilizar política de grupo de seguridad de Firewall Manager para realizar lo siguiente en toda la organización de AWS :

  • Aplicar grupos de seguridad comunes a cuentas y recursos especificados.

  • Auditar reglas de grupo de seguridad para localizar y corregir reglas no conformes.

  • Auditar el uso de grupos de seguridad para eliminar grupos de seguridad no utilizados y redundantes.

En esta sección se describe cómo funcionan las política de grupos de seguridad de Firewall Manager y se proporciona orientación para utilizarlas. Para obtener información sobre los procedimientos para crear políticas de grupos de seguridad, consulte Creación de una AWS Firewall Manager política.

Políticas de grupos de seguridad comunes

Con una política de grupo de seguridad común, Firewall Manager proporciona una asociación controlada centralmente de grupos de seguridad con cuentas y recursos de toda la organización. Especifique dónde y cómo aplicar la política en su organización.

Puede aplicar políticas de grupos de seguridad comunes a los siguientes tipos de recursos:

  • Instancia de Amazon Elastic Compute Cloud (Amazon EC2)

  • Elastic Network Interface

  • Equilibrador de carga de aplicación

  • Equilibrador de carga clásico

Para obtener instrucciones sobre cómo crear una política de grupo de seguridad común mediante la consola, consulte Crear una política de grupo de seguridad común.

VPC compartidas

En la configuración de ámbito de política de una política de grupo de seguridad común, puede optar por incluir VPC compartidas. Esta opción incluye VPC que son propiedad de otra cuenta y que se comparten con una cuenta dentro del ámbito. Las VPC que poseen cuentas dentro del ámbito siempre se incluyen. Para obtener información sobre las VPC compartidas, consulte Trabajar con VPC compartidas en la Guía del usuario de Amazon VPC.

Las siguientes advertencias se aplican a la hora de incluir VPC compartidas. Estas advertencias se suman a las advertencias generales sobre las políticas de grupos de seguridad que se encuentran en Advertencias y limitaciones de las políticas de los grupos de seguridad.

  • Firewall Manager replica el grupo de seguridad principal en las VPC para cada cuenta dentro del ámbito. Para una VPC compartida, Firewall Manager replica el grupo de seguridad principal una vez para cada cuenta dentro del ámbito con la que se comparte la VPC. Esto puede dar lugar a varias réplicas en una única VPC compartida.

  • Al crear una VPC compartida nueva, no la verá representada en los detalles de la política de grupo de seguridad de Firewall Manager hasta después de crear al menos un recurso en la VPC que esté dentro del ámbito de la política.

  • Cuando deshabilita las VPC compartidas en una política que tenía las VPC compartidas habilitadas, en las VPC compartidas, Firewall Manager elimina los grupos de seguridad de réplica que no están asociados a ningún recurso. Firewall Manager deja los grupos de seguridad de réplica restantes en su lugar, pero deja de administrarlos. La eliminación de estos grupos de seguridad restantes requiere la administración manual en cada instancia de VPC compartida.

Grupos de seguridad principales

Para cada política de grupo de seguridad común, se AWS Firewall Manager proporcionan uno o más grupos de seguridad principales:

  • Los grupos de seguridad principales deben ser creados por la cuenta de administrador de Firewall Manager y pueden residir en cualquier instancia de Amazon VPC de la cuenta.

  • Puede administrar grupos de seguridad principal a través de Amazon Virtual Private Cloud (Amazon VPC) o Amazon Elastic Compute Cloud (Amazon EC2). Para obtener información, consulte Uso de grupos de seguridad en la Guía del usuario de Amazon VPC.

  • Puede nombrar uno o varios grupos de seguridad como principales para una política de grupo de seguridad de Firewall Manager. De forma predeterminada, el número de grupos de seguridad permitidos en una política es uno, pero puede enviar una solicitud para aumentarlo. Para obtener más información, consulte AWS Firewall Manager cuotas.

Configuración de reglas de la política

Puede elegir uno o más de los siguientes comportamientos de control de cambios para los grupos de seguridad y los recursos de la política de grupo de seguridad común:

  • Identifique y reporte los cambios realizados por los usuarios locales en los grupos de seguridad de réplica.

  • Desasocie cualquier otro grupo de seguridad de los AWS recursos que estén dentro del ámbito de la política.

  • Distribuya las etiquetas del grupo primario a los grupos de seguridad de réplica.

    importante

    Firewall Manager no distribuirá las etiquetas de sistema agregadas por AWS los servicios en los grupos de seguridad de réplica. Las etiquetas del sistema comienzan por el prefijo aws:. Además, Firewall Manager no actualizará las etiquetas de los grupos de seguridad existentes ni creará nuevos grupos de seguridad si la política tiene etiquetas que entren en conflicto con la política de etiquetas de la organización. Para obtener información sobre las políticas de etiquetas, consulte las políticas de etiquetas en la Guía del AWS Organizations usuario.

  • Distribuya las referencias del grupo de seguridad de los grupos principales a los grupos de seguridad de réplica.

    Esto le permite establecer fácilmente reglas de referencia de grupos de seguridad comunes en todos los recursos incluidos en el alcance para las instancias asociadas a la VPC del grupo de seguridad especificado. Al activar esta opción, Firewall Manager solo propaga las referencias a los grupos de seguridad si los grupos de seguridad hacen referencia a grupos de seguridad homólogos en Amazon Virtual Private Cloud. Si los grupos de seguridad de réplica no hacen referencia correctamente al grupo de seguridad homólogo, Firewall Manager marca estos grupos de seguridad replicados como no conformes. Para obtener información sobre cómo hacer referencia a los grupos de seguridad homólogos en Amazon VPC, consulte Actualizar los grupos de seguridad para hacer referencia a los grupos de seguridad homólogos en la Guía de emparejamiento de Amazon VPC.

    Si no habilita esta opción, Firewall Manager no propaga las referencias a los grupos de seguridad de réplica. Para obtener información sobre la interconexión de VPC en Amazon VPC, consulte la Guía de interconexión de Amazon VPC.

Creación y gestión de políticas

Al crear la política de grupo de seguridad común, Firewall Manager replica los grupos de seguridad principales en cada instancia de Amazon VPC dentro del ámbito de la política y asocia los grupos de seguridad replicados a cuentas y recursos incluidos en el ámbito de la política. Al modificar un grupo de seguridad principal, Firewall Manager propaga el cambio a las réplicas.

Al eliminar una política de grupo de seguridad común, puede elegir si desea borrar los recursos creados por la política. Para los grupos de seguridad comunes de Firewall Manager, estos recursos son los grupos de seguridad de réplica. Elija la opción de eliminación a menos que desee administrar manualmente cada réplica individual después de eliminar la política. En la mayoría de las situaciones, elegir la opción de eliminación es el enfoque más sencillo.

Cómo se administran las réplicas

Los grupos de seguridad de réplica de las instancias de Amazon VPC se administran como otros grupos de seguridad de Amazon VPC. Para obtener información, consulte Grupos de seguridad de su VPC en la Guía del usuario de Amazon VPC.

Políticas de grupos de seguridad de auditoría de contenido

Utilice las políticas de los grupos de seguridad de auditoría de AWS Firewall Manager contenido para auditar y aplicar acciones políticas a las reglas que se utilizan en los grupos de seguridad de su organización. Las políticas de grupos de seguridad de auditoría de contenido se aplican a todos los grupos de seguridad creados por los clientes que se utilizan en su AWS organización, según el ámbito que defina en la política.

Para obtener instrucciones sobre cómo crear una política de grupo de seguridad de auditoría de contenido mediante la consola, consulte Crear una política de grupo de seguridad de auditoría de contenido.

Tipo de recurso de ámbito de la política

Puede aplicar políticas de grupos de seguridad de auditoría de contenido a los siguientes tipos de recursos:

  • Instancia de Amazon Elastic Compute Cloud (Amazon EC2)

  • Elastic Network Interface

  • Grupo de seguridad de Amazon VPC

Los grupos de seguridad se consideran dentro del ámbito de la política si están explícitamente dentro del ámbito o si están asociados con recursos que están dentro del ámbito.

Opciones de la regla de política

Puede usar reglas de política administradas o reglas de política personalizadas para cada política de auditoría de contenido, pero no ambas.

  • Reglas de políticas administradas: en una política con reglas administradas, puede usar listas de aplicaciones y de protocolos para controlar las reglas que Firewall Manager audita y marca como compatibles o no compatibles. Puede usar listas administradas por el Firewall Manager. También puede crear y usar sus propias listas de aplicaciones y de protocolos. Para obtener información sobre estos tipos de listas y sus opciones de administración para las listas personalizadas, consulte Listas administradas.

  • Reglas de política personalizadas: en una política con reglas de política personalizadas, especifique un grupo de seguridad existente como grupo de seguridad de auditoría para su política. Puede usar las reglas del grupo de seguridad de auditoría como plantilla que defina las reglas que Firewall Manager audita y marca como compatibles o no compatibles.

Auditar grupos de seguridad

Debe crear grupos de seguridad de auditoría con su cuenta de administrador de Firewall Manager para poder usarlos en su política. Puede administrar grupos de seguridad a través de Amazon Virtual Private Cloud (Amazon VPC) o Amazon Elastic Compute Cloud (Amazon EC2). Para obtener información, consulte Uso de grupos de seguridad en la Guía del usuario de Amazon VPC.

Firewall Manager solo utiliza un grupo de seguridad que utiliza para una política de grupo de seguridad de auditoría de contenido como referencia de comparación para los grupos de seguridad incluidos en el ámbito de la política. Firewall Manager no lo asocia con ningún recurso de su organización.

La forma en que defina las reglas en el grupo de seguridad de auditoría depende de sus elecciones en la configuración de reglas de la política:

  • Reglas de políticas administradas: para la configuración de las reglas de políticas administradas, se utiliza un grupo de seguridad de auditoría para anular otras configuraciones de la política y permitir o denegar explícitamente las reglas que, de otro modo, podrían tener otro resultado de compatibilidad.

    • Si decide permitir siempre las reglas definidas en el grupo de seguridad de auditoría, cualquier regla que coincida con una que esté definida en el grupo de seguridad de auditoría se considerará compatible con la política, independientemente de las demás configuraciones de la política.

    • Si decide denegar siempre las reglas definidas en el grupo de seguridad de auditoría, cualquier regla que coincida con una que esté definida en el grupo de seguridad de auditoría se considerará incompatible con la política, independientemente de las demás configuraciones de la política.

  • Reglas de políticas personalizadas: en el caso de la configuración de reglas de políticas personalizadas, el grupo de seguridad de auditoría proporciona un ejemplo de lo que es aceptable o no aceptable en las reglas del grupo de seguridad incluidas en el alcance:

    • Si decide permitir el uso de las reglas, todos los grupos de seguridad dentro del alcance solo deben tener reglas que estén dentro del rango permitido de las reglas de grupo de seguridad de auditoría de la política. En este caso, las reglas de grupo de seguridad de la política proporcionan el ejemplo de lo que es aceptable hacer.

    • Si decide denegar el uso de las reglas, todos los grupos de seguridad dentro del alcance solo deben tener reglas que no estén dentro del rango permitido de las reglas de grupo de seguridad de auditoría de la política. En este caso, el grupo de seguridad de la política proporciona el ejemplo de lo que no es aceptable hacer.

Creación y gestión de políticas

Al crear una política de grupo de seguridad de auditoría, debe tener deshabilitada la corrección automática. Se recomienda revisar los efectos de la creación de políticas antes de habilitar la corrección automática. Después de revisar los efectos esperados, puede editar la política y habilitar la corrección automática. Cuando la corrección automática está habilitada, Firewall Manager actualiza o quita reglas que no son conformes de los grupos de seguridad dentro del ámbito.

Grupos de seguridad afectados por una política de grupo de seguridad de auditoría

Todos los grupos de seguridad de la organización creados por el cliente pueden incluirse en el ámbito de una política de grupo de seguridad de auditoría.

Los grupos de seguridad de réplica no son creados por el cliente y, por lo tanto, no son aptos para incluirse directamente en el ámbito de una política de grupo de seguridad de auditoría. Sin embargo, se pueden actualizar como resultado de las actividades de corrección automática de la política. El grupo de seguridad principal de una política de grupo de seguridad común es creado por el cliente y puede incluirse en el ámbito de una política de grupo de seguridad de auditoría. Si una política de grupo de seguridad de auditoría realiza cambios en un grupo de seguridad principal, Firewall Manager propaga automáticamente esos cambios a las réplicas.

Políticas de grupos de seguridad de auditoría de uso

Utilice las políticas AWS Firewall Manager de auditoría de uso de los grupos de seguridad para supervisar su organización en busca de grupos de seguridad redundantes o no utilizados y, si lo desea, realice una limpieza. Al habilitar la corrección automática para esta política, Firewall Manager hace lo siguiente:

  1. Consolida grupos de seguridad redundantes, si ha elegido esa opción.

  2. Elimina los grupos de seguridad no utilizados, si ha elegido esa opción.

Puede aplicar políticas de grupos de seguridad de auditoría de uso a los siguientes tipos de recursos:

  • Grupo de seguridad de Amazon VPC

Para obtener instrucciones sobre cómo crear una política de grupo de seguridad de auditoría de uso mediante la consola, consulte Crear una política de grupo de seguridad de auditoría de uso.

Cómo detecta y corrige Firewall Manager los grupos de seguridad redundantes

Para que los grupos de seguridad se consideren redundantes, deben tener exactamente las mismas reglas establecidas y estar en la misma instancia de Amazon VPC.

Para corregir un conjunto de grupos de seguridad redundante, Firewall Manager selecciona uno de los grupos de seguridad del conjunto que desea conservar y, a continuación, lo asocia a todos los recursos que están asociados a los demás grupos de seguridad del conjunto. A continuación, Firewall Manager desasocia los demás grupos de seguridad de los recursos a los que estaban asociados, lo que hace que no se utilicen.

nota

Si también ha elegido eliminar los grupos de seguridad no utilizados, Firewall Manager los elimina a continuación. Esto puede dar lugar a la eliminación de los grupos de seguridad que están en el conjunto redundante.

Cómo detecta y corrige Firewall Manager los grupos de seguridad no utilizados

Firewall Manager considera que un grupo de seguridad no se utiliza si se cumplen las dos condiciones siguientes:

  • Ninguna instancia de Amazon EC2 ni la interfaz de red elástica de Amazon EC2 utilizan el grupo de seguridad.

  • Firewall Manager no ha recibido ningún elemento de configuración correspondiente en el número de minutos especificado en el período de tiempo de la regla de política.

El período de tiempo de la regla de política tiene una configuración predeterminada de cero minutos, pero puede aumentarlo hasta 365 días (525 600 minutos) para tener tiempo de asociar nuevos grupos de seguridad a los recursos.

importante

Si especifica un número de minutos distinto del valor predeterminado de cero, debe habilitar las relaciones indirectas. AWS Config De lo contrario, las políticas de los grupos de seguridad de auditoría de uso no funcionarán según lo previsto. Para obtener información sobre las relaciones indirectas en AWS Config, consulte Relaciones indirectas AWS Config en la Guía para AWS Config desarrolladores.

Firewall Manager corrige los grupos de seguridad no utilizados eliminándolos de su cuenta de acuerdo con la configuración de sus reglas, si es posible. Si Firewall Manager no puede eliminar un grupo de seguridad, lo marca como no compatible con la política. Firewall Manager no puede eliminar un grupo de seguridad al que hace referencia otro grupo de seguridad.

La duración de la corrección varía en función de si se utiliza la configuración de período de tiempo predeterminada o una configuración personalizada:

  • Período de tiempo establecido en cero, el valor predeterminado: con esta configuración, un grupo de seguridad se considera no utilizado cuando una instancia de Amazon EC2 o una interfaz de red elástica no lo utilizan.

    Para esta configuración de período de tiempo cero, Firewall Manager corrige el grupo de seguridad inmediatamente.

  • Período de tiempo superior a cero: con esta configuración, un grupo de seguridad se considera no utilizado cuando no lo está utilizando una instancia Amazon EC2 o una interfaz de red elástica y Firewall Manager no ha recibido un elemento de configuración para él en el plazo de minutos especificado.

    Para la configuración de período de tiempo distinto de cero, Firewall Manager corrige el grupo de seguridad después de que haya permanecido en estado no utilizado durante 24 horas.

Especificación de cuenta predeterminada

Al crear una política de grupo de seguridad de auditoría de uso a través de la consola, Firewall Manager selecciona automáticamente Excluir las cuentas especificadas e incluir todas las demás. A continuación, el servicio pone la cuenta de administrador de Firewall Manager en la lista de exclusión. Esta es la estrategia recomendada y le permite administrar manualmente los grupos de seguridad que pertenecen a la cuenta de administrador de Firewall Manager.

Prácticas recomendadas para las políticas de grupos de seguridad

En esta sección aparecen recomendaciones para administrar grupos de seguridad mediante AWS Firewall Manager.

Excluir la cuenta de administrador de Firewall Manager

Cuando establezca el ámbito de la política, excluya la cuenta de administrador de Firewall Manager. Cuando crea una política de grupo de seguridad de auditoría de uso a través de la consola, esta es la opción predeterminada.

Comience con la corrección automática desactivada

Para políticas de grupos de seguridad de auditoría de contenido o uso, comience con la corrección automática deshabilitada. Revise la información de detalles de la política para determinar los efectos que tendría la corrección automática. Cuando esté convencido de que los cambios son lo que desea, edite la política y habilite la corrección automática.

Evite conflictos si también utiliza fuentes externas para administrar grupos de seguridad

Si utiliza una herramienta o servicio que no sea Firewall Manager para administrar los grupos de seguridad, tenga cuidado de evitar conflictos entre su configuración en Firewall Manager y la configuración en su fuente externa. Si utiliza la corrección automática y su configuración entra en conflicto, puede crear un ciclo de corrección conflictiva que consuma recursos en ambos lados.

Por ejemplo, supongamos que configura que otro servicio mantenga un grupo de seguridad para un conjunto de recursos de AWS y configura una política de Firewall Manager para que mantenga un grupo de seguridad diferente para algunos o todos los mismos recursos. Si configura que cualquier parte no permita que cualquier otro grupo de seguridad se asocie con los recursos dentro del ámbito, esa parte eliminará la asociación del grupo de seguridad que mantiene la otra marte. Si ambas partes se configuran de esta manera, puede acabar con un ciclo de asociaciones y desasociaciones conflictivas.

Además, supongamos que crea una política de auditoría de Firewall Manager para aplicar una configuración de grupo de seguridad que entra en conflicto con la configuración de grupo de seguridad del otro servicio. La corrección aplicada por la política de auditoría de Firewall Manager puede actualizar o eliminar ese grupo de seguridad, lo que hace que esté fuera de la conformidad del otro servicio. Si el otro servicio está configurado para supervisar y solucionar automáticamente cualquier problema que encuentre, volverá a crear o actualizar el grupo de seguridad, haciendo de nuevo que esté fuera de la conformidad con la política de auditoría de Firewall Manager. Si la política de auditoría de Firewall Manager está configurada con corrección automática, volverá a actualizar o eliminar el grupo de seguridad externo, etc.

Para evitar conflictos como estos, cree configuraciones que sean mutuamente excluyentes, entre Firewall Manager y cualquier fuente externa.

Puede utilizar el etiquetado para excluir grupos de seguridad externos de la corrección automática por parte de las políticas de Firewall Manager. Para ello, agregue una o más etiquetas a los grupos de seguridad u otros recursos administrados por la fuente externa. A continuación, cuando defina el ámbito de la política de Firewall Manager, en la especificación de recursos, excluya los recursos que tengan la etiqueta o las etiquetas que haya agregado.

Del mismo modo, en su herramienta o servicio externo, excluya los grupos de seguridad que Firewall Manager administra de cualquier actividad de administración o auditoría. O bien no importe los recursos de Firewall Manager o use etiquetas específicas de Firewall Manager para excluirlos de la administración externa.

Prácticas recomendadas para la auditoría de uso de las políticas de los grupos de seguridad

Siga estas pautas cuando utilice políticas de grupos de seguridad de auditoría de uso.

  • Evite realizar varios cambios en el estado de asociación de un grupo de seguridad en un período corto de tiempo, por ejemplo, en un período de 15 minutos. Si lo hace, es posible que Firewall Manager se pierda algunos o todos los eventos correspondientes. Por ejemplo, no asocie y desasocie rápidamente un grupo de seguridad con una interface de red elástica.

Advertencias y limitaciones de las políticas de los grupos de seguridad

En esta sección se enumeran las advertencias y limitaciones relacionadas con el uso de las políticas de grupos de seguridad de Firewall Manager:

  • No se admite la actualización de grupos de seguridad para interfaces de red elásticas de Amazon EC2 creadas con el tipo de servicio Fargate. Sin embargo, puede actualizar grupos de seguridad para interfaces de red elásticas de Amazon ECS con el tipo de servicio de Amazon EC2.

  • Firewall Manager no admite grupos de seguridad para las interfaces de red elásticas de Amazon EC2 que creadas por Amazon Relational Database Service (Servicio de base de datos relacional de Amazon).

  • La actualización de interfaces de red elásticas de Amazon ECS solo es posible para los servicios de Amazon ECS que utilizan el controlador de implementación de actualización continua (Amazon ECS). Para otros controladores de implementación de Amazon ECS, como CODE_DEPLOY o controladores externos, en estos momentos, Firewall Manager no puede actualizar las interfaces de red elásticas.

  • Con los grupos de seguridad para las interfaces de red elásticas de Amazon EC2, los cambios en un grupo de seguridad no son visibles inmediatamente para Firewall Manager. Firewall Manager suele detectar los cambios al cabo de varias horas, pero la detección puede demorarse hasta seis horas.

  • Firewall Manager no admite la actualización de grupos de seguridad en interfaces de red elásticas para equilibradores de carga de red.

  • En las políticas de grupos de seguridad comunes, si una VPC compartida luego deja de compartirse con una cuenta, Firewall Manager no eliminará los grupos de seguridad de réplica de la cuenta.

  • Con las políticas de grupos de seguridad de auditoría de uso, si crea varias políticas con una configuración de tiempo de demora personalizada y todas con el mismo alcance, la primera política en la que se determine el cumplimiento será la política que informe de los hallazgos.

Casos de uso de políticas de grupos de seguridad

Puede usar políticas de grupos de seguridad AWS Firewall Manager comunes para automatizar la configuración del firewall del host para la comunicación entre las instancias de Amazon VPC. En esta sección se enumeran las arquitecturas estándar de Amazon VPC y se describe cómo proteger cada una mediante políticas de grupos de seguridad comunes de Firewall Manager. Estas políticas de grupos de seguridad pueden ayudarle a aplicar un conjunto unificado de reglas para seleccionar recursos en diferentes cuentas y evitar configuraciones por cuenta en Amazon Elastic Compute Cloud y Amazon VPC.

Con las políticas de grupos de seguridad comunes de Firewall Manager, puede etiquetar solo las interfaces de red elásticas de EC2 que necesita para comunicarse con instancias de otra Amazon VPC. Las otras instancias en la misma Amazon VPC quedan entonces más seguras y aisladas.

Caso de uso: supervisión y control de las solicitudes a los equilibradores de carga de aplicación y a los equilibradores de carga clásicos

Puede usar una política de grupo de seguridad común de Firewall Manager para definir qué solicitudes deben atender sus equilibradores de carga internos. Puede configurar esto a través de la consola del Firewall Manager. Solo las solicitudes que cumplan con las reglas de entrada del grupo de seguridad pueden llegar a sus equilibradores de carga, y los equilibradores de carga solo distribuirán las solicitudes que cumplan con las reglas de salida.

Caso de uso: VPC de Amazon pública y accesible a través de Internet

Puede utilizar una política de grupo de seguridad común de Firewall Manager para proteger una VPC de Amazon pública, por ejemplo, para permitir solo el puerto de entrada 443. Esto es lo mismo que permitir el tráfico HTTPS entrante para una VPC pública. Puede etiquetar recursos públicos dentro de la VPC (por ejemplo, como “PublicVPC”) y, a continuación, establecer el alcance de la política de Firewall Manager solo a los recursos con esa etiqueta. Firewall Manager aplica automáticamente la política a esos recursos.

Caso de uso: instancias públicas y privadas de Amazon VPC

Puede utilizar la misma política de grupo de seguridad común para recursos públicos que se recomienda en el caso de uso anterior para instancias de Amazon VPC públicas accesibles por Internet. Puede utilizar una segunda política de grupo de seguridad común para limitar la comunicación entre los recursos públicos y los privados. Etiquete los recursos de las instancias públicas y privadas de Amazon VPC con algo como "PublicPrivate" para aplicarles la segunda política. Puede utilizar una tercera política para definir la comunicación permitida entre los recursos privados y otras instancias de Amazon VPC corporativas o privadas. Para esta política, puede utilizar otra etiqueta de identificación en los recursos privados.

Caso de uso: instancias de Amazon VPC de concentradores y radios

Puede utilizar una política de grupo de seguridad común para definir las comunicaciones entre la instancia de Amazon VPC de concentrador y las instancias de Amazon VPC de radio. Puede utilizar una segunda política para definir la comunicación desde cada instancia de Amazon VPC de radio a la instancia de Amazon VPC de concentrador.

Caso de uso: interfaz de red predeterminada para instancias Amazon EC2

Puede utilizar una política de grupo de seguridad común para permitir únicamente comunicaciones estándar, por ejemplo, servicios de actualización de parche/SO y SSH internos y para no permitir otras comunicaciones inseguras.

Caso de uso: identificar recursos con permisos abiertos

Puede utilizar una política de grupo de seguridad de auditoría para identificar todos los recursos de la organización que tienen permiso para comunicarse con direcciones IP públicas o que tienen direcciones IP que pertenecen a proveedores externos.