Al finalizar este módulo, podrá hacer lo siguiente:

Este módulo incluye las siguientes secciones:

Este módulo también incluye un laboratorio en el que protegerá los recursos de la VPC mediante el uso de grupos de seguridad.

Finalmente, se le pedirá que complete una evaluación de conocimientos que pondrá a prueba su comprensión de los conceptos clave que se abordaron en este módulo.

Analicemos cómo los conceptos de este módulo se aplican al escenario empresarial bancario.

Tras la última reunión de María con John, se dio cuenta de que las preocupaciones de seguridad de John van más allá del acceso y la administración de usuarios.

Para defender la migración a AWS, María tendrá que disipar las preocupaciones de John ayudándole a entender cómo se puede proteger adecuadamente la infraestructura del banco en AWS.

John le preguntó a María cómo garantizarían la seguridad de la infraestructura que AnyBankpodría migrar a AWS.

Para la próxima reunión, María decide centrarse en el uso de una nube virtual privada (VPC) y en la aplicación de varias capas de seguridad para respaldar la infraestructura de red.

Para la accesibilidad: modelo de responsabilidad compartida en el que se enumeran las responsabilidades del cliente y de AWS. El cliente es responsable de la seguridad en la nube. Esto incluye los datos del cliente. Administración de accesos, identidades, plataforma y aplicaciones. Configuración de firewall, red y sistema operativo. Cifrado de datos del lado del cliente e integridad de datos, autenticación. Cifrado del lado del servidor del sistema de archivos y datos. Protección del tráfico de redes, incluidos el cifrado, la integridad y la identidad. AWS es responsable de la seguridad de la nube. Esto incluye los servicios básicos de AWS para cómputo, almacenamiento, bases de datos y redes. Además, incluye la infraestructura global de AWS, que abarca las regiones, las zonas de disponibilidad y las ubicaciones perimetrales. Fin de la descripción de accesibilidad.

Este módulo se centra en la parte de configuración de firewall, red y sistema operativo y en la parte de protección del tráfico de red del modelo de responsabilidad compartida, que el cliente es responsable de asegurar.

En esta sección, se describe la estructura de una aplicación web de tres niveles.

Para la accesibilidad: diagrama de una aplicación web de tres niveles que incluye una capa de presentación, una capa de lógica empresarial y una capa de almacenamiento de datos. Una VPCtiene subredes en dos zonas de disponibilidad. La capa de presentación incluye dos subredes públicas, una en cada zona de disponibilidad. Una subred contiene un grupo de seguridad con una instancia de host, y la otra subred tiene una puerta de enlace NAT. Un ApplicationLoad Balanceren esta capa administra el tráfico entre Internet y un grupo de Auto Scalingfrontenden la capa de lógica empresarial. Este grupo de Auto Scalingadministra el escalado de las instancias de frontenden las dos zonas de disponibilidad. Un Network Load Balanceren la capa de lógica empresarial administra el tráfico entre el grupo de Auto Scalingde frontendy un grupo de Auto Scalingde backend. El grupo de Auto Scalingde backendadministra el escalado de las instancias de backenden las dos zonas de disponibilidad. La capa de almacenamiento de datos contiene una base de datos primaria en una zona de disponibilidad, con una base de datos de solo lectura en la segunda zona de disponibilidad. La capa de almacenamiento de datos se comunica con el grupo de Auto Scalingdel backenden la capa de lógica empresarial. Fin de la descripción de accesibilidad.

Una arquitectura de tres niveles es un patrón de arquitectura de software en el que la aplicación tiene tres niveles lógicos: la capa de presentación, la capa de aplicación y la capa de almacenamiento de datos. Esta arquitectura se utiliza en una aplicación cliente-servidor, como una aplicación web que tiene un frontend, un backendy una base de datos. Cada capa o nivel realiza una tarea específica y puede administrarse de forma independiente. Esto representa un cambio con respecto a la forma monolítica de crear una aplicación, en la que el frontend, el backendy la base de datos están todos en el mismo sitio.

Esta sección proporciona información sobre el uso de una VPCcomo parte de la seguridad de su infraestructura.

Utilice el servicio Amazon Virtual PrivateCloud (Amazon VPC) para aprovisionar una sección lógicamente aislada de la nube de AWS en la que pueda iniciar sus recursos de AWS. Esta sección aislada se denomina nube virtual privadao VPC.

Amazon VPC proporciona control sobre sus recursos de red virtuales, como la selección de su propio rango de direcciones IP, la creación de subredes y la configuración de tablas de enrutamiento y puertas de enlace de red. Puede usar IPv4e IPv6 en su VPC para un acceso seguro a los recursos y las aplicaciones.

También puede personalizar la configuración de red de su VPC. Por ejemplo, puede crear una subred pública para sus servidores web que puedan acceder a la Internet pública. Puede colocar sus sistemas de backend, como bases de datos o servidores de aplicaciones, en una subred privada sin acceso público a Internet.

Por último, puede utilizar varias capas de seguridad en una VPC para ayudar a controlar el acceso a las instancias de Amazon Elastic Compute Cloud (Amazon EC2) en las subredes de la VPC. Los mecanismos de seguridad incluyen grupos de seguridad y listas de control de acceso a la red (ACL).

Para más información, consulte ¿Qué es Amazon VPC? en la Guía del usuario sobre VPC de Amazon aquí.

Para la accesibilidad: diagrama de subredes en una VPC. Una región dentro de la nube de AWS tiene una VPC, que se extiende por dos zonas de disponibilidad. La VPCtiene una subred en cada zona de disponibilidad. Fin de la descripción de accesibilidad.

Una VPC es una red virtual que está aislada de forma lógica de otras redes virtuales en la nube de AWS. Una VPCestá dedicada a su cuenta, pertenece a una única región de AWS y puede abarcar varias zonas de disponibilidad.

Después de crear una VPC, puede dividirla en una o más subredes. Una subred es un rango de direcciones IP que dividen una VPC. Las subredes pertenecen a una única zona de disponibilidad, pero puede crear subredes en diferentes zonas de disponibilidad para obtener una alta disponibilidad. Las subredes suelen clasificarse como públicas o privadas.

En esta sección, se describe cómo configurar subredes públicas y privadas y protocolos de Internet.

Una puerta de enlace de internet tiene dos propósitos:

Una puerta de enlace de internet admite tráfico IPv4e IPv6, y no provoca riesgos de disponibilidad ni limitaciones de ancho de banda en el tráfico de su red. Tener una puerta de enlace de internet en su cuenta no supone ningún gasto adicional.

Para habilitar el acceso desde o hacia Internet para las instancias de una subred en una VPC, debe hacer lo siguiente:

1.Crear una puerta de enlace de internet y adjuntarla a su VPC.

2.Agregar una ruta a la tabla de enrutamiento de la subred que dirija el tráfico de Internet a la puerta de enlace de internet.

3.Confirmar que cada instancia en su subred tiene una dirección IP única global (dirección IPv4pública, dirección IP elástica o dirección IPv6).

4.Confirmar que las reglas ACLy de grupo de seguridad de su red permiten que el tráfico relevante fluya hacia y desde su instancia.

Para más información, consulte Conexión a Internet mediante una puerta de enlace de Internet en la Guía del usuario de Amazon VPC aquí.

Una puerta de enlace de traducción de direcciones de red (NAT) permitea las instancias de una subred privada conectarse a Internet o a otros servicios de AWS. Una puerta de enlace NAT también impide que Internet inicie una conexión con esas instancias.

Para crear una puerta de enlace NAT, debe especificar la subred pública en la que se debe ubicar la puerta de enlace NAT. También debe especificar una dirección IP elástica para asociar a la puerta de enlace NAT. Después de crear una puerta de enlace NAT, debe actualizar la tabla de enrutamiento que está asociada a una o más de las subredes privadas para dirigir el tráfico de Internet a la puerta de enlace NAT. De esa manera, las instancias de sus subredes privadas se pueden comunicar con Internet.

También puede utilizar una instancia NATen una subred pública de su VPCen lugar de una puerta de enlace NAT. Sin embargo, una puerta de enlace NATes un servicio NAT administrado que ofrece mayor disponibilidad, mayor ancho de banda y menos esfuerzo administrativo. Para los casos prácticos habituales, AWS recomienda utilizar una puerta de enlace NATen lugar de una instancia de NAT.

Para más información, consulte los siguientes temas en la Guía del usuario de Amazon VPC:

Para accesibilidad: diagrama de una VPCcon una subred pública y otra privada. Una instancia de EC2en la subred privada dirige el tráfico a una tabla de enrutamiento privada y, a continuación, a una puerta de enlace NATen la subred pública. A partir de ahí, el tráfico se encamina a una tabla de enrutamiento pública y luego a una puerta de enlace de internet. Fin de la descripción de accesibilidad.

Para accesibilidad: diagrama de una VPC con una subred pública. El tráfico de una instancia de EC2 en la subred va a una tabla de enrutamiento pública y luego a una puerta de enlace de internet. Fin de la descripción de accesibilidad.

Cuando el tráfico externo necesita llegar a una interfaz, como una instancia de EC2, la interfaz requiere lo siguiente:

Con estos dos factores, la subred se considera pública.

A menudo, las empresas colocan servidores web dentro de una subred pública. Sin embargo, AWS recomienda utilizar un equilibrador de carga en la subred pública y hacer que el equilibrador de carga retransmita el tráfico a los servidores web alojados en subredes privadas.

Las direcciones IP habilitan los recursos de su VPC para comunicarse entre sí y con los recursos de Internet. Al crear una VPC, se le asigna un rango de ClasslessInter-DomainRouting(CIDR), que es un rango de direcciones privadas.

El bloque de CIDR puede ser tan grande como /16 (que son 216o 65.536 direcciones) o tan pequeño como /28 (que son 2^4 o 16 direcciones).

El bloque de CIDR de una subred puede ser el mismo que el bloque de la VPC en la que se encuentra la subred. Esto significa que la VPC y la subred tienen el mismo tamaño; la VPC tiene una única subred.

El bloque de CIDR de una subred puede ser un subconjunto del bloque de CIDR para la VPC. Esta estructura admite la definición de múltiples subredes. Si crea más de una subred en una VPC, los rangos de CIDR de las subredes no deben solaparse. No puede tener direcciones IP duplicadas en la misma VPC.

Para más información, consulte Dimensionamiento de VPCen la Guía del usuario de Amazon VPC aquí.

Al crear una subred, esta necesita su propio bloque de CIDR. Para cada bloque de CIDRque especifique, AWS reserva cinco direcciones IP dentro de ese bloque, y usted no puede utilizar estas cinco direcciones. AWS reserva estas direcciones IP para los siguientes fines:

Cuando crea una VPC, cada instancia de esa VPC obtiene automáticamente una dirección IP privada. También puede solicitar que se asigne una dirección IP pública cuando crea la instancia al modificar las propiedades de asignación automática de dirección IP pública de la subred. Una dirección IP pública se utiliza para acceder a Internet.

Las direcciones IP públicas son dinámicas. Si detiene o inicia su instancia, se le asignará una nueva IP pública. Para proyectos de producción, utilice una dirección IP elástica en lugar de una IP pública asignada, que se disociará si detiene la instancia.

Para más información, consulte Direcciones IPv4 públicas en la Guía del usuario de Amazon VPC aquí.

Una dirección IP elástica es una dirección IP pública y estática diseñada para el cómputo en la nube dinámico. Se puede asociar una dirección IP elástica con cualquier instancia o interfaz de red para cualquier VPCen su cuenta.

Con una dirección IP elástica, puede enmascarar los errores de una instancia o del software volviendo a mapear rápidamente la dirección a otra instancia de la cuenta. Si lo prefiere, puede especificar la dirección IP elástica en un registro DNS para el dominio, de modo que el dominio apunte a la instancia.

Si su instancia no tiene una dirección IPv4pública, puede asociar una dirección IP elástica a la instancia para permitir la comunicación con Internet. Por ejemplo, esto permite que se conecte a la instancia desde su equipo local.

Una dirección IP elástica es estática y no cambia con el tiempo. Procede del conjunto de direcciones IPv4 de Amazon o de un conjunto de direcciones IP personalizadas que haya aportado a su cuenta de AWS. Si desasigna una dirección IP elástica, se le cobrará hasta que la elimine por completo. Es posible que se apliquen costos adicionales cuando utilice direcciones IP elásticas, por lo que es importante liberarlas cuando ya no las necesite.

Las direcciones IP elásticas se asignan a su cuenta y siguen siendo las mismas. Utilice una dirección IP elástica cuando trabaje en un proyecto a largo plazo y la configuración de direcciones IP pueda llevarle mucho tiempo.

Para más información, consulte AssociateElasticIP AddresseswithResourcesin YourVPC(Asociar direcciones IP elásticas con recursos en su VPC) en la Guía del usuario de Amazon VPC [aquí] (https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html).

Una interfaz de red elásticaes una interfaz de red virtual que se puede conectar o desconectar de una instancia en una VPC. Los atributos de una interfaz de red la siguen cuando se vuelve a conectar a otra instancia. Al mover una interfaz de red de una instancia a otra, el tráfico de red se redirige a la nueva instancia.

Cada instancia de una VPCtiene una interfaz de red predeterminada (la interfaz de red principal) a la que se puede asignar una dirección IPv4 privada del rango de su VPC. No se puede separar una interfaz de red principal de una instancia. Puede crear y adjuntar una interfaz de red adicional a cualquier instancia de su VPC. El número de interfaces de red que se pueden conectar varía según el tipo de instancia.

En determinadas circunstancias, puede tener dos interfaces de red en una instancia de EC2, lo que es ideal para análisis forenses. Asocie la interfaz de red a una instancia forense y comience a rastrear el ataque.

Para accesibilidad: diagrama de una VPC con tablas de enrutamiento públicas y privadas. La subred pública contiene una instancia de EC2 y una puerta de enlace NAT. La puerta de enlace NAT dirige el tráfico a una tabla de enrutamiento pública y, a continuación, a una puerta de enlace de internet. La subred privada contiene una instancia de EC2 cuyo tráfico se dirige a una tabla de enrutamiento privada. Desde allí, el tráfico se dirige a la puerta de enlace NATde la subred pública. Fin de la descripción de accesibilidad.

Una tabla de enrutamiento contiene una serie de reglas (llamadas rutas)que determinan hacia dónde se dirige el tráfico de red de su subred. Cada ruta especifica un destino y un objetivo. El destino es el bloque de CIDR de destino, a donde desea que vaya el tráfico de su subred. El objetivo es el objetivo a través del cual se envía el tráfico de destino. Una tabla de enrutamiento es una simple tabla de búsqueda que mantiene un registro de las rutas, como un mapa, y las utiliza para determinar por dónde reenviar el tráfico.

De forma predeterminada, cada tabla de enrutamiento que crea contiene una ruta local para la comunicación dentro de la VPC. No puede eliminar la entrada de ruta local, que se utiliza para las comunicaciones internas. Pero puede personalizar una tabla de enrutamiento agregando rutas.

Cada subred debe tener su propia tabla de enrutamiento outilizará la tabla de enrutamiento principal de la VPC matriz (que controla el enrutamiento para todas las subredes que no están explícitamente asociadas a ninguna otra tabla de enrutamiento).

La tabla de enrutamiento principal es la tabla de enrutamiento que se asigna automáticamente a su VPC. La tabla de enrutamiento principal controla el enrutamiento de todas las subredes que no estén asociadas de forma explícita a ninguna otra tabla de enrutamiento. Una subred puede asociarse solamente a una tabla de enrutamiento por vez, pero pueden asociarse varias subredes a la misma tabla de enrutamiento.

Para más información, consulte Configurar tablas de enrutamiento en la Guía del usuario de Amazon VPC [aquí] (https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html).

Estas son algunas conclusiones clave de esta sección del módulo:

Uso de Grupos de Seguridad de AWS

En esta sección, se proporciona información sobre el uso de grupos de seguridad como parte de la seguridad de su infraestructura.

Para accesibilidad: diagrama de una VPC con una subred pública y otra privada. La subred pública contiene una instancia de EC2 que está protegida por el grupo de seguridad1. La subred privada contiene una instancia de base de datos de Amazon Relational Database Service (Amazon RDS) protegida por el grupo de seguridad2. Se permite la comunicación entre los dos grupos de seguridad, e Internet puede comunicarse con el grupo de seguridad1. Fin de la descripción de accesibilidad.

Un grupo de seguridadactúa como un firewall virtual para una instancia de EC2y controla el tráfico entrante y saliente de la instancia. Los grupos de seguridad funcionan al nivel de la instancia, no al nivel de la subred. Por lo tanto, cada instancia en la subred de VPCpuede ser asignada a distintos conjuntos de grupos de seguridad.

En el nivel más básico, un grupo de seguridad es una forma de filtrado del tráfico hacia las instancias.

Cuando se crea un grupo de seguridad, este no tiene ninguna regla de entrada. Por lo tanto, el tráfico entrante que se origina desde otro host a su instancia no está permitido hasta que agregue reglas de entrada al grupo de seguridad.

De forma predeterminada, un grupo de seguridad incluye una regla de salida que permite todo el tráfico saliente. Puede quitar la regla y agregar reglas de salida que solo permitan tráfico saliente específico. Si un grupo de seguridad no tiene ningunaregla de salida, el tráfico saliente que se origina en su instancia no está permitido.

Los grupos de seguridad son grupos con estado, lo que significa que la información de estado se mantiene incluso después de procesar una solicitud. Entonces, si envía una solicitud desde su instancia, se permite el tráfico de respuesta para esa solicitud para que fluya independientemente de las reglas de grupo de seguridad de entrada. Las respuestas para permitir el tráfico entrante se encuentran permitidas a fin de circular, independientemente de las reglas de salida.

Todas las reglas se evalúan antes de decidir si se permite el tráfico.

En las tablas de la diapositiva, se indica que el tráfico entrante está permitido desde cualquier interfaz de red asignada al mismo grupo de seguridad. Se permite todo el tráfico de salida.

Para más información, consulte Control TraffictoResourcesUsingSecurity Groups(Control del tráfico a los recursos mediante grupos de seguridad) en la Guía del usuario sobre Amazon VPC aquí.

Estas son algunas conclusiones clave de esta sección del módulo:

Uso de ACL de red de AWS

En esta sección, se proporciona información sobre el uso de listas de control de acceso a la red (ACL) como parte de la protección de su infraestructura.

Para la accesibilidad: diagrama que muestra cómo funcionan las ACLd e red. Una VPC contiene una subred pública y una subred privada. Cada subred contiene una instancia de EC2. Una ACL de red en cada subred controla el tráfico hacia las instancias y desde estas. Fin de la descripción de accesibilidad. } Una lista de control de acceso a la red (ACL) es una capa opcional de seguridad para su VPC. Una ACL de red actúa como un firewall para controlar el tráfico que entra y sale de una o varias subredes. Para agregar otra capa de seguridad a su VPC, puede configurar ACLde red con reglas similares a las de su grupo de seguridad.

Cada subred en su VPC se debe asociar a una ACL de red. Si no asocia una subred de forma explícita a una ACL de red, la subred se asociará de forma automática a la ACL de red predeterminada. Puede asociar una ACL de red a varias subredes; sin embargo, una subred se puede asociar solo a una ACL de red por vez. Cuando se asocia una ACL de red a una subred, se elimina la asociación anterior.

Una ACL de red tiene reglas de entrada y salida independientes y cada regla puede permitir o rechazar tráfico. Las ACL de red no tienen estado, lo que significa que las respuestas para el tráfico entrante están sujetas a las reglas para el tráfico saliente, y viceversa.

Su VPCincluye automáticamente una ACLde red predeterminada y modificable. De forma predeterminada, permite todo el tráfico IPv 4entrante y saliente y, si corresponde, el tráfico IPv6. En la tabla, se muestra una ACL de red predeterminada para una VPCque solo admite IPv4.

Puede crear una ACL de red personalizada y asociarla con una subred. De forma predeterminada, cada ACL de red personalizada deniega todo el tráfico de entrada y de salida hasta que se agregan las reglas.

Las reglas se evalúan por orden numérico antes de tomar la decisión de permitir el tráfico.

Cada ACLde red también incluye una regla cuyo número de regla es un asterisco. La regla garantiza que, si un paquete no concuerda con ninguna de las demás reglas de la lista, este se deniegue. Esta regla no se puede modificar ni eliminar.

Para más información, consulte Control Traffic to Subnets Using Network ACLs(Control del tráfico a subredes mediante ACL de red) en la Guía del usuario sobre Amazon VPC [aquí] (https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html).

A continuación se resumen las diferencias entre los grupos de seguridad y las ACL de red:

Para la accesibilidad: instancia de EC2 rodeada de capas de seguridad. La capa más cercana a la instancia es un grupo de seguridad. La siguiente capa son las ACL de red. La capa exterior, y más alejada, es el enrutamiento de subredes. Fin de la descripción de accesibilidad.

Entre las funciones de seguridad de la VPC se incluyen las siguientes:

Con la función VPC Flow Logs, puede capturar información sobre el tráfico IP que entra y sale de las interfaces de red de su VPC. Puede publicar datos de registro de flujo en Registros de Amazon CloudWatcho Amazon Simple Storage Service(Amazon S3). Una vez creado un registro de flujo, puede recuperar y visualizar sus datos en el destino elegido.

Puede crear un registro de flujo para una VPC, una subred o una interfaz de red. Si crea un registro de flujo para una subred o VPC, se supervisan todas las interfaces de red de dicha VPCo subred. Los datos de registro de flujo para una interfaz de red supervisada se registran como registros de flujo, que son eventos de registro que constan de campos que describen el flujo de tráfico.

Para más información, consulte Logging IP Traffic Using VPC Flow Logs (Registro de tráfico IP mediante registros de flujo de VPC) en la Guía del usuario de Amazon VPC [aquí] (https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html).

Estas son algunas conclusiones clave de esta sección del módulo:

Uso de equilibradores de carga de AWS

Esta sección proporciona información sobre el uso de equilibradores de carga como parte de la seguridad de su infraestructura.

Para la accesibilidad: diagrama del tráfico de un usuario que se dirige a ApplicationLoad Balancer. A continuación, el tráfico se divide entre dos instancias de EC2. Fin de la descripción de accesibilidad.

El servicio ElasticLoad Balancing (ELB) distribuye automáticamente el tráfico entrante de las aplicaciones entre varios objetivos, como instancias de EC2, contenedores y direcciones IP. Puede configurar el equilibrador de carga para que acepte el tráfico entrante especificando uno o más agentes de escucha. Unagente de escuchaes un proceso que verifica las solicitudes de conexión.

ELB escala el balanceador de carga a medida que el tráfico dirigido a la aplicación cambia con el tiempo. Además, es capaz de escalarse de forma automática a la mayoría de las cargas de trabajo. Esto aumenta la disponibilidad y la tolerancia a errores de las aplicaciones. Puede agregar y eliminar instancias del balanceador de carga en función de sus necesidades sin interrumpir el flujo general de solicitudes a la aplicación. ELB puede controlar la carga variable del tráfico de su aplicación en una o más zonas de disponibilidad.

También puede configurar comprobaciones de estado, que supervisan el estado de los objetivos registrados. Una vez realizadas las comprobaciones de estado, el dispositivo de equilibrio de carga puede enviar solicitudes solo a los objetivos en buen estado. Cuando el equilibrador de carga detecta un objetivo fuera de estado, detiene el enrutamiento de tráfico al objetivo. El equilibrador de carga reanuda el enrutamiento de tráfico a ese objetivo después de detectar que el objetivo está en buen estado de nuevo.

ELB está integrado con otros servicios populares de AWS, como Amazon EC2Auto Scaling, Amazon Elastic Container Service (Amazon ECS), AWS CloudFormation y AWS Certificate Manager (ACM).

ELB admite tres tipos de balanceadores de carga: Application, Network y ClassicLoad Balancers.

Un Application Load Balancer opera a nivel de solicitud y enruta el tráfico a los objetivos (instancias de EC2, contenedores, direcciones IP y funciones de AWS Lambda) en función del contenido de la solicitud. Un Application Load Balanceres ideal para el balanceo de carga avanzado del tráfico HTTP y HTTPS. Este tipo de equilibrador de carga proporciona enrutamiento avanzado de solicitudes orientado a la entrega de arquitecturas de aplicaciones modernas, incluidos microservicios y aplicaciones basadas en contenedores. Un Application Load Balancersimplifica y mejora la seguridad de su aplicación, garantizando que se utilicen en todo momento los cifrados y protocolos SSL y TLS más recientes.

Un Network Load Balancer opera a nivel de conexión y enruta las conexiones a los objetivos (instancias de EC2, microservicios y contenedores) dentro de una VPC, basándose en los datos del protocolo IP. Un Network Load Balanceres ideal para el balanceo de carga del tráfico TCP y UDP. Este tipo de equilibrador de carga es capaz de administrar millones de peticiones por segundo manteniendo latencias ultrabajas. Un Network Load Balancerestá optimizado para administrar patrones de tráfico volátiles y repentinos con una sola dirección IP estática por cada zona de disponibilidad.

El Classic Load Balancer proporciona balanceo de carga básico en varias instancias de EC2 y funciona tanto al nivel de solicitud como al nivel de conexión. Un ClassicLoad Balancerse destina a las aplicaciones creadas dentro de la red EC2-Classic.

Para más información, consulte ¿Qué es Elastic Load Balancing? enla Guía del usuario de ELB [aquí] (https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html).

Punto de contacto único: Un equilibrador de carga sirve como único punto de contacto para los clientes. El Load Balancer distribuye el tráfico entrante de las aplicaciones entre varios objetivos, tales como instanciasde EC2, en varias zonas de disponibilidad. Esto aumenta la disponibilidad de la aplicación.

Un Application Load Balancer puede mantener una comunicación HTTPS segura y certificados para las comunicaciones con los clientes. Opcionalmente, puede terminar la conexión SSL a nivel del equilibrador de carga para que no necesite manejar certificados en su propia aplicación.

Cifrado en reposo: Si habilita el cifrado del lado del servidor con claves de cifrado administradas de Amazon S3 (SSE-S3) para su bucket de S3 para registros de acceso de ELB, ELBcifra automáticamente cada archivo de registro de acceso antes de almacenarlo en su bucketde S3. ELB también descifra los archivos de registro de acceso cuando accede a ellos. Cada archivo de registro se cifra con una clave única, que a su vez se cifra con una clave que se rota periódicamente.

Cifrado en tránsito: ELB simplifica el proceso de creación de aplicaciones web seguras mediante la terminación del tráfico HTTPS y TLS de los clientes en el equilibrador de carga. El equilibrador de carga realiza el trabajo de cifrado y descifrado del tráfico, en lugar de requerir que cada instancia de EC2 se encargue del trabajo de terminación de TLS.Para más información, consulte Protección de datos en Elastic Load Balancing en la ELB Use rGuide (Guía del usuario del ELB) aquí.

En este diagrama, se muestra cómo funcionan los equilibradores de carga. Esta VPCtiene subredes en dos zonas de disponibilidad. Cada zona de disponibilidad tiene una subred pública y varias subredes privadas.

El tráfico de Internet va de una puerta de enlace de internet a cada zona de disponibilidad. Un equilibrador de carga en cada subred pública dirige el tráfico a los servidores web de una subred privada en cualquiera de las dos zonas de disponibilidad. El tráfico de los servidores web va a un equilibrador de carga, que dirige el tráfico a los servidores de aplicaciones en otra subred privada en cualquiera de las dos zonas de disponibilidad. El tráfico de los servidores de aplicaciones se dirige al servidor de base de datos primaria en otra subred privada de la primera zona de disponibilidad. La base de datos primaria puede comunicarse con un servidor de base de datos en espera en una subred privada de la segunda zona de disponibilidad.

Estas son algunas conclusiones clave de esta sección del módulo:

Resumen global

Esta sección examina el funcionamiento conjunto de todas estas funciones de seguridad.

El diagrama de esta diapositiva muestra cómo funcionan juntos el equilibrio de carga y los componentes de la VPC.

Una VPC tiene dos subredes. La subred A, que es una subred pública, contiene dos instancias de EC2. El tráfico de cada instancia se dirige a través de un equilibrador de carga a un grupo de seguridad y, a continuación, a una ACL de red. A continuación, el tráfico se encamina a través de una tabla de enrutamiento hacia una puerta de enlace de Internet.

La subred B, que es una subred privada, contiene dos instancias de EC2. El tráfico de cada instancia se dirige a través de un equilibrador de carga a un grupo de seguridad y, a continuación, a una ACLde red. A continuación, el tráfico se encamina a través de una tabla de enrutamiento a una puerta de enlace NAT en la subred A, la subred pública.

Una de las prácticas recomendadas para proteger su red es aplicar controles tanto al tráfico entrante como al saliente. Para una VPC, esto incluye el uso de grupos de seguridad, ACL de red y subredes. Utilice subredes en varias zonas de disponibilidad para separar las capas de su aplicación. Configure grupos de seguridad y ACL de red para permitir únicamente el tráfico entrante y saliente necesario.

Otra práctica recomendada consiste en inspeccionar y filtrar el tráfico de red a nivel de aplicación.

Además, utilice la inteligencia sobre amenazas y la detección de anomalías para automatizar los mecanismos de protección y proporcionar una red de autodefensa.

Por último, limite la exposición de la carga de trabajo a internet y a las redes internas. Para ello, permita el acceso requerido mínimo.

Protección de los recursos de cómputo

En esta sección, se describen las prácticas recomendadas para proteger sus recursos de cómputo.

Amazon Inspector es un servicio automatizado de seguridad que ayuda a mejorar la seguridad y la conformidad de las aplicaciones implementadas en AWS. El servicio ayuda a identificar las vulnerabilidades de seguridad y las desviaciones de las prácticas recomendadas de seguridad en las aplicaciones, tanto antes de que se implementen como mientras se ejecutan en un entorno de producción. Por ejemplo, el servicio puede ayudarle a comprobar la accesibilidad no intencionada a la red de sus instancias de EC2y las vulnerabilidades de dichas instancias.

Amazon Inspector le ofrece la oportunidad de definir estándares y prácticas recomendadas para sus aplicaciones y validar el cumplimiento de estos estándares. Esto simplifica el proceso de cumplimiento de los estándares y las prácticas recomendadas de seguridad en su organización y ayuda a administrar los problemas de seguridad de forma proactiva antes de que afecten a la aplicación de producción.

Amazon Inspector realiza una evaluación y genera una lista detallada de los resultados vinculados con la seguridad, ordenados por nivel de gravedad. Puede revisar estos hallazgos directamente o como parte de informes de evaluación detallados, que están disponibles a través de la Consola de administración de AWS o la API.

Para más información, consulte Amazon Inspector aquí.

Entre los beneficios de seguridad de Amazon Inspector se incluyen los siguientes:

Amazon Inspector utiliza el ampliamente implementado agente AWS SystemsManager (agente SSM) para recopilar el inventario de software y las configuraciones de sus instancias de EC2.

AWS Systems Manager le ofrece visibilidad y control de su infraestructura en AWS. SystemsManager proporciona una interfaz de usuario unificada para que pueda ver los datos operativos de varios servicios de AWS. El servicio incluye funciones que le ayudan a automatizar las tareas de administración. Puede recopilar el inventario del sistema, aplicar parches del sistema operativo, mantener actualizadas las definiciones antivirus y configurar sistemas operativos y aplicaciones a escala. SystemsManager ayuda a mantener la conformidad de los sistemas con las políticas de configuración que haya definido.

Estas son algunas conclusiones clave de esta sección del módulo: