La seguridad en una VPC de AWS se construye en dos capas que trabajan juntas: las Network ACL y los Security Groups. Aprender a configurarlas te permite controlar qué tráfico entra y sale de tu red, y proteger instancias, bases de datos y clústeres dentro de tu infraestructura cloud.

Esta guía es útil si ya creaste tu VPC y subnets, y necesitas dar el siguiente paso: blindar el acceso a los recursos que corren dentro de ella.

¿Qué diferencia hay entre NACL y Security Groups en AWS?

Las dos protegen tu red, pero operan en niveles distintos y con lógicas opuestas.

• Las Network Access Control List (NACL) aplican a toda la VPC y son stateless: no recuerdan el estado de la conexión, así que cada puerto que abras de entrada también lo debes abrir de salida.
• Los Security Groups aplican a instancias, clústeres, bases de datos y otros servicios. Son stateful: si permites una entrada, la respuesta de salida fluye sin configurar una regla extra.
• Las reglas de NACL se evalúan en orden numérico de menor a mayor, y si ninguna coincide, cae en la regla default que deniega todo.

¿Qué significa que un NACL sea stateless? Que no guarda memoria de las conexiones. Si abres el puerto 80 de entrada, también tienes que abrir explícitamente la salida, o las respuestas nunca llegarán al cliente.

¿Cómo crear un Network ACL para tráfico HTTP y HTTPS?

En el dashboard de VPC, dentro del panel izquierdo, encuentras la opción Network ACLs. AWS crea uno default que permite todo el tráfico de entrada y salida [1:30]. Cuando creas uno nuevo y lo asocias a tu VPC, el comportamiento cambia: todo queda cerrado y solo aparece la regla default de deny en ambas direcciones [2:50].

Un caso muy común es habilitar una página web. Para eso necesitas abrir los puertos 80 (HTTP) y 443 (HTTPS).

¿Qué reglas de entrada debo configurar?

Agrega dos reglas con orden numérico para que se evalúen primero:

1. Regla 100: permite el puerto 80 desde cualquier origen.
2. Regla 200: permite el puerto 443 desde cualquier origen.
3. Guarda los cambios antes de pasar al tráfico de salida.

¿Qué son los puertos efímeros y por qué importan?

Aquí viene lo interesante. El tráfico HTTP y HTTPS no sale por los mismos puertos 80 y 443, sino por puertos efímeros que el sistema operativo asigna dinámicamente [4:30]. Windows y Linux usan rangos diferentes, así que conviene confirmar el tuyo.

Si no abres estos puertos de salida en el NACL, tus instancias podrán recibir la petición, pero la respuesta nunca volverá al cliente. Configura una regla de outbound que permita el rango de puertos efímeros de tu sistema operativo.

¿Qué pasa si no abro los puertos efímeros de salida? Las conexiones entrantes llegan, pero el cliente nunca recibe respuesta. La comunicación queda rota a la mitad.

¿Cómo configurar un Security Group para una base de datos?

Los Security Groups se aplican directamente a instancias, clústeres y bases de datos. AWS crea uno default que permite todo el tráfico de entrada y salida, pero cuando creas uno nuevo, solo permite la salida y bloquea toda entrada [5:50].

Vamos a configurar un security group para una base de datos Postgres.

¿Qué reglas debo aplicar al DB Security Group?

• Nombre: DB security group con la descripción allows connections from EC2 instances to the DB cluster.
• Asócialo a tu VPC.
• En las reglas de entrada, selecciona Postgres: AWS rellena automáticamente el puerto por defecto.
• En lugar de permitir el tráfico desde cualquier IP, asócialo al security group que usan tus instancias EC2.

Con esto logras que solo las instancias dentro de ese security group puedan conectarse a la base de datos. Cualquier conexión externa, incluso dentro de la VPC pero fuera del grupo, queda bloqueada [7:20].

¿Por qué eliminar las reglas de outbound de la base de datos?

Una base de datos no necesita iniciar conexiones hacia afuera, solo responder a las que recibe. Como los Security Groups son stateful, las respuestas salen sin necesidad de una regla explícita. Eliminar las reglas de outbound reduce la superficie de ataque y agrega una capa adicional de protección.

Este security group queda listo para hacerle attach al clúster de base de datos cuando lo crees más adelante.

¿Qué set de reglas usarías tú para proteger tu flujo de trabajo? ¿Y cuál es el rango de puertos efímeros del sistema operativo donde corren tus instancias? Cuéntalo en los comentarios.