Seguridad de VPC con NACL y grupos de seguridad en AWS

Clase 23 de 76Curso de AWS Certified Solutions Architect Associate

Clase anteriorSiguiente clase

Resumen

La seguridad en redes y en la nube es más relevante que nunca, especialmente cuando trabajamos con servicios como AWS. Es fundamental conocer cómo proteger adecuadamente nuestra infraestructura cloud, específicamente nuestra Virtual Private Cloud (VPC). Explorar los conceptos clave como las listas de control de acceso a nivel de red (NACL) y los grupos de seguridad (security groups) te permitirá diseñar políticas sólidas de protección.

¿Qué son las listas de control de acceso (NACL)?

Las NACL (Network Access Control Lists) actúan como filtros de seguridad que controlan el tráfico dentro y fuera de tus subredes en AWS. Sus características esenciales incluyen:

  • Son reglas sin estado o stateless, lo que significa que requieren reglas separadas para tráfico entrante y saliente.
  • Las reglas se evalúan conforme a un orden numérico.
  • Cada subred puede tener hasta veinte reglas de entrada y veinte reglas de salida (límites ajustables).
  • Poseen reglas específicas de permitir (allow) o denegar (deny) el tráfico.
  • AWS aplica una regla por defecto que bloquea todo tráfico no contemplado explícitamente.

Es importante destacar que cada regla de NACL se evalúa independientemente, por eso es indispensable definir reglas para ambas direcciones del tráfico explícitamente.

¿Cómo funcionan los grupos de seguridad en AWS?

Los grupos de seguridad o security groups se aplican directamente a las instancias de EC2, más específicamente en la interfaz de red elástica. Estos tienen diferencias clave frente a las NACL:

  • Son reglas con estado o stateful, lo que implica que si permitimos el tráfico entrante automáticamente el tráfico saliente relacionado se permite también.
  • Solo permiten reglas de autorización o allow; no cuentan con reglas de denegación explícita.
  • Evaluaciones conjuntas y no secuenciales (todas las reglas se aplican a la vez).
  • Por defecto, bloquean todo tráfico entrante y permiten todo saliente, hasta que establezcas reglas específicas.
  • Puedes configurar hasta 60 reglas de entrada y 60 de salida, límites también ajustables en AWS.

¿Qué es el principio de privilegio mínimo y por qué aplicarlo?

La cercanía entre una configuración segura y efectiva está en aplicar el principio de privilegio mínimo. Este criterio recomienda configurar las reglas de seguridad de modo que solo permitan el acceso necesario estrictamente para el funcionamiento de tus aplicaciones.

Consideraciones para mantener este principio:

  • Revisa regularmente las configuraciones existentes.
  • Ajusta cualquier acceso innecesario o no autorizado para proteger la infraestructura.
  • Limita específicamente el tráfico entrante y saliente a lo vitalmente necesario.

Este enfoque reduce el riesgo de incidentes y es fundamental en la gestión efectiva y segura de la infraestructura AWS en la nube.

¿Has aplicado estos mecanismos de seguridad en tus proyectos? Deja tus experiencias o dudas en los comentarios.