Seguridad de VPC con NACL y grupos de seguridad en AWS

Clase 23 de 69 • Curso de AWS Certified Solutions Architect Associate

Resumen

La seguridad en redes y en la nube es más relevante que nunca, especialmente cuando trabajamos con servicios como AWS. Es fundamental conocer cómo proteger adecuadamente nuestra infraestructura cloud, específicamente nuestra Virtual Private Cloud (VPC). Explorar los conceptos clave como las listas de control de acceso a nivel de red (NACL) y los grupos de seguridad (security groups) te permitirá diseñar políticas sólidas de protección.

¿Qué son las listas de control de acceso (NACL)?

Las NACL (Network Access Control Lists) actúan como filtros de seguridad que controlan el tráfico dentro y fuera de tus subredes en AWS. Sus características esenciales incluyen:

Son reglas sin estado o stateless, lo que significa que requieren reglas separadas para tráfico entrante y saliente.
Las reglas se evalúan conforme a un orden numérico.
Cada subred puede tener hasta veinte reglas de entrada y veinte reglas de salida (límites ajustables).
Poseen reglas específicas de permitir (allow) o denegar (deny) el tráfico.
AWS aplica una regla por defecto que bloquea todo tráfico no contemplado explícitamente.

Es importante destacar que cada regla de NACL se evalúa independientemente, por eso es indispensable definir reglas para ambas direcciones del tráfico explícitamente.

¿Cómo funcionan los grupos de seguridad en AWS?

Los grupos de seguridad o security groups se aplican directamente a las instancias de EC2, más específicamente en la interfaz de red elástica. Estos tienen diferencias clave frente a las NACL:

Son reglas con estado o stateful, lo que implica que si permitimos el tráfico entrante automáticamente el tráfico saliente relacionado se permite también.
Solo permiten reglas de autorización o allow; no cuentan con reglas de denegación explícita.
Evaluaciones conjuntas y no secuenciales (todas las reglas se aplican a la vez).
Por defecto, bloquean todo tráfico entrante y permiten todo saliente, hasta que establezcas reglas específicas.
Puedes configurar hasta 60 reglas de entrada y 60 de salida, límites también ajustables en AWS.

¿Qué es el principio de privilegio mínimo y por qué aplicarlo?

La cercanía entre una configuración segura y efectiva está en aplicar el principio de privilegio mínimo. Este criterio recomienda configurar las reglas de seguridad de modo que solo permitan el acceso necesario estrictamente para el funcionamiento de tus aplicaciones.

Consideraciones para mantener este principio:

Revisa regularmente las configuraciones existentes.
Ajusta cualquier acceso innecesario o no autorizado para proteger la infraestructura.
Limita específicamente el tráfico entrante y saliente a lo vitalmente necesario.

Este enfoque reduce el riesgo de incidentes y es fundamental en la gestión efectiva y segura de la infraestructura AWS en la nube.

¿Has aplicado estos mecanismos de seguridad en tus proyectos? Deja tus experiencias o dudas en los comentarios.

Pedro José García Melgarejo

student•

virtual private cloud, es una estructura profunda donde puedo definir mis redes?

Juan Osorio

teacher•

Se trata del servicio de red en AWS. Es una solución que aprovecha la virtualización de redes para construir nuestra infraestructura, permitiéndonos definir rangos de IPs, subredes, tablas de enrutamiento, reglas de seguridad, entre muchas otras configuraciones.

Es un servicio bastante interesante y fundamental, ya que dominar sus bases es clave para diseñar arquitecturas seguras, resilientes y escalables en la nube.

nelson camilo echeverri velez

student•

En la gran mayoria de los casos, siempre vamos a encontrar que en los NACLs, tiene permitido todo el trafico desde internet, esto no representa un verdedaero riesgo siempre y cuando en nuestros Security Groups en las reglas de entrada no estemos permitiendo todo el rango de internet, si no, tenerlo segmentado en rangos especificos.

Juan Pablo Tibaduiza Calderon

student•

netsh int ipv4 show dynamicport

en windows asi se ven