Seguridad en VPC: Grupos de Seguridad y Network ACLs

Clase 10 de 80 • Curso AWS Cloud Practitioner Certification

Resumen

¿Qué es un Security Group en una VPC?

Las VPC o Virtual Private Clouds son componentes esenciales en AWS que requieren seguridad robusta. Los Security Groups representan la primera capa de protección en este escenario. Funcionan como un firewall, protegiendo los recursos dentro de una VPC al controlar el tráfico que es permitido.

La función principal de un Security Group es definir reglas específicas que permitan el tráfico de entrada y salida hacia los recursos en la nube. En términos simples, si tienes una base de datos alojada en un servidor, y necesitas que se conecte por el puerto 3306, deberás configurar una regla en tu Security Group para permitir esta conexión. Esto ilustra cómo los Security Groups actúan como puerta de acceso a los servidores.

¿Cómo configuramos el tráfico en un Security Group?

Reglas permitidas: Los Security Groups solo operan bajo reglas que permiten el tráfico.
Puertos específicos: Por ejemplo, para permitir conexiones SSH, HTTP o HTTPS, se abrirían los puertos 22, 80 y 443, respectivamente.

Considera los Security Groups como la primera instancia de resolución cuando un servidor no responde a conexiones específicas; revisa las configuraciones de tráfico allí primero.

¿Qué es una Network ACL en una VPC?

Las listas de control de acceso de redes, conocidas como Network ACLs, ofrecen una capa de seguridad adicional en una VPC. Protegen toda la subred en lugar de un único recurso. Estas operan de manera más extensa y permiten definir tanto qué tráfico bloquear como permitir.

Características principales de una Network ACL

Bloquear y permitir: A diferencia de los Security Groups, puedes establecer reglas para bloquear o permitir tráficos entrantes y salientes.
Cobertura amplia: Protegen a todos los componentes dentro de una subred, no solo a un servidor individual.

Por ejemplo, si tienes dos servidores en una subred privada, la Network ACL podría proteger ambas máquinas a nivel de subred. Incluso si un atacante supera la Network ACL, cada servidor tendría su propio Security Group para defenderse.

Analogía práctica de Security Groups y Network ACLs

Para entender mejor cómo funcionan estos componentes de seguridad, pensemos en un conjunto residencial:

Security Group: Sería la puerta de tu casa, y la llave sería la regla permitida. ¿A quién le entregas la llave para que pueda ingresar? Esta es la entrada específica que permites, como abrir el puerto 22 para SSH.
Network ACL: Imagina el perímetro del conjunto residencial y el personal de seguridad. Protegen todas las casas del conjunto, ofreciendo una barrera adicional que un intruso debe superar antes de llegar a las puertas individuales.

En un caso donde un intruso intenta entrar, primero tendría que evitar la seguridad del perímetro (Network ACL) y luego vulnerar la entrada de cada casa (Security Group) para tener acceso completo.

Con este conocimiento sobre Security Groups y Network ACLs, estás listo para avanzar y practicar la configuración de estas medidas de seguridad esenciales paso a paso. La seguridad en la nube es clave, y entender cómo configurarla es crucial para proteger tus recursos en AWS. ¡Continúa aprendiendo y experimentando!

Sebastián Arcila Sánchez

student•

Security Group (SG): capa de seguridad; actúa como un firewall para controlar el tráfico de red hacia y desde los recursos. Primera medida de protección de servidores en AWS. Definen reglas que permiten el tráfico entrante y saliente. Ejemplo: tengo una DB que corre en Server A y necesito que se conecten allá por el puerto 3306. Debo ir al Security Group y permitir ese puerto para que se puedan conectar a la DB. SG solo tiene reglas de permitir.

Network ACL (NACL): listas de control de acceso. Capa de seguridad adicional que va a permitir proteger toda la subred como tal. También tiene reglas aunque estas son más específicas, como por ejemplo bloquear y permitir entrada/salida de usuarios.

Ejemplo aplicable: piensa que vives en un conjunto donde hay muchas casas. El SG es la puerta para entrar en la casa (la regla permitida es la llave de la casa), pero adicionalmente en el conjunto existe otra protección que es todo el perímetro cercado y el lugar donde están las personas de seguridad (ese sería el NACL). Entonces, un ladrón primero tendría que vulnerar el perímetro cercado y el grupo de seguridad, y luego tendría que romper nuestra puerta para poder entrar a nuestra casa

Israel Castro

student•

Entonces sería tipo:

security group: puerta de entrada de una casa
network acl: barda de una casa

Santiago Ahumada Lozano

student•

Exacto!

- El security group es un firewall que controla la entrada de trafico a nivel de instancia - El NACL es un firewall que controla la entrada y salida de tráfico a nivel subred. Pero no puede restringir el tráfico entre instancias de la misma subnet (Así como la barda no impide por sí que dos personas dentro del conjunto interactuen)

Santiago Ahumada Lozano

student•

Puede una instancia pertenecer a 2 security groups al mismo tiempo?

Jose Dimas Jimenez Moya

student•

Tenia la misma duda, segun investigue si puedes tener multiples security groups en una misma instacia; pero no se recomienda por que pueden solaparse las reglas de seguridad

Vanessa Rivas

student•

1. Security Groups (SGs): "Denegar por defecto, permitir explícitamente"

Comportamiento predeterminado:
- Todo el tráfico entrante (inbound) está DENEGADO por defecto (a menos que agregues reglas de "allow").
- Todo el tráfico saliente (outbound) está PERMITIDO por defecto (en la mayoría de casos, aunque puedes restringirlo).
¿Por qué se considera "stateful"? Si permites una entrada (ej: HTTP en puerto 80), la respuesta saliente se permite automáticamente, sin necesidad de reglas adicionales.
Ejemplo:
- Sin reglas: Nadie puede acceder a tu EC2.
Regla añadida: Allow TCP 80 from 0.0.0.0/0 → Ahora sí puedes recibir HTTP.

2. Network ACLs (NACLs): "Permitir por defecto, hasta que niegues explícitamente" (pero con matices)
- Comportamiento predeterminado (en NACLs predeterminados de AWS):
  - Todo el tráfico (entrante y saliente) está PERMITIDO por defecto (en la NACL que AWS asigna a nuevas subredes).
  - Pero ojo: Si creas una NACL manualmente, su comportamiento inicial es denegar todo, hasta que agregues reglas de "allow".
- ¿Por qué se considera "stateless"? Debes definir reglas de entrada (inbound) y salida (outbound) por separado, incluso para respuestas. Si permites HTTP entrante, ¡no olvides permitir los puertos efímeros (1024-65535) en la salida!
- Ejemplo:
  - NACL predeterminada: Todo el tráfico fluye libremente.
  - Regla añadida: Deny TCP 22 from 192.0.2.0/24 → Bloqueas SSH desde esa IP.

Miguel Angel Reyes Moreno

student•

Seguridad en una VPC

Security Group

Capa de seguridad que actúa como un firewall virtual para controlar el tráfico de red hacia y desde los recursos
Definen reglas que permiten el tráfico entrante y saliente.

Network Access Control List (NACL)

Capa de seguridad adicional que actúa como un firewall a nivel de subred.
Permiten definir reglas de control de acceso más detalladas.

Ambas son medidas de seguridad, son 2 capas de seguridad y son esenciales.

Cristofer Vargas Morales

student•

En AWS, varias subredes pueden asociarse a una misma Network ACL. Esto permite una gestión centralizada de las reglas de entrada y salida para esas subredes. Sin embargo, cada subred puede tener su propia Network ACL si se desea una configuración más específica. Recuerda que las Network ACLs actúan a nivel de subred, proporcionando una capa adicional de seguridad junto con los Security Groups en tus arquitecturas en la nube.

Gustavo Bautista Hernández

student•

Cabe destacar qué la NACL es un componente sin estado, lo qué quiere decir, qué siempre revisa, lo qué entra y lo qué sale, además por defecto deja pasar todo hasta qué se le configuren reglas. Los grupos de seguridad son un componente con estado, recuerdan lo qué entra y no vuelve a revisar lo qué entró en la salida, por defecto rechaza todo lo que intenta entrar hasta qué le asignas reglas.

sebastian gomez

student•

Asumi el ejemplo de seguridad con un conjunto cerrado , donde el NACL es el conjunto y el security group sera la llave para entrar a la casa 🤔

Cristian Mendoza

student•

Security Groups: Solo permiten reglas de permitir. Es decir, tú especificas explícitamente qué tráfico está permitido hacia tus recursos. Cada recurso puede tener múltiples Security Groups asociados.

Network ACL: Permite tanto reglas de permitir como de denegar. Esto significa que puedes bloquear tráfico específico además de permitirlo, aplicándose a toda la subred en la que se encuentra.

Max Andy Diaz Neyra

student•

Aporte:

Los SG controlan los paquetes de entrada y salida de una instancia, trabajan a ese nivel. Los SG son statefull y tienen reglas permisivas.

Si el SG tiene una regla que le permite salir automáticamente le permite entrar. Lo mismo en sentido contrario, si lo dejo entrar lo deja salir.

Los NACL controlan el tráfico de entrada y salida de una subnet, trabajan a ese a nivel. Los NACL son stateless y sus reglas pueden ser de permiso o deniego.

El NACL siempre verifica al momento de entrada y salida del paquete.

Los controla mediante un rango de IP y un puerto, al igual que SG

Alfredo Olmedo

student•

VPC NACL es una lista de control de acceso a la red (NACL) que se utiliza en un entorno de nube privada virtual (VPC) para controlar el tráfico de la subred:

VPC Una nube privada virtual (VPC) es una oferta de nube pública que permite a una empresa establecer su propio entorno informático en una infraestructura de nube pública compartida.

NACL Una lista de control de acceso a la red (NACL) es un nivel de seguridad opcional que permite o deniega el tráfico entrante o saliente específico en el nivel de subred.

Las ACL de red administran el acceso a una red proporcionando instrucciones a los conmutadores y enrutadores sobre los tipos de tráfico que pueden interactuar con la red.

Oscar Roa

student•

Security Groups (Grupos de Seguridad):

Definición: Son conjuntos de reglas que controlan el tráfico entrante y saliente a las instancias de una VPC.
Función: Un Security Group actúa como un firewall virtual que define qué tipo de tráfico se permite a las instancias asociadas. Puedes especificar qué tráfico entrante (inbound) y saliente (outbound) está permitido, basado en direcciones IP y puertos.

Network ACLs (Listas de Control de Acceso de Red):

Definición: Son reglas que controlan el tráfico entrante y saliente a nivel de subred, en lugar de a nivel de instancia como los Security Groups.
Función: Las ACL de red permiten o deniegan el tráfico hacia y desde las subredes. Estas listas ofrecen una capa adicional de seguridad para las subredes, aunque son menos específicas que los Security Groups.