Seguridad en VPC: Grupos de Seguridad y Network ACLs

Clase 10 de 80 • Curso AWS Cloud Practitioner Certification

Contenido del curso

Fundamentos de la Infraestructura Global de AWS

Redes en AWS

Servicios de cómputo en AWS

Balanceo de Carga y Auto escalamiento

Almacenamiento en AWS

Bases de datos en AWS

Seguridad en AWS

Costos en AWS

Servicios Complementarios

Migracion a la nube de AWS

Cómo aprobar la certificación AWS Cloud Practitioner

Tomar examen

Resumen

Proteger los recursos dentro de una VPC es uno de los pilares fundamentales para cualquier arquitectura en AWS y, además, uno de los dominios con mayor peso en el examen de certificación. Comprender cómo funcionan las capas de seguridad disponibles marca la diferencia entre una infraestructura vulnerable y una sólida.

¿Qué es un security group y cómo protege tus servidores?

El security group es la primera capa de seguridad dentro de una VPC [0:18]. Funciona como un firewall que controla el tráfico permitido hacia los recursos desplegados en AWS. Su característica principal es que solo contiene reglas de permitir: no existen reglas de bloqueo explícito. Si un puerto no está habilitado, el tráfico simplemente no pasa.

Imagina que tienes una base de datos corriendo en un servidor y necesitas que otros componentes se conecten por el puerto 3306 [0:42]. Para lograrlo, debes ir al security group y abrir ese puerto de forma explícita. Lo mismo aplica para cualquier otro servicio:

Puerto 22 para conexiones SSH.
Puerto 80 para tráfico HTTP.
Puerto 443 para tráfico HTTPS.

Cada servidor desplegado en una subred privada estará envuelto por su security group [1:03]. Si algo no funciona al desplegar un servidor, el security group debe ser el primer lugar donde hagas troubleshooting: verificar si el tráfico realmente está permitido es el paso más básico y más frecuentemente olvidado [1:30].

¿Qué es una network ACL y en qué se diferencia del security group?

La network ACL (Access Control List o lista de control de acceso) es una capa de seguridad adicional que protege toda la subred, no solo un servidor individual [1:42]. A diferencia del security group, la network ACL permite configurar tanto reglas de permitir como reglas de bloquear, y lo hace en ambas direcciones: tráfico de entrada y tráfico de salida [2:00].

¿Cómo trabajan juntos estos dos componentes?

Gráficamente, si tienes dos servidores en una subred privada, la network ACL actúa como un escudo que cubre a ambos servidores por completo [2:16]. Si un atacante logra sobrepasar la network ACL, cada servidor todavía cuenta con su propio security group como segunda barrera de protección [2:30]. Los servidores también pueden compartir un mismo security group si la configuración lo requiere.

Esta defensa en profundidad es esencial: no dependes de una sola capa, sino de dos mecanismos complementarios que refuerzan la postura de seguridad de la VPC.

¿Cómo entender la diferencia con una analogía sencilla?

Piensa en un conjunto residencial con múltiples casas [2:55]:

El security group es la puerta de tu casa. Las reglas permitidas son las llaves que entregas a personas específicas para que accedan por determinados puertos.
La network ACL es el perímetro cercado del conjunto junto con el personal de seguridad. Protege a todas las casas que están adentro.

Si un intruso quiere entrar a tu casa, primero debe vulnerar el perímetro (network ACL) y luego abrir tu puerta (security group) [3:24]. Este modelo de doble barrera es exactamente lo que ocurre dentro de una VPC en AWS.

Las diferencias clave para recordar son:

Security group: opera a nivel de instancia, solo reglas de permitir, stateful (recuerda las conexiones).
Network ACL: opera a nivel de subred, reglas de permitir y bloquear, evalúa tráfico de entrada y salida por separado.

Dominar estos dos componentes no solo te prepara para el examen, sino que te da las herramientas para diseñar arquitecturas seguras desde el primer día. Si ya tienes clara la teoría, el siguiente paso es poner las manos en la consola y configurar todo desde cero en un laboratorio práctico.

Comentarios

Sebastián Arcila Sánchez

student•

Security Group (SG): capa de seguridad; actúa como un firewall para controlar el tráfico de red hacia y desde los recursos. Primera medida de protección de servidores en AWS. Definen reglas que permiten el tráfico entrante y saliente. Ejemplo: tengo una DB que corre en Server A y necesito que se conecten allá por el puerto 3306. Debo ir al Security Group y permitir ese puerto para que se puedan conectar a la DB. SG solo tiene reglas de permitir.

Network ACL (NACL): listas de control de acceso. Capa de seguridad adicional que va a permitir proteger toda la subred como tal. También tiene reglas aunque estas son más específicas, como por ejemplo bloquear y permitir entrada/salida de usuarios.

Ejemplo aplicable: piensa que vives en un conjunto donde hay muchas casas. El SG es la puerta para entrar en la casa (la regla permitida es la llave de la casa), pero adicionalmente en el conjunto existe otra protección que es todo el perímetro cercado y el lugar donde están las personas de seguridad (ese sería el NACL). Entonces, un ladrón primero tendría que vulnerar el perímetro cercado y el grupo de seguridad, y luego tendría que romper nuestra puerta para poder entrar a nuestra casa

Israel Castro

student•

Entonces sería tipo:

security group: puerta de entrada de una casa
network acl: barda de una casa

Santiago Ahumada Lozano

student•

Exacto!

- El security group es un firewall que controla la entrada de trafico a nivel de instancia - El NACL es un firewall que controla la entrada y salida de tráfico a nivel subred. Pero no puede restringir el tráfico entre instancias de la misma subnet (Así como la barda no impide por sí que dos personas dentro del conjunto interactuen)

Vanessa Rivas

student•

1. Security Groups (SGs): "Denegar por defecto, permitir explícitamente"

Comportamiento predeterminado:
- Todo el tráfico entrante (inbound) está DENEGADO por defecto (a menos que agregues reglas de "allow").
- Todo el tráfico saliente (outbound) está PERMITIDO por defecto (en la mayoría de casos, aunque puedes restringirlo).
¿Por qué se considera "stateful"? Si permites una entrada (ej: HTTP en puerto 80), la respuesta saliente se permite automáticamente, sin necesidad de reglas adicionales.
Ejemplo:
- Sin reglas: Nadie puede acceder a tu EC2.
Regla añadida: Allow TCP 80 from 0.0.0.0/0 → Ahora sí puedes recibir HTTP.

2. Network ACLs (NACLs): "Permitir por defecto, hasta que niegues explícitamente" (pero con matices)
- Comportamiento predeterminado (en NACLs predeterminados de AWS):
  - Todo el tráfico (entrante y saliente) está PERMITIDO por defecto (en la NACL que AWS asigna a nuevas subredes).
  - Pero ojo: Si creas una NACL manualmente, su comportamiento inicial es denegar todo, hasta que agregues reglas de "allow".
- ¿Por qué se considera "stateless"? Debes definir reglas de entrada (inbound) y salida (outbound) por separado, incluso para respuestas. Si permites HTTP entrante, ¡no olvides permitir los puertos efímeros (1024-65535) en la salida!
- Ejemplo:
  - NACL predeterminada: Todo el tráfico fluye libremente.
  - Regla añadida: Deny TCP 22 from 192.0.2.0/24 → Bloqueas SSH desde esa IP.

Santiago Ahumada Lozano

student•

Puede una instancia pertenecer a 2 security groups al mismo tiempo?

Jose Dimas Jimenez Moya

student•

Tenia la misma duda, segun investigue si puedes tener multiples security groups en una misma instacia; pero no se recomienda por que pueden solaparse las reglas de seguridad

Miguel Angel Reyes Moreno

student•

Seguridad en una VPC

Security Group

Capa de seguridad que actúa como un firewall virtual para controlar el tráfico de red hacia y desde los recursos
Definen reglas que permiten el tráfico entrante y saliente.

Network Access Control List (NACL)

Capa de seguridad adicional que actúa como un firewall a nivel de subred.
Permiten definir reglas de control de acceso más detalladas.

Ambas son medidas de seguridad, son 2 capas de seguridad y son esenciales.

Cristofer Vargas Morales

student•

En AWS, varias subredes pueden asociarse a una misma Network ACL. Esto permite una gestión centralizada de las reglas de entrada y salida para esas subredes. Sin embargo, cada subred puede tener su propia Network ACL si se desea una configuración más específica. Recuerda que las Network ACLs actúan a nivel de subred, proporcionando una capa adicional de seguridad junto con los Security Groups en tus arquitecturas en la nube.

Gustavo Bautista Hernández

student•

Cabe destacar qué la NACL es un componente sin estado, lo qué quiere decir, qué siempre revisa, lo qué entra y lo qué sale, además por defecto deja pasar todo hasta qué se le configuren reglas. Los grupos de seguridad son un componente con estado, recuerdan lo qué entra y no vuelve a revisar lo qué entró en la salida, por defecto rechaza todo lo que intenta entrar hasta qué le asignas reglas.

sebastian gomez

student•

Asumi el ejemplo de seguridad con un conjunto cerrado , donde el NACL es el conjunto y el security group sera la llave para entrar a la casa 🤔

Cristian Mendoza

student•

Security Groups: Solo permiten reglas de permitir. Es decir, tú especificas explícitamente qué tráfico está permitido hacia tus recursos. Cada recurso puede tener múltiples Security Groups asociados.

Network ACL: Permite tanto reglas de permitir como de denegar. Esto significa que puedes bloquear tráfico específico además de permitirlo, aplicándose a toda la subred en la que se encuentra.

Max Andy Diaz Neyra

student•

Aporte:

Los SG controlan los paquetes de entrada y salida de una instancia, trabajan a ese nivel. Los SG son statefull y tienen reglas permisivas.

Si el SG tiene una regla que le permite salir automáticamente le permite entrar. Lo mismo en sentido contrario, si lo dejo entrar lo deja salir.

Los NACL controlan el tráfico de entrada y salida de una subnet, trabajan a ese a nivel. Los NACL son stateless y sus reglas pueden ser de permiso o deniego.

El NACL siempre verifica al momento de entrada y salida del paquete.

Los controla mediante un rango de IP y un puerto, al igual que SG

Alfredo Olmedo

student•

VPC NACL es una lista de control de acceso a la red (NACL) que se utiliza en un entorno de nube privada virtual (VPC) para controlar el tráfico de la subred:

VPC Una nube privada virtual (VPC) es una oferta de nube pública que permite a una empresa establecer su propio entorno informático en una infraestructura de nube pública compartida.

NACL Una lista de control de acceso a la red (NACL) es un nivel de seguridad opcional que permite o deniega el tráfico entrante o saliente específico en el nivel de subred.

Las ACL de red administran el acceso a una red proporcionando instrucciones a los conmutadores y enrutadores sobre los tipos de tráfico que pueden interactuar con la red.

Oscar Roa

student•

Security Groups (Grupos de Seguridad):

Definición: Son conjuntos de reglas que controlan el tráfico entrante y saliente a las instancias de una VPC.
Función: Un Security Group actúa como un firewall virtual que define qué tipo de tráfico se permite a las instancias asociadas. Puedes especificar qué tráfico entrante (inbound) y saliente (outbound) está permitido, basado en direcciones IP y puertos.

Network ACLs (Listas de Control de Acceso de Red):

Definición: Son reglas que controlan el tráfico entrante y saliente a nivel de subred, en lugar de a nivel de instancia como los Security Groups.
Función: Las ACL de red permiten o deniegan el tráfico hacia y desde las subredes. Estas listas ofrecen una capa adicional de seguridad para las subredes, aunque son menos específicas que los Security Groups.

Seguridad en VPC: Grupos de Seguridad y Network ACLs

Fundamentos de la Infraestructura Global de AWS

Conceptos Fundamentales de AWS y la Nube

Registro y uso de la consola de AWS para servicios en la nube

Seguridad en AWS: Prácticas Esenciales y Gestión de Accesos

Modelo de Responsabilidad Compartida en AWS: Seguridad y Cumplimiento

Creación y gestión de usuarios en AWS IAM

Regiones y Zonas de Disponibilidad en AWS

Infraestructura Global de AWS: Local Zones, Outposts y Edge Locations

Gestión de DNS y dominios con AWS Route 53

Redes en AWS

Componentes y configuración de una VPC en AWS