top of page
Foto del escritorIng. Derman Alva

VPC: Las mejores prácticas de seguridad en AWS

Según los trabajos que he realizado, he consolidados algunas de las mejores prácticas que se deben seguir para AWS especialmente en la creación de "Virtual Private Cloud" (VPC) que es el eje central de la tecnología en AWS.

Seguridad VPC

La mayoría de estos también son recomendados por AWS y su implementación en sus empresas garantizará que todos sus recursos como sus servidores, datos y aplicaciones, estén integrados con los diversos servicios de AWS y que se mantengan protegidos en el VPC. Recuerde que Virtual Private Cloud no es un centro de datos típico y debe de tratarse como el punto más importante de transformación digital que realizan las empresas en nuestro país.


1. Planifique su VPC antes de crearla

Debemos siempre por planificar y diseñar la arquitectura de su VPC antes de crearla. Un mal diseño de VPC tendrá serias implicaciones en la flexibilidad, escalabilidad, disponibilidad y seguridad de su infraestructura. Por lo tanto, dedique una buena cantidad de tiempo a planificar su VPC antes de comenzar a crearla.

Los objetivos iniciales antes de crear una VPC que debemos de considerar son los siguientes:

  • Determinar si la VPC es para una aplicación o para una unidad de negocio

  • Especificar todas las subredes que necesitará y determine sus requisitos de disponibilidad y tolerancia a fallas.

  • Descubrir todas las opciones de conectividad que necesitará para conectar todas las redes internas y externas.

  • Planificar varias VPC si necesita conectarse con redes en más de una región.


2. Elija el bloque CIDR más alto

Una vez que crea VPC con un bloque CIDR, no podrá cambiarlo. Tendrá que crear otra VPC y migrar sus recursos a una nueva VPC si desea cambiar su bloque de CIDR. Por ello, observe detenidamente sus recursos actuales y sus requisitos para los próximos años a fin de planificar y diseñar su arquitectura de VPC.

Una VPC puede tener un bloque de CIDR que va desde /16 a /28, lo que significa que puede tener entre 65,536 para su VPC. AWS recomienda que elija el bloque CIDR más alto disponible, por lo que siempre se recomienda elegir el bloque CIDR /16 para su VPC. De esta manera, no le faltarán direcciones IP en el futuro si necesita aumentar sus instancias EC2.


3. Rango único de direcciones IP

Todas las opciones de conectividad de VPC requieren que tenga rangos de IP que no se superpongan. Tenga en cuenta la conectividad futura a todas sus redes internas y externas en la empresa. Antes de asignar rangos CIDR para su VPC debe de considerar tomar nota de todos los rangos de IP disponibles para todos sus entornos, incluidas las redes remotas, los data centers, sus oficinas, etc. Ninguno de estos rangos debe entrar en conflicto y superponerse con ninguna red a la que desee conectarse.


4. No use la VPC predeterminada

AWS proporciona una VPC predeterminada en cada región para su cuenta de AWS. Es mejor dejar esta VPC sola y comenzar con una VPC personalizada para sus necesidades. La VPC predeterminada tiene todos los componentes asociados; sin embargo, la configuración de seguridad de todos estos componentes, como subredes, grupos de seguridad y ACL de red, está bastante abierta al mundo. Tampoco hay subred privada. Por lo tanto, es una buena idea crear su propia VPC desde cero utilizando un asistente de VPC en la consola de AWS o haciéndolo manualmente a través de la consola de AWS o la AWS CLI. Puede configurar todos los recursos según sus requisitos para su VPC personalizada.


5. Clasifique adecuadamente las Subnets

Recomiendo diseñar sus subnets de acuerdo con sus niveles de arquitectura, como el nivel de la base de datos, el nivel de la aplicación, el nivel empresarial, etc., según sus necesidades de enrutamiento, como las “subnets públicas” que necesitan una ruta al gateway de Internet. También debe crear varias subnets en tantas zonas de disponibilidad como sea posible para mejorar su tolerancia a fallas. Cada Zona de Disponibilidad (AZ) debe tener subnets de tamaño idéntico, y cada una de estas subredes debe usar una tabla de enrutamiento diseñada para ellas según su necesidad de enrutamiento. Distribuya sus direcciones de manera uniforme en las Zonas de Disponibilidad y mantenga el espacio reservado para futuras expansiones.


6. Siga el principio de Privilegio Mínimo

Para cada recurso que aprovisione o configure en su VPC, siga el principio de Privilegios Mínimos. Por lo tanto, si una subred tiene recursos que no necesitan acceder a Internet, debe ser una subred privada y debe tener un enrutamiento basado en este requisito. De manera similar, los grupos de seguridad y las NACL deben tener reglas basadas en este principio. Deben permitir el acceso solo para el tráfico requerido. No agregue una ruta al gateway de Internet a la Tabla de Rutas principal, ya que es la tabla de rutas es predeterminada para todas las subredes.


7. Mantenga la mayoría de los recursos en la subred privada

Para mantener seguros su VPC y los recursos en su VPC, debe de asegurarse que la mayoría de los recursos estén dentro de una subred privada de forma predeterminada. Si tiene instancias que necesitan comunicarse con Internet, debe agregar un Elastic Load Balancer (ELB) en la subred pública y agregar todas las instancias detrás de este ELB en la subred privada.

Utilice dispositivos NAT (un NAT Instance o un NAT Gateway ) para acceder a redes públicas desde su subred privada. AWS recomienda que utilice un NAT Gateway sobre una instancia de NAT, ya que la puerta de enlace NAT es redundante, de alta disponibilidad y totalmente administrado.


8. Creación de VPC para diferentes casos de uso

Recomiendo crear una VPC para cada uno de sus entornos de Desarrollo, Pruebas y Producción. Esto consolidará que sus recursos se mantengan separados entre sí y también reducirá el impacto en su entorno si una de sus VPC falla.


9. Gestionar adecuadamente el Control de Acceso

El control de acceso para su VPC debe estar en la parte superior de su lista al momento de crear una VPC. Debe de configurar roles de IAM para sus instancias y asignarlos en cualquier momento. Puede gestionar acceso granular para proporcionar nuevos recursos dentro de una VPC para restringir el acceso a componentes de alto impacto, como varias opciones de conectividad, configuración de NACL, creación de subredes, etc.


10. Utilice VPC Peering para Intercambio de Información entre VPCs

Use el intercambio de tráfico de VPC en la medida de lo posible. Cuando conecta dos VPC mediante la opción de intercambio de tráfico de VPC, las instancias de estas VPC pueden comunicarse entre sí mediante una dirección IP privada. Para una interconexión de VPCs, AWS utiliza su propia red y no tiene que depender de una red externa para el rendimiento de su conexión, y es mucho más segura.


11. Uso de IP elástica en lugar de IP pública

Siempre utilice IPs elásticas (EIP) en lugar de IPs Públicas para todos los recursos que necesitan conectarse a Internet. Se pueden asignar a una instancia EC2 en cualquier estado, como si estuviera en ejecución como si estuviera detenida. Una EIP siempre es la misma sin una instancia, por lo que puede tener una alta disponibilidad para su aplicación en función de una dirección IP. Estas ventajas de EIP sobre una IP pública la hacen más favorable a la seguridad en comparación con una IP pública.


12. Etiquetado en VPC

Siempre etiquete sus recursos en una VPC. La estrategia de etiquetado debe formar parte de su fase de planificación. Una buena práctica es etiquetar un recurso inmediatamente después de su creación. Se recomienda etiquetar la información para las versiones, propietarios, equipos, códigos de proyectos, centro de costos, departamentos, regiones, etc. Las etiquetas son compatibles con la facturación de AWS y los permisos a nivel de recursos.


13. Supervisión de una VPC

La supervisión es fundamental para la seguridad de cualquier red, como en una VPC de AWS. Habilite los registros de flujo de AWS CloudTrail (auditoría) para monitorear todas las actividades y el movimiento del tráfico.

AWS CloudTrail registrará todas las actividades, como el aprovisionamiento, la configuración y la modificación de todos los componentes de la VPC. El registro de flujo de la VPC registrará todos los datos que entran y salen de la VPC para todos los recursos de la VPC. Además, puede configurar reglas de configuración para el servicio AWS Config de su VPC para todos los recursos que no deberían tener cambios en su configuración.


Ing. Derman Alva

35 visualizaciones0 comentarios

Entradas recientes

Ver todo

Opmerkingen


bottom of page