Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Nivel-Integrador
Módulo 2: Unidad 1
en entornos informáticos. Esta fase del curso enseña los fundamentos esenciales que constituyen la
base de la seguridad y la protección de los recursos en la nube. Da cuenta de conocimientos clave que
permiten aplicar estrategias efectivas para salvaguardar tanto la infraestructura como los datos
seguridad adecuadas.
seguridad en la nube; a medida que las organizaciones migran sus servicios y datos a entornos de
nube pública, privada o híbrida, surgen nuevas consideraciones de seguridad que deben ser
comprendidas y atendidas de manera efectiva. En estas lecciones se exploran las mejores prácticas,
herramientas y técnicas para fortalecer la seguridad en los entornos informáticos, garantizando así la
integridad, confidencialidad y disponibilidad de los recursos.
Al finalizar este módulo, los participantes estarán mejor preparados para enfrentar los
en la prevención; podrán implementar y mantener un entorno seguro que proteja los activos digitales
de una organización y garantice su continuidad operativa en un mundo cada vez más interconectado y
amenazante.
Unidad 1:
1. Objetivos
· Definir los
componentes de una nube
virtual privada (VPC).
· Reconocer los
límites de la cuenta.
· Describir los
servicios de Amazon Web
Services (AWS)
disponibles para proteger su
red y sus recursos.
Competencias a desarrollar
· Comprensión
conceptual: explica de
manera clara y concisa qué
es una nube virtual privada
(VPC) y cómo funciona.
· Identificación de
componentes: reconoce y
describe los elementos
fundamentales que
constituyen una VPC, como
subredes, tablas de
enrutamiento, grupos de
seguridad y gateways.
· Diseño de VPC:
diseña y configura una VPC
según los requisitos
específicos de una
organización, teniendo en
cuenta aspectos como la
conectividad, la seguridad y
la escalabilidad.
· Conocimiento de
los límites: se familiariza
con los límites establecidos
por los proveedores de
servicios en la nube, como
AWS, en términos de
recursos y servicios
disponibles para cada
cuenta.
· Monitoreo y
gestión: identifica y
monitorea los límites de la cuenta para evitar posibles interrupciones en el servicio
debido a la superación de estos límites.
Planteamiento de la lección
Discusión sobre los protocolos de Internet Controlas el trafico hacia los recursos
utilizados en subredes públicas y privadas, como de AWS mediante grupos de
HTTP, HTTPS y SSH. seguridad
Lección 4: Uso de grupos de seguridad de AWS y Controlar el tráfico hacia los recursos
Uso de ACL de red de AWS de AWS mediante grupos de
seguridad - Amazon Virtual Private
Cloud
Objetivo: Comprender cómo se utilizan los
grupos de seguridad de AWS para controlar el
tráfico de red hacia y desde instancias de EC2 Registro del trafico de IP con registro
dentro de una VPC. de flujo de la VPC
Actividades: https://docs.aws.amazon.com/vpc/
latest/userguide/flow-logs.html.
Introducción a los grupos de seguridad de AWS y
su función en la seguridad de la red.
Ejercicio práctico: Creación y configuración de ¿Qué es Elastic Load Balancing?
grupos de seguridad en AWS, estableciendo
¿Qué es Elastic Load Balancing? -
reglas de entrada y salida.
Elastic Load Balancing (amazon.com)
Estudio de casos: Análisis de escenarios de
seguridad y cómo los grupos de seguridad pueden
ayudar a mitigar riesgos. Protección de datos en Elastic Load
Balancing
Objetivo: Aprender a utilizar las Listas de Control
de Acceso (ACL) de red de AWS para controlar
el tráfico de red a nivel de subred dentro de una
Protección de datos en Elastic Load
VPC.
Balancing - Elastic Load Balancing
Actividades: (amazon.com)
https://aws.amazon.com/inspector.
Ejercicio práctico: Configuración de ACL de red
en una VPC de AWS para permitir o denegar
tráfico específico.
Actividades:
Introducción a los equilibradores de carga de
AWS y sus diferentes tipos (clásico, de red, de
aplicación).
Actividades:
Evaluación de conocimientos
Examinemos de qué manera los principios y conceptos discutidos en esta unidad tienen
Después de la reciente reunión entre María y John, María comprendió que las inquietudes de
seguridad de John abarcan aspectos más amplios que simplemente el control de acceso y la gestión
de usuarios. Para respaldar la transición a AWS, María deberá tener en cuenta las preocupaciones de
John consultó a María sobre cómo aseguraría la protección de la infraestructura que AnyBank
planea migrar a AWS. Ante esto, María ha decidido enfocarse en la implementación de una nube
la nube, las responsabilidades tanto del cliente como de AWS; el cliente tiene la responsabilidad de
garantizar la seguridad de sus propios datos, lo que incluye: la gestión de accesos, identidades,
operativos, así como de cifrar los datos del lado del cliente y asegurar su integridad y autenticación.
Por otro lado, AWS asume la responsabilidad de la seguridad de la infraestructura de la nube, lo que
incluye servicios básicos como cómputo, almacenamiento, bases de datos y redes, además, AWS
parte de protección del tráfico de red del modelo de responsabilidad compartida, que el cliente es
responsable de asegurar.
Lección 2: Estructura de una aplicación web de tres niveles y uso de una VPC
En esta, se describe la estructura de una aplicación web de tres niveles y el uso de una VPC.
En este caso, se utiliza una Virtual Private Cloud (VPC) que tiene subredes en dos zonas de
disponibilidad. La capa de presentación consta de dos subredes públicas, una en cada zona, donde
una subred aloja un grupo de seguridad con una instancia de host, y la otra subred tiene una puerta de
enlace NAT. Un Balanceador de Carga de Aplicaciones (ALB) en esta capa gestiona el tráfico entre
Internet y un grupo de Auto Scaling para el frontend en la capa de lógica empresarial. Este grupo de
Auto Scaling se encarga del escalado de las instancias de frontend en ambas zonas de disponibilidad.
Un Balanceador de Carga de Red (NLB) en la capa de lógica empresarial dirige el tráfico entre el
grupo de AutoScaling del frontend y otro grupo de Auto Scaling para el backend. El grupo de
AutoScaling del backend maneja el escalado de las instancias de backend en ambas zonas de
disponibilidad. La capa de almacenamiento de datos aloja una base de datos primaria en una zona de
disponibilidad y una base de datos de sólo lectura en la segunda zona. Esta capa se comunica con el
su nombre lo indica, una aplicación se divide en tres niveles lógicos: la capa de presentación, la capa
servidor, como aplicaciones web que tienen un frontend para la interfaz de usuario, un backend para
la lógica de la aplicación y una base de datos para almacenar datos. Cada nivel tiene una función
específica y puede ser gestionado de manera independiente. Este enfoque representa una mejora con
Utilice el servicio Amazon Virtual Private Cloud (Amazon VPC) para aprovisionar una
sección lógicamente aislada de la nube de AWS en la que pueda iniciar sus recursos de AWS. Esta
Amazon VPC proporciona control sobre sus recursos de red virtuales, como la selección de su
y puertas de enlace de red. Puede usar IPv4 e IPv6 en su VPC para un acceso seguro a los recursos y
las aplicaciones.
También puede personalizar la configuración de red de su VPC. Por ejemplo, puede crear una
subred pública para sus servidores web que puedan acceder a la Internet pública. Puede colocar sus
sistemas de backend, como bases de datos o servidores de aplicaciones, en una subred privada sin
Por último, puede utilizar varias capas de seguridad en una VPC para ayudar a controlar el
acceso a las instancias de Amazon Elastic Compute Cloud (Amazon EC2) en las subredes de la VPC.
Los mecanismos de seguridad incluyen grupos de seguridad y listas de control de acceso a la red
(ACL).
Para más información, consulte ¿Qué es Amazon VPC? en la Guía del usuario sobre VPC de
Amazon en https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html.
El diagrama de subredes en una VPC. Una región dentro de la nube de AWS tiene una VPC,
que se extiende por dos zonas de disponibilidad. La VPC tiene una subred en cada zona de
disponibilidad.
Una VPC es una red virtual que está aislada de forma lógica de otras redes virtuales en la
nube de AWS. Una VPC está dedicada a su cuenta, pertenece a una única región de AWS y puede
Después de crear una VPC, puede dividirla en una o más subredes. Una subred es un rango de
direcciones IP que dividen una VPC. Las subredes pertenecen a una única zona de disponibilidad,
pero puede crear subredes en diferentes zonas de disponibilidad para obtener una alta disponibilidad.
direccionable en Internet
· Realiza la traducción de direcciones de red (NAT) de las instancias a las que se les han
Una puerta de enlace de internet admite tráfico IPv4 e IPv6, y no provoca riesgos de
disponibilidad ni limitaciones de ancho de banda en el tráfico de su red. Tener una puerta de enlace
Para habilitar el acceso desde o hacia Internet para las instancias de una subred en una VPC,
2. Agregar una ruta a la tabla de enrutamiento de la subred que dirija el tráfico de Internet a
3. Confirmar que cada instancia en su subred tiene una dirección IP única global (dirección
4. Confirmar que las reglas ACL y de grupo de seguridad de su red permiten que el tráfico
Para más información, consulte Conexión a Internet mediante una puerta de enlace de
https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html.
Una puerta de enlace de traducción de direcciones de red (NAT) permite a las instancias de
una subred privada conectarse a Internet o a otros servicios de AWS. Una puerta de enlace NAT
también impide que Internet inicie una conexión con esas instancias.
Para crear una puerta de enlace NAT, debe especificar la subred pública en la que se debe
ubicar la puerta de enlace NAT. También debe especificar una dirección IP elástica para asociar a la
puerta de enlace NAT. Después de crear una puerta de enlace NAT, debe actualizar la tabla de
enrutamiento que está asociada a una o más de las subredes privadas para dirigir el tráfico de Internet
a la puerta de enlace NAT. De esa manera, las instancias de sus subredes privadas se pueden
También puede utilizar una instancia NAT en una subred pública de su VPC en lugar de una
puerta de enlace NAT. Sin embargo, una puerta de enlace NAT es un servicio NAT administrado que
ofrece mayor disponibilidad, mayor ancho de banda y menos esfuerzo administrativo. Para los casos
prácticos habituales, AWS recomienda utilizar una puerta de enlace NAT en lugar de una instancia
de NAT.
Para más información, consulte los siguientes temas en la Guía del usuario de Amazon VPC:
gateway.html
· Instancias de NAT en
https://docs.aws.amazon.com/vpc/latest/userguide/VPC_NAT_Instance.html
https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-comparison.html
El diagrama de una VPC con una subred pública y otra privada. Una instancia de EC2 en la
subred privada dirige el tráfico a una tabla de enrutamiento privada y, a continuación, a una puerta de
enlace NAT en la subred pública. A partir de ahí, el tráfico se encamina a una tabla de enrutamiento
· Todas las subredes constan de un rango contiguo de direcciones IP. Estas direcciones no
· Las interfaces adjuntas a instancias de EC2 en subredes privadas no son accesibles desde
fuera de la VPC principal. Sin embargo, mediante el uso de una puerta de enlace NAT administrada
por AWS, las instancias de EC2 pueden realizar solicitudes salientes, como por ejemplo para la
· Las subredes privadas suelen utilizarse para alojar instancias de base de datos (DB) a las
· Una puerta de enlace NAT debe tener asignada una dirección IP elástica.
El diagrama de una VPC con una subred pública. El tráfico de una instancia de EC2 en la
subred va a una tabla de enrutamiento pública y luego a una puerta de enlace de internet.
Cuando el tráfico externo necesita llegar a una interfaz, como una instancia de EC2, la
A menudo, las empresas colocan servidores web dentro de una subred pública, sin embargo,
AWS recomienda utilizar un equilibrador de carga en la subred pública y hacer que el equilibrador de
Las direcciones IP habilitan los recursos de su VPC para comunicarse entre sí y con los
recursos de Internet. Al crear una VPC, se le asigna un rango de Classless Inter-Domain Routing
El bloque de CIDR puede ser tan grande como /16 (que son 2 16 o 65.536 direcciones) o tan
El bloque de CIDR de una subred puede ser el mismo que el bloque de la VPC en la que se
encuentra la subred. Esto significa que la VPC y la subred tienen el mismo tamaño; la VPC tiene una
única subred.
El bloque de CIDR de una subred puede ser un subconjunto del bloque de CIDR para la VPC.
Esta estructura admite la definición de múltiples subredes. Si crea más de una subred en una VPC,
los rangos de CIDR de las subredes no deben solaparse. No puede tener direcciones IP duplicadas en
la misma VPC.
sizing.
Al crear una subred, esta necesita su propio bloque de CIDR. Para cada bloque de CIDR que
especifique, AWS reserva cinco direcciones IP dentro de ese bloque, y usted no puede utilizar estas
cinco direcciones. AWS reserva estas direcciones IP para los siguientes fines:
· Direcciones de red
· Uso futuro
Por ejemplo, supongamos que se crea una subred con un bloque de CIDR IPv4 de
10.0.0.0/24, que tiene 256 direcciones IP en total. La subred tiene 256 direcciones IP, pero solo 251
Cuando se crea una VPC, cada instancia de esa VPC obtiene automáticamente una dirección
IP privada. También se puede solicitar que se asigne una dirección IP pública cuando crea la
una nueva IP pública. Para proyectos de producción, se utiliza una dirección IP elástica en lugar de
una IP pública asignada, que se disocia si detiene la instancia.
Para más información, consulte Direcciones IPv4 públicas en la Guía del usuario de Amazon
VPC en https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#vpc-public-ipv4-
addresses.
Una dirección IP elástica es una dirección IP pública y estática diseñada para el cómputo en la
nube dinámico. Se puede asociar una dirección IP elástica con cualquier instancia o interfaz de red
Con una dirección IP elástica, puede enmascarar los errores de una instancia o del software
especificar la dirección IP elástica en un registro DNS para el dominio, de modo que el dominio
apunte a la instancia.
Si su instancia no tiene una dirección IPv4 pública, puede asociar una dirección IP elástica a
la instancia para permitir la comunicación con Internet. Por ejemplo, esto permite que se conecte a la
Una dirección IP elástica es estática y no cambia con el tiempo. Procede del conjunto de
su cuenta de AWS. Si desasigna una dirección IP elástica, se le cobrará hasta que la elimine por
completo. Es posible que se apliquen costos adicionales cuando utilice direcciones IP elásticas, por lo
Las direcciones IP elásticas se asignan a su cuenta y siguen siendo las mismas. Utilice una
(Asociar direcciones IP elásticas con recursos en su VPC) en la Guía del usuario de Amazon VPC
en https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html.
Una interfaz de red elástica es una interfaz de red virtual que se puede conectar o desconectar
de una instancia en una VPC. Los atributos de una interfaz de red la siguen cuando se vuelve a
conectar a otra instancia. Al mover una interfaz de red de una instancia a otra, el tráfico de red se
Cada instancia de una VPC tiene una interfaz de red predeterminada (la interfaz de red
principal) a la que se puede asignar una dirección IPv4 privada del rango de su VPC. No se puede
separar una interfaz de red principal de una instancia. Puede crear y adjuntar una interfaz de red
adicional a cualquier instancia de su VPC. El número de interfaces de red que se pueden conectar
En determinadas circunstancias, puede tener dos interfaces de red en una instancia de EC2, lo
que es ideal para análisis forenses. Asocie la interfaz de red a una instancia forense y comience a
rastrear el ataque.
El diagrama de una VPC con tablas de enrutamiento públicas y privadas. La subred pública
contiene una instancia de EC2 y una puerta de enlace NAT. La puerta de enlace NAT dirige el tráfico
a una tabla de enrutamiento pública y, a continuación, a una puerta de enlace de internet. La subred
privada contiene una instancia de EC2 cuyo tráfico se dirige a una tabla de enrutamiento privada.
Una tabla de enrutamiento contiene una serie de reglas (llamadas rutas) que determinan hacia
dónde se dirige el tráfico de red de su subred. Cada ruta especifica un destino y un objetivo. El
destino es el bloque de CIDR de destino, a donde desea que vaya el tráfico de su subred. El objetivo
es el objetivo a través del cual se envía el tráfico de destino. Una tabla de enrutamiento es una simple
tabla de búsqueda que mantiene un registro de las rutas, como un mapa, y las utiliza para determinar
De forma predeterminada, cada tabla de enrutamiento que crea contiene una ruta local para la
comunicación dentro de la VPC. No puede eliminar la entrada de ruta local, que se utiliza para las
comunicaciones internas. Pero puede personalizar una tabla de enrutamiento agregando rutas.
Cada subred debe tener su propia tabla de enrutamiento o utilizar la tabla de enrutamiento
principal de la VPC matriz (que controla el enrutamiento para todas las subredes que no están
a su VPC. La tabla de enrutamiento principal controla el enrutamiento de todas las subredes que no
estén asociadas de forma explícita a ninguna otra tabla de enrutamiento. Una subred puede asociarse
solamente a una tabla de enrutamiento por vez, pero pueden asociarse varias subredes a la misma
tabla de enrutamiento.
https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html.
· Las subredes públicas se utilizan cuando el tráfico externo necesita llegar a una interfaz,
· Las subredes privadas suelen utilizarse para alojar instancias de base de datos a las que no
es necesario acceder a través de la Internet pública.
En esta lección se proporciona información sobre el uso de grupos de seguridad como parte
de la seguridad de su infraestructura y el uso de listas de control de acceso a la red (ACL) como parte
de la protección de su infraestructura.
El diagrama de una VPC con una subred pública y otra privada. La subred pública contiene
una instancia de EC2 que está protegida por el grupo de seguridad 1. La subred privada contiene una
instancia de base de datos de Amazon Relational Database Service (Amazon RDS) protegida por el
grupo de seguridad 2. Se permite la comunicación entre los dos grupos de seguridad, e Internet puede
Un grupo de seguridad actúa como un firewall virtual para una instancia de EC2 y controla el
tráfico entrante y saliente de la instancia. Los grupos de seguridad funcionan al nivel de la instancia,
no al nivel de la subred. Por lo tanto, cada instancia en la subred de VPC puede ser asignada a
En el nivel más básico, un grupo de seguridad es una forma de filtrado del tráfico hacia las
instancias.
Cuando se crea un grupo de seguridad, este no tiene ninguna regla de entrada. Por lo tanto, el
tráfico entrante que se origina desde otro host a su instancia no está permitido hasta que agregue
De forma predeterminada, un grupo de seguridad incluye una regla de salida que permite
todo el tráfico saliente. Puede quitar la regla y agregar reglas de salida que solo permitan tráfico
saliente específico. Si un grupo de seguridad no tiene ninguna regla de salida, el tráfico saliente que
Los grupos de seguridad son grupos con estado, lo que significa que la información de estado
se mantiene incluso después de procesar una solicitud. Entonces, si envía una solicitud desde su
instancia, se permite el tráfico de respuesta para esa solicitud para que fluya independientemente de
las reglas de grupo de seguridad de entrada. Las respuestas para permitir el tráfico entrante se
En las tablas de la diapositiva, se indica que el tráfico entrante está permitido desde cualquier
interfaz de red asignada al mismo grupo de seguridad. Se permite todo el tráfico de salida.
Para más información, consulte Control Traffic to Resources Using Security Groups
(Control del tráfico a los recursos mediante grupos de seguridad) en la Guía del usuario sobre
El diagrama que muestra cómo funcionan las ACL de red. Una VPC contiene una subred
pública y una subred privada. Cada subred contiene una instancia de EC2. Una ACL de red en cada
Una lista de control de acceso a la red (ACL) es una capa opcional de seguridad para su VPC.
Una ACL de red actúa como un firewall para controlar el tráfico que entra y sale de una o varias
subredes. Para agregar otra capa de seguridad a su VPC, puede configurar ACL de red con reglas
Cada subred en su VPC se debe asociar a una ACL de red. Si no asocia una subred de forma
explícita a una ACL de red, la subred se asociará de forma automática a la ACL de red
predeterminada. Puede asociar una ACL de red a varias subredes; sin embargo, una subred se puede
asociar sólo a una ACL de red por vez. Cuando se asocia una ACL de red a una subred, se elimina la
asociación anterior.
Una ACL de red tiene reglas de entrada y salida independientes y cada regla puede permitir o
rechazar tráfico. Las ACL de red no tienen estado, lo que significa que las respuestas para el tráfico
predeterminada, permite todo el tráfico IPv4 entrante y saliente y, si corresponde, el tráfico IPv6. En
la tabla, se muestra una ACL de red predeterminada para una VPC que solo admite IPv4.
Puede crear una ACL de red personalizada y asociarla con una subred. De forma
predeterminada, cada ACL de red personalizada deniega todo el tráfico de entrada y de salida hasta
Las reglas se evalúan por orden numérico antes de tomar la decisión de permitir el tráfico.
Cada ACL de red también incluye una regla cuyo número de regla es un asterisco. La regla
garantiza que, si un paquete no concuerda con ninguna de las demás reglas de la lista, este se
Para más información, consulte Control Traffic to Subnets Using Network ACLs (Control del
tráfico a subredes mediante ACL de red) en la Guía del usuario sobre Amazon VPC en
https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html.
A continuación, se resumen las diferencias entre los grupos de seguridad y las ACL de red:
· Los grupos de seguridad actúan a nivel de instancia o interfaz, pero las ACL de red actúan
a nivel de subred.
· Los grupos de seguridad solo admiten reglas de permiso, pero las ACL de red admiten
· Los grupos de seguridad tienen estado, pero las ACL de red no.
· Para los grupos de seguridad, se evalúan todas las reglas antes de tomar la decisión de
permitir el tráfico. En las ACL de red, las reglas se evalúan por orden numérico antes de tomar la
La instancia de EC2 está rodeada de capas de seguridad. La capa más cercana a la instancia es
un grupo de seguridad. La siguiente capa son las ACL de red. La capa exterior, y más alejada, es el
enrutamiento de subredes.
· Los grupos de seguridad funcionan como firewalls virtuales de sus instancias de EC2 para
· Las ACL de red proporcionan una capa opcional de seguridad para su VPC. Actúan como
firewalls para controlar el tráfico que entra y sale de una o varias subredes.
· Las subredes hacen que las redes sean más eficientes. Mediante la subred, el tráfico de red
puede recorrer una distancia más corta sin pasar por enrutadores innecesarios para llegar a su destino.
sale de las interfaces de red de su VPC. Puede publicar datos de registro de flujo en Registros de
Amazon CloudWatch o Amazon Simple Storage Service (Amazon S3). Una vez creado un registro
Puede crear un registro de flujo para una VPC, una subred o una interfaz de red. Si crea un
registro de flujo para una subred o VPC, se supervisan todas las interfaces de red de dicha VPC o
subred. Los datos de registro de flujo para una interfaz de red supervisada se registran como registros
de flujo, que son eventos de registro que constan de campos que describen el flujo de tráfico.
Para más información, consulte Logging IP Traffic Using VPC Flow Logs (Registro de
tráfico IP mediante registros de flujo de VPC) en la Guía del usuario de Amazon VPC en
https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html.
· Una ACL de red es una capa opcional de seguridad para su VPC y actúa como un firewall
· Las ACL de red no tienen estado, lo que significa que las respuestas para el tráfico
· Las reglas se evalúan por orden numérico antes de tomar la decisión de permitir el tráfico.
recursos de cómputo
las aplicaciones entre varios objetivos, como instancias de EC2, contenedores y direcciones IP. Puede
configurar el equilibrador de carga para que acepte el tráfico entrante especificando uno o más
agentes de escucha. Un agente de escucha es un proceso que verifica las solicitudes de conexión.
ELB escala el balanceador de carga a medida que el tráfico dirigido a la aplicación cambia
con el tiempo. Además, es capaz de escalar de forma automática a la mayoría de las cargas de
trabajo. Esto aumenta la disponibilidad y la tolerancia a errores de las aplicaciones. Puede agregar y
eliminar instancias del balanceador de carga en función de sus necesidades sin interrumpir el flujo
general de solicitudes a la aplicación. ELB puede controlar la carga variable del tráfico de su
objetivos registrados. Una vez realizadas las comprobaciones de estado, el dispositivo de equilibrio
de carga puede enviar solicitudes solo a los objetivos en buen estado. Cuando el equilibrador de carga
carga reanuda el enrutamiento de tráfico a ese objetivo después de detectar que el objetivo está en
ELB está integrado con otros servicios populares de AWS, como Amazon EC2 Auto Scaling,
Amazon Elastic Container Service (Amazon ECS), AWS CloudFormation y AWS Certificate
Manager (ACM).
ELB admite tres tipos de balanceadores de carga: Application, Network y Classic Load
Balancers.
Un Application Load Balancer opera a nivel de solicitud y enruta el tráfico a los objetivos
del tráfico HTTP y HTTPS. Este tipo de equilibrador de carga proporciona enrutamiento avanzado de
garantizando que se utilicen en todo momento los cifrados y protocolos SSL y TLS más recientes.
Un Network Load Balancer opera a nivel de conexión y enruta las conexiones a los objetivos
(instancias de EC2, microservicios y contenedores) dentro de una VPC, basándose en los datos del
protocolo IP. Un Network Load Balancer es ideal para el balanceo de carga del tráfico TCP y UDP.
Este tipo de equilibrador de carga es capaz de administrar millones de peticiones por segundo
manteniendo latencias ultrabajas. Un Network Load Balancer está optimizado para administrar
patrones de tráfico volátiles y repentinos con una sola dirección IP estática por cada zona de
disponibilidad.
El Classic Load Balancer proporciona balanceo de carga básico en varias instancias de EC2 y
funciona tanto al nivel de solicitud como al nivel de conexión. Un Classic Load Balancer se destina a
https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html.
Punto de contacto único: Un equilibrador de carga sirve como único punto de contacto para
los clientes. El Load Balancer distribuye el tráfico entrante de las aplicaciones entre varios objetivos,
tales como instancias de EC2, en varias zonas de disponibilidad. Esto aumenta la disponibilidad de la
aplicación.
SSL a nivel del equilibrador de carga para que no necesite manejar certificados en su propia
aplicación.
Cifrado en reposo: Si habilita el cifrado del lado del servidor con claves de cifrado
administradas de Amazon S3 (SSE-S3) para su bucket de S3 para registros de acceso de ELB, ELB
cifra automáticamente cada archivo de registro de acceso antes de almacenarlo en su bucket de S3.
ELB también descifra los archivos de registro de acceso cuando se accede a ellos. Cada archivo de
registro se cifra con una clave única, que a su vez se cifra con una clave que se rota periódicamente.
mediante la terminación del tráfico HTTPS y TLS de los clientes en el equilibrador de carga. El
equilibrador de carga realiza el trabajo de cifrado y descifrado del tráfico, en lugar de requerir que
Para más información, consulte Protección de datos en Elastic Load Balancing en la ELB
en https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/data-protection.html.
En este diagrama, se muestra cómo funcionan los equilibradores de carga. Esta VPC tiene
subredes en dos zonas de disponibilidad. Cada zona de disponibilidad tiene una subred pública y
equilibrador de carga en cada subred pública dirige el tráfico a los servidores web de una subred
privada en cualquiera de las dos zonas de disponibilidad. El tráfico de los servidores web va a un
equilibrador de carga, que dirige el tráfico a los servidores de aplicaciones en otra subred privada en
cualquiera de las dos zonas de disponibilidad. El tráfico de los servidores de aplicaciones se dirige al
servidor de base de datos primaria en otra subred privada de la primera zona de disponibilidad. La
base de datos primaria puede comunicarse con un servidor de base de datos en espera en una subred
El diagrama de esta diapositiva muestra cómo funcionan juntos el equilibrio de carga y los
componentes de la VPC.
Una VPC tiene dos subredes. La subred A, que es una subred pública, contiene dos instancias
seguridad y, a continuación, a una red ACL de red. A continuación, el tráfico se encamina a través de
La subred B, que es una subred privada, contiene dos instancias de EC2. El tráfico de cada
una red ACL de red. A continuación, el tráfico se encamina a través de una tabla de enrutamiento a
Una de las prácticas recomendadas para proteger su red es aplicar controles tanto al tráfico
entrante como al saliente. Para una VPC, esto incluye el uso de grupos de seguridad, ACL de red y
subredes. Utilice subredes en varias zonas de disponibilidad para separar las capas de su aplicación.
Configure grupos de seguridad y ACL de red para permitir únicamente el tráfico entrante y saliente
necesario.
Otra práctica recomendada consiste en inspeccionar y filtrar el tráfico de red a nivel de
aplicación.
Por último, límite la exposición de la carga de trabajo a internet y a las redes internas. Para
para sus aplicaciones y validar el cumplimiento de estos estándares. Esto simplifica el proceso de
ayuda a administrar los problemas de seguridad de forma proactiva antes de que afecten a la
aplicación de producción.
Amazon Inspector realiza una evaluación y genera una lista detallada de los resultados
vinculados con la seguridad, ordenados por nivel de gravedad. Puede revisar estos hallazgos
directamente o como parte de informes de evaluación detallados, que están disponibles a través de la
seguridad. El servicio detecta estos problemas antes de que su aplicación se implemente y mientras se
ejecuta en producción. Esto mejora la seguridad general de sus aplicaciones alojadas en AWS.
conocimientos de reglas trazadas según las prácticas recomendadas de seguridad comunes y las
reglas de seguridad.
API que analiza las configuraciones de red en su cuenta de AWS. Además, el servicio utiliza un
agente opcional para la visibilidad de las instancias de EC2. El agente puede ayudarle a integrar las
evaluaciones de Amazon Inspector en su proceso DevOps existente. Esto le ayuda a capacitar tanto a
los equipos de desarrollo como a los de operaciones para hacer de las evaluaciones de seguridad una
(agente SSM) para recopilar el inventario de software y las configuraciones de sus instancias de EC2.
Manager proporciona una interfaz de usuario unificada para que pueda ver los datos operativos de
varios servicios de AWS. El servicio incluye funciones que le ayudan a automatizar las tareas de
administración. Puede recopilar el inventario del sistema, aplicar parches del sistema operativo,
mantener actualizadas las definiciones antivirus y configurar sistemas operativos y aplicaciones a
escala. Systems Manager ayuda a mantener la conformidad de los sistemas con las políticas de
los parches que correspondan. Puede automatizar esta tarea utilizando servicios de AWS como
En este laboratorio, se analizará la configuración de recursos para una VPC y sus subredes.
último, se conectará a una instancia en una subred privada con dos métodos diferentes.
Después de completar el laboratorio, su mentor puede optar por dirigir una conversación
· Describir los servicios de AWS disponibles para proteger su red y sus recursos.
Evaluación de conocimientos
1. ¿Cuáles son los componentes básicos de una nube virtual privada (VPC) en AWS?
2. ¿Cuál de los siguientes es un servicio de AWS diseñado para proteger la red y los
recursos?
a. Amazon S3
b. AWS Lambda
d. Amazon RDS
3. ¿Qué servicio de AWS se utiliza para proteger las instancias de EC2 mediante el
control de acceso?
b. AWS Shield
c. AWS Route 53
d. AWS Inspector
Respuesta correcta: c) Controlar el acceso a las instancias EC2 mediante reglas de firewall
a. AWS IAM
b. AWS VPC
c. AWS WAF
d. AWS CloudFront
7 ¿Cuáles son los componentes típicos de una aplicación web de tres niveles?
a. Capa de presentación
e. Balanceadores de carga
f. Subredes
almacenamiento de datos
a. Subredes
b. Instancias de EC2
c. Puertas de enlace NAT
d. Grupos de seguridad
e. Tablas de enrutamiento
Tablas de enrutamiento