Arquitectura en la Nube

Nivel-Integrador

Módulo 2: Unidad 1

Este apartado del BootCamp de formación está dedicado a la protección de la infraestructura

en entornos informáticos. Esta fase del curso enseña los fundamentos esenciales que constituyen la

base de la seguridad y la protección de los recursos en la nube. Da cuenta de conocimientos clave que

permiten aplicar estrategias efectivas para salvaguardar tanto la infraestructura como los datos

críticos que se gestionan.

¡Bienvenidas y bienvenidos a aprender acerca de la arquitectura en la nube!

Contextualización de los Aprendizajes

Aquí se explican diversos aspectos relacionados con la protección de la infraestructura en

entornos informáticos. Se abordan conceptos fundamentales de seguridad de la información tales

como la identificación de amenazas, la evaluación de riesgos y la implementación de medidas de

seguridad adecuadas.

Además, se abordan, específicamente, los desafíos y las soluciones relacionadas con la

seguridad en la nube; a medida que las organizaciones migran sus servicios y datos a entornos de

nube pública, privada o híbrida, surgen nuevas consideraciones de seguridad que deben ser

comprendidas y atendidas de manera efectiva. En estas lecciones se exploran las mejores prácticas,

herramientas y técnicas para fortalecer la seguridad en los entornos informáticos, garantizando así la
integridad, confidencialidad y disponibilidad de los recursos.

Al finalizar este módulo, los participantes estarán mejor preparados para enfrentar los

desafíos de seguridad en la infraestructura informática, adquiriendo un enfoque proactivo y centrado

en la prevención; podrán implementar y mantener un entorno seguro que proteja los activos digitales

de una organización y garantice su continuidad operativa en un mundo cada vez más interconectado y

amenazante.

Unidad 1:

1. Objetivos

· Definir los
componentes de una nube
virtual privada (VPC).

· Reconocer los
límites de la cuenta.

· Describir los
servicios de Amazon Web
Services (AWS)
disponibles para proteger su
red y sus recursos.

Competencias a desarrollar
· Comprensión
conceptual: explica de
manera clara y concisa qué
es una nube virtual privada
(VPC) y cómo funciona.

· Identificación de
componentes: reconoce y
describe los elementos
fundamentales que
constituyen una VPC, como
subredes, tablas de
enrutamiento, grupos de
seguridad y gateways.

· Diseño de VPC:
diseña y configura una VPC
según los requisitos
específicos de una
organización, teniendo en
cuenta aspectos como la
conectividad, la seguridad y
la escalabilidad.

· Conocimiento de
los límites: se familiariza
con los límites establecidos
por los proveedores de
servicios en la nube, como
AWS, en términos de
recursos y servicios
disponibles para cada
cuenta.

· Monitoreo y
gestión: identifica y
monitorea los límites de la cuenta para evitar posibles interrupciones en el servicio
debido a la superación de estos límites.

· Planificación y optimización: desarrolla habilidades para planificar y

optimizar el uso de los recursos dentro de los límites de la cuenta, maximizando la
eficiencia y minimizando los costos.

· Conocimiento de los límites: entiende los límites establecidos por los

proveedores de servicios en la nube, como AWS, en términos de recursos y
servicios disponibles para cada cuenta.

· Monitoreo y gestión: identifica y monitorea los límites de la cuenta para

evitar posibles interrupciones en el servicio debido a la superación de estos límites.

· Planificación y optimización: desarrolla habilidades para planificar y

optimizar el uso de los recursos dentro de los límites de la cuenta, maximizando la
eficiencia y minimizando los costos.

Planteamiento de la lección

Tiempo de ejecución: 20 horas Materiales

Lección 1: Introducción a la protección de la

infraestructura
¿Qué es Amazon VCP?

Objetivo: Comprender la importancia de la

https://docs.aws.amazon.com/vpc/
protección de la infraestructura en entornos
latest/userguide/what-is-amazon-
informáticos y familiarizarse con los conceptos
vpc.html.
básicos de seguridad de la información

Conexión a internet mediante una

Lección 2: Estructura de una aplicación web de puerta de enlace de internet
tres niveles y Uso de una VPC

Conexión a Internet mediante una

Objetivo: Comprender la estructura básica de una puerta de enlace de Internet - Amazon
aplicación web de tres niveles y cómo se divide Virtual Private Cloud
en capas de presentación, lógica de negocios y
datos.
Puertas de enlace NAT
Actividades:
Gateways NAT - Amazon Virtual
Lectura y discusión de materiales que describen
Private Cloud
los conceptos de capas en una aplicación web.

Análisis de ejemplos de arquitecturas de

aplicaciones web de tres niveles. Instancias de NAT

Ejercicio práctico: Diseño de la arquitectura de Instancias NAT - Amazon Virtual

una aplicación web de tres niveles, identificando Private Cloud
los componentes de cada capa.

Comparar las puertas enlace NAT con

Objetivo: Acercar al participante al concepto de instancias NAT
Virtual Private Cloud (VPC) y comprender cómo
https://docs.aws.amazon.com/vpc/
se utiliza para aislar recursos en la nube.
latest/userguide/vpc-nat-
Actividades: comparison.html

Presentación de conceptos básicos de VPC,

incluyendo subredes, tablas de rutas y gateways.
Dimensionamiento de VPC
Demostración de la creación y configuración de
una VPC en AWS.

Nubes virtuales privadas (VPC) -

Ejercicio práctico: Creación de una VPC
Amazon Virtual Private Cloud
personalizada, configurando subredes públicas y
privadas.
 Direccionamiento IP

Lección 3: Configuración de subredes públicas y Direccionamiento IP para VPC y

privadas y protocolos de Internet subredes - Amazon Virtual Private
Cloud

Objetivo: Aprender a configurar subredes

públicas y privadas dentro de una VPC y Direcciones Elásticas
comprender cómo funcionan los protocolos de
Asociar direcciones IP elásticas con
Internet en este contexto.
recursos en la VPC - Amazon Virtual
Actividades: Private Cloud

Explicación de la diferencia entre subredes

públicas y privadas y su importancia en la
Configurar tablas de enrutamiento
seguridad de la red.

Configurar tablas de enrutamiento -

Ejercicio práctico: Configuración de subredes
Amazon Virtual Private Cloud
públicas y privadas en una VPC, asignación de
direcciones IP y configuración de tablas de rutas.

Discusión sobre los protocolos de Internet Controlas el trafico hacia los recursos
utilizados en subredes públicas y privadas, como de AWS mediante grupos de
HTTP, HTTPS y SSH. seguridad

Lección 4: Uso de grupos de seguridad de AWS y Controlar el tráfico hacia los recursos
Uso de ACL de red de AWS de AWS mediante grupos de
seguridad - Amazon Virtual Private
Cloud
Objetivo: Comprender cómo se utilizan los
grupos de seguridad de AWS para controlar el
tráfico de red hacia y desde instancias de EC2 Registro del trafico de IP con registro
dentro de una VPC. de flujo de la VPC

Actividades: https://docs.aws.amazon.com/vpc/
latest/userguide/flow-logs.html.
Introducción a los grupos de seguridad de AWS y
su función en la seguridad de la red.
Ejercicio práctico: Creación y configuración de ¿Qué es Elastic Load Balancing?
grupos de seguridad en AWS, estableciendo
¿Qué es Elastic Load Balancing? -
reglas de entrada y salida.
Elastic Load Balancing (amazon.com)
Estudio de casos: Análisis de escenarios de
seguridad y cómo los grupos de seguridad pueden
ayudar a mitigar riesgos. Protección de datos en Elastic Load
Balancing
Objetivo: Aprender a utilizar las Listas de Control
de Acceso (ACL) de red de AWS para controlar
el tráfico de red a nivel de subred dentro de una
Protección de datos en Elastic Load
VPC.
Balancing - Elastic Load Balancing
Actividades: (amazon.com)

Explicación de los conceptos básicos de las ACL

de red y cómo difieren de los grupos de
Amazon Inspector
seguridad.

https://aws.amazon.com/inspector.
Ejercicio práctico: Configuración de ACL de red
en una VPC de AWS para permitir o denegar
tráfico específico.

Comparación entre grupos de seguridad y ACL de

red: Discusión sobre cuándo usar cada uno y
cómo complementarse mutuamente.

Lección 5: Uso de equilibradores de carga de

AWS, Resumen global y Protección de los
recursos de cómputo

Objetivo: Comprender cómo funcionan los

equilibradores de carga de AWS y cómo se
utilizan para distribuir el tráfico entre múltiples
instancias de EC2.

Actividades:
Introducción a los equilibradores de carga de
AWS y sus diferentes tipos (clásico, de red, de
aplicación).

Ejercicio práctico: Creación y configuración de

un equilibrador de carga en AWS, distribuyendo
el tráfico entre instancias de EC2.

Objetivo: Repasar los conceptos clave aprendidos

en el módulo y discutir estrategias para proteger
los recursos de cómputo en una infraestructura en
la nube.

Actividades:

Revisión de los conceptos clave del módulo,

incluyendo VPC, grupos de seguridad, ACL de
red y equilibradores de carga.

Debate sobre mejores prácticas para proteger

instancias de EC2 y otros recursos de cómputo en
la nube.

Ejercicio práctico: Implementación de medidas de

seguridad adicionales en instancias de EC2, como
la configuración de software de seguridad y la
gestión de actualizaciones.

Laboratorio: Protección de los recursos de la VPC

mediante grupos de seguridad

Objetivo: Aplicar los conocimientos adquiridos

en el módulo mediante la configuración práctica
de grupos de seguridad para proteger los recursos
dentro de una VPC.
 Actividades:

Laboratorio práctico guiado: Configuración de

grupos de seguridad en una VPC de AWS según
un escenario específico.

Evaluación del cumplimiento de los requisitos de

seguridad y solución de problemas.

Discusión sobre las lecciones aprendidas y

posibles mejoras en la configuración de
seguridad.

Evaluación de conocimientos

Lección 1: Introducción a la protección de la infraestructura

Examinemos de qué manera los principios y conceptos discutidos en esta unidad tienen

relevancia y aplicación en el contexto operativo de una institución bancaria (caso ficticio).

Después de la reciente reunión entre María y John, María comprendió que las inquietudes de

seguridad de John abarcan aspectos más amplios que simplemente el control de acceso y la gestión

de usuarios. Para respaldar la transición a AWS, María deberá tener en cuenta las preocupaciones de

John, y explicar cómo se puede garantizar la seguridad de la infraestructura bancaria, AWS.

John consultó a María sobre cómo aseguraría la protección de la infraestructura que AnyBank

planea migrar a AWS. Ante esto, María ha decidido enfocarse en la implementación de una nube

virtual privada (VPC) y en la aplicación de múltiples niveles de seguridad para respaldar la

infraestructura de red en la próxima reunión.

El modelo de responsabilidad compartida, establece claramente, en términos de seguridad en

la nube, las responsabilidades tanto del cliente como de AWS; el cliente tiene la responsabilidad de

garantizar la seguridad de sus propios datos, lo que incluye: la gestión de accesos, identidades,

plataformas y aplicaciones, también es responsable de configurar los firewalls, redes y sistemas

operativos, así como de cifrar los datos del lado del cliente y asegurar su integridad y autenticación.

Por otro lado, AWS asume la responsabilidad de la seguridad de la infraestructura de la nube, lo que

incluye servicios básicos como cómputo, almacenamiento, bases de datos y redes, además, AWS

gestiona la infraestructura global, que abarca regiones, zonas de disponibilidad y ubicaciones

perimetrales, asegurando así un entorno seguro para los servicios ofrecidos.

Esta unidad se centra en la parte de configuración de Firewall, red y sistema operativo y en la

parte de protección del tráfico de red del modelo de responsabilidad compartida, que el cliente es

responsable de asegurar.

Lección 2: Estructura de una aplicación web de tres niveles y uso de una VPC

En esta, se describe la estructura de una aplicación web de tres niveles y el uso de una VPC.

En este caso, se utiliza una Virtual Private Cloud (VPC) que tiene subredes en dos zonas de

disponibilidad. La capa de presentación consta de dos subredes públicas, una en cada zona, donde

una subred aloja un grupo de seguridad con una instancia de host, y la otra subred tiene una puerta de

enlace NAT. Un Balanceador de Carga de Aplicaciones (ALB) en esta capa gestiona el tráfico entre

Internet y un grupo de Auto Scaling para el frontend en la capa de lógica empresarial. Este grupo de

Auto Scaling se encarga del escalado de las instancias de frontend en ambas zonas de disponibilidad.

Un Balanceador de Carga de Red (NLB) en la capa de lógica empresarial dirige el tráfico entre el

grupo de AutoScaling del frontend y otro grupo de Auto Scaling para el backend. El grupo de

AutoScaling del backend maneja el escalado de las instancias de backend en ambas zonas de
disponibilidad. La capa de almacenamiento de datos aloja una base de datos primaria en una zona de

disponibilidad y una base de datos de sólo lectura en la segunda zona. Esta capa se comunica con el

grupo de AutoScaling del backend en la capa de lógica empresarial.

La arquitectura de tres niveles es un patrón común en el diseño de software en la que, como

su nombre lo indica, una aplicación se divide en tres niveles lógicos: la capa de presentación, la capa

de aplicación y la capa de almacenamiento de datos. Este enfoque se utiliza en aplicaciones cliente-

servidor, como aplicaciones web que tienen un frontend para la interfaz de usuario, un backend para

la lógica de la aplicación y una base de datos para almacenar datos. Cada nivel tiene una función

específica y puede ser gestionado de manera independiente. Este enfoque representa una mejora con

respecto a la arquitectura monolítica en la que todos los componentes de la aplicación están

integrados en una sola entidad.

Utilice el servicio Amazon Virtual Private Cloud (Amazon VPC) para aprovisionar una

sección lógicamente aislada de la nube de AWS en la que pueda iniciar sus recursos de AWS. Esta

sección aislada se denomina nube virtual privada o VPC.

Amazon VPC proporciona control sobre sus recursos de red virtuales, como la selección de su

propio rango de direcciones IP, la creación de subredes y la configuración de tablas de enrutamiento

y puertas de enlace de red. Puede usar IPv4 e IPv6 en su VPC para un acceso seguro a los recursos y
las aplicaciones.

También puede personalizar la configuración de red de su VPC. Por ejemplo, puede crear una

subred pública para sus servidores web que puedan acceder a la Internet pública. Puede colocar sus

sistemas de backend, como bases de datos o servidores de aplicaciones, en una subred privada sin

acceso público a Internet.

Por último, puede utilizar varias capas de seguridad en una VPC para ayudar a controlar el

acceso a las instancias de Amazon Elastic Compute Cloud (Amazon EC2) en las subredes de la VPC.

Los mecanismos de seguridad incluyen grupos de seguridad y listas de control de acceso a la red

(ACL).

Para más información, consulte ¿Qué es Amazon VPC? en la Guía del usuario sobre VPC de

Amazon en https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html.

El diagrama de subredes en una VPC. Una región dentro de la nube de AWS tiene una VPC,

que se extiende por dos zonas de disponibilidad. La VPC tiene una subred en cada zona de

disponibilidad.

Una VPC es una red virtual que está aislada de forma lógica de otras redes virtuales en la

nube de AWS. Una VPC está dedicada a su cuenta, pertenece a una única región de AWS y puede

abarcar varias zonas de disponibilidad.

Después de crear una VPC, puede dividirla en una o más subredes. Una subred es un rango de

direcciones IP que dividen una VPC. Las subredes pertenecen a una única zona de disponibilidad,

pero puede crear subredes en diferentes zonas de disponibilidad para obtener una alta disponibilidad.

Las subredes suelen clasificarse como públicas o privadas.

Lección 3: Configuración de subredes públicas y privadas y protocolos de Internet

 En esta, se describe cómo configurar subredes públicas y privadas y protocolos de Internet.

Una puerta de enlace de internet tiene dos propósitos:

· Proporciona un objetivo en las tablas de enrutamiento de la VPC para el tráfico

direccionable en Internet

· Realiza la traducción de direcciones de red (NAT) de las instancias a las que se les han

asignado direcciones IPv4 públicas

Una puerta de enlace de internet admite tráfico IPv4 e IPv6, y no provoca riesgos de

disponibilidad ni limitaciones de ancho de banda en el tráfico de su red. Tener una puerta de enlace

de internet en su cuenta no supone ningún gasto adicional.

Para habilitar el acceso desde o hacia Internet para las instancias de una subred en una VPC,

debe hacer lo siguiente:

1. Crear una puerta de enlace de internet y adjuntarla a su VPC.

2. Agregar una ruta a la tabla de enrutamiento de la subred que dirija el tráfico de Internet a

la puerta de enlace de internet.

3. Confirmar que cada instancia en su subred tiene una dirección IP única global (dirección

IPv4 pública, dirección IP elástica o dirección IPv6).

4. Confirmar que las reglas ACL y de grupo de seguridad de su red permiten que el tráfico

relevante fluya hacia y desde su última instancia.

Para más información, consulte Conexión a Internet mediante una puerta de enlace de

Internet en la Guía del usuario de Amazon VPC en

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html.
 Una puerta de enlace de traducción de direcciones de red (NAT) permite a las instancias de

una subred privada conectarse a Internet o a otros servicios de AWS. Una puerta de enlace NAT

también impide que Internet inicie una conexión con esas instancias.

Para crear una puerta de enlace NAT, debe especificar la subred pública en la que se debe

ubicar la puerta de enlace NAT. También debe especificar una dirección IP elástica para asociar a la

puerta de enlace NAT. Después de crear una puerta de enlace NAT, debe actualizar la tabla de

enrutamiento que está asociada a una o más de las subredes privadas para dirigir el tráfico de Internet

a la puerta de enlace NAT. De esa manera, las instancias de sus subredes privadas se pueden

comunicar con Internet.

También puede utilizar una instancia NAT en una subred pública de su VPC en lugar de una

puerta de enlace NAT. Sin embargo, una puerta de enlace NAT es un servicio NAT administrado que

ofrece mayor disponibilidad, mayor ancho de banda y menos esfuerzo administrativo. Para los casos

prácticos habituales, AWS recomienda utilizar una puerta de enlace NAT en lugar de una instancia

de NAT.

Para más información, consulte los siguientes temas en la Guía del usuario de Amazon VPC:

· Puertas de enlace NAT en https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-

gateway.html

· Instancias de NAT en

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_NAT_Instance.html

· Compare puertas de enlace NAT e instancias de NAT en

https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-comparison.html

El diagrama de una VPC con una subred pública y otra privada. Una instancia de EC2 en la
subred privada dirige el tráfico a una tabla de enrutamiento privada y, a continuación, a una puerta de

enlace NAT en la subred pública. A partir de ahí, el tráfico se encamina a una tabla de enrutamiento

pública y luego a una puerta de enlace de internet.

· Todas las subredes constan de un rango contiguo de direcciones IP. Estas direcciones no

deben solaparse con otras subredes de su VPC.

· Las interfaces adjuntas a instancias de EC2 en subredes privadas no son accesibles desde

fuera de la VPC principal. Sin embargo, mediante el uso de una puerta de enlace NAT administrada

por AWS, las instancias de EC2 pueden realizar solicitudes salientes, como por ejemplo para la

aplicación de parches, y la respuesta del recurso externo se permitirá de nuevo.

· Las subredes privadas suelen utilizarse para alojar instancias de base de datos (DB) a las

que no es necesario acceder a través de la Internet pública.

· Una puerta de enlace NAT debe tener asignada una dirección IP elástica.

El diagrama de una VPC con una subred pública. El tráfico de una instancia de EC2 en la

subred va a una tabla de enrutamiento pública y luego a una puerta de enlace de internet.

Cuando el tráfico externo necesita llegar a una interfaz, como una instancia de EC2, la

interfaz requiere lo siguiente:

 · Se debe asignar una dirección IP pública a una instancia de EC2.

· La tabla de enrutamiento de la subred debe incluir una entrada para la interfaz.

Con estos dos factores, la subred se considera pública.

A menudo, las empresas colocan servidores web dentro de una subred pública, sin embargo,

AWS recomienda utilizar un equilibrador de carga en la subred pública y hacer que el equilibrador de

carga retransmita el tráfico a los servidores web alojados en subredes privadas.

Las direcciones IP habilitan los recursos de su VPC para comunicarse entre sí y con los

recursos de Internet. Al crear una VPC, se le asigna un rango de Classless Inter-Domain Routing

(CIDR), que es un rango de direcciones privadas.

El bloque de CIDR puede ser tan grande como /16 (que son 2 16 o 65.536 direcciones) o tan

pequeño como /28 (que son 24 o 16 direcciones).

El bloque de CIDR de una subred puede ser el mismo que el bloque de la VPC en la que se

encuentra la subred. Esto significa que la VPC y la subred tienen el mismo tamaño; la VPC tiene una

única subred.

El bloque de CIDR de una subred puede ser un subconjunto del bloque de CIDR para la VPC.

Esta estructura admite la definición de múltiples subredes. Si crea más de una subred en una VPC,

los rangos de CIDR de las subredes no deben solaparse. No puede tener direcciones IP duplicadas en

la misma VPC.

Para más información, consulte Dimensionamiento de VPC en la Guía del usuario de

Amazon VPC en https://docs.aws.amazon.com/vpc/latest/userguide/configure-your-vpc.html#vpc-

sizing.
 Al crear una subred, esta necesita su propio bloque de CIDR. Para cada bloque de CIDR que

especifique, AWS reserva cinco direcciones IP dentro de ese bloque, y usted no puede utilizar estas

cinco direcciones. AWS reserva estas direcciones IP para los siguientes fines:

· Direcciones de red

· Enrutador local de la VPC (comunicaciones internas)

· Resolución del sistema de nombres de dominio (DNS)

· Uso futuro

· Dirección de difusión de red

Por ejemplo, supongamos que se crea una subred con un bloque de CIDR IPv4 de

10.0.0.0/24, que tiene 256 direcciones IP en total. La subred tiene 256 direcciones IP, pero solo 251

están disponibles porque cinco (5) están reservadas para AWS.

Cuando se crea una VPC, cada instancia de esa VPC obtiene automáticamente una dirección

IP privada. También se puede solicitar que se asigne una dirección IP pública cuando crea la

instancia al modificar las propiedades de asignación automática de dirección IP pública de la subred.

Una dirección IP pública se utiliza para acceder a Internet.

Las direcciones IP públicas son dinámicas. Si se detiene o se inicia su instancia, se le asignará

una nueva IP pública. Para proyectos de producción, se utiliza una dirección IP elástica en lugar de
una IP pública asignada, que se disocia si detiene la instancia.

Para más información, consulte Direcciones IPv4 públicas en la Guía del usuario de Amazon

VPC en https://docs.aws.amazon.com/vpc/latest/userguide/how-it-works.html#vpc-public-ipv4-

addresses.

Una dirección IP elástica es una dirección IP pública y estática diseñada para el cómputo en la

nube dinámico. Se puede asociar una dirección IP elástica con cualquier instancia o interfaz de red

para cualquier VPC en su cuenta.

Con una dirección IP elástica, puede enmascarar los errores de una instancia o del software

volviendo a mapear rápidamente la dirección a otra instancia de la cuenta. Si lo prefiere, puede

especificar la dirección IP elástica en un registro DNS para el dominio, de modo que el dominio

apunte a la instancia.

Si su instancia no tiene una dirección IPv4 pública, puede asociar una dirección IP elástica a

la instancia para permitir la comunicación con Internet. Por ejemplo, esto permite que se conecte a la

instancia desde su equipo local.

Una dirección IP elástica es estática y no cambia con el tiempo. Procede del conjunto de

direcciones IPv4 de Amazon o de un conjunto de direcciones IP personalizadas que haya aportado a

su cuenta de AWS. Si desasigna una dirección IP elástica, se le cobrará hasta que la elimine por

completo. Es posible que se apliquen costos adicionales cuando utilice direcciones IP elásticas, por lo

que es importante liberarlas cuando ya no las necesite.

Las direcciones IP elásticas se asignan a su cuenta y siguen siendo las mismas. Utilice una

dirección IP elástica cuando trabaje en un proyecto a largo plazo y la configuración de direcciones IP

puede llevarle mucho tiempo.

 Para más información, consulte Associate Elastic IP Addresses with Resources in Your VPC

(Asociar direcciones IP elásticas con recursos en su VPC) en la Guía del usuario de Amazon VPC

en https://docs.aws.amazon.com/vpc/latest/userguide/vpc-eips.html.

Una interfaz de red elástica es una interfaz de red virtual que se puede conectar o desconectar

de una instancia en una VPC. Los atributos de una interfaz de red la siguen cuando se vuelve a

conectar a otra instancia. Al mover una interfaz de red de una instancia a otra, el tráfico de red se

redirige a la nueva instancia.

Cada instancia de una VPC tiene una interfaz de red predeterminada (la interfaz de red

principal) a la que se puede asignar una dirección IPv4 privada del rango de su VPC. No se puede

separar una interfaz de red principal de una instancia. Puede crear y adjuntar una interfaz de red

adicional a cualquier instancia de su VPC. El número de interfaces de red que se pueden conectar

varía según el tipo de instancia.

En determinadas circunstancias, puede tener dos interfaces de red en una instancia de EC2, lo

que es ideal para análisis forenses. Asocie la interfaz de red a una instancia forense y comience a

rastrear el ataque.

El diagrama de una VPC con tablas de enrutamiento públicas y privadas. La subred pública

contiene una instancia de EC2 y una puerta de enlace NAT. La puerta de enlace NAT dirige el tráfico

a una tabla de enrutamiento pública y, a continuación, a una puerta de enlace de internet. La subred

privada contiene una instancia de EC2 cuyo tráfico se dirige a una tabla de enrutamiento privada.

Desde allí, el tráfico se dirige a la puerta de enlace NAT de la subred pública.

Una tabla de enrutamiento contiene una serie de reglas (llamadas rutas) que determinan hacia
dónde se dirige el tráfico de red de su subred. Cada ruta especifica un destino y un objetivo. El

destino es el bloque de CIDR de destino, a donde desea que vaya el tráfico de su subred. El objetivo

es el objetivo a través del cual se envía el tráfico de destino. Una tabla de enrutamiento es una simple

tabla de búsqueda que mantiene un registro de las rutas, como un mapa, y las utiliza para determinar

por dónde reenviar el tráfico.

De forma predeterminada, cada tabla de enrutamiento que crea contiene una ruta local para la

comunicación dentro de la VPC. No puede eliminar la entrada de ruta local, que se utiliza para las

comunicaciones internas. Pero puede personalizar una tabla de enrutamiento agregando rutas.

Cada subred debe tener su propia tabla de enrutamiento o utilizar la tabla de enrutamiento

principal de la VPC matriz (que controla el enrutamiento para todas las subredes que no están

explícitamente asociadas a ninguna otra tabla de enrutamiento).

La tabla de enrutamiento principal es la tabla de enrutamiento que se asigna automáticamente

a su VPC. La tabla de enrutamiento principal controla el enrutamiento de todas las subredes que no

estén asociadas de forma explícita a ninguna otra tabla de enrutamiento. Una subred puede asociarse

solamente a una tabla de enrutamiento por vez, pero pueden asociarse varias subredes a la misma

tabla de enrutamiento.

Consulte Configurar tablas de enrutamiento en la Guía del usuario de Amazon VPC en

https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html.

Estas son algunas conclusiones clave de esta lección 3 del módulo 2:

· Las subredes públicas se utilizan cuando el tráfico externo necesita llegar a una interfaz,

como una instancia de EC2.

· Las subredes privadas suelen utilizarse para alojar instancias de base de datos a las que no
es necesario acceder a través de la Internet pública.

· Las tablas de enrutamiento determinan dónde debe dirigirse el tráfico en su VPC.

Lección 4: Uso de grupos de seguridad de AWS y Uso de ACL de red de AWS

En esta lección se proporciona información sobre el uso de grupos de seguridad como parte

de la seguridad de su infraestructura y el uso de listas de control de acceso a la red (ACL) como parte

de la protección de su infraestructura.

El diagrama de una VPC con una subred pública y otra privada. La subred pública contiene

una instancia de EC2 que está protegida por el grupo de seguridad 1. La subred privada contiene una

instancia de base de datos de Amazon Relational Database Service (Amazon RDS) protegida por el

grupo de seguridad 2. Se permite la comunicación entre los dos grupos de seguridad, e Internet puede

comunicarse con el grupo de seguridad 1.

Un grupo de seguridad actúa como un firewall virtual para una instancia de EC2 y controla el

tráfico entrante y saliente de la instancia. Los grupos de seguridad funcionan al nivel de la instancia,

no al nivel de la subred. Por lo tanto, cada instancia en la subred de VPC puede ser asignada a

distintos conjuntos de grupos de seguridad.

En el nivel más básico, un grupo de seguridad es una forma de filtrado del tráfico hacia las

instancias.

Cuando se crea un grupo de seguridad, este no tiene ninguna regla de entrada. Por lo tanto, el

tráfico entrante que se origina desde otro host a su instancia no está permitido hasta que agregue

reglas de entrada al grupo de seguridad.

De forma predeterminada, un grupo de seguridad incluye una regla de salida que permite
todo el tráfico saliente. Puede quitar la regla y agregar reglas de salida que solo permitan tráfico

saliente específico. Si un grupo de seguridad no tiene ninguna regla de salida, el tráfico saliente que

se origina en su instancia no está permitido.

Los grupos de seguridad son grupos con estado, lo que significa que la información de estado

se mantiene incluso después de procesar una solicitud. Entonces, si envía una solicitud desde su

instancia, se permite el tráfico de respuesta para esa solicitud para que fluya independientemente de

las reglas de grupo de seguridad de entrada. Las respuestas para permitir el tráfico entrante se

encuentran permitidas a fin de circular, independientemente de las reglas de salida.

Todas las reglas se evalúan antes de decidir si se permite el tráfico.

En las tablas de la diapositiva, se indica que el tráfico entrante está permitido desde cualquier

interfaz de red asignada al mismo grupo de seguridad. Se permite todo el tráfico de salida.

Para más información, consulte Control Traffic to Resources Using Security Groups

(Control del tráfico a los recursos mediante grupos de seguridad) en la Guía del usuario sobre

Amazon VPC en https://docs.aws.amazon.com/vpc/latest/userguide/VPC_SecurityGroups.html.

El diagrama que muestra cómo funcionan las ACL de red. Una VPC contiene una subred

pública y una subred privada. Cada subred contiene una instancia de EC2. Una ACL de red en cada

subred controla el tráfico hacia las instancias y desde estas.

Una lista de control de acceso a la red (ACL) es una capa opcional de seguridad para su VPC.
Una ACL de red actúa como un firewall para controlar el tráfico que entra y sale de una o varias

subredes. Para agregar otra capa de seguridad a su VPC, puede configurar ACL de red con reglas

similares a las de su grupo de seguridad.

Cada subred en su VPC se debe asociar a una ACL de red. Si no asocia una subred de forma

explícita a una ACL de red, la subred se asociará de forma automática a la ACL de red

predeterminada. Puede asociar una ACL de red a varias subredes; sin embargo, una subred se puede

asociar sólo a una ACL de red por vez. Cuando se asocia una ACL de red a una subred, se elimina la

asociación anterior.

Una ACL de red tiene reglas de entrada y salida independientes y cada regla puede permitir o

rechazar tráfico. Las ACL de red no tienen estado, lo que significa que las respuestas para el tráfico

entrante están sujetas a las reglas para el tráfico saliente, y viceversa.

Su VPC incluye automáticamente una ACL de red predeterminada y modificable. De forma

predeterminada, permite todo el tráfico IPv4 entrante y saliente y, si corresponde, el tráfico IPv6. En

la tabla, se muestra una ACL de red predeterminada para una VPC que solo admite IPv4.

Puede crear una ACL de red personalizada y asociarla con una subred. De forma

predeterminada, cada ACL de red personalizada deniega todo el tráfico de entrada y de salida hasta

que se agregan las reglas.

Las reglas se evalúan por orden numérico antes de tomar la decisión de permitir el tráfico.

Cada ACL de red también incluye una regla cuyo número de regla es un asterisco. La regla

garantiza que, si un paquete no concuerda con ninguna de las demás reglas de la lista, este se

deniegue. Esta regla no se puede modificar ni eliminar.

Para más información, consulte Control Traffic to Subnets Using Network ACLs (Control del

tráfico a subredes mediante ACL de red) en la Guía del usuario sobre Amazon VPC en
https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html.

A continuación, se resumen las diferencias entre los grupos de seguridad y las ACL de red:

· Los grupos de seguridad actúan a nivel de instancia o interfaz, pero las ACL de red actúan

a nivel de subred.

· Los grupos de seguridad solo admiten reglas de permiso, pero las ACL de red admiten

tanto reglas de permiso como de denegación.

· Los grupos de seguridad tienen estado, pero las ACL de red no.

· Para los grupos de seguridad, se evalúan todas las reglas antes de tomar la decisión de

permitir el tráfico. En las ACL de red, las reglas se evalúan por orden numérico antes de tomar la

decisión de permitir el tráfico.

La instancia de EC2 está rodeada de capas de seguridad. La capa más cercana a la instancia es

un grupo de seguridad. La siguiente capa son las ACL de red. La capa exterior, y más alejada, es el

enrutamiento de subredes.

Entre las funciones de seguridad de la VPC se incluyen las siguientes:

· Los grupos de seguridad funcionan como firewalls virtuales de sus instancias de EC2 para

controlar el tráfico entrante y saliente.

· Las ACL de red proporcionan una capa opcional de seguridad para su VPC. Actúan como

firewalls para controlar el tráfico que entra y sale de una o varias subredes.

· Las subredes hacen que las redes sean más eficientes. Mediante la subred, el tráfico de red

puede recorrer una distancia más corta sin pasar por enrutadores innecesarios para llegar a su destino.

· Las tablas de enrutamiento controlan a dónde se dirige el tráfico de la red.

 Con la función VPC Flow Logs, puede capturar información sobre el tráfico IP que entra y

sale de las interfaces de red de su VPC. Puede publicar datos de registro de flujo en Registros de

Amazon CloudWatch o Amazon Simple Storage Service (Amazon S3). Una vez creado un registro

de flujo, puede recuperar y visualizar sus datos en el destino elegido.

Puede crear un registro de flujo para una VPC, una subred o una interfaz de red. Si crea un

registro de flujo para una subred o VPC, se supervisan todas las interfaces de red de dicha VPC o

subred. Los datos de registro de flujo para una interfaz de red supervisada se registran como registros

de flujo, que son eventos de registro que constan de campos que describen el flujo de tráfico.

Para más información, consulte Logging IP Traffic Using VPC Flow Logs (Registro de

tráfico IP mediante registros de flujo de VPC) en la Guía del usuario de Amazon VPC en

https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html.

Estas son algunas conclusiones clave de esta lección 4 del módulo 2:

· Una ACL de red es una capa opcional de seguridad para su VPC y actúa como un firewall

para controlar el tráfico a nivel de subred.

· Cada subred en su VPC se debe asociar a una ACL de red.

· Las ACL de red no tienen estado, lo que significa que las respuestas para el tráfico

entrante están sujetas a las reglas para el tráfico saliente, y viceversa.

· Las reglas se evalúan por orden numérico antes de tomar la decisión de permitir el tráfico.

Lección 5: Uso de equilibradores de carga de AWS, Resumen global y Protección de los

recursos de cómputo

En esta se proporciona información sobre el uso de equilibradores de carga como parte de la

seguridad de su infraestructura, resumen global y protección de los recursos de cómputo.

El diagrama del tráfico de un usuario que se dirige a Application Load Balancer. A

continuación, el tráfico se divide entre dos instancias de EC2.

El servicio Elastic Load Balancing (ELB) distribuye automáticamente el tráfico entrante de

las aplicaciones entre varios objetivos, como instancias de EC2, contenedores y direcciones IP. Puede

configurar el equilibrador de carga para que acepte el tráfico entrante especificando uno o más

agentes de escucha. Un agente de escucha es un proceso que verifica las solicitudes de conexión.

ELB escala el balanceador de carga a medida que el tráfico dirigido a la aplicación cambia

con el tiempo. Además, es capaz de escalar de forma automática a la mayoría de las cargas de

trabajo. Esto aumenta la disponibilidad y la tolerancia a errores de las aplicaciones. Puede agregar y

eliminar instancias del balanceador de carga en función de sus necesidades sin interrumpir el flujo

general de solicitudes a la aplicación. ELB puede controlar la carga variable del tráfico de su

aplicación en una o más zonas de disponibilidad.

También puede configurar comprobaciones de estado, que supervisan el estado de los

objetivos registrados. Una vez realizadas las comprobaciones de estado, el dispositivo de equilibrio

de carga puede enviar solicitudes solo a los objetivos en buen estado. Cuando el equilibrador de carga

detecta un objetivo fuera de estado, detiene el enrutamiento de tráfico al objetivo. El equilibrador de

carga reanuda el enrutamiento de tráfico a ese objetivo después de detectar que el objetivo está en

buen estado de nuevo.

ELB está integrado con otros servicios populares de AWS, como Amazon EC2 Auto Scaling,

Amazon Elastic Container Service (Amazon ECS), AWS CloudFormation y AWS Certificate

Manager (ACM).

ELB admite tres tipos de balanceadores de carga: Application, Network y Classic Load

Balancers.

Un Application Load Balancer opera a nivel de solicitud y enruta el tráfico a los objetivos

(instancias de EC2, contenedores, direcciones IP y funciones de AWS Lambda) en función del

contenido de la solicitud. Un Application Load Balancer es ideal para el balanceo de carga avanzado

del tráfico HTTP y HTTPS. Este tipo de equilibrador de carga proporciona enrutamiento avanzado de

solicitudes orientado a la entrega de arquitecturas de aplicaciones modernas, incluidos microservicios

y aplicaciones basadas en contenedores.

Un Application Load Balancer simplifica y mejora la seguridad de su aplicación,

garantizando que se utilicen en todo momento los cifrados y protocolos SSL y TLS más recientes.

Un Network Load Balancer opera a nivel de conexión y enruta las conexiones a los objetivos

(instancias de EC2, microservicios y contenedores) dentro de una VPC, basándose en los datos del

protocolo IP. Un Network Load Balancer es ideal para el balanceo de carga del tráfico TCP y UDP.

Este tipo de equilibrador de carga es capaz de administrar millones de peticiones por segundo

manteniendo latencias ultrabajas. Un Network Load Balancer está optimizado para administrar

patrones de tráfico volátiles y repentinos con una sola dirección IP estática por cada zona de

disponibilidad.

El Classic Load Balancer proporciona balanceo de carga básico en varias instancias de EC2 y

funciona tanto al nivel de solicitud como al nivel de conexión. Un Classic Load Balancer se destina a

las aplicaciones creadas dentro de la red EC2-Classic.

Consulte ¿Qué es Elastic Load Balancing?en la Guía del usuario de ELB en

https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/what-is-load-balancing.html.

Punto de contacto único: Un equilibrador de carga sirve como único punto de contacto para

los clientes. El Load Balancer distribuye el tráfico entrante de las aplicaciones entre varios objetivos,

tales como instancias de EC2, en varias zonas de disponibilidad. Esto aumenta la disponibilidad de la

aplicación.

Un Application Load Balancer puede mantener una comunicación HTTPS segura y

certificados para las comunicaciones con los clientes. Opcionalmente, puede terminar la conexión

SSL a nivel del equilibrador de carga para que no necesite manejar certificados en su propia

aplicación.

Cifrado en reposo: Si habilita el cifrado del lado del servidor con claves de cifrado

administradas de Amazon S3 (SSE-S3) para su bucket de S3 para registros de acceso de ELB, ELB

cifra automáticamente cada archivo de registro de acceso antes de almacenarlo en su bucket de S3.

ELB también descifra los archivos de registro de acceso cuando se accede a ellos. Cada archivo de

registro se cifra con una clave única, que a su vez se cifra con una clave que se rota periódicamente.

Cifrado en tránsito: ELB simplifica el proceso de creación de aplicaciones web seguras

mediante la terminación del tráfico HTTPS y TLS de los clientes en el equilibrador de carga. El

equilibrador de carga realiza el trabajo de cifrado y descifrado del tráfico, en lugar de requerir que

cada instancia de EC2 se encargue del trabajo de terminación de TLS.

Para más información, consulte Protección de datos en Elastic Load Balancing en la ELB

User Guide (Guía del usuario del ELB)

en https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/data-protection.html.

En este diagrama, se muestra cómo funcionan los equilibradores de carga. Esta VPC tiene

subredes en dos zonas de disponibilidad. Cada zona de disponibilidad tiene una subred pública y

varias subredes privadas.

El tráfico de Internet va de una puerta de enlace de internet a cada zona de disponibilidad. Un

equilibrador de carga en cada subred pública dirige el tráfico a los servidores web de una subred
privada en cualquiera de las dos zonas de disponibilidad. El tráfico de los servidores web va a un

equilibrador de carga, que dirige el tráfico a los servidores de aplicaciones en otra subred privada en

cualquiera de las dos zonas de disponibilidad. El tráfico de los servidores de aplicaciones se dirige al

servidor de base de datos primaria en otra subred privada de la primera zona de disponibilidad. La

base de datos primaria puede comunicarse con un servidor de base de datos en espera en una subred

privada de la segunda zona de disponibilidad.

El diagrama de esta diapositiva muestra cómo funcionan juntos el equilibrio de carga y los

componentes de la VPC.

Una VPC tiene dos subredes. La subred A, que es una subred pública, contiene dos instancias

de EC2. El tráfico de cada instancia se dirige a través de un equilibrador de carga a un grupo de

seguridad y, a continuación, a una red ACL de red. A continuación, el tráfico se encamina a través de

una tabla de enrutamiento hacia una puerta de enlace de Internet.

La subred B, que es una subred privada, contiene dos instancias de EC2. El tráfico de cada

instancia se dirige a través de un equilibrador de carga a un grupo de seguridad y, a continuación, a

una red ACL de red. A continuación, el tráfico se encamina a través de una tabla de enrutamiento a

una puerta de enlace NAT en la subred A, la subred pública.

Una de las prácticas recomendadas para proteger su red es aplicar controles tanto al tráfico

entrante como al saliente. Para una VPC, esto incluye el uso de grupos de seguridad, ACL de red y

subredes. Utilice subredes en varias zonas de disponibilidad para separar las capas de su aplicación.

Configure grupos de seguridad y ACL de red para permitir únicamente el tráfico entrante y saliente

necesario.
 Otra práctica recomendada consiste en inspeccionar y filtrar el tráfico de red a nivel de

aplicación.

Además, utilice la inteligencia sobre amenazas y la detección de anomalías para automatizar

los mecanismos de protección y proporcionar una red de autodefensa.

Por último, límite la exposición de la carga de trabajo a internet y a las redes internas. Para

ello, permita el acceso requerido mínimo.

Amazon Inspector es un servicio automatizado de seguridad que ayuda a mejorar la seguridad

y la conformidad de las aplicaciones implementadas en AWS. El servicio ayuda a identificar las

vulnerabilidades de seguridad y las desviaciones de las prácticas recomendadas de seguridad en las

aplicaciones, tanto antes de que se implementen como mientras se ejecutan en un entorno de

producción. Por ejemplo, el servicio puede ayudarle a comprobar la accesibilidad no intencionada a

la red de sus instancias de EC2 y las vulnerabilidades de dichas instancias.

Amazon Inspector le ofrece la oportunidad de definir estándares y prácticas recomendadas

para sus aplicaciones y validar el cumplimiento de estos estándares. Esto simplifica el proceso de

cumplimiento de los estándares y las prácticas recomendadas de seguridad en su organización y

ayuda a administrar los problemas de seguridad de forma proactiva antes de que afecten a la

aplicación de producción.

Amazon Inspector realiza una evaluación y genera una lista detallada de los resultados

vinculados con la seguridad, ordenados por nivel de gravedad. Puede revisar estos hallazgos

directamente o como parte de informes de evaluación detallados, que están disponibles a través de la

Consola de administración de AWS o la API.

Para más información, consulte Amazon Inspector en https://aws.amazon.com/inspector

Entre los beneficios de seguridad de Amazon Inspector se incluyen los siguientes:

· Automatice tareas para responder a los problemas de seguridad: Al utilizar eventos

de Amazon EventBridge con Amazon Inspector, puede automatizar tareas que le ayuden a responder

a los problemas de seguridad que revelen los hallazgos de Amazon Inspector.

· Supervisión periódica de sus recursos: Amazon Inspector ayuda a encontrar

vulnerabilidades de seguridad en las aplicaciones y desviaciones de las prácticas recomendadas de

seguridad. El servicio detecta estos problemas antes de que su aplicación se implemente y mientras se

ejecuta en producción. Esto mejora la seguridad general de sus aplicaciones alojadas en AWS.

· Conocimientos de seguridad de AWS: Amazon Inspector incluye una base de

conocimientos de reglas trazadas según las prácticas recomendadas de seguridad comunes y las

definiciones de vulnerabilidades. AWS actualiza constantemente las prácticas recomendadas y las

reglas de seguridad.

· Integración de la seguridad en DevOps: Amazon Inspector es un servicio vinculado a la

API que analiza las configuraciones de red en su cuenta de AWS. Además, el servicio utiliza un

agente opcional para la visibilidad de las instancias de EC2. El agente puede ayudarle a integrar las

evaluaciones de Amazon Inspector en su proceso DevOps existente. Esto le ayuda a capacitar tanto a

los equipos de desarrollo como a los de operaciones para hacer de las evaluaciones de seguridad una

parte esencial del proceso de implementación.

Amazon Inspector utiliza el ampliamente implementado agente AWS Systems Manager

(agente SSM) para recopilar el inventario de software y las configuraciones de sus instancias de EC2.

AWS Systems Manager le ofrece visibilidad y control de su infraestructura en AWS. Systems

Manager proporciona una interfaz de usuario unificada para que pueda ver los datos operativos de

varios servicios de AWS. El servicio incluye funciones que le ayudan a automatizar las tareas de

administración. Puede recopilar el inventario del sistema, aplicar parches del sistema operativo,
mantener actualizadas las definiciones antivirus y configurar sistemas operativos y aplicaciones a

escala. Systems Manager ayuda a mantener la conformidad de los sistemas con las políticas de

configuración que haya definido.

Estas son algunas conclusiones clave de esta sección del módulo:

· Amazon Inspector es un servicio automatizado de seguridad que ayuda a mejorar la

seguridad y la conformidad de las aplicaciones implementadas en AWS.

· Systems Manager le ofrece visibilidad y control de su infraestructura en AWS.

· Analice periódicamente sus recursos informáticos en busca de vulnerabilidades y aplique

los parches que correspondan. Puede automatizar esta tarea utilizando servicios de AWS como

Lambda y Systems Manager.

A continuación, completará el laboratorio Protección de los recursos de la VPC mediante el

uso de grupos de seguridad.

En este laboratorio, se analizará la configuración de recursos para una VPC y sus subredes.

Adquirirá experiencia en la creación y actualización de grupos de seguridad y ACL de red. Por

último, se conectará a una instancia en una subred privada con dos métodos diferentes.

En este laboratorio, realizará las siguientes tareas:

1. Análisis de la VPC y la configuración de recursos de subred privada

2. Análisis de la configuración de recursos de subred pública

3. Pruebas de conectividad HTTP desde instancias de EC2 públicas

4. Restricción del acceso HTTP mediante una dirección IP

5. Escalado del acceso HTTP restringido mediante referencia a un grupo de seguridad

 6. Restricción del acceso HTTP mediante una ACL de red

7. Conexión al AppServer mediante un host bastión y SSH

8. Conexión directa a un host en una subred privada mediante el administrador de sesiones

Después de completar el laboratorio, su mentor puede optar por dirigir una conversación

sobre los aprendizajes clave del laboratorio.

Ahora es el momento de revisar el módulo y concluir con una evaluación de conocimientos y

una discusión sobre una pregunta del examen de certificación de práctica.

En este módulo, aprendió a hacer lo siguiente:

· Definir los componentes de una VPC.

· Reconocer los límites de la cuenta.

· Describir los servicios de AWS disponibles para proteger su red y sus recursos.

Evaluación de conocimientos

1. ¿Cuáles son los componentes básicos de una nube virtual privada (VPC) en AWS?

a. Grupos de seguridad y servidores

b. Subredes, tablas de enrutamiento y Gateway

 c. Instancias y almacenamiento en la nube

d. Balanceadores de carga y bases de datos

Respuesta correcta: b) Subredes, tablas de enrutamiento y Gateway

2. ¿Cuál de los siguientes es un servicio de AWS diseñado para proteger la red y los

recursos?

a. Amazon S3

b. AWS Lambda

c. AWS WAF (Web Application Firewall)

d. Amazon RDS

Respuesta correcta: c) AWS WAF (Web Application Firewall)

3. ¿Qué servicio de AWS se utiliza para proteger las instancias de EC2 mediante el

control de acceso?

a. AWS IAM (Identity and Access Management)

b. AWS Shield

c. AWS Route 53

d. AWS Inspector

Respuesta correcta: a) AWS IAM (Identity and Access Management)

4. ¿Qué función tiene un grupo de seguridad en una VPC de AWS?

 a. Administrar el tráfico de red entre instancias EC2

b. Gestionar la escalabilidad automática de las instancias EC2

c. Controlar el acceso a las instancias EC2 mediante reglas de firewall

d. Supervisar el tráfico de red en una VPC

Respuesta correcta: c) Controlar el acceso a las instancias EC2 mediante reglas de firewall

5. ¿Cuál es la responsabilidad de AWS en el modelo de responsabilidad compartida?

a. Proteger los datos del cliente almacenados en la nube

b. Administrar la configuración de firewall y redes del cliente

c. Mantener la seguridad física de los centros de datos de AWS

d. Gestionar la identidad y el acceso de los usuarios del cliente

Respuesta correcta: c) Mantener la seguridad física de los centros de datos de AWS

6. ¿Cuál de los siguientes servicios de AWS ayuda a proteger contra ataques

distribuidos de denegación de servicio (DDoS)?

a. AWS IAM

b. AWS VPC
 c. AWS WAF

d. AWS CloudFront

Respuesta correcta: c) AWS WAF

7 ¿Cuáles son los componentes típicos de una aplicación web de tres niveles?

a. Capa de presentación

b. Capa de lógica empresarial

c. Capa de almacenamiento de datos

d. Servicios de infraestructura en la nube

e. Balanceadores de carga

f. Subredes

Respuestas correctas: a) Capa de presentación, b) Capa de lógica empresarial, c) Capa de

almacenamiento de datos

8 ¿Qué elementos pueden formar parte de una VPC en AWS?

a. Subredes

b. Instancias de EC2
 c. Puertas de enlace NAT

d. Grupos de seguridad

e. Tablas de enrutamiento

f. Bases de datos RDS

Respuestas correctas: a) Subredes, c) Puertas de enlace NAT, d) Grupos de seguridad, e)

Tablas de enrutamiento

10 ¿Qué funciones pueden realizar las subredes en una VPC de AWS?

a. Segmentar la red en segmentos más pequeños

b. Asignar direcciones IP a instancias EC2

c. Proporcionar conectividad a Internet

d. Configurar políticas de acceso a recursos

e. Facilitar el balanceo de carga entre instancias

f. Establecer reglas de firewall

Respuestas correctas: a) Segmentar la red en segmentos más pequeños, b) Asignar

direcciones IP a instancias EC2, c) Proporcionar conectividad a Internet.